L’institution financière ajoute des niveaux d’authentification à ses services transactionnels pour prévenir la fraude et l’hameçonnage. Les banques, dernièrement, ont aussi rehaussé leurs procédures.
Pour prévenir les cas de fraude et d’hameçonnage, le Mouvement Desjardins a instauré de nouvelles mesures de sécurité pour la connexion à son portail Web transactionnel AccèsD.
Depuis quelques jours, les individus et les entreprises qui sont inscrits aux services en ligne de l’entreprise québécoise sont invités à compléter des étapes d’inscription afin de se conformer à une nouvelle procédure de connexion au portail transactionnel. On demande à l’utilisateur de rédiger une phrase personnelle, de mémoriser une image affichée à l’écran et de définir les réponses pour trois questions secrètes.
La procédure précédente requérait l’entrée d’un numéro de carte d’accès ou d’un code d’utilisateur et d’un mot de passe dans la page d’accueil du service AccèsD. À partir du 20 janvier 2008, la nouvelle procédure demandera l’entrée seule du numéro ou du code de l’utilisateur. Une deuxième page, où l’utilisateur entrera son mot de passe, affichera la phrase personnelle et l’image qui auront été convenues préalablement.
Cette nouvelle étape vise à confirmer à l’utilisateur sa connexion au site légitime de l’institution financière, et non à un site d’hameçonnage. Si la phrase personnelle et l’image choisies s’affichent à l’écran, l’utilisateur pourra inscrire en toute confiance son mot de passe et poursuivre la procédure.
De plus, l’utilisateur qui se branche à partir d’un autre endroit que celui qu’il emploie couramment sera invité à répondre à l’une des trois questions prédéfinies pour confirmer son identité. L’individu ou l’employé d’entreprise qui entre la bonne réponse pourra ensuite accéder à l’interface transactionnelle de l’institution financière.
Desjardins précise avec insistance qu’aucun courriel d’incitation à la réalisation des critères de modification ne sera envoyé aux utilisateurs. Plusieurs fraudeurs ont recours à cette méthode pour convier les internautes à entrer des informations confidentielles sur de faux sites.
Meilleures pratiques
Sébastien Breton, conseiller en sécurité de l’information pour les services AccèsD au Mouvement Desjardins, explique que cette initiative fait partie des meilleures pratiques de sécurité de l’information qui sont appliquées dans l’industrie des services financiers.
« Nous avons toujours pour mission d’aller de l’avant avec ces meilleures pratiques et voulons maintenir les plus hauts standards en matière de sécurité. Ce n’est pas quelque chose qui est obligatoire au Canada, comme ce l’est aux États-Unis, mais nous ne voulons pas attendre que ces mesures deviennent obligatoires ou soient recommandées par les gouvernements », indique M. Breton.
Au sujet du recours à une phrase personnelle et à une image, M. Breton explique que le procédé « d’authentification mutuelle » vise à éviter les cas d’hameçonnage où les fraudeurs copient un site intégralement. La problématique se situe dans l’apparence identique de la page d’identification pour tous les usagers.
« Avec des mesures d’image et de phrase personnelles, on personnalise la page de connexion pour chacun des usagers. Ce sont des éléments d’authentification qui vont servir à l’usager pour reconnaître qu’il est communication avec les systèmes de Desjardins, puisque ce sont ces systèmes qui seront capables de générer l’image et la phrase personnelle choisies. Nous considérons ces éléments comme étant des éléments confidentiels qui sont gardés dans nos systèmes. Il ne serait pas possible pour les gens qui voudraient usurper le site d’avoir ces informations », indique M. Breton.
À propos de la reconnaissance de l’ordinateur de l’utilisateur, M. Breton précise que les systèmes informatiques de Desjardins reconnaîtront la provenance de la connexion au moyen d’éléments publics qui voyagent sur Internet et d’éléments qui sont déposés habituellement sur l’ordinateur, comme des témoins ou bien des objets Flash.
« Une soixantaine de critères seraient utilisés pour établir une signature électronique de la connexion. Cette étape permet de reconnaître s’il s’agit d’une connexion habituelle pour l’usager. Si ce n’est pas le cas, des mesures d’authentification s’affichent à la page suivante, soit les questions personnelles qu’on poserait pour établir la connexion », mentionne-t-il.
Mouvance
Ce renforcement des procédures de connexion au Mouvement Desjardins s’inscrit dans une tendance où les grandes institutions financières ajoutent des étapes d’authentification à leurs sites transactionnels.
La Banque Laurentienne du Canada a ajouté à son service en ligne BLCDirect des étapes de réponse à une phrase secrète et de sélection d’une image prédéfinie dans une banque d’images qui est affichée à l’écran.
Nora Bouiki, conseillère aux relations publiques à la Banque Laurentienne, souligne que l’entreprise a été la première au Québec à recourir à la banque d’images. Elle déclare que le recours à un mécanisme d’authentification à trois niveaux a donné des commentaires approbateurs de la part des utilisateurs.
« La réponse a été très positive. L’ajout de barrières rassure nos clients, parce que c’est une barrière éprouvée. Notre système a été évalué et a répondu aux critères de sécurité. Le niveau d’efficacité est assez élevé », a dit Mme Bouiki.
Quant aux initiatives liées à la prévention de l’hameçonnage, la conseillère affirme que « les barrières d’authentification préviennent aussi l’hameçonnage », mais elle n’a pas voulu élaborer davantage « pour éviter que les hackers voient [les] forces [de la banque en la matière]. » Elle a précisé que l’équipe de sécurité de l’entreprise travaillait continuellement à l’amélioration des processus de protection.
La Banque Nationale du Canada, de son côté, confirme qu’elle activera au cours des prochains jours un mécanisme additionnel pour authentifier des utilisateurs de sa solution bancaire en ligne. Selon Pierre Projean, conseiller senior à la sécurité de l’information, ce mécanisme sera fondé également sur la réponse à une question secrète.
« Il s’agira d’une fonction de certification d’origine, où le poste où la personne fait toujours ses transactions sera reconnu, explique-t-il. Les transactions fonctionneront alors comme auparavant. Si, par contre, la personne utilise un autre poste qui n’est pas certifié, nous lui poserons des questions secrètes. »
« Nous utilisions déjà ces questions lorsqu’une personne oubliait son mot de passe, pour certifier qu’il s’agit bien de la bonne personne pour [réinitialiser] son mot de passe, et nous nous en servirons lorsque le système ne sera pas sûr qu’il s’agit de la bonne personne. »
M. Projean précise que ces questions seront posées à la suite de la modification d’un ordinateur habituel, par exemple lors du changement du fureteur ou du système d’exploitation. Un nouvel enregistrement du système modifié rétablira la certification d’origine du poste de l’utilisateur pour les connexions ultérieures.
Par ailleurs, l’utilisateur pourra inscrire d’autres ordinateurs utilisés fréquemment pour éviter de répondre aux questions secrètes, par exemple l’ordinateur employé au travail.
À propos de l’instauration de mécanismes de prévention de l’hameçonnage, M. Projean indique que la Banque Nationale a décidé de ne pas ajouter de tels éléments à son site. « Il s’agit quand même d’une possibilité, mais en ce moment, nous n’avons pas opté pour cette option », mentionne-t-il.
Enjeux communs
Les initiatives de rehaussement des procédés de connexion aux sites transactionnels ne sont pas incitées ou régies par un organisme au Canada. Aux États-Unis le Federal Financial Institutions Examination Council (FFIEC) émet des politiques d’authentification à l’intention de l’industrie bancaire.
Toutefois, les spécialistes des institutions financières confirment que l’usurpation d’identité et la fraude sont des enjeux importants pour l’ensemble de l’industrie.
« Sans parler de concertation, nous collaborons avec nos collègues des autres institutions financières, et la mise en place de ces solutions est relativement similaire, indique M. Breton. Nous sommes toujours en contact pour combattre ce type de crime. C’est une communauté avec laquelle nous travaillons étroitement, où nous faisons front commun pour faire évoluer les protections à donner à nos usagers. »
« Quand nous faisons des modifications du genre, nous regardons toujours les tendances de l’avenir en technique de fraude. Individuellement, chaque entreprise fait son évaluation et décide d’aller dans une direction. Par contre, nous discutons des éventualités lorsque nous nous rencontrons », mentionne M. Projean.
Jean-François Ferland est journaliste au magazine Direction informatique.
À lire aussi cette semaine: La Régie du cinéma veut classer le contenu Internet Sous le signe des ententes L’actualité des TI en bref Gestion du changement : des critères de réussite Les « technomécanos » du 21e siècle
