le site de la Banque Postale a nouveau victime de phishing ???
33 réponses
Xavier
Bonjour,
Tout d'abord désolé pour mon multipostage large...
le sujet me semble mériter une large diffusion.
Ma question est :
Le site de consultation de compte en ligne de "La Banque Postale" est il
victime d'un phishing par redirection (détournement d'url par des
pirates afin de capturer les identifiants et mot de passe des clients)
???
Les faits :
je tente de me connecter aujourd'hui à l'url habituelle de consultation
de compte en ligne de la Banque Postale :
https://www.videoposte.com/statique/index.html
- il ne contient plus le clavier habituel de saisie des identifiants
mais le message suivant : "Désormais, accédez à vos comptes en ligne
depuis,
www.labanquepostale.fr Cliquez ici >>>"
- la dernière "lettre d'information de la Banque Postale" N°25 de
février 2008 ne fait aucune allusion à ce changement d'url
- pas davantage d'information en ce sens sur mes derniers relevés
"papier"
- aucun mail nominatif ***d'information*** ne m'a pas davantage été
adressé par la Banque Postale...
- le lien "contact" de cette dernière url permet bien l'accès à
différents formulaires de contact (qui pourrait me permettre de poser la
question de la légitimité de ce changement d'url), mais aucun ne permet
un contact sans donner au préalable soit son ***identifiant d'accès***
aux comptes en ligne (!!!), soit son n° de compte au minimum... ce qui
pourrait très bien être aussi une méthode de hackers...
- les site ont beau être en connexion sécurisée (httpS), les hackers
savent parfaitement faire cela aussi... à partir de serveurs
d'hébergeurs gratuits situés en Russie ou en Chine par exemple... ou
même de serveurs privés cachés dans le trouduculdumonde...
- Les eNews ont annoncées régulièrement dans leur bulletins
d'informations sur la sécurité informatique dans le monde une forte
augmentation des phishings de sites de banques...
- La technique de phishing par envoie d'email faussement identifié est
aujourd'hui dépassée par celle, beaucoup plus dangereuse, du
détournement automatique d'url à partir du site légitime lui-même...
(phishing par redirection)
Alors...
Le site de "la banque postale"... est il phishé ou est il bien celui de
son propriétaire légitime ???
Il me semble que la Banque Postale aurait pu informer ses clients sur la
page web visible APRES saisie de leurs identifiants sur leur site web
habituel... Cela aurait été simple et "secure". Au moins aurait il pu
(du) le mentionner sur leur lettre d'information mensuelle... Mais là, à
défaut, le doute est grand...
Y aurait il des clients la Banque Postale au courant de quelque chose
ici ?
Merci d'avance pour vos contributions (pas moyen d'obtenir mon
conseiller de la banque postale au téléphone jusqu'à présent !)
Il n'y a qu'une modération a posteriori et je ne vois rien bloqué par le robot à cet instant.
c'est bien c'est que la file de validation s'auto-purge.
Visiblement ce post est passé (chapeau pour le gorêt-quotage au passage).
remarque idiote, avez-vous compté les [] qui coupent les passages inutiles? avez-vous essayé de comprendre pourquoi le *long* premier paragraphe devait être cité in-extenso ?
Avez vous fait un changement entre celui-ci et les précédents?
oui j'ai ajouté une question qui demandait une réponse directe puisque a) hors charte, b) ad nomimem.
Ne sont coincés que des tentatives précedentes de Xavier pour cause de x-post avec au moins un forum modéré dans le lot. Comme il a corrigé le tir avant que je ne les vois je les détruis simplement.
effet de bord ?
Pour infos ceci est ma dernière réponse de ce type à une question qui elle est hors charte sur le forum. La mailing list de modération n'est pas faite pour les chiens.
les réponses privées non plus, des groupes comme fud non plus. je ne vous ai pas demandé une réponse publique sur ce groupe.
Sylvain.
Eric Razny wrote on 03/04/2008 03:23:
Il n'y a qu'une modération a posteriori et je ne vois rien bloqué par le
robot à cet instant.
c'est bien c'est que la file de validation s'auto-purge.
Visiblement ce post est passé (chapeau pour le gorêt-quotage au passage).
remarque idiote, avez-vous compté les [] qui coupent les passages
inutiles? avez-vous essayé de comprendre pourquoi le *long* premier
paragraphe devait être cité in-extenso ?
Avez vous fait un changement entre celui-ci et les précédents?
oui j'ai ajouté une question qui demandait une réponse directe
puisque a) hors charte, b) ad nomimem.
Ne sont coincés que des tentatives précedentes de Xavier pour cause de
x-post avec au moins un forum modéré dans le lot. Comme il a corrigé le
tir avant que je ne les vois je les détruis simplement.
effet de bord ?
Pour infos ceci est ma dernière réponse de ce type à une question qui
elle est hors charte sur le forum. La mailing list de modération n'est
pas faite pour les chiens.
les réponses privées non plus, des groupes comme fud non plus.
je ne vous ai pas demandé une réponse publique sur ce groupe.
Il n'y a qu'une modération a posteriori et je ne vois rien bloqué par le robot à cet instant.
c'est bien c'est que la file de validation s'auto-purge.
Visiblement ce post est passé (chapeau pour le gorêt-quotage au passage).
remarque idiote, avez-vous compté les [] qui coupent les passages inutiles? avez-vous essayé de comprendre pourquoi le *long* premier paragraphe devait être cité in-extenso ?
Avez vous fait un changement entre celui-ci et les précédents?
oui j'ai ajouté une question qui demandait une réponse directe puisque a) hors charte, b) ad nomimem.
Ne sont coincés que des tentatives précedentes de Xavier pour cause de x-post avec au moins un forum modéré dans le lot. Comme il a corrigé le tir avant que je ne les vois je les détruis simplement.
effet de bord ?
Pour infos ceci est ma dernière réponse de ce type à une question qui elle est hors charte sur le forum. La mailing list de modération n'est pas faite pour les chiens.
les réponses privées non plus, des groupes comme fud non plus. je ne vous ai pas demandé une réponse publique sur ce groupe.
Sylvain.
Eric Razny
Le Wed, 02 Apr 2008 09:24:30 +0000, Nicolas George a écrit :
Importer une CA est loin d'être une opération anodine. On pourrait regretter que les demandes de confirmations ne soient pas encore plus visibles, mais l'état actuel en fait déjà une opération assez technique. En particulier, contenter de cliquer sur « ok » ne suffit pas. Donc non, c'est faux.
Importer une CA n'est pas une opération anodine certes. Mais de facto c'est ce que font a priori un nombre immense d'internautes (je n'ai pas de stats évidement mais j'oserais bien un > 99% :) ) en utilisant leur navigateur... qui contient des root CA par défaut.
Alors tu fais peut-être partie des rarissime utilisateurs qui virent les CA par défaut et qui ré-importent uniquement ceux enquel ils ont confiance (je ne sais pas pourquoi, j'en doute...) mais ce n'est pas l'utilisateur lambda qui va comprendre ça.
De plus contrairement à ce que tu annonces importer une CA est une opération simple (il suffit d'accepter/confirmer plusieurs messages) et certains sites -dont celui administratif des impôts- encouragent(eait?) à importer des certifs sans même expliquer ce que ça implique!
Autant je suis ok pour dire qu'il y a souvent un problème d'interface chaise-clavier, autant le problème de la mauvaise compréhension généralisée des certificats est liée à une incompétance crasse des intervenants chargés de les mettre en place. Pour qu'un gus soit en faute parce qu'il n'a pas lu l'importance notice concernant la sécurité du site bancaire (par exemple) encore faut-il que cette notice existe(sic)! -et qu'elle soit compréhensible par le public visé-.
Par parenthèse les fournisseurs de browsers^W buttineurs sont aussi responsable du syndrome "cadenas vert=tout va très bien... madame la marquise!"
Eric
Le Wed, 02 Apr 2008 09:24:30 +0000, Nicolas George a écrit :
Importer une CA est loin d'être une opération anodine. On pourrait
regretter que les demandes de confirmations ne soient pas encore plus
visibles, mais l'état actuel en fait déjà une opération assez
technique. En particulier, contenter de cliquer sur « ok » ne suffit
pas. Donc non, c'est faux.
Importer une CA n'est pas une opération anodine certes. Mais de facto
c'est ce que font a priori un nombre immense d'internautes (je n'ai pas de
stats évidement mais j'oserais bien un > 99% :) ) en utilisant leur
navigateur... qui contient des root CA par défaut.
Alors tu fais peut-être partie des rarissime utilisateurs qui virent les
CA par défaut et qui ré-importent uniquement ceux enquel ils ont
confiance (je ne sais pas pourquoi, j'en doute...) mais ce n'est pas
l'utilisateur lambda qui va comprendre ça.
De plus contrairement à ce que tu annonces importer une CA est une
opération simple (il suffit d'accepter/confirmer plusieurs messages) et
certains sites -dont celui administratif des impôts- encouragent(eait?)
à importer des certifs sans même expliquer ce que ça implique!
Autant je suis ok pour dire qu'il y a souvent un problème d'interface
chaise-clavier, autant le problème de la mauvaise compréhension
généralisée des certificats est liée à une incompétance crasse des
intervenants chargés de les mettre en place. Pour qu'un gus soit en faute
parce qu'il n'a pas lu l'importance notice concernant la sécurité du
site bancaire (par exemple) encore faut-il que cette notice existe(sic)!
-et qu'elle soit compréhensible par le public visé-.
Par parenthèse les fournisseurs de browsers^W buttineurs sont aussi
responsable du syndrome "cadenas vert=tout va très bien... madame la
marquise!"
Le Wed, 02 Apr 2008 09:24:30 +0000, Nicolas George a écrit :
Importer une CA est loin d'être une opération anodine. On pourrait regretter que les demandes de confirmations ne soient pas encore plus visibles, mais l'état actuel en fait déjà une opération assez technique. En particulier, contenter de cliquer sur « ok » ne suffit pas. Donc non, c'est faux.
Importer une CA n'est pas une opération anodine certes. Mais de facto c'est ce que font a priori un nombre immense d'internautes (je n'ai pas de stats évidement mais j'oserais bien un > 99% :) ) en utilisant leur navigateur... qui contient des root CA par défaut.
Alors tu fais peut-être partie des rarissime utilisateurs qui virent les CA par défaut et qui ré-importent uniquement ceux enquel ils ont confiance (je ne sais pas pourquoi, j'en doute...) mais ce n'est pas l'utilisateur lambda qui va comprendre ça.
De plus contrairement à ce que tu annonces importer une CA est une opération simple (il suffit d'accepter/confirmer plusieurs messages) et certains sites -dont celui administratif des impôts- encouragent(eait?) à importer des certifs sans même expliquer ce que ça implique!
Autant je suis ok pour dire qu'il y a souvent un problème d'interface chaise-clavier, autant le problème de la mauvaise compréhension généralisée des certificats est liée à une incompétance crasse des intervenants chargés de les mettre en place. Pour qu'un gus soit en faute parce qu'il n'a pas lu l'importance notice concernant la sécurité du site bancaire (par exemple) encore faut-il que cette notice existe(sic)! -et qu'elle soit compréhensible par le public visé-.
Par parenthèse les fournisseurs de browsers^W buttineurs sont aussi responsable du syndrome "cadenas vert=tout va très bien... madame la marquise!"
Eric
Xavier
"yves aloin" a écrit
Vous ne lisez jamais vos relevez de compte ?
En bas de page il y a une rubrique "VOS CONTACTS". L'adresse du site y est indiqué, encore faut-il savoir lire.
De toute évidence il ne suffit pas de savoir lire... il faut aussi savoir comprendre. Reprenez le sujet dès le début !
"yves aloin" <yves.aloin@spambox.fr> a écrit
Vous ne lisez jamais vos relevez de compte ?
En bas de page il y a une rubrique "VOS CONTACTS".
L'adresse du site y est indiqué, encore faut-il savoir lire.
De toute évidence il ne suffit pas de savoir lire... il faut aussi
savoir comprendre.
Reprenez le sujet dès le début !
