Smartphones et transferts bancaires ne font pas bon ménage

Les téléphones dits intelligents ne le sont pas tant que ça lorsqu'ils sont confrontés à des problèmes de sécurité. La prudence élémentaire suggère donc de ne pas effectuer de transactions bancaires avec ces appareils vulnérables aux virus. Deux étudiants de la Haute école spécialisée de Berne ont testé concrètement les systèmes utilisés pour sécuriser les échanges et en particulier le protocole mTAN (mobile transaction number) adopté par de nombreuses banques (notamment Crédit Suisse, Raiffeisen, Coop et plusieurs banques cantonales). Le verdict de Simon Klaus et Danijel Brei est sans appel: quelque soit la technologie employée, les transactions sont risquées.

Un seul canal

La procédure d’identification mTAN se fait en trois étapes. Après avoir entré son identifiant et son mot de passe, le client reçoit par SMS un code qu’il doit à nouveau saisir pour confirmer son identité. Lorsque la transaction est effectuée avec un ordinateur, les données transitent par deux canaux différents: l’ordinateur et le téléphone. Alors que dans le cas d’un smartphone, toutes les données sont contenues dans un seul et même appareil. Or, les deux étudiants ont démontré qu’il était relativement aisé de pirater un smartphone afin de recueillir en une seule fois les données d’identification et le texte du SMS, à l’insu de la banque et du client.

Rappelons toutefois que le vol de données bancaires, certes plus compliqué sur un ordinateur (protégé par un bon antivirus), n’est pas pour autant exclu (lire «Des paiements en toute quiétude» TCF 11/2012 »). Selon une autre étude, les systèmes utilisant un lecteur de carte ou une clé USB lors de la procédure d’identification, renforcent considérablement la sécurité de la transaction. Mais de telles solutions n’existent pas pour les smartphones.

Philippe Chevalier/Mirjam Fonti