L’accès aux services bancaires en ligne est-il sécuritaire?
Les services bancaires en ligne sont
pratiques et efficaces. Vous pouvez payer toutes vos factures en
ligne de votre ordinateur personnel à la maison. Vous pouvez vérifier votre solde, télécharger
vos états de compte et certaines institutions financières vous
permettent de déposer un chèque en utilisant votre téléphone intelligent.
Mais est-ce plus facile pour un
cyber criminel de voler notre argent durement gagné?
Accéder à mon compte BMO ne requiert
que quelques touches, pas de caractères spéciaux, pas de symboles. Tangerine ne permet pas de mots de passe de
plus de 6 caractères. N’est-ce pas
étrange donc que Google et Twitter m’incitent à utiliser une combinaison de
lettres et de chiffres, des symboles, ainsi que des majuscules et minuscules,
et au moins 8 à 10 caractères? Je peux
même établir une vérification à deux niveaux, qui exige que je m'authentifie
avec mon mot de passe habituel et que j'utilise un deuxième mot de passe unique
qui m'est envoyé sur mon téléphone intelligent.
Dans un article de Matthew Braga dans
le Globe
and Mail en avril dernier, David Skillicorn, professeur à l’école
d’informatique de l’université Queen’s déclarait que : « Les banques
font un compromis sophistiqué au niveau de la sécurité qu'ils veulent bien mettre
en place pour maintenir les pertes à un niveau qu'ils peuvent gérer. Et cet équilibre se maintient jusqu'à ce qu'un
cyber criminel arrive à déjouer le système leur faisant subir une perte énorme,
suite à laquelle un changement s’impose. »
Les banques canadiennes utilisent
des systèmes de détection d'intrusion et de détection de fraude. Ainsi, si vous
entrez incorrectement votre mot de passe trop souvent, votre compte est
bloqué. Elles utilisent aussi un système
de questions de vérification comme deuxième niveau de sécurité si vous vous
branchez à partir d'un ordinateur inconnu ou d'un nouvel endroit.
Les autres banques canadiennes ont des règles
différentes:
- La Banque TD
permet d'utiliser un mot de passe de 8-32 caractères avec majuscules,
minuscules et caractères spéciaux.
- RBC permet aussi 8-32
caractères avec caractères spéciaux, mais ne reconnaît ni les majuscules,
ni les minuscules.
- La CIBC et Le
Choix du président Services financiers acceptent tous deux 6-12
caractères alphanumériques, mais pas de caractères spéciaux.
- Banque Scotia accepte un mot
de passe de 8-16 caractères, ne reconnaît ni les majuscules, ni les
minuscules et ne permet pas de caractères spéciaux.
L'autorité de règlementation canadienne, Le Bureau du surintendant
des institutions financières (BSIF), n'a pas établi de standards mais exige que
les banques aient suffisamment de personnel qualifié pour gérer la cyber
sécurité.
Les banques canadiennes ont donc intégré un deuxième
niveau de sécurité dans l'authentification en identifiant l'ordinateur que le
client utilise et son emplacement (adresse IP).
Si ces coordonnés ne concordent pas, le client doit répondre à des questions
de vérification.
N'est-ce pas justement ce qui a résulté en la plus récente violation
iCloud? Quelqu'un a deviné correctement
les questions de sécurité d’une vedette de cinéma et a accédé à ses photos sur
iCloud. Les gens qui connaissent la réponse à vos
questions de sécurité ne sont pas nécessairement des pirates informatiques. Si vous êtes vraiment parano, rien ne vous
empêche de modifier la réponse à ces questions pour quelque chose de très différent
de la vérité.
Finalement, sachez que même si les données sont cryptées,
utiliser un wifi gratuit pour accéder à votre compte bancaire n'est jamais
sécuritaire...
Quelques liens intéressants:
________________________________________________________________________
English version
Is access to online
banking really safe?
Online banking is practical and
efficient. You can log onto your banking
website and pay all your bills online from your home computer. You can check your balance, download your
monthly statement and some financial institutions even allow you to deposit a
cheque using your smartphone.
But are we
making it easier for cyber criminals to steal our hard-earned money?
Logging
onto my BMO banking site only requires that I type a few characters, no special
digits, and no symbols. Tangerine won't allow
more than 6 characters. Isnt it odd then
that Google and Twitter tell me that I should use a combination of numbers,
symbols and uppercase and lowercase letters, at least 8-10 characters long? I
can even setup two-tier verification, which requires I log-in with my usual
password, and then use a second one-time password that’s sent to my smartphone.
In an
article by Matthew Braga in the Globe
and Mail last April, David Skillicorn, a professor at Queen’s University’s
School of Computing stated: “The banks are doing a very sophisticated trade-off
about how much security they want to pay for to keep the losses down to a level
they can manage. And that balance survives until some clever criminal comes
along and they take a really big hit and things change.”
Canadian
banks use intrusion and fraud detection systems that lock access to your
account if you enter your password incorrectly too many times. They also use verification questions as a
second layer if you are logging in from an unknown computer or a new location.
Other Canadian banks
have varying rules:
- TD Bank allows case sensitive 8-32 character
passwords with special characters.
- RBC also allows 8-32 character passwords with
special characters, but isn’t case sensitive.
- CIBC and President’s Choice Financial,
however, both allow case sensitive 6-12 character alphanumeric passwords,
but no special characters.
- Scotia Bank’s passwords are 8-16 characters in length,
aren’t case sensitive, and can’t include special characters.
The
Canadian regulator, the Office of the Superintendent of Financial
Institutions (OSFI), has not established specific guidelines or standards and
only requires financial institutions to ''have a sufficient number of skilled
staff for the management of cyber security.''
What
Canadian banks have done is integrate the second level of security into the
user logon by identifying the computer their customer is using and its location
(IP Address). If these coordinates don't
match, the user must answer the verification questions.
Wasn't
that how the recent iCloud breach was caused?
Someone guessed the security questions of a movie actress correctly and
accessed her iCloud photos. Consider
that the people who actually might know the answers to your verification
questions are probably not hackers. And if
you are really feeling paranoid, nothing stops you from making the answers to
those questions something different from the truth.
Finally,
be aware that even though the data is encrypted, using a free Wi-Fi to access
your bank account is never ever “safe”...
A few intersteing links:
National anthem singer trips on carpet
Mr Bean snickers commercial
No comments:
Post a Comment