(modifié le 21 novembre 2008 à 17:58)

Si vous êtes client du Crédit Agricole sachez cette information vous concerne.

Vous avez peut-être souscris à l'option permettant d'accéder à la gestion de vos comptes en ligne (payante, disponible dans certains packs), généralement ça fonctionne plutôt bien... sauf que aujourd'hui j'ai voulu me connecter et voici ce sur quoi je suis tombé :

Normal allez vous me dire ? Sauf que c'était ma première connexion et que je suis certains d'avoir entré le bon mot de passe ! Quelqu'un a donc essayé de s'identifier à ma place... ayant une machine propre (scannée régulièrement, à jour, etc) j'ai tout de suite mis hors de cause mon pc.

Quel est le problème ?

Le problème vient en fait de l'identifiant de chaque personne qui est "facilement" devinable puisqu'il est composé des 8 premiers chiffres du numéro de compte suivi de "960". Ainsi pour un numéro de compte "78182640" l'identifiant est : 78182640960.

Je ne sais pas si ce "960" est le même pour tout les clients (j'attends votre réponse via les commentaires) mais j'ai pu interroger quelques personnes de mon entourages qui me l'on confirmé. Une fois cet identifiant connu il ne reste plus qu'a faire trois tentatives de connexion avec un mot de passe au hasard pour bloquer le compte ! Ces numéros de comptes sont présents sur les rib, chèques, virements, etc...

Conséquences

Une fois un numéro de compte connu, on peut facilement générer d'autres numéros de compte en décrémentant ou incrémentant le numéro pour ensuite se connecter et ainsi bloquer des comptes clients aléatoirement. Les plus vicieux automatiseront ce procédé via un robot puisque aucun captcha n'est là pour dissocier les machines des humains. A ceux qui me diront que l'emplacement des chiffres sur la grille permettant d'entrer le mot de passe change à chaque fois, je leur répondrai qu'elle ne sert juste à outrepasser les keyloggers et autre cochonneries : un simple envoie de trame avec cURL par exemple suffirait à envoyer les données correctement.

Conclusion

J'ai contacté mon agence pour demander la réédition d'un mot de passe pour pouvoir à nouveau gérer mes comptes et j'ai touché un mot concernant ce souci de sécurité, voilà ce que l'on m'a répondu "oui mais le système a très bien fonctionné puisqu'il a bloqué l'accès à votre compte"... soit totalement à coté de la plaque.

Il existe pourtant des solutions :

  • fournir un appareil au format calculatrice qui, lorsque le client insère sa carte bancaire, fournit un identifiant valable une minute (système de crytpage), Dexia propose déja un tel système
  • créer un deuxième identifiant totalement aléatoire qui ne serait pas déduisible

J'ajouterai qu'il est totalement inadmissible en 2008 qu'un mot de passe ne comporte que des caractères numérique allant de 0 à 9 ! Le brut-force est certe impossible car le compte est automatiquement bloqué dès trois tentatives infructueuses, mais il vaudrait mieux bloquer l'adresse IP pendant une heure que le compte du client qui se voit pénaliser pour... rien. Un mot de passe comportant obligatoirement des chiffres, lettres avec deux casses différents ainsi qu'une longueur minimale de 8 caractères me semble un minimum, pas pour vous ?

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter