je suis à la recherche d'une étude sur les méthodes d'authentification des Banques pour leurs activités en ligne ?
Les banques françaises? Allons, un login et un mot de passe et ça suffit, histoire que ce soit facile à "phisher" :-(
Quelques méthodes plus avancées: - le code secret partiel (méthode HSBC UK et NatWest UK): un login, et un mot de passe (généralement de 6 chiffres). A chaque connexion le serveur demande 3 chiffres (genre "le premier, le 3e, le dernier) du code secret. Associé à un autre identifiant pas très secret (la date de naissance). Sécurité complètement ridicule et illusoire, en deux coups de phishing on peut avoir le code secret complet.
- la "liste à biffer" (ancienne méthode UBS): un login, un mot de passe, et une liste de codes. A chaque login, on donne le code suivant de la liste, et on le barre. Dès qu'on approche de la fin de la liste, on reçoit une nouvelle liste.
- le "challenge" façon bataille navale (méthode BCV): un login, un mot de passe, et une carte (format carte de crédit) avec une grille remplie de codes. A chaque login, le serveur donne une case (genre "H8"), et on répond avec le contenu de la case.
- le "challenge" avec carte à puce (nouvelle méthode UBS): un login, un lecteur de carte à puce (format calculatrice toute petite) et une carte à puce (protégée par un code). A chaque login, le serveur donne un challenge (genre "167837") qu'on tape sur le lecteur, et il répond un code (genre "H7 NA PQ L8").
- l'authentification par carte à puce (méthode BNP Paribas carte transfert sur les comptes entreprises): un lecteur de carte (gros comme une maison) à puce relié en USB au PC, une applet Java sur le PC, une carte à puce (protégée par un code). Pour se connecter (et pour valider les transactions) on insère sa carte dans le lecteur et on tape son code. Fonctionnellement identique à la solution précédente, en fait, avec juste plus de bits et une intégration plus directe).
Il doit y en avoir quelques autres, mais en gros ça tourne toujours autour du même principe: si on veut une sécurité un peu sérieuse, il faut autre chose qu'un mot de passe unique...
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On 08 Nov 2004 10:20:11 GMT, titou44 <titou44@freesurf.fr> wrote:
je suis à la recherche d'une étude sur les méthodes d'authentification
des Banques pour leurs activités en ligne ?
Les banques françaises? Allons, un login et un mot de passe et ça suffit,
histoire que ce soit facile à "phisher" :-(
Quelques méthodes plus avancées:
- le code secret partiel (méthode HSBC UK et NatWest UK): un login, et un
mot de passe (généralement de 6 chiffres). A chaque connexion le serveur
demande 3 chiffres (genre "le premier, le 3e, le dernier) du code secret.
Associé à un autre identifiant pas très secret (la date de naissance).
Sécurité complètement ridicule et illusoire, en deux coups de phishing on
peut avoir le code secret complet.
- la "liste à biffer" (ancienne méthode UBS): un login, un mot de passe,
et une liste de codes. A chaque login, on donne le code suivant de la
liste, et on le barre. Dès qu'on approche de la fin de la liste, on reçoit
une nouvelle liste.
- le "challenge" façon bataille navale (méthode BCV): un login, un mot de
passe, et une carte (format carte de crédit) avec une grille remplie de
codes. A chaque login, le serveur donne une case (genre "H8"), et on
répond avec le contenu de la case.
- le "challenge" avec carte à puce (nouvelle méthode UBS): un login, un
lecteur de carte à puce (format calculatrice toute petite) et une carte à
puce (protégée par un code). A chaque login, le serveur donne un challenge
(genre "167837") qu'on tape sur le lecteur, et il répond un code (genre
"H7 NA PQ L8").
- l'authentification par carte à puce (méthode BNP Paribas carte transfert
sur les comptes entreprises): un lecteur de carte (gros comme une maison)
à puce relié en USB au PC, une applet Java sur le PC, une carte à puce
(protégée par un code). Pour se connecter (et pour valider les
transactions) on insère sa carte dans le lecteur et on tape son code.
Fonctionnellement identique à la solution précédente, en fait, avec juste
plus de bits et une intégration plus directe).
Il doit y en avoir quelques autres, mais en gros ça tourne toujours autour
du même principe: si on veut une sécurité un peu sérieuse, il faut autre
chose qu'un mot de passe unique...
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
je suis à la recherche d'une étude sur les méthodes d'authentification des Banques pour leurs activités en ligne ?
Les banques françaises? Allons, un login et un mot de passe et ça suffit, histoire que ce soit facile à "phisher" :-(
Quelques méthodes plus avancées: - le code secret partiel (méthode HSBC UK et NatWest UK): un login, et un mot de passe (généralement de 6 chiffres). A chaque connexion le serveur demande 3 chiffres (genre "le premier, le 3e, le dernier) du code secret. Associé à un autre identifiant pas très secret (la date de naissance). Sécurité complètement ridicule et illusoire, en deux coups de phishing on peut avoir le code secret complet.
- la "liste à biffer" (ancienne méthode UBS): un login, un mot de passe, et une liste de codes. A chaque login, on donne le code suivant de la liste, et on le barre. Dès qu'on approche de la fin de la liste, on reçoit une nouvelle liste.
- le "challenge" façon bataille navale (méthode BCV): un login, un mot de passe, et une carte (format carte de crédit) avec une grille remplie de codes. A chaque login, le serveur donne une case (genre "H8"), et on répond avec le contenu de la case.
- le "challenge" avec carte à puce (nouvelle méthode UBS): un login, un lecteur de carte à puce (format calculatrice toute petite) et une carte à puce (protégée par un code). A chaque login, le serveur donne un challenge (genre "167837") qu'on tape sur le lecteur, et il répond un code (genre "H7 NA PQ L8").
- l'authentification par carte à puce (méthode BNP Paribas carte transfert sur les comptes entreprises): un lecteur de carte (gros comme une maison) à puce relié en USB au PC, une applet Java sur le PC, une carte à puce (protégée par un code). Pour se connecter (et pour valider les transactions) on insère sa carte dans le lecteur et on tape son code. Fonctionnellement identique à la solution précédente, en fait, avec juste plus de bits et une intégration plus directe).
Il doit y en avoir quelques autres, mais en gros ça tourne toujours autour du même principe: si on veut une sécurité un peu sérieuse, il faut autre chose qu'un mot de passe unique...
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
naphtaline2001
tu es sérieux en france faut juste un login et un mot de passe ! la honte bizarre que tout les rackeur francais soit pas déjà riche lol
tu es sérieux en france faut juste un login et un mot de passe ! la honte
bizarre que tout les rackeur francais soit pas déjà riche lol
je suis à la recherche d'une étude sur les méthodes d'authentification des Banques pour leurs activités en ligne ?
Les banques françaises? Allons, un login et un mot de passe et ça suffit, histoire que ce soit facile à "phisher" :-(
Il est mauvaise langue !!! C'est fou ça ;p
-- SP18
Fabien LE LEZ
On 08 Nov 2004 21:22:04 GMT, "naphtaline2001" :
tu es sérieux en france faut juste un login et un mot de passe ! la honte bizarre que tout les rackeur francais soit pas déjà riche lol
Ben... bof. Même si un pirate arrivait à connaître mon mot de passe, il pourrait juste transférer de l'argent de mon compte-chèques à mon livret A, et vice-versa. Accroche-toi pour devenir riche avec ça...
-- ;-)
On 08 Nov 2004 21:22:04 GMT, "naphtaline2001"
<naphtaline2001@tele2.fr>:
tu es sérieux en france faut juste un login et un mot de passe ! la honte
bizarre que tout les rackeur francais soit pas déjà riche lol
Ben... bof. Même si un pirate arrivait à connaître mon mot de passe,
il pourrait juste transférer de l'argent de mon compte-chèques à mon
livret A, et vice-versa. Accroche-toi pour devenir riche avec ça...
tu es sérieux en france faut juste un login et un mot de passe ! la honte bizarre que tout les rackeur francais soit pas déjà riche lol
Ben... bof. Même si un pirate arrivait à connaître mon mot de passe, il pourrait juste transférer de l'argent de mon compte-chèques à mon livret A, et vice-versa. Accroche-toi pour devenir riche avec ça...
-- ;-)
Jacques Caron
On 08 Nov 2004 21:22:04 GMT, Xavier wrote:
Jacques Caron wrote:
Associé à un autre identifiant pas très secret (la date de naissance). Sécurité complètement ridicule et illusoire, en deux coups de phishing on peut avoir le code secret complet.
Dans une sesssion HHTPS ? Comment peux-tu faire ?
A moins qu'il existe encore des banques qui utilisent du HTTP "de base", mais ça m'étonnerait, tout de même.
Je crois que tu n'as pas compris le principe du phishing. Ca consite à inviter l'utilisateur à se connecter sur un serveur qui ressemble à celui de la banque, mais qui n'est pas celui de la banque, en général à grands coups de spam genre "vite connectez-vous pour confirmer votre compte sinon on va vous le bloquer". Les utilisateurs susceptibles de tomber dans la panneau ne font pas la différence entre www.banque.com et www-banque.com (par exemple), alors https... Une fois que l'utilisateur a tapé tout ce qu'on veut (comme il le ferait d'habitude sur le serveur de la banque), on lui balance un message d'erreur quelconque, mais on a récupéré ses identifiants.
Pour le truc bidon des anglais, il suffit après la première tentative de faire croire qu'il y a eu une erreur, l'utilisateur pensera s'être trompé en tapant et recommence, et on lui demande les 3 autres chiffres du code secret idiot, et hop.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
On 08 Nov 2004 21:22:04 GMT, Xavier <xavier@groumpf.org> wrote:
Jacques Caron <jc@imfeurope.com> wrote:
Associé à un autre identifiant pas très secret (la date de naissance).
Sécurité complètement ridicule et illusoire, en deux coups de phishing
on peut avoir le code secret complet.
Dans une sesssion HHTPS ? Comment peux-tu faire ?
A moins qu'il existe encore des banques qui utilisent du HTTP "de base",
mais ça m'étonnerait, tout de même.
Je crois que tu n'as pas compris le principe du phishing. Ca consite à
inviter l'utilisateur à se connecter sur un serveur qui ressemble à celui
de la banque, mais qui n'est pas celui de la banque, en général à grands
coups de spam genre "vite connectez-vous pour confirmer votre compte sinon
on va vous le bloquer". Les utilisateurs susceptibles de tomber dans la
panneau ne font pas la différence entre www.banque.com et www-banque.com
(par exemple), alors https... Une fois que l'utilisateur a tapé tout ce
qu'on veut (comme il le ferait d'habitude sur le serveur de la banque), on
lui balance un message d'erreur quelconque, mais on a récupéré ses
identifiants.
Pour le truc bidon des anglais, il suffit après la première tentative de
faire croire qu'il y a eu une erreur, l'utilisateur pensera s'être trompé
en tapant et recommence, et on lui demande les 3 autres chiffres du code
secret idiot, et hop.
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Associé à un autre identifiant pas très secret (la date de naissance). Sécurité complètement ridicule et illusoire, en deux coups de phishing on peut avoir le code secret complet.
Dans une sesssion HHTPS ? Comment peux-tu faire ?
A moins qu'il existe encore des banques qui utilisent du HTTP "de base", mais ça m'étonnerait, tout de même.
Je crois que tu n'as pas compris le principe du phishing. Ca consite à inviter l'utilisateur à se connecter sur un serveur qui ressemble à celui de la banque, mais qui n'est pas celui de la banque, en général à grands coups de spam genre "vite connectez-vous pour confirmer votre compte sinon on va vous le bloquer". Les utilisateurs susceptibles de tomber dans la panneau ne font pas la différence entre www.banque.com et www-banque.com (par exemple), alors https... Une fois que l'utilisateur a tapé tout ce qu'on veut (comme il le ferait d'habitude sur le serveur de la banque), on lui balance un message d'erreur quelconque, mais on a récupéré ses identifiants.
Pour le truc bidon des anglais, il suffit après la première tentative de faire croire qu'il y a eu une erreur, l'utilisateur pensera s'être trompé en tapant et recommence, et on lui demande les 3 autres chiffres du code secret idiot, et hop.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Nicob
On Mon, 08 Nov 2004 10:20:11 +0000, titou44 wrote:
je suis à la recherche d'une étude sur les méthodes d'authentification des Banques pour leurs activités en ligne ?
Ca ne va pas répondre à la question, mais voici un lien sympa :
http://www.lurhq.com/grams.html
Les "méchants" ont enfin découvert comment se sevir des objets OLE pour commettre des actiosn illégales. Ce qui nous fait 2 ans depuis le premier code public (Setiri) ...
Nicob
On Mon, 08 Nov 2004 10:20:11 +0000, titou44 wrote:
je suis à la recherche d'une étude sur les méthodes d'authentification
des Banques pour leurs activités en ligne ?
Ca ne va pas répondre à la question, mais voici un lien sympa :
http://www.lurhq.com/grams.html
Les "méchants" ont enfin découvert comment se sevir des objets OLE pour
commettre des actiosn illégales. Ce qui nous fait 2 ans depuis le premier
code public (Setiri) ...
On Mon, 08 Nov 2004 10:20:11 +0000, titou44 wrote:
je suis à la recherche d'une étude sur les méthodes d'authentification des Banques pour leurs activités en ligne ?
Ca ne va pas répondre à la question, mais voici un lien sympa :
http://www.lurhq.com/grams.html
Les "méchants" ont enfin découvert comment se sevir des objets OLE pour commettre des actiosn illégales. Ce qui nous fait 2 ans depuis le premier code public (Setiri) ...
Nicob
Jacques Caron
On 08 Nov 2004 21:22:04 GMT, naphtaline2001 wrote:
tu es sérieux en france faut juste un login et un mot de passe ! la honte bizarre que tout les rackeur francais soit pas déjà riche lol
Il y a eu quelques affaires récemment (à la Sogé en particulier), et certaines banques ont réagi en limitant les services. La BNP a réduit le plafond pour les virements sur les comptes pro sans utilisation de carte à puce, et une banque en ligne (Egg? je ne sais plus) a restreint les possibilités de virements, il me semble bien.
Evidemment, les banques qui ne permettent pas de faire des virements vers des comptes arbitraires (la CE par exemple) peuvent très bien se satistaire de cette sécurité, vu qu'il n'y a pas de risque!
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
On 08 Nov 2004 21:22:04 GMT, naphtaline2001 <naphtaline2001@tele2.fr>
wrote:
tu es sérieux en france faut juste un login et un mot de passe ! la honte
bizarre que tout les rackeur francais soit pas déjà riche lol
Il y a eu quelques affaires récemment (à la Sogé en particulier), et
certaines banques ont réagi en limitant les services. La BNP a réduit le
plafond pour les virements sur les comptes pro sans utilisation de carte à
puce, et une banque en ligne (Egg? je ne sais plus) a restreint les
possibilités de virements, il me semble bien.
Evidemment, les banques qui ne permettent pas de faire des virements vers
des comptes arbitraires (la CE par exemple) peuvent très bien se
satistaire de cette sécurité, vu qu'il n'y a pas de risque!
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
On 08 Nov 2004 21:22:04 GMT, naphtaline2001 wrote:
tu es sérieux en france faut juste un login et un mot de passe ! la honte bizarre que tout les rackeur francais soit pas déjà riche lol
Il y a eu quelques affaires récemment (à la Sogé en particulier), et certaines banques ont réagi en limitant les services. La BNP a réduit le plafond pour les virements sur les comptes pro sans utilisation de carte à puce, et une banque en ligne (Egg? je ne sais plus) a restreint les possibilités de virements, il me semble bien.
Evidemment, les banques qui ne permettent pas de faire des virements vers des comptes arbitraires (la CE par exemple) peuvent très bien se satistaire de cette sécurité, vu qu'il n'y a pas de risque!
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Simon Marechal
titou44 (marreduspam) wrote:
Bonjour
je suis à la recherche d'une étude sur les méthodes d'authentification des Banques pour leurs activités en ligne ?
si quelqu'un a une piste ou un lien ou un document, je suis preneur.
merci
Pour les particuliers:
Pour le crédit agricole, le login c'est le numéro de compte, et le mot de passe ce sont six chiffres "secrets" envoyés sur le relevé de compte. Ca doit être dur de faire pire. Mais ils ont un site qui rame, probablement pour contrer le brute force ^^
Pour le crédit lyonnais, numéro de compte, code secret, plus un code de plus. Ce qui revient au même, mais avec un mdp plus complexe.
J'ai pu voir pour se nombreuses filliales de banques françaises, et surtout pour les services destinés aux entreprises qu'un login et mdp suffisent souvent. Quand le login est relativement simple à déduire, et que le mot de passe est choisi par le client on se rend compte que ça ne va pas. Quand en plus on se rend compte que le message d'erreur en cas de login correct et de login incorrect est différent ...
Bien sur dans d'autres filliales on peut voir des moyens plus lourds : token rsa pour s'ouvrir un port vers l'application, puis login / mdp forts.
Sinon, il y a des disparités importantes entre les pays, même au sein des filliales d'une même banque.
titou44 (marreduspam) wrote:
Bonjour
je suis à la recherche d'une étude sur les méthodes d'authentification
des Banques pour leurs activités en ligne ?
si quelqu'un a une piste ou un lien ou un document, je suis preneur.
merci
Pour les particuliers:
Pour le crédit agricole, le login c'est le numéro de compte, et le mot
de passe ce sont six chiffres "secrets" envoyés sur le relevé de compte.
Ca doit être dur de faire pire. Mais ils ont un site qui rame,
probablement pour contrer le brute force ^^
Pour le crédit lyonnais, numéro de compte, code secret, plus un code de
plus. Ce qui revient au même, mais avec un mdp plus complexe.
J'ai pu voir pour se nombreuses filliales de banques françaises, et
surtout pour les services destinés aux entreprises qu'un login et mdp
suffisent souvent. Quand le login est relativement simple à déduire, et
que le mot de passe est choisi par le client on se rend compte que ça ne
va pas. Quand en plus on se rend compte que le message d'erreur en cas
de login correct et de login incorrect est différent ...
Bien sur dans d'autres filliales on peut voir des moyens plus lourds :
token rsa pour s'ouvrir un port vers l'application, puis login / mdp forts.
Sinon, il y a des disparités importantes entre les pays, même au sein
des filliales d'une même banque.
je suis à la recherche d'une étude sur les méthodes d'authentification des Banques pour leurs activités en ligne ?
si quelqu'un a une piste ou un lien ou un document, je suis preneur.
merci
Pour les particuliers:
Pour le crédit agricole, le login c'est le numéro de compte, et le mot de passe ce sont six chiffres "secrets" envoyés sur le relevé de compte. Ca doit être dur de faire pire. Mais ils ont un site qui rame, probablement pour contrer le brute force ^^
Pour le crédit lyonnais, numéro de compte, code secret, plus un code de plus. Ce qui revient au même, mais avec un mdp plus complexe.
J'ai pu voir pour se nombreuses filliales de banques françaises, et surtout pour les services destinés aux entreprises qu'un login et mdp suffisent souvent. Quand le login est relativement simple à déduire, et que le mot de passe est choisi par le client on se rend compte que ça ne va pas. Quand en plus on se rend compte que le message d'erreur en cas de login correct et de login incorrect est différent ...
Bien sur dans d'autres filliales on peut voir des moyens plus lourds : token rsa pour s'ouvrir un port vers l'application, puis login / mdp forts.
Sinon, il y a des disparités importantes entre les pays, même au sein des filliales d'une même banque.
Nicob
On Mon, 08 Nov 2004 21:22:04 +0000, Xavier wrote:
Dans une sesssion HHTPS ? Comment peux-tu faire ?
Par l'exploitation d'une faille de type XSS afin de ré-écrire la page de login (et donc de changer le ACTION du formulaire) ?
Nicob
On Mon, 08 Nov 2004 21:22:04 +0000, Xavier wrote:
Dans une sesssion HHTPS ? Comment peux-tu faire ?
Par l'exploitation d'une faille de type XSS afin de ré-écrire la page de
login (et donc de changer le ACTION du formulaire) ?
Par l'exploitation d'une faille de type XSS afin de ré-écrire la page de login (et donc de changer le ACTION du formulaire) ?
Nicob
Eric Razny
On 08 Nov 2004 21:22:04 GMT, naphtaline2001 Evidemment, les banques qui ne permettent pas de faire des virements vers des comptes arbitraires (la CE par exemple) peuvent très bien se satistaire de cette sécurité, vu qu'il n'y a pas de risque!
Mouais, mais si quelqu'un récupère des infos nominatives (forcement) non correctement protégées elles se mettent très clairement en infraction avec la loi. Le simple fait de savoir que je suis en affaire avec untel ou untel (et pas intel :) ) est une information en tant que tel (et je ne parle même pas des montants)
Eric
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
On 08 Nov 2004 21:22:04 GMT, naphtaline2001 <naphtaline2001@tele2.fr>
Evidemment, les banques qui ne permettent pas de faire des virements
vers des comptes arbitraires (la CE par exemple) peuvent très bien se
satistaire de cette sécurité, vu qu'il n'y a pas de risque!
Mouais, mais si quelqu'un récupère des infos nominatives (forcement) non
correctement protégées elles se mettent très clairement en infraction
avec la loi. Le simple fait de savoir que je suis en affaire avec untel
ou untel (et pas intel :) ) est une information en tant que tel (et je
ne parle même pas des montants)
Eric
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
On 08 Nov 2004 21:22:04 GMT, naphtaline2001 Evidemment, les banques qui ne permettent pas de faire des virements vers des comptes arbitraires (la CE par exemple) peuvent très bien se satistaire de cette sécurité, vu qu'il n'y a pas de risque!
Mouais, mais si quelqu'un récupère des infos nominatives (forcement) non correctement protégées elles se mettent très clairement en infraction avec la loi. Le simple fait de savoir que je suis en affaire avec untel ou untel (et pas intel :) ) est une information en tant que tel (et je ne parle même pas des montants)
Eric
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
