Je pense que l'utilisation impérative de la souris et l'affichage à
l'écran d'un écho de la saisie du digicode
(animation de l'enfoncement et du relâchement des touches du clavier
virtuel) constituent une grande
vulnérabilité des postes clients aux indiscressions d'origines pirates
diverses, surtout si l'on prend en
compte les éléments suivants :
- Les dispositifs de pointage sont de plus en plus des souris radio
(sans fil).
- Les postes clients sont encore largement équipés d'écrans à tubes
cathodique.
- Ces deux types d'équipements sont faciles à espionner à distance via
leurs rayonnements électromagnétiques.
- En plus de l'animation des touches du clavier virtuel, le pointeur de
la souris peut aussi trahir le code
secret.
- Par simple indiscression visuelle, il me semble plus facile
d'intercepter le code secret affiché à l'écran
que la frappe d'un clavier classique, surtout vu que la saisie au
clavier virtuel est longue de part le temps
nécessaire pour viser une touche et du fait de la temporisation qui
valide l'appuis sur une touche.
Si votre nouvelle méthode de saisie se voulait être une protection
contre les 'root kits' (dirigés contre
Windows, les Unices et comparces), sachez que c'est raté !
En effet, n'importe quel programme sans privilège peut scruter en
continu la position du pointeur de la souris
à l'écran, quelquesoit la fenêtre active, et vu les spécificités de
votre clavier virtuel, décodera facilement
le digicode saisi par l'utilisateur.
Merci d'y réfliéchir à deux fois avant d' *IMPOSER* une nouvelle
technologie dans un domaine aussi sensible.
--- Fin du message que je dois condenser pour l'adresser à <ma banque> ---
On Mon, 05 Jun 2006 16:00:36 +0000, Hercule Poirot wrote:
Je me trompe, ou les couples systèmes d'exploitation / navigateurs WEB disposent bien d'un mécanisme performant contre l'interception de mots de passe, basé sur l'interdiction de poser des HOOKs d'interception des messages WM_KEY* (sous Windows) ?
Quelle interdiction de poser des hooks ??? Si on jette un oeil à mes slides de l'année dernière, ça parle bel et bien de WM_LBUTTONDOWN et de compte non privilégié, pour un résultat nickel.
Nicob
Autrefois, en utilisant winsight fourni avec Borland C++ 5.0, je ne pouvais pas épier/logguer les messages à destination de certaines fenêtres ou de certains contrôles de certains logiciels, toujours en rapport avec une saisie (au clavier) de mot de passe. J'en avais déduit qu'il y avait bel et bien une protection de cet nature ; elle aurait reposée, par exemple, sur l'utilisation de certains contrôles systèmes via une certaine classe système de fenêtre ???
Qu'en pensez-vous ?
H.P.
On Mon, 05 Jun 2006 16:00:36 +0000, Hercule Poirot wrote:
Je me trompe, ou les couples systèmes d'exploitation / navigateurs WEB
disposent bien d'un mécanisme performant contre l'interception de mots
de passe, basé sur l'interdiction de poser des HOOKs d'interception des
messages WM_KEY* (sous Windows) ?
Quelle interdiction de poser des hooks ??? Si on jette un oeil à mes
slides de l'année dernière, ça parle bel et bien de WM_LBUTTONDOWN et
de compte non privilégié, pour un résultat nickel.
Nicob
Autrefois, en utilisant winsight fourni avec Borland C++ 5.0, je ne
pouvais pas épier/logguer les messages à destination de certaines
fenêtres ou de certains contrôles de certains logiciels, toujours en
rapport avec une saisie (au clavier) de mot de passe. J'en avais déduit
qu'il y avait bel et bien une protection de cet nature ; elle aurait
reposée, par exemple, sur l'utilisation de certains contrôles systèmes
via une certaine classe système de fenêtre ???
On Mon, 05 Jun 2006 16:00:36 +0000, Hercule Poirot wrote:
Je me trompe, ou les couples systèmes d'exploitation / navigateurs WEB disposent bien d'un mécanisme performant contre l'interception de mots de passe, basé sur l'interdiction de poser des HOOKs d'interception des messages WM_KEY* (sous Windows) ?
Quelle interdiction de poser des hooks ??? Si on jette un oeil à mes slides de l'année dernière, ça parle bel et bien de WM_LBUTTONDOWN et de compte non privilégié, pour un résultat nickel.
Nicob
Autrefois, en utilisant winsight fourni avec Borland C++ 5.0, je ne pouvais pas épier/logguer les messages à destination de certaines fenêtres ou de certains contrôles de certains logiciels, toujours en rapport avec une saisie (au clavier) de mot de passe. J'en avais déduit qu'il y avait bel et bien une protection de cet nature ; elle aurait reposée, par exemple, sur l'utilisation de certains contrôles systèmes via une certaine classe système de fenêtre ???
Qu'en pensez-vous ?
H.P.
Michel Tatoute
Eric Lalitte wrote:
"Thibaut Henin" wrote in message news:e5mjol$fsh$
De toute façon, on ne cherche pas la sécurité 100%, n'est-ce pas ? Je suis informatitien, je connais les risques, je peux les identifier,
et parfois les corriger. Mais si une banque refuse de corriger une faille que je lui signale sous prétexte : "vous comprennez, la sécu à 100%, c'est impossible, et puis c'est contraingnant", je trouve ça déplorable.
C'était une boutade... Quant à la faille que vous lui indiquez, elle est structurelle. Grossièrement, le principe pour la banque est de sécuriser les accès à un niveau acceptable par rapport à la valeur des données à protéger. S'ils ont choisi ce système c'est qu'ils estiment que le niveau de sécurité ainsi atteint correspond aux enjeux.
Ridicule: si les banques ont d'un mouvement d'ensemble mis en place des systemes ridicules de claviers virtuels c'est par ce qu'un récent rapport les présentaient comme des passoires aux yeux du public et que le clavier virtuel *ca se voit*.
En réalité c'est un cautère sur une jambe de bois: Les protocoles utilisés ne sont absolument pas surs.
Par exemple je connais une banque ou le simple fait de faire 'F5' (recharger) à partir du bon navigateur sur une session inactive depuis, disons 12 heures (sinon plus)... réactive la liaison de façon complète....
Mais cette banque a un clavier virtuel....
Ridicule je vous dis.
Eric Lalitte wrote:
"Thibaut Henin" <Thibaut.Henin@irisa.fr> wrote in message
news:e5mjol$fsh$2@amma.irisa.fr
De toute façon, on ne cherche pas la sécurité 100%, n'est-ce pas ?
Je suis informatitien, je connais les risques, je peux les identifier,
et parfois les corriger. Mais si une banque refuse de corriger une
faille que je lui signale sous prétexte : "vous comprennez, la sécu à
100%, c'est impossible, et puis c'est contraingnant", je trouve ça
déplorable.
C'était une boutade...
Quant à la faille que vous lui indiquez, elle est structurelle.
Grossièrement, le principe pour la banque est de sécuriser les accès à
un niveau acceptable par rapport à la valeur des données à protéger.
S'ils ont choisi ce système c'est qu'ils estiment que le niveau de
sécurité ainsi atteint correspond aux enjeux.
Ridicule:
si les banques ont d'un mouvement d'ensemble mis en place des systemes
ridicules de claviers virtuels c'est par ce qu'un récent rapport les
présentaient comme des passoires aux yeux du public et que le clavier
virtuel *ca se voit*.
En réalité c'est un cautère sur une jambe de bois: Les protocoles utilisés
ne sont absolument pas surs.
Par exemple je connais une banque ou le simple fait de faire
'F5' (recharger) à partir du bon navigateur sur une session inactive
depuis, disons 12 heures (sinon plus)... réactive la liaison de façon
complète....
De toute façon, on ne cherche pas la sécurité 100%, n'est-ce pas ? Je suis informatitien, je connais les risques, je peux les identifier,
et parfois les corriger. Mais si une banque refuse de corriger une faille que je lui signale sous prétexte : "vous comprennez, la sécu à 100%, c'est impossible, et puis c'est contraingnant", je trouve ça déplorable.
C'était une boutade... Quant à la faille que vous lui indiquez, elle est structurelle. Grossièrement, le principe pour la banque est de sécuriser les accès à un niveau acceptable par rapport à la valeur des données à protéger. S'ils ont choisi ce système c'est qu'ils estiment que le niveau de sécurité ainsi atteint correspond aux enjeux.
Ridicule: si les banques ont d'un mouvement d'ensemble mis en place des systemes ridicules de claviers virtuels c'est par ce qu'un récent rapport les présentaient comme des passoires aux yeux du public et que le clavier virtuel *ca se voit*.
En réalité c'est un cautère sur une jambe de bois: Les protocoles utilisés ne sont absolument pas surs.
Par exemple je connais une banque ou le simple fait de faire 'F5' (recharger) à partir du bon navigateur sur une session inactive depuis, disons 12 heures (sinon plus)... réactive la liaison de façon complète....
