Le bas de laine était un peu troué
By n on Monday 2 March 2015, 23:35 - Permalink
Hier soir, en allant faire un tour sur le site de ma banque, le plugin Calomel SSL Validation m'a reporté un score plutôt très moyen; intrigué, j'ai voulu voir ce que ça donnait en général (coïncidence ou pas, nos voisins ce sont posé la même question il y a peu) sur la plupart des banques présentes en France. Eh bien ce n'est pas folichon: si il y a une grosse moitié de "bien mais pas top", les autres sont plutôt catastrophiques (je précise que cela ne concerne que l'espace client, pas les éventuelles pages de paiement):
- Crédit Agricole: B (RC4, pas de TLS 1.2, signature faible...)
- BNP-Paribas: B (RC4, signature faible, SSL3 (!)...)
- Crédit Mutuel: B (RC4, pas de TLS 1.2, signature faible...)
- CIC: B (RC4, pas de TLS 1.2, signature faible...)
- HSBC: B (RC4, signature faible, SSL3 (!)...)
- AXA Banque: B (RC4, pas de TLS 1.2, signature faible...)
- LCL: B (RC4, pas de TLS 1.2, signature faible...)
- Groupama Banque: F (RC4, signature faible...et vulnérabilité MITM)
- Banque Populaire: F (RC4, signature faible, et surtout...vulnérabilité Poodle)
- La Banque Postale: F (RC4, signature faible, et surtout...vulnérabilité Poodle)
- Caisse d'Épargne: F (RC4, signature faible, et surtout...vulnérabilité Poodle)
- Société Générale: F (RC4, SSL3, vulnérabilités Poodle et MITM...)
Mention spéciale à la société géniale, qui non contente de se payer une liste de problèmes longue comme le bras, cumule les vulnérabilités Poodle et MITM...autant dire que j'aimerais pas avoir un compte chez eux.
Quant aux banques en lignes, on pourrais les croire irréprochables...mais pas forcément:
- ING Direct: A (signature faible)
- Boursorama Banque: A- (signature faible, pas de Forward Secrecy)
- Fortuneo: C (RC4, signature faible...plus SSL3 et vulnérabilité Poodle)
Étant chez un des mauvais éleves de la liste ci-dessus, j'ai envoyé un petit message via mon espace client (sécurisé en https, lol) pour demander quelques explications...pour l'instant pas de réponse, ormis un accusé de réception envoyé 24 heures plus tard.
Comments
quatre mois plus tard, aucune réponse ("on vous rappellera"), mais la note est passé de F à C. peut mieux faire, mais c'est déjà pas mal :)