SMS et lutte contre le phishing
Le
Manu
Salut,
Connaissez-vous des iniatives de banques ou autre organisme utilisant le
SMS pour véhiculer un code de session, en complément des habituels login
et mot de passe ?
Ainsi on ajoute au "quelquechose que je suis (login) et que je connais
(le mot de passe)", le "quelquechose que je possède".
Outre le fait que cela n'est pas une solution universelle car tout le
monde ne possède de téléphone, pensez-vous que cela puisse être un moyen
facile et relativement sûr d'éviter le phishing ?
Mais peut-être que le phishing est relativement anecdotique en France et
que les banques préfèrent rembourser les victimes plutôt que de mettre
en place des systèmes permettant d'éviter ce type de fraude.
- Manu
Connaissez-vous des iniatives de banques ou autre organisme utilisant le
SMS pour véhiculer un code de session, en complément des habituels login
et mot de passe ?
Ainsi on ajoute au "quelquechose que je suis (login) et que je connais
(le mot de passe)", le "quelquechose que je possède".
Outre le fait que cela n'est pas une solution universelle car tout le
monde ne possède de téléphone, pensez-vous que cela puisse être un moyen
facile et relativement sûr d'éviter le phishing ?
Mais peut-être que le phishing est relativement anecdotique en France et
que les banques préfèrent rembourser les victimes plutôt que de mettre
en place des systèmes permettant d'éviter ce type de fraude.
- Manu
Poser une question
j'ai un digipass (taille d'une toute petite calculatrice de poche).
on l'allume, on rentre son code pin et on tape le numéro affiché (à 6
chiffres) dans la case "password" du site web.
C'est la seule solution qui est foolproof (fool=commun des mortels) car elle
fait intervenir quelque chose que l'utilisateur a.
même si il parvient à rentrer ces infos dans un site bidon, le site bidon ne
poura pas s'en servir très longtemps ...
J'imagine que tu penses à une réaction du style "Tiens, cette fois-ci
je n'ai pas à attendre le SMS pour arriver sur mon compte, c'est
bizarre" ?
Dans ce cas, la réponse me paraît assez clairement négative.
Justement, les victimes du phishing ne se posent pas ce genre de
questions, c'est pour ça qu'elles se font avoir.
identification, c'est tout.
Le << être >> existe en authentification il s'agit des procédés
caractérisant l'individu : biométrie, ADN, etc.
Perso non. La voie postale reste la voie habituelle.
Mais p'têt que pour les djeuns ça se fait : politique de comm à la con
(*) quand tu nous tiens.
Euh, il y a mauvaise compréhension de l'hameçonnage là ou mauvaise
explication du rôle du SMS.
L'hameçonnage intervient a posteriori et NON PAS A PRIORI.
Ce n'est pas parce que l'on a obtenu un code par un moyen hors-bande
qu'on ne va pas le refiler à un inconnu qui le demande dans la rue.
Toutefois l'idée a du bon dans le sens que tu pensais évoquer ; à
savoir, utiliser une caractéristique individuelle ou un élément possédé
pour l'authentification complémentaire auprès du site Web bancaire.
Si, effectivement, ce moyen était utilisé ce serait la fin du phishing.
Ce moyen existe et 99,9% des titulaires d'un compte bancaire le possède
ainsi que certainement 100% des banconautes. Il s'agit bien entendu de
la carte bancaire.
La manip n'est pas sorcier : communication directe entre la puce et le
site bancaire pour assurer l'authentification complémentaire (en sus
d'un identifiant et d'un authentifiant basé sur la connaissance tel le
PIN ou autre chose).
La technologie est là depuis lontemps : lecteur de carte à microcircuit
à 30 EUR (15 EUR en masse) et API présente (PCSC) dans tous les systèmes
d'exploitation.
Là oui, ce serait un progrès indéniable. Mais voilà, nos chers banquiers
ont certainement été conseillés sur le sujet mais n'ont rien fait ...
comme d'habitude assis sur leurs convictions depuis des siècles.
Plutôt que de ponctionner quelques euros par mois pour l'accès au
service ils auraient mieux fait de pénaliser les frais d'ouverture
(assortir ceux-ci à l'acquisition d'un lecteur pour 20 euros par
exemple) et tous le monde s'en serait mieux porté. Mais voilà ces gens
ne pensent pas même lorsqu'on leur écrit !
Pour ma part je suis équipé, je m'en fiche. Sauf qu'il n'y aucun service
en face sursceptible de m'accueillir. Et surtout ne pas en parler au
guichetier : il affiche un air pétri d'un je ne sais quoi naviguant
entre l'incompréhension et la condescendance.
Du coup, rien à espérer du côté des banques. Avant longtemps en tous cas.
La relève viendra plus certainement des opérateurs de téléphonie mobile
qui utilisent déjà le téléphone comme moyen de paiement (**) le montant
des transactions étant reporté sur la facture.
Le téléphone étant de plus en plus PDA voire super-PDA on peut donc
facilement imaginer que l'accès à la gestion du compte ne pourra se
faire que via ce dernier que l'on a bien plus souvent sur soi qu'un
quelconque autre type d'ordinateur. Et là, le phishing ... s'évanouira
de lui-même. Mais il faudra encore bien 20 ans.
Dans l'intervalle, je crains fort qu'il ne se produise la même chose
que pour les messageries roses il y a 12 ans : le nivellement par le bas ?
A savoir des groupes de pressions mamouthesques et surtout
deresponsabilisés feront en sorte que l'ont boucle l'Internet plutôt que
de pousser à mettre en place des solutions intelligentes et pérennes. :-(
Nous avons donc d'un côté des clients qui se font avoir par manque de
sensisbilisation, d'éducation (que les banques se gardent bien de
conseiller sur le sujet) et des clients qui souhaitent disposer de
solutions qui les protègent (à condition que cela ne leur coute pas trop
cher) et de l'autre côté des handicapés du bulbe qui préfèrent agir
politiquement (ce qu'ils savent faire) plutôt que d'écouter leur client
et utiliser la technologie de manière profitable.
C'est exactement ce qui se passe avec les majors de la musique.
db
(*) Pourquoi plus les jeunes que les adultes ? On ne sait pas. Encore un
prétendu marketer qui a estimé que les plus de 20 ans ne croyaient que
dans la Poste.
(**) Je l'utilisais en 2003 pour facturer les accès WiFi. Pas mal de
pays mettent cela en place le pionnier étant le Japon en incoroporant
une puce RFID au sein de certain téléphones commercialisés par DoCoMo.
Du reste la SIm est bien plus sûre que la carte bancaire. Au moins les
opérateurs de téléphonie ont su utliser ses points forts.
--
Courriel : usenet blas net
Un pirate ne peut-il pas automatiser l'utilisation des informations,
et donc - par exemple - effectuer un virement quelques secondes après
avoir reçu le mot de passe que tu viens de taper ?
C'est un peu à ça que je voulais arriver, mais en utilisant un appareil
plus commun et moins cher que ces appareils. Mais avec un résultat
cryptographiquement moins fort.