Bonjour, sur la plupart des sites bancaires la saisie des données se font sur une page SSL (httpS plus cadenas).  
Sur le site du crédit agricole ( http://www.ca-cmds.fr/ ) la saisie se fait sur une page normale. Si je comprends bien les codes d'accés aux comptes sont donc transmis hors SSL ?!  
La réponse  actuelle du crédit agricole est :
Les identifiants personnels que vous avez saisis dans les deux zones prévues à cet effet, numéro et code, sont transmis sous forme cryptée  
 Ce qui m'inquiète c'est l'acheminement. Je ne comprends pas très bien comment les données saisies peuvent être cryptées ( quelle forme de cryptage ?) alors que je ne suis pas encore sous SSL.    
Avez vous une réponse ?
Cordialement

Même question

http://www3.sympatico.ca/gtopala/about_siw_pc.html
Installe ce programme et utilise la fonction secrets dans le menu tools.
S'il récupère le pass et le login du site credit agricole c'est clair que le log est pas crypté.
Je suis pas sur de cette technique. C'est un test de base pour voir.

Le formulaire envoie le pass et login vers un lien https donc probablement chiffré. Il n'y a que l'identification qui est chiffrée, ce n'est pas nécessaire pour le reste de la page
 
(https://www.cmds-enligne.credit-agricole.fr/cgi-bin/emcgi?Appl=T3SID7&ret=http://www.ca-cmds.fr/)

Idem pour http://www.lefil.com (Crédit Agricole Pyrénées Gascogne).
On est redirigé vers https://www.campg-enligne.credit-ag [...] ide1_1.htm avant l'identification, c'est donc securisé...

D'abord merci pour vos réponse.  
dd31, lorsque tu vas sur l'adresse que tu nous donne ( lefil.com) on est redirigé vers une page sécurisé pour saisir identifiant et mdp. Donc là je saisie sur une page sécurisée SSL. Là, ça me va.
 
cpdump, tu écris "Le formulaire envoie le pass et login vers un lien https ". C'est bien cela qui m'intrigue. Pendant le voyage jusqu'au serveur qu'en est-il de ma saisie mdp et numèro de cpte ? ( au passage, utiliser le N° de cpte comme identifiant me semble pas le plus judicieux).
Pourquoi ne pas faire effectuer la saisie sur une page https. Comment en fait sort le N° de cpte et le mdp de ma bécane jusqu'au serveur du crédit agricole ?
 
Je suis un peu novice, j'observe pourtant que pour toutes les saisies de données sensibles il est recommandé d'etre sur une page SLL ( httpS plus cadenas). Je ne comprends pas très bien le processus ici.

Chiffrer la page d'acceuil prend du temps et n'est pas nécessaire au niveau de la sécurité, seuls les login et mot de passe sont chiffrés par SSL lorsqu'il sont envoyés au script d'identification
 
Je suppose qu'une fois l'identification effectuée, tu passes sur une page chiffrée par SSL puisque toutes les informations affichées sont confidentielles.

Merci cpdump, je commence à comprendre. Une partie de la page est crypté.
Le problème est qu'il est impossible de le savoir. Autant l'URL en https et le logo en cadenas sont un signe probant SSL, autant leur absence laisse planer un grand doute. Sur ce site du forum hardware on peux laisser un formulaire avec un commentaire du type 'vos données sont cryptées". Oui peut-être bien que oui , peut-être bien que non.
Au final, même si les formulaire est certainement crypté , je trouve malheureux qu'un site bancaire n'utilise pas la totalité des moyens qui permettrait à l'utilisateur d'être sur d'opèrer en mode crypté. Je ne comprends ce choix dans la conception du site et le protocole de d'identification. Quel est l'intérêt ?
Je pense qu'il y a un problème de sécurité dans l'esprit.
On pourrait posait la question ainsi : si tu es en page https plus cadenas as-tu de meilleur garantie de sécurité que sur une page http normal ?
Qu'en pensez vous ?
Vous copnstruisez un accs par identification sécurisé quelle mèthode utiliseriez-vous ?
 

Concernant le ca-cmds.fr,  
quand on clique sur le cadenas à côté de la zone de de connexion, on peut lire ceci :  
 

 
et ceci aussi sur cette page  
http://www.ca-cmds.fr/Vitrine/Edit [...] curite.jsp :