Contact de ma banque au sujet de Heartbleed

Note : 
Pas encore de vote

Introduction

Suite à l’affaire Heartbleed qui a fait un séisme de magnitude 15 sur l’échelle de Richter dans le monde de l’informatique mais un pet de mouche en dehors, j’ai contacté ma banque afin de savoir si mes futures communications sur leur site courent un risque d’être interceptées par l’exploitation de Heartbleed.

Mon mail

Madame, Monsieur,

Étant actuellement client dans votre banque, je rencontre un problème de sécurité afin de me connecter avec mon identifiant et mon mot de passe dans l’objectif de visualiser mes comptes en lignes.

En effet, le lundi 7 avril dernier, une faille de sécurité majeure a été découverte dans un logiciel permettant d’assurer les liaisons chiffrées entre mon ordinateur et vos serveurs (couramment appelée la connexion HTTPS). La faille, appelée Heartbleed (http://heartbleed.com), permet à une personne tierce d’avoir facilement accès à toutes les communications théoriquement chiffrées transitant entre un ordinateur et un serveur. Les données accessibles sont donc les identifiants, les mots de passe, les discussions ou toutes autres informations sensibles.
Il n’est pas la peine de préciser que cette faille à des conséquences énormes sur la sécurité d’accès à mon compte en banque en ligne.
Pour information, cette faille a été très rapidement corrigée par la communauté compétente en sécurité informatique mais a tout de même rendu des millions de sites web vulnérables et potentiellement piratés pendant plusieurs heures voire plusieurs jours.
La démarche à suivre dans le cas où un serveur est vulnérable est d'installer le correctif de la faille mais aussi de renouveler les clés privées de chiffrement afin d’assurer de nouveau une communication totalement sécurisée entre mon ordinateur et vos serveurs.
Selon ce site Internet, http://filippo.io/Heartbleed/#www.societegenerale.fr, la faille de sécurité n’est plus exploitable sur votre serveur ce qui est déjà rassurant.
Cependant, rien ne me certifie qu'il n’a pas été vulnérable pendant un court instant, ce qui entraîne irrémédiablement une perte totale de confiance de ma part en la présumée communication chiffrée entre mon ordinateur et votre serveur.
Je vous informe donc que je ne peux désormais plus me connecter sur mon compte en banque tant que je n’aurai pas la certitude que ma communication est parfaitement sécurisée et sûre en me basant sur des arguments viables et preuves convaincantes de votre part.

En vous remerciant par avance de l’intérêt que vous porterez à mon message que je considère d’importance capitale afin d'assurer la confiance que nous pouvons porter à notre banque, et dans l’attente d’une réponse de votre part, je vous prie d’agréer, Monsieur, Madame, l’expression de mes respectueuses salutations.

La réponse

Bonjour.

Merci pour votre message.

Nos serveurs transactionnels ne sont pas - et n’ont jamais été - vulnérables à la faille OpenSSL CVE-2014-0160 révélée le lundi 8 avril dernier. Sans vouloir entrer dans des détails techniques, les versions d’OpenSSL utilisées sur ces serveurs ne sont pas des versions "standard" mais des versions compilées avec des options spécifiques. Ainsi, elles n'ont jamais implémenté la fonctionnalité "heartbeat" à l’origine de cette vulnérabilité.

Bien cordialement.

Ma seconde réponse

Bonsoir et merci pour cette réponse aussi rapide.

Bien que je me doutais un peu que vous n’étiez pas concernés par Heartbleed je me devais par souci de sécurité d'en avoir le cœur net.

Ceci dit, je déplore tout de même le manque total de communication de la banque vers les clients de l’existence d'une telle faille, même si vous n’étiez pas concernés.
Je déplore d’ailleurs le manque total d’information dans les médias de cette faille touchant l’ensemble des internautes de tous les pays…
Étant moi même touché par cette affaire vu que j'ai eu à mettre à jour ma version d’OpenSSL et renouveler mes certificats le lendemain-même, je trouve ça dommage que cette information soit restée dans le milieu Informatique connaissant les risques.

Étant présent sur plusieurs salons de discussion d’associations et de logiciels/distributions libres, je les ai invité à contacter à leur tour leur banque afin d'avoir des explications de leur part.

Peut-être que cela fera réagir les banques (ou autres services web) à communiquer à l’ensemble des internautes sur cette faille et ses conséquences.

Cordialement.

En conclusion

Pour faire face à cette totale absence de communication, j’invite donc l’ensemble de mes lecteurs à contacter à leur tour leur banque et même les différents sites qu'ils utilisent à travers du HTTPS afin d'avoir une explication de leur part sur le sujet. Faites passer le mot, Heartbleed ne DOIT pas rester que dans le milieu des geeks et des informaticiens.

Catégorie: 

Ajouter un commentaire

S'abonner à Comments for "Contact de ma banque au sujet de Heartbleed"