Ma banque (mais d'autres le font ou vont faire aussi parait-il) vient de m'envoyer ca :
http://par.societegenerale.fr/EIP/resources/production/clavier_virt(...)
En gros, un clavier virtuel à la place de taper son code au clavier.
Super.
Mais :
- Comment on fait si on n'a pas de souris? (ca arrive ce genre de chose... Certes, c'est rare, mais le web n'impose pas en prerequi un souris)
- Ca va me faire chier au plus haut point : trouver le pavé, puis trouvé le numero, hum...
- Surtout ca ne sert strictement à rien : les troyens auront juste à modifier leur facon de faire, plutot que d'avoir un keylogger ce sera un mouse-logger avec capture d'ecran (10*10 pixels) au moment du clic de souris. Un peu plus compliqué, mais pas trop.
Conclusion : Sécurité identique à avant, pas de changement.
Journal Comment les banques font croire à la sécurité
30
juin
2005
# Le pire...
Posté par Zenitram (site web personnel) . Évalué à 10.
C'est énérvant cette vision de la sécurité que peut avoir certaines entreprise, et c'est pire que ce soti des banques.
# pas d'enregistrement de mot de passe
Posté par Julien Duponchelle (site web personnel) . Évalué à 10.
[^] # Re: pas d'enregistrement de mot de passe
Posté par Black Fox . Évalué à 8.
[^] # Re: pas d'enregistrement de mot de passe
Posté par Jean Canazzi . Évalué à 2.
[^] # Corrigez moi si je fais une erreur
Posté par _seb_ . Évalué à 6.
Je vais sans dire quelque chose d'assez bête, mais le navigateur fait comment pour sauvegarder le mot de passe saisi dans le formulaire. Il doit savoir que l'on est sur telle URL, repère le nom des champs et rempli automatiquement le champ avec les données sauvegardée. Non ?
Dans ce cas, pourquoi le nom de champ pour saisir le mot de passe est il identique à chaque fois ? N'est t il pas possible de nommer le champ différemment à chaque fois ?
La technique employé par la SG permet effectivement de ne pas enregistrer le mot de passe, mais à quel prix ? Quid des mal-voyants, de ceux qui ne possèdent pas de souris... Je ne parle pas non plus de la compatibilité des naviguateurs pour faire fonctionner le javascript du pavé virtuel, de la charge supplémentaire du serveur web etc.
* Sécurité apportée:
Le mot de passe, bien que la connexion soit SSL, transit sans modification. Il n'y a aucun hashage du mot de passe avant envois(1).
Le pseudo pavé pour saisir son code est fait comment ? Chaque clic sur un bouton du pavé rempli un champ de formulaire invisible ?
La cinématique d'authentification du client n'est donc pas changé. Il n'y a pas plus de sécurité sur leur système en tant que tel.
Ce n'est pas parce qu'en apparence cela parrait plus sécurisé que ça l'est forcément. C'est plus vendeur/marketeur mais techniquement ça n'apporte pas beaucoup de chose.
1- Cela demande un traitement du style javascript, c'est vrai. Mais il y a déjà des tas de scripts javascript nécessaires pour l'utilisation du site web de la SG.
[^] # Re: Corrigez moi si je fais une erreur
Posté par ruz revr . Évalué à 3.
* Enregistrement du mot de passe:
Je vais sans dire quelque chose d'assez bête, mais le navigateur fait comment pour sauvegarder le mot de passe saisi dans le formulaire. Il doit savoir que l'on est sur telle URL, repère le nom des champs et rempli automatiquement le champ avec les données sauvegardée. Non ?
Oui, c'est bien comme cela que les navigateurs fonctionnent. On peut aussi noter que Firefox/Mozilla/Netscape ne sauvegarde que le hostname et pas l'URL complête de la page.
Dans ce cas, pourquoi le nom de champ pour saisir le mot de passe est il identique à chaque fois ? N'est t il pas possible de nommer le champ différemment à chaque fois ?
Ca pourrait être une solution mais il y a plus simple : un attribut qui demande au navigateur de ne pas sauvegarder le mot de passe :
http://whatwg.org/specs/web-forms/current-work/#the-autocomplete(...)
Comme toute solution basée sur le comportement du navigateur, ça reste contournable...
[^] # Re: pas d'enregistrement de mot de passe
Posté par icyfemur . Évalué à 4.
Ce que je trouve débile, c'est que c'est super pour taper le mot de passe en toute discrétion avec quelqu'un dans son dos... c'est le principe des petites "*" normalement...
Enfin, je prefere encore cette solution à 2 balles, que celle du Crédit Mutuelle avec le carte de correspondances de codes qu'il faut avoir toujours sur soi...
[^] # Re: pas d'enregistrement de mot de passe
Posté par Éric (site web personnel) . Évalué à 2.
# Pas si con que ça quand même
Posté par Pinaraf . Évalué à 5.
D'accord, ça marche pas en pratique, mais l'idée n'est pas si mauvaise.
Ils pourraient faire plus tordu, genre mettre des images difficiles à lire au lieu des boutons.
Mais derrière ça, y'a du code Javascript je suppose ? Il peut donc être intercepté lui aussi non ? (avec une faille du navigateur par exemple, ou un virus qui attaque IE)
Que faire pour vraiment augmenter la sécurité ? Leur idée ne marche pas (et est inaccessible aux handicapés par exemple). Le système habituel est dangereux aussi.
[^] # Re: Pas si con que ça quand même
Posté par Damien Metzler . Évalué à 7.
Pour ma banque, j'ai un code de 6 chiffres que je mets dans un formulaire. Ca a beau être du ssl, j'avoue que je trouve ça assez maigre.
Là, il trouvent une solution dont ils peuvent à tout moment changer l'algorithme et du coup rendre l'interception du mot de passe plus difficile à des ver/virus. C'est quand même un peu plus sécurisé que le mot de passe intercepté par une keylogger.
Zenitram rale surtout à mon avis parce que la solution ne lui plait pas au niveau ergonomie et trouve des excuses pour dire que c'est de la merde. Comme il est dit plus haut, ça évite au moins que le mot de passe puisse être sauvegardé et ça c'est déjà bien !
[^] # Re: Pas si con que ça quand même
Posté par Zenitram (site web personnel) . Évalué à 5.
Merci de ne pas penser à ma place.
Pour :
- l'ergonomie : clair, ca va la pourrir.
- Changement possible d'algorithme : pardon? un exemple s'il te plait. a partir du moment ou le programme capture l'image du numero sur lequel tu clique, c'est le principe entier qui tombe, pas l'algorithme de la SG...
De plus, celui qui met son code dans uen sauvegarde (par le navigateur) sait ce qu'il fait, il a dit "oui" a une question du type "voulez-vous sauvegarder votre code". Faudra bientot mettre une barrire a toutes les falaises du monde car les gens ne vont pas voir qu'il y a le vide derriere si on continue comme ca...
[^] # Re: Pas si con que ça quand même
Posté par Damien Metzler . Évalué à 2.
En gros, la manière dont sont affichés les chiffres est décidée au niveau du serveur : tu peux changer l'algo quand tu veux. De même, tu peux imaginer que le JS qui est censé générer le mot de passe le fasse pas de manière simple (genre j'appuie sur 1 ça écrit 1) mais à base d'un algo choisi.
Si on prend un algo simple du style : quand j'appuie sur 1 ça écrit 2 dans le champs hidden, 2 donne 3 etc..., tu peux faire en sorte que le serveur génère un alogorithme JS propre à la session (un coup 2 donne 4, 3 donne 6 etc...) Il n'y a que le serveur qui le connait et qui saura le décoder. Alors ok, après les algos de cryptage ont des signatures et tu peux facilement trouver de quel algo il s'agit...
Je persiste en disant que la sécurité absolue n'existe pas. Le but du jeu est de rendre un problème plus complexe que ce que les gens qui cherchent à le cracker sont prêts à mettre en oeuvre.
Quant au gars qui appuye sur Yes, je ne suis pas sur qu'il sait tout le temps ce qu'il fait. Il faudrait peut être arrêter de croire que tout le monde maitrise l'utilisation de son ordinateur et connaisse tous les tenants et aboutissants de chaque action.
[^] # Re: Pas si con que ça quand même
Posté par Zenitram (site web personnel) . Évalué à 3.
La c'est un argument qui tue : je ne vois pas du tout comment je pourrai contourner ce systeme, donc il est pas mal... J'espere qu'ils y ont pensé.
Reste mon confort, mais ca c'est pas grave du tout.
(reste aussi qu'il vaut mieux etre dans un endroit calme sans personne, car l'ecran est visible de partout...)
[^] # Re: Pas si con que ça quand même
Posté par polux14 . Évalué à 4.
A moins de changer de code a chaque fois, mais dans ce cas, tout ces trucs ne servent a rien.
[^] # Re: Pas si con que ça quand même
Posté par Anonyme . Évalué à 3.
Tous leurs ecrans d'ordinateur ou de distributeur sont polarisé, si tu n'est pas en face de l'ecran tu ne vois rien.
bon si tu es chez toi ou dans un cyber café, cela ne sert a rien. avec ton code a 4 chiffre pour accéder a ton compte tu as 3 lettre(que tu ne peux pas choisir c'est imposé). Une cession s'ouvre en te demandant de taper ton code a 4 chiffre, rien d'extraordinaire. par contre ensuite s'affiche une liste de 5 élément contenant chacun 3 à 4 caractère dans un ordre aléatoire. genre:
1: jert
2:azpm
3:xvhl
4:zerlp
il faut taper alors le chiffre contenant la premiere lettre de tes 3 lettre, puis la liste est regénéré:
1:qsdf
2:mlpze
3:etc..
il faut taper le chiffre contenant la 2 eme lettre et ainsi de suite jusqu'a la 3 eme. Bref je le veux pour chez moi et ma banque
[^] # Re: Pas si con que ça quand même
Posté par pshunter . Évalué à 7.
Notre gouvernement sait bien gérer ce genre de cas. Bientôt, tous les éditeurs de navigateur web seront forcés d'inclure dans les boîtes de mémorisation de mots de passe un encart à gros bords noirs sur fond blanc où il serait inscrit des messages divers comme "mémoriser vos mots de passe nuit à votre sécurité" ;)
[^] # Re: Pas si con que ça quand même
Posté par Colin Leroy (site web personnel) . Évalué à 3.
Le risque est réduit par le fait que l'accès est bloqué au bout de trois tentatives erronées, cependant.
[^] # Re: Pas si con que ça quand même
Posté par Black Myst . Évalué à 10.
A oui, c'est vrai, tout le monde s'en fou des non-voyants...
[^] # Re: Pas si con que ça quand même
Posté par kowalsky . Évalué à 3.
ça se trouve ya une autre page...
[^] # Re: Pas si con que ça quand même
Posté par Éric (site web personnel) . Évalué à 2.
[^] # Re: Pas si con que ça quand même
Posté par kowalsky . Évalué à 5.
mais je sais qu'il est utilisé pour savoir si le site sera ou non
accessible pour les mal voyant de façon optimal.
Donc c'etait pour voir se que ça aurait donné...
C'est quoi un "beau MSIE"...? J'en connais que des laids...!
[^] # Re: Pas si con que ça quand même
Posté par Éric (site web personnel) . Évalué à 2.
En même temps quand tu es aveugle la beauté doit être parfois un peu relative ;)
[^] # Re: Pas si con que ça quand même
Posté par gc (site web personnel) . Évalué à 4.
Les banques en Suisse sont nettement en avance par rapport aux banques en France à ce propos.
Niveau 1 : la banque t'envoie un petit papier contenant une série de 50 nombres à 6 chiffres. Quand tu te logges, tu dois entrer username, mot de passe, et le n-ième nombre de la série, qui n'est utilisé qu'une fois. C'est une protection efficace contre les keyloggers.
Niveau 2 (UBS par exemple) : la banque t'envoie une carte à puce avec un petit lecteur de carte. Quand tu te logges, tu dois entrer username, mot de passer, le site te répond pas un challenge, que tu rentres sur le clavier du lecteur de carte avec un code secret, le lecteur de carte t'affiche la réponse au challenge et tu le rentres sur l'interface web. Efficace contre les keylogger et le vol du papier contenant la série de nombres (en fait je ne sais pas exactement pourquoi c'est considéré si mieux que le niveau 1).
[^] # Re: Pas si con que ça quand même
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
"La première sécurité est la liberté"
[^] # Re: Pas si con que ça quand même
Posté par Yusei (Mastodon) . Évalué à 4.
[^] # Re: Pas si con que ça quand même
Posté par Juke (site web personnel) . Évalué à 3.
L'interet de pouvoir consulter/operer ses compte sur internet c'est de pouvoir le faire de n'importe où.
Si tu dois te trimbaler un appareil en plus (je ne connais pas la taille, ni l'autonomie) c'est un peu pénible.
Les fois ou je me suis servi de mes comptes sur internet c'etait justement à des moment où ce n'etait pas prevu.
[^] # Re: Pas si con que ça quand même
Posté par fork_bomb . Évalué à 4.
Et si tu consulte tes comptes de n'importe où, c'est une raison de plus pour utiliser ce système, comme tu ne pourras pas avoir confiance dans les ordinateurs que tu utilises.
[^] # Re: Pas si con que ça quand même
Posté par Krunch (site web personnel) . Évalué à 2.
http://www.sims.berkeley.edu/~rachna/dejavu/(...)
http://www.realuser.com/(...)
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# .
Posté par M . Évalué à 10.
Surtout qu'avant tu pouvais taper lz mdp rapidement, maintenant le temps de trouver ou se trouve les touches (dont les position change a chaque fois), bonne chance pour aller rapidement...
[^] # Re: .
Posté par Yannick P. . Évalué à 3.
[^] # Re: .
Posté par geh . Évalué à 1.
# Un petit mieux...
Posté par lolop (site web personnel) . Évalué à 4.
La solution de ta banque permet d'éviter que ce genre de chose n'intercepte ton mot de passe/code secret. Donc, si, c'est un plus au niveau sécurité, même si ce n'est pas la panacée comme tu l'indiques.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Un petit mieux...
Posté par Juke (site web personnel) . Évalué à 5.
[^] # Re: Un petit mieux...
Posté par Moule Atarte (site web personnel) . Évalué à 5.
Mouais ... enfin si tu es assez tordu pour avoir mis en place des keyloggers hardware dans ton cyber café, rien ne t''empêche d'avoir aussi monté un "phreaking de van Eck"[1] dans les cloisons derrière les moniteurs, pour chopper les émission RF du lien UC/Moniteur et reproduire l'affichage d'une station ... et ainsi espionner la disposition du clavier ainsi que les déplacements de la souris.
Tout ça pour dire que consulter ses comptes ou toute info un poil confidentielle dans un lieu public/environnement non sécurisé est une connerie en soi, si on le fait faut pas se plaindre du résultat.
[1]pour plus d'info : notre chère wikipedia : http://en.wikipedia.org/wiki/Emission_security(...) ou bien : http://whatis.techtarget.com/definition/0,289893,sid9_gci550525,00.(...)
[^] # Re: Un petit mieux...
Posté par Jul (site web personnel) . Évalué à 3.
Faut quand même être con pour faire des choses qui mérite de la confidentialité dans un cyber café. Toute personne sensée part du principe que les machines dans les cyber cafés vérolées et bourrées de keylogger. Il me semble prudent d'éviter d'utiliser ces machines.
C'est un peu comme récupérer ses courriers en POP3 en wifi aux rmlls, suicidaire.
[^] # Re: Un petit mieux...
Posté par briaeros007 . Évalué à 4.
C'est vrai faut vraiment etre con pour laisser netbios/netsend disponible sur le ternet et ensuite s'etonner de recevoir des popups ...
Mettez vous un poil a la place des gens , la plupart considere que le pc est une grosse boiboite plus ou moins magique.
Tu leurs dirais qu'il faut des mana et pas de l'electricité pour marcher , limite si ca les etonneraient pas .
Ps je trouve l'initiative de la SG completement grotesque.
[^] # Re: Un petit mieux...
Posté par Jul (site web personnel) . Évalué à 2.
Celui qui est prêt à renoncer à un peu de liberté pour sa sécurité ne mérite ni l'un ni l'autre.
[^] # Re: Un petit mieux...
Posté par tinodeleste . Évalué à 2.
# Anedocte
Posté par Fabien Engels . Évalué à 10.
La proposition ... faire la demande via mail ...
Faudrait peut etre dire aux personnels que n'importe qui peut envoyer un mail a la place de quelqu'un tant que ce mail n'est pas signé ... on ne peut etre sure de l'identité de l'expediteur ...
[^] # Re: Anedocte
Posté par dawar (site web personnel) . Évalué à 3.
[^] # Re: Anedocte
Posté par Guillaume D. . Évalué à 3.
2 RIBs : le mien (ma boite) + un de mes fournisseur,
Un classeur à pochette plastifiée, avec en premiere page un KBis
moi : Bonjour, ce serait pour faire un virement interbanquaire
banque : Bonjour.
moi : voici le RIB debiteur et le crediteur.
banque : Merci ..... d'accord, quel montant ?
moi : 4325,34 et comme motif : commande C1234
banque : un instant ...
banque : Voila signez ici et la .
moi : C'est tout ?
banque : Oui, une autre opération ?
moi : Non, au revoir ...
j'ai meme pas ouvert le classeur !
la personne ne me connaissait pas!
Je me dis que si quelqu'un de mal intensionné me pique un RIB ....
Alors apres, le SSL les mots de passes qui changent et tout ... ca sert pas a grand chose.
A+
[^] # Re: Anedocte
Posté par TImaniac (site web personnel) . Évalué à 5.
Le plus genânt en fait c'est si tu te fais piquer ton code secret : celui-ci fait office de signature, et tu es bien dans la merde si quelqu'un l'utilise avec ta carte bleue : tu ne peux rien prouver.
# C'est pour eviter les keyloggers
Posté par chl (site web personnel) . Évalué à 4.
- Surtout ca ne sert strictement à rien : les troyens auront juste à modifier leur facon de faire, plutot que d'avoir un keylogger ce sera un mouse-logger avec capture d'ecran (10*10 pixels) au moment du clic de souris. Un peu plus compliqué, mais pas trop.
Il me semble que la disposition du clavier virtuel ne sera jamais la meme. Donc effectivement un mouse logguer sera possible, mais il faudra faire un screenshot de TOUT l'ecran, ou detecter l'endroit de la fenetre (qui fera plus de 10*10 pixels, arrete d'exagerer).
Au lieu de raler tu devrais etre content qu'une banque fasse quelque chose de plus POUR ta securité que rien du tout et ferme les yeux comme beaucoup d'autres banques.
[^] # Re: C'est pour eviter les keyloggers
Posté par Caeies . Évalué à 7.
Caeies
[^] # Re: C'est pour eviter les keyloggers
Posté par inico (site web personnel) . Évalué à 6.
Sinon le troyen fera une vidéo de ce qui se passe à l'ecran.
[^] # Re: C'est pour eviter les keyloggers
Posté par hugo (site web personnel) . Évalué à 5.
POur en revenir à cette technique, il semble qu'il est oublié l'interet des * lorqu'on tape un mot de passe...du coup, ce sera encore plus simple à une personne regardant par dessus ton épaule de connaitre ton code, en gros, pour eux, le danger le plus important vient du net et plus directement de son environnement du "monde réel", et pourtant, si sensible
[^] # Re: C'est pour eviter les keyloggers
Posté par Florent MANENS . Évalué à 9.
Ils pourraient mettre des * à la place des chiffres sur le pavé numérique, ça éviterait à quelqu'un de malveillant de pouvoir les lire .....
/me | []
[^] # Re: C'est pour eviter les keyloggers
Posté par fork_bomb . Évalué à 3.
Pour te faire plaisir, disons 30x30. Ca revient au même. Ce que la société générale fait, c'est juste une illusion de sécurité, c'est pire que pas de sécurité.
Et pour un truc qui marche vraiment, regarde chez UBS. Quand tu te connectes sur leur site, ils te donnent un code aléatoire. Tu l'entre dans une sorte de calculette qui lit une carte à puce. Ensuite tu rentre le code que la calculette te rend et tu le rentre sur le site.
Là, un trojan ne pourra rien faire, puisqu'il aura un code qui ne sert qu'une fois.
[^] # Re: C'est pour eviter les keyloggers
Posté par Boa Treize (site web personnel) . Évalué à 2.
Bon, c'est plutôt théorique, mais ce n'est pas impossible et aucune technologie d'identification n'en viendra à bout. Ce qu'il faut, c'est que les banques se mettent à détecter les utilisations extra-ordinaires des comptes, et demandent confirmation aux clients dans ces cas là (un p'tit coup de fil poli, et hop).
[^] # Re: C'est pour eviter les keyloggers
Posté par Ptignome . Évalué à 0.
Il suffit d'avoir, comme toute banque qui se respecte, un certificat signé.
Ensuite, https:// et personne ne keyloggue, personne n'intercepte.
[^] # Re: C'est pour eviter les keyloggers
Posté par Black Fox . Évalué à 2.
[^] # Re: C'est pour eviter les keyloggers
Posté par briaeros007 . Évalué à 3.
[^] # Re: C'est pour eviter les keyloggers
Posté par Black Fox . Évalué à 3.
Pour fonctionner avec du https tout en appliquant du flitrage dessus les firewalls se placent en man in the middle et utilisent entre eux et l'utilisateur un certificat à eux (Et entre eux et le site distant le certificat du site distant).
Si les routeurs peuvent le faire sans que l'utilisateur ne puisse déceler celà (Ca nécessite un controle du PC, mais c'est la même limitation qu'un keylogger) je ne vois pas ce qui empèche un auteur de virus de le faire, et toute la jolie sécuritée tombe à l'eau.
[^] # Re: C'est pour eviter les keyloggers
Posté par ナイコ (site web personnel) . Évalué à 2.
C'est une technique ou chaque mot de passe est issue d'un hash du suivant (C'est une suite précalculée)... Je n'en sais pas beacoup plus, mais un article de MISC explique cela très bien : http://www.miscmag.com/articles/index.php3?page=1500(...)
[^] # Re: C'est pour eviter les keyloggers
Posté par pshunter . Évalué à 2.
[^] # Re: C'est pour eviter les keyloggers
Posté par Yusei (Mastodon) . Évalué à 4.
Le one time pad, c'est un système où tu as un "mot de passe" (clé) aussi long que le message à transmettre, et qui change à chaque fois. La clé est utilisée pour masquer le message, et comme elle est aussi longue que le message, il n'y a aucune répétition d'information qui donnerait un point d'appui pour craquer le code.
[^] # Re: C'est pour eviter les keyloggers
Posté par ndesmoul . Évalué à 1.
Le mot de passe n'est pas forcément à usage unique mais seulement limité dans le temps (quelques minutes). Cela nécessite une synchro temporelle entre le serveur et l'OTP.
# chez CIC..
Posté par . Takhi . Évalué à 2.
l'utilisation du service fonctionne toujours par login/password
(pour tout ce qui est consultation)
mais les opérations critiques ( virements, creation de virements permanents...) necessitent en plus de fournir un des codes de la carte ( qui doit etre "activée" la premiere fois qu'on l'utilise)
Cela implique juste d'avoir la carte en sus.
[^] # Chez la Postbank
Posté par Sylvain Briole (site web personnel) . Évalué à 4.
- pour la consultation des comptes : le traditionnel login/password
- pour effectuer une manoeuvre (virement, ...) : une feuille de papier envoyée séparément par courrier, avec des codes à barrer à chaque utilisation, dans l'ordre
[^] # Re: Chez la Postbank
Posté par Black Fox . Évalué à 1.
[^] # Re: Chez la Postbank
Posté par kesako . Évalué à 2.
on peut faire des virement en https grace a un login/passwd mais seulement a des comptes que l'on aura precedement fait enregistrer en envoyant un papier signé par la poste.
on doit couvrir 95% des besoins avec une poignee de comptes.
[^] # Re: Chez la Postbank
Posté par Sylvain Briole (site web personnel) . Évalué à 2.
Ben, cela dépend de la facon dont tu utilises ton compte : personnellement, tous mes achats sur le Net se font au travers de virements (c'est rare que les vendeurs acceptent autre chose), sans compter l'eau, l'électricité, le téléphone, le loyer, ..., et chaque fois envoyer un papier me dérangerait....
C'est nouveau ce truc à la Soc' Gen'? Du temps où je me servais de leur truc Logitelnet régulièrement, on pouvait rentrer les coordonnées des comptes directement dans leur interface web.
[^] # Re: Chez la Postbank
Posté par Black Fox . Évalué à 2.
Pour les achats sur le net je n'utilise que la carte bleu donc c'est vrai que ça ne me pose pas de problèmes...
[^] # Re: Chez la Postbank
Posté par Calim' Héros (site web personnel) . Évalué à 2.
[^] # Re: Chez la SG
Posté par syntaxerror . Évalué à 1.
[^] # Re: Chez la Postbank
Posté par Éric (site web personnel) . Évalué à 2.
Oui, et ce n'est pas si vieux.
La première fois que j'ai du appelé j'ai demandé pourquoi. On m'a répondu "on a eu une faille de sécurité mais on espère que ce sera résolu bientot". Et c'est toujours ainsi (ça ne devrait pas changer). Alors je ne veux pas jouer la parano mais .... vu la réponse qu'on m'avait faite je doute que ce soit vraiment une procédure volontaire de leur part.
Et .. au téléphone on me demande mon nom, mon adresse, et mon code vocalia, le truc qui est sur un relevé sur deux. En gros il suffit de fouiller ma boite au lettres au début du mois pour avoir accès à tout. Sécurisé ? vraiment ? je préfère un bon vieux code secret vraiment secret.
[^] # Re: En allemagne en général
Posté par ham . Évalué à 2.
ca s'appel des TAN et c#est un secret partagé entre ta banque et toi:
une suite aléatoire de nombre.
Pour info ca peut etre aussi utiliser pour le home-banking:
toute le banque peuvent fournir un service de home banquing standardisé par l'état allemand, ca utilise diverse mhode, dont les TAN je crois, des cartes a puces , ... etc
Les standard ouvert c'est bien,
en plus long:
C'est le genre de chose qu'il serait bien de promouvoir en france en particulier et en europe en général:
un standard ouvert (negocié avec les partenaires industriels, boite de logiciel, élus, associations,....) pour un service:
- opération banquaire a distance (pour les particulier et les entreprises)
- déclaration de douane
- déclaration d'impot
-> publier les standard accessible pour tous, sans royalties,
-> publier une suite de tests automatique pour tester la conformité
-> avoir des service pour certifier que l'implémentation est bonne (utile pour les déclaration d'impot)
-> imposer l'utilisation de ces protocol/standard pour l'interaction avec l'état.
concurence, posibilité d'utiliser ca dans les logiciel libres, ... etc
que du bon.
c'est faisable, suffit juste de le vouloir.
[^] # Re: chez CIC..
Posté par Laurent Go . Évalué à 1.
A noter aussi que le site du Crédit Mutuel désactive par defaut la complétion automatique du mot de passe et qu'ils ont une page consacrée à la sécurité bien faite à l'usage des débutants :
https://www.creditmutuel.fr/identification/infos_securite.cgi(...)
(Pour infos, il existe deux systèmes Informatiques entre l'Est et l'Ouest du Crédit Mutuel, je parle du côté Est)
# resumons
Posté par Mr Kapouik (site web personnel) . Évalué à 4.
si je tourne sous linux en mode texte et que je veux consulter mon compte en banque sous lynx je l ai dans le ....
si j ai casse ma souris et que j utilise le combo ctrl+shift+ver num a quoi sert la protection anti keylog ???
et puis quelqu un m a appris que plus on utilise d outils different plus on augmente les faille potentiel ....
c est beau l avenir :-)
[^] # Re: resumons
Posté par Zenitram (site web personnel) . Évalué à 2.
Si je suis motivé, j'envoie un courrier a la direction generale pour leur dire que l'argent qu'ils depensent dans des sytemes debiles, je veux bien qu'ils me le donne aussi...
[^] # Re: resumons
Posté par moudj . Évalué à 3.
http://par.societegenerale.fr/EIP/resources/production/configuratio(...)
[^] # Re: resumons
Posté par pshunter . Évalué à 5.
Consulter des informations confidentielles, émettre des signatures électroniques ou passer des ordres depuis un ordinateur dont on a pas le contrôle est un non-sens.
[^] # Re: resumons
Posté par Mr Kapouik (site web personnel) . Évalué à 1.
[^] # Re: resumons
Posté par pshunter . Évalué à 3.
[^] # Re: resumons
Posté par Mr Kapouik (site web personnel) . Évalué à 1.
# Lecteurs de cartes
Posté par ~ lilliput (site web personnel) . Évalué à 3.
Combien de banques ont leur SSL pas a jour ? sur TOUS leur noms de domaines ?
Qu'elles sont les banques qui ont fait un audit sérieux de leur plateforme internet et PUBLIER les résultats ?
Combien de personnes se font manipuler via des phising mail ?
Par un DNS spoof ?
Une attaque man in the middle avec un proxy qui génère un certificat SSL valid ?
Ce genre de carte avec un software associé non vérolé ou autre permettrait d'éviter les keyloggers (le clavier se trouve sur le lecteur de carte. le lecteur de cartes peut etre dit de confiance si fournit par votre banquier)
Dans le meme genre j'avais demandé à ma banque si je pouvais avoir des numéro de CB pour un montant X dans une validité de temps Y. Mon banquier m'a dit que ca n'existait pas ! Comprendre il a pas envie de se prendre la tête pour chercher ou de faire/proposé une nouvelle gamme de produits.
En parlant de Keylogger et co ..
Votre banquier il tourne sur quel OS ??
A t'il access au net ??
A t'il déjà installé un screensaver de download.com ??
A t'il déjà ouver des animations flash.exe ??
Utilise t'il MSN messenger ??
Utilise t'il un mail externe à celui de son mail officiel de sa banque ??
Faite le test en posant des questions anodines vous serez surpris. (petites précision j'ai travaillé en tant que saisonnier dans une grande banque et j'en suis toujours sur le cul. J'ai essayer de remonter les SUPER boulettes et je me suis fait filtrer par la hiérarchie comme si de rien était -)
Enfin la sécurité elle est a tout point ;)
Euh pour l'histoire de la capture il suffit de 'cacher' l'image au moment du clic ;) bon c'etait les 5 secondes de délire :)
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Lecteurs de cartes
Posté par pshunter . Évalué à 4.
[^] # Re: Lecteurs de cartes
Posté par kesako . Évalué à -3.
[^] # Re: Lecteurs de cartes
Posté par ~ lilliput (site web personnel) . Évalué à 2.
Ou simplement l'application X ou Y encode et certifie les données via la cette carte.
En faite des échanges via un serveur signé et reconnu via la carte va permettre de t'identifié comme autorisé a acceder a ton compte en ligne. Un ID peut etre générer et transferer via une connection SSL. Ou j'ai oublié de dire qu'un logiciel était obligatoire la carte peut pas faire le boulot tout seul :)
sinon pour rappeler la politique des banques française sur la sécurité il est bon de rappeler.
http://parodie.com/monetique/(...)
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Lecteurs de cartes
Posté par pshunter . Évalué à 2.
Donc, on peut parfaitement se passer de la carte et stocker les clés et le soft d'authentification/accès sur la machine.
Le seul tout petit avantage que je voie à la carte, c'est que la séparation des données sur un support physique distinct permet de
1) si on veut changer de machine, il n'y a rien à nettoyer
2) si on est dans une période où l'OS qu'on utilise est susceptible d'être piraté (failles récentes, etc) éviter d'utiliser la carte.
Mais pour ces 2 points une clé USB fait tout à fait l'affaire.
[^] # Re: Lecteurs de cartes
Posté par ndesmoul . Évalué à 1.
Et pour aller la clé secrète contenu dans la puce c'est pas à la portée du premier venu.
Donc niveau sécurité c'est très largement supérieur, surtout si l'utilisation de la clé secrète impose d'entrer un code PIN. La sécurité repose alors sur deux facteurs: qqch que tu possède (la carte) et qqch que tu sais (ton code PIN).
Le problème c'est qu'un lecteur c'est cher. Mais dans quelques années quand le téléphone mobile aura mangé la carte bancaire, une petite liaison sans fil (NFC/Bluetooth/zigBee/UWB/Wi-Fi?) entre le mobile et le PC et ça sera bon.
[^] # Re: Lecteurs de cartes
Posté par pshunter . Évalué à 2.
Attaque 1 : vol de la carte/support
Pour extraire les infos de la carte à puce il faut entreprendre une analyse électronique difficile.
Pour récupérer la clé cryptée sur le support il faut casser le cryptage symétrique qui la protège. On peut attaquer le mot de passe ou directement les x bits de la clé symétrique.
La carte a puce est un peu supérieure car elle peut permettre de mettre un pass simple, en se verrouillant si trop d'essais sont faits, mais avec un pass correct retrouver la clé cryptée est très, très difficile.
Je considère de toute façon que les gens qui ont les moyens et la volonté de lancer ce genre de procédure de cassage ont les moyens de torturer la personne pour qu'elle leur donne le pass.
La carte à puce/support s'utilise sur un ordinateur normalement non vérolé
Attaque 2 : l'ordinateur utilisé n'est plus fiable, on en a plus le contrôle car il a été infesté par un virus/rootkité/etc
Pour utiliser les infos du support il faut les transférer sur l'ordinateur pour les décrypter avec le pass que donne l'utilisateur. Le programme malveillant va pouvoir intercepter le pass ou les infos décryptées quand l'utilisateur s'en sert ; puis s'en servir dans le dos de l'utilisateur.
Pour utiliser la carte, il faut un lecteur, mais on nepeut pas voir ce qui se passe entre l'ordinateur et le lecteur. Le programme malveillant peut demander à la carte de signer n'importe quoi dans le dos de l'utilisateur, soi en interceptant le code pin qu'il taperait au clavier, soit en remplaçant une requête légitime de l'utilisateur si le lecteur est muni d'un clavier.
Dans le cas de la carte à puce, on peut remarquer que l'attaque n'est réalisable que le temps que la carte reste dans le lecteur, mais le mal est fait donc question sécurité c'est pas top.
Le grand danger c'est qu'une grande part de la populace a une grande estime de la technologie carte à puce (cocorico) et qu'elle est souvent considérée et marketée comme de sécurité "très largement supérieure" alors que ce n'est pas du tout le cas. Un système sécurisé, c'est aussi quand les gens en connaissent les limites, ce qui est très rarement le cas, alors ne rajoutons pas de nouvelles illusions.
[^] # Re: Lecteurs de cartes
Posté par ndesmoul . Évalué à 2.
Idéalement le code doit être tapé directement sur le clavier du lecteur de carte (plus difficile avec un dongel USB). Evidemment si le lecteur est trafiqué lui aussi...
C'est pour cela que l'utilisation du mobile comme élément de sécurité me semble intéressant: le mobile joue à la fois le rôle de carte et de lecteur. Celui-ci peut en outre t'afficher sur son écran le détail de la transaction.
En plus le mobile est déjà largement démocratisé contrairement aux lecteurs de carte. Le seul problème est qu'il faut que les liaisons sans fil de type Bluetooth ou NFC arrivent dans tous nos périphériques.
Dès à présent le mobile pourrait servir d'OTP avec une petite applet Java qui va bien.
[^] # Re: Lecteurs de cartes
Posté par ~ lilliput (site web personnel) . Évalué à 1.
Sans parler des crypto loops fait par chaque constructeur;
C'est un média auxquel l'utilisateur fais trop confiance. Le résultat peut être la perte des données lecture par un tier des données etc... (pour ceux qui ont un cryptage sur la clef il est possible de faire un dump de la mémoire via une lecteur de puce modifié en outrepassant les protections logiciels et ou electroniques.) Une carte format carte banquaire est facilement rangeable dans un portefeuille.
Mr Schneider disait même qu'il conseille fortement d'écrire ces mots de passe sur un bout de papier et à glisser dans son portefeuille. (Pour permettre de "retenir" les mots de passe tres compliqué)
Pour en revenir à la carte comme un post en dessous le précise les smartcards et autres dérivés ont des procédé de protections des données.
Et le plus en cas de vol de la carte bancaire la personne ne pourra pas utilisé ta carte. Les tentatives infractueuses repporteront la carte comme volée avec en prime une localisation de la personne. (avec un formatage des données sensible des données :) )
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Lecteurs de cartes
Posté par jcs (site web personnel) . Évalué à 2.
Autre avantage, une signature apporte la non-répudiation mais de toute façon les banques n'en n'ont rien faire.
[^] # Re: Lecteurs de cartes
Posté par pshunter . Évalué à 2.
Bon je ne peux pas trop deviner ce que tu voulais écrire, mais je ne vois toujours pas en quoi déporter la crypto sur la carte augmente la sécurité...
Pour moi ces histoires de carte à puce c'est un gros buzz, et ce n'est pas parce que les US s'y mettent que c'est bien.
Pas besoin de carte à puce pour faire une signature
[^] # Re: Lecteurs de cartes
Posté par briaeros007 . Évalué à 2.
enfin je pense que c'est ce qu'il voulait dire.
ensuite certes Pas besoin de carte à puce pour faire une signature
Mais la au moins c'est la cle dont la banque a la clee publique (dans le cas d'un chiffrement asymetrique) . Dans le cas normal c'est pas dis que les gens envoie forcement la bonn clé ou la genere suivant des critères suffisants. Toussa ;)
[^] # Re: Lecteurs de cartes
Posté par jcs (site web personnel) . Évalué à 2.
Argh, j'ai pas relu et voilà le travail !
mais je ne vois toujours pas en quoi déporter la crypto sur la carte augmente la sécurité...
Parce que les opérations sensibles sont faites sur la carte dont tu as le contrôle. Ensuite ça permet d'éviter les usurpations d'identité : si tu as la carte personne ne peut se faire passer pour toi ; si tu perds ta carte sans le code PIN, impossible de se faire passer pour toi. Enfin mettre un key logger sur un lecteur de carte à puce pour récupérer le PIN c'est loin d'être évident, et beaucoup plus dur que mettre un soft espion dans la machine.
Bien sûr il y a encore des problèmes à résoudre. Une machine compromise peut demander à la carte de signer ce qu'elle veut par exemple... Mais c'est clairement plus sûr qu'une bête identification par mot de passe.
Pas besoin de carte à puce pour faire une signature
Non mais la carte à puce est un moyen de stockage fiable pour tes clés privées ; clairement plus qu'un disque dur.
[^] # Re: Lecteurs de cartes
Posté par pshunter . Évalué à 3.
C'est sûr que la carte à puce est un peu plus sûre, mais pas énormément plus.
C'est surtout ça le problème, comme on ne peut pas vérifier ce qui est demandé à la carte, on est obligé d'exiger un ordinateur de confiance, et si l'ordi et fiable, une clé sur le disque dur est aussi en sécurité.
La solution évoquée plus haut et que je m'efforce de répandre autour de moi c'est de se baser sur les téléphones cellulaires, malheureusement on est déjà passé au stade où toutes leurs fonctionnalités débiles font qu'il y a déjà des virus pour ces plate-formes.
[^] # Re: Lecteurs de cartes
Posté par ndesmoul . Évalué à 1.
Il suffit d'utiliser un protocole de type ssl avec tous les calculs côté client effectués par la carte. Tu ne peux pas berner la carte dans ce cas car celle-ci a authentifié le serveur à l'aide de son certificat (signé par une autorité de certification reconnue par la carte) et a pu vérifier lors des échanges que le serveur possède la clé privée associée au certificat.
En fait via le protocole ssl la carte et le serveur peuvent s'authentifier mutuellement et se mettre d'accord sur une clé de session pour chiffrer et vérifier l'intégrité des données. Même si tu as une application espion sur le PC tu ne pourra pas forger des message reconnu par la carte car l'écoute des échanges ne te permet pas de découvrir la clé de session utilisée.
Impossible dans ce cas de faire signer n'importe quoi à la carte.
Evidemment tu n'as pas besoin de carte pour faire cela mais la carte (ou dongle) te permet d'emporter tes clés sur toi et elles sont beaucoup plus difficiles à découvrir que des clés stockée dans un fichier d'ordinateur. De plus les calculs sont fait par la carte et pas par le PC. Au final, pas besoin d'un ordi de confiance.
Bon le seul problème c'est que c'est de la crypto asymétrique, ce qui très bien sauf que les calculs sont lourds et imposent un crypto processeur dans la puce, ce qui en augmente un peu le coût. Mais le plus embêtant c'est dans le cadre d'une utilisation en sans contact (genre ISO 14443). En effet dans ce cas la puce est alimentée par le champs électromagnétique du lecteur. Une puce capable de faire du RSA suffisamment rapidement consomme trop, si bien que le lecteur ne peut fournir suffisamment d'énergie. C'est pour cela qu'il y a très peu de crypto à clé publique en sans contact. Ceci dit certains schémas sont moins gourmands que RSA...
Et puis si on utilise un téléphone mobile, celui-ci est alimenté par sa batterie, auquel cas il n'y a plus de problème...
[^] # Re: Lecteurs de cartes
Posté par pshunter . Évalué à 3.
Ah oui, et l'ordi, il sert à quoi dans l'histoire ?
C'est sûr que si on voulait mettre en place un canal crypté entre la banque et la carte ça marcherait, mais ça ne servirait pas à grand chose, puisque le seul truc qu'on puisse dire à la carte, c'est "déverrouille-toi".
Dans ce que tu dis, le PC ne devrait faire office que de passerelle entre la carte et internet, et ne pas toucher les données que la carte reçoit et envoie. Sauf qu'on veut s'authentifier sur des sites qui s'affichent sur l'ordi, pas la carte. Et l'ordi peut t'afficher n'importe quoi.
[^] # Re: Lecteurs de cartes
Posté par ~ lilliput (site web personnel) . Évalué à 1.
Encore une fois le lecteur de carte est dit trusted (ca peut etre ton telephone portable comme suggéré un peu plus au quoique avec les pb du bluetooth et des OS pas vraiment secure sur ce genre d'appareil j'attendrai encore un peu.
Le lecteur de carte doit etre fournit par un organismes en quel tu fais confiance IE ta banque, avec un faible encombrement tu peux le transporter facilement. Tout ce qui est de la sécurité ultime comme certain (moi compris) ci dessous et au dessus, faut rappeler qu'il s'agit d'une carte banquaire et le cryptage est utilisé en tant que moyen anti-fraude donc il faut relativiser.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Lecteurs de cartes
Posté par pshunter . Évalué à 2.
Le logiciel tourne sur l'ordi, c'est ça ? Dans ce cas un virus pourrait interférer avec...
Tu veux dire un écran TFT sur le lecteur ? Dans ce cas pourquoi ne pas utiliser un téléphone ? De plus sur le marché, actuellement les lecteurs de carte à puce sont des gadgets USB avec une led qui s'allume quand la carte est insérée. Un truc qui saurait afficher les infos que la carte traite serait bien plus compliqué, et cela nécessiterait un format de document standard.
[^] # Re: Lecteurs de cartes
Posté par ~ lilliput (site web personnel) . Évalué à 2.
A priori si tu fais un mechanisme de se style pour les réseaux banquaire, qu'il s'agit d'un petit lecteur de carte ou pas il est bien évident que tu devras faire un draft et le faire passer en comission avec des expert et tout le tralala pour t'assurer que ce que tu as créer ne comporte pas de backdoor et ne mettent en danger la sécurité du reseau existant. Il est bien évident que faire un système reposant sur la sécurité du pc local est très insuffisant. Pour ce qui est de la sécurité des appareils mobiles c'est pas très miraculeux non plus :( CF pb des interfaces Bluetooth )
Enfin c'est vrai que c'est couteux mais petite précision, les cartes banquaire que nos banques nous font payer (très cher) tous les ans sont GRATUITES ! ( je paye rien pour ma solo - switch et Master Card en GB avec HSBC. Toutes les banques anglaises ont le même régime. Pour la rumeur des taux de tueur sur les crédits anglais ben faut comparer a ceux des français c'est pas mieux mais c'est pas pire non plus) Tout ca pour dire on se fait taxer de partout, c'est pas une nouvelle ;) Les banques pourraient investir cet argent et sortir un bon procédé, En esperant qu'il ne fasse pas la bétise du monéo :)
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Lecteurs de cartes
Posté par kesako . Évalué à 4.
On est deux a avoir eu la meme idee.
Ce serait bien pratique d'avoir une carte CB de 1000 euros valable seulement jusqu'au 31/12/2005 . Je pourrais m'en servir sans crainte sur internet puisque la perte maximum serait 1000 euros quoi qu'il arrive.
Je me demande vraiment pourquoi ca n'existe pas. Les banquiers sont des veaux frilleux ! ou stupides (cf. la carte moneo)
[^] # Re: Lecteurs de cartes
Posté par lom (site web personnel) . Évalué à 2.
Tu veux faire un achat, tu notes le montant.
Tu vas ensuite sur leur site (en flashkipu), tu demandes un numéro, et tu donnes le montant à retirer. Ils te fournissent un numéro, valable 3 mois si je me souviens bien. Tu n'es pas obligé de tout sortir d'un coup, je peux demander 100¤ pour un numéro et faire 2 achats de 50¤ sans problème.
Pour les windowsiens, il y a possibilité de télécharger un client lourd qui te donne le numéro (je n'ai jamais essayé, par contre).
J'utilise ça depuis 6 mois, c'est nickel, ça marche presque partout. Il y a cependant certains cas où c'est problématique, genre la SNCF il y a quelques temps. Si tu commandais et payais un ticket sur leur site, pour vérifier que c'était bien toi, ils demandaient ta carte bleue au retrait du ticket. Evidemment, puisque c'était un numéro unique, ça ne fonctionnait ps. Maintenant, pour la SNCF au moins, ça marche.
Ca doit surement exister pour d'autres banques que la poste.
[^] # Re: Lecteurs de cartes
Posté par ~ lilliput (site web personnel) . Évalué à 1.
Question ca coute combien ?
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Lecteurs de cartes
Posté par kesako . Évalué à 2.
bon le e-carte bleu de la poste est 12 euros/an si j'ai bien compris.
un peu moins avec d'autres formules
[^] # Re: Lecteurs de cartes
Posté par Calim' Héros (site web personnel) . Évalué à 4.
http://www.provencecorse.banquepopulaire.fr/Magazine/46CB/eCB_00.ht(...)
[^] # Re: Lecteurs de cartes
Posté par ~ lilliput (site web personnel) . Évalué à 1.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Lecteurs de cartes
Posté par Calim' Héros (site web personnel) . Évalué à 2.
Ceci permet de faire un virement par ta banque en qui t'as confiance du compte courant vers le compte internet et de limiter la casse en cas de recuperation du numero de carte.
Bon, c'est pas encore l'idéal, ca coute une deuxieme carte... mais ca peut s'envisager vue qu'il n'y a pas d'e-cb au CA a premiere vue et que je fait de plus en plus d'achat en ligne (et ces con on retiré la possibilité d'ajouter en ligne des rib pour les achats)
[^] # Re: Lecteurs de cartes
Posté par Éric (site web personnel) . Évalué à 3.
Bof, la banque est tenue de te rembourser sur simple demande et sans cout toute transaction que tu refuse si elle est faite sans ta signature ou ton code secret. C'est le cas de toutes les transactions par le net.
Les arnaques par CB ce n'est pas vraiment le net le problème, ce sont plutot les commercants dans des pays où on signe encore papier avec une boite à savon (et là on peut tout reproduire). Dès que c'est virtuel tu es peinard.
Le seul risque avec le net ce sont les petits débits que tu ne remarques pas mais pour ça il y a une bonne solution : vérifier ses comptes.
# Sécurité ?
Posté par Fabien Soulier . Évalué à 2.
[^] # Re: Sécurité ?
Posté par _seb_ . Évalué à 2.
# Une autre solution...
Posté par Moule Atarte (site web personnel) . Évalué à 3.
Seulement pour que ce soit valide en matière de sécurité il faut que la séquence de challenge/réponse ait lieu uniquement sur le dispositif lecteur.
Une séquence d'accès à l'info deviendrait donc :
- établissement de la liaison entre le PC et le site web en SSL
- demande d'authentification de la part du site web
- le PC fait suivre la demande d'authentification au petit machin qui lit à la fois la carte et l'empreinte digitale
- le petit machin lit l'empreinte, hash avec l'algo qui va bien et compare le résultat de ce hash avec la carte
- le petit machin dit au PC go ou nogo
- le PC dit au site web "vas-y mon gars, c'est bien lui"
Mais de toutes façons la sécurité est compromise dès l'instant ou les infos d'authentification circulent et traversent le PC et le réseau.
Ce qui m'amène à une petite considération à part : une grosse organisation responsable des transports en communs dans une région capitale d'un pays d'europe occidentale située pile entre la Belgique, l'Allemagne, l'Italie la Corse et l'Espagne exige dans les spécifications de ses machines à vendre des titres de transports que le lecteur de carte à puces dispose d'un clavier et d'un écran séparé et fasse tout seul ses calculs d'authentification; alors que dans ce même pays, que je ne nommerai pas, frontalier du Pays Basque et de la Bretagne, d'autres organisation responsable de transports en commun n'ont pas cette exigence et proposent un clavier virtuel pour la saisie du code secret.
Certains ont donc une vision déplorable de la sécurité informatique ! ;)
[^] # Re: Une autre solution...
Posté par ~ lilliput (site web personnel) . Évalué à 1.
nan vraiment les empreintes digitaux c'est vraiment pas ca ;)
Au pire on te coupe le doigts et le vrai perdant c'est encore toi ..
Il me semble que c'était les romains mais j'en suis plus sur qui rasait la tête des messager et tatouais un message sur le cuire chevelu et l'envoyait lorsque qu'il avait des cheuveux ;)
De manière général les techniques de d'identification par biométrie sont pas sur c'est jamais du 100% true ou false (genre tu t'es coupé, égratiné, brulé ca fausse les données et tu peux plus acceder a ton compte; Pour la voix ben un rhume suffit :)
Compromettre ce genre de donnée est 'assez' facile :(
La preuve en est qu'elle permet d'identifié des personnes dans des affaires criminelles...
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Une autre solution...
Posté par Sylvain Sauvage . Évalué à 3.
Fallait pas être pressé...
Et pis, la tête, elle avait un nombre limité d'utilisations...
# Mouahahaha :(
Posté par Vanzetti . Évalué à 1.
je suis a la société generale, lorsque j'ai vu ca j'ai eu peur !
pour moi taper son code visuellement sur l'ecran est une faille de sécurité encore plus grosse que les keylogger et autres qui ne sont rependus QUE sous windows...
Je me suis alors empréssé de leur ecrire un mail disant que ca n'est qu'un argument commerciale, qu'il n'y a aucune securité supplementaire, sauf que les gens autour de nous pourrons voir facilement le code, vu la lenteur de retrouver les chiffres a leur nouvel emplacement a chaque chargement. et pourront le voir facilement.
Puis je leur ai demandé si la methode actuelle resterai accessible...
voila leur reponse :
----------------------------------
Bonjour et merci de votre intérêt pour LogitelNet.
Monsieur Angelinetti,
Vous souhaitez des informations sur la mise en place du Clavier virtuel de saisie de votre Code Secret.
Nous allons mettre à votre disposition ce nouveau moyen de saisie de votre Code Secret afin de lutter contre une certaine catégorie de programmes espions appelés " Chevaux de Troie " ou " Key-Logger ".
Les " chevaux de Troie " sont des programmes installés sur l´ordinateur à l´insu de son propriétaire. Ces virus peuvent enregistrer les saisies faites à partir du clavier physique de l´ordinateur.
Le clavier virtuel est un moyen efficace de lutte contre ce type de virus.
En effet, pour saisir votre code secret, vous devrez obligatoirement utiliser votre souris et sélectionner sur l´écran du clavier virtuel, les chiffres correspondants à votre code.
Le clavier physique de l´ordinateur n´étant plus utilisé, le logiciel espion ne pourra donc pas enregistrer la donnée.
Attention : le clavier virtuel ne vous dispense toutefois pas de protéger votre ordinateur.
Pour garantir la meilleure protection de votre ordinateur, vous devez le protéger à l´aide d´un anti-virus que vous devez mettre régulièrement à jour, disposer d´un pare-feu (firewall), et mettre à jour le système d´exploitation de votre ordinateur.
Ces consignes de sécurité vous sont rappelées sur notre site dans la rubrique " Configuration et Sécurité ".
Nous restons à votre disposition pour tout renseignement technique.
Merci et à bientôt sur notre site.
Cordialement,
Assistance LogitelNet
Société Générale
----------------------------------
Je la trouve tres pertinente a ma reponse !! mouahahaha
ils me font rire... j'attendrait leur réponse apres ma reponse explosive a celle ci totallement incoherente et orienté WINDOWS !
[^] # Re: Mouahahaha :(
Posté par Krunch (site web personnel) . Évalué à 1.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Mouahahaha :(
Posté par briaeros007 . Évalué à 3.
Si ca existe ;)
# Et la sécurité physique ?
Posté par RuleZ . Évalué à 1.
- Par téléphone, ils ne m'ont demandé que mon numéro de compte, ma date et mon lieu de naissance = données publiques
- Puis, pour aller le retirer, j'ai donné mon nom/prénom, j'ai signé, et je suis parti avec mon chéquier = aucune vérification d'identité
Avant de nous donner des leçons de sécurité, il faudrait d'abord qu'ils revoient leur sécurité interne, en commençant par le briefing des stagiaires qu'ils catapultent à l'accueil à la merci du premier malin venu.
[^] # Re: Et la sécurité physique ?
Posté par Vanzetti . Évalué à 1.
Ils sont lourds avec leurs methodes commerciales...
[^] # Re: Et la sécurité physique ?
Posté par briaeros007 . Évalué à 2.
Comme quoi ca depend des agences ;)
Et puis de toute facon la securite des cheques euh.. voila quoi
[^] # Re: Et la sécurité physique ?
Posté par Sylvain Sauvage . Évalué à 3.
Et là, on a un exemple de l'irrationnalité du client : bien que conscient des problèmes de sécurité, ça m'emm... de signer un formulaire à la c... juste pour faire de la monnaie. Alors imaginez Mme Ronchu, qui est à la même agence depuis 40 ans, qui a vu passer 12 directeurs et à qui on demande une pièce d'identité pour récupérer son chéquier : c'est un affront de ne pas la reconnaître.
Le client veut du pratique d'abord. Il pense que la sécurité, c'est pas son problème.
Sinon, pour revenir aux « stagiaires », cela dépend des stagiaires, mais les « stagiaires de vacances » (c'est le terme, en tout cas à la SG) n'ont strictement aucune formation (on te montre la tâche une fois, après tu te débrouilles). Ils sont là pour 1 ou 2 mois, sont en général des enfants d'employés (ce qui leur permet de postuler dès 16 ans et d'être pris préférentiellement), et sont rarement au guichet (mais ils servent de coursiers).
Quant aux autres « jeunes » employés, ils sortent tout juste de l'école et ne maîtrisent pas tout...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.