"JL" a écrit dans le message de news: 41963b6e$0$6209$
Oui, mais bon là à moins de greffer une puce RFID dans le cerveau du porteur, il n'y a pas de solution...
La carte ne pourrait pas stocker l'empreinte digitale, plutôt qu'un code à 4 chiffres ?
On ne le repetera jamais assez: une empreinte biometrique peut etre un "bon" login, mais fait un tres mauvais mot de passe, car elle est non repudiable !!!
Dans la mesure ou c'est la carte elle meme qui valide le code a 4 chiffres, qu'elle peut compter le nombre de tentatives et s'auto-desactiver au bout d'un certain nombre d'echecs, c'est finalement "pas si mal que ca"....
Apres, reste la technique du "tu me files ton code ou je te creve", mais bon, la, on arrive dans des considerations qui sortent clairement du cadre de ce forum, je pense....
"JL" <JL@Jlamy.com> a écrit dans le message de news:
41963b6e$0$6209$626a14ce@news.free.fr...
Oui, mais bon là à moins de greffer une puce RFID dans le cerveau du
porteur, il n'y a pas de solution...
La carte ne pourrait pas stocker l'empreinte digitale, plutôt qu'un code à 4
chiffres ?
On ne le repetera jamais assez: une empreinte biometrique peut etre un
"bon" login, mais fait un tres mauvais mot de passe, car elle est non
repudiable !!!
Dans la mesure ou c'est la carte elle meme qui valide le code a 4
chiffres, qu'elle peut compter le nombre de tentatives et
s'auto-desactiver au bout d'un certain nombre d'echecs, c'est
finalement "pas si mal que ca"....
Apres, reste la technique du "tu me files ton code ou je te creve",
mais bon, la, on arrive dans des considerations qui sortent clairement
du cadre de ce forum, je pense....
"JL" a écrit dans le message de news: 41963b6e$0$6209$
Oui, mais bon là à moins de greffer une puce RFID dans le cerveau du porteur, il n'y a pas de solution...
La carte ne pourrait pas stocker l'empreinte digitale, plutôt qu'un code à 4 chiffres ?
On ne le repetera jamais assez: une empreinte biometrique peut etre un "bon" login, mais fait un tres mauvais mot de passe, car elle est non repudiable !!!
Dans la mesure ou c'est la carte elle meme qui valide le code a 4 chiffres, qu'elle peut compter le nombre de tentatives et s'auto-desactiver au bout d'un certain nombre d'echecs, c'est finalement "pas si mal que ca"....
Apres, reste la technique du "tu me files ton code ou je te creve", mais bon, la, on arrive dans des considerations qui sortent clairement du cadre de ce forum, je pense....
A +
VANHU.
Erwann ABALEA
On Mon, 15 Nov 2004, JL wrote:
Erwann ABALEA wrote:
En fait actuellement le plus simple pour transporter le certificat serait d'utiliser non pas une carte mais une clef USB, au moins ça peut se connecter sans équipement particulier.
Oui, mais il faut quand même le driver.
Pas besoin, si la clef est reconnue comme un disque USB standard, avec le certificat dessus.
Mais de toute façon, tout ça n'est pas vraiment portable. Je me vois mal aller chez un copain avec ma clé USB pour lire mes mails, en lui installant une floppée de drivers avant, en passant administrateur, et tout supprimer à la fin.
Un simple certificat sur une clef automatiquement reconnue résout le problème.
On est revenu à une solution clé soft, non? En utilisant une clé USB comme une disquette? C'est pas le même niveau de sécurité qu'une clé sur carte à puce...
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- No one test the depth of a river with both feet.
On Mon, 15 Nov 2004, JL wrote:
Erwann ABALEA wrote:
En fait actuellement le plus simple pour transporter le certificat
serait d'utiliser non pas une carte mais une clef USB, au moins ça
peut se connecter sans équipement particulier.
Oui, mais il faut quand même le driver.
Pas besoin, si la clef est reconnue comme un disque USB standard, avec le
certificat dessus.
Mais de toute façon, tout ça n'est pas vraiment portable. Je me vois
mal aller chez un copain avec ma clé USB pour lire mes mails, en lui
installant une floppée de drivers avant, en passant administrateur, et
tout supprimer à la fin.
Un simple certificat sur une clef automatiquement reconnue résout le
problème.
On est revenu à une solution clé soft, non? En utilisant une clé USB comme
une disquette? C'est pas le même niveau de sécurité qu'une clé sur carte à
puce...
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
No one test the depth of a river with both feet.
En fait actuellement le plus simple pour transporter le certificat serait d'utiliser non pas une carte mais une clef USB, au moins ça peut se connecter sans équipement particulier.
Oui, mais il faut quand même le driver.
Pas besoin, si la clef est reconnue comme un disque USB standard, avec le certificat dessus.
Mais de toute façon, tout ça n'est pas vraiment portable. Je me vois mal aller chez un copain avec ma clé USB pour lire mes mails, en lui installant une floppée de drivers avant, en passant administrateur, et tout supprimer à la fin.
Un simple certificat sur une clef automatiquement reconnue résout le problème.
On est revenu à une solution clé soft, non? En utilisant une clé USB comme une disquette? C'est pas le même niveau de sécurité qu'une clé sur carte à puce...
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- No one test the depth of a river with both feet.
Erwann ABALEA
On Sun, 14 Nov 2004, Fabien LE LEZ wrote:
On 13 Nov 2004 19:29:08 GMT, Erwann ABALEA :
Je crois sincèrement que la solution passe par l'éducation des utilisateurs.
A priori, laisser faire n'importe quoi et résoudre les problèmes quand ils arrivent, est plus simple et coûte moins cher.
J'ai bien dit que c'était utopique, en particulier ça ne passe pas la considération économique :)
Honnètement, je préfère tenter d'éduquer mes amis, chez qui on trouve une bonne proportion de novices en informatique, comme vous tous j'imagine, pour leur faire adopter de bons comportements, plutôt que de recevoir des appels parce que leur Windows ne marche plus, que la connexion Internet a foiré, qu'untel ne peut plus lire ses mails, ou autre problème que la plupart du temps je ne peux pas résoudre (vraiment pas, ou pas envie). Et je ne parle pas ici de compromission, qui demande d'autres actions que le salutaire et simple reboot ou 'formatte-installe'...
Pour une entreprise, le facteur économique est important, pour moi c'est mon temps libre qui est important. :)
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- "RECHERCHONS HOMMES" présentant peau sensible utilisant déodorant sans alcool, pour tester produits cosmétiques, rémunération en fin d'essai. -+- in Guide du Neuneu d'Usenet-Halte à l'expérimentation neuneutale -+-
On Sun, 14 Nov 2004, Fabien LE LEZ wrote:
On 13 Nov 2004 19:29:08 GMT, Erwann ABALEA <erwann@abalea.com>:
Je crois sincèrement que la solution passe par l'éducation des
utilisateurs.
A priori, laisser faire n'importe quoi et résoudre les problèmes quand
ils arrivent, est plus simple et coûte moins cher.
J'ai bien dit que c'était utopique, en particulier ça ne passe pas la
considération économique :)
Honnètement, je préfère tenter d'éduquer mes amis, chez qui on trouve une
bonne proportion de novices en informatique, comme vous tous j'imagine,
pour leur faire adopter de bons comportements, plutôt que de recevoir des
appels parce que leur Windows ne marche plus, que la connexion Internet a
foiré, qu'untel ne peut plus lire ses mails, ou autre problème que la
plupart du temps je ne peux pas résoudre (vraiment pas, ou pas envie). Et
je ne parle pas ici de compromission, qui demande d'autres actions que le
salutaire et simple reboot ou 'formatte-installe'...
Pour une entreprise, le facteur économique est important, pour moi c'est
mon temps libre qui est important. :)
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
"RECHERCHONS HOMMES" présentant peau sensible utilisant déodorant sans
alcool, pour tester produits cosmétiques, rémunération en fin d'essai.
-+- in Guide du Neuneu d'Usenet-Halte à l'expérimentation neuneutale -+-
Je crois sincèrement que la solution passe par l'éducation des utilisateurs.
A priori, laisser faire n'importe quoi et résoudre les problèmes quand ils arrivent, est plus simple et coûte moins cher.
J'ai bien dit que c'était utopique, en particulier ça ne passe pas la considération économique :)
Honnètement, je préfère tenter d'éduquer mes amis, chez qui on trouve une bonne proportion de novices en informatique, comme vous tous j'imagine, pour leur faire adopter de bons comportements, plutôt que de recevoir des appels parce que leur Windows ne marche plus, que la connexion Internet a foiré, qu'untel ne peut plus lire ses mails, ou autre problème que la plupart du temps je ne peux pas résoudre (vraiment pas, ou pas envie). Et je ne parle pas ici de compromission, qui demande d'autres actions que le salutaire et simple reboot ou 'formatte-installe'...
Pour une entreprise, le facteur économique est important, pour moi c'est mon temps libre qui est important. :)
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- "RECHERCHONS HOMMES" présentant peau sensible utilisant déodorant sans alcool, pour tester produits cosmétiques, rémunération en fin d'essai. -+- in Guide du Neuneu d'Usenet-Halte à l'expérimentation neuneutale -+-
Fabien LE LEZ
On 15 Nov 2004 10:08:16 GMT, VANHULLEBUS Yvan :
Apres, reste la technique du "tu me files ton code ou je te creve", mais bon, la, on arrive dans des considerations qui sortent clairement du cadre de ce forum, je pense....
Pas sûr : on peut discuter de méthodes de répudiation rapide d'un mot de passe, histoire qu'un mot de passe obtenu par la menace ne puisse pas servir.
-- ;-)
On 15 Nov 2004 10:08:16 GMT, VANHULLEBUS Yvan <vanhu@nospam_free.fr>:
Apres, reste la technique du "tu me files ton code ou je te creve",
mais bon, la, on arrive dans des considerations qui sortent clairement
du cadre de ce forum, je pense....
Pas sûr : on peut discuter de méthodes de répudiation rapide d'un mot
de passe, histoire qu'un mot de passe obtenu par la menace ne puisse
pas servir.
Apres, reste la technique du "tu me files ton code ou je te creve", mais bon, la, on arrive dans des considerations qui sortent clairement du cadre de ce forum, je pense....
Pas sûr : on peut discuter de méthodes de répudiation rapide d'un mot de passe, histoire qu'un mot de passe obtenu par la menace ne puisse pas servir.
-- ;-)
VANHULLEBUS Yvan
Fabien LE LEZ writes:
On 15 Nov 2004 10:08:16 GMT, VANHULLEBUS Yvan :
Apres, reste la technique du "tu me files ton code ou je te creve", mais bon, la, on arrive dans des considerations qui sortent clairement du cadre de ce forum, je pense....
Pas sûr : on peut discuter de méthodes de répudiation rapide d'un mot de passe, histoire qu'un mot de passe obtenu par la menace ne puisse pas servir.
Bah si le gars reste a cote de toi le temps de la manip (pour retirer du liquide a un distributeur, ce qui reste probablement la facon la plus simple d'avoir de l'argent, et de ne pas laisser de traces), la meilleure methode de repudiation de mot de passe est encore trop lente...
Je serais plutot partant de la technique du "mot de passe alarme", qui donne l'impression de fonctionner sur le champ, mais qui signifie qu'il y a un probleme.
Apres, savoir ce qu'il fait en pratique (donner de faux billets a un distributeur ? faire attendre le gars ? faire venir la securite ? bouffer la carte en faisant un faux BSOD ? autre chose ?), la encore, c'est une autre histoire.
A +
VANHU.
Fabien LE LEZ <gramster@gramster.com> writes:
On 15 Nov 2004 10:08:16 GMT, VANHULLEBUS Yvan <vanhu@nospam_free.fr>:
Apres, reste la technique du "tu me files ton code ou je te creve",
mais bon, la, on arrive dans des considerations qui sortent clairement
du cadre de ce forum, je pense....
Pas sûr : on peut discuter de méthodes de répudiation rapide d'un mot
de passe, histoire qu'un mot de passe obtenu par la menace ne puisse
pas servir.
Bah si le gars reste a cote de toi le temps de la manip (pour retirer
du liquide a un distributeur, ce qui reste probablement la facon la
plus simple d'avoir de l'argent, et de ne pas laisser de traces), la
meilleure methode de repudiation de mot de passe est encore trop
lente...
Je serais plutot partant de la technique du "mot de passe alarme", qui
donne l'impression de fonctionner sur le champ, mais qui signifie
qu'il y a un probleme.
Apres, savoir ce qu'il fait en pratique (donner de faux billets a un
distributeur ? faire attendre le gars ? faire venir la securite ?
bouffer la carte en faisant un faux BSOD ? autre chose ?), la encore,
c'est une autre histoire.
Apres, reste la technique du "tu me files ton code ou je te creve", mais bon, la, on arrive dans des considerations qui sortent clairement du cadre de ce forum, je pense....
Pas sûr : on peut discuter de méthodes de répudiation rapide d'un mot de passe, histoire qu'un mot de passe obtenu par la menace ne puisse pas servir.
Bah si le gars reste a cote de toi le temps de la manip (pour retirer du liquide a un distributeur, ce qui reste probablement la facon la plus simple d'avoir de l'argent, et de ne pas laisser de traces), la meilleure methode de repudiation de mot de passe est encore trop lente...
Je serais plutot partant de la technique du "mot de passe alarme", qui donne l'impression de fonctionner sur le champ, mais qui signifie qu'il y a un probleme.
Apres, savoir ce qu'il fait en pratique (donner de faux billets a un distributeur ? faire attendre le gars ? faire venir la securite ? bouffer la carte en faisant un faux BSOD ? autre chose ?), la encore, c'est une autre histoire.
A +
VANHU.
Fabien LE LEZ
On 15 Nov 2004 10:08:16 GMT, Erwann ABALEA :
Honnètement, je préfère tenter d'éduquer mes amis, chez qui on trouve une bonne proportion de novices en informatique
Moi aussi. Mais je "recrute" mes amis uniquement chez les gens relativement intelligents, donc capables d'écouter (et appliquer) des conseils, de réfléchir un petit peu avant d'agir, et de faire preuve d'un tant soit peu de bon sens. En gros, pas très représentatif du "grand public", celui qui considère "Loft Story" comme l'émission intellectuelle du siècle...
-- ;-)
On 15 Nov 2004 10:08:16 GMT, Erwann ABALEA <erwann@abalea.com>:
Honnètement, je préfère tenter d'éduquer mes amis, chez qui on trouve une
bonne proportion de novices en informatique
Moi aussi. Mais je "recrute" mes amis uniquement chez les gens
relativement intelligents, donc capables d'écouter (et appliquer) des
conseils, de réfléchir un petit peu avant d'agir, et de faire preuve
d'un tant soit peu de bon sens. En gros, pas très représentatif du
"grand public", celui qui considère "Loft Story" comme l'émission
intellectuelle du siècle...
Honnètement, je préfère tenter d'éduquer mes amis, chez qui on trouve une bonne proportion de novices en informatique
Moi aussi. Mais je "recrute" mes amis uniquement chez les gens relativement intelligents, donc capables d'écouter (et appliquer) des conseils, de réfléchir un petit peu avant d'agir, et de faire preuve d'un tant soit peu de bon sens. En gros, pas très représentatif du "grand public", celui qui considère "Loft Story" comme l'émission intellectuelle du siècle...
-- ;-)
Michel Arboi
On Sat Nov 13 2004 at 14:22, JL wrote:
Reste à voir s'ils détectent quelque chose quand on fait tourner le login au lieu du mot de passe... Vieille attaque plus difficile à gérer.
On peut imaginer qu'ils surveillent à partir de l'IP du client, mais je n'en suis même pas sûr. Et c'est contournable par une attaque distribuée.
Quelques proxys ouverts doivent suffire à noyer l'attaque dans le bruit ambiant.
Cela dit c'est quand même moins dangereux, car il faut beaucoup de login pour récolter peu d'accès chose.
Je ne vois pas pourquoi. Si l'on sait générer un login valide, l'attaque a autant de chance de réussir que celle qui consiste à générer des mots de passe.
Reste à voir s'ils détectent quelque chose quand on fait tourner le
login au lieu du mot de passe... Vieille attaque plus difficile à
gérer.
On peut imaginer qu'ils surveillent à partir de l'IP du client, mais
je n'en suis même pas sûr. Et c'est contournable par une attaque
distribuée.
Quelques proxys ouverts doivent suffire à noyer l'attaque dans le
bruit ambiant.
Cela dit c'est quand même moins dangereux, car il faut beaucoup de
login pour récolter peu d'accès chose.
Je ne vois pas pourquoi. Si l'on sait générer un login valide,
l'attaque a autant de chance de réussir que celle qui consiste à
générer des mots de passe.
Reste à voir s'ils détectent quelque chose quand on fait tourner le login au lieu du mot de passe... Vieille attaque plus difficile à gérer.
On peut imaginer qu'ils surveillent à partir de l'IP du client, mais je n'en suis même pas sûr. Et c'est contournable par une attaque distribuée.
Quelques proxys ouverts doivent suffire à noyer l'attaque dans le bruit ambiant.
Cela dit c'est quand même moins dangereux, car il faut beaucoup de login pour récolter peu d'accès chose.
Je ne vois pas pourquoi. Si l'on sait générer un login valide, l'attaque a autant de chance de réussir que celle qui consiste à générer des mots de passe.
je suis à la recherche d'une étude sur les méthodes d'authentification des Banques pour leurs activités en ligne ?
Pour les échanges Banques-Entreprise il y a ETEBAC5. Un protocole de transfert de fichier avec authentification réciproque RSA. Les clés du client résident sur des cartes RSA.
Pour la sécurité des transactions HTML, on peut utiliser SSL V3, avec authentification réciproque client/serveur. La banque peut inscrire les clés et les certificats X509 sur une carte à microprocesseur.
Bien utilisé, celà donne une sécurité assez raisonnable.
JE
On 8-Nov-2004, titou44 <titou44@freesurf.fr>(marreduspam) wrote:
Bonjour
je suis à la recherche d'une étude sur les méthodes d'authentification
des Banques pour leurs activités en ligne ?
Pour les échanges Banques-Entreprise il y a ETEBAC5. Un protocole de
transfert de fichier avec authentification réciproque RSA. Les clés du
client résident sur des cartes RSA.
Pour la sécurité des transactions HTML, on peut utiliser SSL V3, avec
authentification réciproque client/serveur. La banque peut inscrire les clés
et les certificats X509 sur une carte à microprocesseur.
Bien utilisé, celà donne une sécurité assez raisonnable.
je suis à la recherche d'une étude sur les méthodes d'authentification des Banques pour leurs activités en ligne ?
Pour les échanges Banques-Entreprise il y a ETEBAC5. Un protocole de transfert de fichier avec authentification réciproque RSA. Les clés du client résident sur des cartes RSA.
Pour la sécurité des transactions HTML, on peut utiliser SSL V3, avec authentification réciproque client/serveur. La banque peut inscrire les clés et les certificats X509 sur une carte à microprocesseur.
Bien utilisé, celà donne une sécurité assez raisonnable.
JE
JL
Erwann ABALEA wrote:
Un simple certificat sur une clef automatiquement reconnue résout le problème.
On est revenu à une solution clé soft, non?
Non, je veux dire une clef verrouillée en écriture.
C'est pas le même niveau de sécurité qu'une clé sur carte à puce...
La seule faiblesse supplémentaire c'est que la signature est générée par le PC, et non directement par la carte. Mais à partir du moment où même avec une carte à puce un PC compromis détruit toute chance de sécurité, ça n'affaiblit en pratique pas le dispositif.
JL.
Erwann ABALEA wrote:
Un simple certificat sur une clef automatiquement reconnue résout le
problème.
On est revenu à une solution clé soft, non?
Non, je veux dire une clef verrouillée en écriture.
C'est pas le même niveau de sécurité qu'une clé sur carte à puce...
La seule faiblesse supplémentaire c'est que la signature est générée par le
PC, et non directement par la carte. Mais à partir du moment où même avec
une carte à puce un PC compromis détruit toute chance de sécurité, ça
n'affaiblit en pratique pas le dispositif.
Un simple certificat sur une clef automatiquement reconnue résout le problème.
On est revenu à une solution clé soft, non?
Non, je veux dire une clef verrouillée en écriture.
C'est pas le même niveau de sécurité qu'une clé sur carte à puce...
La seule faiblesse supplémentaire c'est que la signature est générée par le PC, et non directement par la carte. Mais à partir du moment où même avec une carte à puce un PC compromis détruit toute chance de sécurité, ça n'affaiblit en pratique pas le dispositif.
JL.
Eric Razny
Un simple certificat sur une clef automatiquement reconnue résout le problème.
On est revenu à une solution clé soft, non?
Non, je veux dire une clef verrouillée en écriture.
C'est pas le même niveau de sécurité qu'une clé sur carte à puce...
La seule faiblesse supplémentaire c'est que la signature est générée par le PC, et non directement par la carte. Mais à partir du moment où même avec une carte à puce un PC compromis détruit toute chance de sécurité, ça n'affaiblit en pratique pas le dispositif.
Certainement pas! Même en supposant un hijack de la session sur le PC verolé (ce qui n'est souvent pas une sinécure à mettre en place concrètement!) les implications de sécurité ne sont absolument pas les mêmes.
Si ton PC génère la signature en utilisant une clef privé celà signifie qu'à un instant t on trouve sur le PC la clef privé sans protection (ou, pour une attaque plus simple à monter, le container et la passphrase ce qui revient quasiment au même). Et donc l'attaquant possède probablement à la fin tout ce qui lui faut pour ouvrir une nouvelle session.
A l'inverse si le calcul est fait par la carte l'attaquant dispose juste de la signature (dans la cadre d'un challenge par exemple). Il peut certes mettre le bazard (via le hijacking) mais pas agir une fois la session terminée (cadre de la consulation bancaire, donc ici pas de trojan installé en face :) ).
A noter que dans le carte de la carte il est préférable d'avoir un pinpad sur le matos que de devoir utiliser le clavier du PC (ca demande un dispositif matériel pour truander)
Il ne faut pas confrondre une carte où l'on va lire une clef avec une carte où la clef est stockée mais non accessible, carte qui réalise des op de crypto avec cette clef (je pense que ce n'est pas ton cas) ni confondre la compromission d'une session avec la compromission du système identification/autentification/autorisation.
Eric
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Un simple certificat sur une clef automatiquement reconnue résout le
problème.
On est revenu à une solution clé soft, non?
Non, je veux dire une clef verrouillée en écriture.
C'est pas le même niveau de sécurité qu'une clé sur carte à puce...
La seule faiblesse supplémentaire c'est que la signature est générée par
le PC, et non directement par la carte. Mais à partir du moment où même
avec une carte à puce un PC compromis détruit toute chance de sécurité,
ça n'affaiblit en pratique pas le dispositif.
Certainement pas!
Même en supposant un hijack de la session sur le PC verolé (ce qui n'est
souvent pas une sinécure à mettre en place concrètement!) les
implications de sécurité ne sont absolument pas les mêmes.
Si ton PC génère la signature en utilisant une clef privé celà signifie
qu'à un instant t on trouve sur le PC la clef privé sans protection (ou,
pour une attaque plus simple à monter, le container et la passphrase ce
qui revient quasiment au même). Et donc l'attaquant possède probablement
à la fin tout ce qui lui faut pour ouvrir une nouvelle session.
A l'inverse si le calcul est fait par la carte l'attaquant dispose juste
de la signature (dans la cadre d'un challenge par exemple). Il peut
certes mettre le bazard (via le hijacking) mais pas agir une fois la
session terminée (cadre de la consulation bancaire, donc ici pas de
trojan installé en face :) ).
A noter que dans le carte de la carte il est préférable d'avoir un
pinpad sur le matos que de devoir utiliser le clavier du PC (ca demande
un dispositif matériel pour truander)
Il ne faut pas confrondre une carte où l'on va lire une clef avec une
carte où la clef est stockée mais non accessible, carte qui réalise des
op de crypto avec cette clef (je pense que ce n'est pas ton cas) ni
confondre la compromission d'une session avec la compromission du
système identification/autentification/autorisation.
Eric
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
Un simple certificat sur une clef automatiquement reconnue résout le problème.
On est revenu à une solution clé soft, non?
Non, je veux dire une clef verrouillée en écriture.
C'est pas le même niveau de sécurité qu'une clé sur carte à puce...
La seule faiblesse supplémentaire c'est que la signature est générée par le PC, et non directement par la carte. Mais à partir du moment où même avec une carte à puce un PC compromis détruit toute chance de sécurité, ça n'affaiblit en pratique pas le dispositif.
Certainement pas! Même en supposant un hijack de la session sur le PC verolé (ce qui n'est souvent pas une sinécure à mettre en place concrètement!) les implications de sécurité ne sont absolument pas les mêmes.
Si ton PC génère la signature en utilisant une clef privé celà signifie qu'à un instant t on trouve sur le PC la clef privé sans protection (ou, pour une attaque plus simple à monter, le container et la passphrase ce qui revient quasiment au même). Et donc l'attaquant possède probablement à la fin tout ce qui lui faut pour ouvrir une nouvelle session.
A l'inverse si le calcul est fait par la carte l'attaquant dispose juste de la signature (dans la cadre d'un challenge par exemple). Il peut certes mettre le bazard (via le hijacking) mais pas agir une fois la session terminée (cadre de la consulation bancaire, donc ici pas de trojan installé en face :) ).
A noter que dans le carte de la carte il est préférable d'avoir un pinpad sur le matos que de devoir utiliser le clavier du PC (ca demande un dispositif matériel pour truander)
Il ne faut pas confrondre une carte où l'on va lire une clef avec une carte où la clef est stockée mais non accessible, carte qui réalise des op de crypto avec cette clef (je pense que ce n'est pas ton cas) ni confondre la compromission d'une session avec la compromission du système identification/autentification/autorisation.
Eric
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
