Pour consulter nos comptes en ligne, les banques proposent souvent un clavier virtuel lors de l’étape d’identification. S’il s’agit d’un dispositif indéniable de sécurité, le clavier virtuel connaît aussi ses limites. Quelles sont-elles ?
Lorsqu’on souhaite se connecter à son espace bancaire sur Internet, la première étape consiste à s’authentifier, à l’aide d’un identifiant (code à chiffres, numéro de compte), puis d’un mot de passe. Celui ci peut prendre la forme d’un mot de passe traditionnel, ou, pour de nombreuses banques, d’une suite de chiffres, sur lesquels il faut cliquer à l’écran : c’est le clavier virtuel.
Claviers virtuels, le b.a.-ba de la sécurité
Un clavier virtuel est un panneau contenant en général 12, 16 ou 25 cases, dans lesquelles sont placés des chiffres : l’utilisateur doit cliquer dessus dans le bon ordre pour former son mot de passe. L’intérêt du clavier virtuel est qu’il ne présente jamais les chiffres de la même façon : il modifie automatiquement et aléatoirement l’emplacement des chiffres à chaque connexion.
Pourquoi cette précaution ? Tout simplement pour tromper certains logiciels malveillants, appelés keyloggers, dont le but est d’enregistrer et de transmettre à des pirates les frappes au clavier et les boutons sur lesquels l’utilisateur a cliqué : les boutons virtuels des banques en ligne échappent au fonctionnement normal des keyloggers classiques.
Des extensions à l’assaut des claviers virtuels
Malheureusement, les claviers virtuels ne sont plus à même de proposer une sécurité inviolable : certaines extensions malicieuses, installées sur un navigateur web (ex : Firefox, Chrome), sont capables de comprendre les mots de passe saisis sur un clavier virtuel.
Pour cela, ces plugins malveillants enregistrent d’abord une capture d’écran de la page Internet sur laquelle est proposée un clavier virtuel, puis dans un second temps les coordonnées (X et Y, numéros de cases, etc.) des zones sur lesquelles l’utilisateur aura cliqué. Ces précieuses informations sont ensuite envoyées automatiquement (et discrètement) sur des serveurs informatiques gérés par des cybercriminels, qui possèdent alors des identifiants bancaires valides, qu’ils peuvent utiliser pour effectuer des virements illégitimes par exemple.
Voici d’ailleurs une parfaite illustration d’un tel détournement, proposé par la société Seraum, sur l’espace en ligne BNP Paribas :
Comment de protéger de ces keyloggers spécialisés ?
Les keyloggers capables de comprendre la saisie sur un clavier virtuel doivent nécessairement être intégrés au navigateur web pour fonctionner correctement. C’est la raison pour laquelle ils prennent la forme d’extensions (plugins), qui sont généralement installées volontairement par l’utilisateur. D’où ces quelques précautions utiles :
- Toujours installer des extensions depuis les plateformes officielles (Chrome, Firefox) pour minimiser les risques.
- Préférer les extensions populaires et reconnues.
- Ne pas multiplier le nombre d’extensions sur son navigateur, d’autant qu’elles peuvent parfois générer des dysfonctionnements.
- Désactiver et désinstaller régulièrement les extensions qui ne vous sont plus utiles.
Vous pouvez aussi réserver l’utilisation d’un navigateur spécifique – et dépourvu d’extensions – uniquement pour la consultation de vos comptes en ligne.
Côté banque en ligne, vous pouvez modifier régulièrement ce mot de passe à chiffres, ou accepter la double authentification (envoi d’un code de confirmation par SMS) si cette option est proposée par votre établissement bancaire.
L’existence des keyloggers capables de déchiffrer les claviers virtuels n’est pas nouvelle, mais une petite piqure de rappel ne fait jamais de mal !
Source : korben.info
[…] Pour consulter nos comptes en ligne, les banques proposent souvent un clavier virtuel lors de l'étape d'identification. S'il s'agit d'un dispositif indéniable de sécurité, le clavier virtuel connaît aussi ses limites. Quelles sont-elles ?Lorsqu'on souhaite se connecter à son espace bancaire sur Internet, la première étape consiste à s'authentifier, à l'aide d'un identifiant (code à chiffres, numéro de compte), puis d'un mot de passe. Celui ci peut prendre la forme d'un mot de passe traditionnel, ou, pour de nombreuses banques, d'une suite de chiffres, sur lesquels il faut cliquer à l'écran : c'est le clavier virtuel. […]