methodes authentification Banques

Pascal PETIT wrote:

Non. La solution doit fonctionner même si le poste de l'utilisateur
n'est pas propre. Les solutions citées précédemment permettent ça.

Quelles solutions exactement ?

Car jusqu'à maintenant, je crois qu'il ne s'agit que de solutions ne
faisant pas rentrer en ligne de compte les données de l'opération
(compte bénéficiaire par exemple dans le cas d'un virement).

Ceci signifie que si le poste n'est pas sûr, il est possible que tout se
passe comme prévu par le client et par la banque (authentification par
mdp, token,... puis saisie des paramètre de l'opération) sauf que le
système remplace au dernier moment la saisie de l'utilisateur (compte
bénéficiaire et montant par exemple) avant envoi.

Il faut que la méthode d'authentification considère les données de
l'opération, pour faire un genre de signature de celle-ci, signature
incluse dans ce qui sert à authentifier le client pour cette opération
particulière. Si on veut bien faire, il faut aussi éviter de permettre
le rejeu.

Y a-t'il des banques utilisant un tel système ?

--
Olivier

On 10 Nov 2004 07:21:31 GMT
Fabien LE LEZ <gramster@gramster.com> wrote:

Du coup, si on peut faire confiance à un site www.spplus.net et y
mettre son numéro de carte, pourquoi pas faire confiance à
www_caisse-epargne.fr ?

Pareil quand on se connecte au Crédit Lyonnais. On part de
www.clparticuliers.fr (qui figure sur mon dernier relevé de compte) et
on arrive au final sur interactif.creditlyonnais.fr (qui annonce que
« clparticuliers » est obsolète), non sans être passé par un autre
domaine au milieu.

Je suis sûr que si j'avais téléphoné à mon conseiller pour qu'il me
dise en quels domaines je dois avoir confiance, il n'aurait rien pu me
dire de pertinent.


Accessoirement, tant que l'on n'a pas *volontairement* changé le mot
de passe de 4 chiffres, il figure sur tous les relevés de compte.
Heureusement, quand je l'ai changé, il a disparu... Pour m'arriver sur
un autre courrier postal, avec le logo du Crédit Lyonnais!!!
Accessoirement, vu que je n'attendais pas ce courrier, il aurait pu
m'être volé sans que j'y prête attention (alors que si un relevé ne
m'arrivait pas, ou m'arrivait dans une enveloppe inhabituelle, je me
poserais des questions).

Ah, et quelqu'un disait un peu plus haut que pour se connecter au
Crédit Lyonnais, il fallait un code de trois chiffre en plus... C'est
vrai, mais c'est le numéro d'agence (qui figure sur tous les RIB,
relevés, courrier commerciaux...)!

--
Jérémy JUST <jeremy_just@netcourrier.com>

Pascal PETIT" <"addresse news wrote:

Le pire de ce que j'ai vu, c'est banque directe:

- login : No de compte
- mot de passe de 4 chiffres choisi par le client

Non, on peut en choisir un plus long. Et à partir du moment où l'accès est
bloqué au bout de 3 tentatives erronnées, mettre un code beaucoup plus long
n'apporte aucune sécurité supplémentaire. Au contraire, plus le code est
long plus les clients seront tentés de le noter sur un bout de papier près
de l'ordinateur.

ce login/mot de passe unique permet de faire toutes les opérations en
ligne, y compris la création de bénéficiaires et les virements.

Et alors ? Le code secret est de loin le moyen d'authentification le plus
sûr. Les banques qui restreignent la création de comptes bénéficiaires en
exigeant des documents papiers ne font qu'abaisser le niveau de sécurité.
N'importe qui peut imiter ma signature à partir d'un exemplaire quelconque,
alors que je suis le seul à connaitre mon code secret.

JL.

Jacques Caron wrote:

Allez dire ça aux phisheurs de tous poils, ils doivent bien s'amuser.

De toutes façons avec un bon phisheur et un mauvais utilisateur, c'est
toujours le phisheur qui gagne.

Et lisez le reste du thread sur fr.comp.securite, vous y verrez
toutes sortes de méthodes nettement meilleurs.

Un peu meilleures, mais elles ne changent pas la situation décrite plus
haut.

La version papier n'est certainement pas la meilleure méthode non
plus. Les méthodes à partir de challenge/response utilisant une carte
à puce, ou au minimum les listes à biffer sont nettement plus
efficaces.

Elles ne sont pas plus efficaces contre un phisheur qui redirigerait en
temps réel les données vers le site de la banque, pour effectuer
immédiatement des opérations.

alors que je suis le seul à connaitre mon code secret.

C'est bon pour les utilisateurs qui ont les "deux yeux ouverts". Ils
sont malheureusement rares

Mais malheureusement pour les autres on ne peut pas grand chose, sauf
essayer de les leur ouvrir.

Le seul système résistante au phishing c'est une authentification des deux
côtés, avec côté utilisateur un certificat générant une signature dynamique.
Et encore, ça peut être attaqué à l'étape de génération du certificat. Je ne
connais qu'un seul site qui l'utilise, celui des impôts pour effectuer sa
déclaration en ligne.

La seule méthode d'authentification invulnérable au phishing c'est avec un
certificat sur une carte à puce à signature dynamique. Mais ça oblige à se
trimballer son lecteur (en plus de sa carte) partout où on veut accéder au
site internet de sa banque, et ça génère un surcoût non négligeable.

JL.

Michel Arboi wrote:

Je suppose qu'ils surveillent leurs logs et que le système couine en
cas d'attaque par force brute sur le mot de passe, ou même que le
compte est verrouillé après N essais infructueux.

Oui, 3. Après je ne connais pas la procédure de débloquage, mais elle est
peut-être elle-même attaquable.

Reste à voir s'ils détectent quelque chose quand on fait tourner le
login au lieu du mot de passe... Vieille attaque plus difficile à
gérer.

On peut imaginer qu'ils surveillent à partir de l'IP du client, mais je n'en
suis même pas sûr. Et c'est contournable par une attaque distribuée.

Cela dit c'est quand même moins dangereux, car il faut beaucoup de login
pour récolter peu d'accès chose.

JL.

VANHULLEBUS Yvan wrote:

Et quand ca derape, plutot que faire un gros scandale qui fait froid
dans le dos et qui fout le systeme par terre, soit on achete le
silence, soit on fait un proces, on met une bonne couche de comm
derriere, on remet une planche "pour renforcer", on redonne un coup de
peinture et zou.....
Cf l'histoire mouvementee du systeme de cartes a puce......

Oui, sauf que dans le cas des cartes à puces il n'y a rien qui empêche de
mettre en place un système réellement sécurisé, il suffit que la carte
génère une siganture dynamique. Alors qu'effectivement dans un environnement
100% logiciel à partir du moment où l'utilisateur est un neuneu, on ne peut
plus rien faire de sûr.

JL

xavier@groumpf.org (Xavier) writes:

VANHULLEBUS Yvan <vanhu@nospam_free.fr> wrote:

Mais meme un token "pour une session" ne protege pas completement,
bien que ca protege effectivement de "la plus grosse partie des
problemes", y compris (surtout) le phishing.

N'étant pas totalement idiot, j'ai bien sais ce qu'est le phising (même
si c'est plutôt un truc de hacker que d'ingé sécu, mébon).

Disons que ca fait partie du cote "social engineering" de la secu...

Une chose m'échappe encore :

Que le malfaisant crée un nom de domaine "ressemblant", encore mieux,
s'introduit sur le DNS autoritaiore de la banque, je peux le concevoir.

Mais il ne peut tout de même pas piquer les certificats qui valident la
session HTTPS, non ? Les navigateurs couinent, comme lorsque je me
commecte sur mon propre serveur, dont Mozilla ne connaît pas l'autorité
de Certif.

Plusieurs solutions:

1) Partir du principe que Mme Michu va eventuellement cliquer une fois
sur "non" quand elle va avoir un message d'avertissement, va
constater que "ca marche pas", alors va recommencer et cliquer sur
"oui"...

2) Faire un nom de domaine ressemblant, et faire tirer un certificat
pour ce nom de domaine.

2bis) Recuperer un certificat utilisateur chez Verisign, l'utiliser
comme CA intermediaire pour signer son propre certificat, et
compter sur le fait que plein de gens ont encore de vielles
versions d'IP, qui ne verifient pas que les autorites
intermediaires peuvent effectivement etre utilisees comme tel...

3) Passer en http, et avoir confiance en l'ignorance des gens, qui ne
vérifieront probablement pas si on est bien en https....

4) Utiliser les bugs d'affichage des differents navigateurs pour faire
croire qu'on est sur le site de la banque alors qu'on est sur un
site dont le nom n'a rien a voir, et pour lequel on a un certificat
"propre".


Et il y a surement d'autres possibilites qui ne me viennent pas a
l'esprit a cette heure matinale.....


A +

VANHU.

Pascal PETIT <"addresse news"@shayol.org> writes:

VANHULLEBUS Yvan <vanhu@nospam_free.fr> writes:
[calculettes]

Mais meme un token "pour une session" ne protege pas completement,
bien que ca protege effectivement de "la plus grosse partie des
problemes", y compris (surtout) le phishing.

Actuellement, la banque directe demande de saisir à nouveau le
login/mot de passe lorsque l'on fait un virement. S'ils se mettent à
utiliser ces calculettes, il n'y a pas de raison que ça change. Le
defi/réponse sera donc nécessaire pour chaque opération critique
(virement, ...) ce qui limitera les possibilités d'exploitation depuis
une machine compromise.

En y repensant, selon la facon dont c'est utilise, il doit encore y
avoir moyen de detourner:

Si on fait un "man in the middle" (quitte a detourner le chemin pour
se retrouver au milieu, par exemple en envoyant un mail pour que le
client initie une connexion chez nous, et qu'on forwarde au serveur
"officiel"), et que le serveur se "contente" de redemander une
nouvelle authentification pour chaque operation sensible, alors il
suffit a l'attaquant de forwarder au client les demandes de requetes,
de forwarder au serveur les reponses du client (qui sont valides),
mais de forwarder au serveur des operations "maison"....

DOnc pour que ca soit vraiment efficace, il faut par exemple que le
serveur envoie un hash de l'operation demandee, que le client puisse
verifier que le hash qu'on lui presente correspond a son operation,
qu'il calcule la reponse pour ce hash et qu'il l'envoie....

Faisable, mais ca commence quand meme a compliquer pas mal la
transaction, j'ai peur que Luce et Henri ne verifient jamais le hash
qu'on leur envoie et qu'on leur demande de saisir dans la petite
calculette pour envoier un code d'autorisation de l'operation !!


A +

VANHU.

Bonjour,

On Sat, 13 Nov 2004, JL wrote:

Le seul système résistante au phishing c'est une authentification des deux
côtés, avec côté utilisateur un certificat générant une signature dynamique.
Et encore, ça peut être attaqué à l'étape de génération du certificat. Je ne

Comme n'importe quel système. Si la machine est compromise à la génération
de la clé privée, et que celle-ci est générée en soft, alors on ne peut
pas faire confiance à cette clé.

connais qu'un seul site qui l'utilise, celui des impôts pour effectuer sa
déclaration en ligne.

C'est le plus connu, mais il y en a d'autres (si si, on a d'autres
clients).

La seule méthode d'authentification invulnérable au phishing c'est avec un
certificat sur une carte à puce à signature dynamique. Mais ça oblige à se
trimballer son lecteur (en plus de sa carte) partout où on veut accéder au
site internet de sa banque, et ça génère un surcoût non négligeable.

Si le poste sur lequel on va a déjà un lecteur de carte, pas besoin
d'apporter le sien. Mais il faut surtout le driver de la carte.

--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
JA> nous invitons chacun d'entre vous à découvrir notre site afin de
JA> vous faire une idée de notre raison d'être et de nos valeurs...
Et en plus, ils racolent! Allez donc attendre vos soucoupes ailleurs.
-+-GLM in:Guide du Neuneu d'Usenet- Neuneu bêlant bien identifié -+-

Erwann ABALEA wrote:

C'est le plus connu, mais il y en a d'autres (si si, on a d'autres
clients).

Ah tiens, il a été corrigé au fait le bug qui obligeait à avoir le
répertoire teleir sur le disque principal ?

Si le poste sur lequel on va a déjà un lecteur de carte, pas besoin
d'apporter le sien.

Sauf que je connais aucun poste équipé d'un lecteur de carte. Donc si j'en
avais un pour ma banque je serais obligé de trimballer le mien.

En fait actuellement le plus simple pour transporter le certificat serait
d'utiliser non pas une carte mais une clef USB, au moins ça peut se
connecter sans équipement particulier.

JL.