Nouvelle(?) methode de securisation de site bancaire
29 réponses
Laurent Blume
Bonsoir à tous,
Comme les méthodes de sécurisation de sites bancaires ont déjà été évoquées ici,
je signale celle maintenant utilisée par ma banque pour information et
éventuellement remarques (je veux savoir si mon compte est vulnérable à quelque
subtilité qui m'échappe :-)
Il s'agit du Crédit Mutuel Méditerranéen.
Ils ont envoyé une petite table («Carte de clés personnelles») de 8x8 cases.
Les colonnes sont numérotées, les lignes alphabétisées. Chaque case contient un
nombre de 4 chiffres.
Cela s'ajoute au login/mot de passe habituel, et le fonctionnement, d'après le
site, est simple:
«Par exemple, au moment de l'ajout d'un bénéficiaire de virements, nous vous
demandons d'indiquer la clé contenue dans la case F7 de votre carte.
La clé saisie débloque également les autres opérations protégées pour votre
connexion en cours. Vous disposez de 3 essais pour saisir la clé demandée ; 3
saisies erronées consécutives révoquent votre carte de CLÉS PERSONNELLES.»
Ça me plait assez, encore qu'évidemment, il faut maintenant faire attention à ne
pas perdre la carte en question.
Je ne vois pas encore de durée de vie de cette carte, je suppose qu'il les
remplaceront.
On 19 Jul 2005 21:45:14 GMT, Laurent Blume <laurent=//=pas_de_pub/:
La clé saisie débloque également les autres opérations protégées pour votre connexion en cours. Vous disposez de 3 essais pour saisir la clé demandée ; 3 saisies erronées consécutives révoquent votre carte de CLÉS PERSONNELLES.»
Je ne comprends pas bien le dernier point. A priori, si je n'arrive pas à taper le bon code, c'est que je suis un pirate qui n'a pas la carte, i.e. que cette carte est en sécurité chez le titulaire du compte. Pourquoi alors la révoquer ?
On 19 Jul 2005 21:45:14 GMT, Laurent Blume
<laurent=//=pas_de_pub/news200505@elanor.org>:
La clé saisie débloque également les autres opérations protégées pour votre
connexion en cours. Vous disposez de 3 essais pour saisir la clé demandée ; 3
saisies erronées consécutives révoquent votre carte de CLÉS PERSONNELLES.»
Je ne comprends pas bien le dernier point. A priori, si je n'arrive
pas à taper le bon code, c'est que je suis un pirate qui n'a pas la
carte, i.e. que cette carte est en sécurité chez le titulaire du
compte. Pourquoi alors la révoquer ?
On 19 Jul 2005 21:45:14 GMT, Laurent Blume <laurent=//=pas_de_pub/:
La clé saisie débloque également les autres opérations protégées pour votre connexion en cours. Vous disposez de 3 essais pour saisir la clé demandée ; 3 saisies erronées consécutives révoquent votre carte de CLÉS PERSONNELLES.»
Je ne comprends pas bien le dernier point. A priori, si je n'arrive pas à taper le bon code, c'est que je suis un pirate qui n'a pas la carte, i.e. que cette carte est en sécurité chez le titulaire du compte. Pourquoi alors la révoquer ?
Dominique Blas
[...]
Il s'agit du Crédit Mutuel Méditerranéen. L'idée de la communication d'un élément secret partagé (une clé donc)
via un canal hors bande (la Poste en l'occurrence) n'est pas nouvelle.
1. A priori l'usage d'un certificat côté client est plus simple, pérenne et administrable mais on se heurte inévitablement à l'inconscience du client bancaire non professionnel qui va : perdre le support du certificat ; oublier la phrase de passe protégeant la clé privée, etc, etc. Toute autre solution matérielle est trop onéreuse à déployer par essence (lecteur de carte bancaire amovible, badge, etc). Le lecteur de carte bancaire serait bien entendu le panard mais bon ... lesconstructeurs info en ont décidé autrement.
2. Comme la plupart des utilisateurs sont des ignorants et inconscients au niveau de la plus élémentaire règle de sécurité (fermer sa porte lorsqu'on rentre chez soi) il n'est pas mauvais d'en revenir au système de base : le bout de papier !
Ensuite il faut voir : la tête de la matrice en question ; s'il est écrit en gros << cette vous permet de passer des ordres bancaire en toute sécurité >> le pick-pocket va observer une recrudescence ; si la matrice est anonyme c'est un bon point ;
l'usage qu'en fait le client ; s'il la colle sur son écran de bureau nul doute qu'elle ne présente strictement aucun intérêt et n'élève pas d'un poil le niveau de sécu.
3. Il aurait été intéressant et pas tellement plus onéreux de rendre cette matrice un tantinet plus compliqué à manipuler pour le voleur éventuel : faire en sorte que la clé à taper afin d'exécuter tel ou tel ordre bancaire soit le résultat de la mise en regard de 4 chiffres situés sur dees couronnes rotatives maintenues au repos par des ressorts. Ces 4 chiffres pouvant être le code CB ou un autre. Ainsi, si la carte est perdue ou volée, impossible de retrouver la bonne combinaison en moins de 3 essais.
4. On aurait également pu envisager un formulaire contenant des questions personnelles (une dizaine) auxquelles doit répondre le prétendu client lors d'une opération sensible (virement, boursicotage, etc) sur le portail. Questionnaire à remplir à l'ouverture du service de consultation via Internet. Au moins là, point d'élément matériel à consserver.
5. On peut également imaginer, tout simplement, l'usage d'un SMS. Lors de l'enclenchement d'une opération bancaire sensible, le serveur expédie un SMS au porteur. SMS contenant un code que le client doit taper avant de valider la transaction. Un SMS nécessitant la frappe du code PIN2 par exemple. Ainsi, l'éventuel usurpateur ne pourra rien faire s'il ne possède, en sus, le mobile du client.
6. On peut bien entendu aller plus loin dans la démarche (en téléchargeant une application SIM Toolkit permettant une authentification plus poussée du détenteur du mobile) mais on s'éloigne des choses les plus largement déployables.
7. Enfin, on en revient toujours au même point : on se rend progressivement compte que le mobile associé à la carte SIM représente un niveau de confiance et de confidentialité largement surpérieur à la CB. Les intermédiaires financiers de demain ne seront plus forcément les banques. Est-ce une bonne chose ? Pour le client, c'est certain, du moins dans un premier temps (neutralisation du joug bancaire) mais à long terme (on retombe dans une autre << secte >> celle des opérateurs de téléphonie).
db
--
Courriel : usenet blas net
[...]
Il s'agit du Crédit Mutuel Méditerranéen.
L'idée de la communication d'un élément secret partagé (une clé donc)
via un canal hors bande (la Poste en l'occurrence) n'est pas nouvelle.
1. A priori l'usage d'un certificat côté client est plus simple, pérenne et
administrable mais on se heurte inévitablement à l'inconscience du
client bancaire non professionnel qui va :
perdre le support du certificat ;
oublier la phrase de passe protégeant la clé privée,
etc, etc.
Toute autre solution matérielle est trop onéreuse à déployer par essence
(lecteur de carte bancaire amovible, badge, etc).
Le lecteur de carte bancaire serait bien entendu le panard mais bon ...
lesconstructeurs info en ont décidé autrement.
2. Comme la plupart des utilisateurs sont des ignorants et inconscients
au niveau de la plus élémentaire règle de sécurité (fermer sa porte
lorsqu'on rentre chez soi) il n'est pas mauvais d'en revenir au système
de base : le bout de papier !
Ensuite il faut voir :
la tête de la matrice en question ; s'il est écrit en gros
<< cette vous permet de passer des ordres bancaire en toute
sécurité >> le pick-pocket va observer une recrudescence ;
si la matrice est anonyme c'est un bon point ;
l'usage qu'en fait le client ; s'il la colle sur son écran
de bureau nul doute qu'elle ne présente strictement aucun
intérêt et n'élève pas d'un poil le niveau de sécu.
3. Il aurait été intéressant et pas tellement plus onéreux de rendre
cette matrice un tantinet plus compliqué à manipuler pour le voleur
éventuel : faire en sorte que la clé à taper afin d'exécuter tel ou tel
ordre bancaire soit le résultat de la mise en regard de 4 chiffres
situés sur dees couronnes rotatives maintenues au repos par des
ressorts. Ces 4 chiffres pouvant être le code CB ou un autre. Ainsi, si
la carte est perdue ou volée, impossible de retrouver la bonne
combinaison en moins de 3 essais.
4. On aurait également pu envisager un formulaire contenant des
questions personnelles (une dizaine) auxquelles doit répondre le
prétendu client lors d'une opération sensible (virement, boursicotage,
etc) sur le portail. Questionnaire à remplir à l'ouverture du service de
consultation via Internet.
Au moins là, point d'élément matériel à consserver.
5. On peut également imaginer, tout simplement, l'usage d'un SMS.
Lors de l'enclenchement d'une opération bancaire sensible, le serveur
expédie un SMS au porteur. SMS contenant un code que le client doit
taper avant de valider la transaction. Un SMS nécessitant la frappe du
code PIN2 par exemple.
Ainsi, l'éventuel usurpateur ne pourra rien faire s'il ne possède, en
sus, le mobile du client.
6. On peut bien entendu aller plus loin dans la démarche (en
téléchargeant une application SIM Toolkit permettant une
authentification plus poussée du détenteur du mobile) mais on s'éloigne
des choses les plus largement déployables.
7. Enfin, on en revient toujours au même point : on se rend
progressivement compte que le mobile associé à la carte SIM représente
un niveau de confiance et de confidentialité largement surpérieur à la CB.
Les intermédiaires financiers de demain ne seront plus forcément les
banques.
Est-ce une bonne chose ? Pour le client, c'est certain, du moins dans un
premier temps (neutralisation du joug bancaire) mais à long terme (on
retombe dans une autre << secte >> celle des opérateurs de téléphonie).
Il s'agit du Crédit Mutuel Méditerranéen. L'idée de la communication d'un élément secret partagé (une clé donc)
via un canal hors bande (la Poste en l'occurrence) n'est pas nouvelle.
1. A priori l'usage d'un certificat côté client est plus simple, pérenne et administrable mais on se heurte inévitablement à l'inconscience du client bancaire non professionnel qui va : perdre le support du certificat ; oublier la phrase de passe protégeant la clé privée, etc, etc. Toute autre solution matérielle est trop onéreuse à déployer par essence (lecteur de carte bancaire amovible, badge, etc). Le lecteur de carte bancaire serait bien entendu le panard mais bon ... lesconstructeurs info en ont décidé autrement.
2. Comme la plupart des utilisateurs sont des ignorants et inconscients au niveau de la plus élémentaire règle de sécurité (fermer sa porte lorsqu'on rentre chez soi) il n'est pas mauvais d'en revenir au système de base : le bout de papier !
Ensuite il faut voir : la tête de la matrice en question ; s'il est écrit en gros << cette vous permet de passer des ordres bancaire en toute sécurité >> le pick-pocket va observer une recrudescence ; si la matrice est anonyme c'est un bon point ;
l'usage qu'en fait le client ; s'il la colle sur son écran de bureau nul doute qu'elle ne présente strictement aucun intérêt et n'élève pas d'un poil le niveau de sécu.
3. Il aurait été intéressant et pas tellement plus onéreux de rendre cette matrice un tantinet plus compliqué à manipuler pour le voleur éventuel : faire en sorte que la clé à taper afin d'exécuter tel ou tel ordre bancaire soit le résultat de la mise en regard de 4 chiffres situés sur dees couronnes rotatives maintenues au repos par des ressorts. Ces 4 chiffres pouvant être le code CB ou un autre. Ainsi, si la carte est perdue ou volée, impossible de retrouver la bonne combinaison en moins de 3 essais.
4. On aurait également pu envisager un formulaire contenant des questions personnelles (une dizaine) auxquelles doit répondre le prétendu client lors d'une opération sensible (virement, boursicotage, etc) sur le portail. Questionnaire à remplir à l'ouverture du service de consultation via Internet. Au moins là, point d'élément matériel à consserver.
5. On peut également imaginer, tout simplement, l'usage d'un SMS. Lors de l'enclenchement d'une opération bancaire sensible, le serveur expédie un SMS au porteur. SMS contenant un code que le client doit taper avant de valider la transaction. Un SMS nécessitant la frappe du code PIN2 par exemple. Ainsi, l'éventuel usurpateur ne pourra rien faire s'il ne possède, en sus, le mobile du client.
6. On peut bien entendu aller plus loin dans la démarche (en téléchargeant une application SIM Toolkit permettant une authentification plus poussée du détenteur du mobile) mais on s'éloigne des choses les plus largement déployables.
7. Enfin, on en revient toujours au même point : on se rend progressivement compte que le mobile associé à la carte SIM représente un niveau de confiance et de confidentialité largement surpérieur à la CB. Les intermédiaires financiers de demain ne seront plus forcément les banques. Est-ce une bonne chose ? Pour le client, c'est certain, du moins dans un premier temps (neutralisation du joug bancaire) mais à long terme (on retombe dans une autre << secte >> celle des opérateurs de téléphonie).
db
--
Courriel : usenet blas net
A. Caspis
Dominique Blas wrote:
l'usage qu'en fait le client ; s'il la colle sur son écran de bureau nul doute qu'elle ne présente strictement aucun intérêt et n'élève pas d'un poil le niveau de sécu.
Pas d'accord. Ce nouveau mécanisme permet d'éviter les attaques où le pirate n'a pas accès à l'ordinateur, telles que la récente tentative de phishing massif en France. J'ai reçu le fameux mail "Dear Societe Generale/ BNP Paribas/ CIC Banque/ Banque CCF Member" le 27 mai 2005. On peut dire que les banques ont réagi vite, ou qu'elles s'y attendaient.
4. On aurait également pu envisager un formulaire contenant des questions personnelles (une dizaine) auxquelles doit répondre le
Bof, si je me fais kidnapper, je préfère dire "j'ai perdu ma grille de codes" que "j'ai oublié ma date de naissance".
OK pour les autres idées à base de cartes à puce et de téléphones mobiles.
AC
Dominique Blas wrote:
l'usage qu'en fait le client ; s'il la colle sur son écran
de bureau nul doute qu'elle ne présente strictement aucun
intérêt et n'élève pas d'un poil le niveau de sécu.
Pas d'accord. Ce nouveau mécanisme permet d'éviter les attaques
où le pirate n'a pas accès à l'ordinateur, telles que la récente
tentative de phishing massif en France.
J'ai reçu le fameux mail "Dear Societe Generale/ BNP Paribas/ CIC
Banque/ Banque CCF Member" le 27 mai 2005. On peut dire que les
banques ont réagi vite, ou qu'elles s'y attendaient.
4. On aurait également pu envisager un formulaire contenant des
questions personnelles (une dizaine) auxquelles doit répondre le
Bof, si je me fais kidnapper, je préfère dire "j'ai perdu ma
grille de codes" que "j'ai oublié ma date de naissance".
OK pour les autres idées à base de cartes à puce et de téléphones
mobiles.
l'usage qu'en fait le client ; s'il la colle sur son écran de bureau nul doute qu'elle ne présente strictement aucun intérêt et n'élève pas d'un poil le niveau de sécu.
Pas d'accord. Ce nouveau mécanisme permet d'éviter les attaques où le pirate n'a pas accès à l'ordinateur, telles que la récente tentative de phishing massif en France. J'ai reçu le fameux mail "Dear Societe Generale/ BNP Paribas/ CIC Banque/ Banque CCF Member" le 27 mai 2005. On peut dire que les banques ont réagi vite, ou qu'elles s'y attendaient.
4. On aurait également pu envisager un formulaire contenant des questions personnelles (une dizaine) auxquelles doit répondre le
Bof, si je me fais kidnapper, je préfère dire "j'ai perdu ma grille de codes" que "j'ai oublié ma date de naissance".
OK pour les autres idées à base de cartes à puce et de téléphones mobiles.
AC
A. Caspis
Fabien LE LEZ wrote:
Je ne comprends pas bien le dernier point. A priori, si je n'arrive pas à taper le bon code, c'est que je suis un pirate qui n'a pas la carte, i.e. que cette carte est en sécurité chez le titulaire du compte. Pourquoi alors la révoquer ?
A force d'essayer des codes de 4 chiffres au hasard, le pirate finira par en trouver un bon. Qu'il y ait un seul code (cas du PIN classique) ou 64 change très peu la probabilité de succès.
Mais il est vrai que la révocation après 3 échecs n'est pas un bon compromis entre sécurité et risque de déni de service. Puisqu'on ne demande plus à l'utilisateur de mémoriser les codes, on aurait pu en profiter pour augmenter leur longueur (16 chiffres au lieu de 4 ?), ce que la banque n'a pas fait.
AC
Fabien LE LEZ wrote:
Je ne comprends pas bien le dernier point. A priori, si je n'arrive
pas à taper le bon code, c'est que je suis un pirate qui n'a pas la
carte, i.e. que cette carte est en sécurité chez le titulaire du
compte. Pourquoi alors la révoquer ?
A force d'essayer des codes de 4 chiffres au hasard, le pirate
finira par en trouver un bon. Qu'il y ait un seul code (cas du
PIN classique) ou 64 change très peu la probabilité de succès.
Mais il est vrai que la révocation après 3 échecs n'est pas
un bon compromis entre sécurité et risque de déni de service.
Puisqu'on ne demande plus à l'utilisateur de mémoriser les
codes, on aurait pu en profiter pour augmenter leur longueur
(16 chiffres au lieu de 4 ?), ce que la banque n'a pas fait.
Je ne comprends pas bien le dernier point. A priori, si je n'arrive pas à taper le bon code, c'est que je suis un pirate qui n'a pas la carte, i.e. que cette carte est en sécurité chez le titulaire du compte. Pourquoi alors la révoquer ?
A force d'essayer des codes de 4 chiffres au hasard, le pirate finira par en trouver un bon. Qu'il y ait un seul code (cas du PIN classique) ou 64 change très peu la probabilité de succès.
Mais il est vrai que la révocation après 3 échecs n'est pas un bon compromis entre sécurité et risque de déni de service. Puisqu'on ne demande plus à l'utilisateur de mémoriser les codes, on aurait pu en profiter pour augmenter leur longueur (16 chiffres au lieu de 4 ?), ce que la banque n'a pas fait.
AC
Fabien LE LEZ
On 20 Jul 2005 09:15:22 GMT, "A. Caspis" :
A force d'essayer des codes de 4 chiffres au hasard, le pirate finira par en trouver un bon.
Peut-être, mais dans ce cas, il faudrait plutôt décider de bloquer le compte pendant quelques minutes/heures -- déclarer que la carte de sécurité n'est plus valide sous prétexte qu'un pirate ne l'a pas, ça ne me paraît pas logique.
On 20 Jul 2005 09:15:22 GMT, "A. Caspis" <a_caspis@yahoo.com>:
A force d'essayer des codes de 4 chiffres au hasard, le pirate
finira par en trouver un bon.
Peut-être, mais dans ce cas, il faudrait plutôt décider de bloquer le
compte pendant quelques minutes/heures -- déclarer que la carte de
sécurité n'est plus valide sous prétexte qu'un pirate ne l'a pas, ça
ne me paraît pas logique.
A force d'essayer des codes de 4 chiffres au hasard, le pirate finira par en trouver un bon.
Peut-être, mais dans ce cas, il faudrait plutôt décider de bloquer le compte pendant quelques minutes/heures -- déclarer que la carte de sécurité n'est plus valide sous prétexte qu'un pirate ne l'a pas, ça ne me paraît pas logique.
A. Caspis
Fabien LE LEZ wrote:
Peut-être, mais dans ce cas, il faudrait plutôt décider de bloquer le compte pendant quelques minutes/heures -- déclarer que la carte de sécurité n'est plus valide sous prétexte qu'un pirate ne l'a pas, ça ne me paraît pas logique.
En effet. J'avais compris ça comme une suspension de l'accès après 3 échecs consécutifs, histoire que l'utilisateur et la banque soient informés qu'un pirate connait déjà le login et le mot de passe et est en train de s'attaquer à la grille.
Il reste pertinent, par principe, de révoquer un secret dès que l'on soupçonne une fuite d'information. Or chaque échec révèle un peu d'information sur le bon code. Et il est plus facile de révoquer une grille qu'un code unique que l'utilisateur s'est donné la peine de mémoriser.
AC
Fabien LE LEZ wrote:
Peut-être, mais dans ce cas, il faudrait plutôt décider de bloquer le
compte pendant quelques minutes/heures -- déclarer que la carte de
sécurité n'est plus valide sous prétexte qu'un pirate ne l'a pas, ça
ne me paraît pas logique.
En effet. J'avais compris ça comme une suspension de l'accès
après 3 échecs consécutifs, histoire que l'utilisateur et la
banque soient informés qu'un pirate connait déjà le login et
le mot de passe et est en train de s'attaquer à la grille.
Il reste pertinent, par principe, de révoquer un secret dès
que l'on soupçonne une fuite d'information. Or chaque échec
révèle un peu d'information sur le bon code.
Et il est plus facile de révoquer une grille qu'un code
unique que l'utilisateur s'est donné la peine de mémoriser.
Peut-être, mais dans ce cas, il faudrait plutôt décider de bloquer le compte pendant quelques minutes/heures -- déclarer que la carte de sécurité n'est plus valide sous prétexte qu'un pirate ne l'a pas, ça ne me paraît pas logique.
En effet. J'avais compris ça comme une suspension de l'accès après 3 échecs consécutifs, histoire que l'utilisateur et la banque soient informés qu'un pirate connait déjà le login et le mot de passe et est en train de s'attaquer à la grille.
Il reste pertinent, par principe, de révoquer un secret dès que l'on soupçonne une fuite d'information. Or chaque échec révèle un peu d'information sur le bon code. Et il est plus facile de révoquer une grille qu'un code unique que l'utilisateur s'est donné la peine de mémoriser.
AC
Cedric Blancher
Le Wed, 20 Jul 2005 09:15:22 +0000, A. Caspis a écrit :
Pas d'accord. Ce nouveau mécanisme permet d'éviter les attaques où le pirate n'a pas accès à l'ordinateur, telles que la récente tentative de phishing massif en France.
Ça dépend de la manière dont c'est monté. Je peux mettre en place un faux site qui va d'une part poser la question en plus à propos de la grille, mais également répondre que les crédences entrées sont erronées et qu'il faut recommencer. Si je veux coller le plus possible au site, ça me donnera 3 cases par utilisateur. C'est certes maigre, mais vu le prix de l'attaque, ça peut encore valoir le coup, en plus de tenter de deviner la valeur d'une case inconnue. Et si le site bancaire change de case demandée à chaque nouvel essai, ben ça peut aider aussi l'attaquant.
Ce mécanisme diminue considérablement les chances de réussite d'un phishing, mais ne l'empêche pas.
Et puis contre les keyloggers&Co, c'est inutile, il suffira à l'attaquant de modifier son soft pour tenir compte de ça et reconstituer la grille. Il faudrait faire expirer la grille régulièrement.
-- pour l'info, veuiller clicker-double sur mes pages (bleu) -+- AV in: Guide du Cabaliste Usenet - Les dossiers secrets -+-
Le Wed, 20 Jul 2005 09:15:22 +0000, A. Caspis a écrit :
Pas d'accord. Ce nouveau mécanisme permet d'éviter les attaques
où le pirate n'a pas accès à l'ordinateur, telles que la récente
tentative de phishing massif en France.
Ça dépend de la manière dont c'est monté. Je peux mettre en place un
faux site qui va d'une part poser la question en plus à propos de la
grille, mais également répondre que les crédences entrées sont
erronées et qu'il faut recommencer. Si je veux coller le plus possible au
site, ça me donnera 3 cases par utilisateur. C'est certes maigre, mais vu
le prix de l'attaque, ça peut encore valoir le coup, en plus de tenter de
deviner la valeur d'une case inconnue. Et si le site bancaire change de
case demandée à chaque nouvel essai, ben ça peut aider aussi
l'attaquant.
Ce mécanisme diminue considérablement les chances de réussite d'un
phishing, mais ne l'empêche pas.
Et puis contre les keyloggers&Co, c'est inutile, il suffira à l'attaquant
de modifier son soft pour tenir compte de ça et reconstituer la grille.
Il faudrait faire expirer la grille régulièrement.
--
pour l'info, veuiller clicker-double sur mes pages (bleu)
-+- AV in: Guide du Cabaliste Usenet - Les dossiers secrets -+-
Le Wed, 20 Jul 2005 09:15:22 +0000, A. Caspis a écrit :
Pas d'accord. Ce nouveau mécanisme permet d'éviter les attaques où le pirate n'a pas accès à l'ordinateur, telles que la récente tentative de phishing massif en France.
Ça dépend de la manière dont c'est monté. Je peux mettre en place un faux site qui va d'une part poser la question en plus à propos de la grille, mais également répondre que les crédences entrées sont erronées et qu'il faut recommencer. Si je veux coller le plus possible au site, ça me donnera 3 cases par utilisateur. C'est certes maigre, mais vu le prix de l'attaque, ça peut encore valoir le coup, en plus de tenter de deviner la valeur d'une case inconnue. Et si le site bancaire change de case demandée à chaque nouvel essai, ben ça peut aider aussi l'attaquant.
Ce mécanisme diminue considérablement les chances de réussite d'un phishing, mais ne l'empêche pas.
Et puis contre les keyloggers&Co, c'est inutile, il suffira à l'attaquant de modifier son soft pour tenir compte de ça et reconstituer la grille. Il faudrait faire expirer la grille régulièrement.
-- pour l'info, veuiller clicker-double sur mes pages (bleu) -+- AV in: Guide du Cabaliste Usenet - Les dossiers secrets -+-
Fabien LE LEZ
On 20 Jul 2005 14:15:22 GMT, "A. Caspis" :
Il reste pertinent, par principe, de révoquer un secret dès que l'on soupçonne une fuite d'information. Or chaque échec révèle un peu d'information sur le bon code.
Mouais... très peu tout de même, par rapport à la gêne causée à l'utilisateur légitime.
Si quelqu'un a le mot de passe mais n'a pas la carte, ça veut dire que c'est le mot de passe qui a été divulgué à un pirate, donc c'est lui qu'il faut révoquer.
On 20 Jul 2005 14:15:22 GMT, "A. Caspis" <a_caspis@yahoo.com>:
Il reste pertinent, par principe, de révoquer un secret dès
que l'on soupçonne une fuite d'information. Or chaque échec
révèle un peu d'information sur le bon code.
Mouais... très peu tout de même, par rapport à la gêne causée à
l'utilisateur légitime.
Si quelqu'un a le mot de passe mais n'a pas la carte, ça veut dire que
c'est le mot de passe qui a été divulgué à un pirate, donc c'est lui
qu'il faut révoquer.
Il reste pertinent, par principe, de révoquer un secret dès que l'on soupçonne une fuite d'information. Or chaque échec révèle un peu d'information sur le bon code.
Mouais... très peu tout de même, par rapport à la gêne causée à l'utilisateur légitime.
Si quelqu'un a le mot de passe mais n'a pas la carte, ça veut dire que c'est le mot de passe qui a été divulgué à un pirate, donc c'est lui qu'il faut révoquer.
A. Caspis
Cedric Blancher wrote:
Ça dépend de la manière dont c'est monté. Je peux mettre en place un faux site qui va d'une part poser la question en plus à propos de la grille, mais également répondre que les crédences entrées sont erronées et qu'il faut recommencer. Si je veux coller le plus possible au site, ça me donnera 3 cases par utilisateur. [...]
Dans ce cas on peut même imaginer une attaque combinant phishing et man-in-the-middle: l'utilisateur se connecte à un faux site; le faux site se connecte à la banque; la banque demande une case; le faux site demande la même case à l'utilisateur; etc.
Mais les annonces des banques précisent que la grille est réservée à certaines opérations (ajout de destinataires de virements...). On peut donc espérer que les utilisateurs se méfieront si la banque leur demande une case alors qu'ils n'ont pas manifesté l'intention d'effectuer l'une de ces opérations.
Et puis contre les keyloggers&Co, c'est inutile, il suffira à l'attaquant de modifier son soft pour tenir compte de ça et reconstituer la grille.
Pour ça il y a eu une autre innovation révolutionnaire récemment: le clavier virtuel...
AC
Cedric Blancher wrote:
Ça dépend de la manière dont c'est monté. Je peux mettre en place un
faux site qui va d'une part poser la question en plus à propos de la
grille, mais également répondre que les crédences entrées sont
erronées et qu'il faut recommencer. Si je veux coller le plus possible au
site, ça me donnera 3 cases par utilisateur. [...]
Dans ce cas on peut même imaginer une attaque combinant
phishing et man-in-the-middle: l'utilisateur se connecte à
un faux site; le faux site se connecte à la banque; la banque
demande une case; le faux site demande la même case à
l'utilisateur; etc.
Mais les annonces des banques précisent que la grille est
réservée à certaines opérations (ajout de destinataires de
virements...). On peut donc espérer que les utilisateurs se
méfieront si la banque leur demande une case alors qu'ils n'ont
pas manifesté l'intention d'effectuer l'une de ces opérations.
Et puis contre les keyloggers&Co, c'est inutile, il suffira à l'attaquant
de modifier son soft pour tenir compte de ça et reconstituer la grille.
Pour ça il y a eu une autre innovation révolutionnaire récemment:
le clavier virtuel...
Ça dépend de la manière dont c'est monté. Je peux mettre en place un faux site qui va d'une part poser la question en plus à propos de la grille, mais également répondre que les crédences entrées sont erronées et qu'il faut recommencer. Si je veux coller le plus possible au site, ça me donnera 3 cases par utilisateur. [...]
Dans ce cas on peut même imaginer une attaque combinant phishing et man-in-the-middle: l'utilisateur se connecte à un faux site; le faux site se connecte à la banque; la banque demande une case; le faux site demande la même case à l'utilisateur; etc.
Mais les annonces des banques précisent que la grille est réservée à certaines opérations (ajout de destinataires de virements...). On peut donc espérer que les utilisateurs se méfieront si la banque leur demande une case alors qu'ils n'ont pas manifesté l'intention d'effectuer l'une de ces opérations.
Et puis contre les keyloggers&Co, c'est inutile, il suffira à l'attaquant de modifier son soft pour tenir compte de ça et reconstituer la grille.
Pour ça il y a eu une autre innovation révolutionnaire récemment: le clavier virtuel...
AC
Cedric Blancher
Le Wed, 20 Jul 2005 22:15:28 +0000, A. Caspis a écrit :
Dans ce cas on peut même imaginer une attaque combinant phishing et man-in-the-middle: l'utilisateur se connecte à un faux site; le faux site se connecte à la banque; la banque demande une case; le faux site demande la même case à l'utilisateur; etc.
C'est nettement plus coûteux à mettre en place, avec des résultats plus qu'aléatoires, principalement pour les raisons que tu évoques plus loin (demande du code sur des accès spécifiques). Mais déjà, les spammers s'en servent pour passer les authentifications par lecture de pictogramme. Leur robot prend le pictogramme et le présente à un utilisateur voulant entrer sur un site qui l'intéresse (typiquement du warez ou du porno), récupère sa réponse et la fournit au site visé. Et paf. Le pire, c'est que ça marche troooop bien.
keyloggers&Co [...] Pour ça il y a eu une autre innovation révolutionnaire récemment: le
clavier virtuel...
1. Ce n'est pas révolutionnaire. Le plugin pour SquirrelMail déjà évoqué ici date de pas mal de temps (un ou deux ans déjà). 2. Tu devrais jeter un coup d'oeil là :
http://nicob.net/SSTIC05/
Cela dépasse de loin ce que je croyais possible. Je resterais toujours impressionné par ce que peut faire un bon programmeur bien documenté avec une plate-forme Windows. Ajouté à des trucs comme :
3. De toute manière, le keylogger&Co, sous toutes ses formes, c'est un peu compliqué je trouve. Toutes les questions et leurs réponses passent sur le réseau. Il suffit de les y lire. Avec ce genre de chose par exemple qui fait un MiM SSL complètement transparent à partir du poste visé :
Bref, comme ça était dit récemment lors d'un conférence de sécurité, le poste de l'utilisateur lambda est mort, et les gens vont devoir s'y faire (i.e. prendre en compte cet état de fait) s'ils veulent avancer un peu en matière de sécurité des accès sensibles comme les portails bancaires et proposer des trucs qui tiennent vraiment la route...
-- BOFH excuse #143:
had to use hammer to free stuck disk drive heads.
Le Wed, 20 Jul 2005 22:15:28 +0000, A. Caspis a écrit :
Dans ce cas on peut même imaginer une attaque combinant
phishing et man-in-the-middle: l'utilisateur se connecte à
un faux site; le faux site se connecte à la banque; la banque
demande une case; le faux site demande la même case à
l'utilisateur; etc.
C'est nettement plus coûteux à mettre en place, avec des résultats plus
qu'aléatoires, principalement pour les raisons que tu évoques plus loin
(demande du code sur des accès spécifiques). Mais déjà, les spammers
s'en servent pour passer les authentifications par lecture de pictogramme.
Leur robot prend le pictogramme et le présente à un utilisateur voulant
entrer sur un site qui l'intéresse (typiquement du warez ou du porno),
récupère sa réponse et la fournit au site visé. Et paf. Le pire, c'est
que ça marche troooop bien.
keyloggers&Co [...]
Pour ça il y a eu une autre innovation révolutionnaire récemment: le
clavier virtuel...
1. Ce n'est pas révolutionnaire. Le plugin pour SquirrelMail déjà
évoqué ici date de pas mal de temps (un ou deux ans déjà).
2. Tu devrais jeter un coup d'oeil là :
http://nicob.net/SSTIC05/
Cela dépasse de loin ce que je croyais possible. Je resterais toujours
impressionné par ce que peut faire un bon programmeur bien documenté
avec une plate-forme Windows. Ajouté à des trucs comme :
3. De toute manière, le keylogger&Co, sous toutes ses formes, c'est un
peu compliqué je trouve. Toutes les questions et leurs réponses
passent sur le réseau. Il suffit de les y lire. Avec ce genre de chose
par exemple qui fait un MiM SSL complètement transparent à partir du
poste visé :
Bref, comme ça était dit récemment lors d'un conférence de sécurité,
le poste de l'utilisateur lambda est mort, et les gens vont devoir s'y
faire (i.e. prendre en compte cet état de fait) s'ils veulent avancer un
peu en matière de sécurité des accès sensibles comme les portails
bancaires et proposer des trucs qui tiennent vraiment la route...
Le Wed, 20 Jul 2005 22:15:28 +0000, A. Caspis a écrit :
Dans ce cas on peut même imaginer une attaque combinant phishing et man-in-the-middle: l'utilisateur se connecte à un faux site; le faux site se connecte à la banque; la banque demande une case; le faux site demande la même case à l'utilisateur; etc.
C'est nettement plus coûteux à mettre en place, avec des résultats plus qu'aléatoires, principalement pour les raisons que tu évoques plus loin (demande du code sur des accès spécifiques). Mais déjà, les spammers s'en servent pour passer les authentifications par lecture de pictogramme. Leur robot prend le pictogramme et le présente à un utilisateur voulant entrer sur un site qui l'intéresse (typiquement du warez ou du porno), récupère sa réponse et la fournit au site visé. Et paf. Le pire, c'est que ça marche troooop bien.
keyloggers&Co [...] Pour ça il y a eu une autre innovation révolutionnaire récemment: le
clavier virtuel...
1. Ce n'est pas révolutionnaire. Le plugin pour SquirrelMail déjà évoqué ici date de pas mal de temps (un ou deux ans déjà). 2. Tu devrais jeter un coup d'oeil là :
http://nicob.net/SSTIC05/
Cela dépasse de loin ce que je croyais possible. Je resterais toujours impressionné par ce que peut faire un bon programmeur bien documenté avec une plate-forme Windows. Ajouté à des trucs comme :
3. De toute manière, le keylogger&Co, sous toutes ses formes, c'est un peu compliqué je trouve. Toutes les questions et leurs réponses passent sur le réseau. Il suffit de les y lire. Avec ce genre de chose par exemple qui fait un MiM SSL complètement transparent à partir du poste visé :
Bref, comme ça était dit récemment lors d'un conférence de sécurité, le poste de l'utilisateur lambda est mort, et les gens vont devoir s'y faire (i.e. prendre en compte cet état de fait) s'ils veulent avancer un peu en matière de sécurité des accès sensibles comme les portails bancaires et proposer des trucs qui tiennent vraiment la route...
