Depuis le mois de juin 2005, les clients chez Bank of America désirant consulter leurs comptes en ligne doivent également sélectionner une image (un chien ou une pièce d'échec par exemple) à chaque fois qu'ils se connectent et avant de saisir leur mot de passe. Si leur image personnelle n'apparaît pas, ils sont quasiment sûrs qu'ils sont face à une tentative d'arnaque de type hameçonnage (ou phishing) et ne doivent en aucun cas entrer le fameux sésame.
Selon les chercheurs américains de l'Université de Harward et du MIT ( Massachusetts Institute of Technology ) qui ont mené une étude sur les protections additionnelles, celle-ci, apparue en 2004 et appelée image d'authentification, s'avère inefficace. En effet, au mois d'octobre dernier, les chercheurs ont demandé à 67 clients d'effectuer des opérations en ligne de base, comme consulter le solde de leur compte, sauf qu'ils avaient secrètement enlevé les images. Tenez-vous bien, sur les 60 participants, 58 se sont identifiés malgré cela et seuls 2 ont refusé évoquant des questions de sécurité.
Stuart Schechter, un expert informatique du MIT, déplore : « Les images d'authentification accroissent la sécurité en partant du principe que les clients ne vont pas entrer leurs mots de passe s'ils ne voient pas l'image correcte. Selon l'étude, nous apprenons que le principe est vrai dans moins de 10 % des cas. Si une banque m'avait demandé s'ils devaient déployer cela, j'aurais dit non, et espéré quelque chose de mieux. »
Ce système bénéficie de l'appui de plusieurs poids lourds du monde de la finance qui essaient de se conformer aux nouvelles régulations de la banque en ligne. En 2005, le FFIEC (Federal Financial Institutions Examination Council), un organisme associé aux régulateurs bancaires, a décidé que les mots de passe ne suffisaient plus et qu'en janvier 2007 toutes les banques devraient se conformer à ces nouvelles exigences de sécurité.
Bref, il semble que la meilleure sécurité dans ce cadre soit la vigilance des internautes ou de véritables systèmes à authentification forte !
Flux Rss
Version PDF
Commenter (1)
Les experts en sécurité l'ont bien compris, un identifiant et un mot de passe ne suffisent pas à sécuriser totalement un accès à des comptes bancaires en ligne. Ainsi, plusieurs établissements, tels Bank of America et ING Direct, ont ajouté des mesures de sécurité supplémentaire. 
