HTTPS et banques françaises
Petit tour de l'implémentation de SSL/TLS sur l'espace client web des principales banques en France.
La société Qualys propose un très bon outil pour tester si la configuration SSL d'un serveur est bonne, en donnant une jolie petite note à la fin. Les sites considérés comme ayant un SSL correctement sécurisé sont ceux obtenant une des notes: A+, A, A-.
Résultats
BNP Paribas
- Note : B
- Site : www.secure.bnpparibas.net
- Clef : RSA 2048 bits
- Remarques :
- Le certificat a une signature faible.
- Le cipher RC4 est autorisé (cipher trop faible).
- Pas de Forward Secrecy.
Note : j'avais testé le site en février et à ce moment là il avait obtenu la magnifique note de F… je ne me souviens plus quelle en était la raison, mais quitte à améliorer leur configuration ils auraient pu viser une meilleure note.
Boursorama
- Note : A-
- Site : www.boursorama.com
- Clef : RSA 2048 bits
- Remarques :
- Au moins un des certificats intermédiaires a une signature faible.
- Pas de Forward Secrecy.
- TLS_FALLBACK_SCSV non supporté.
CIC
- Note : B
- Site : www.cic.fr
- Clef : RSA 2048 bits
- Remarques :
- TLS1.1 et TLS1.2 non supportés.
- Le cipher RC4 est autorisé (cipher trop faible).
- Pas de Forward Secrecy avec Internet Explorer.
Crédit Mutuel
- Note : B
- Site : www.creditmutuel.fr
- Clef : RSA 2048 bits
- Remarques :
- Le certificat a une signature faible.
- TLS1.1 et TLS1.2 non supportés.
- Le cipher RC4 est autorisé (cipher trop faible).
- Pas de Forward Secrecy avec Internet Explorer.
Fortunéo
- Note : C
- Site : www.fortuneo.fr
- Clef : RSA 2048 bits
- Remarques :
- Vulnérable à l'attaque POODLE !!!
- Au moins un des certificats intermédiaires a une signature faible.
- TLS1.1 et TLS1.2 non supportés.
- Le cipher RC4 est autorisé (cipher trop faible).
- Faible support de Forward Secrecy.
ING
- Note : A
- Site : secure.ingdirect.fr
- Clef : RSA 2048 bits
- Remarques :
- Le certificat a une signature faible.
Notes : Je l'avais testé en février, il avait obtenu B, maintenant il a A. Enfin une banque qui a l'air de faire attention à la sécurité de son infrastructure. Leur certificat expire début juillet, j'imagine qu'ils vont profiter du renouvellement pour régler le problème de la signature.
La Banque Postale
- Note : F
- Site : www.labanquepostale.fr
- Clef : RSA 2048 bits
- Remarques :
- Vulnérable à l'attaque POODLE sur tous les protocoles utilisés !!!
- Le certificat a une signature faible.
- Le cipher RC4 est autorisé (cipher trop faible).
- Pas de Forward Secrecy.
- TLS_FALLBACK_SCSV non supporté.
Note : à ne pas utiliser quoi…
LCL
- Note : B
- Site : e.secure.lcl.fr
- Clef : RSA 2048 bits
- Remarques :
- Le certificat a une signature faible.
- TLS1.1 et TLS1.2 non supportés.
- Le cipher RC4 est autorisé (cipher trop faible).
- Faible support de Forward Secrecy.
Monabanq
- Note : B
- Site : www.monabanq.com
- Clef : RSA 2048 bits
- Remarques :
- Le certificat a une signature faible.
- TLS1.1 et TLS1.2 non supportés.
- Le cipher RC4 est autorisé (cipher trop faible).
- Pas de Forward Secrecy avec Internet Explorer.
Société Générale
- Note : C
- Site : particuliers.societegenerale.fr
- Clef : RSA 2048 bits
- Remarques :
- Vulnérable à l'attaque POODLE !!!
- Le certificat a une signature faible.
- TLS1.1 et TLS1.2 non supportés.
- Le cipher RC4 est autorisé (cipher trop faible).
- Pas de Forward Secrecy.
Note : J'avais testé ce site en février et j'avais eu le message "The owner of this site requested that we do not test it", en gros la Société Générale voulait dissimuler des informations publiques… c'est une mauvaise pratique de sécurité et peut-être une volonté de cacher des informations qui ne font pas plaisir (auquel cas c'est en plus une mauvaise pratique de management, la bonne solution serait de faire le nécessaire pour s'améliorer). Avec cette note on est fixé.
Remarques communes
- Pas de HSTS. Les sites des banques doivent être en HTTPS uniquement, aucune page/ressource ne devrait être accessible en HTTP, et pourtant pas un seul site n'utilise HSTS. ING aurait pu avoir A+ en rajoutant la simple ligne nécessaire pour mettre HSTS.
- Pas de HPKP.
- Pas de DNSSEC.
Conclusion
Rappelons une règle de sécurité simple : ne vous connectez pas au site de votre banque et n'utilisez pas "l'app" de votre banque depuis un réseau auquel vous ne faites pas confiance (Wi-Fi public, Wi-Fi non/mal sécurisé, connexion d'hôtel…), à moins de passer par un VPN correctement sécurisé.
Et enfin, il est triste de voir qu'un simple blog, comme le mien, puisse avoir une meilleure note à ce test (A+) que n'importe quel site de grande banque.
Les banques nous ont habitué à avoir une approche de la sécurité très personnelle… ça ne change pas.
Notes :
- Un site avec une notation rapide des principaux sites webs : HTTPSWatch
- Un équivalent open source de Qualys SSL test: SSL Decoder
Qualys à mis à jour son système de notation, j'en profite pour refaire un tour des différentes banques :