On Tue, 09 Nov 2004 07:59:13 +0000, Eric Razny wrote:
Mouais, mais si quelqu'un récupère des infos nominatives (forcement) non correctement protégées elles se mettent très clairement en infraction avec la loi.
Malheureusement, je ne crois pas qu'il y ait eu de jurisprudence sur ce sujet. Et cela rend difficile la sensibilisation par la "peur du gendarme" des sociétés détentrices de ce type d'infos.
Nicob
On Tue, 09 Nov 2004 07:59:13 +0000, Eric Razny wrote:
Mouais, mais si quelqu'un récupère des infos nominatives (forcement) non
correctement protégées elles se mettent très clairement en infraction
avec la loi.
Malheureusement, je ne crois pas qu'il y ait eu de jurisprudence sur ce
sujet. Et cela rend difficile la sensibilisation par la "peur du
gendarme" des sociétés détentrices de ce type d'infos.
On Tue, 09 Nov 2004 07:59:13 +0000, Eric Razny wrote:
Mouais, mais si quelqu'un récupère des infos nominatives (forcement) non correctement protégées elles se mettent très clairement en infraction avec la loi.
Malheureusement, je ne crois pas qu'il y ait eu de jurisprudence sur ce sujet. Et cela rend difficile la sensibilisation par la "peur du gendarme" des sociétés détentrices de ce type d'infos.
Nicob
xavier
Jacques Caron wrote:
Je crois que tu n'as pas compris le principe du phishing. Ca consite à inviter l'utilisateur à se connecter sur un serveur qui ressemble à celui de la banque, mais qui n'est pas celui de la banque, en général à grands coups de spam genre "vite connectez-vous pour confirmer votre compte sinon on va vous le bloquer
Ah oui, mais là ce n'est plus un problème de sécurité. C'est un problème d'interface chaise-clavier.
XAv -- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
Jacques Caron <jc@imfeurope.com> wrote:
Je crois que tu n'as pas compris le principe du phishing. Ca consite à
inviter l'utilisateur à se connecter sur un serveur qui ressemble à celui
de la banque, mais qui n'est pas celui de la banque, en général à grands
coups de spam genre "vite connectez-vous pour confirmer votre compte sinon
on va vous le bloquer
Ah oui, mais là ce n'est plus un problème de sécurité. C'est un problème
d'interface chaise-clavier.
XAv
--
Xavier HUMBERT
INJEP - NetBSD, parce que je le vaux bien
Je crois que tu n'as pas compris le principe du phishing. Ca consite à inviter l'utilisateur à se connecter sur un serveur qui ressemble à celui de la banque, mais qui n'est pas celui de la banque, en général à grands coups de spam genre "vite connectez-vous pour confirmer votre compte sinon on va vous le bloquer
Ah oui, mais là ce n'est plus un problème de sécurité. C'est un problème d'interface chaise-clavier.
XAv -- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
Michel Arboi
On Tue Nov 09 2004 at 01:47, Fabien LE LEZ wrote:
Ben... bof. Même si un pirate arrivait à connaître mon mot de passe, il pourrait juste transférer de l'argent de mon compte-chèques à mon livret A, et vice-versa. Accroche-toi pour devenir riche avec ça...
Sur certaines banques en ligne, on peut faire des virements sur des comptes externes. C'est douteux, AMHA. L'intérêt est limité pour un particulier, et ça augmente considérablement le risque.
On Tue Nov 09 2004 at 01:47, Fabien LE LEZ wrote:
Ben... bof. Même si un pirate arrivait à connaître mon mot de passe,
il pourrait juste transférer de l'argent de mon compte-chèques à mon
livret A, et vice-versa. Accroche-toi pour devenir riche avec ça...
Sur certaines banques en ligne, on peut faire des virements sur des
comptes externes. C'est douteux, AMHA. L'intérêt est limité pour un
particulier, et ça augmente considérablement le risque.
Ben... bof. Même si un pirate arrivait à connaître mon mot de passe, il pourrait juste transférer de l'argent de mon compte-chèques à mon livret A, et vice-versa. Accroche-toi pour devenir riche avec ça...
Sur certaines banques en ligne, on peut faire des virements sur des comptes externes. C'est douteux, AMHA. L'intérêt est limité pour un particulier, et ça augmente considérablement le risque.
Michel Arboi
On Mon Nov 08 2004 at 13:36, Jacques Caron wrote:
Les banques françaises? Allons, un login et un mot de passe et ça suffit, histoire que ce soit facile à "phisher" :-(
Ma banque me déconnecte régulièrement, ça m'agace -- problème de suivi de session paranoïaque entre modules ou allergie à Galeon ou Firefox ? Si je devais en plus répondre à un challenge à chaque reconnection, ça m'agacerait un peu plus.
- l'authentification par carte à puce (méthode BNP Paribas carte transfert sur les comptes entreprises): un lecteur de carte (gros comme une maison) à puce relié en USB au PC, une applet Java sur le PC, une carte à puce (protégée par un code). Pour se connecter (et pour valider les transactions) on insère sa carte dans le lecteur et on tape son code. Fonctionnellement identique à la solution précédente, en fait, avec juste plus de bits et une intégration plus directe
Fonctionnellement identique ? L'applet ne servirait pas à signer les transactions avant de les envoyer, par hasard ?
Il doit y en avoir quelques autres, mais en gros ça tourne toujours autour du même principe: si on veut une sécurité un peu sérieuse, il faut autre chose qu'un mot de passe unique...
Reste à voir si le jeu en vaut la chandelle.
-- http://arboi.da.ru FAQNOPI de fr.comp.securite http://faqnopi.da.ru/ NASL2 reference manual http://michel.arboi.free.fr/nasl2ref/
On Mon Nov 08 2004 at 13:36, Jacques Caron wrote:
Les banques françaises? Allons, un login et un mot de passe et ça
suffit, histoire que ce soit facile à "phisher" :-(
Ma banque me déconnecte régulièrement, ça m'agace -- problème de suivi
de session paranoïaque entre modules ou allergie à Galeon ou Firefox ?
Si je devais en plus répondre à un challenge à chaque reconnection, ça
m'agacerait un peu plus.
- l'authentification par carte à puce (méthode BNP Paribas carte
transfert sur les comptes entreprises): un lecteur de carte (gros
comme une maison) à puce relié en USB au PC, une applet Java sur le
PC, une carte à puce (protégée par un code). Pour se connecter (et
pour valider les transactions) on insère sa carte dans le lecteur et
on tape son code. Fonctionnellement identique à la solution
précédente, en fait, avec juste plus de bits et une intégration plus
directe
Fonctionnellement identique ? L'applet ne servirait pas à signer les
transactions avant de les envoyer, par hasard ?
Il doit y en avoir quelques autres, mais en gros ça tourne toujours
autour du même principe: si on veut une sécurité un peu sérieuse, il
faut autre chose qu'un mot de passe unique...
Les banques françaises? Allons, un login et un mot de passe et ça suffit, histoire que ce soit facile à "phisher" :-(
Ma banque me déconnecte régulièrement, ça m'agace -- problème de suivi de session paranoïaque entre modules ou allergie à Galeon ou Firefox ? Si je devais en plus répondre à un challenge à chaque reconnection, ça m'agacerait un peu plus.
- l'authentification par carte à puce (méthode BNP Paribas carte transfert sur les comptes entreprises): un lecteur de carte (gros comme une maison) à puce relié en USB au PC, une applet Java sur le PC, une carte à puce (protégée par un code). Pour se connecter (et pour valider les transactions) on insère sa carte dans le lecteur et on tape son code. Fonctionnellement identique à la solution précédente, en fait, avec juste plus de bits et une intégration plus directe
Fonctionnellement identique ? L'applet ne servirait pas à signer les transactions avant de les envoyer, par hasard ?
Il doit y en avoir quelques autres, mais en gros ça tourne toujours autour du même principe: si on veut une sécurité un peu sérieuse, il faut autre chose qu'un mot de passe unique...
Reste à voir si le jeu en vaut la chandelle.
-- http://arboi.da.ru FAQNOPI de fr.comp.securite http://faqnopi.da.ru/ NASL2 reference manual http://michel.arboi.free.fr/nasl2ref/
Fabien LE LEZ
On 09 Nov 2004 00:47:38 GMT, Jacques Caron :
Ca consite à inviter l'utilisateur à se connecter sur un serveur qui ressemble à celui de la banque, mais qui n'est pas celui de la banque [...] ne font pas la différence entre www.banque.com et www-banque.com
J'ai voulu commander un truc sur le site de VPC texinfo.fr. Je confirme la commande, et je vois apparaître un popup sans barre d'adresse, avec le logo de la Caisse d'Epargne : <http://perso.edulang.com/fcs_spplus_10-11-2004.png> (La ligne grise tout en bas est le haut de la barre des tâches de Windows). J'ai remis cette page dans un onglet de Firebird, et ai pu obtenir le nom du serveur : www.spplus.net, ainsi que la certification Verisign : Common name (CN) : www.spplus.net Organization (O) : CNCEP Organizational Unit (OU) : CE A priori, je suis soit sur le site de la Caisse d'épargne, soit sur le site du Collège Néolithique des Canards, Etourneaux et Perdrix.
Du coup, si on peut faire confiance à un site www.spplus.net et y mettre son numéro de carte, pourquoi pas faire confiance à www_caisse-epargne.fr ?
-- ;-)
On 09 Nov 2004 00:47:38 GMT, Jacques Caron <jc@imfeurope.com>:
Ca consite à
inviter l'utilisateur à se connecter sur un serveur qui ressemble à celui
de la banque, mais qui n'est pas celui de la banque
[...]
ne font pas la différence entre www.banque.com et www-banque.com
J'ai voulu commander un truc sur le site de VPC texinfo.fr. Je
confirme la commande, et je vois apparaître un popup sans barre
d'adresse, avec le logo de la Caisse d'Epargne :
<http://perso.edulang.com/fcs_spplus_10-11-2004.png> (La ligne grise
tout en bas est le haut de la barre des tâches de Windows).
J'ai remis cette page dans un onglet de Firebird, et ai pu obtenir le
nom du serveur : www.spplus.net, ainsi que la certification Verisign :
Common name (CN) : www.spplus.net
Organization (O) : CNCEP
Organizational Unit (OU) : CE
A priori, je suis soit sur le site de la Caisse d'épargne, soit sur le
site du Collège Néolithique des Canards, Etourneaux et Perdrix.
Du coup, si on peut faire confiance à un site www.spplus.net et y
mettre son numéro de carte, pourquoi pas faire confiance à
www_caisse-epargne.fr ?
Ca consite à inviter l'utilisateur à se connecter sur un serveur qui ressemble à celui de la banque, mais qui n'est pas celui de la banque [...] ne font pas la différence entre www.banque.com et www-banque.com
J'ai voulu commander un truc sur le site de VPC texinfo.fr. Je confirme la commande, et je vois apparaître un popup sans barre d'adresse, avec le logo de la Caisse d'Epargne : <http://perso.edulang.com/fcs_spplus_10-11-2004.png> (La ligne grise tout en bas est le haut de la barre des tâches de Windows). J'ai remis cette page dans un onglet de Firebird, et ai pu obtenir le nom du serveur : www.spplus.net, ainsi que la certification Verisign : Common name (CN) : www.spplus.net Organization (O) : CNCEP Organizational Unit (OU) : CE A priori, je suis soit sur le site de la Caisse d'épargne, soit sur le site du Collège Néolithique des Canards, Etourneaux et Perdrix.
Du coup, si on peut faire confiance à un site www.spplus.net et y mettre son numéro de carte, pourquoi pas faire confiance à www_caisse-epargne.fr ?
-- ;-)
Jacques Caron
On 09 Nov 2004 22:15:30 GMT, Michel Arboi wrote:
Ma banque me déconnecte régulièrement, ça m'agace -- problème de suivi de session paranoïaque entre modules ou allergie à Galeon ou Firefox ?
Quelle banque?
Fonctionnellement identique ? L'applet ne servirait pas à signer les transactions avant de les envoyer, par hasard ?
A priori oui, elle renvoie une signature sur les transactions, je parlais juste de la phase login qui donne la même chose avec juste plus de bits...
Reste à voir si le jeu en vaut la chandelle.
Pour qui? Les banques? Je me souviens quand j'habitais en Suisse, je suis allé au guichet pour faire un virement international (avant que j'aie mes codes d'accès Internet et tout ça). L'employée ma regardé avec des grands yeux en me disant "mais pourquoi vous ne le faites pas à l'automate?". Sérieusement, là bas, on peut tout faire ou presque par Internet ou avec des appareils automatiques (des espèces de distributeurs très améliorés, avec des scanners pour les bulletins de versement et tout et tout). Ca réduit fortement les frais en personnel...
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
On 09 Nov 2004 22:15:30 GMT, Michel Arboi <arboi@alussinan.org> wrote:
Ma banque me déconnecte régulièrement, ça m'agace -- problème de suivi
de session paranoïaque entre modules ou allergie à Galeon ou Firefox ?
Quelle banque?
Fonctionnellement identique ? L'applet ne servirait pas à signer les
transactions avant de les envoyer, par hasard ?
A priori oui, elle renvoie une signature sur les transactions, je parlais
juste de la phase login qui donne la même chose avec juste plus de bits...
Reste à voir si le jeu en vaut la chandelle.
Pour qui? Les banques? Je me souviens quand j'habitais en Suisse, je suis
allé au guichet pour faire un virement international (avant que j'aie mes
codes d'accès Internet et tout ça). L'employée ma regardé avec des grands
yeux en me disant "mais pourquoi vous ne le faites pas à l'automate?".
Sérieusement, là bas, on peut tout faire ou presque par Internet ou avec
des appareils automatiques (des espèces de distributeurs très améliorés,
avec des scanners pour les bulletins de versement et tout et tout). Ca
réduit fortement les frais en personnel...
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Ma banque me déconnecte régulièrement, ça m'agace -- problème de suivi de session paranoïaque entre modules ou allergie à Galeon ou Firefox ?
Quelle banque?
Fonctionnellement identique ? L'applet ne servirait pas à signer les transactions avant de les envoyer, par hasard ?
A priori oui, elle renvoie une signature sur les transactions, je parlais juste de la phase login qui donne la même chose avec juste plus de bits...
Reste à voir si le jeu en vaut la chandelle.
Pour qui? Les banques? Je me souviens quand j'habitais en Suisse, je suis allé au guichet pour faire un virement international (avant que j'aie mes codes d'accès Internet et tout ça). L'employée ma regardé avec des grands yeux en me disant "mais pourquoi vous ne le faites pas à l'automate?". Sérieusement, là bas, on peut tout faire ou presque par Internet ou avec des appareils automatiques (des espèces de distributeurs très améliorés, avec des scanners pour les bulletins de versement et tout et tout). Ca réduit fortement les frais en personnel...
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Jacques Caron
On 09 Nov 2004 22:15:30 GMT, Michel Arboi wrote:
Sur certaines banques en ligne, on peut faire des virements sur des comptes externes. C'est douteux, AMHA. L'intérêt est limité pour un particulier, et ça augmente considérablement le risque.
Personnellement je trouve ça super utile, surtout quand on peu faire des virements à l'étranger (avec BIC et IBAN). Mais il est clair que ça réclame un niveau de sécurisation un peu plus sérieux que ce qui est proposé en France. Les banques suisses l'ont bien compris: on peut faire des virements vers la planète entière, mais la sécurité est au rendez-vous.
Il faut aussi dire que de nombreux pays ont une culture du paiement par virement plutôt que par chèque (le chéquier n'est pas un instrument standard en Suisse par exemple), et dès qu'on veut faire des transactions transfrontalières de particulier à particulier, c'est la seule solution (à part Paypal et consorts qui se sont engoufrés dans la brèche bien sûr).
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
On 09 Nov 2004 22:15:30 GMT, Michel Arboi <arboi@alussinan.org> wrote:
Sur certaines banques en ligne, on peut faire des virements sur des
comptes externes. C'est douteux, AMHA. L'intérêt est limité pour un
particulier, et ça augmente considérablement le risque.
Personnellement je trouve ça super utile, surtout quand on peu faire des
virements à l'étranger (avec BIC et IBAN). Mais il est clair que ça
réclame un niveau de sécurisation un peu plus sérieux que ce qui est
proposé en France. Les banques suisses l'ont bien compris: on peut faire
des virements vers la planète entière, mais la sécurité est au rendez-vous.
Il faut aussi dire que de nombreux pays ont une culture du paiement par
virement plutôt que par chèque (le chéquier n'est pas un instrument
standard en Suisse par exemple), et dès qu'on veut faire des transactions
transfrontalières de particulier à particulier, c'est la seule solution (à
part Paypal et consorts qui se sont engoufrés dans la brèche bien sûr).
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Sur certaines banques en ligne, on peut faire des virements sur des comptes externes. C'est douteux, AMHA. L'intérêt est limité pour un particulier, et ça augmente considérablement le risque.
Personnellement je trouve ça super utile, surtout quand on peu faire des virements à l'étranger (avec BIC et IBAN). Mais il est clair que ça réclame un niveau de sécurisation un peu plus sérieux que ce qui est proposé en France. Les banques suisses l'ont bien compris: on peut faire des virements vers la planète entière, mais la sécurité est au rendez-vous.
Il faut aussi dire que de nombreux pays ont une culture du paiement par virement plutôt que par chèque (le chéquier n'est pas un instrument standard en Suisse par exemple), et dès qu'on veut faire des transactions transfrontalières de particulier à particulier, c'est la seule solution (à part Paypal et consorts qui se sont engoufrés dans la brèche bien sûr).
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
vortex
Ben... bof. Même si un pirate arrivait à connaître mon mot de passe, il pourrait juste transférer de l'argent de mon compte-chèques à mon livret A, et vice-versa. Accroche-toi pour devenir riche avec ça...
Sur certaines banques en ligne, on peut faire des virements sur des comptes externes. C'est douteux, AMHA. L'intérêt est limité pour un particulier, et ça augmente considérablement le risque.
Justement, vis-à-vis de celà, la Société Générale (pour parler d'un cas précis) via son service Logitelnet a récemment limité la possibilité de définir des comptes externes via l'interface Web. Il faut appeler un numéro en 08 et demander à un opérateur humain (qui pose quelques questions pour s'assurer qu'il a, a priori, bien affaire à vous) de le faire manuellement si vous voulez transferer de l'argent sur le compte de votre grand-mère par exemple. Ce qui limite l'arnaque potentielle en cas de vol d'identifiants a des mouvements d'argents de compte perso à compte perso (genre compte courant --> codevi) par défaut OU a des comptes externes que vous avez historiquement configurés (ou fait configurer si c'est plus récent par cet opérateur).
Ils ont clairement fait ça suite a des abus d'après ce que me racontait l'opérateur lorsque j'ai récemment eu besoin de définir un compte externe dans mon interface personnelle Logitelnet...car l'accès reste basé sur un simple couple login/password invariable (login = suite de 8 chiffres et password = fixé par l'utilisateur). Et à la SG ce service (logitelnet) est gratuit, ce qui augmente pas mal je pense la masse d'utilisateurs potentiellement "arnaquables"...
Laurent.
Ben... bof. Même si un pirate arrivait à connaître mon mot de passe,
il pourrait juste transférer de l'argent de mon compte-chèques à mon
livret A, et vice-versa. Accroche-toi pour devenir riche avec ça...
Sur certaines banques en ligne, on peut faire des virements sur des
comptes externes. C'est douteux, AMHA. L'intérêt est limité pour un
particulier, et ça augmente considérablement le risque.
Justement, vis-à-vis de celà, la Société Générale (pour parler d'un cas
précis) via son service Logitelnet a récemment limité la possibilité de
définir des comptes externes via l'interface Web. Il faut appeler un numéro
en 08 et demander à un opérateur humain (qui pose quelques questions pour
s'assurer qu'il a, a priori, bien affaire à vous) de le faire manuellement
si vous voulez transferer de l'argent sur le compte de votre grand-mère par
exemple. Ce qui limite l'arnaque potentielle en cas de vol d'identifiants a
des mouvements d'argents de compte perso à compte perso (genre compte
courant --> codevi) par défaut OU a des comptes externes que vous avez
historiquement configurés (ou fait configurer si c'est plus récent par cet
opérateur).
Ils ont clairement fait ça suite a des abus d'après ce que me racontait
l'opérateur lorsque j'ai récemment eu besoin de définir un compte externe
dans mon interface personnelle Logitelnet...car l'accès reste basé sur un
simple couple login/password invariable (login = suite de 8 chiffres et
password = fixé par l'utilisateur). Et à la SG ce service (logitelnet) est
gratuit, ce qui augmente pas mal je pense la masse d'utilisateurs
potentiellement "arnaquables"...
Ben... bof. Même si un pirate arrivait à connaître mon mot de passe, il pourrait juste transférer de l'argent de mon compte-chèques à mon livret A, et vice-versa. Accroche-toi pour devenir riche avec ça...
Sur certaines banques en ligne, on peut faire des virements sur des comptes externes. C'est douteux, AMHA. L'intérêt est limité pour un particulier, et ça augmente considérablement le risque.
Justement, vis-à-vis de celà, la Société Générale (pour parler d'un cas précis) via son service Logitelnet a récemment limité la possibilité de définir des comptes externes via l'interface Web. Il faut appeler un numéro en 08 et demander à un opérateur humain (qui pose quelques questions pour s'assurer qu'il a, a priori, bien affaire à vous) de le faire manuellement si vous voulez transferer de l'argent sur le compte de votre grand-mère par exemple. Ce qui limite l'arnaque potentielle en cas de vol d'identifiants a des mouvements d'argents de compte perso à compte perso (genre compte courant --> codevi) par défaut OU a des comptes externes que vous avez historiquement configurés (ou fait configurer si c'est plus récent par cet opérateur).
Ils ont clairement fait ça suite a des abus d'après ce que me racontait l'opérateur lorsque j'ai récemment eu besoin de définir un compte externe dans mon interface personnelle Logitelnet...car l'accès reste basé sur un simple couple login/password invariable (login = suite de 8 chiffres et password = fixé par l'utilisateur). Et à la SG ce service (logitelnet) est gratuit, ce qui augmente pas mal je pense la masse d'utilisateurs potentiellement "arnaquables"...
Laurent.
VANHULLEBUS Yvan
vortex writes:
[Virements en ligne]
Justement, vis-à-vis de celà, la Société Générale (pour parler d'un cas précis) via son service Logitelnet a récemment limité la possibilité de définir des comptes externes via l'interface Web. Il faut appeler un numéro en 08 et demander à un opérateur humain (qui pose quelques questions pour s'assurer qu'il a, a priori, bien affaire à vous) de le faire manuellement si vous voulez transferer de l'argent sur le compte de votre grand-mère par exemple. Ce qui limite l'arnaque potentielle en cas de vol d'identifiants a des mouvements d'argents de compte perso à compte perso (genre compte courant --> codevi) par défaut OU a des comptes externes que vous avez historiquement configurés (ou fait configurer si c'est plus récent par cet opérateur).
Je serais assez curieux de voir ce qu'ils demandent pour "s'assurer qu'il a, a priori, bien affaire a vous".....
Chez FT, par exemple, pour changer ses options d'abonnement (on n'est pas dans l'arnaque lourde, mais bon...), ils demandent des "secrets" genre date de naissance (genre...), addresse, montant de la derniere facture, etc....
C'est pas vraiment avec ca qu'on a authentifie de maniere sure quelqu'un qu'on n'a jamais vu !
Et quand on voit comment il est generalement facile de recuperer des infos "confidentelles" la plupart du temps ("allo, madame Michou ? c'est vore nouveau conseiller, pourriez vous me donner votre code secret que je puisse m'assurer que c'est bien a vous que je parle ?"), ca donne vachement envie d'avoir confiance !!!
Justement, vis-à-vis de celà, la Société Générale (pour parler d'un cas
précis) via son service Logitelnet a récemment limité la possibilité de
définir des comptes externes via l'interface Web. Il faut appeler un numéro
en 08 et demander à un opérateur humain (qui pose quelques questions pour
s'assurer qu'il a, a priori, bien affaire à vous) de le faire manuellement
si vous voulez transferer de l'argent sur le compte de votre grand-mère par
exemple. Ce qui limite l'arnaque potentielle en cas de vol d'identifiants a
des mouvements d'argents de compte perso à compte perso (genre compte
courant --> codevi) par défaut OU a des comptes externes que vous avez
historiquement configurés (ou fait configurer si c'est plus récent par cet
opérateur).
Je serais assez curieux de voir ce qu'ils demandent pour "s'assurer
qu'il a, a priori, bien affaire a vous".....
Chez FT, par exemple, pour changer ses options d'abonnement (on n'est
pas dans l'arnaque lourde, mais bon...), ils demandent des "secrets"
genre date de naissance (genre...), addresse, montant de la derniere
facture, etc....
C'est pas vraiment avec ca qu'on a authentifie de maniere sure
quelqu'un qu'on n'a jamais vu !
Et quand on voit comment il est generalement facile de recuperer des
infos "confidentelles" la plupart du temps ("allo, madame Michou ?
c'est vore nouveau conseiller, pourriez vous me donner votre code
secret que je puisse m'assurer que c'est bien a vous que je parle ?"),
ca donne vachement envie d'avoir confiance !!!
Justement, vis-à-vis de celà, la Société Générale (pour parler d'un cas précis) via son service Logitelnet a récemment limité la possibilité de définir des comptes externes via l'interface Web. Il faut appeler un numéro en 08 et demander à un opérateur humain (qui pose quelques questions pour s'assurer qu'il a, a priori, bien affaire à vous) de le faire manuellement si vous voulez transferer de l'argent sur le compte de votre grand-mère par exemple. Ce qui limite l'arnaque potentielle en cas de vol d'identifiants a des mouvements d'argents de compte perso à compte perso (genre compte courant --> codevi) par défaut OU a des comptes externes que vous avez historiquement configurés (ou fait configurer si c'est plus récent par cet opérateur).
Je serais assez curieux de voir ce qu'ils demandent pour "s'assurer qu'il a, a priori, bien affaire a vous".....
Chez FT, par exemple, pour changer ses options d'abonnement (on n'est pas dans l'arnaque lourde, mais bon...), ils demandent des "secrets" genre date de naissance (genre...), addresse, montant de la derniere facture, etc....
C'est pas vraiment avec ca qu'on a authentifie de maniere sure quelqu'un qu'on n'a jamais vu !
Et quand on voit comment il est generalement facile de recuperer des infos "confidentelles" la plupart du temps ("allo, madame Michou ? c'est vore nouveau conseiller, pourriez vous me donner votre code secret que je puisse m'assurer que c'est bien a vous que je parle ?"), ca donne vachement envie d'avoir confiance !!!
A +
VANHU.
vortex
Je serais assez curieux de voir ce qu'ils demandent pour "s'assurer qu'il a, a priori, bien affaire a vous".....
Chez FT, par exemple, pour changer ses options d'abonnement (on n'est pas dans l'arnaque lourde, mais bon...), ils demandent des "secrets" genre date de naissance (genre...), addresse, montant de la derniere facture, etc....
C'est pas vraiment avec ca qu'on a authentifie de maniere sure quelqu'un qu'on n'a jamais vu !
On est bien d'accord. Je ne me souviens plus des questions (et je pense(j'espère plutôt) qu'elles varient entre deux appels --> histoire d'avoir une chance de faire bagayer 10secondes le mec en face (encore faut-il que le mec interprête bien la réaction de l'usurpateur et refuse donc de faire l'opération)) mais c'est clairement basic (adressse,numéro de téléphone, date de naissance, montant approximatif du compte courant, ...). Des infos de ce type cumulées. Si le mec a déjà volé login et password il peut facilement trouver pas mal d'infos derrière. Notamment, il y a une section "Impression de RIB" (je parle toujours du cas précis Logitelnet) qui dévoile l'adresse de l'agence et le nom et prénom du bonhomme. Avec un peu de chance le mec est lié a une agence proche de chez lui (pas mal de banques jouent la proximité avec leur clients je pense donc, en terme de probabilité, que le mec avec le chapeau noir n'est pas mal parti s'il a l'idée de taper le nom de sa victime dans les pages jaunes et là il a l'adresse et le tél du mec) --> Pages jaunes --> appel de la victime un soir sous forme d'un petit sondage pour récuperer une date de naissance ça parait pas infaisable en présentant bien les choses :-)
Bref, c'est toujours mieux (voire dissuasif pour les plus faibles) d'avoir un humain à gruger, plutôt que de pouvoir directement, sans restriction, définir des comptes externes pour faire tranquillement des virements ensuite... Mais ça reste très simple, trop simple même à contourner... Ca n'a pas vraiment la couleur d'une authentification forte...
Laurent
Je serais assez curieux de voir ce qu'ils demandent pour "s'assurer
qu'il a, a priori, bien affaire a vous".....
Chez FT, par exemple, pour changer ses options d'abonnement (on n'est
pas dans l'arnaque lourde, mais bon...), ils demandent des "secrets"
genre date de naissance (genre...), addresse, montant de la derniere
facture, etc....
C'est pas vraiment avec ca qu'on a authentifie de maniere sure
quelqu'un qu'on n'a jamais vu !
On est bien d'accord.
Je ne me souviens plus des questions (et je pense(j'espère plutôt) qu'elles
varient entre deux appels --> histoire d'avoir une chance de faire bagayer
10secondes le mec en face (encore faut-il que le mec interprête bien la
réaction de l'usurpateur et refuse donc de faire l'opération)) mais c'est
clairement basic (adressse,numéro de téléphone, date de naissance, montant
approximatif du compte courant, ...). Des infos de ce type cumulées. Si le
mec a déjà volé login et password il peut facilement trouver pas mal d'infos
derrière. Notamment, il y a une section "Impression de RIB" (je parle
toujours du cas précis Logitelnet) qui dévoile l'adresse de l'agence et le
nom et prénom du bonhomme. Avec un peu de chance le mec est lié a une agence
proche de chez lui (pas mal de banques jouent la proximité avec leur clients
je pense donc, en terme de probabilité, que le mec avec le chapeau noir
n'est pas mal parti s'il a l'idée de taper le nom de sa victime dans les
pages jaunes et là il a l'adresse et le tél du mec) --> Pages jaunes -->
appel de la victime un soir sous forme d'un petit sondage pour récuperer une
date de naissance ça parait pas infaisable en présentant bien les choses :-)
Bref, c'est toujours mieux (voire dissuasif pour les plus faibles) d'avoir
un humain à gruger, plutôt que de pouvoir directement, sans restriction,
définir des comptes externes pour faire tranquillement des virements
ensuite...
Mais ça reste très simple, trop simple même à contourner...
Ca n'a pas vraiment la couleur d'une authentification forte...
Je serais assez curieux de voir ce qu'ils demandent pour "s'assurer qu'il a, a priori, bien affaire a vous".....
Chez FT, par exemple, pour changer ses options d'abonnement (on n'est pas dans l'arnaque lourde, mais bon...), ils demandent des "secrets" genre date de naissance (genre...), addresse, montant de la derniere facture, etc....
C'est pas vraiment avec ca qu'on a authentifie de maniere sure quelqu'un qu'on n'a jamais vu !
On est bien d'accord. Je ne me souviens plus des questions (et je pense(j'espère plutôt) qu'elles varient entre deux appels --> histoire d'avoir une chance de faire bagayer 10secondes le mec en face (encore faut-il que le mec interprête bien la réaction de l'usurpateur et refuse donc de faire l'opération)) mais c'est clairement basic (adressse,numéro de téléphone, date de naissance, montant approximatif du compte courant, ...). Des infos de ce type cumulées. Si le mec a déjà volé login et password il peut facilement trouver pas mal d'infos derrière. Notamment, il y a une section "Impression de RIB" (je parle toujours du cas précis Logitelnet) qui dévoile l'adresse de l'agence et le nom et prénom du bonhomme. Avec un peu de chance le mec est lié a une agence proche de chez lui (pas mal de banques jouent la proximité avec leur clients je pense donc, en terme de probabilité, que le mec avec le chapeau noir n'est pas mal parti s'il a l'idée de taper le nom de sa victime dans les pages jaunes et là il a l'adresse et le tél du mec) --> Pages jaunes --> appel de la victime un soir sous forme d'un petit sondage pour récuperer une date de naissance ça parait pas infaisable en présentant bien les choses :-)
Bref, c'est toujours mieux (voire dissuasif pour les plus faibles) d'avoir un humain à gruger, plutôt que de pouvoir directement, sans restriction, définir des comptes externes pour faire tranquillement des virements ensuite... Mais ça reste très simple, trop simple même à contourner... Ca n'a pas vraiment la couleur d'une authentification forte...
