Secure Science publie une brève étude consacrée à l’efficacité des claviers virtuels. La technologie est utilisée par les banques en ligne pour empêcher l’interception des mots de passe par un code malicieux qui aurait déjà infecté l’ordinateur. Bilan de la réflexion : ils ne serviraient à rien face aux parasites actuels, qui interceptent l’information lors de sa transmission au formulaire et non durant la saisie.

L’idée est pourtant séduisante : plutôt que d’entrer le mot de passe au clavier, où il pourra être facilement intercepté par un code malicieux, il suffit de cliquer avec la souris sur des touches virtuelles présentées à l’écran. Et pour plus de sécurité, ces dernières sont affichées dans un ordre aléatoire à chaque nouvelle connexion. Le principe est de plus en plus adopté par les banques qui offrent un accès en ligne à leurs clients.

Oui mais voilà : selon la société Secure Science , les banques se tromperaient de menace. Car cette technique, si elle protège bien des keyloggers (interception de la frappe au clavier), ne fait rien ensuite pour empêcher le code malicieux d’intercepter les données lorsqu’elles sont transmises au formulaire. Et c’est justement la technique utilisée par les codes malicieux populaires aujourd’hui (dont l’incontournable Haxdoor et une poignée d’autres souvent conçus pour la fraude bancaire).

Le problème ici vient du fait qu’une fois collectée par le module de clavier virtuel, l’information doit, de toute manière, être passée au site de la banque. Et selon Secure Science, cela se fait via une simple requête de formulaire POST et elle serait alors interceptable. Y compris, bien entendu, si la connexion est sécurisée par un tunnel SSL (le fameux « petit cadenas »), car les codes malicieux, installés au plus près du système, ont accès au contenu avant que le navigateur ne le chiffre pour l’envoyer au site.

Un clavier virtuel sur un site bancaire. Source : Secure Science Corporation

La présentation de Secure Science est cependant un peu rapide et demande à être approfondie. Mais elle a le mérite de poser la question. Les équipes sécurité des banques qui mettent en oeuvre cette technologie vont probablement devoir s’y pencher sérieusement.

La solution pourrait être à rechercher du côté du serveur : il faudrait que les touches ne soient identifiées sur le client que par un code aléatoire généré à chaque connexion. A ce dernier correspondrait sur le serveur la valeur affichée à l’écran. La correspondance se ferait alors sur le serveur lui-même.

Mais les banques pourraient aussi, tout simplement, se décider à investir un peu pour sécuriser correctement (lisez : par une solution d’authentification forte) les accès distants de leurs clients. Certaines le font déjà, à l’étranger. En France cependant la culture de l’économie ne s’y prête guère. Même pour nos nouvelles cartes bancaires EMV, la France à choisi la version bas de gamme du processeur. Alors pour des claviers virtuels…

Bref, ce n’est pas gagné. Personnellement, je préfère encore ma banquière derrière son guichet, son sourire en prime.