Mieux vaut consulter ses comptes bancaires depuis son smartphone que depuis son ordinateur

[Nico37]

Mieux vaut consulter ses comptes bancaires depuis son smartphone que depuis son ordinateur Robin Panfili 07/05

L’idée selon laquelle les réseaux publics –comme les bornes Wifi– sont plus faciles à pirater que les connexions Internet privées (à la maison ou au bureau)n’est pas tout à fait erronée. Mais parfois, ce n'est pas vraiment de la faute à la technologie, mais plutôt de la nôtre. En interrogeant Clay Clavert, responsable de la sécurité à MetroStar Systems (cabinet de conseil digital), le site Quartz en est arrivé à la conclusion suivante: il est préférable de consulter ses comptes bancaires depuis son portable ou sa tablette plutôt que depuis son ordinateur.

(...)

[Florian]

Débat pour spécialistes. Seul El Fredo doit pouvoir apporter quelque chose ici.

[Golgoth]

Je en suis pas spécialiste mais je pense qu'un smartphone se vole assez facilement, et bonjour l'accès ensuite.

[artragis]

Je ne sais pas si slate a traduit "Why you should access online banking on your smartphone rather than your computeré" par "il est préférable de faire des opérations bancaires depuis son portable".
En fait les "why you should" sont la traduction d'un argument (et non d'une conclusion) en faveur d'un comportement sur un autre. Il ne faut pas tout confondre.
Ce que dit très justement qz c'est que... le piratage social est plus difficilement réalisable sur des app mobiles que sur des sites web en https classiques.
Or, certaines banques n'ont pas d'appli, juste un site. Donc finalement mobile ou pas...

[El Fredo]

L'auteur a plutôt raison si on se limite à la sécurité des communications proprement dites, parce qu'en cas de vol de smartphone avec les coordonnées bancaires préenregistrées l'histoire est tout autre... Cela dit il me semble que les applis bancaires nécessitent de s'identifier systématiquement avant d'être lancées. Mais si elles sont déjà lancées au moment du vol c'est open bar pour le voleur.

Pour en revenir à la sécurité. La différence principale entre les environnements smartphone et desktop, c'est que les premiers fonctionnent principalement en mode "sandbox", à savoir que les applications sont isolées les unes des autres et qu'un système d'autorisation restreint leurs possibilités d'accès aux données et aux fonctionnalités du smartphone. De plus il n'est pas possible pour une application d'accéder aux données d'une autre application. Tandis que sur PC, il y a certes isolation des processus entre eux, mais les données sur disque sont bien souvent accessibles à toutes les applications. Et comme on est plus souvent en mode "full web" sur desktop que sur mobile (où l'on privilégie les applications), il suffit de compromettre le logiciel de navigation pour avoir accès à toutes les infos en ligne de l'utilisateur. Reste le cas des banques sans application mobile et uniquement accessibles en mode web, dans ce cas privilégier le mode de navigation privé (absent malheureusement de la plupart des navigateurs par défauts).

Sur desktop comme sur mobile il existe également de nombreux moyens d'intercepter les interactions avec l'utilisateur pour en tirer profit. Il y a ainsi toute une classe de malwares dénommés "keyloggers" qui permettent d'enregistrer tous les événements claviers, un pirate pourrait ainsi implanter un keylogger furtif sur votre machine et analyser vos séquences clavier pour en extraire des mots de passe potentiels. Cela dit, dans le domaine bancaire on utilise en général un "clavier visuel" pour limiter les risques : plutôt que de taper votre code au clavier, on clique sur les touches d'un clavier virtuel aléatoire. Un keylogger ou mouselogger pourra difficilement s'en sortir ici, sauf à enregistrer également l'image en même temps que les clics (mais cela aura un impact notable sur les performances, notamment sur mobile, ce qui pourrait dévoiler la présence de l'espion). A ma connaissance les plateforme desktops sont tout de même beaucoup plus sensibles que les mobiles à ce genre d'attaque, qui nécessitent bien souvent un accès physique aux terminaux (les logiciels espions sont la plupart du temps installés par des conjoints jaloux).

Mais sinon, comme le dit artragis c'est bien le piratage social qui reste le plus efficace. Le célèbre Kevin Mitnick avait fait sa spécialité du "social engineering" pour percer les systèmes de sécurité les plus aboutis. L'humain reste le maillon faible dans la chaîne technologique.

Et puis dites-vous bien que si un pirate déterminé veut avoir accès à VOS données en particulier (du genre les services secrets, ne parlons même pas de la NSA qui a des backdoors partout), il finira par y arriver. Ce dont il faut se protéger ce sont les pirates opportunistes et les "script kiddies" qui tentent principalement des attaques automatisées relativement basiques et abandonnent vite en cas d'échec pour attaquer la cible suivante sur leur liste. Pour ça, une combinaison pare-feu+antivirus à jour fait parfaitement l'affaire. C'est comme un cambrioleur qui voudrait visiter les maisons d'un quartier : il passera bien vite devant les portes avec des serrures de sécurité qui lui feraient perdre plusieurs minutes d'efforts, et préfèrera celles qu'il pourra forcer en 30s avec un tournevis, voire encore mieux : celles qui ne sont pas verrouillées du tout ou dont la clé est sous le paillasson ou dans le pot de fleur ! Vous savez comment sont déterminés les niveaux de sécurité des alarmes de bagnole ou des serrures de sécurité ? En fonction du temps qu'il faut pour les forcer.