Coding Stories

Singe savant en ingénierie logicielle

SSL Et Les Banques

| Comments

Il y a quelques jours l’expert en sécurité Troy Hunt publiait sur son blog un état des lieux de l’utilisation de SSL par les banques australiennes.

Et qu’en est-il des banques françaises ? En utilisant le service SSL Labs de Qualys, voici les résultats obtenus.

Note
SSL v3
Certificats SHA-1
TLS 1.2
RC4
Perfect Forward Secrecy
Vulnérabilité POODLE
Vulnérabilité Heartbleed
Certificat EV
Certificate Transparency
www.ibps.rivesparis.banquepopulaire.fr A
secure.ingdirect.fr A-
www.boursorama.com A- *
www.axa.fr B **
www.hellobank.com B
www.ca-paris.fr B **
www.cic.fr B
www.secure.bnpparibas.net B
www.caisse-epargne.fr B
www.monabanq.com B
www.macif.fr B
www.hsbc.fr B **
particuliers.secure.lcl.fr B
www.creditmutuel.fr B
www.fortuneo.fr C **
www.societegenerale.fr C
www.allianzbanque.fr C
www.credit-du-nord.fr C
espaceclient.groupama.fr F
www.labanquepostale.fr F
* un certificat intermédiaire utilise SHA-1
** Le certificat de l’autorité racine utilise SHA-1

Quelques remarques complémentaires :

D’abord, en faisant ce test, j’ai été surpris de découvrir que nombreuses banques ne servaient pas leur page d’accueil directement en HTTPS.

Ensuite bravo aux équipes IT de la Banque populaire, de ING Direct et de Boursorama pour leur note A.

Enfin, concernant les notes C et F, elles sont principalement dues à des serveurs vulnérables à l’attaque POODLE (sauf Groupama, vulnérable à une attaque sur la renégociation TLS). Il n’y a sans doute pas de vrai risque d’attaque car les banques disposent d’autres mécanismes de protection. Toutefois cela ne donne pas une bonne image et n’incite pas à la confiance - et moi-même étant client de la Banque Postale, je m’interroge.

Comments