Salut guys! J’aimerai partager avec vous une observation d’ordre technique sur les pages web d’accueil des sept grandes banques canadiennes, j’ai utilisé le Mozilla HTTP Observatory, une référence en standards de sécurité,
Desjardins est le plus sécuritaire de tous! mais ne vous réjouissez pas trop vite, tous sans exception sont vulnérable au Cross-site scripting (XSS) et certains au Clickjacking une bonne pratique est de ne pas vous connecter à votre banque via un Wifi public
Les banques ont des systèmes différents pour leur front/back end alors ces test ne donnent qu’une partie de l’histoire.
Pour ce qui est du Cross Scripting, ce genre d’attaque est assez évident puisque la personne doit encoder son script dans l’url.
Donc si tu accèdes toi-même directement au site de Desjardins, même en passant par Google, il n’y a aucun danger.
Ceci étant dit, si quelqu’un se fait passer pour Desjardins et t’envoie un courriel possédant un lien dont l’ancre est caché, ça peut potentiellement être problématique.
Il faut aussi dire que les vulnérabilités XSS ne sont pas nécessairement présentes sur toutes les pages de l’application. Il peut s’agir d’une seule page qui possèdes un formulaire de contact mal validé pour que le « test de sécurité » dise que le site n’est pas sécuritaire.
Les vulnérabilités les plus importantes sur un site web ne sont jamais visibles à partir de ces test.
Non seulement ça, mais l’élément le plus problématique dans la sécurité de toute entreprise est l’élément humain.
Pour donner un exemple concret, une stratégie utilisé en pénétration informatique est simplement de laisser trainer une clef usb dans le lobby ou la cafétéria du bureau.
Un employé va éventuellement la mettre dans son ordinateur, tout content de s’être fait une clef gratuite.
Aujourd’hui, Windows est moins vulnérable à ce genre d’attaque, mais dans le temps c’était possible de mettre une backdoor dans l’ordinateur des gens de cette façon.
Sur OSX, ça se fait encore. Il ne suffit que de faire en sorte que ta clef USB soit reconnu comme un clavier d’ordinateur pour que le script soit exécuté automatiquement.
(Ils ont un black friday pour les intéressés )
Et que dire du « social engineering » où on se fait passer pour quelqu’un qu’on est pas au téléphone dans l’objectif de faire cliquer la personne quelque part sur son ordinateur.
Et il y a l’usage de claviers sans fils au travail… Possible d’installer un chargeur de téléphone cellulaire qui est en fait un sniffer bluetooth!
Bref, si on s’intéresse à la sécurité des données, le site web est bien souvent le moindre des soucis!
Pour tout ceux freak de sécurité, allez voir ce laptop!
J’embarque forcément puisque c’est le corps de métier de mon entreprise!
@Olivier_Lambert a pas mal fait le tour de la question. Apprendre quels sont les pièges est la meilleure solution puisque c’est le social engineering le plus gros danger actuellement; les courriels d’hameçonnage sont devenus particulièrement réalistes et donc dangereux.
Je rajouterai l’importance d’utiliser l’authentification à deux facteurs qui peut vraiment vous protéger si une fois vous donnez vos identifiants sur un mauvais site web
Intéressant le laptop de Snowden. On peut voir que la sécurité est un enjeu critique. Je suis presque sûr que le CA de Desjardins et d’Equifax sont d’accord!
une bonne pratique est de ne pas vous connecter à votre banque via un Wifi public 
)