EthHACK a publié hier les données de son étude sur la sécurité des connexions web (pour les geeks: configuration TLS) aux services e-banking de plus de 186 banques établies en Suisse.

Comme l'on pouvait s'y attendre, il y a des bons élèves, et des moins bons...


Qui sont les plus mauvais élèves?

Sur la base des 186 rapports disponibles, j'ai sélectionné de manière totalement scientifique les éléments qui répondaient à l'un ou deux des critères suivants:
- les établissements qui ont reçu une note inférieure à 5 (sur 10)
- les établissements qui ont reçu une note inférieure à 7 et qui forcent le trafic de données à transiter via l'extérieur de la Suisse par des moyens techniques.

26 établissements ont été retenus par ce filtre, ce qui correspond à 14% de l'échantillon. Ils se démarquent donc par un effort inférieur à celui fourni par les 160 autres établissements.


Attention toutefois aux mauvaises interprétations, aux conclusions hâtives et sensationnalistes:
1) Les données transitant entre ces plate-formes et leurs clients ne peuvent toujours pas être lues par n'importe qui: il faut des cerveaux, et parfois des machines, beaucoup de machines, à disposition pour pouvoir réellement "lire" ce qui passe à travers une connexion web "sécurisée". On ne vise donc pas ici votre voisin (à moins qu'il soit le dirigeant d'un gouvernement hostile à la liberté d'expression) mais bel et bien des organismes disposant de moyens et d'une motivation pour accéder à ces données.


2) La liste ci-dessous identifie les établissements qui ont fourni un effort inférieur à tous les autres établissements de l'échantillon. Cela ne veut pas dire que les mieux notés sont à l'abri d'attaques informatiques: ils sont juste plus "coûteux" à compromettre que ces 26 mauvais élèves.

Afin d'éviter cet amalgame trop fréquent conduisant à un faux sentiment de sécurité, je ne recenserai donc pas la liste des établissements les mieux notés. Protéger les données de ses clients n'est pas un acte de bravoure, c'est une obligation légale et éthique, pas d'applaudissements donc!


3) Le périmètre de l'étude se concentre exclusivement sur la sécurité du transit des données client-banque. L'étude de EtHack ne prend pas en compte d'autres éléments tout aussi importants dans la protection d'un système d'information, tels que la configuration des serveurs et périphériques réseaux, leur situation en matière de mises à jours, la présence éventuelle d'autres dispositifs destinés à les protéger, la résistance des applications web contre des attaques informatiques, les efforts déployés pour détecter une éventuelle intrusion ou encore le niveau de sensibilisation des utilisateurs, etc.


4) Pour ceux qui n'ont toujours pas compris, l'élément de risque évalué ici est analogue à la confidentialité d'une lettre envoyée par courrier postal:

"Lorsqu'une lettre est envoyée par courrier postal, elle est exposée au risque d'interception par un tiers (p.ex.: un voisin allant fouiller dans la boîte aux lettres, un facteur peu scrupuleux, etc.):
a) Qu'a fait la poste pour éviter qu'une personne non autorisée accède à la lettre?
b) Qu'avez-vous convenu avec votre interlocuteur pour que la lettre reste difficile à comprendre si elle venait à être lue par un tiers? (p.ex.: communiquer en Suisse allemand garantit une confidentialité totale du contenu de la lettre si elle venait à être interceptée par un Suisse romand: il ne comprendrait rien!)"


Liste des établissements dont la plate-forme ebanking a obtenu une note inférieure à 5, ou une note inférieure à 7 et un transit de données forcé via des États tiers (selon rapport EtHack):
  • Arab Bank (Switzerland) Ltd.
  • Banco Santander (Suisse) SA
  • Bank für Tirol und Vorarlberg AG
  • Bank Hapoalim (Schweiz) AG
  • Bank Morgan Stanley AG
  • BankMed (Suisse) SA
  • Barclays Bank (Suisse) SA
  • BNP Paribas (Suisse) SA
  • Citibank (Switzerland) AG
  • Fibi Bank (Schweiz) AG
  • IDB (Swiss) Bank Ltd.
  • InCore Bank AG
  • Intesa Sanpaolo Private Bank (Suisse) SA
  • Investec Bank (Switzerland) AG
  • Liberty Prévoyance SA
  • NBK Banque Privée (Suisse) SA
  • Nomura Bank (Schweiz) AG
  • Nordea Bank S.A. Luxemburg Zweigniederlassung Zürich
  • RBC Investor Services Bank S.A.
  • Royal Bank of Canada (Suisse) SA
  • Saxo Bank (Schweiz) AG
  • SOCIETE GENERALE Private Banking (Suisse) SA
  • The Royal Bank of Scotland plc
  • UBL (Switzerland) AG
  • United Mizrahi Bank (Schweiz) AG

Que faire maintenant?

La démarche est simple. Ces établissements n'ont, selon le rapport d'EtHack, tout simplement pas placé assez haut dans leurs priorités la sécurisation du canal de communication entre leur clientèle et leurs serveurs.

Si vous êtes client-e de l'un de ces établissements, contactez-les. Sans agressivité bien sûr, il est inutile de leur taper dessus ou de porter plainte, car vous serez maintenu dans votre tort. La honte est l'une des armes les plus efficaces pour motiver les institutions à prendre leurs responsabilités.

Dites-leur que vous n'êtes pas en accord avec leur vision de la sécurité de vos données personnelles et financières et que vous aimeriez l'assurance qu'ils augmenteront rapidement leurs efforts pour mieux protéger vos données.

Si ces établissements ne vous répondent pas dans un délai raisonnable ou ne vous accordent aucune satisfaction dans leur réponse, vous saurez je l'espère prendre les décisions qui vous paraîtront les plus utiles!

à bon entendeur.