Trafic des paiements sécurisé pour les PME

Les paiements électroniques, c'est-à-dire la banque en ligne, sont devenus incontournables pour toute entreprise. L'accès direct aux finances de l'entreprise, indépendamment du temps, est trop pratique et confortable.

En raison de ses possibilités d'enrichissement direct, la banque en ligne représente toutefois aussi une cible convoitée par les pirates. Des attaques de phishing aux logiciels malveillants spécifiquement programmés pour la banque en ligne, en passant par les attaques d'ingénierie sociale, les vecteurs d'attaque sont multiples.

Les institutions financières elles-mêmes protègent largement les données et les finances de leurs clients grâce à des systèmes de sécurité modernes et nouveaux.

Conservation sécurisée des données

Les établissements financiers suisses disposent d'un standard de sécurité très élevé en comparaison internationale. Des centres de calcul et des systèmes de sécurité protégés garantissent que les données et les finances des clients sont conservées en toute sécurité. Des organismes de contrôle externes et des normes ISO garantissent la standardisation.

Accès protégé aux données

Les établissements financiers garantissent la plus grande sécurité possible dès la connexion (log-in) des clients à l'e-banking. En règle générale, un système à plusieurs niveaux est utilisé. Les pirates doivent pouvoir franchir avec succès chaque obstacle de sécurité pour accéder aux données et aux finances du client. Dans le détail, les procédures de connexion diffèrent les unes des autres, ce qui constitue un avantage en termes de sécurité : Les tentatives d'attaque ne sont pas transférables d'un système d'e-banking à l'autre.

Les institutions financières offrent généralement aux clients le choix entre différentes procédures d'inscription, souvent en raison de l'historique ou des différentes exigences des clients.

Transmission sécurisée des données

Les données entre le serveur d'e-banking et l'appareil du client sont cryptées dans les deux sens à l'aide d'une clé de 128 bits au moins. Cette technologie moderne et largement répandue garantit un niveau de sécurité élevé qui protège les données saisies et transmises contre toute manipulation.

Suivi des transactions

Si un établissement financier dispose d'un système de surveillance des transactions, les paiements transmis par le client sont soumis à un ensemble spécial de routines de contrôle avant d'être exécutés. Les virements inhabituels, par exemple les paiements à l'étranger, font l'objet d'un examen particulier avant d'être exécutés.

En outre, il est très important que les clients des banques protègent eux aussi de manière adéquate leurs ordinateurs et leur infrastructure et respectent des règles de comportement fondamentales.

Pour effectuer des opérations bancaires en ligne en toute sécurité, il faut, en plus d'une infrastructure sûre, respecter les points importants suivants lors de la connexion, pendant les opérations bancaires en ligne et également lors de la déconnexion :

En se connectant :

• Navigation sécurisée vers l'établissement financier : l'adresse de la banque en ligne de l'établissement financier devrait toujours être saisie manuellement dans la ligne d'adresse du navigateur. Il ne faut jamais utiliser un lien, surtout s'il a été envoyé par e-mail par exemple ! En outre, les services bancaires en ligne ne devraient être utilisés qu'à partir d'un ordinateur connu et sécurisé (c'est-à-dire pas dans les cybercafés, sur les ordinateurs publics des hôtels, etc.)
• Vérification de la connexion sécurisée : il faut veiller à ce que l'accès aux services bancaires en ligne se fasse exclusivement via une connexion TLS "sécurisée" et que le certificat soit authentique et valable. (cf. section "Vérification du certificat").
• Attention en cas d'interruption du système ou de messages d'erreur inhabituels : Si une interruption du système survient lors de la connexion à l'e-banking (p. ex. un écran blanc soudain) ou si des messages d'erreur inhabituels apparaissent (p. ex. "Le système est actuellement surchargé. Veuillez patienter et réessayer plus tard"), il convient de mettre fin immédiatement à la connexion et d'informer l'établissement financier.

Pendant les opérations bancaires en ligne :

Rester concentré sur le sujet : Pendant la session active d'e-banking, il faut être attentif aux événements inhabituels tels que les saisies automatiques, les transactions modifiées de manière inexplicable, les messages de confirmation non sollicités ou autres. En outre, les sessions ouvertes d'e-banking ne devraient jamais être laissées sans surveillance, afin de ne pas donner l'occasion à des tiers non légitimés de commettre un abus.

Lors de la déconnexion : 

• Terminer correctement la session de banque en ligne : la session de banque en ligne doit toujours être terminée correctement via la fonction prévue à cet effet (généralement indiquée par "Déconnexion", "Log-out" ou "Terminer").
• Effacer le cache du navigateur : Après chaque déconnexion de la session de banque en ligne, le cache du navigateur doit être effacé. Sous https://www.ebas.ch on y trouve d'autres informations pratiques et actuelles sur les mesures nécessaires et les règles de comportement pour une utilisation sûre des applications bancaires en ligne.

Examen de certificat

Lors de l'établissement d'une connexion cryptée (TLS), chaque navigateur vérifie les propriétés du certificat "Fiabilité de l'émetteur du certificat", "Validité du certificat" et "Adresse du serveur web". Si ces trois vérifications ont pu être effectuées avec succès, le navigateur n'affiche aucun message d'erreur lors de l'établissement de la connexion TLS.

Une connexion TLS correctement établie vers le bon site web, basée sur un certificat authentique et valide, peut être identifiée grâce aux trois caractéristiques uniques suivantes du navigateur :

1. icône de cadenas dans la barre d'adresse : La connexion a été cryptée avec un certificat SSL valide.
2. Nom réel de l'établissement financier (affiché soit à côté du cadenas, soit après avoir cliqué sur le cadenas sous "Délivré à :") : L'identité du propriétaire du certificat (banque) a été confirmée.
3. Nom de domaine correct dans l'adresse : Vous vous trouvez réellement sur le site de l'établissement financier.

L'authenticité du certificat à la base de la connexion peut également être vérifiée manuellement. Pour ce faire, l'empreinte digitale du certificat est vérifiée. L'empreinte digitale est une chaîne de caractères composée des lettres A à F (sans distinction entre majuscules et minuscules) et des chiffres 0 à 9. La vérification de l'empreinte digitale s'effectue en comparant cette chaîne de caractères à une chaîne de référence que l'utilisateur a reçue de l'établissement financier. Si la chaîne de caractères lue dans le certificat correspond à la chaîne de caractères reçue de l'établissement financier, le certificat est authentique.

Procédure d'inscription / moyens d'authentification

Différentes procédures et technologies de connexion sont utilisées pour se connecter aux services bancaires en ligne. La méthode standard est l'authentification à deux facteurs, qui consiste à fournir une clé d'accès unique en plus du numéro de contrat et du mot de passe (premier facteur "savoir"), généralement sur un deuxième appareil (token) ou une carte à puce (deuxième facteur "avoir").

Confirmation de la transaction / Signature de la transaction 

Pour la protection contre les paiements involontaires, on utilise souvent ce que l'on appelle la confirmation de transaction (également appelée confirmation de paiement ou signature de transaction). Dans ce contexte, certains paiements sortants doivent être vérifiés en plus par l'utilisateur avant le transfert et autorisés explicitement pour l'exécution. Le contrôle peut porter sur des éléments tels que la monnaie, le montant ainsi que des parties du numéro de compte du bénéficiaire du paiement.

Logiciel de paiement hors ligne

Un logiciel de paiement hors ligne permet de saisir les paiements sans connexion internet et de les transmettre ensuite de manière groupée à l'établissement financier dans le format standardisé ISO-20022. En outre, ces programmes offrent souvent des interfaces vers différents programmes de comptabilité et institutions financières, ce qui facilite considérablement le travail à cet égard et le rend moins sujet aux erreurs.

Mise en œuvre et contrôle

L'infrastructure utilisée pour les opérations bancaires en ligne doit être protégée de manière adéquate. (cf. chapitre 5.5 "Utilisation de clients sur le lieu de travail", Manuel de la sécurité de l'information, ISBN : 978-3-033-07646-4)

Le cercle des utilisateurs des services bancaires en ligne doit être limité autant que possible et les responsabilités doivent être clairement définies et documentées. En outre, les utilisateurs des services bancaires en ligne doivent être formés à une utilisation sécurisée. Une attention particulière devrait être accordée au processus de connexion et à l'utilisation du moyen d'authentification associé. Dans la mesure du possible, chaque utilisateur devrait disposer de son propre accès à la banque en ligne - les comptes de groupe ou les accès partagés sont à éviter.

L'introduction et l'utilisation d'un logiciel de paiement hors ligne doivent être envisagées.

Le contrôle se présente comme suit :

• Une infrastructure protégée adéquate est-elle utilisée pour les services bancaires en ligne ?
• Le cercle des utilisateurs des services bancaires en ligne est-il limité autant que possible et les responsabilités sont-elles clairement définies et documentées ?
• La procédure de connexion la plus sûre (moyen d'authentification) est-elle utilisée conformément aux exigences ?
• Les utilisateurs des services bancaires en ligne sont-ils formés et les règles de conduite pour se connecter et se déconnecter des services bancaires en ligne sont-elles appliquées de manière cohérente ?
• Les moyens d'authentification éventuellement nécessaires (jeton, carte à puce, etc.) sont-ils utilisés et conservés en toute sécurité ?
• Si proposé par l'établissement financier : La confirmation de la transaction est-elle activée ?
• L'introduction/l'utilisation d'un logiciel de paiement hors ligne a-t-elle été examinée ?

Infos sur le www

• Haute école de Lucerne, plate-forme "eBanking - mais en toute sécurité ! https://www.ebas.ch
• Autorité fédérale de surveillance des marchés financiers : https://www.finma.ch
• Normes de paiement.ch : https://www.paymentstandards.ch
• ISO 20022 : https://www.iso20022.org

Les entreprises ont tout intérêt à se protéger de manière adéquate. Le manuel de sécurité de l'information pour la pratique fournit des instructions à ce sujet (commande en ligne : www.sihb.ch). L'édition entièrement revue et mise à jour a été publiée récemment. L'article ci-dessus est tiré du chapitre "Opérations de paiement sécurisées (banque en ligne)".

Auteur

Oliver Hirschi, chargé de cours et responsable de "eBanking - en toute sécurité !", Haute école de Lucerne. Il a contribué à la création de ce service de la HSLU et dirige la plate-forme depuis plus de dix ans. Il est également propriétaire et directeur à temps partiel de SecAware GmbH. Il est également co-auteur de la 9e édition du "Informationssicherheitshandbuch für die Praxis".