Internet

Ubuntu peut-il sauver la banque en ligne ?

 

Robert L. Mitchell

Ce billet est la traduction libre d’un article écrit par Robert L. Mitchell sur Computerword Blogs

 

Jay McLaughlin

Jay McLaughlin, responsable de la sécurité et de la stratégie informatique de La CNL Bank a tenu il y a quelques temps des propos inquiétants pour les habitués des transactions bancaires en ligne en affirmant qu’il n’était pas prudent d’utiliser son ordinateur habituel pour ce type d’opérations.

La banque d’Orlando en Floride préfèrerait en effet que l’intégralité de ses clients entreprises et particuliers utilise soit un ordinateur dédié, soit un CD bootable équipé d’Ubuntu et de Firefox pour accéder à ses services en ligne.

Reconnaissant que la plupart des consommateurs n’envisage pas d’acheter un ordinateur supplémentaire ne servant qu’à accéder aux services bancaires en ligne, CNL envisage sérieusement de mettre à la disposition de ses clients un « live CD » Ubuntu dans ses agences et/ou par courrier. Ce CD permettrait de démarrer son ordinateur sous Ubuntu avec Firefox configuré pour accéder directement au site Web de la CNL afin d’éviter tout risque de vol des identifiants des clients par un virus infectant leur machine principale.

L’avantage de cette solution est que comme le système d’exploitation est sur CD, un virus ne peut en aucun cas s’y greffer et le fait d’éjecter le CD après la connexion à la banque efface toute trace de la visite sur l’ordinateur utilisé et tout risque d’infection virale puisque rien ne peut s’enregistrer sur ce CD affirme McLaughlin.

McLaughlin est également persuadé que les suites de sécurité ne sont plus assez efficaces pour lutter contre la cyber-criminalité organisée, notamment contre la filière Russe et que si actuellement ce sont principalement les utilisateurs professionnels qui sont visés, les particuliers sont à leur tour de plus en plus pris pour cible, d’où la nécessité d’utiliser Firefox avec le plug-in Noscript afin d’empêcher l’exécution de tout code JavaScript sans autorisation de l’utilisateur.

Si le Federal Deposit Insurance Corporation, l’American Bankers Association et le Federal Financial Institutions Examination Council font le même type de recommandations à leurs clients professionnels, McLaughlin insiste sur le fait de les étendre aux consommateurs particuliers.

 

Raimund Genes

Raimund Genes, responsable chez Trend Micro, fournisseur de logiciels de sécurité qualifie lui même les mesures de sécurités actuelles de « plaisanterie » puisqu’il suffit pour se connecter aux services de banque en ligne de renseigner le nom d’utilisateur, le mot de passe et éventuellement de répondre à une question d’ordre personnel, ce qu’un logiciel malveillant de « keylogging » (enregistreur de frappe clavier) peut parfaitement enregistrer à l’insu du consommateur. Pour lui, utiliser son ordinateur habituel pour accéder à sa banque ne peut se faire qu’à condition de mettre en place le système de la double authentification comme cela se pratique en Europe où certaines banques  utilisent un numéro d’authentification de transaction : un code d’authentification est envoyé à l’utilisateur «hors ligne»  par SMS sur un téléphone mobile. L’utilisateur saisit ensuite le code dans le navigateur Web pour effectuer une transaction en ligne*. Ce code change à chaque fois que l’utilisateur fait une nouvelle demande. Une autre alternative pourrait être la carte à puce « Sauf que, je ne ferais pas de banque en ligne du tout  et, si vraiment je dois le faire,  ce sera en utilisant un navigateur isolé et en démarrant  un système Linux à partir d’un clé USB » dit Raimund Genes.

CNL Banque propose actuellement la double authentification uniquement lors de la création du mot de passe du compte (ou en cas de réinitialisation de celui-ci). Le code d’authentification peut être transmis via SMS, en utilisant un standard automatique qui appelle un numéro de téléphone que le client a mis en place à l’avance (« L’option d’envoi par e-mail ne devra plus être proposée car elle reste moins sécurisée » affirme McLaughlin).

McLaughlin souhaite étendre cette double authentification à chaque connexion pour les utilisateurs particuliers voire à chaque transaction pour les clients commerciaux pratiquant régulièrement des opérations à « haut risque ».

 

John Pescatore

John Pescatore, analyste chez Gartner Inc. recommande d’utiliser un système sûr installé sur un support de type USB bootable comme U3 ou MojoPack mais les banques préfèrent s’orienter vers la solution Live CD Ubuntu car le support est largement moins cher qu’une clé USB. Mais la contrainte de devoir utiliser un support en plus de l’ordinateur reste un frein au développement de ces solutions de sécurilté car « les gens détestent ça » nous dit John.

D’autres solutions restent envisageables comme par exemple le partitionnement de l’ordinateur avec une partition dédiée exclusivement aux opérations bancaires bien que cela paraisse difficile à mettre en place par l’utilisateur moyen ou comme l’installation d’un système d’exploitation sur une machine virtuelle qui toutefois, signale McLaughlin n’est pas intégralement isolée du système d’exploitation principal.

Mais si différentes pistes sont envisagées, tous sont unanimes sur un point : « accéder aux  les services bancaires en ligne avec la machine que vous utilisez quotidiennement pour surfer sur Internet et consulter vos e-mail n’est pas une bonne idée« .

McLaughlin pense donc que la meilleure alternative est actuellement l’utilisation du Live CD Ubuntu et suggère, quelle que soit votre banque de commander ce CD sur le site d’Ubuntu (ou de télécharger l’image iso et de la graver si vous ne souhaitez pas attendre) afin de réaliser vos opérations de banque en ligne par ce biais dès aujourd’hui.

Le fait de redémarrer son PC à l’aide du CD peut effectivement paraitre rébarbatif mais n’est au final qu’une petite contrainte par rapport au désagréments que causerait le vol de vos identifiants bancaires. L’autre avantage de cette solution est de permettre aux Windowsiens de découvrir une nouvelle distribution et, qui sait, de l’adopter.

* En France, si vous souhaitez créer en ligne un nouveau compte destinataire afin d’effectuer un virement, la Société Générale vous enverra hors ligne par le biais d’un SMS sur un téléphone défini au préalable un code d’authentification de transaction unique et non réutilisable. De plus, le champs « mot de passe » a été remplacé par un applet permettant de ne pas le taper sur le clavier mais de cliquer sur la bonne combinaison de touche mais, ne peut-on imaginer un virus réalisant un screencast (enregistrement vidéo) de votre écran ?

Bonnes transactions sécurisées…

 

Top Blogs Wikio Logiciels Libres de Mars 2010

Comme chaque mois, Wikio nous propose son classement Top Blogs Wikio catégorie Logiciels Libres.

Wikio a pour habitude de proposer à l’auteur d’un des sites de la catégorie de présenter en avant première ce classement et m’a invité à publier ce dernier.

Avant de vous délivrer cette liste, je me suis permis de recopier sur le site Wikio les explications suivantes :

« Comment est fait ce classement ?

La position d’un blog dans le classement Wikio dépend du nombre et de la valeur des liens qui pointent vers lui. Notre algorithme accorde une plus grande valeur aux liens qui proviennent des blogs en haut du classement.

Pour éviter des manipulations indésirables, un lien provenant d’un même blog n’est compté qu’une fois par mois. Les liens perdent de l’importance avec le temps et si un blog lie toujours le même blog, la force de ce lien décline petit à petit.

Il faut également savoir que seuls les liens postés dans les flux RSS sont comptabilisés et que les blogolistes (ou blogrolls) ne sont pas prises en compte.

Le Top des Blogs propose aussi une liste de classements thématiques qui s’étoffe régulièrement : High-tech, Gastronomie, Littérature, Politique, Sport… »

Ce rappel étant fait, nous pouvons maintenant passer au classement des 20 premiers sites du mois de Mars 2010 :

  1. Framablog
  2. Tux-planet
  3. Philippe SCOFFONI
  4. Toolinux
  5. Le blog de NicoLargo
  6. Communauté Nagios Francophone
  7. L’admin sous Linux
  8. ®om’s blog
  9. Phollow.me
  10. WebDevOnlinux
  11. OpenSYD
  12. Le blog d’Olivier FAURAX
  13. Linux et Compagnie !
  14. Mandrivafr
  15. Industrialisation des développements PHP
  16. System-Linux
  17. Ubuntu et Clapico
  18. Le Blog de SckyzO
  19. Le Weblog de Frederic Bezies
  20. Le blog de Mandriva

En attendant la publication d’ici la fin de la semaine chez Wikio…

Bonne Lecture

Nouveau, Ubuntu Single Sign On : un identifiant unique de connexion

Canonical vient de lancer Ubuntu Single Sign On afin de fournir un identifiant unique et commun à tous les sites liés à Ubuntu pour rendre plus pratique l’accès à l’information, la communication et les contributions (sic.).

Ce nouveau service remplace le service actuel de connexion Launchpad dont il reprend les comptes.

Dans les mois qui viennent, tous les sites liés à Ubuntu et à Canonical bénéficieront de ce nouveau service qui devrait également s’étendre aux sites communautaires.

Dans un premier temps, Launchpad permettra aux utilisateurs de se connecter avec un compte Ubuntu avant de supprimer ce partage; il est donc fortement recommandé de se connecter à Ubuntu Single Sign On afin de ne pas perdre l’historique des sites concernés. Cet historique apparaitra dès votre première connexion comme ci-dessous :

Ce nouveau service Canonical s’appuie sur Open ID mais ne sera effectif qu’une fois la migration vers Ubuntu Single Sign On effectuée. Vous pourrez donc par la suite vous connecter à tout site utilisant Open ID.

Canonical envisage également d’y développer de nouvelles fonctionnalités mais ne précise pas lesquelles.

Ce service ne sera pas un service « Open Source » bien qu’il soit construit et hébergé sur des technologies qui le sont (Python, Django, apache et postgres entre autres).

Sources : Webupd8 & Canonical

Clear History : effacez votre Historique Firefox à l’aide d’un raccourci clavier

Jusqu’à présent, si vous souhaitiez effacer votre historique Firefox, deux choix s’offraient à vous :

  • Soit ouvrir l’historique et nettoyer les pages une par une

  • Soit appuyer sur CTRL + MAJ + SUPPR afin d’ouvrir une fenêtre de suppression d’historique

J’ai découvert sur « How-to Geek » une sympathique extension permettant d’effacer tout l’historique à l’aide d’un simple raccourci clavier (pratique si vous êtes plusieurs à utiliser le même navigateur avec un profil unique). Il suffit d’installer Clear History (version expérimentale).Ceci étant fait, lorque vous cliquez sur « Historique dans la barre de tache de Firefox, vous voyez apparaître une nouvelle ligne : « Clear History » ainsi que son raccourci clavier.

La touche META correspond à la touche « SUPER », il ne vous reste plus qu’à appuyer simultanément sur SUPER + ALT + C et votre historique est nettoyé.

Amusez-vous bien

Installez IceCat 3.6 (l’équivalent entièrement libre de Firefox) sur Ubuntu 9.10

IceCat (ex IceWeasel) est une version GPL de Mozilla Firefox qui a la particularité de ne pas utiliser les parties non libres de Firefox. Pour plus de renseignements sur cette application, je vous conseille la documentation d’Ubuntu.fr.

Ce navigateur libre vient à son tour de sortir en version 3.6 et voici comment l’installer dans Karmic Koala.

Avant d’aller plus loin, sachez que le module de traduction permettant de l’utiliser en Français n’est, au moment où j’écris ce billet pas encore disponible (À vérifier régulièrement sur http://gnuzilla.gnu.org/download/langpacks/).

Ouvrez un terminal et copiez les lignes suivantes :

sudo add-apt-repository ppa:gnuzilla-team/ppapuissudo apt-get update && sudo apt-get install icecat

Vous n’avez plus qu’à aller dans Applications => Internet => Navigateur Web IceCat.

Amusez-vous bien.

Source : Linux Hub

Blog en pause

pause

Traducteur

    Translate to:

Archives

Tout ouvrir | Tout fermer

Réseaux Sociaux

 

L’April