• L'entreprise Patco Construction Co. a déposé plainte contre la banque Ocean devant les tribunaux américains. Le spécialiste de la construction reproche à la banque de ne pas avoir mis en oeuvre des mesures de sécurité adéquates afin de protéger ses comptes. Patco Construction a en effet été victime d'un vol atteignant un montant de plus de USD 500'000. Les virements ont été opérés depuis le site internet de la banque et se sont étalés sur huit jours.

  • Patco Constructions reproche à la banque les faits suivants : en premier lieu, la banque n'a pas mis en oeuvre une authentification forte en lieu et place d'un système de questions à réponses limitées pour toute opération supérieure à USD 1'000. Dans la mesure où l'entreprise effectue majoritairement des opérations supérieures à ce montant, une intrusion dans des ordinateurs de Patco Constructions aurait permis à des pirates d'intercepter une grande partie des réponses aux questions posées et de pouvoir y répondre à leur tour lors des transactions frauduleuses.

  • En second lieu, la banque n'a pas mis en oeuvre des mesures adéquates de détection d'intrusion. Patco Constructions reproche en effet à la banque de ne pas avoir remarqué que des transactions étaient effectuées pour la première fois à partir d'un réseau qui n'était pas celui de Patco Constructions (adresse IP).

  • Contrairement aux particuliers, bénéficiant d'un délai de réflexion de plusieurs jours pour contester d'éventuelles transactions frauduleuses sur leurs comptes, il est courant aux Etats-Unis de soumettre les entreprises à un délai maximal de 24 heures avant que la transaction soit réputée acceptée par les deux parties.

  • Ce cas possède de nombreux éléments intéressants pour devenir un cas d'école dans le domaine de la sécurité informatique bancaire. En premier lieu, la banque pourrait être jugée responsable de ne pas avoir mis en place une authentification réputée " forte " pour ses clients. Cette pratique, reposant essentiellement sur un secret ne pouvant ni être anticipé ni réutilisé (les calculettes e-banking sont typiquement ce genre d'authentification) est couramment appliquée par les banques suisses, même pour les clients particuliers. Elle ne l'est en revanche pas dans d'autres pays tels que la France ou les Etats-Unis.

  • Le second élément est le reproche qui est fait à la banque concernant les mesures de détection d'intrusion. Au même titre que les mesures préventives (mesures censées empêcher l'incident), la bonne pratique de sécurité veut que l'établissement mette également en oeuvre des mesures de détection (mesures censées détecter la survenance d'un incident). L'exécution d'une transaction à partir d'une source (adresse IP) membre d'un réseau qui n'avait jamais été utilisé auparavant était un signal fort d'une tentative frauduleuse.

Invitation à contributions:
  • Connaissez-vous des banques suisses ne fournissant pas encore l'authentification forte à leurs clients pour accéder à leur e-banking?
  • Savez-vous si votre banque vous demande une authentification supplémentaire en cas de transactions d'un montant plus élevé que la normale?