tu es sérieux en france faut juste un login et un mot de passe ! la honte
bizarre que tout les rackeur francais soit pas déjà riche lol
C'est en prévision de cela et notamment pour éponger les coûts liés à
tu es sérieux en france faut juste un login et un mot de passe ! la honte
bizarre que tout les rackeur francais soit pas déjà riche lol
C'est en prévision de cela et notamment pour éponger les coûts liés à
tu es sérieux en france faut juste un login et un mot de passe ! la honte
bizarre que tout les rackeur francais soit pas déjà riche lol
C'est en prévision de cela et notamment pour éponger les coûts liés à
On 08 Nov 2004 21:22:04 GMT, Xavier wrote:
Je crois que tu n'as pas compris le principe du phishing. Ca consite à
inviter l'utilisateur à se connecter sur un serveur qui ressemble à celui
de la banque, mais qui n'est pas celui de la banque, en général à grands
coups de spam genre "vite connectez-vous pour confirmer votre compte sinon
on va vous le bloquer". Les utilisateurs susceptibles de tomber dans la
panneau ne font pas la différence entre www.banque.com et www-banque.com
(par exemple), alors https... Une fois que l'utilisateur a tapé tout ce
qu'on veut (comme il le ferait d'habitude sur le serveur de la banque), on
lui balance un message d'erreur quelconque, mais on a récupéré ses
identifiants.
D'un autre côté si les gens utilisaient un navigateur << sérieux >> ce
On 08 Nov 2004 21:22:04 GMT, Xavier <xavier@groumpf.org> wrote:
Je crois que tu n'as pas compris le principe du phishing. Ca consite à
inviter l'utilisateur à se connecter sur un serveur qui ressemble à celui
de la banque, mais qui n'est pas celui de la banque, en général à grands
coups de spam genre "vite connectez-vous pour confirmer votre compte sinon
on va vous le bloquer". Les utilisateurs susceptibles de tomber dans la
panneau ne font pas la différence entre www.banque.com et www-banque.com
(par exemple), alors https... Une fois que l'utilisateur a tapé tout ce
qu'on veut (comme il le ferait d'habitude sur le serveur de la banque), on
lui balance un message d'erreur quelconque, mais on a récupéré ses
identifiants.
D'un autre côté si les gens utilisaient un navigateur << sérieux >> ce
On 08 Nov 2004 21:22:04 GMT, Xavier wrote:
Je crois que tu n'as pas compris le principe du phishing. Ca consite à
inviter l'utilisateur à se connecter sur un serveur qui ressemble à celui
de la banque, mais qui n'est pas celui de la banque, en général à grands
coups de spam genre "vite connectez-vous pour confirmer votre compte sinon
on va vous le bloquer". Les utilisateurs susceptibles de tomber dans la
panneau ne font pas la différence entre www.banque.com et www-banque.com
(par exemple), alors https... Une fois que l'utilisateur a tapé tout ce
qu'on veut (comme il le ferait d'habitude sur le serveur de la banque), on
lui balance un message d'erreur quelconque, mais on a récupéré ses
identifiants.
D'un autre côté si les gens utilisaient un navigateur << sérieux >> ce
VANHULLEBUS Yvan wrote:Et quand ca derape, plutot que faire un gros scandale qui fait froid
dans le dos et qui fout le systeme par terre, soit on achete le
silence, soit on fait un proces, on met une bonne couche de comm
derriere, on remet une planche "pour renforcer", on redonne un coup de
peinture et zou.....
Cf l'histoire mouvementee du systeme de cartes a puce......
Oui, sauf que dans le cas des cartes à puces il n'y a rien qui empêche de
mettre en place un système réellement sécurisé, il suffit que la carte
génère une siganture dynamique. Alors qu'effectivement dans un
environnement 100% logiciel à partir du moment où l'utilisateur est un
neuneu, on ne peut plus rien faire de sûr.
JL
VANHULLEBUS Yvan wrote:
Et quand ca derape, plutot que faire un gros scandale qui fait froid
dans le dos et qui fout le systeme par terre, soit on achete le
silence, soit on fait un proces, on met une bonne couche de comm
derriere, on remet une planche "pour renforcer", on redonne un coup de
peinture et zou.....
Cf l'histoire mouvementee du systeme de cartes a puce......
Oui, sauf que dans le cas des cartes à puces il n'y a rien qui empêche de
mettre en place un système réellement sécurisé, il suffit que la carte
génère une siganture dynamique. Alors qu'effectivement dans un
environnement 100% logiciel à partir du moment où l'utilisateur est un
neuneu, on ne peut plus rien faire de sûr.
JL
VANHULLEBUS Yvan wrote:Et quand ca derape, plutot que faire un gros scandale qui fait froid
dans le dos et qui fout le systeme par terre, soit on achete le
silence, soit on fait un proces, on met une bonne couche de comm
derriere, on remet une planche "pour renforcer", on redonne un coup de
peinture et zou.....
Cf l'histoire mouvementee du systeme de cartes a puce......
Oui, sauf que dans le cas des cartes à puces il n'y a rien qui empêche de
mettre en place un système réellement sécurisé, il suffit que la carte
génère une siganture dynamique. Alors qu'effectivement dans un
environnement 100% logiciel à partir du moment où l'utilisateur est un
neuneu, on ne peut plus rien faire de sûr.
JL
JL wrote:
[....]
Oui, sauf que dans le cas des cartes à puces il n'y a rien qui empêche de
mettre en place un système réellement sécurisé, il suffit que la carte
génère une siganture dynamique. Alors qu'effectivement dans un
environnement 100% logiciel à partir du moment où l'utilisateur est un
neuneu, on ne peut plus rien faire de sûr.
Eh oui, la sécurité, aujourd'hui n'est praticable que par des ...
professionnels !
Il coulera encore beaucoup d'eau sous les ponts (1 ou 2 générations) avant
de pouvoir être certain que l'utilisateur lambda derrière son terminal a,
par exemple :
- installer son certificat client (sur clé USB) ;
- l'a protégé avec une phrase de passe ;
- a vérifié que le terminal qu'il utilise travaille en
HTTPS,
- a vérifié que le site sur lequel il se trouve est bien le bon
(grâce au certificat serveur qu'il sera aller contrôler dans une
base externe) ;
etc, etc.
Question de culture (suisse) ou de sensibilisation ?
Je crois bien que pour le grand public ce n'est PAS jouable, hélas.
Je dit hélas car du coup cela nous amène à considérer des méthodes
d'authentification plus sûres et surtout plus simples mais qui mettent en
péril notre liberté de mouvement ; je veux parler de la biométrie.
Et la biométrie côté bancaire justement car c'est tout de même le sujet du
fil de discussion ?
Comment être certain que mon interlocuteur au bout du fil est bien un
commercial de ma banque ? Comment être certain que le numéro de téléphone
surtaé que je viens de composer n'a pas été dérouté (d'autant plus facile
que les communications sont de plus en plus transportées via IP et que les
autocommutateurs nouvelle génération sont de plus en plus mal configurés).
Peut-on écrire que le manque de compétences général (sans doute le résultat
d'une accélaration technologique) induit une baisse de la sécurité des
échanges ? Vaste sujet de philo au bac 2005, non ?
JL wrote:
[....]
Oui, sauf que dans le cas des cartes à puces il n'y a rien qui empêche de
mettre en place un système réellement sécurisé, il suffit que la carte
génère une siganture dynamique. Alors qu'effectivement dans un
environnement 100% logiciel à partir du moment où l'utilisateur est un
neuneu, on ne peut plus rien faire de sûr.
Eh oui, la sécurité, aujourd'hui n'est praticable que par des ...
professionnels !
Il coulera encore beaucoup d'eau sous les ponts (1 ou 2 générations) avant
de pouvoir être certain que l'utilisateur lambda derrière son terminal a,
par exemple :
- installer son certificat client (sur clé USB) ;
- l'a protégé avec une phrase de passe ;
- a vérifié que le terminal qu'il utilise travaille en
HTTPS,
- a vérifié que le site sur lequel il se trouve est bien le bon
(grâce au certificat serveur qu'il sera aller contrôler dans une
base externe) ;
etc, etc.
Question de culture (suisse) ou de sensibilisation ?
Je crois bien que pour le grand public ce n'est PAS jouable, hélas.
Je dit hélas car du coup cela nous amène à considérer des méthodes
d'authentification plus sûres et surtout plus simples mais qui mettent en
péril notre liberté de mouvement ; je veux parler de la biométrie.
Et la biométrie côté bancaire justement car c'est tout de même le sujet du
fil de discussion ?
Comment être certain que mon interlocuteur au bout du fil est bien un
commercial de ma banque ? Comment être certain que le numéro de téléphone
surtaé que je viens de composer n'a pas été dérouté (d'autant plus facile
que les communications sont de plus en plus transportées via IP et que les
autocommutateurs nouvelle génération sont de plus en plus mal configurés).
Peut-on écrire que le manque de compétences général (sans doute le résultat
d'une accélaration technologique) induit une baisse de la sécurité des
échanges ? Vaste sujet de philo au bac 2005, non ?
JL wrote:
[....]
Oui, sauf que dans le cas des cartes à puces il n'y a rien qui empêche de
mettre en place un système réellement sécurisé, il suffit que la carte
génère une siganture dynamique. Alors qu'effectivement dans un
environnement 100% logiciel à partir du moment où l'utilisateur est un
neuneu, on ne peut plus rien faire de sûr.
Eh oui, la sécurité, aujourd'hui n'est praticable que par des ...
professionnels !
Il coulera encore beaucoup d'eau sous les ponts (1 ou 2 générations) avant
de pouvoir être certain que l'utilisateur lambda derrière son terminal a,
par exemple :
- installer son certificat client (sur clé USB) ;
- l'a protégé avec une phrase de passe ;
- a vérifié que le terminal qu'il utilise travaille en
HTTPS,
- a vérifié que le site sur lequel il se trouve est bien le bon
(grâce au certificat serveur qu'il sera aller contrôler dans une
base externe) ;
etc, etc.
Question de culture (suisse) ou de sensibilisation ?
Je crois bien que pour le grand public ce n'est PAS jouable, hélas.
Je dit hélas car du coup cela nous amène à considérer des méthodes
d'authentification plus sûres et surtout plus simples mais qui mettent en
péril notre liberté de mouvement ; je veux parler de la biométrie.
Et la biométrie côté bancaire justement car c'est tout de même le sujet du
fil de discussion ?
Comment être certain que mon interlocuteur au bout du fil est bien un
commercial de ma banque ? Comment être certain que le numéro de téléphone
surtaé que je viens de composer n'a pas été dérouté (d'autant plus facile
que les communications sont de plus en plus transportées via IP et que les
autocommutateurs nouvelle génération sont de plus en plus mal configurés).
Peut-on écrire que le manque de compétences général (sans doute le résultat
d'une accélaration technologique) induit une baisse de la sécurité des
échanges ? Vaste sujet de philo au bac 2005, non ?
Et quand on voit comment il est generalement facile de recuperer des
infos "confidentelles" la plupart du temps ("allo, madame Michou ?
c'est vore nouveau conseiller, pourriez vous me donner votre code
secret que je puisse m'assurer que c'est bien a vous que je parle ?"),
ca donne vachement envie d'avoir confiance !!!
Bah, même physiquement il suffit d'un peu de persuasion.
Sans avoir le moindre droit sur le compte de ma femme[1], j'ai fait,
entre autre, créer un accès aux comptes via internet. Le chargé de
clientèle, qui ne m'avais jamais vu, m'a même donné l'identifiant et
le mot de passe de cet accès ; et à l'époque on pouvait faire des
virements n'importe où...
Et quand on voit comment il est generalement facile de recuperer des
infos "confidentelles" la plupart du temps ("allo, madame Michou ?
c'est vore nouveau conseiller, pourriez vous me donner votre code
secret que je puisse m'assurer que c'est bien a vous que je parle ?"),
ca donne vachement envie d'avoir confiance !!!
Bah, même physiquement il suffit d'un peu de persuasion.
Sans avoir le moindre droit sur le compte de ma femme[1], j'ai fait,
entre autre, créer un accès aux comptes via internet. Le chargé de
clientèle, qui ne m'avais jamais vu, m'a même donné l'identifiant et
le mot de passe de cet accès ; et à l'époque on pouvait faire des
virements n'importe où...
Et quand on voit comment il est generalement facile de recuperer des
infos "confidentelles" la plupart du temps ("allo, madame Michou ?
c'est vore nouveau conseiller, pourriez vous me donner votre code
secret que je puisse m'assurer que c'est bien a vous que je parle ?"),
ca donne vachement envie d'avoir confiance !!!
Bah, même physiquement il suffit d'un peu de persuasion.
Sans avoir le moindre droit sur le compte de ma femme[1], j'ai fait,
entre autre, créer un accès aux comptes via internet. Le chargé de
clientèle, qui ne m'avais jamais vu, m'a même donné l'identifiant et
le mot de passe de cet accès ; et à l'époque on pouvait faire des
virements n'importe où...
L'autre méthode qui est, elle, un problème de sécurité, c'est le virus
discret ou ~ sur la machine du client et qui récupère login et mot de
passe.
un keylogger quoi.
L'autre méthode qui est, elle, un problème de sécurité, c'est le virus
discret ou ~ sur la machine du client et qui récupère login et mot de
passe.
un keylogger quoi.
L'autre méthode qui est, elle, un problème de sécurité, c'est le virus
discret ou ~ sur la machine du client et qui récupère login et mot de
passe.
un keylogger quoi.
