Le protocole de cryptage SSL utilisé par les institutions financières belges pour protéger leurs communications avec leurs clients est souvent très vulnérable, a découvert Yeri Tiete, un blogueur belge spécialisé dans le domaine.
“Le danger est réel que des pirates informatiques puissent assister à – voire détourner – des sessions”, explique Yeri Tiete à Data News. Les sites internet disposant d’une protection SSL sont reconnaissables par le petit cadenas et au “https://” qui s’affichent dans la barre de navigation.
“Nos banques implémentent SSL d’une mauvaise manière et tergiversent trop longtemps avant d’entreprendre des mises à jour ou d’importantes corrections de problèmes techniques. Ils créent de la sorte un faux sentiment de sécurité”, explique le blogueur. “Si les liens https:// sont vulnérables, les pirates informatiques peuvent alors assister sans le moindre problème aux sessions de communication entre la banque et le client, détourner ces sessions et s’en donner à coeur joie pour adapter les données.”
Selon Yeri Tiete, bpost et BNP Paribas Fortis ont mis en ordre leur configuration SSL ces deux dernières semaines. Argenta serait en train de faire de même. La situation n’est en revanche pas aussi réjouissante chez ING, Record Bank, Hello bank! ou encore Ogone, le spécialiste des solutions de paiement en ligne.
D’après le blogueur, nos banques hésitent souvent à mettre à jour leurs protocoles de cryptage SSL car elles veulent s’assurer que les ordinateurs fonctionnant encore avec le vieux système d’exploitation Windows XP ou Internet Explorer 6 peuvent toujours utiliser leurs applications.