le site de la Banque Postale a nouveau victime de phishing ???
33 réponses
Xavier
Bonjour,
Tout d'abord désolé pour mon multipostage large...
le sujet me semble mériter une large diffusion.
Ma question est :
Le site de consultation de compte en ligne de "La Banque Postale" est il
victime d'un phishing par redirection (détournement d'url par des
pirates afin de capturer les identifiants et mot de passe des clients)
???
Les faits :
je tente de me connecter aujourd'hui à l'url habituelle de consultation
de compte en ligne de la Banque Postale :
https://www.videoposte.com/statique/index.html
- il ne contient plus le clavier habituel de saisie des identifiants
mais le message suivant : "Désormais, accédez à vos comptes en ligne
depuis,
www.labanquepostale.fr Cliquez ici >>>"
- la dernière "lettre d'information de la Banque Postale" N°25 de
février 2008 ne fait aucune allusion à ce changement d'url
- pas davantage d'information en ce sens sur mes derniers relevés
"papier"
- aucun mail nominatif ***d'information*** ne m'a pas davantage été
adressé par la Banque Postale...
- le lien "contact" de cette dernière url permet bien l'accès à
différents formulaires de contact (qui pourrait me permettre de poser la
question de la légitimité de ce changement d'url), mais aucun ne permet
un contact sans donner au préalable soit son ***identifiant d'accès***
aux comptes en ligne (!!!), soit son n° de compte au minimum... ce qui
pourrait très bien être aussi une méthode de hackers...
- les site ont beau être en connexion sécurisée (httpS), les hackers
savent parfaitement faire cela aussi... à partir de serveurs
d'hébergeurs gratuits situés en Russie ou en Chine par exemple... ou
même de serveurs privés cachés dans le trouduculdumonde...
- Les eNews ont annoncées régulièrement dans leur bulletins
d'informations sur la sécurité informatique dans le monde une forte
augmentation des phishings de sites de banques...
- La technique de phishing par envoie d'email faussement identifié est
aujourd'hui dépassée par celle, beaucoup plus dangereuse, du
détournement automatique d'url à partir du site légitime lui-même...
(phishing par redirection)
Alors...
Le site de "la banque postale"... est il phishé ou est il bien celui de
son propriétaire légitime ???
Il me semble que la Banque Postale aurait pu informer ses clients sur la
page web visible APRES saisie de leurs identifiants sur leur site web
habituel... Cela aurait été simple et "secure". Au moins aurait il pu
(du) le mentionner sur leur lettre d'information mensuelle... Mais là, à
défaut, le doute est grand...
Y aurait il des clients la Banque Postale au courant de quelque chose
ici ?
Merci d'avance pour vos contributions (pas moyen d'obtenir mon
conseiller de la banque postale au téléphone jusqu'à présent !)
As-tu déjà reçu ça d'une banque ou équivalent? Moi, à ma connaissance, jamais.
En effet, jamais. Ce sont tous des guignols, et leur sécurité informatique est du tape-à-l'oeil. :(
"leur sécurité informatique" ??
tu veux sûrement dire la sécurité des informations des clients.
dans un fil sur le phishing il est un peu court de blamer les seules banques quand le dommage peut venir de l'imbécilité des usagers - reste que la plupart sont des guignols c'est un fait.
Sylvain.
Nicolas George wrote on 29/03/2008 21:54:
Jeremy JUST wrote in message
<20080329214148.552dd214@norbert.jejust.info>:
As-tu déjà reçu ça d'une banque ou équivalent?
Moi, à ma connaissance, jamais.
En effet, jamais. Ce sont tous des guignols, et leur sécurité informatique
est du tape-à-l'oeil. :(
"leur sécurité informatique" ??
tu veux sûrement dire la sécurité des informations des clients.
dans un fil sur le phishing il est un peu court de blamer les
seules banques quand le dommage peut venir de l'imbécilité des
usagers - reste que la plupart sont des guignols c'est un fait.
As-tu déjà reçu ça d'une banque ou équivalent? Moi, à ma connaissance, jamais.
En effet, jamais. Ce sont tous des guignols, et leur sécurité informatique est du tape-à-l'oeil. :(
"leur sécurité informatique" ??
tu veux sûrement dire la sécurité des informations des clients.
dans un fil sur le phishing il est un peu court de blamer les seules banques quand le dommage peut venir de l'imbécilité des usagers - reste que la plupart sont des guignols c'est un fait.
Sylvain.
Jeremy JUST
Le 29 Mar 2008 22:48:18 GMT,
La question est la suivante : as-tu reçu, par un courrier assez authentifié (le bon endroit pour ça serait le courrier informant du mot de passe d'accès), l'empreinte du certificat TLS utilisé par le site. En effet, jamais. Ce sont tous des guignols, et leur sécurité
informatique est du tape-à-l'oeil. :(
dans un fil sur le phishing il est un peu court de blamer les seules banques quand le dommage peut venir de l'imbécilité des usagers - reste que la plupart sont des guignols c'est un fait.
En l'occurrence, la banque ne fournit pas au client de quoi être sûr qu'il se connecte bien chez elle.
-- Jérémy JUST
Le 29 Mar 2008 22:48:18 GMT,
La question est la suivante : as-tu reçu, par un courrier assez
authentifié (le bon endroit pour ça serait le courrier informant du
mot de passe d'accès), l'empreinte du certificat TLS utilisé par le
site.
En effet, jamais. Ce sont tous des guignols, et leur sécurité
informatique est du tape-à-l'oeil. :(
dans un fil sur le phishing il est un peu court de blamer les
seules banques quand le dommage peut venir de l'imbécilité des
usagers - reste que la plupart sont des guignols c'est un fait.
En l'occurrence, la banque ne fournit pas au client de quoi être sûr
qu'il se connecte bien chez elle.
La question est la suivante : as-tu reçu, par un courrier assez authentifié (le bon endroit pour ça serait le courrier informant du mot de passe d'accès), l'empreinte du certificat TLS utilisé par le site. En effet, jamais. Ce sont tous des guignols, et leur sécurité
informatique est du tape-à-l'oeil. :(
dans un fil sur le phishing il est un peu court de blamer les seules banques quand le dommage peut venir de l'imbécilité des usagers - reste que la plupart sont des guignols c'est un fait.
En l'occurrence, la banque ne fournit pas au client de quoi être sûr qu'il se connecte bien chez elle.
-- Jérémy JUST
Nicolas George
Erwan David wrote in message :
Fais donc comprendre ce que recouvre exactelent SSL et la problématique des identifications à un usager standard. On ne peut pas TOUT demander aux usagers et de ce point de vue le modèle des certificats X509 est pourri.
C'est vrai, mais ça n'excuse pas le fait de ne pas fournir aux utilisateurs qui comprennent déjà ce qui se passe les informations nécessaires pour faire la vérification. Le nivellement par le bas, des fois, ça commence à bien faire.
Erwan David wrote in message
<m2tziozq9p.fsf@ratagaz.depot.rail.eu.org>:
Fais donc comprendre ce que recouvre exactelent SSL et la problématique
des identifications à un usager standard. On ne peut pas TOUT demander
aux usagers et de ce point de vue le modèle des certificats X509 est
pourri.
C'est vrai, mais ça n'excuse pas le fait de ne pas fournir aux utilisateurs
qui comprennent déjà ce qui se passe les informations nécessaires pour faire
la vérification. Le nivellement par le bas, des fois, ça commence à bien
faire.
Fais donc comprendre ce que recouvre exactelent SSL et la problématique des identifications à un usager standard. On ne peut pas TOUT demander aux usagers et de ce point de vue le modèle des certificats X509 est pourri.
C'est vrai, mais ça n'excuse pas le fait de ne pas fournir aux utilisateurs qui comprennent déjà ce qui se passe les informations nécessaires pour faire la vérification. Le nivellement par le bas, des fois, ça commence à bien faire.
Xavier
"Erwan David" a écrit
dans un fil sur le phishing il est un peu court de blamer les seules banques quand le dommage peut venir de l'imbécilité des usagers - reste que la plupart sont des guignols c'est un fait.
Fais donc comprendre ce que recouvre exactelent SSL et la problématique des identifications à un usager standard. On ne peut pas TOUT demander aux usagers et de ce point de vue le modèle des certificats X509 est pourri.
D'autant que toute la sécurité repose sur la consultation du certificat d'identification ! Lequel certificat (X509 donc) était (est ???) contournable... (je ne sais pas ce qu'il en est aujourdhui, mais c'était déjà le cas il y a longtemps)
Donc, imaginons un pirate qui : - installe un serveur web sur son propre PC en Russie ou en Chine (au hasard...) - copie/colle/créé des pages web à l'identique d'une banque, - les met en ligne et détourne un DNS ou truque une url ressemblant à celle de la banque visée, - y ajoute un chiffrement SSL pour obtenir la "fausse sécurité" HTTPS : il suffit de 30 secondes pour installer un tunnel client/serveur vers son propre site qui passe dès lors en https ! Avec pi3web par exemple : http://sebsauvage.net/temp/wink/pi3web_ssl.htm (dès lors le client lambda se croit en sécurité en voyant le petit cadenas... http://pi3web.sourceforge.net/pi3web/) - s'introduit sur le serveur de la banque visée et y installe une redirection (manuelle ou automatique... voire aléatoire pour ne pas attirer l'attention du webmaster...) vers... son site pirate (il pourrait aussi utiliser la technique classique du phishing via email... mais bon... c'est beaucoup moins "académique" et performant !) - parachève son phishing en faisant en sorte de supprimer l'alerte de certificat non valide... http://www.securiteinfo.com/outils/WinSSLMiM.shtml
sur ce dernier point de toute façon, je suis sûr que 98% des gens ne contrôle pas l'identité du certificat X509 (a commencer par moi !!!)... Pareil en ce qui concerne le message d'alerte s'il apparaissait encore... => la majorité cliquerait dessus sans comprendre...
Bon, moi, sur ce coup de labanquepostale, ma parano a prit un peu trop vite le dessus... et je n'ai même pas songé à vérifier l'identité du certificat X504 avant de publier mon post ! Lol ! :-)
"Erwan David" <erwan@rail.eu.org> a écrit
dans un fil sur le phishing il est un peu court de blamer les
seules banques quand le dommage peut venir de l'imbécilité des
usagers - reste que la plupart sont des guignols c'est un fait.
Fais donc comprendre ce que recouvre exactelent SSL et la
problématique
des identifications à un usager standard. On ne peut pas TOUT demander
aux usagers et de ce point de vue le modèle des certificats X509 est
pourri.
D'autant que toute la sécurité repose sur la consultation du certificat
d'identification !
Lequel certificat (X509 donc) était (est ???) contournable... (je ne
sais pas ce qu'il en est aujourdhui, mais c'était déjà le cas il y a
longtemps)
Donc, imaginons un pirate qui :
- installe un serveur web sur son propre PC en Russie ou en Chine (au
hasard...)
- copie/colle/créé des pages web à l'identique d'une banque,
- les met en ligne et détourne un DNS ou truque une url ressemblant à
celle de la banque visée,
- y ajoute un chiffrement SSL pour obtenir la "fausse sécurité" HTTPS :
il suffit de 30 secondes pour installer un tunnel client/serveur vers
son propre site qui passe dès lors en https ! Avec pi3web par exemple :
http://sebsauvage.net/temp/wink/pi3web_ssl.htm (dès lors le client
lambda se croit en sécurité en voyant le petit cadenas...
http://pi3web.sourceforge.net/pi3web/)
- s'introduit sur le serveur de la banque visée et y installe une
redirection (manuelle ou automatique... voire aléatoire pour ne pas
attirer l'attention du webmaster...) vers... son site pirate (il
pourrait aussi utiliser la technique classique du phishing via email...
mais bon... c'est beaucoup moins "académique" et performant !)
- parachève son phishing en faisant en sorte de supprimer l'alerte de
certificat non valide...
http://www.securiteinfo.com/outils/WinSSLMiM.shtml
sur ce dernier point de toute façon, je suis sûr que 98% des gens ne
contrôle pas l'identité du certificat X509 (a commencer par moi !!!)...
Pareil en ce qui concerne le message d'alerte s'il apparaissait
encore... => la majorité cliquerait dessus sans comprendre...
Bon, moi, sur ce coup de labanquepostale, ma parano a prit un peu trop
vite le dessus... et je n'ai même pas songé à vérifier l'identité du
certificat X504 avant de publier mon post ! Lol !
:-)
dans un fil sur le phishing il est un peu court de blamer les seules banques quand le dommage peut venir de l'imbécilité des usagers - reste que la plupart sont des guignols c'est un fait.
Fais donc comprendre ce que recouvre exactelent SSL et la problématique des identifications à un usager standard. On ne peut pas TOUT demander aux usagers et de ce point de vue le modèle des certificats X509 est pourri.
D'autant que toute la sécurité repose sur la consultation du certificat d'identification ! Lequel certificat (X509 donc) était (est ???) contournable... (je ne sais pas ce qu'il en est aujourdhui, mais c'était déjà le cas il y a longtemps)
Donc, imaginons un pirate qui : - installe un serveur web sur son propre PC en Russie ou en Chine (au hasard...) - copie/colle/créé des pages web à l'identique d'une banque, - les met en ligne et détourne un DNS ou truque une url ressemblant à celle de la banque visée, - y ajoute un chiffrement SSL pour obtenir la "fausse sécurité" HTTPS : il suffit de 30 secondes pour installer un tunnel client/serveur vers son propre site qui passe dès lors en https ! Avec pi3web par exemple : http://sebsauvage.net/temp/wink/pi3web_ssl.htm (dès lors le client lambda se croit en sécurité en voyant le petit cadenas... http://pi3web.sourceforge.net/pi3web/) - s'introduit sur le serveur de la banque visée et y installe une redirection (manuelle ou automatique... voire aléatoire pour ne pas attirer l'attention du webmaster...) vers... son site pirate (il pourrait aussi utiliser la technique classique du phishing via email... mais bon... c'est beaucoup moins "académique" et performant !) - parachève son phishing en faisant en sorte de supprimer l'alerte de certificat non valide... http://www.securiteinfo.com/outils/WinSSLMiM.shtml
sur ce dernier point de toute façon, je suis sûr que 98% des gens ne contrôle pas l'identité du certificat X509 (a commencer par moi !!!)... Pareil en ce qui concerne le message d'alerte s'il apparaissait encore... => la majorité cliquerait dessus sans comprendre...
Bon, moi, sur ce coup de labanquepostale, ma parano a prit un peu trop vite le dessus... et je n'ai même pas songé à vérifier l'identité du certificat X504 avant de publier mon post ! Lol ! :-)
Xavier
dans un fil sur le phishing il est un peu court de blamer les seules banques quand le dommage peut venir de l'imbécilité des usagers - reste que la plupart sont des guignols c'est un fait.
Fais donc comprendre ce que recouvre exactelent SSL et la problématique des identifications à un usager standard. On ne peut pas TOUT demander aux usagers et de ce point de vue le modèle des certificats X509 est pourri.
dans un fil sur le phishing il est un peu court de blamer les
seules banques quand le dommage peut venir de l'imbécilité des
usagers - reste que la plupart sont des guignols c'est un fait.
Fais donc comprendre ce que recouvre exactelent SSL et la
problématique
des identifications à un usager standard. On ne peut pas TOUT demander
aux usagers et de ce point de vue le modèle des certificats X509 est
pourri.
dans un fil sur le phishing il est un peu court de blamer les seules banques quand le dommage peut venir de l'imbécilité des usagers - reste que la plupart sont des guignols c'est un fait.
Fais donc comprendre ce que recouvre exactelent SSL et la problématique des identifications à un usager standard. On ne peut pas TOUT demander aux usagers et de ce point de vue le modèle des certificats X509 est pourri.
Lequel certificat (X509 donc) était (est ???) contournable... (je ne sais pas ce qu'il en est aujourdhui, mais c'était déjà le cas il y a longtemps)
Euh, non, ce n'est pas vrai. Le certificat est lié au DNS, et les autorités de certification reconnues par défaut par les navigateurs sont un minimum sérieuses pour délivrer les certificats.
- s'introduit sur le serveur de la banque visée
... Il fait ça entre le moment où il résout le problème de la faim dans le monde et celui où il gagne le prix Nobel de littérature, j'imagine ?
Si le pirate est capable de s'introduire sur le serveur de la banque, il peut de toutes façons faire à peu près ce qu'il veut, c'est une évidence.
"Xavier" wrote in message <47ef63c0$0$867$ba4acef3@news.orange.fr>:
Lequel certificat (X509 donc) était (est ???) contournable... (je ne
sais pas ce qu'il en est aujourdhui, mais c'était déjà le cas il y a
longtemps)
Euh, non, ce n'est pas vrai. Le certificat est lié au DNS, et les autorités
de certification reconnues par défaut par les navigateurs sont un minimum
sérieuses pour délivrer les certificats.
- s'introduit sur le serveur de la banque visée
... Il fait ça entre le moment où il résout le problème de la faim dans le
monde et celui où il gagne le prix Nobel de littérature, j'imagine ?
Si le pirate est capable de s'introduire sur le serveur de la banque, il
peut de toutes façons faire à peu près ce qu'il veut, c'est une évidence.
Lequel certificat (X509 donc) était (est ???) contournable... (je ne sais pas ce qu'il en est aujourdhui, mais c'était déjà le cas il y a longtemps)
Euh, non, ce n'est pas vrai. Le certificat est lié au DNS, et les autorités de certification reconnues par défaut par les navigateurs sont un minimum sérieuses pour délivrer les certificats.
- s'introduit sur le serveur de la banque visée
... Il fait ça entre le moment où il résout le problème de la faim dans le monde et celui où il gagne le prix Nobel de littérature, j'imagine ?
Si le pirate est capable de s'introduire sur le serveur de la banque, il peut de toutes façons faire à peu près ce qu'il veut, c'est une évidence.
Xavier
"Nicolas George" <nicolas$ a écrit dans le message de news: 47ef6891$0$23404$
"Xavier" wrote in message <47ef63c0$0$867$:
Lequel certificat (X509 donc) était (est ???) contournable... (je ne sais pas ce qu'il en est aujourdhui, mais c'était déjà le cas il y a longtemps)
Euh, non, ce n'est pas vrai. Le certificat est lié au DNS, et les autorités de certification reconnues par défaut par les navigateurs sont un minimum sérieuses pour délivrer les certificats.
un serveur DNS ça se spouf... et dans ce cas son url est usurpée, et, dans le cas d'un phising de type 2, le "Faux" site est une copie exacte du site légitime utilisant le protocole HTTPS indiqué par l'icône du cadenas dans la barre d'état - qui suffit généralement à faire que la trés grande majorité des utilisateurs le considérent comme un site approuvé. Les auteurs de ce type d'attaque réalisent cet aspect de confiance par l'émission d'un "vrai-faux" certificat numérique SSL qui force Windows à ouvrir la boite de dialogue d'alerte indiquant aux sufers qu'ils visitent un site soi-disant sécurisé, et, par méconnaissance, bon nombre d'utilisateurs cliquent « oui » pour continuer leur surf... car la vision du cadenas et du https les rassurent. Or ***SI ON LIT*** le contenu de cette boite de dialogue on peut alors, et seulement là, s'apercevoir que le certificat ***n'est pas émis par une autorité de confiance***. Le comble c'est qu'il arrive que certains propriétaires légitimes d'un site n'aient pas renouvelés à temps le certificat d'authentification (chez verisign,etc) ce qui tend à banaliser l'ouverture de cette boite de dialogue d'alerte dont l'intérêt n'est pas compris par la majorité des gens...
- s'introduit sur le serveur de la banque visée
... Il fait ça entre le moment où il résout le problème de la faim dans le monde et celui où il gagne le prix Nobel de littérature, j'imagine ?
vous êtes très drôle...
Si le pirate est capable de s'introduire sur le serveur de la banque, il peut de toutes façons faire à peu près ce qu'il veut, c'est une évidence.
nous sommes bien d'accord. Et ils y arrivent... de temps à autre. Le tout étant pour eux qu'ils parviennent à y rester inaperçu le plus longtemps possible. Et si vous doutez qu'ils puissent y arriver, c'est certainement que vous vous informez bien plus de ce qui concerne la faim dans le monde et le prix Nobel de littérature que de la sécurité informatique...
ce en quoi personne ne vous en voudra...
"Nicolas George" <nicolas$george@salle-s.org> a écrit dans le message de
news: 47ef6891$0$23404$426a34cc@news.free.fr...
"Xavier" wrote in message <47ef63c0$0$867$ba4acef3@news.orange.fr>:
Lequel certificat (X509 donc) était (est ???) contournable... (je ne
sais pas ce qu'il en est aujourdhui, mais c'était déjà le cas il y a
longtemps)
Euh, non, ce n'est pas vrai. Le certificat est lié au DNS, et les
autorités
de certification reconnues par défaut par les navigateurs sont un
minimum
sérieuses pour délivrer les certificats.
un serveur DNS ça se spouf... et dans ce cas son url est usurpée,
et,
dans le cas d'un phising de type 2, le "Faux" site est une copie exacte
du site légitime utilisant le protocole HTTPS indiqué par l'icône du
cadenas dans la barre d'état - qui suffit généralement à faire que la
trés grande majorité des utilisateurs le considérent comme un site
approuvé. Les auteurs de ce type d'attaque réalisent cet aspect de
confiance par l'émission d'un "vrai-faux" certificat numérique SSL qui
force Windows à ouvrir la boite de dialogue d'alerte indiquant aux
sufers qu'ils visitent un site soi-disant sécurisé, et, par
méconnaissance, bon nombre d'utilisateurs cliquent « oui » pour
continuer leur surf... car la vision du cadenas et du https les
rassurent.
Or ***SI ON LIT*** le contenu de cette boite de dialogue on peut alors,
et seulement là, s'apercevoir que le certificat ***n'est pas émis par
une autorité de confiance***.
Le comble c'est qu'il arrive que certains propriétaires légitimes d'un
site n'aient pas renouvelés à temps le certificat d'authentification
(chez verisign,etc) ce qui tend à banaliser l'ouverture de cette boite
de dialogue d'alerte dont l'intérêt n'est pas compris par la majorité
des gens...
- s'introduit sur le serveur de la banque visée
... Il fait ça entre le moment où il résout le problème de la faim
dans le
monde et celui où il gagne le prix Nobel de littérature, j'imagine ?
vous êtes très drôle...
Si le pirate est capable de s'introduire sur le serveur de la banque,
il
peut de toutes façons faire à peu près ce qu'il veut, c'est une
évidence.
nous sommes bien d'accord.
Et ils y arrivent... de temps à autre.
Le tout étant pour eux qu'ils parviennent à y rester inaperçu le plus
longtemps possible.
Et si vous doutez qu'ils puissent y arriver, c'est certainement que vous
vous informez bien plus de ce qui concerne la faim dans le monde et le
prix Nobel de littérature que de la sécurité informatique...
"Nicolas George" <nicolas$ a écrit dans le message de news: 47ef6891$0$23404$
"Xavier" wrote in message <47ef63c0$0$867$:
Lequel certificat (X509 donc) était (est ???) contournable... (je ne sais pas ce qu'il en est aujourdhui, mais c'était déjà le cas il y a longtemps)
Euh, non, ce n'est pas vrai. Le certificat est lié au DNS, et les autorités de certification reconnues par défaut par les navigateurs sont un minimum sérieuses pour délivrer les certificats.
un serveur DNS ça se spouf... et dans ce cas son url est usurpée, et, dans le cas d'un phising de type 2, le "Faux" site est une copie exacte du site légitime utilisant le protocole HTTPS indiqué par l'icône du cadenas dans la barre d'état - qui suffit généralement à faire que la trés grande majorité des utilisateurs le considérent comme un site approuvé. Les auteurs de ce type d'attaque réalisent cet aspect de confiance par l'émission d'un "vrai-faux" certificat numérique SSL qui force Windows à ouvrir la boite de dialogue d'alerte indiquant aux sufers qu'ils visitent un site soi-disant sécurisé, et, par méconnaissance, bon nombre d'utilisateurs cliquent « oui » pour continuer leur surf... car la vision du cadenas et du https les rassurent. Or ***SI ON LIT*** le contenu de cette boite de dialogue on peut alors, et seulement là, s'apercevoir que le certificat ***n'est pas émis par une autorité de confiance***. Le comble c'est qu'il arrive que certains propriétaires légitimes d'un site n'aient pas renouvelés à temps le certificat d'authentification (chez verisign,etc) ce qui tend à banaliser l'ouverture de cette boite de dialogue d'alerte dont l'intérêt n'est pas compris par la majorité des gens...
- s'introduit sur le serveur de la banque visée
... Il fait ça entre le moment où il résout le problème de la faim dans le monde et celui où il gagne le prix Nobel de littérature, j'imagine ?
vous êtes très drôle...
Si le pirate est capable de s'introduire sur le serveur de la banque, il peut de toutes façons faire à peu près ce qu'il veut, c'est une évidence.
nous sommes bien d'accord. Et ils y arrivent... de temps à autre. Le tout étant pour eux qu'ils parviennent à y rester inaperçu le plus longtemps possible. Et si vous doutez qu'ils puissent y arriver, c'est certainement que vous vous informez bien plus de ce qui concerne la faim dans le monde et le prix Nobel de littérature que de la sécurité informatique...
ce en quoi personne ne vous en voudra...
Nicolas George
"Xavier" wrote in message <47ef7a60$0$867$:
un serveur DNS ça se spouf...
C'est vrai, mais ce n'est pas si facile que tu sembles le penser, loin de là. Et surtout, c'est hors sujet ici, puisque justement, le mécanisme des certificats TLS protège de cette attaque. C'est même essentiellement la seule attaque dont ils protègent.
Or ***SI ON LIT*** le contenu de cette boite de dialogue on peut alors, et seulement là, s'apercevoir que le certificat ***n'est pas émis par une autorité de confiance***.
Voilà, c'est tout. Il suffit que l'utilisateur fasse attention, il a toutes les cartes en main, au moins pour ce qui est de l'attaque consistant à empoisonner le DNS.
Évidemment, si l'utilisateur fait n'importe quoi, il se fait pigeonner. Ça n'est pas une remarque très intéressante dans le cadre de cette discussion.
Et ils y arrivent... de temps à autre.
Rarement, heureusement. Mais le point important, c'est que quand ils y arrivent, il n'y a strictement rien que l'usager puisse faire pour s'en protéger.
Le tout étant pour eux qu'ils parviennent à y rester inaperçu le plus longtemps possible.
Eh pour rester inaperçu, mettre en place une redirection vers un site extérieur est indubitablement une des pires idées possibles.
"Xavier" wrote in message <47ef7a60$0$867$ba4acef3@news.orange.fr>:
un serveur DNS ça se spouf...
C'est vrai, mais ce n'est pas si facile que tu sembles le penser, loin de
là. Et surtout, c'est hors sujet ici, puisque justement, le mécanisme des
certificats TLS protège de cette attaque. C'est même essentiellement la
seule attaque dont ils protègent.
Or ***SI ON LIT*** le contenu de cette boite de dialogue on peut alors,
et seulement là, s'apercevoir que le certificat ***n'est pas émis par
une autorité de confiance***.
Voilà, c'est tout. Il suffit que l'utilisateur fasse attention, il a toutes
les cartes en main, au moins pour ce qui est de l'attaque consistant à
empoisonner le DNS.
Évidemment, si l'utilisateur fait n'importe quoi, il se fait pigeonner. Ça
n'est pas une remarque très intéressante dans le cadre de cette discussion.
Et ils y arrivent... de temps à autre.
Rarement, heureusement. Mais le point important, c'est que quand ils y
arrivent, il n'y a strictement rien que l'usager puisse faire pour s'en
protéger.
Le tout étant pour eux qu'ils parviennent à y rester inaperçu le plus
longtemps possible.
Eh pour rester inaperçu, mettre en place une redirection vers un site
extérieur est indubitablement une des pires idées possibles.
C'est vrai, mais ce n'est pas si facile que tu sembles le penser, loin de là. Et surtout, c'est hors sujet ici, puisque justement, le mécanisme des certificats TLS protège de cette attaque. C'est même essentiellement la seule attaque dont ils protègent.
Or ***SI ON LIT*** le contenu de cette boite de dialogue on peut alors, et seulement là, s'apercevoir que le certificat ***n'est pas émis par une autorité de confiance***.
Voilà, c'est tout. Il suffit que l'utilisateur fasse attention, il a toutes les cartes en main, au moins pour ce qui est de l'attaque consistant à empoisonner le DNS.
Évidemment, si l'utilisateur fait n'importe quoi, il se fait pigeonner. Ça n'est pas une remarque très intéressante dans le cadre de cette discussion.
Et ils y arrivent... de temps à autre.
Rarement, heureusement. Mais le point important, c'est que quand ils y arrivent, il n'y a strictement rien que l'usager puisse faire pour s'en protéger.
Le tout étant pour eux qu'ils parviennent à y rester inaperçu le plus longtemps possible.
Eh pour rester inaperçu, mettre en place une redirection vers un site extérieur est indubitablement une des pires idées possibles.
Xavier
"Nicolas George" <nicolas$ a écrit dans le message de news: 47ef80ec$0$2696$
"Xavier" wrote in message <47ef7a60$0$867$:
un serveur DNS ça se spouf...
C'est vrai, mais ce n'est pas si facile que tu sembles le penser, loin de là.
Je ne suis pas un "homme de l'art" certes. Seulement quelqu'un qui tente de se tenir au courant de l'actualité concernant la sécurité informatique. Mais, sachant combien ce genre d'attaques sur les serveurs bancaires sont tenues secrètes par les banques elles même, qui ne tiennent vraiment pas à ce que de telles mauvaises publicités puissent remettre en cause le niveau de sécurité présumé par leurs clients, je fais confiance (malheureusement) aux sombres hommes de l'art (les hackers donc) pour maîtriser la mise en pratique de ce genre de malveillances. Chose dont, pour votre part, vous sembliez laisser penser ici que c'était quasi impossible...
Je ne serai pas étonné quand on m'apprendra qu'un nouveau dispositif malveillant aura réussi à intégrer la propre liste des CA reconnue par nos navigateurs... ajoutant sa propre CA malveillante...
Or ***SI ON LIT*** le contenu de cette boite de dialogue on peut alors, et seulement là, s'apercevoir que le certificat ***n'est pas émis par une autorité de confiance***.
Voilà, c'est tout. Il suffit que l'utilisateur fasse attention, il a toutes les cartes en main, au moins pour ce qui est de l'attaque consistant à empoisonner le DNS.
Vous devriez lancer un sondage pour évaluer combien, parmi les utilisateurs d'informatique, connaissent l'utilité, et l'utilisation, d'un certificat d'authentification !!
Évidemment, si l'utilisateur fait n'importe quoi, il se fait pigeonner.
L'utilisateur ne fait pas forcément n'importe quoi... il **ne sait pas**. Nuance. Certes Henri Ford à construit et vendu des automobiles sans se préoccuper d'apprendre à conduire à ses clients, et il y a probablement eu des milliers de morts sans responsable... mais il faudra bien que les banques se mettent à éduquer leurs clients (ne serait ce qu'en diffusant l'information sur leurs sites) ! Je vous assure que le jour où une loi les y obligera -à défaut de quoi elles se verraient entièrement responsables des éventuelles pertes financières de leurs clients-... elle s'y mettront (comme on a obligé au permis de conduire automobile d'une certaine manière)
Ça n'est pas une remarque très intéressante dans le cadre de cette discussion.
Moi je trouve que si au contraire. Mon sujet était 'comment être certain de l'authentification du nouveau site' (non annoncé pour ce qui concerne la consultation des cptes en ligne des anciens clients CCP), de labanquepostale, sans renseigner aucun champ éventuellement "indiscret"... et nous sommes toujours dans le sujet.
Et ils y arrivent... de temps à autre.
Rarement, heureusement. Mais le point important, c'est que quand ils y arrivent, il n'y a strictement rien que l'usager puisse faire pour s'en protéger.
C'est bien pouquoi j'étais venu à l'information ici... des fois qu'une information de dernière minute m'aurait échappée
Le tout étant pour eux qu'ils parviennent à y rester inaperçu le plus longtemps possible.
Eh pour rester inaperçu, mettre en place une redirection vers un site extérieur est indubitablement une des pires idées possibles.
"Nicolas George" <nicolas$george@salle-s.org> a écrit dans le message de
news: 47ef80ec$0$2696$426a74cc@news.free.fr...
"Xavier" wrote in message <47ef7a60$0$867$ba4acef3@news.orange.fr>:
un serveur DNS ça se spouf...
C'est vrai, mais ce n'est pas si facile que tu sembles le penser, loin
de
là.
Je ne suis pas un "homme de l'art" certes. Seulement quelqu'un qui tente
de se tenir au courant de l'actualité concernant la sécurité
informatique. Mais, sachant combien ce genre d'attaques sur les serveurs
bancaires sont tenues secrètes par les banques elles même, qui ne
tiennent vraiment pas à ce que de telles mauvaises publicités puissent
remettre en cause le niveau de sécurité présumé par leurs clients, je
fais confiance (malheureusement) aux sombres hommes de l'art (les
hackers donc) pour maîtriser la mise en pratique de ce genre de
malveillances. Chose dont, pour votre part, vous sembliez laisser penser
ici que c'était quasi impossible...
Je ne serai pas étonné quand on m'apprendra qu'un nouveau dispositif
malveillant aura réussi à intégrer la propre liste des CA reconnue par
nos navigateurs... ajoutant sa propre CA malveillante...
Or ***SI ON LIT*** le contenu de cette boite de dialogue on peut
alors,
et seulement là, s'apercevoir que le certificat ***n'est pas émis par
une autorité de confiance***.
Voilà, c'est tout. Il suffit que l'utilisateur fasse attention, il a
toutes
les cartes en main, au moins pour ce qui est de l'attaque consistant à
empoisonner le DNS.
Vous devriez lancer un sondage pour évaluer combien, parmi les
utilisateurs d'informatique, connaissent l'utilité, et l'utilisation,
d'un certificat d'authentification !!
Évidemment, si l'utilisateur fait n'importe quoi, il se fait
pigeonner.
L'utilisateur ne fait pas forcément n'importe quoi... il **ne sait
pas**. Nuance.
Certes Henri Ford à construit et vendu des automobiles sans se
préoccuper d'apprendre à conduire à ses clients, et il y a probablement
eu des milliers de morts sans responsable... mais il faudra bien que les
banques se mettent à éduquer leurs clients (ne serait ce qu'en diffusant
l'information sur leurs sites) ! Je vous assure que le jour où une loi
les y obligera -à défaut de quoi elles se verraient entièrement
responsables des éventuelles pertes financières de leurs clients-...
elle s'y mettront (comme on a obligé au permis de conduire automobile
d'une certaine manière)
Ça n'est pas une remarque très intéressante dans le cadre de cette
discussion.
Moi je trouve que si au contraire. Mon sujet était 'comment être certain
de l'authentification du nouveau site' (non annoncé pour ce qui concerne
la consultation des cptes en ligne des anciens clients CCP), de
labanquepostale, sans renseigner aucun champ éventuellement
"indiscret"... et nous sommes toujours dans le sujet.
Et ils y arrivent... de temps à autre.
Rarement, heureusement. Mais le point important, c'est que quand ils y
arrivent, il n'y a strictement rien que l'usager puisse faire pour
s'en
protéger.
C'est bien pouquoi j'étais venu à l'information ici... des fois qu'une
information de dernière minute m'aurait échappée
Le tout étant pour eux qu'ils parviennent à y rester inaperçu le plus
longtemps possible.
Eh pour rester inaperçu, mettre en place une redirection vers un site
extérieur est indubitablement une des pires idées possibles.
"Nicolas George" <nicolas$ a écrit dans le message de news: 47ef80ec$0$2696$
"Xavier" wrote in message <47ef7a60$0$867$:
un serveur DNS ça se spouf...
C'est vrai, mais ce n'est pas si facile que tu sembles le penser, loin de là.
Je ne suis pas un "homme de l'art" certes. Seulement quelqu'un qui tente de se tenir au courant de l'actualité concernant la sécurité informatique. Mais, sachant combien ce genre d'attaques sur les serveurs bancaires sont tenues secrètes par les banques elles même, qui ne tiennent vraiment pas à ce que de telles mauvaises publicités puissent remettre en cause le niveau de sécurité présumé par leurs clients, je fais confiance (malheureusement) aux sombres hommes de l'art (les hackers donc) pour maîtriser la mise en pratique de ce genre de malveillances. Chose dont, pour votre part, vous sembliez laisser penser ici que c'était quasi impossible...
Je ne serai pas étonné quand on m'apprendra qu'un nouveau dispositif malveillant aura réussi à intégrer la propre liste des CA reconnue par nos navigateurs... ajoutant sa propre CA malveillante...
Or ***SI ON LIT*** le contenu de cette boite de dialogue on peut alors, et seulement là, s'apercevoir que le certificat ***n'est pas émis par une autorité de confiance***.
Voilà, c'est tout. Il suffit que l'utilisateur fasse attention, il a toutes les cartes en main, au moins pour ce qui est de l'attaque consistant à empoisonner le DNS.
Vous devriez lancer un sondage pour évaluer combien, parmi les utilisateurs d'informatique, connaissent l'utilité, et l'utilisation, d'un certificat d'authentification !!
Évidemment, si l'utilisateur fait n'importe quoi, il se fait pigeonner.
L'utilisateur ne fait pas forcément n'importe quoi... il **ne sait pas**. Nuance. Certes Henri Ford à construit et vendu des automobiles sans se préoccuper d'apprendre à conduire à ses clients, et il y a probablement eu des milliers de morts sans responsable... mais il faudra bien que les banques se mettent à éduquer leurs clients (ne serait ce qu'en diffusant l'information sur leurs sites) ! Je vous assure que le jour où une loi les y obligera -à défaut de quoi elles se verraient entièrement responsables des éventuelles pertes financières de leurs clients-... elle s'y mettront (comme on a obligé au permis de conduire automobile d'une certaine manière)
Ça n'est pas une remarque très intéressante dans le cadre de cette discussion.
Moi je trouve que si au contraire. Mon sujet était 'comment être certain de l'authentification du nouveau site' (non annoncé pour ce qui concerne la consultation des cptes en ligne des anciens clients CCP), de labanquepostale, sans renseigner aucun champ éventuellement "indiscret"... et nous sommes toujours dans le sujet.
Et ils y arrivent... de temps à autre.
Rarement, heureusement. Mais le point important, c'est que quand ils y arrivent, il n'y a strictement rien que l'usager puisse faire pour s'en protéger.
C'est bien pouquoi j'étais venu à l'information ici... des fois qu'une information de dernière minute m'aurait échappée
Le tout étant pour eux qu'ils parviennent à y rester inaperçu le plus longtemps possible.
Eh pour rester inaperçu, mettre en place une redirection vers un site extérieur est indubitablement une des pires idées possibles.
Nicolas George
"Xavier" wrote in message <47efa1b8$0$869$:
Je ne suis pas un "homme de l'art" certes. Seulement quelqu'un qui tente de se tenir au courant de l'actualité concernant la sécurité informatique.
Pour se tenir au courant, il y a plusieurs moyens. Consulter des sites qui visent le sensationnalisme et ne fournissent strictement aucune information technique, c'est un des pires qui puissent se trouver.
Mais, sachant combien ce genre d'attaques sur les serveurs bancaires sont tenues secrètes par les banques elles même,
On commence à sombrer dans la théorie du complot.
Vous devriez lancer un sondage pour évaluer combien, parmi les utilisateurs d'informatique, connaissent l'utilité, et l'utilisation, d'un certificat d'authentification !!
Je ne suis pas responsable du compte en banque d'autres personnes que moi, donc ce qui m'intéresse, c'est la sécurité que _je_ peux espérer. Si les autres ont envie de jouer au loto ou d'utiliser des sites web sans prendre de précautions, c'est leur problème, pas le mien.
L'utilisateur ne fait pas forcément n'importe quoi... il **ne sait pas**. Nuance.
Faire quelque chose qui a des conséquences évidentes sans se renseigner un minimum, c'est faire n'importe quoi, à la base.
Je vous assure que le jour où une loi les y obligera -à défaut de quoi elles se verraient entièrement responsables des éventuelles pertes financières de leurs clients-... elle s'y mettront
En l'état, quelqu'un qui perd de l'argent par sa propre maladresse est responsable, ça devrait l'inciter à se renseigner. L'un dans l'autre, on peut à la limite regretter qu'il n'y ait pas plus de cas de fraude, pour forcer les gens à ne pas faire n'importe quoi.
Moi je trouve que si au contraire. Mon sujet était 'comment être certain de l'authentification du nouveau site'
La réponse, je l'ai donnée : en vérifiant le certificat. Il n'y en a pas d'autre.
"Xavier" wrote in message <47efa1b8$0$869$ba4acef3@news.orange.fr>:
Je ne suis pas un "homme de l'art" certes. Seulement quelqu'un qui tente
de se tenir au courant de l'actualité concernant la sécurité
informatique.
Pour se tenir au courant, il y a plusieurs moyens. Consulter des sites qui
visent le sensationnalisme et ne fournissent strictement aucune information
technique, c'est un des pires qui puissent se trouver.
Mais, sachant combien ce genre d'attaques sur les serveurs
bancaires sont tenues secrètes par les banques elles même,
On commence à sombrer dans la théorie du complot.
Vous devriez lancer un sondage pour évaluer combien, parmi les
utilisateurs d'informatique, connaissent l'utilité, et l'utilisation,
d'un certificat d'authentification !!
Je ne suis pas responsable du compte en banque d'autres personnes que moi,
donc ce qui m'intéresse, c'est la sécurité que _je_ peux espérer. Si les
autres ont envie de jouer au loto ou d'utiliser des sites web sans prendre
de précautions, c'est leur problème, pas le mien.
L'utilisateur ne fait pas forcément n'importe quoi... il **ne sait
pas**. Nuance.
Faire quelque chose qui a des conséquences évidentes sans se renseigner un
minimum, c'est faire n'importe quoi, à la base.
Je vous assure que le jour où une loi
les y obligera -à défaut de quoi elles se verraient entièrement
responsables des éventuelles pertes financières de leurs clients-...
elle s'y mettront
En l'état, quelqu'un qui perd de l'argent par sa propre maladresse est
responsable, ça devrait l'inciter à se renseigner. L'un dans l'autre, on
peut à la limite regretter qu'il n'y ait pas plus de cas de fraude, pour
forcer les gens à ne pas faire n'importe quoi.
Moi je trouve que si au contraire. Mon sujet était 'comment être certain
de l'authentification du nouveau site'
La réponse, je l'ai donnée : en vérifiant le certificat. Il n'y en a pas
d'autre.
Je ne suis pas un "homme de l'art" certes. Seulement quelqu'un qui tente de se tenir au courant de l'actualité concernant la sécurité informatique.
Pour se tenir au courant, il y a plusieurs moyens. Consulter des sites qui visent le sensationnalisme et ne fournissent strictement aucune information technique, c'est un des pires qui puissent se trouver.
Mais, sachant combien ce genre d'attaques sur les serveurs bancaires sont tenues secrètes par les banques elles même,
On commence à sombrer dans la théorie du complot.
Vous devriez lancer un sondage pour évaluer combien, parmi les utilisateurs d'informatique, connaissent l'utilité, et l'utilisation, d'un certificat d'authentification !!
Je ne suis pas responsable du compte en banque d'autres personnes que moi, donc ce qui m'intéresse, c'est la sécurité que _je_ peux espérer. Si les autres ont envie de jouer au loto ou d'utiliser des sites web sans prendre de précautions, c'est leur problème, pas le mien.
L'utilisateur ne fait pas forcément n'importe quoi... il **ne sait pas**. Nuance.
Faire quelque chose qui a des conséquences évidentes sans se renseigner un minimum, c'est faire n'importe quoi, à la base.
Je vous assure que le jour où une loi les y obligera -à défaut de quoi elles se verraient entièrement responsables des éventuelles pertes financières de leurs clients-... elle s'y mettront
En l'état, quelqu'un qui perd de l'argent par sa propre maladresse est responsable, ça devrait l'inciter à se renseigner. L'un dans l'autre, on peut à la limite regretter qu'il n'y ait pas plus de cas de fraude, pour forcer les gens à ne pas faire n'importe quoi.
Moi je trouve que si au contraire. Mon sujet était 'comment être certain de l'authentification du nouveau site'
La réponse, je l'ai donnée : en vérifiant le certificat. Il n'y en a pas d'autre.
