Une banque en ligne change à partir de fin mars (ils ont pas
osé dire début avril à cause du poisson) la façon de composer
le code secret pour accéder à son compte.
Je cite:
"A compter de fin mars 2005, la saisie de votre code secret va évoluer.
Jusqu'ici, vous deviez saisir votre code secret à l'aide du clavier dans
un champ prévu à cet effet.
Désormais, vous disposerez à l'écran d'une grille de 25 cases sur laquelle
les 10 chiffres (0 à 9) sont positionnés de manière aléatoire à chaque
nouvelle connexion. Vous devrez cliquer à l'aide de votre souris et dans
l'ordre sur les 6 chiffres correspondants à votre code secret."
Qui peut expliquer l'intéret du nouveau procédé.
merci
ast.
Je suis pas expert, mais google ma donné cette page en 2 seconde : Keylogger + capture d'ecran
Faudra encore vérifier que ca marche, la photo de l'ecran est prise a quelle occasion ? A chaque clic ?
MDR
Patrick 'Zener' Brunet
Bonsoir CEO.
"CEO" a écrit dans le message de news: 423c7554$0$19340$
[...]
Avec de l'imagination oui, surement. Sauf que mon imagination me dit que la
banque enverra un bon gros GIF unique avec tous les chiffres dedans, composé
par le serveur.
[...]
Le propre d'un programmeur dans le domaine de la sécurité n'est pas de faire
le plus simple...
[...]
"Réclamer sa propore copie"... Le réclamer au serveur bancaire ?on croit réver...
le navigateur dans son principe est et reste un libre-service.
non
Je n'ai aucune idée de qui vous êtes, de votre expérience pratique, de votre niveau de culture en sécurité informatique, alors comme vous avez l'air très sûr de vous et que nous sombrons dans le débat d'opinion, je n'ai pas vraiment envie de polémiquer.
Je vous engage éventuellement à chercher un peu sur le Web et sur les thèmes suivants : - la manière dont des projets relevant du process industriel sécurisé (au sens de la robustesse) aussi bien que de la sécurité, sont confiés à des développeurs débutants (après 3 ans ils n'ont plus envie) issus de SSII généralistes et pour le moins peu engagés (alors que les hackers sont des passionnés et ne font pas les 35h), - la manière dont les décideurs considèrent de plus en plus que les bugs sont une fatalité, et contractent simplement les assurances adéquates (voyez le numéro de Janvier 2005 de Programmez! par exemple, c'est croustillant), - les innombrables récits d'exploits réalisés dans le domaine (la Carte Bleue est un exemple fameux d'utilisation "optimale" d'un moyen de sécurité hautement sophistiqué, ou comment la France tire avantage d'un brevet français), - les concepts de base d'usurpation Internet (IP spoofing, vol de cookie, etc), - les forums de développeurs Web où la question récurrente de la protection des contenus est close inexorablement avec la réponse "ce n'est pas possible".
Pour ma part, j'ai commencé par là avant de me pencher moi-même sur la question pour mes propres projets, j'ai 16 ans d'expérience et plusieurs domaines d'expertise, et ça m'a apporté une certaine dose d'humilité :-)
Mais vous pouvez toujours croire ce que vous voulez si ça vous rassure.
Cordialement,
--
/*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
Bonsoir CEO.
"CEO" <nomail@nowhere.tv> a écrit dans le message de news:
423c7554$0$19340$8fcfb975@news.wanadoo.fr...
[...]
Avec de l'imagination oui, surement. Sauf que mon imagination me dit que
la
banque enverra un bon gros GIF unique avec tous les chiffres dedans,
composé
par le serveur.
[...]
Le propre d'un programmeur dans le domaine de la sécurité n'est pas de
faire
le plus simple...
[...]
"Réclamer sa propore copie"... Le réclamer au serveur bancaire ?on croit
réver...
le navigateur dans son principe
est et reste un libre-service.
non
Je n'ai aucune idée de qui vous êtes, de votre expérience pratique, de votre
niveau de culture en sécurité informatique, alors comme vous avez l'air très
sûr de vous et que nous sombrons dans le débat d'opinion, je n'ai pas
vraiment envie de polémiquer.
Je vous engage éventuellement à chercher un peu sur le Web et sur les thèmes
suivants :
- la manière dont des projets relevant du process industriel sécurisé (au
sens de la robustesse) aussi bien que de la sécurité, sont confiés à des
développeurs débutants (après 3 ans ils n'ont plus envie) issus de SSII
généralistes et pour le moins peu engagés (alors que les hackers sont des
passionnés et ne font pas les 35h),
- la manière dont les décideurs considèrent de plus en plus que les bugs
sont une fatalité, et contractent simplement les assurances adéquates (voyez
le numéro de Janvier 2005 de Programmez! par exemple, c'est croustillant),
- les innombrables récits d'exploits réalisés dans le domaine (la Carte
Bleue est un exemple fameux d'utilisation "optimale" d'un moyen de sécurité
hautement sophistiqué, ou comment la France tire avantage d'un brevet
français),
- les concepts de base d'usurpation Internet (IP spoofing, vol de cookie,
etc),
- les forums de développeurs Web où la question récurrente de la protection
des contenus est close inexorablement avec la réponse "ce n'est pas
possible".
Pour ma part, j'ai commencé par là avant de me pencher moi-même sur la
question pour mes propres projets, j'ai 16 ans d'expérience et plusieurs
domaines d'expertise, et ça m'a apporté une certaine dose d'humilité :-)
Mais vous pouvez toujours croire ce que vous voulez si ça vous rassure.
Cordialement,
--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/
"CEO" a écrit dans le message de news: 423c7554$0$19340$
[...]
Avec de l'imagination oui, surement. Sauf que mon imagination me dit que la
banque enverra un bon gros GIF unique avec tous les chiffres dedans, composé
par le serveur.
[...]
Le propre d'un programmeur dans le domaine de la sécurité n'est pas de faire
le plus simple...
[...]
"Réclamer sa propore copie"... Le réclamer au serveur bancaire ?on croit réver...
le navigateur dans son principe est et reste un libre-service.
non
Je n'ai aucune idée de qui vous êtes, de votre expérience pratique, de votre niveau de culture en sécurité informatique, alors comme vous avez l'air très sûr de vous et que nous sombrons dans le débat d'opinion, je n'ai pas vraiment envie de polémiquer.
Je vous engage éventuellement à chercher un peu sur le Web et sur les thèmes suivants : - la manière dont des projets relevant du process industriel sécurisé (au sens de la robustesse) aussi bien que de la sécurité, sont confiés à des développeurs débutants (après 3 ans ils n'ont plus envie) issus de SSII généralistes et pour le moins peu engagés (alors que les hackers sont des passionnés et ne font pas les 35h), - la manière dont les décideurs considèrent de plus en plus que les bugs sont une fatalité, et contractent simplement les assurances adéquates (voyez le numéro de Janvier 2005 de Programmez! par exemple, c'est croustillant), - les innombrables récits d'exploits réalisés dans le domaine (la Carte Bleue est un exemple fameux d'utilisation "optimale" d'un moyen de sécurité hautement sophistiqué, ou comment la France tire avantage d'un brevet français), - les concepts de base d'usurpation Internet (IP spoofing, vol de cookie, etc), - les forums de développeurs Web où la question récurrente de la protection des contenus est close inexorablement avec la réponse "ce n'est pas possible".
Pour ma part, j'ai commencé par là avant de me pencher moi-même sur la question pour mes propres projets, j'ai 16 ans d'expérience et plusieurs domaines d'expertise, et ça m'a apporté une certaine dose d'humilité :-)
Mais vous pouvez toujours croire ce que vous voulez si ça vous rassure.
Cordialement,
--
/*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
AMcD®
CEO wrote:
Bah non voyons. Les hackers, ce sont tous des ânes. Ils savent même pas récupérer les coordonnées d'un curseur pour voir ce qu'il y a dessous, tu vois un peu le niveau...
Voir ce qu'il ya en dessous ? Tres drole, en dessous, c'est un pixel...
J'en sais rien ce qu'il y a en dessous. Je demande à voir le truc final avant de faire dans le détail.
de là a que le keyloggeur arrive à deviner le texte qui s'y cache (style OCR) il y a un monde.
Bah oui, les hacker c'est tous des incapables, c'est connu.
Il faudrait un keyloggeur dédié, en effet, sauf que la page de la banque peut etre changée à tout moment et le key loggeur doit alors non seulement être refait, mais aussi ré-implanté dans la machine cible AVANT le prochain changement.
Blabla stérile. Déjà, c'est pas un keylogger qu'il faut, un keylogger enregistre les saisies au clavier. C'est un pointer/cursorinterpreter :). Ensuite, si c'est une page HTML/PHP/ASP, il y a peu être moyen de tirer profit du code de la page. Il faut voir le truc de visu avant d'être aussi affirmatif que tu l'es.
Et bien entendu un key loggeur qui enregistre CHAQUE CLIC, en capturant CHAQUE écran au moment du clic pour ensuite le renvoyer par le NET.
Ca conplexifie largement le boulot du hacker, hein les mecs ?
Vachement ! Ouah, si je devais programmer ça, la complexité me terrifierait sur place... Non, sérieux.
Mais c'est vrai qu'on peut toujours se monter le bourichon et croire que les programmeurs de site de banque sont tous des ânes. A lire certaines pleurnicheuses on pourrait croire que ces banques se font piller quotidiennement.
Les codeurs de sites Web d'entreprises, banques, administrations, etc. ainsi que ceux qui les administrent ne sont pas toujours bien terribles non. Note bien que je dis, pas toujours.
C'est quoi au fait cette banque, on peut voir la page en question ?
-- AMcD®
http://arnold.mcdonald.free.fr/
CEO wrote:
Bah non voyons. Les hackers, ce sont tous des ânes. Ils savent même
pas récupérer les coordonnées d'un curseur pour voir ce qu'il y a
dessous, tu vois un peu le niveau...
Voir ce qu'il ya en dessous ? Tres drole, en dessous, c'est un
pixel...
J'en sais rien ce qu'il y a en dessous. Je demande à voir le truc final
avant de faire dans le détail.
de là a que le keyloggeur arrive à deviner le texte qui s'y
cache (style OCR) il y a un monde.
Bah oui, les hacker c'est tous des incapables, c'est connu.
Il faudrait un keyloggeur dédié, en effet, sauf que la page de la
banque peut etre changée à tout moment et le key loggeur doit alors
non seulement être refait, mais aussi ré-implanté dans la machine
cible AVANT le prochain changement.
Blabla stérile. Déjà, c'est pas un keylogger qu'il faut, un keylogger
enregistre les saisies au clavier. C'est un pointer/cursorinterpreter :).
Ensuite, si c'est une page HTML/PHP/ASP, il y a peu être moyen de tirer
profit du code de la page. Il faut voir le truc de visu avant d'être aussi
affirmatif que tu l'es.
Et bien entendu un key loggeur qui enregistre CHAQUE CLIC, en
capturant CHAQUE écran au moment du clic pour ensuite le renvoyer par
le NET.
Ca conplexifie largement le boulot du hacker, hein les mecs ?
Vachement ! Ouah, si je devais programmer ça, la complexité me terrifierait
sur place... Non, sérieux.
Mais c'est vrai qu'on peut toujours se monter le bourichon et croire
que les programmeurs de site de banque sont tous des ânes. A lire
certaines pleurnicheuses on pourrait croire que ces banques se font
piller quotidiennement.
Les codeurs de sites Web d'entreprises, banques, administrations, etc. ainsi
que ceux qui les administrent ne sont pas toujours bien terribles non. Note
bien que je dis, pas toujours.
C'est quoi au fait cette banque, on peut voir la page en question ?
Bah non voyons. Les hackers, ce sont tous des ânes. Ils savent même pas récupérer les coordonnées d'un curseur pour voir ce qu'il y a dessous, tu vois un peu le niveau...
Voir ce qu'il ya en dessous ? Tres drole, en dessous, c'est un pixel...
J'en sais rien ce qu'il y a en dessous. Je demande à voir le truc final avant de faire dans le détail.
de là a que le keyloggeur arrive à deviner le texte qui s'y cache (style OCR) il y a un monde.
Bah oui, les hacker c'est tous des incapables, c'est connu.
Il faudrait un keyloggeur dédié, en effet, sauf que la page de la banque peut etre changée à tout moment et le key loggeur doit alors non seulement être refait, mais aussi ré-implanté dans la machine cible AVANT le prochain changement.
Blabla stérile. Déjà, c'est pas un keylogger qu'il faut, un keylogger enregistre les saisies au clavier. C'est un pointer/cursorinterpreter :). Ensuite, si c'est une page HTML/PHP/ASP, il y a peu être moyen de tirer profit du code de la page. Il faut voir le truc de visu avant d'être aussi affirmatif que tu l'es.
Et bien entendu un key loggeur qui enregistre CHAQUE CLIC, en capturant CHAQUE écran au moment du clic pour ensuite le renvoyer par le NET.
Ca conplexifie largement le boulot du hacker, hein les mecs ?
Vachement ! Ouah, si je devais programmer ça, la complexité me terrifierait sur place... Non, sérieux.
Mais c'est vrai qu'on peut toujours se monter le bourichon et croire que les programmeurs de site de banque sont tous des ânes. A lire certaines pleurnicheuses on pourrait croire que ces banques se font piller quotidiennement.
Les codeurs de sites Web d'entreprises, banques, administrations, etc. ainsi que ceux qui les administrent ne sont pas toujours bien terribles non. Note bien que je dis, pas toujours.
C'est quoi au fait cette banque, on peut voir la page en question ?
-- AMcD®
http://arnold.mcdonald.free.fr/
Nicob
On Sun, 20 Mar 2005 00:38:43 +0100, AMcD® wrote:
C'est quoi au fait cette banque, on peut voir la page en question ?
La banque, c'est BNP-Paribas. Le code sera en prod fin Mars, donc pas possible d'avoir plus de détails d'ici là.
lol, même pas "magouillée" visuellement l'image des codes ? Me tarde de voir ça concrètement moi...
Heu, question subsidiaire, les risque de s'attaquer à ça, c'est quoi ?
-- AMcD®
http://arnold.mcdonald.free.fr/
Nicob
On Sun, 20 Mar 2005 01:22:03 +0100, AMcD® wrote:
Heu, question subsidiaire, les risque de s'attaquer à ça, c'est quoi ?
Ben si tu testes sur le site de prod (que tu n'as pas le droit de tester même avec un compte valide et légitime), c'est plutôt risqué juridiquement. Et si tu montes une maquette à la maison, ça peut mener à des problèmes côté CPI.
Plutôt chaud bouillant, donc ...
Nicob
On Sun, 20 Mar 2005 01:22:03 +0100, AMcD® wrote:
Heu, question subsidiaire, les risque de s'attaquer à ça, c'est quoi ?
Ben si tu testes sur le site de prod (que tu n'as pas le droit
de tester même avec un compte valide et légitime), c'est plutôt
risqué juridiquement. Et si tu montes une maquette à la maison, ça
peut mener à des problèmes côté CPI.
Heu, question subsidiaire, les risque de s'attaquer à ça, c'est quoi ?
Ben si tu testes sur le site de prod (que tu n'as pas le droit de tester même avec un compte valide et légitime), c'est plutôt risqué juridiquement. Et si tu montes une maquette à la maison, ça peut mener à des problèmes côté CPI.
Plutôt chaud bouillant, donc ...
Nicob
AMcD®
Nicob wrote:
On Sun, 20 Mar 2005 01:22:03 +0100, AMcD® wrote:
Heu, question subsidiaire, les risque de s'attaquer à ça, c'est quoi ?
Ben si tu testes sur le site de prod (que tu n'as pas le droit de tester même avec un compte valide et légitime), c'est plutôt risqué juridiquement. Et si tu montes une maquette à la maison, ça peut mener à des problèmes côté CPI.
Plutôt chaud bouillant, donc ...
Tu peux pas savoir combien ça me fatigue ces gars qui croient tout ce qu'on leur dis ;-). Enfin, si, toi tu sais. Donc, je m'étais dit que, tiens, pourquoi ps un nouveau défi...
Mais c'est clair que c'est encore une histoire qui présente des risques. Toujours le même truc quoi, on nous annonce un truc trop-de-la-mort-qui-tue, on doute, et si on veut "enquêter"... bonjour monsieur le juge.
Erf, triste époque pour les amateurs de sport :-(.
-- AMcD®
http://arnold.mcdonald.free.fr/
Nicob wrote:
On Sun, 20 Mar 2005 01:22:03 +0100, AMcD® wrote:
Heu, question subsidiaire, les risque de s'attaquer à ça, c'est quoi
?
Ben si tu testes sur le site de prod (que tu n'as pas le droit
de tester même avec un compte valide et légitime), c'est plutôt
risqué juridiquement. Et si tu montes une maquette à la maison, ça
peut mener à des problèmes côté CPI.
Plutôt chaud bouillant, donc ...
Tu peux pas savoir combien ça me fatigue ces gars qui croient tout ce qu'on
leur dis ;-). Enfin, si, toi tu sais. Donc, je m'étais dit que, tiens,
pourquoi ps un nouveau défi...
Mais c'est clair que c'est encore une histoire qui présente des risques.
Toujours le même truc quoi, on nous annonce un truc trop-de-la-mort-qui-tue,
on doute, et si on veut "enquêter"... bonjour monsieur le juge.
Erf, triste époque pour les amateurs de sport :-(.
Heu, question subsidiaire, les risque de s'attaquer à ça, c'est quoi ?
Ben si tu testes sur le site de prod (que tu n'as pas le droit de tester même avec un compte valide et légitime), c'est plutôt risqué juridiquement. Et si tu montes une maquette à la maison, ça peut mener à des problèmes côté CPI.
Plutôt chaud bouillant, donc ...
Tu peux pas savoir combien ça me fatigue ces gars qui croient tout ce qu'on leur dis ;-). Enfin, si, toi tu sais. Donc, je m'étais dit que, tiens, pourquoi ps un nouveau défi...
Mais c'est clair que c'est encore une histoire qui présente des risques. Toujours le même truc quoi, on nous annonce un truc trop-de-la-mort-qui-tue, on doute, et si on veut "enquêter"... bonjour monsieur le juge.
Erf, triste époque pour les amateurs de sport :-(.
-- AMcD®
http://arnold.mcdonald.free.fr/
Patrick 'Zener' Brunet
Bonjour.
"Nicob" a écrit dans le message de news:
On Sun, 20 Mar 2005 00:38:43 +0100, AMcD® wrote:
C'est quoi au fait cette banque, on peut voir la page en question ?
La banque, c'est BNP-Paribas. Le code sera en prod fin Mars, donc pas possible d'avoir plus de détails d'ici là.
"Chiffres positionnés de manière aléatoire", c'est bien ce que je vois : dans l'ordre 1234567890 en sautant seulement les cases vides dans une grille rectangulaire ?
Et dire qu'on avait parlé d'OCR... C'est même pas la peine, la position relative des derniers clics de souris avant le OK devrait suffire, avec une analyse sommaire de la grille récupérée dans le cache du navigateur :-D
Bon, il reste 10 jours pour améliorer le bean's alors, ou pour souscrire une bonne assurance !
Mais je me rétracte sur le champ comme le fit Galilée, il serait tellement plus économique en effet de traduire en justice les oiseaux de mauvais augure.
Cordialement,
--
/*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
Bonjour.
"Nicob" <nicob@I.hate.spammers.com> a écrit dans le message de news:
pan.2005.03.19.23.55.10.426911@I.hate.spammers.com...
On Sun, 20 Mar 2005 00:38:43 +0100, AMcD® wrote:
C'est quoi au fait cette banque, on peut voir la page en question ?
La banque, c'est BNP-Paribas. Le code sera en prod fin Mars, donc pas
possible d'avoir plus de détails d'ici là.
"Chiffres positionnés de manière aléatoire", c'est bien ce que je vois :
dans l'ordre 1234567890 en sautant seulement les cases vides dans une grille
rectangulaire ?
Et dire qu'on avait parlé d'OCR... C'est même pas la peine, la position
relative des derniers clics de souris avant le OK devrait suffire, avec une
analyse sommaire de la grille récupérée dans le cache du navigateur :-D
Bon, il reste 10 jours pour améliorer le bean's alors, ou pour souscrire une
bonne assurance !
Mais je me rétracte sur le champ comme le fit Galilée, il serait tellement
plus économique en effet de traduire en justice les oiseaux de mauvais
augure.
Cordialement,
--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/
"Chiffres positionnés de manière aléatoire", c'est bien ce que je vois : dans l'ordre 1234567890 en sautant seulement les cases vides dans une grille rectangulaire ?
Et dire qu'on avait parlé d'OCR... C'est même pas la peine, la position relative des derniers clics de souris avant le OK devrait suffire, avec une analyse sommaire de la grille récupérée dans le cache du navigateur :-D
Bon, il reste 10 jours pour améliorer le bean's alors, ou pour souscrire une bonne assurance !
Mais je me rétracte sur le champ comme le fit Galilée, il serait tellement plus économique en effet de traduire en justice les oiseaux de mauvais augure.
Cordialement,
--
/*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
