Légende

Faille de sécurité

Robuste Faible Cassé Obsolète

Bonnes pratiques

Sécurisé Risqué Non sécurisé
Domaine Score Protocole Chiffrement Bonne pratique
TLSv1.0 TLSv1.1 TLSv1.2 RC4 DES/3DES DHE PFS AEAD HSTS SCSV
app.n26.com
18.195.17.95 A+
52.58.55.16 A+
connect.axa.fr
171.18.34.87 C+
www.bnpparibasfortis.be
193.58.4.82 E
www.fintro.be
193.58.4.8 E
www.hellobank.fr
159.50.187.1 E
mabanque.bnpparibas
159.50.187.79 E
client.milleis.fr
80.70.43.107 E
84.14.113.235 E
espace-client-secure.banque-casino.fr
145.226.46.109 F
www.banque-laydernier.fr
193.178.154.22 F
www.bpalc.banquepopulaire.fr
91.135.183.215 F
www.ibps.mediterranee.banquepopulaire.fr
91.135.183.172 F
www.ibps.occitane.banquepopulaire.fr
91.135.183.106 F
www.ibps.rivesparis.banquepopulaire.fr
91.135.183.114 F
www.icgauth.banquepopulaire.fr
91.135.180.117 F
www.belfius.be
141.96.1.8 F
secure.bforbank.com
158.191.169.245 F
www.bpe.fr
93.20.46.164 F
www.bred.fr
91.220.246.35 F
m.ca-anjou-maine.fr
158.191.172.221 F
www.ca-paris.fr
158.191.169.62 F
www.caisse-epargne.fr
91.135.176.224 F
www.carrefour-banque.fr
45.60.13.207 F
www.cic.fr
145.226.174.166 F
www.cmb.fr
194.51.217.175 F
www.alsace-g3-enligne.credit-agricole.fr
158.191.152.61 F
www.anjou-maine-g3-enligne.credit-agricole.fr
158.191.152.101 F
www.atlantique-vendee-g3-enligne.credit-agricole.fr
158.191.152.11 F
www.campg-g3-enligne.credit-agricole.fr
158.191.152.44 F
www.ds-g3-enligne.credit-agricole.fr
158.191.152.172 F
www.illeetvilaine-g4-enligne.credit-agricole.fr
158.191.156.101 F
www.languedoc-g3-enligne.credit-agricole.fr
158.191.152.229 F
www.norddefrance-g3-enligne.credit-agricole.fr
158.191.153.74 F
www.normand-g3-enligne.credit-agricole.fr
158.191.152.141 F
www.paris-g4-enligne.credit-agricole.fr
158.191.156.93 F
www.sra-g3-enligne.credit-agricole.fr
158.191.152.180 F
www.credit-cooperatif.coop
91.135.188.183 F
www.credit-du-nord.fr
193.178.154.18 F
www.creditmutuel.fr
145.226.46.148 F
www.epalatine.fr
91.135.180.84 F
mabanque.fortuneo.fr
93.20.46.153 F
www.hsbc.fr
91.214.6.232 F
m.ingdirect.fr
145.221.219.23 F
secure.ingdirect.fr
145.221.219.21 F
voscomptesenligne.labanquepostale.fr
83.206.67.171 F
www.labanquepostale.fr
83.206.67.137 F
www.macif.fr
195.25.232.194 F
www.monabanq.com
145.226.174.228 F
www.orangebank.fr
2.18.104.13 F
particuliers.societegenerale.fr
193.178.154.153 F
espace-assure.gmf.fr
81.80.208.143 G
particuliers.secure.lcl.fr
158.191.169.222 G

Explications

TLSv1.0 est une version du protocole TLS datant de 1990 et faisant l’objet de multiples failles de sécurité (POODLE, BEAST…). Il a été déprécié le 25 juin 2018 par la norme bancaire PCI-DSS et ne devrait plus être utilisé aujourd’hui.

TLSv1.1 est une version du protocole TLS datant de 2006 et faisant l’objet de multiples failles de sécurité (POODLE, BEAST…). Il n’est plus recommandé depuis le 25 juin 2018 par la norme bancaire PCI-DSS et n’a aucune raison d’être utilisé aujourd’hui.

TLSv1.2 est une version du protocole TLS datant de 2008. Il est avec TLSv1.3 la seule version permettant de bloquer définitivement certaines failles de TLS (POODLE, BEAST…). Il est préconisé depuis le 25 juin 2018 par la norme bancaire PCI-DSS. Il devrait être le seul protocole utilisé aujourd’hui.

RC4 est un algorithme de chiffrement connu pour contenir une porte dérobée. Il est à considérer comme étant équivalent à ne pas avoir de chiffrement du tout. Il a été totalement déprécié en février 2015 et ne devrait donc plus être utilisé aujourd’hui.

3DES est un algorithme de chiffrement souffrant de la faille de sécurité SWEET32 permettant d’être cassé facilement avec peu de moyens. Il a été totalement déprécié en juillet 2018 et ne devrait donc plus être utilisé aujourd’hui.

DHE est un algorithme d’échange de clef. Il commence à montrer des signes de faiblesse en terme de sécurité et n’a aucun avantage par rapport au plus récent ECDHE, plus rapide et plus fiable. Son utilisation n’est pas un risque en soi en l’état des connaissances mais il a quand même été déprécié par les navigateurs en mai 2016. Sa présence indique toutefois un non suivi des règles de l’art en termes de sécurité.

PFS est un système de sécurité permettant de s’affranchir du risque d’une faille de type Heartbleed. Chaque session est protégée par une clef de chiffrement différente et la compromission de la clef principale ne remet pas en question la sécurité des communications passées. Le support de PFS est aujourd’hui fortement recommandé.

AEAD est une famille d’algorithmes de chiffrement robuste aux attaques de type POODLE. Son support est possible uniquement sur TLSv1.2 et devrait être aujourd’hui la seule famille d’algorithme utilisée.

HSTS est un entête HTTP permettant au site web de signaler à ses visiteurs qu’il supporte HTTPS et lui interdisant dorénavant tout communication en HTTP. Son support devrait donc être obligatoire sur tout site pouvant véhiculer des données sensibles.

SCSV est un signal transporté par TLS permettant de détecter les attaques visant à forcer les clients à utiliser un protocole faillible (TLSv1.0 ou TLSv1.1) au lieu d’un protocole sécurisé (TLSv1.2 ou supérieur). Son support devrait donc être obligatoire sur tout site pouvant véhiculer des données sensibles, et en priorité par tout site supportant du TLSv1.0 ou TLSv1.1 pour des raisons de compatibilité.