Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Aurélien Cabezon (SecurityVibes)
Published on Wednesday 7 February 2007
0 comment(s) | Subnetwork France

Depuis le mois de juin 2005, les clients chez Bank of America désirant consulter leurs comptes en ligne doivent également sélectionner une image (un chien ou une pièce d'échec par exemple) à chaque fois qu'ils se connectent et avant de saisir leur mot de passe. Si leur image personnelle n'apparaît pas, ils sont quasiment sûrs qu'ils sont face à une tentative d'arnaque de type hameçonnage (ou phishing) et ne doivent en aucun cas entrer le fameux sésame.

Selon les chercheurs américains de l'Université de Harward et du MIT ( Massachusetts Institute of Technology ) qui ont mené une étude sur les protections additionnelles, celle-ci, apparue en 2004 et appelée image d'authentification, s'avère inefficace. En effet, au mois d'octobre dernier, les chercheurs ont demandé à 67 clients d'effectuer des opérations en ligne de base, comme consulter le solde de leur compte, sauf qu'ils avaient secrètement enlevé les images. Tenez-vous bien, sur les 60 participants, 58 se sont identifiés malgré cela et seuls 2 ont refusé évoquant des questions de sécurité.

Stuart Schechter, un expert informatique du MIT, déplore : « Les images d'authentification accroissent la sécurité en partant du principe que les clients ne vont pas entrer leurs mots de passe s'ils ne voient pas l'image correcte. Selon l'étude, nous apprenons que le principe est vrai dans moins de 10 % des cas. Si une banque m'avait demandé s'ils devaient déployer cela, j'aurais dit non, et espéré quelque chose de mieux. »

Ce système bénéficie de l'appui de plusieurs poids lourds du monde de la finance qui essaient de se conformer aux nouvelles régulations de la banque en ligne. En 2005, le FFIEC (Federal Financial Institutions Examination Council), un organisme associé aux régulateurs bancaires, a décidé que les mots de passe ne suffisaient plus et qu'en janvier 2007 toutes les banques devraient se conformer à ces nouvelles exigences de sécurité.

Bref, il semble que la meilleure sécurité dans ce cadre soit la vigilance des internautes ou de véritables systèmes à authentification forte !