samedi 15 mai 2010

Comment Desjardins AccesD a rendu sa connexion plus sécuritaire


Je ne sais pas si je suis sur une liste d’imbéciles certifiés mais je reçois souvent des courriels me demandant de m’identifier sur des sites financiers. Il est facile de déceler ces tentatives d’hameçonnage quand je n’ai pas de compte dans ces institutions. Par contre, si le hasard fait que j’y ai un compte, c’est moins évident. En effet, les écrans d’authentification sont identiques à ceux de mon institution.

Pour les sites financiers, les consignes de sécurité de base sont :
  1. Votre institution financière ne va JAMAIS vous envoyer un courriel vous demandant des renseignements personnels. Effacez ces messages.
  2. Il ne faut jamais aller sur le site web de votre institution financière en suivant un lien dans un courriel ou sur un site web. C’est un jeu d’enfant de bâtir un site web fantôme.
  3. Le fait que le site soit en HTTPS ne signifie pas que vous êtes sur le bon site. Cela signifie seulement que les échanges avec le site sont chiffrés.
  4. Vous devriez toujours aller sur le site web de votre institution financière en utilisant vos « favoris » ou en écrivant soi-même le nom de domaine.
Le pourcentage de gens qui suivent ces consignes est trop faible. Pour protéger ses clients, Desjardins a mis en place un processus de connexion vraiment innovateur pour son site transactionnel Accesd.

Typiquement, une page de connexion demande d’entrer un identifiant et un mot de passe. Desjardins est sorti de ce patron et a remplacé sa page de connexion par 2 pages. La première demande seulement l’identifiant. La seconde page présente une phrase et une image qui ont été préalablement choisies par l’utilisateur. Voici un exemple de cette deuxième page :


Maintenant, il est beaucoup plus difficile de faire semblant d’être AccesD pour un hacker car chaque compte a sa deuxième page personnalisée. Ça devient alors un peu trop compliqué et il va aller chercher ses pigeons dans une autre institution financière. Bravo Desjardins!

P.S Si vous suivez le lien vers AccèsD, vous contrevenez aux consignes de sécurité ;-)

P.S. Qui connait un autre site avec connexion à 2 niveaux?

5 commentaires:

Anonyme a dit...

Salut Marc,
ING Direct a précédé Desjardins avec un processus d'identification comme celui-là. C'est une pratique qui semble assez répendue dans les banques.
Ciao

Magic a dit...

L'accès à ClicSecur (Gouv. Québec) est bâti de la même manière.

gingmar a dit...

Certaine institution financière fournisse un token avec mot de passe unique (One time password)

Marc Poulin a dit...

@François et Magic,
Merci d'avoir relevé d'autres endroits où cette technique est utilisée. Je dois dire que depuis qu'elle a été mise en place, je ne reçois plus de tentatives d'hameçonnage visant les comptes AccesD.

@gingmar,
J'aimerais bien en savoir plus sur cette technique et sur les sites qui l'ont mise en place, si possible.

Anonyme a dit...

ce type de verification est vraiment obsolète ok cela protege de l'hameçonage mais pas des keyloggers. Actuellement même les jeux en ligne (wow) ont une techno plus au point ( la même que certaines banques) , un securID qui change toutes les 30 secondes et qui est synchronisé sur le compte bancaire.

Publier un commentaire