“La sécurité SSL des banques belges s’assimile à une passoire”

L’outil de cryptage SSL que les institutions financières belges utilisent pour sécuriser la communication avec leurs clients, est souvent très vulnérable. Voilà ce qu’a découvert le blogueur en sécurité belge Yeri Tiete: “Le danger existe bel et bien que des pirates accèdent à des données privées ou détournent des sessions.”

Le cryptage SSL est utilisé par des millions de sites web pour sécuriser les achats en ligne, transactions financières et envois de données personnelles. Le but est que toutes ces informations restent confidentielles durant leur transfert et ne soient pas lisibles par des tiers. Les sites web qui disposent de la protection SSL, sont reconnaissables au cadenas fermé et à https:// dans la barre d’adresse. Votre banque utilise le cryptage SSL, mais également Facebook et bien d’autres.

Le blogueur en sécurité belge Yeri Tiete a découvert, il y a quelques semaines, que la sécurité SSL laissait à désirer dans la plupart de nos institutions financières. “Nos banques mettent en oeuvre SSL incorrectement et tergiversent trop longtemps avant d’exécuter d’importants correctifs et mises à jour, ce qui fait qu’elles créent un faux sentiment de sécurité”, explique le jeune homme.

“Serait-ce par ignorance ou par paresse que les banques ne suivent pas mieux leurs problèmes de sécurité?”, se demande Tiete. “Quoi qu’il en soit, si vos connexions https:// sont vulnérables, des pirates peuvent accéder sans problème aux sessions de communication entre la banque et ses clients, mais aussi détourner des sessions et y adapter des données à leur gré. Et quand on sait que ces connexions https:// sont en fait la ‘porte d’entrée’ d’une banque, l’on peut commencer à craindre que ce qui se passe en interne est plus grave encore.”

Tiete a découvert les failles en recourant au test ‘SSL Labs’. Tout un chacun qui le souhaite, peut utiliser cet outil en ligne pour vérifier dans quelle mesure le protocole de cryptage SSL d’une organisation est bien configuré et actualisé. SSL Labs y attribue un score après un test: A+ correspond à bon, B à faible et de C à F à mauvais jusqu’à très mauvais.

“Bpost, BNP Paribas, HelloBank!, ING, Record Bank et Bank van Breda ont toutes obtenu des scores allant de mauvais à très mauvais. Même la brèche Poodle dans SSL découverte en septembre dernier n’a pas encore été colmatée dans ces banques. Poodle n’était peut-être pas du même acabit qu’Heartbleed, mais cela fait quand même désordre. Car les experts en sécurité des banques peuvent eux aussi exécuter ce genre de test SSL Labs.”

“Bpost et BNP Paribas Fortis ont certes mis de l’ordre dans leur configuration SSL ces deux dernières semaines, assurément parce qu’elles avaient lu sur mon blog ce qui se passait, et Argenta est également passée à l’action, mais chez ING (F), Recordbank (F), HelloBank! (C) et Bank van Breda (C), on en est toujours au même point. Ogone est aussi vulnérable (C). Ce n’est peut-être pas une banque, mais il s’agit néanmoins d’un acteur important da ns le trafic des paiements.”

Selon le blogueur en sécurité, nos banques hésitent souvent à actualiser leur protocole SSL, parce qu’elles veulent s’assurer que les ordinateurs qui tournent encore sur l’ancien Windows XP ou qui utilisent Internet Explorer 6, puissent continuer de faire tourner leurs applications.

“Je peux le comprendre, mais si vous devez veiller ainsi à la compatibilité, vous devenez très vulnérable. Il existe de meilleures façons d’y arriver.”

Ci-après, vous trouverez l’état des lieux après le test SSL Labs. Les banques notées A sont donc relativement sûres, alors que le SSL d’ING et de Record Bank (noté F) est troué comme une passoire…

Grade A

Rabobank (A+): no known issues. Support for HTTP Strict Transport Security and prevented downgrade attacks.

Triodos (A+): no known issues. Support for HTTP Strict Transport Security and prevented downgrade attacks.

Belfius (A-): weak signature (SHA1), no Forward Secrecy.

BNP Paribas Fortis: (A-) weak signature (SHA1), no Forward Secrecy.

bpost bank: (A-) weak signature (SHA1), no Forward Secrecy.

Grade B

Argenta: no SSL on main page.

internet banking: SSL3 (insecure), weak signature (SHA1), RC4 (insecure), no Forward Secrecy.

AXA: weak signature (SHA1), SSL3 (insecure), RC4 (insecure), no Forward Secrecy.

beobank: weak signature (SHA1), no TLS 1.2, RC4 (insecure), no Forward Secrecy.

CPH: no TLS 1.2, RC4 (insecure), no Forward Secrecy.

KBC: weak signature (SHA1), no TLS 1.2, no Forward Secrecy.

Keytrade Bank: weak signature (SHA1), RC4 (insecure).

Crelan: no SSL on main page.

internet banking: weak signature (SHA1), SSL3 (insecure), no TLS 1.2, RC4, no Forward Secrecy.

Grade C

Hello bank!: vulnerable to POODLE attack, weak signature (SHA1), RC4 (insecure).

Bank Van Breda: no SSL on main page.

internet banking: vulnerable to POODLE attack, weak signature (SHA1), no TLS 1.2, no Forward Secrecy, no support for secure renegotiation.

Ogone: payment facilitator

weak signature (SHA1), RC4, vulnerable to POODLE, no Forward Secrecy

Grade D

n/a

Grade E

n/a

Grade F

ING: vulnerable to POODLE attack, SSL3 (insecure), weak signature (SHA1), RC4 (insecure), no Forward Secrecy.

Record Bank: no SSL on main page.

internet banking: vulnerable to POODLE attack, RC4 (insecure), no Forward Sec