Mais, sachant combien ce genre d'attaques sur les serveurs
bancaires sont tenues secrètes par les banques elles même,
On commence à sombrer dans la théorie du complot.
Vous devriez lancer un sondage pour évaluer combien, parmi les
utilisateurs d'informatique, connaissent l'utilité, et l'utilisation,
d'un certificat d'authentification !!
Je ne suis pas responsable du compte en banque d'autres personnes que
moi,
donc ce qui m'intéresse, c'est la sécurité que _je_ peux espérer. Si
les
autres ont envie de jouer au loto ou d'utiliser des sites web sans
prendre
de précautions, c'est leur problème, pas le mien.
L'utilisateur ne fait pas forcément n'importe quoi... il **ne sait
pas**. Nuance.
Faire quelque chose qui a des conséquences évidentes sans se
renseigner un
minimum, c'est faire n'importe quoi, à la base.
Je vous assure que le jour où une loi
les y obligera -à défaut de quoi elles se verraient entièrement
responsables des éventuelles pertes financières de leurs clients-...
elle s'y mettront
En l'état, quelqu'un qui perd de l'argent par sa propre maladresse est
responsable, ça devrait l'inciter à se renseigner. L'un dans l'autre,
on
peut à la limite regretter qu'il n'y ait pas plus de cas de fraude,
pour
forcer les gens à ne pas faire n'importe quoi.
Moi je trouve que si au contraire. Mon sujet était 'comment être
certain
de l'authentification du nouveau site'
La réponse, je l'ai donnée : en vérifiant le certificat. Il n'y en a
pas
d'autre.
Mais, sachant combien ce genre d'attaques sur les serveurs
bancaires sont tenues secrètes par les banques elles même,
On commence à sombrer dans la théorie du complot.
Vous devriez lancer un sondage pour évaluer combien, parmi les
utilisateurs d'informatique, connaissent l'utilité, et l'utilisation,
d'un certificat d'authentification !!
Je ne suis pas responsable du compte en banque d'autres personnes que
moi,
donc ce qui m'intéresse, c'est la sécurité que _je_ peux espérer. Si
les
autres ont envie de jouer au loto ou d'utiliser des sites web sans
prendre
de précautions, c'est leur problème, pas le mien.
L'utilisateur ne fait pas forcément n'importe quoi... il **ne sait
pas**. Nuance.
Faire quelque chose qui a des conséquences évidentes sans se
renseigner un
minimum, c'est faire n'importe quoi, à la base.
Je vous assure que le jour où une loi
les y obligera -à défaut de quoi elles se verraient entièrement
responsables des éventuelles pertes financières de leurs clients-...
elle s'y mettront
En l'état, quelqu'un qui perd de l'argent par sa propre maladresse est
responsable, ça devrait l'inciter à se renseigner. L'un dans l'autre,
on
peut à la limite regretter qu'il n'y ait pas plus de cas de fraude,
pour
forcer les gens à ne pas faire n'importe quoi.
Moi je trouve que si au contraire. Mon sujet était 'comment être
certain
de l'authentification du nouveau site'
La réponse, je l'ai donnée : en vérifiant le certificat. Il n'y en a
pas
d'autre.
Mais, sachant combien ce genre d'attaques sur les serveurs
bancaires sont tenues secrètes par les banques elles même,
On commence à sombrer dans la théorie du complot.
Vous devriez lancer un sondage pour évaluer combien, parmi les
utilisateurs d'informatique, connaissent l'utilité, et l'utilisation,
d'un certificat d'authentification !!
Je ne suis pas responsable du compte en banque d'autres personnes que
moi,
donc ce qui m'intéresse, c'est la sécurité que _je_ peux espérer. Si
les
autres ont envie de jouer au loto ou d'utiliser des sites web sans
prendre
de précautions, c'est leur problème, pas le mien.
L'utilisateur ne fait pas forcément n'importe quoi... il **ne sait
pas**. Nuance.
Faire quelque chose qui a des conséquences évidentes sans se
renseigner un
minimum, c'est faire n'importe quoi, à la base.
Je vous assure que le jour où une loi
les y obligera -à défaut de quoi elles se verraient entièrement
responsables des éventuelles pertes financières de leurs clients-...
elle s'y mettront
En l'état, quelqu'un qui perd de l'argent par sa propre maladresse est
responsable, ça devrait l'inciter à se renseigner. L'un dans l'autre,
on
peut à la limite regretter qu'il n'y ait pas plus de cas de fraude,
pour
forcer les gens à ne pas faire n'importe quoi.
Moi je trouve que si au contraire. Mon sujet était 'comment être
certain
de l'authentification du nouveau site'
La réponse, je l'ai donnée : en vérifiant le certificat. Il n'y en a
pas
d'autre.
Bon ok... il n'y a pas de piège alors...
ça fonctionne normalement en effet.
Merci à tous pour vos éclaircissements.
(quand même... chez labanquepostale... ils auraient pu communiquer avec
les anciens du CCP comme moi... pour nous informer que videoposte_com
allait être redirigé !)
Regarde sur tes relevés de comptes: ça fait des mois que l'adresse est
Bon ok... il n'y a pas de piège alors...
ça fonctionne normalement en effet.
Merci à tous pour vos éclaircissements.
(quand même... chez labanquepostale... ils auraient pu communiquer avec
les anciens du CCP comme moi... pour nous informer que videoposte_com
allait être redirigé !)
Regarde sur tes relevés de comptes: ça fait des mois que l'adresse est
Bon ok... il n'y a pas de piège alors...
ça fonctionne normalement en effet.
Merci à tous pour vos éclaircissements.
(quand même... chez labanquepostale... ils auraient pu communiquer avec
les anciens du CCP comme moi... pour nous informer que videoposte_com
allait être redirigé !)
Regarde sur tes relevés de comptes: ça fait des mois que l'adresse est
Le 29 Mar 2008 22:48:18 GMT,La question est la suivante : as-tu reçu, par un courrier assez
authentifié (le bon endroit pour ça serait le courrier informant du
mot de passe d'accès), l'empreinte du certificat TLS utilisé par le
site.
En effet, jamais. Ce sont tous des guignols, et leur sécurité
informatique est du tape-à-l'oeil. :(
dans un fil sur le phishing il est un peu court de blamer les
seules banques quand le dommage peut venir de l'imbécilité des
usagers - reste que la plupart sont des guignols c'est un fait.
En l'occurrence, la banque ne fournit pas au client de quoi être sûr
qu'il se connecte bien chez elle.
Vous ne lisez jamais vos relevez de compte ?
Le 29 Mar 2008 22:48:18 GMT,
La question est la suivante : as-tu reçu, par un courrier assez
authentifié (le bon endroit pour ça serait le courrier informant du
mot de passe d'accès), l'empreinte du certificat TLS utilisé par le
site.
En effet, jamais. Ce sont tous des guignols, et leur sécurité
informatique est du tape-à-l'oeil. :(
dans un fil sur le phishing il est un peu court de blamer les
seules banques quand le dommage peut venir de l'imbécilité des
usagers - reste que la plupart sont des guignols c'est un fait.
En l'occurrence, la banque ne fournit pas au client de quoi être sûr
qu'il se connecte bien chez elle.
Vous ne lisez jamais vos relevez de compte ?
Le 29 Mar 2008 22:48:18 GMT,La question est la suivante : as-tu reçu, par un courrier assez
authentifié (le bon endroit pour ça serait le courrier informant du
mot de passe d'accès), l'empreinte du certificat TLS utilisé par le
site.
En effet, jamais. Ce sont tous des guignols, et leur sécurité
informatique est du tape-à-l'oeil. :(
dans un fil sur le phishing il est un peu court de blamer les
seules banques quand le dommage peut venir de l'imbécilité des
usagers - reste que la plupart sont des guignols c'est un fait.
En l'occurrence, la banque ne fournit pas au client de quoi être sûr
qu'il se connecte bien chez elle.
Vous ne lisez jamais vos relevez de compte ?
[...]
La question est la suivante : as-tu reçu, par un courrier assez authentifié
(le bon endroit pour ça serait le courrier informant du mot de passe
d'accès), l'empreinte du certificat TLS utilisé par le site.
[...]
Si non, c'est que la gestion de la sécurité entre les services informatiques
et les services d'information aux clients est une vaste plaisanterie, [...]
[...]
La question est la suivante : as-tu reçu, par un courrier assez authentifié
(le bon endroit pour ça serait le courrier informant du mot de passe
d'accès), l'empreinte du certificat TLS utilisé par le site.
[...]
Si non, c'est que la gestion de la sécurité entre les services informatiques
et les services d'information aux clients est une vaste plaisanterie, [...]
[...]
La question est la suivante : as-tu reçu, par un courrier assez authentifié
(le bon endroit pour ça serait le courrier informant du mot de passe
d'accès), l'empreinte du certificat TLS utilisé par le site.
[...]
Si non, c'est que la gestion de la sécurité entre les services informatiques
et les services d'information aux clients est une vaste plaisanterie, [...]
Vous vous la jouez très perso il me semble...
C'est effectivement *aussi évident* que les "collets" posés par les
gangs de voleurs sur les distributeurs de billets de banque dans la rue
par exemple ***avant*** que les banques puis la télévision n'en parlent
! Chacun aurait du se renseigner et demander s'il n'y avait pas une
possibilité que des aigrfins inventent et posent des sortes de collets
et comment faire pour en être sûr !!
Et bien je ne partage pas du tout votre discours ! On ne devrait pas
être obligé de passer par l'expérience malheureuse pour apprendre.
Et je le répète aussi : je ne serai pas étonné le jour où un hacker
pondra un malware qui réussira à faire accepter sa fausse CA -Autorité
de Certification- par nos navigateurs Internet (qui n'émettrons même
plus d'alerte donc).
D'ailleurs, même sans en être là, il leur suffit
déjà pour cela de nous faire accepter leur CA sur un simple site banal
sans aucun enjeu financier -comme un site de téléchargement d'un
programme gratuit par exemple- pour faire reconnaître la validité de
leur certificat une fois pour toute par notre navigateur...
Alors oui, je suis certainement particulièrement parano en ce qui
concerne Internet, et donc je cherche de l'information et me renseigne
sur l'état de l'art des hommes de l'ombre à la moindre suspicion en
effet.
copié/collé d'une procédure de piratage décrite sur un site anti hackers
Vous vous la jouez très perso il me semble...
C'est effectivement *aussi évident* que les "collets" posés par les
gangs de voleurs sur les distributeurs de billets de banque dans la rue
par exemple ***avant*** que les banques puis la télévision n'en parlent
! Chacun aurait du se renseigner et demander s'il n'y avait pas une
possibilité que des aigrfins inventent et posent des sortes de collets
et comment faire pour en être sûr !!
Et bien je ne partage pas du tout votre discours ! On ne devrait pas
être obligé de passer par l'expérience malheureuse pour apprendre.
Et je le répète aussi : je ne serai pas étonné le jour où un hacker
pondra un malware qui réussira à faire accepter sa fausse CA -Autorité
de Certification- par nos navigateurs Internet (qui n'émettrons même
plus d'alerte donc).
D'ailleurs, même sans en être là, il leur suffit
déjà pour cela de nous faire accepter leur CA sur un simple site banal
sans aucun enjeu financier -comme un site de téléchargement d'un
programme gratuit par exemple- pour faire reconnaître la validité de
leur certificat une fois pour toute par notre navigateur...
Alors oui, je suis certainement particulièrement parano en ce qui
concerne Internet, et donc je cherche de l'information et me renseigne
sur l'état de l'art des hommes de l'ombre à la moindre suspicion en
effet.
copié/collé d'une procédure de piratage décrite sur un site anti hackers
Vous vous la jouez très perso il me semble...
C'est effectivement *aussi évident* que les "collets" posés par les
gangs de voleurs sur les distributeurs de billets de banque dans la rue
par exemple ***avant*** que les banques puis la télévision n'en parlent
! Chacun aurait du se renseigner et demander s'il n'y avait pas une
possibilité que des aigrfins inventent et posent des sortes de collets
et comment faire pour en être sûr !!
Et bien je ne partage pas du tout votre discours ! On ne devrait pas
être obligé de passer par l'expérience malheureuse pour apprendre.
Et je le répète aussi : je ne serai pas étonné le jour où un hacker
pondra un malware qui réussira à faire accepter sa fausse CA -Autorité
de Certification- par nos navigateurs Internet (qui n'émettrons même
plus d'alerte donc).
D'ailleurs, même sans en être là, il leur suffit
déjà pour cela de nous faire accepter leur CA sur un simple site banal
sans aucun enjeu financier -comme un site de téléchargement d'un
programme gratuit par exemple- pour faire reconnaître la validité de
leur certificat une fois pour toute par notre navigateur...
Alors oui, je suis certainement particulièrement parano en ce qui
concerne Internet, et donc je cherche de l'information et me renseigne
sur l'état de l'art des hommes de l'ombre à la moindre suspicion en
effet.
copié/collé d'une procédure de piratage décrite sur un site anti hackers
Oui, enfin dans le cas générale la sécurité repose plutôt sur le fait
que le certificat du site est signé par une AC publique qui s'engage à
respecter les règles adéquates, et de ce fait a reçu l'autorisation
d'être par défaut dans le magasin de ton navigateur.
Le principe étant qu'il vaut une sécurité "raisonnable" mais très simple
d'emploi dont il est certain que tout le monde se sert plutôt qu'une
sécurité encore meilleure en théorie mais dont la complexité
d'utilisation fait que dans de nombreux cas les utilisateurs prennent
des raccourcis, ici se connectent sans revérifier à chaque fois l'empreinte.
Oui, enfin dans le cas générale la sécurité repose plutôt sur le fait
que le certificat du site est signé par une AC publique qui s'engage à
respecter les règles adéquates, et de ce fait a reçu l'autorisation
d'être par défaut dans le magasin de ton navigateur.
Le principe étant qu'il vaut une sécurité "raisonnable" mais très simple
d'emploi dont il est certain que tout le monde se sert plutôt qu'une
sécurité encore meilleure en théorie mais dont la complexité
d'utilisation fait que dans de nombreux cas les utilisateurs prennent
des raccourcis, ici se connectent sans revérifier à chaque fois l'empreinte.
Oui, enfin dans le cas générale la sécurité repose plutôt sur le fait
que le certificat du site est signé par une AC publique qui s'engage à
respecter les règles adéquates, et de ce fait a reçu l'autorisation
d'être par défaut dans le magasin de ton navigateur.
Le principe étant qu'il vaut une sécurité "raisonnable" mais très simple
d'emploi dont il est certain que tout le monde se sert plutôt qu'une
sécurité encore meilleure en théorie mais dont la complexité
d'utilisation fait que dans de nombreux cas les utilisateurs prennent
des raccourcis, ici se connectent sans revérifier à chaque fois l'empreinte.
On ne peut pas supposer à la fois
que l'utilisateur se pose des questions de sécurité et qu'il faut des
erreurs grossières comme accepter un certificat malgré une alerte ou
importer une autorité de certification douteuse.
La plupart des gens refusent d'apprendre, c'est un fait.
Il n'y a que la
carotte et le bâton pour éduquer la grande majorité de la population.
En
particulier, la carotte seule ne suffit pas.
Et je le répète aussi : je ne serai pas étonné le jour où un hacker
pondra un malware qui réussira à faire accepter sa fausse
CA -Autorité
de Certification- par nos navigateurs Internet (qui n'émettrons même
plus d'alerte donc).
Ça n'affectera pas ceux qui font attention à ce qu'ils font, et
tiennent
leurs logiciels à jour.D'ailleurs, même sans en être là, il leur suffit
déjà pour cela de nous faire accepter leur CA sur un simple site
banal
sans aucun enjeu financier -comme un site de téléchargement d'un
programme gratuit par exemple- pour faire reconnaître la validité de
leur certificat une fois pour toute par notre navigateur...
Importer une CA est loin d'être une opération anodine. On pourrait
regretter
que les demandes de confirmations ne soient pas encore plus visibles,
mais
l'état actuel en fait déjà une opération assez technique. En
particulier,
contenter de cliquer sur « ok » ne suffit pas. Donc non, c'est faux.
copié/collé d'une procédure de piratage décrite sur un site anti
hackers
Et voici un exemple typique de ce que je reproche : « un site
anti-hackers », quelle référence. Et le texte est à la hauteur : un
salmigondis de buzzwords sur le ton du yakafokon.
On ne peut pas supposer à la fois
que l'utilisateur se pose des questions de sécurité et qu'il faut des
erreurs grossières comme accepter un certificat malgré une alerte ou
importer une autorité de certification douteuse.
La plupart des gens refusent d'apprendre, c'est un fait.
Il n'y a que la
carotte et le bâton pour éduquer la grande majorité de la population.
En
particulier, la carotte seule ne suffit pas.
Et je le répète aussi : je ne serai pas étonné le jour où un hacker
pondra un malware qui réussira à faire accepter sa fausse
CA -Autorité
de Certification- par nos navigateurs Internet (qui n'émettrons même
plus d'alerte donc).
Ça n'affectera pas ceux qui font attention à ce qu'ils font, et
tiennent
leurs logiciels à jour.
D'ailleurs, même sans en être là, il leur suffit
déjà pour cela de nous faire accepter leur CA sur un simple site
banal
sans aucun enjeu financier -comme un site de téléchargement d'un
programme gratuit par exemple- pour faire reconnaître la validité de
leur certificat une fois pour toute par notre navigateur...
Importer une CA est loin d'être une opération anodine. On pourrait
regretter
que les demandes de confirmations ne soient pas encore plus visibles,
mais
l'état actuel en fait déjà une opération assez technique. En
particulier,
contenter de cliquer sur « ok » ne suffit pas. Donc non, c'est faux.
copié/collé d'une procédure de piratage décrite sur un site anti
hackers
Et voici un exemple typique de ce que je reproche : « un site
anti-hackers », quelle référence. Et le texte est à la hauteur : un
salmigondis de buzzwords sur le ton du yakafokon.
On ne peut pas supposer à la fois
que l'utilisateur se pose des questions de sécurité et qu'il faut des
erreurs grossières comme accepter un certificat malgré une alerte ou
importer une autorité de certification douteuse.
La plupart des gens refusent d'apprendre, c'est un fait.
Il n'y a que la
carotte et le bâton pour éduquer la grande majorité de la population.
En
particulier, la carotte seule ne suffit pas.
Et je le répète aussi : je ne serai pas étonné le jour où un hacker
pondra un malware qui réussira à faire accepter sa fausse
CA -Autorité
de Certification- par nos navigateurs Internet (qui n'émettrons même
plus d'alerte donc).
Ça n'affectera pas ceux qui font attention à ce qu'ils font, et
tiennent
leurs logiciels à jour.D'ailleurs, même sans en être là, il leur suffit
déjà pour cela de nous faire accepter leur CA sur un simple site
banal
sans aucun enjeu financier -comme un site de téléchargement d'un
programme gratuit par exemple- pour faire reconnaître la validité de
leur certificat une fois pour toute par notre navigateur...
Importer une CA est loin d'être une opération anodine. On pourrait
regretter
que les demandes de confirmations ne soient pas encore plus visibles,
mais
l'état actuel en fait déjà une opération assez technique. En
particulier,
contenter de cliquer sur « ok » ne suffit pas. Donc non, c'est faux.
copié/collé d'une procédure de piratage décrite sur un site anti
hackers
Et voici un exemple typique de ce que je reproche : « un site
anti-hackers », quelle référence. Et le texte est à la hauteur : un
salmigondis de buzzwords sur le ton du yakafokon.
de
toutes façons, dans le contexte d'Internet-à-la-maison, ces attaques
ne sont
essentiellement réalisables que par l'opérateur réseau, donc bof.
Ça ne garantit en particulier absolument pas que le site est celui
auquel on
souhaite accéder.
une banque pourrait parfaitement utiliser un certificat d'une
CA standard, et ainsi assurer une sécurité élémentaire pour ses
clients les
moins techniquement compétents, ET fournir l'empreinte de son
certificat par
un canal indépendant et authentifié pour que les clients qui le
souhaitent
puissent faire la vérification poussée.
de
toutes façons, dans le contexte d'Internet-à-la-maison, ces attaques
ne sont
essentiellement réalisables que par l'opérateur réseau, donc bof.
Ça ne garantit en particulier absolument pas que le site est celui
auquel on
souhaite accéder.
une banque pourrait parfaitement utiliser un certificat d'une
CA standard, et ainsi assurer une sécurité élémentaire pour ses
clients les
moins techniquement compétents, ET fournir l'empreinte de son
certificat par
un canal indépendant et authentifié pour que les clients qui le
souhaitent
puissent faire la vérification poussée.
de
toutes façons, dans le contexte d'Internet-à-la-maison, ces attaques
ne sont
essentiellement réalisables que par l'opérateur réseau, donc bof.
Ça ne garantit en particulier absolument pas que le site est celui
auquel on
souhaite accéder.
une banque pourrait parfaitement utiliser un certificat d'une
CA standard, et ainsi assurer une sécurité élémentaire pour ses
clients les
moins techniquement compétents, ET fournir l'empreinte de son
certificat par
un canal indépendant et authentifié pour que les clients qui le
souhaitent
puissent faire la vérification poussée.
Xavier wrote on 30/03/2008 16:20:Je ne suis pas un "homme de l'art" certes. Seulement quelqu'un qui tente
de se tenir au courant de l'actualité concernant la sécurité
informatique. Mais, sachant combien ce genre d'attaques sur les serveurs
bancaires sont tenues secrètes par les banques elles même, qui ne
tiennent vraiment pas à ce que de telles mauvaises publicités puissent
remettre en cause le niveau de sécurité présumé par leurs clients, je
fais confiance (malheureusement) aux sombres hommes de l'art (les
hackers donc) pour maîtriser la mise en pratique de ce genre de
malveillances. Chose dont, pour votre part, vous sembliez laisser penser
ici que c'était quasi impossible...
en court et si j'ai bien compris: les banques (ou autres) ne nous disent
pas qu'elles ont été attaquées or des sources "sombres" (non citées) le
disent: donc on nous ment, c'est un complot, les attaques sont légions.
c'est ça ?Je ne serai pas étonné quand on m'apprendra qu'un nouveau dispositif
malveillant aura réussi à intégrer la propre liste des CA reconnue par
nos navigateurs... ajoutant sa propre CA malveillante...
pourquoi une liste ?
si un utilisateur valide sans lire, ni comprendre, l'installation
d'une CA sur son ordi. lorsqu'il insère le dernier CD vérolé reçu
ou navique sur un site douteux, cela renvoie à sa seule maitrîse.
rien à voir avec le protocole SSL.Vous devriez lancer un sondage pour évaluer combien, parmi les
utilisateurs d'informatique, connaissent l'utilité, et l'utilisation,
d'un certificat d'authentification !!
et ? combien aussi clique sur le virus "pour voir ce qu'il se passe"
cela ne nous apprends rien (enfin pas grand chose relatif à ce fil).L'utilisateur ne fait pas forcément n'importe quoi... il **ne sait
pas**. Nuance.
pour finir ta phrase: "il ne sait pas"ce qu'il fait, mais il choisit
de le faire quand même; c'est une définition de "faire n'importe quoi".[...] mais il faudra bien que les
banques se mettent à éduquer leurs clients (ne serait ce qu'en diffusant
l'information sur leurs sites) ! Je vous assure que le jour où une loi
les y obligera -à défaut de quoi elles se verraient entièrement
responsables des éventuelles pertes financières de leurs clients-...
elle s'y mettront []
plusieurs enquêtes ont déjà été menées auprès des usagers des banques
concernant:
- la fourniture par la banque d'un kit de connexion payant sécurisant
la connexion par carte à puce: refus des usagers
- la fourniture gratuite (frais masqués) par la banque d'un même kit:
désintérêt des usagers
il est à la mode d'être "tenter par l'innocence", mais rejeter ses
erreurs sur un prétendu "on m'a pas dit" est contre-efficace.
par ailleurs, ce type de services (banque en ligne) est contractuel
et non obligeatoire pour l'usager, la banque a déjà une obligeation
de moyens pour fournir des outils / méthodes les plus surs possibles
reste que l'usager accepte les conditions générales d'un part et qu'il
est responsable de son propre usage d'une part.
Sylvain.
Xavier wrote on 30/03/2008 16:20:
Je ne suis pas un "homme de l'art" certes. Seulement quelqu'un qui tente
de se tenir au courant de l'actualité concernant la sécurité
informatique. Mais, sachant combien ce genre d'attaques sur les serveurs
bancaires sont tenues secrètes par les banques elles même, qui ne
tiennent vraiment pas à ce que de telles mauvaises publicités puissent
remettre en cause le niveau de sécurité présumé par leurs clients, je
fais confiance (malheureusement) aux sombres hommes de l'art (les
hackers donc) pour maîtriser la mise en pratique de ce genre de
malveillances. Chose dont, pour votre part, vous sembliez laisser penser
ici que c'était quasi impossible...
en court et si j'ai bien compris: les banques (ou autres) ne nous disent
pas qu'elles ont été attaquées or des sources "sombres" (non citées) le
disent: donc on nous ment, c'est un complot, les attaques sont légions.
c'est ça ?
Je ne serai pas étonné quand on m'apprendra qu'un nouveau dispositif
malveillant aura réussi à intégrer la propre liste des CA reconnue par
nos navigateurs... ajoutant sa propre CA malveillante...
pourquoi une liste ?
si un utilisateur valide sans lire, ni comprendre, l'installation
d'une CA sur son ordi. lorsqu'il insère le dernier CD vérolé reçu
ou navique sur un site douteux, cela renvoie à sa seule maitrîse.
rien à voir avec le protocole SSL.
Vous devriez lancer un sondage pour évaluer combien, parmi les
utilisateurs d'informatique, connaissent l'utilité, et l'utilisation,
d'un certificat d'authentification !!
et ? combien aussi clique sur le virus "pour voir ce qu'il se passe"
cela ne nous apprends rien (enfin pas grand chose relatif à ce fil).
L'utilisateur ne fait pas forcément n'importe quoi... il **ne sait
pas**. Nuance.
pour finir ta phrase: "il ne sait pas"ce qu'il fait, mais il choisit
de le faire quand même; c'est une définition de "faire n'importe quoi".
[...] mais il faudra bien que les
banques se mettent à éduquer leurs clients (ne serait ce qu'en diffusant
l'information sur leurs sites) ! Je vous assure que le jour où une loi
les y obligera -à défaut de quoi elles se verraient entièrement
responsables des éventuelles pertes financières de leurs clients-...
elle s'y mettront []
plusieurs enquêtes ont déjà été menées auprès des usagers des banques
concernant:
- la fourniture par la banque d'un kit de connexion payant sécurisant
la connexion par carte à puce: refus des usagers
- la fourniture gratuite (frais masqués) par la banque d'un même kit:
désintérêt des usagers
il est à la mode d'être "tenter par l'innocence", mais rejeter ses
erreurs sur un prétendu "on m'a pas dit" est contre-efficace.
par ailleurs, ce type de services (banque en ligne) est contractuel
et non obligeatoire pour l'usager, la banque a déjà une obligeation
de moyens pour fournir des outils / méthodes les plus surs possibles
reste que l'usager accepte les conditions générales d'un part et qu'il
est responsable de son propre usage d'une part.
Sylvain.
Xavier wrote on 30/03/2008 16:20:Je ne suis pas un "homme de l'art" certes. Seulement quelqu'un qui tente
de se tenir au courant de l'actualité concernant la sécurité
informatique. Mais, sachant combien ce genre d'attaques sur les serveurs
bancaires sont tenues secrètes par les banques elles même, qui ne
tiennent vraiment pas à ce que de telles mauvaises publicités puissent
remettre en cause le niveau de sécurité présumé par leurs clients, je
fais confiance (malheureusement) aux sombres hommes de l'art (les
hackers donc) pour maîtriser la mise en pratique de ce genre de
malveillances. Chose dont, pour votre part, vous sembliez laisser penser
ici que c'était quasi impossible...
en court et si j'ai bien compris: les banques (ou autres) ne nous disent
pas qu'elles ont été attaquées or des sources "sombres" (non citées) le
disent: donc on nous ment, c'est un complot, les attaques sont légions.
c'est ça ?Je ne serai pas étonné quand on m'apprendra qu'un nouveau dispositif
malveillant aura réussi à intégrer la propre liste des CA reconnue par
nos navigateurs... ajoutant sa propre CA malveillante...
pourquoi une liste ?
si un utilisateur valide sans lire, ni comprendre, l'installation
d'une CA sur son ordi. lorsqu'il insère le dernier CD vérolé reçu
ou navique sur un site douteux, cela renvoie à sa seule maitrîse.
rien à voir avec le protocole SSL.Vous devriez lancer un sondage pour évaluer combien, parmi les
utilisateurs d'informatique, connaissent l'utilité, et l'utilisation,
d'un certificat d'authentification !!
et ? combien aussi clique sur le virus "pour voir ce qu'il se passe"
cela ne nous apprends rien (enfin pas grand chose relatif à ce fil).L'utilisateur ne fait pas forcément n'importe quoi... il **ne sait
pas**. Nuance.
pour finir ta phrase: "il ne sait pas"ce qu'il fait, mais il choisit
de le faire quand même; c'est une définition de "faire n'importe quoi".[...] mais il faudra bien que les
banques se mettent à éduquer leurs clients (ne serait ce qu'en diffusant
l'information sur leurs sites) ! Je vous assure que le jour où une loi
les y obligera -à défaut de quoi elles se verraient entièrement
responsables des éventuelles pertes financières de leurs clients-...
elle s'y mettront []
plusieurs enquêtes ont déjà été menées auprès des usagers des banques
concernant:
- la fourniture par la banque d'un kit de connexion payant sécurisant
la connexion par carte à puce: refus des usagers
- la fourniture gratuite (frais masqués) par la banque d'un même kit:
désintérêt des usagers
il est à la mode d'être "tenter par l'innocence", mais rejeter ses
erreurs sur un prétendu "on m'a pas dit" est contre-efficace.
par ailleurs, ce type de services (banque en ligne) est contractuel
et non obligeatoire pour l'usager, la banque a déjà une obligeation
de moyens pour fournir des outils / méthodes les plus surs possibles
reste que l'usager accepte les conditions générales d'un part et qu'il
est responsable de son propre usage d'une part.
Sylvain.
Cher modérateur,
pourquoi mes posts - qui me semblent respectueux de la charte - ne sont
pas publiés sur le groupe ?
pourquoi si vous estimez qu'il ne mérite pas d'être publié ne suis-je
pas prévenu par email ?
Cher modérateur,
pourquoi mes posts - qui me semblent respectueux de la charte - ne sont
pas publiés sur le groupe ?
pourquoi si vous estimez qu'il ne mérite pas d'être publié ne suis-je
pas prévenu par email ?
Cher modérateur,
pourquoi mes posts - qui me semblent respectueux de la charte - ne sont
pas publiés sur le groupe ?
pourquoi si vous estimez qu'il ne mérite pas d'être publié ne suis-je
pas prévenu par email ?
