Choisiriez-vous une banque qui soit une passoire? Assurément pas. Mais vous confiez sans hésiter des données financières sensibles à votre PC, rassuré par le fait qu'elles transitent par un système de banque en ligne. Or, votre PC est une passoire... Les succès d'offensives de hameçonnage («phishing») ou d'infection de PC par des «chevaux de Troie» le démontrent.

Covadis et d'autres spécialistes en sécurité informatiques ont compris le danger depuis des années et développent des parades. Dans son dernier rapport, la Centrale de sécurité informatique de la Confédération (Melani) confirme que ces menaces sont sérieuses. Elles ne concernent pas que les services financiers en ligne. Le PC est omniprésent dans les services ou l'industrie et tous les domaines sont concernés par le développement de «l'usurpation d'identité».

Se faire passer pour un autre est vieux comme le monde. Mais, face à un ordinateur, nul besoin d'être un caméléon: un nom d'utilisateur et un mot de passe suffisent. Selon une enquête de Gartner Group, 15 millions d'Américains, ou 5% de la population, ont été victimes d'une fraude de ce type entre mi-2005 et mi-2006, un nombre en hausse de 50% par rapport à 2003. Le préjudice moyen a plus que doublé, passant de 1400 à 3250 dollars.

La piraterie informatique est l'œuvre de professionnels. Des kits permettant de pratiquer le «phishing» ou l'infection par chevaux de Troie à grande échelle sont disponibles sur le marché noir, tandis que les serveurs illégaux où se vendent des informations volées, numéros de cartes bancaires, listes d'adresses et autres numéros de compte utilisateur, se multiplient.

Selon une étude de PricewaterhouseCoopers, 40% d'entreprises suisses sont victimes de délits économiques, qui vont du détournement de fonds aux contrefaçons, en passant par les manipulations comptables. Les pertes peuvent se chiffrer en millions de francs. Très souvent, l'informatique est mise à contribution. La centrale Melani rappelle que les espions industriels d'aujourd'hui s'attaquent aux ordinateurs. Mais le danger vient aussi de l'intérieur de l'entreprise.

Toujours plus de sociétés doivent garantir que leurs données n'ont pas pu être falsifiées ou restent confidentielles. Que ce soit pour une installation industrielle, un logiciel financier ou un système d'archivage électronique, il est vital que les utilisateurs autorisés soient contrôlés et identifiés de manière sûre. C'est possible, mais il faut plus que des mots de passe. Car le clavier est le principal point faible du PC!

L'ordinateur personnel est un instrument extraordinaire. Pourtant, en matière de sécurité, il reste imparfait. Apparu à l'ère de la domination des grands systèmes centraux très fermés, il a été conçu dans une architecture ouverte, donc pratiquement sans sécurité. Au début, cela semblait être une excellente idée. Mais, la multiplication des PC et des moyens de communication informatique a rendu ce territoire dangereux. Virus, chevaux de Troie et autres logiciels aussi malveillants qu'efficaces ont proliféré. Et Internet rend les intrusions possibles depuis partout.

Soyons justes: progressivement, la sécurité s'est nettement améliorée. Cependant, des failles subsistent et il reste possible - moyennant des subterfuges de plus en plus sophistiqués - d'infecter un PC avec des logiciels malveillants. Une fois dans la place, un cheval de Troie peut espionner le clavier et intercepter mots de passe et codes d'accès. C'est de cette manière que les protections de plusieurs services de banque en ligne ont été mises en défaut. A l'étranger comme en Suisse.

En possession des codes d'accès, le cheval de Troie pourra détourner une connexion à un système soi-disant sécurisé pour faire, discrètement, ce pour quoi il a été conçu: en général rien de très bon. Aucun système de sécurité impliquant une saisie sur le clavier du PC ne peut être sûr à 100%, même ceux qui s'appuient sur des calculettes générant des mots de passe uniques. Certes, ces appareils sont très fiables, mais pas le clavier. C'est comme le secret le mieux gardé du monde: une fois que vous l'aurez communiqué à une commère, sous le sceau du secret évidemment, il pourrait devenir un peu moins secret...

Heureusement, une riposte est possible. L'architecture ouverte du PC permet de lui ajouter ce qui lui manque. Cela peut servir à installer une porte blindée virtuelle. C'est notamment ce que Covadis a fait pour 50000 utilisateurs d'un système de banque en ligne de BNP Paribas. Ceux-ci travaillent en toute quiétude, tandis que des clients d'autres établissements ont vu leurs comptes pillés.

Cette porte blindée, c'est un boîtier de contrôle d'accès externe, relié au PC. Ce dernier reste le terminal de communication, mais tout ce qui concerne la sécurité et la lecture des informations est gérée par le boîtier. Il s'agit d'un lecteur de cartes à puces hermétique et équipé de systèmes de cryptage propriétaires, impossible à pirater. Les mots de passe et codes confidentiels sont saisis sur ce boîtier, qui contrôle ensuite l'ensemble de la session et crypte toutes les données qui transitent entre la banque et le client. L'utilisateur ne saisit plus d'informations par le clavier et il est certain que les données lues par le boîtier sont encryptées et envoyées au bon destinataire.

Des boîtiers similaires apparaissent aujourd'hui pour le contrôle d'accès à n'importe quel PC. Ils remplacent le mot de passe par une carte à puce et un capteur d'empreintes digitales: seul un utilisateur autorisé peut s'identifier sur un ordinateur et il est impossible à un collègue malveillant de réaliser des opérations illicites depuis le poste d'un autre. Aucun système traditionnel ne peut garantir un tel niveau de sécurité.

Les empreintes digitales sont de plus en plus souvent utilisées pour contrôler l'accès à des locaux. Cependant, la colonne vertébrale d'une entreprise n'est plus constituée par ses couloirs et ses bureaux, mais par son infrastructure informatique, dont la protection mérite autant d'attentions. Mais, avant tout, rappelez-vous de ne jamais faire trop confiance au clavier d'un PC: on ne sait jamais qui peut se cacher derrière...