Justement, vis-à-vis de celà, la Société Générale (pour parler d'un cas précis) via son service Logitelnet a récemment limité la possibilité de définir des comptes externes via l'interface Web. [...]
Ils ont clairement fait ça suite a des abus d'après ce que me racontait l'opérateur
Oui, il y a eu il y a cet été des problèmes de ce type à la Sogé:
http://www.uptotech.com/sinformer/n/news4228.php
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On 10 Nov 2004 09:29:45 GMT, vortex <vortex_concept@hotmail.nospam..com>
wrote:
Justement, vis-à-vis de celà, la Société Générale (pour parler d'un cas
précis) via son service Logitelnet a récemment limité la possibilité de
définir des comptes externes via l'interface Web.
[...]
Ils ont clairement fait ça suite a des abus d'après ce que me racontait
l'opérateur
Oui, il y a eu il y a cet été des problèmes de ce type à la Sogé:
http://www.uptotech.com/sinformer/n/news4228.php
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Justement, vis-à-vis de celà, la Société Générale (pour parler d'un cas précis) via son service Logitelnet a récemment limité la possibilité de définir des comptes externes via l'interface Web. [...]
Ils ont clairement fait ça suite a des abus d'après ce que me racontait l'opérateur
Oui, il y a eu il y a cet été des problèmes de ce type à la Sogé:
http://www.uptotech.com/sinformer/n/news4228.php
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Eric Razny
vortex writes:
[Virements en ligne]
Je serais assez curieux de voir ce qu'ils demandent pour "s'assurer qu'il a, a priori, bien affaire a vous".....
[snap]
Et quand on voit comment il est generalement facile de recuperer des infos "confidentelles" la plupart du temps ("allo, madame Michou ? c'est vore nouveau conseiller, pourriez vous me donner votre code secret que je puisse m'assurer que c'est bien a vous que je parle ?"), ca donne vachement envie d'avoir confiance !!!
Bah, même physiquement il suffit d'un peu de persuasion. Sans avoir le moindre droit sur le compte de ma femme[1], j'ai fait, entre autre, créer un accès aux comptes via internet. Le chargé de clientèle, qui ne m'avais jamais vu, m'a même donné l'identifiant et le mot de passe de cet accès ; et à l'époque on pouvait faire des virements n'importe où...
Les renseignements que j'avais : numéro du compte, nom et adresse du titulaire etc, bref ce qu'on récupère sur un relevé de compte volé par exemple.
On ne m'a jamais demandé si j'avais procuration sur ce compte.
Le pire : je me suis présenté comme son mari et... on ne m'a jamais demandé ma carte d'identité :((
Alors derrière, les identifications par téléphone d'une personne inconnue, sans secret partagé, ça me fait doucement rigoler!
Eric
[1] Les opérations sont celles qu'elle voulait faire mais comme je passais à côté de l'agence je me suis dis qu'on allait gagner du temps. Je pensais récupérer les formulaires et "avancer" la démarche, pas tout faire ça sur place! C'est le conseillé qui m'a donné les infos...
Depuis on a réglé les problèmes de compte bancaire, de procuration etc :)
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Je serais assez curieux de voir ce qu'ils demandent pour "s'assurer
qu'il a, a priori, bien affaire a vous".....
[snap]
Et quand on voit comment il est generalement facile de recuperer des
infos "confidentelles" la plupart du temps ("allo, madame Michou ?
c'est vore nouveau conseiller, pourriez vous me donner votre code
secret que je puisse m'assurer que c'est bien a vous que je parle ?"),
ca donne vachement envie d'avoir confiance !!!
Bah, même physiquement il suffit d'un peu de persuasion.
Sans avoir le moindre droit sur le compte de ma femme[1], j'ai fait,
entre autre, créer un accès aux comptes via internet. Le chargé de
clientèle, qui ne m'avais jamais vu, m'a même donné l'identifiant et le
mot de passe de cet accès ; et à l'époque on pouvait faire des virements
n'importe où...
Les renseignements que j'avais : numéro du compte, nom et adresse du
titulaire etc, bref ce qu'on récupère sur un relevé de compte volé par
exemple.
On ne m'a jamais demandé si j'avais procuration sur ce compte.
Le pire : je me suis présenté comme son mari et... on ne m'a jamais
demandé ma carte d'identité :((
Alors derrière, les identifications par téléphone d'une personne
inconnue, sans secret partagé, ça me fait doucement rigoler!
Eric
[1] Les opérations sont celles qu'elle voulait faire mais comme je
passais à côté de l'agence je me suis dis qu'on allait gagner du temps.
Je pensais récupérer les formulaires et "avancer" la démarche, pas tout
faire ça sur place! C'est le conseillé qui m'a donné les infos...
Depuis on a réglé les problèmes de compte bancaire, de procuration etc :)
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
Je serais assez curieux de voir ce qu'ils demandent pour "s'assurer qu'il a, a priori, bien affaire a vous".....
[snap]
Et quand on voit comment il est generalement facile de recuperer des infos "confidentelles" la plupart du temps ("allo, madame Michou ? c'est vore nouveau conseiller, pourriez vous me donner votre code secret que je puisse m'assurer que c'est bien a vous que je parle ?"), ca donne vachement envie d'avoir confiance !!!
Bah, même physiquement il suffit d'un peu de persuasion. Sans avoir le moindre droit sur le compte de ma femme[1], j'ai fait, entre autre, créer un accès aux comptes via internet. Le chargé de clientèle, qui ne m'avais jamais vu, m'a même donné l'identifiant et le mot de passe de cet accès ; et à l'époque on pouvait faire des virements n'importe où...
Les renseignements que j'avais : numéro du compte, nom et adresse du titulaire etc, bref ce qu'on récupère sur un relevé de compte volé par exemple.
On ne m'a jamais demandé si j'avais procuration sur ce compte.
Le pire : je me suis présenté comme son mari et... on ne m'a jamais demandé ma carte d'identité :((
Alors derrière, les identifications par téléphone d'une personne inconnue, sans secret partagé, ça me fait doucement rigoler!
Eric
[1] Les opérations sont celles qu'elle voulait faire mais comme je passais à côté de l'agence je me suis dis qu'on allait gagner du temps. Je pensais récupérer les formulaires et "avancer" la démarche, pas tout faire ça sur place! C'est le conseillé qui m'a donné les infos...
Depuis on a réglé les problèmes de compte bancaire, de procuration etc :)
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
VANHULLEBUS Yvan
Pascal PETIT <"addresse news"@shayol.org> writes:
Bonjour Xavier,
(Xavier HUMBERT) writes: [phishing]
Ah oui, mais là ce n'est plus un problème de sécurité. C'est un problème d'interface chaise-clavier.
L'autre méthode qui est, elle, un problème de sécurité, c'est le virus discret ou ~ sur la machine du client et qui récupère login et mot de passe.
Considérer que l'ordinateur d'un utilisateur lambda est sur et non vérollé n'est pas très sérieux.
Pas plus serieux que considerer que l'utilisateur lambda est sur et non verolle....
De toutes facons, on peut resoudre la demande a "je veux pouvoir utiliser simplement n'iporte quel ordinateur de n'importe ou pour pouvoir consulter/utiliser mes comptes en toute securite alors que je n'y connais rien en securite et que je suis un neuneu".....
Et la reponse est simple egalement: c'est impossible !!
Apres, certaines solutions permettent quand meme de faire les choses a peu pres proprement si on considere un certain nombre de prerequis (l'utilisateur n'est pas si debile que ca, son poste est a peu pres propre, et c'est deja pas mal, comme exigences de base !!!), mais j'imagine mal une banque mettre sur son site "n'utilisez pas notre service si vous etes un neuneu" !!!
En cas de problème d'ailleurs, la responsabilité de la banque peut-elle être engagée ou bien tout repose-t-il sur le malheureux client qui s'est fait hacker son ordinateur ?
Je dirais que si l'erreur est du cote du client, la banque n'aura rien a se reprocher, mais fera surement un "petit geste" pour rassurer l'ensemble de sa clientelle.... D'ailleurs, y'a peut etre moyen de monter une arnaque a la banque, du coup....
Sinon, la banque refusera d'admettre son erreur (reputation oblige) et s'arrangera probablement pour etouffer l'affaire, de toutes facons.....
On est quand même dans une situation où la banque qui est censée avoir un service informatique compétent a fourni à son client, potentiellement incompétent en matière de sécurité, un mécanisme d'authentification peu sur. La banque ne peut pas ne pas savoir que le mécanisme n'est pas sur. Le client, lui, peut en toute bonne foi penser être suffisamment protégé.
On est dans une situation desesperement banale, ou un client qui n'y comprend rien reclame quelquechose "qui lui parait simple", alors que c'est impossible, et ou tous les fournisseurs (ici, les banques) lui font croire qu'ils le fournissent, en pariant sur le fait que ca derapera peu, et que les frais de ces derapages seront compenses par d'autres choses (facturation de service, ou tout simplement clients recuperes)....
Et quand ca derape, plutot que faire un gros scandale qui fait froid dans le dos et qui fout le systeme par terre, soit on achete le silence, soit on fait un proces, on met une bonne couche de comm derriere, on remet une planche "pour renforcer", on redonne un coup de peinture et zou..... Cf l'histoire mouvementee du systeme de cartes a puce......
Ah oui, mais là ce n'est plus un problème de sécurité. C'est un problème
d'interface chaise-clavier.
L'autre méthode qui est, elle, un problème de sécurité, c'est le virus
discret ou ~ sur la machine du client et qui récupère login et mot de
passe.
Considérer que l'ordinateur d'un utilisateur lambda est sur et non
vérollé n'est pas très sérieux.
Pas plus serieux que considerer que l'utilisateur lambda est sur et
non verolle....
De toutes facons, on peut resoudre la demande a "je veux pouvoir
utiliser simplement n'iporte quel ordinateur de n'importe ou pour
pouvoir consulter/utiliser mes comptes en toute securite alors que je
n'y connais rien en securite et que je suis un neuneu".....
Et la reponse est simple egalement: c'est impossible !!
Apres, certaines solutions permettent quand meme de faire les choses a
peu pres proprement si on considere un certain nombre de prerequis
(l'utilisateur n'est pas si debile que ca, son poste est a peu pres
propre, et c'est deja pas mal, comme exigences de base !!!), mais
j'imagine mal une banque mettre sur son site "n'utilisez pas notre
service si vous etes un neuneu" !!!
En cas de problème d'ailleurs, la responsabilité de la banque
peut-elle être engagée ou bien tout repose-t-il sur le malheureux
client qui s'est fait hacker son ordinateur ?
Je dirais que si l'erreur est du cote du client, la banque n'aura rien
a se reprocher, mais fera surement un "petit geste" pour rassurer
l'ensemble de sa clientelle.... D'ailleurs, y'a peut etre moyen de
monter une arnaque a la banque, du coup....
Sinon, la banque refusera d'admettre son erreur (reputation oblige) et
s'arrangera probablement pour etouffer l'affaire, de toutes facons.....
On est quand même dans une situation où la banque qui est censée avoir
un service informatique compétent a fourni à son client,
potentiellement incompétent en matière de sécurité, un mécanisme
d'authentification peu sur. La banque ne peut pas ne pas savoir que le
mécanisme n'est pas sur. Le client, lui, peut en toute bonne foi
penser être suffisamment protégé.
On est dans une situation desesperement banale, ou un client qui n'y
comprend rien reclame quelquechose "qui lui parait simple", alors que
c'est impossible, et ou tous les fournisseurs (ici, les banques) lui
font croire qu'ils le fournissent, en pariant sur le fait que ca
derapera peu, et que les frais de ces derapages seront compenses par
d'autres choses (facturation de service, ou tout simplement clients
recuperes)....
Et quand ca derape, plutot que faire un gros scandale qui fait froid
dans le dos et qui fout le systeme par terre, soit on achete le
silence, soit on fait un proces, on met une bonne couche de comm
derriere, on remet une planche "pour renforcer", on redonne un coup de
peinture et zou.....
Cf l'histoire mouvementee du systeme de cartes a puce......
Ah oui, mais là ce n'est plus un problème de sécurité. C'est un problème d'interface chaise-clavier.
L'autre méthode qui est, elle, un problème de sécurité, c'est le virus discret ou ~ sur la machine du client et qui récupère login et mot de passe.
Considérer que l'ordinateur d'un utilisateur lambda est sur et non vérollé n'est pas très sérieux.
Pas plus serieux que considerer que l'utilisateur lambda est sur et non verolle....
De toutes facons, on peut resoudre la demande a "je veux pouvoir utiliser simplement n'iporte quel ordinateur de n'importe ou pour pouvoir consulter/utiliser mes comptes en toute securite alors que je n'y connais rien en securite et que je suis un neuneu".....
Et la reponse est simple egalement: c'est impossible !!
Apres, certaines solutions permettent quand meme de faire les choses a peu pres proprement si on considere un certain nombre de prerequis (l'utilisateur n'est pas si debile que ca, son poste est a peu pres propre, et c'est deja pas mal, comme exigences de base !!!), mais j'imagine mal une banque mettre sur son site "n'utilisez pas notre service si vous etes un neuneu" !!!
En cas de problème d'ailleurs, la responsabilité de la banque peut-elle être engagée ou bien tout repose-t-il sur le malheureux client qui s'est fait hacker son ordinateur ?
Je dirais que si l'erreur est du cote du client, la banque n'aura rien a se reprocher, mais fera surement un "petit geste" pour rassurer l'ensemble de sa clientelle.... D'ailleurs, y'a peut etre moyen de monter une arnaque a la banque, du coup....
Sinon, la banque refusera d'admettre son erreur (reputation oblige) et s'arrangera probablement pour etouffer l'affaire, de toutes facons.....
On est quand même dans une situation où la banque qui est censée avoir un service informatique compétent a fourni à son client, potentiellement incompétent en matière de sécurité, un mécanisme d'authentification peu sur. La banque ne peut pas ne pas savoir que le mécanisme n'est pas sur. Le client, lui, peut en toute bonne foi penser être suffisamment protégé.
On est dans une situation desesperement banale, ou un client qui n'y comprend rien reclame quelquechose "qui lui parait simple", alors que c'est impossible, et ou tous les fournisseurs (ici, les banques) lui font croire qu'ils le fournissent, en pariant sur le fait que ca derapera peu, et que les frais de ces derapages seront compenses par d'autres choses (facturation de service, ou tout simplement clients recuperes)....
Et quand ca derape, plutot que faire un gros scandale qui fait froid dans le dos et qui fout le systeme par terre, soit on achete le silence, soit on fait un proces, on met une bonne couche de comm derriere, on remet une planche "pour renforcer", on redonne un coup de peinture et zou..... Cf l'histoire mouvementee du systeme de cartes a puce......
A +
VANHU.
VANHULLEBUS Yvan
Pascal PETIT <"addresse news"@shayol.org> writes:
VANHULLEBUS Yvan writes:
[....]
De toutes facons, on peut resoudre la demande a "je veux pouvoir utiliser simplement n'iporte quel ordinateur de n'importe ou pour pouvoir consulter/utiliser mes comptes en toute securite alors que je n'y connais rien en securite et que je suis un neuneu".....
Et la reponse est simple egalement: c'est impossible !!
Ben, si, c'est possible. Les systèmes à base de mot de défi/réponse comme l'appliquent des banques étrangères est une solution solide qui est à l'épreuve des neu² et qui protège :
- du sniffage des frappes clavier puisque chaque réponse ne sert qu'une fois
- des sites WeB bidon puisque la réponse dépend du défi envoyé par le site de la banque qui ne peut être prévu à l'avance.
Mais ca ne protege pas du poste compromis: une fois que l'utilisateur est authentifie sur le serveur, si quelqu'un d'autre a le controle de la machine, il peut utiliser cette session authentifiee.
Maintenant, effectivement, ca limite enormement les risques, et c'est deja un gros progres.
Apres, certaines solutions permettent quand meme de faire les choses a peu pres proprement si on considere un certain nombre de prerequis (l'utilisateur n'est pas si debile que ca, son poste est a peu pres propre, et c'est deja pas mal, comme exigences de base !!!),
Non. La solution doit fonctionner même si le poste de l'utilisateur n'est pas propre. Les solutions citées précédemment permettent ça.
Si le poste est compromis, la seule solution vraiment fiable serait une validation par defi/reponse de chaque operation, via par exemple une calculette "de hash" a part (donc a priori difficile a compromettre).
Et je doute que la plupart des banques commencent a deployer ce genre de systemes pour "Mr Toutlemonde".
Certaines banques étrangères ne s'y sont pas trompées.
cf <URL:www.01net.com/article/255726.html>
Le fait que ce type de problèmes soit abordé dans des revues de vulgarisation comme 01net peut inciter à penser que le déploiement sur le terrain se fera.
Si les tarifs annonces dans cette news sont reels, alors peut etre que effectivement, on aura ce genre de deploiement, ce qui serait une bonne chose....
Mais meme un token "pour une session" ne protege pas completement, bien que ca protege effectivement de "la plus grosse partie des problemes", y compris (surtout) le phishing.
A +
VANHU.
Pascal PETIT <"addresse news"@shayol.org> writes:
VANHULLEBUS Yvan <vanhu@nospam_free.fr> writes:
[....]
De toutes facons, on peut resoudre la demande a "je veux pouvoir
utiliser simplement n'iporte quel ordinateur de n'importe ou pour
pouvoir consulter/utiliser mes comptes en toute securite alors que je
n'y connais rien en securite et que je suis un neuneu".....
Et la reponse est simple egalement: c'est impossible !!
Ben, si, c'est possible. Les systèmes à base de mot de défi/réponse
comme l'appliquent des banques étrangères est une solution solide qui
est à l'épreuve des neu² et qui protège :
- du sniffage des frappes clavier puisque chaque réponse ne
sert qu'une fois
- des sites WeB bidon puisque la réponse dépend du défi envoyé
par le site de la banque qui ne peut être prévu à l'avance.
Mais ca ne protege pas du poste compromis: une fois que l'utilisateur
est authentifie sur le serveur, si quelqu'un d'autre a le controle de
la machine, il peut utiliser cette session authentifiee.
Maintenant, effectivement, ca limite enormement les risques, et c'est
deja un gros progres.
Apres, certaines solutions permettent quand meme de faire les choses a
peu pres proprement si on considere un certain nombre de prerequis
(l'utilisateur n'est pas si debile que ca, son poste est a peu pres
propre, et c'est deja pas mal, comme exigences de base !!!),
Non. La solution doit fonctionner même si le poste de l'utilisateur
n'est pas propre. Les solutions citées précédemment permettent ça.
Si le poste est compromis, la seule solution vraiment fiable serait
une validation par defi/reponse de chaque operation, via par exemple
une calculette "de hash" a part (donc a priori difficile a
compromettre).
Et je doute que la plupart des banques commencent a deployer ce genre
de systemes pour "Mr Toutlemonde".
Certaines banques étrangères ne s'y sont pas trompées.
cf <URL:www.01net.com/article/255726.html>
Le fait que ce type de problèmes soit abordé dans des revues de
vulgarisation comme 01net peut inciter à penser que le déploiement sur
le terrain se fera.
Si les tarifs annonces dans cette news sont reels, alors peut etre que
effectivement, on aura ce genre de deploiement, ce qui serait une
bonne chose....
Mais meme un token "pour une session" ne protege pas completement,
bien que ca protege effectivement de "la plus grosse partie des
problemes", y compris (surtout) le phishing.
De toutes facons, on peut resoudre la demande a "je veux pouvoir utiliser simplement n'iporte quel ordinateur de n'importe ou pour pouvoir consulter/utiliser mes comptes en toute securite alors que je n'y connais rien en securite et que je suis un neuneu".....
Et la reponse est simple egalement: c'est impossible !!
Ben, si, c'est possible. Les systèmes à base de mot de défi/réponse comme l'appliquent des banques étrangères est une solution solide qui est à l'épreuve des neu² et qui protège :
- du sniffage des frappes clavier puisque chaque réponse ne sert qu'une fois
- des sites WeB bidon puisque la réponse dépend du défi envoyé par le site de la banque qui ne peut être prévu à l'avance.
Mais ca ne protege pas du poste compromis: une fois que l'utilisateur est authentifie sur le serveur, si quelqu'un d'autre a le controle de la machine, il peut utiliser cette session authentifiee.
Maintenant, effectivement, ca limite enormement les risques, et c'est deja un gros progres.
Apres, certaines solutions permettent quand meme de faire les choses a peu pres proprement si on considere un certain nombre de prerequis (l'utilisateur n'est pas si debile que ca, son poste est a peu pres propre, et c'est deja pas mal, comme exigences de base !!!),
Non. La solution doit fonctionner même si le poste de l'utilisateur n'est pas propre. Les solutions citées précédemment permettent ça.
Si le poste est compromis, la seule solution vraiment fiable serait une validation par defi/reponse de chaque operation, via par exemple une calculette "de hash" a part (donc a priori difficile a compromettre).
Et je doute que la plupart des banques commencent a deployer ce genre de systemes pour "Mr Toutlemonde".
Certaines banques étrangères ne s'y sont pas trompées.
cf <URL:www.01net.com/article/255726.html>
Le fait que ce type de problèmes soit abordé dans des revues de vulgarisation comme 01net peut inciter à penser que le déploiement sur le terrain se fera.
Si les tarifs annonces dans cette news sont reels, alors peut etre que effectivement, on aura ce genre de deploiement, ce qui serait une bonne chose....
Mais meme un token "pour une session" ne protege pas completement, bien que ca protege effectivement de "la plus grosse partie des problemes", y compris (surtout) le phishing.
A +
VANHU.
Michel Arboi
On Fri Nov 12 2004 at 11:16, news"@shayol.org wrote:
Le pire de ce que j'ai vu, c'est banque directe: - login : No de compte - mot de passe de 4 chiffres choisi par le client
Je suppose qu'ils surveillent leurs logs et que le système couine en cas d'attaque par force brute sur le mot de passe, ou même que le compte est verrouillé après N essais infructueux. Reste à voir s'ils détectent quelque chose quand on fait tourner le login au lieu du mot de passe... Vieille attaque plus difficile à gérer.
On Fri Nov 12 2004 at 11:16, news"@shayol.org wrote:
Le pire de ce que j'ai vu, c'est banque directe:
- login : No de compte
- mot de passe de 4 chiffres choisi par le client
Je suppose qu'ils surveillent leurs logs et que le système couine en
cas d'attaque par force brute sur le mot de passe, ou même que le
compte est verrouillé après N essais infructueux.
Reste à voir s'ils détectent quelque chose quand on fait tourner le
login au lieu du mot de passe... Vieille attaque plus difficile à
gérer.
On Fri Nov 12 2004 at 11:16, news"@shayol.org wrote:
Le pire de ce que j'ai vu, c'est banque directe: - login : No de compte - mot de passe de 4 chiffres choisi par le client
Je suppose qu'ils surveillent leurs logs et que le système couine en cas d'attaque par force brute sur le mot de passe, ou même que le compte est verrouillé après N essais infructueux. Reste à voir s'ils détectent quelque chose quand on fait tourner le login au lieu du mot de passe... Vieille attaque plus difficile à gérer.
Que le malfaisant crée un nom de domaine "ressemblant", encore mieux, s'introduit sur le DNS autoritaiore de la banque, je peux le concevoir.
Mais il ne peut tout de même pas piquer les certificats qui valident la session HTTPS, non ? Les navigateurs couinent, comme lorsque je me commecte sur mon propre serveur, dont Mozilla ne connaît pas l'autorité de Certif.
Le navigateur couine, mais madame michu clique sur OK. C'est classique.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- "Les neu^H^H^H connectés"?? Peux-tu nous en dire plus. Autant dire que l'on veut muselé les minorités sous des prétexte falacieux avec des méthodes dignes de la Française des jeux!! -+- SM in : Guide du Neuneu d'Usenet - Bien museler son neuneu -+-
Bonsoir,
On Fri, 12 Nov 2004, Xavier wrote:
Que le malfaisant crée un nom de domaine "ressemblant", encore mieux,
s'introduit sur le DNS autoritaiore de la banque, je peux le concevoir.
Mais il ne peut tout de même pas piquer les certificats qui valident la
session HTTPS, non ? Les navigateurs couinent, comme lorsque je me
commecte sur mon propre serveur, dont Mozilla ne connaît pas l'autorité
de Certif.
Le navigateur couine, mais madame michu clique sur OK. C'est classique.
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
"Les neu^H^H^H connectés"?? Peux-tu nous en dire plus.
Autant dire que l'on veut muselé les minorités sous des prétexte
falacieux avec des méthodes dignes de la Française des jeux!!
-+- SM in : Guide du Neuneu d'Usenet - Bien museler son neuneu -+-
Que le malfaisant crée un nom de domaine "ressemblant", encore mieux, s'introduit sur le DNS autoritaiore de la banque, je peux le concevoir.
Mais il ne peut tout de même pas piquer les certificats qui valident la session HTTPS, non ? Les navigateurs couinent, comme lorsque je me commecte sur mon propre serveur, dont Mozilla ne connaît pas l'autorité de Certif.
Le navigateur couine, mais madame michu clique sur OK. C'est classique.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- "Les neu^H^H^H connectés"?? Peux-tu nous en dire plus. Autant dire que l'on veut muselé les minorités sous des prétexte falacieux avec des méthodes dignes de la Française des jeux!! -+- SM in : Guide du Neuneu d'Usenet - Bien museler son neuneu -+-
Jacques Caron
On 12 Nov 2004 20:06:42 GMT, Xavier wrote:
Mais il ne peut tout de même pas piquer les certificats qui valident la session HTTPS, non ? Les navigateurs couinent, comme lorsque je me commecte sur mon propre serveur, dont Mozilla ne connaît pas l'autorité de Certif.
A partir du moment où le phisheur a le domaine www-banque.com (par exemple), aucun problème pour obtenir un certificat signé pour ce domaine, et le browser ne couinera pas. Mais le cas le plus classique c'est quand même qu'il n'y a même pas de https dans les parages.
XAv - pas bien pigé où est le risque pour un utilisateur avec les deux yeux ouverts.
Ca existe ça?
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
On 12 Nov 2004 20:06:42 GMT, Xavier <xavier@groumpf.org> wrote:
Mais il ne peut tout de même pas piquer les certificats qui valident la
session HTTPS, non ? Les navigateurs couinent, comme lorsque je me
commecte sur mon propre serveur, dont Mozilla ne connaît pas l'autorité
de Certif.
A partir du moment où le phisheur a le domaine www-banque.com (par
exemple), aucun problème pour obtenir un certificat signé pour ce domaine,
et le browser ne couinera pas. Mais le cas le plus classique c'est quand
même qu'il n'y a même pas de https dans les parages.
XAv - pas bien pigé où est le risque pour un utilisateur avec les deux
yeux ouverts.
Ca existe ça?
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Mais il ne peut tout de même pas piquer les certificats qui valident la session HTTPS, non ? Les navigateurs couinent, comme lorsque je me commecte sur mon propre serveur, dont Mozilla ne connaît pas l'autorité de Certif.
A partir du moment où le phisheur a le domaine www-banque.com (par exemple), aucun problème pour obtenir un certificat signé pour ce domaine, et le browser ne couinera pas. Mais le cas le plus classique c'est quand même qu'il n'y a même pas de https dans les parages.
XAv - pas bien pigé où est le risque pour un utilisateur avec les deux yeux ouverts.
Ca existe ça?
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Fabien LE LEZ
On 12 Nov 2004 23:53:42 GMT, Jacques Caron :
Ca existe ça?
C'est assez rare pour ne pas gêner les escrocs.
-- ;-)
On 12 Nov 2004 23:53:42 GMT, Jacques Caron <jc@imfeurope.com>:
- des sites WeB bidon puisque la réponse dépend du défi envoyé par le site de la banque qui ne peut être prévu à l'avance.
Pas besoin de le prévoir à l'avance. Il suffit au site du scammer de faire une requete sur le site légitime pour avoir le challenge qui va bien.
D'ailleurs c'est ce que font les spammeurs avec les inscriptions aux sites X pour contourner les problèmes d'images à déchiffrer utilisées pour l'ouverture de comptes email.
Pascal PETIT wrote:
- des sites WeB bidon puisque la réponse dépend du défi envoyé
par le site de la banque qui ne peut être prévu à l'avance.
Pas besoin de le prévoir à l'avance. Il suffit au site du scammer de
faire une requete sur le site légitime pour avoir le challenge qui va bien.
D'ailleurs c'est ce que font les spammeurs avec les inscriptions aux
sites X pour contourner les problèmes d'images à déchiffrer utilisées
pour l'ouverture de comptes email.
- des sites WeB bidon puisque la réponse dépend du défi envoyé par le site de la banque qui ne peut être prévu à l'avance.
Pas besoin de le prévoir à l'avance. Il suffit au site du scammer de faire une requete sur le site légitime pour avoir le challenge qui va bien.
D'ailleurs c'est ce que font les spammeurs avec les inscriptions aux sites X pour contourner les problèmes d'images à déchiffrer utilisées pour l'ouverture de comptes email.
nicolas vigier
On 2004-11-12, Xavier wrote:
XAv - pas bien pigé où est le risque pour un utilisateur avec les deux yeux ouverts.
Le probleme en fait est que tout le monde n'a pas les 2 yeux ouverts. Si 30% des gens se font avoir, c'est deja suffisant pour gagner pas mal d'argent avec ce genre d'escrocries.
XAv - pas bien pigé où est le risque pour un utilisateur avec les deux
yeux ouverts.
Le probleme en fait est que tout le monde n'a pas les 2 yeux
ouverts. Si 30% des gens se font avoir, c'est deja suffisant
pour gagner pas mal d'argent avec ce genre d'escrocries.
XAv - pas bien pigé où est le risque pour un utilisateur avec les deux yeux ouverts.
Le probleme en fait est que tout le monde n'a pas les 2 yeux ouverts. Si 30% des gens se font avoir, c'est deja suffisant pour gagner pas mal d'argent avec ce genre d'escrocries.
