Courtiers en ligne avec une authentification vraiment sécurisée ?

Bonsoir Zedbum,

Chez Bourse Direct la connections se fait via identifiant / mot de passe.

Par contre lors d’une première connections via un navigateur, il vous est demandé de renseigner un nom de profil ainsi qu’une phrase de sécurité. Le tout est à valider ensuite via un code envoyé par SMS.

Il n’est donc pas possible de se connecter via un navigateur sur lequel vous n’avez pas activé votre profil.
De plus, la phrase de sécurité, affichée lors de chaque connections, vous permet de vous assurer que vous êtes bien sur le site Bourse Direct.

Bonjour,
effectivement les banques ne sont pas toujours en avance sur le plan de la sécurité informatique des moyens de connexion. Le deux-facteurs est rare et quand il existe il est parfois mal fait, les immondes claviers virtuels à cliquer prolifèrent alors qu’ils n’apportent qu’un affaiblissement du mot de passe (contrairement à ce qu’on pourrait croire ça ne protège pas vraiment d’un vol du mot de passe), etc.
La raison est que les clients ne sont pas prêts à supporter les contraintes d’une vraie authentification à deux facteurs. Chez Boursorama on peut activer l’envoi d’un SMS à chaque fois, c’est déjà un bon début.

DeadBull, il vaut mieux un mot de passe fort avec un double facteur. La taille du mot de passe est sans lien avec la présence ou non du double facteur donc la bonne réponse est bien "mot de passe fort" + double facteur.

zedbum, je ne connais pas de banque qui utilise un one-time-password pour la connexion au site. Par contre, c’est utilisé pour valider les virements au moins à la Banque Populaire (par signature avec la carte bleue).

Faith a écrit :

C’est surtout que le double facteur est en général bien inutile pour un accès à son interface bancaire.

C’est exagéré. Je ne vais pas en faire un roman parce que je pense que vous pourrez vous documenter mieux que je ne peux expliquer, mais votre affirmation ne tient pas debout, et sa justification non plus.

Faith a écrit :

Une attaque brute-force ne se fait pas au travers de l’interface web: l’attaque se bloque en 3 lignes de code (ou presque)

Un des buts, pas le premier, du double facteur est de protéger du brute-force en cas de vol de le base de données, pas en ligne. L’attaque brute-force fonctionne très bien hors ligne surtout sur des mots de passes un peu faibles. Ce que vous indiquez n’est "même pas faux", mais complètement sans lien avec la question du double facteur.
L’autre utilité est de protéger du vol de mot de passe par un keylogger ou par phishing, choses qui arrivent souvent.
Votre "threat model" n’est pas très sérieux, normal que vous ne voyiez pas l’intérêt du double facteur.

Faith a écrit :

Quant aux keyloggers, ils permettent certes d’accéder à l’interface bancaire, mais tant que c’est ça, le mal est bien restreint: les ajouts de RIB inconnus sont en général sujets au double facteur.

Dans une optique de pure nuisance vous pouvez aussi passer des ordres de bourse (liquider un CTO pour acheter BX4 à la place !), espionner discrètement votre cible pendant des mois, désactiver un virement permanent, passer un virement externe auprès d’un compte déjà référencé, etc.

Faith a écrit :

Paradoxalement, la simplicité des mots de passe d’accès aux banques (seulement 6/8 chiffres) est plutôt une amélioration de la sécurité: cela garantit que l’utilisateur n’utilise pas le même mot de passe que celui de devenir-rentier, de facebook ou d’un obscur blog.

Ça ne garantit absolument pas cela, je pourrais très bien utiliser le même mot de passe à 6/8 chiffres sur plein de sites. Encore que ces sites le refuseraient car il est trop faible…
Le seul cas où vous avez cette garantie, c’est si c’est la banque qui génère le mot de passe pour vous mais
1) ça ne requiert pas un clavier virtuel, on pourrait très bien le faire sur un mot de passe classique à 20 caractères ou plus
2) vous vous retrouvez avec la banque qui, à un moment, connaît votre mot de passe en clair, et donc avec tous les risques ça implique en cas d’acteur malveillant à la banque ou de vol de leur base
(Si vous vous posez la question, il y a encore certains sites non bancaires très connus qui stockent les mots de passe en clair de nos jours…)

Ce qui est vrai, par contre, c’est que le risque reste limité tant que les virements externes sont protégés par du multifacteur, et que le mieux est l’ennemi du bien. Si un système est tellement "sécurisé" qu’il en devient inconfortable à utiliser, les utilisateurs vont le contourner (ou s’enfuir). C’est pour cela que c’est bien que le multi-facteur au login soit désactivable pour les clients, comme vous, qui n’en voient pas l’intérêt.  De là à dire que c’est inutile… j’ai une part importante de mon patrimoine chez un seul courtier qui ne propose que l’authentification par mot de passe limitée à 16 caractères, et je ne suis pas du tout à l’aise avec cette situation sur le plan de la sécurité. Vu mon usage de ce courtier (qui n’est pas ma banque principale), un login à 2 facteurs ne serait pas du luxe.

Je ne "pars" pas, c’est juste que je ne veux pas passer des heures à expliquer l’intérêt du double-facteur alors que c’est largement documenté.
Le courtier dont je parle est Binck.

De mémoire:
Binck - pas de 2FA (2-factor authentication)
Boursorama - 2FA quand l’appareil de connexion est inconnu et pour référencer un compte externe
Fortunéo - 2FA pour référencer un compte externe (+ délai de 24h)

Et pas vraiment de sécurité supplémentaire sur la partie bourse. On pourrait imaginer un 2FA sur les gros ordres.

sven337 a écrit :

mais votre affirmation ne tient pas debout, et sa justification non plus.

Disons que vous avez suffisamment déformé mon propos pour qu’il ne tienne plus debout.

Dans une optique de pure nuisance

Et ce que vous décrivez arrive… jamais ?

Ça ne garantit absolument pas cela, je pourrais très bien utiliser le même mot de passe à 6/8 chiffres sur plein de sites. Encore que ces sites le refuseraient car il est trop faible…

Vous me contredisez en première phrase pour me donner raison en seconde.

De là à dire que c’est inutile… j’ai une part importante de mon patrimoine chez un seul courtier qui ne propose que l’authentification par mot de passe limitée à 16 caractères, et je ne suis pas du tout à l’aise avec cette situation sur le plan de la sécurité. Vu mon usage de ce courtier (qui n’est pas ma banque principale), un login à 2 facteurs ne serait pas du luxe.

J’aime cette conclusion: vous écrivez un post assez argumenté pour décrire les nombreux risques et dangers, à quel point je suis inconscient de le négliger et… vous gardez une part importante de votre patrimoine aussi "peu" protégée, alors que l’offre en 2FA est abondante (au passage, Degiro le propose).

Pardon, mais vos actes montrent que vous jugez en réalité ce risque très faible.

Chez HBSC ou Banque Populaire il y a effectivement un petit boîtier pour recevoir des codes et s’authentifier ou confirmer une opération "importante".

C’est pénible au possible : ça prend des plombes, vous devez emmener les boîtiers en déplacement et ponctuellement il n’a plus de pile et il faut redemander un boîtier à la banque.

Les boitiers physiques sont de plus en plus remplacés par des e-tokens ou des applications qui génèrent le mot de passe temporaire.

En dessous c’est des cartes en papier avec des codes à utiliser, comme c’était le cas avec le crédit mutuel.

ZeBonder a écrit :

En dessous c’est des cartes en papier avec des codes à utiliser, comme c’était le cas avec le crédit mutuel.

Ou l’application IBKR Mobile quand même bien plus pratique que la carte papier.

Je suis un vieux client old school, j’ai mes cartes en papier que j’utilise encore pour me connecter à IB

Bonjour !

Moi aussi, j’ai la carte recto-verso, avec le captcha qui demande deux des codes de la carte.
Perso, j’ai numérisé la carte, converti le tout en caractères, et programmé une moulinette pour simplifier le truc : quand le captcha s’affiche, je n’ai qu’à retaper les deux numéros, mon script retrouve les codes, les colle dans le champ de saisie et valide.

ZeBonder a écrit :

La France est très en retard dans ce domaine, voici des courtiers/banques qui utilisent un système de sécurité via un petit boitier qui génère un code unique ( OTP ) et ce depuis plus de 10 ans

Ne pas avoir ce boitier n’est pas vraiment un retard car sa gestion est très lourde.
Entre les pertes par les clients, les boitiers à changer car ils se désynchronisent et le fait qu’il faille l’avoir avec soi, il est largement préférable d’avoir des OTP envoyés par SMS

bifidus a écrit :

Le risque de piratage c’est un cheval de Troie qui permet de récupérer tous les identifiants et mots de passe stockés dans les navigateurs puis les teste automatiquement.

Oui pour tout ce qui utilise une authentification à 1 facteur (ie : compte/mot de passe) mais l’aspiration des données d’un ordinateur ne permettra pas l’accès à tout ce qui nécessite une authentification à 2 facteurs (ie : compte/mot de passe ET otp).

Dans ce second cas le virus/cheval de Troie est beaucoup plus complexe et simule l’interface bancaire via le navigateur au moment où l’utilisateur souhaite accéder à sa banque en ligne. Il peut donc modifier les actions de l’utilisateur avant de les transmettre à la banque et aussi les valider (dans le cas d’ajout de RIB par ex) avec l’OTP que l’utilisateur va saisir, ce dernier ne sachant bien évidement pas que ses actions sont modifiées.

Le but de ces virus est essentiellement d’effectuer des virements sur des comptes à l’étranger et les cibles privilégiées sont les TPE. Les particuliers n’ont généralement pas des capacités de virement très élevés et les grandes entreprises utilisent les logiciels pour les virements et non les interfaces bancaires en ligne.