Une étude de Netcraft tendrait à prouver que les principales banques américaines, notamment Bank of America, Wachovia, Chase et Amex, n'utilisent plus de tunnel SSL lors de l'ouverture de leurs pages de logon. Ce qui ne signifie pas que les crédences des usagers soient exposées aux sniffers de tous, non. En fait, le couple « nom-mot de passe » est crypté sur le poste client et expédié vers le serveur, en dehors de toute sécurisation du lien http. Le tunnel n'est ouvert qu'une fois la crédence acceptée.

La raison de cet abandon ? Le temps de réponse, expliquent les responsables informatiques des banques. SSL ralenti le trafic, et il est impossible d'assurer un service conforme aux exigences de rapidité du client et compatible avec un niveau minimum de sécurité. Preuves à l'appui, cette statistique montrant un fléchissement des certificats Tawte et RSA (mais une remontée de Geotrust et VeriSign)

D'un point de vue strictement technique, aucun spécialiste n'y trouvera à redire : un bon cryptage « maison » vaut bien un SSL. Pis encore, il est préférable à un SSL sécurisant un mot de passe indigent unique et un logon name que l'on ne peut modifier. Ensuite, ajoutent les banquiers, le https qui caractérise les liaisons sécurisées n'est pas au goût de tous. Le commun des mortels ne connaît la plupart du temps que les quatre lettres « http », généralement ajoutées automatiquement par le navigateur. Toucher à cette partie cryptique de l'adresse fait peur à la plupart des cyber-surfers.

Pourtant, précise l'analyse de Netcraft, cette suppression risque fort de perturber le client. En effet, des années durant, les professionnels de la transaction en ligne ont insisté sur l'importance du « petit cadenas fermé situé en bas de l'écran, seule garantie d'une communication inviolable ». Et sans SSL, point de « cadenas fermé ». Ce revirement d'attitude est d'autant plus fâcheux qu'en jouant avec des « frames » sécurisés associés à des non-sécurisés, les spécialistes du phishing parviennent même à faire apparaître des certificats sur des « logon pages » aussi fausses qu'une promesse électorale. Alors, qui croire ?

Une fois de plus, les RSSI sont victimes d'une « guerre des services ». Jusqu'à présent, les Directions Générales opposaient aux demandes de moyen des « hommes sécu », des arguments invoquant le R.O.I.. Jusqu'à ce que cette même Direction Générale reconnaisse que, même sans la moindre perte financière, une attaque informatique pouvait gravement entacher l'image de marque de l'entreprise. Cette fois, c'est au tour des Webmestres et des impératifs marketing de venir battre en brèche l'incessant travail des équipes de sécurité. Un travail essentiellement constitué de messages, de « bonnes paroles », de mantras, d'instillation de réflexes conditionnés. La suppression brutale de SSL risque peut-être d'entamer une fois le plus le peu de confiance qui reste envers la banque « en ligne ». Elle réduit certainement à néant des années d'effort d'éducation et d'incitation aux bonnes pratiques.

Vos commentaires

. Web-profils.com, la place de marché du conseil et de l'ingénierie