Compte en banque sur le Web

On 21 Jul 2003 11:32:52 GMT
"Laurence" <cyberlolo_67@yahoo.fr> wrote:

Bonjour,
Je serais très intéressée de pouvoir gérer mon argent depuis chez moi,
sur Internet; mais cette solution me semble aussi inquiétante que
pratique: quels sont les risques que des hackers interceptent mon
numéro de compte pendant une transaction, et "se servent" sur mon
compte ?

A mon avis, c'est très peu probable, pour une raison simple, c'est qu'il
y a bien plus facile.

J'ai déjà aperçu sur le net des softs qui génère des numéros de CB
valide. Donc si pirate je devais être, je preferais faire un clic sur ce
soft que m'enquiquiner à essayer de pirater une transaction bancaire...

Maintenant, vu qu'en pratique, je n'y connais pas grand chose,
peut-être que je me dis ça juste pour me rassurer...

Je laisse donc les experts en dire plus...

--
Xavier Teyssier
"Et en plus, j'suis malade :-("

"Xavier Teyssier" <xteyssier@ifrance.com> wrote in message
news:20030721141412.58de70b6.xteyssier@ifrance.com

A mon avis, c'est très peu probable, pour une raison simple, c'est qu'il
y a bien plus facile.
J'ai déjà aperçu sur le net des softs qui génère des numéros de CB
valide. Donc si pirate je devais être, je preferais faire un clic sur ce
soft que m'enquiquiner à essayer de pirater une transaction bancaire...

Tout à fait, et sinon, tant qu'à piquer des numéros de cartes bancaire,
Un pirate préfèrera, à mon avis, s'attaquer à une base contenant un
grand nombre de numéros que monter une attaque pour en trouver un seul.

Maintenant, vu qu'en pratique, je n'y connais pas grand chose,
peut-être que je me dis ça juste pour me rassurer...

Ca me semble cohérent.
Et pour répondre à Laurence, les connexions vers les sites bancaires
se font en HTTPS. Il n'y a à ma connaissance pas de failles dans SSL
connue aujourd'hui qui permette de douter de l'intégrité d'une
connexion.
Par mesure de précaution, tu peux vérifier que tu as bien le petit
cadenas dans le navigateur et que le cetificat présenté par le serveur
est correct.



--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Dans sa prose, T0t0 nous ecrivait :

Et pour répondre à Laurence, les connexions vers les sites bancaires se
font en HTTPS. Il n'y a à ma connaissance pas de failles dans SSL connue
aujourd'hui qui permette de douter de l'intégrité d'une connexion.
Par mesure de précaution, tu peux vérifier que tu as bien le petit
cadenas dans le navigateur et que le cetificat présenté par le serveur
est correct.

Et bien vérifier que son navigateur est à jour, pour éviter la superbe
faille sur la vérification des contraintes de base :

http://www.thoughtcrime.org/ie.html

--
Et, en passant, sachez tout de même que Sacha a dit une sacré
dose de conneries à mon égard. La plus savoureuse est qu'il me prend
pour une victime, alors que je suis un GAGNANT.
-+- AB in GNU : Neuneu gagne surtout à ne pas être connu. -+-

Salut,

Tout à fait, et sinon, tant qu'à piquer des numéros de cartes
bancaire, Un pirate préfèrera, à mon avis, s'attaquer à une base
contenant un grand nombre de numéros que monter une attaque pour en
trouver un seul.

Ya plusieurs techniques pour obtenir des informations bancaires qui
requierent chacunes des competences differentes, et qui permettent de
faire des choses differentes au final...

1) Generer un code de CB. Facile, tout le monde connait l'algo, et on doit
pouvoir trouver des softs trés facilement, ou sinon en programmer un.
Mais une fois que vous avez un numero de CB, vous faites quoi ?..
Commander en ligne ? Avec votre adresse ? Pas bien serieux.

2) Piquer une base de données pleine de numeros. Là c'est plus
interessant puisqu'on a en general les coordonées de la personne, ses
informations bancaires "completes" (date d'expiration et cie.). Mais je
crois que peu de boites se mettent maintenant a stoquer les numeros de
cartes bancaires, bien que chez certaines c'est(c'etait) obligatoire pour
acheter en ligne. Et puis aprés vous en faites quoi des numeros ?.. Soit
le petit malfrat de base va vous extorquer du fric avec sa YesCard, et là
vous etes remboursé, soit le pirate va utiliser vos numeros pour faire
des achats en Russie mais vous serez aussi remboursés.

Remarquez que pour les numeros de carte bancaires, Internet ou non, on
peut vous extorquer de l'argent de la meme facon.

3) Utiliser un XSS dans les formulaires de virement en ligne. Cela peut
permettre de prendre totalement la main sur le compte beneficiaire. En
gros vous donnez un euro et vous en recevez autant que vous voulez : Je
suis persuadé que ce genre de failles existe, et les parades me semblent
difficiles a trouver coté utilisateur. En plus, si quelqu'un utilise
frauduleusement votre numero de carte, vous etes remboursé; par contre si
quelqu'un se loggue sur votre compte en ligne et effectue plein de
virements a droite a gauche, serez vous remboursés ? Peut etre, mais ce
sera long.. Là, c'est clair que si vous faites vos virement au guichet,
vous ne serez pas affecté, tandis que en recevant de l'argent pas le
net... c'est une autre affaire...

Bref a mon avis il faut se mefier. Surtout a cause du XSS. Le HTTPS ne
suffit malheuresement pas... ce serait trop simple.

Ca me semble cohérent.
Et pour répondre à Laurence, les connexions vers les sites bancaires
se font en HTTPS. Il n'y a à ma connaissance pas de failles dans SSL
connue aujourd'hui qui permette de douter de l'intégrité d'une
connexion.

J'espere que les français ont mis leur navigateur a jour. Vous vous
souvenez de la faille permettant de faire du MITM (Man In The Middle,
s'incruster au milieu d'une connection pour voler des données ou en
ajouter/modifier en restant "invisible" coté client et coté serveur) en
HTTPS because les navigateurs verifiaient mal l'arborescence de signature
des certificats ?..

C'est pas si difficile a mettre en oeuvre, parce que si cette faille n'est
pas bouchée il y a fort a parier que l'on pourra se "debrouiller" pour
rediriger le flux sur le PC du pirate et non plus sur le serveur de la
banque.
Ya pas un fichier où on ecrit hostname=IP qui passe par dessus les
entrées DNS ? Et des failles permettant d'ecrire des fichiers sur le
disque a l'ouverture d'une page Web ?

Avec une faille on peut difficilement "rentrer dans un compte" (ca revient
à ça au final), mais en en couplant plusieurs je pense que ca entre
trés largement dans le domaine du faisable.

Donc en gros, soit la banque est trouée, soit le PC client est troué,
dans les deux cas, il y a vol des informations avec possibilité de se
faire passer pour quelqu'un d'autre.

Par mesure de précaution, tu peux vérifier que tu as bien le petit
cadenas dans le navigateur et que le cetificat présenté par le serveur
est correct.

Et aussi verifier que l'on a un navigateur/un OS a jour, a la vu de ce que
j'ai dit precedemment...

[je sais, je suis pas rassurant... =)]

@+
Bertrand

T0t0 wrote:

Ca me semble cohérent.
Et pour répondre à Laurence, les connexions vers les sites bancaires
se font en HTTPS. Il n'y a à ma connaissance pas de failles dans SSL
connue aujourd'hui qui permette de douter de l'intégrité d'une
connexion.

Oui mais il y a des failles dans les systèmes bancaires : par exemple le
Crédit Lyonnais avait un gros bug qui permettait a n'importe quel client
CL de voir et d'agir sur le compte de n'importe quel autre client CL
simplément à partir du RIB de la "cible" (cd. le dernier n° du Virus
Informatique)

Donc le petit cadenas c'est bien mais ca ne prouve pas grand chose...

Par mesure de précaution, tu peux vérifier que tu as bien le petit
cadenas dans le navigateur et que le cetificat présenté par le serveur
est correct.

Le Mon, 21 Jul 2003 13:09:50 +0000, T0t0 a écrit :

Maintenant, vu qu'en pratique, je n'y connais pas grand chose,
peut-être que je me dis ça juste pour me rassurer...

Ca me semble cohérent.
Et pour répondre à Laurence, les connexions vers les sites bancaires
se font en HTTPS. Il n'y a à ma connaissance pas de failles dans SSL
connue aujourd'hui qui permette de douter de l'intégrité d'une
connexion.
Par mesure de précaution, tu peux vérifier que tu as bien le petit
cadenas dans le navigateur et que le cetificat présenté par le serveur
est correct.

Si justement, donc bien faire attention à la version SSL distante.
J'ai testé (avec succès) les timing-attacks sur SSL-TLS...
Ct.

Pierre

Laurence wrote:

Bonjour,
Je serais très intéressée de pouvoir gérer mon argent depuis chez moi, sur
Internet; mais cette solution me semble aussi inquiétante que pratique:
quels sont les risques que des hackers interceptent mon numéro de compte
pendant une transaction, et "se servent" sur mon compte ? Je pense bien que
les concepteurs de "Netbanking" ne m'ont pas attendue pour y penser, et les
sites des grandes banques se montrent très rassurants quant à la sécurité,
mais naturellement ils ne vont pas nous dire que c'est la roulette russe...
Je préfèrerais avoir l'avis de gens à la fois pointus techniquement, ET
désintéressés ! Que pensez-vous de ce système ? Y a-t-il déjà eu des
exemples de clients Internets qui se sont fait vider leur compte ?
Merci d'avance pour tout renseignement.

Ba le crédit Lyonnais je crois a eu un très gros trou de sécurité qui
permettais a n'importe quel client d'accéder au compte d'un autre client
assez facilement. Mais bon ca reste rare ce genre de trou (espérons le),
moi je consulte mon compte sur le net ca se passe bien, je fais des
virements de temps en temps, c'est quand meme pratique

Bertrand wrote:

Salut,

Bref a mon avis il faut se mefier. Surtout a cause du XSS. Le HTTPS ne
suffit malheuresement pas... ce serait trop simple.

Bon, il faut comparer ce qui tu crains au risque de se faire piquer la carte

(ou l'argent) quand on fait un retrait dans un distrubuteur public... sans
parler de l'immense trou des facturettes encore en usage dans de nombreux
pays étrangers.

--
-------------------------------------------------------------------------
J.P. Louvet Phone : (33)05-56-84-58-35
IUT Universite Bordeaux 1 département HSE
33405 Talence CEDEX France Nouvelle adresse :
louvet@hse.iut.u-bordeaux1.fr
-------------------------------------------------------------------------
Fractales sur serveur Web IUT Universite Bordeaux 1 :
http://fractals.iut.u-bordeaux1.fr
-------------------------------------------------------------------------

Les timing attacks sur ssl ne sont-t-elles pas efficaces uniquement en réseau local, là ou une régularité du traffic existe ? car sur internet, en fonction de l'encombrement, le temps mis par deux paquets pour aller d'une machine A a une machine B ne sera pas forcément le même...

M.K

On 21 Jul 2003 15:04:06 GMT
Pierre BETOUIN <soulrider@unsigned.ath.cx> wrote:

Le Mon, 21 Jul 2003 13:09:50 +0000, T0t0 a écrit :

Maintenant, vu qu'en pratique, je n'y connais pas grand chose,
peut-être que je me dis ça juste pour me rassurer...

Ca me semble cohérent.
Et pour répondre à Laurence, les connexions vers les sites bancaires
se font en HTTPS. Il n'y a à ma connaissance pas de failles dans SSL
connue aujourd'hui qui permette de douter de l'intégrité d'une
connexion.
Par mesure de précaution, tu peux vérifier que tu as bien le petit
cadenas dans le navigateur et que le cetificat présenté par le serveur
est correct.

Si justement, donc bien faire attention à la version SSL distante.
J'ai testé (avec succès) les timing-attacks sur SSL-TLS...
Ct.

Pierre

On 21 Jul 2003 16:48:24 GMT, Marwan Burelle <burelle@lri.fr> wrote:

(mais ma banque ne me permet pas les virements depuis le web et
le mot de passe ne sert que la, donc l'intérêt, a part voir l'état
lamentable de mes finances, est limite...

A la rigueur, nous aurions tous les deux presque intérêt à publier
l'état de notre compte en banque... histoire de dire aux éventuels
pirates "Inutile de tenter quoi que ce soit sur mon compte, y'a rien à
voler !" ;-)


--
Tout sur fr.* (FAQ, etc.) : http://www.usenet-fr.net/fur/
et http://www.aminautes.org/forums/serveurs/tablefr.html
Archives : http://groups.google.com/advanced_group_search
http://www.usenet-fr.net/fur/usenet/repondre-sur-usenet.html