Bonjour à tous
Un hacker qui réussit à capturer le N° et le code secret d'une carte
bancaire, pourra vider le cpt du titulaire. Ok, ça c'est logique.
Mais qu'en est-il s'il capture l'identifiant et le code secret pour accéder
à un compte bancaire en ligne? Je pensais naïvement, que du fait que l'on ne
peut faire que des virements de cpts à cpts prédéfinis, il ne pouvait pas
faire grand chose.
On me dit le contraire!
Qu'en est-il exactement .
Merci de vos réponses
Jeff
***Bonjour Le Crédit agricole, à l'instar de la BNP vient d'instaurer la grille qui permet d'inscrire le Pwd à la souris au lui du clavier. Meilleure sécurité qu'ils disent! Un keylogger installé sur la machine est-il rendu impuissant? Jeff
***Bonjour
Le Crédit agricole, à l'instar de la BNP vient d'instaurer la grille qui
permet d'inscrire le Pwd à la souris au lui du clavier.
Meilleure sécurité qu'ils disent!
Un keylogger installé sur la machine est-il rendu impuissant?
Jeff
***Bonjour Le Crédit agricole, à l'instar de la BNP vient d'instaurer la grille qui permet d'inscrire le Pwd à la souris au lui du clavier. Meilleure sécurité qu'ils disent! Un keylogger installé sur la machine est-il rendu impuissant? Jeff
Jean-Claude BELLAMY
Dans le message :43ca0f20$0$20143$, JFGB a pris la peine d'écrire ce qui suit :
***Bonjour Le Crédit agricole, à l'instar de la BNP vient d'instaurer la grille qui permet d'inscrire le Pwd à la souris au lui du clavier. Meilleure sécurité qu'ils disent! Un keylogger installé sur la machine est-il rendu impuissant?
Oui, car ce qui est transmis au serveur de la banque, ce n'est pas le pwd, mais des positions dans la grille. Je ne sais pas comment c'est réellement codé, mais c'est du style "bataille navale" : B5 A3 D1 C2 D2 E1 (et le serveur de la banque possède la table de correspondance inverse)
Donc le key logger qui va intercepter cela ne pourra absolument pas savoir à quoi cela correspond, vu que la grille (10 chiffres dans une matrice 5x5) est modifiée aléatoirement à chaque ouverture de la page de connexion.
Je trouve ce système particulièrement astucieux et en même temps très simple, ce qui est pour moi un gage de qualité!
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Dans le message :43ca0f20$0$20143$8fcfb975@news.wanadoo.fr,
JFGB <Jeff@wanadoo.fr> a pris la peine d'écrire ce qui suit :
***Bonjour
Le Crédit agricole, à l'instar de la BNP vient d'instaurer la grille
qui permet d'inscrire le Pwd à la souris au lui du clavier.
Meilleure sécurité qu'ils disent!
Un keylogger installé sur la machine est-il rendu impuissant?
Oui, car ce qui est transmis au serveur de la banque, ce n'est pas le pwd,
mais des positions dans la grille.
Je ne sais pas comment c'est réellement codé, mais c'est du style "bataille
navale" : B5 A3 D1 C2 D2 E1
(et le serveur de la banque possède la table de correspondance inverse)
Donc le key logger qui va intercepter cela ne pourra absolument pas savoir à
quoi cela correspond, vu que la grille (10 chiffres dans une matrice 5x5)
est modifiée aléatoirement à chaque ouverture de la page de connexion.
Je trouve ce système particulièrement astucieux et en même temps très
simple, ce qui est pour moi un gage de qualité!
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - Jean-Claude.Bellamy@wanadoo.fr
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Dans le message :43ca0f20$0$20143$, JFGB a pris la peine d'écrire ce qui suit :
***Bonjour Le Crédit agricole, à l'instar de la BNP vient d'instaurer la grille qui permet d'inscrire le Pwd à la souris au lui du clavier. Meilleure sécurité qu'ils disent! Un keylogger installé sur la machine est-il rendu impuissant?
Oui, car ce qui est transmis au serveur de la banque, ce n'est pas le pwd, mais des positions dans la grille. Je ne sais pas comment c'est réellement codé, mais c'est du style "bataille navale" : B5 A3 D1 C2 D2 E1 (et le serveur de la banque possède la table de correspondance inverse)
Donc le key logger qui va intercepter cela ne pourra absolument pas savoir à quoi cela correspond, vu que la grille (10 chiffres dans une matrice 5x5) est modifiée aléatoirement à chaque ouverture de la page de connexion.
Je trouve ce système particulièrement astucieux et en même temps très simple, ce qui est pour moi un gage de qualité!
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Alain L'Huissier
"Jean-Claude BELLAMY" a écrit dans le message de news: 43ca1e7e$0$21305$
Dans le message :43ca0f20$0$20143$, JFGB a pris la peine d'écrire ce qui suit :
***Bonjour Le Crédit agricole, à l'instar de la BNP vient d'instaurer la grille qui permet d'inscrire le Pwd à la souris au lui du clavier. Meilleure sécurité qu'ils disent! Un keylogger installé sur la machine est-il rendu impuissant?
Oui, car ce qui est transmis au serveur de la banque, ce n'est pas le pwd, mais des positions dans la grille. Je ne sais pas comment c'est réellement codé, mais c'est du style "bataille navale" : B5 A3 D1 C2 D2 E1 (et le serveur de la banque possède la table de correspondance inverse)
Donc le key logger qui va intercepter cela ne pourra absolument pas savoir à quoi cela correspond, vu que la grille (10 chiffres dans une matrice 5x5) est modifiée aléatoirement à chaque ouverture de la page de connexion.
Je trouve ce système particulièrement astucieux et en même temps très simple, ce qui est pour moi un gage de qualité!
Peut-être. Cependant, les chiffres étant affichés sur l'écran, l'information transite bien quelque part et peut donc être récupérée dans une matrice. [ Y1,XI Y2,X2 ] == dessin du chiffre i puis if (;;) { if clic in [ici] alors nombre}
A.
"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> a écrit dans le
message de news: 43ca1e7e$0$21305$8fcfb975@news.wanadoo.fr...
Dans le message :43ca0f20$0$20143$8fcfb975@news.wanadoo.fr,
JFGB <Jeff@wanadoo.fr> a pris la peine d'écrire ce qui suit :
***Bonjour
Le Crédit agricole, à l'instar de la BNP vient d'instaurer la grille
qui permet d'inscrire le Pwd à la souris au lui du clavier.
Meilleure sécurité qu'ils disent!
Un keylogger installé sur la machine est-il rendu impuissant?
Oui, car ce qui est transmis au serveur de la banque, ce n'est pas le pwd,
mais des positions dans la grille.
Je ne sais pas comment c'est réellement codé, mais c'est du style
"bataille navale" : B5 A3 D1 C2 D2 E1
(et le serveur de la banque possède la table de correspondance inverse)
Donc le key logger qui va intercepter cela ne pourra absolument pas savoir
à quoi cela correspond, vu que la grille (10 chiffres dans une matrice
5x5) est modifiée aléatoirement à chaque ouverture de la page de
connexion.
Je trouve ce système particulièrement astucieux et en même temps très
simple, ce qui est pour moi un gage de qualité!
Peut-être. Cependant, les chiffres étant affichés sur l'écran, l'information
transite bien quelque part et peut donc être récupérée dans une matrice.
[ Y1,XI \ Y2,X2 ] == dessin du chiffre i
puis if (;;) { if clic in [ici] alors nombre}
"Jean-Claude BELLAMY" a écrit dans le message de news: 43ca1e7e$0$21305$
Dans le message :43ca0f20$0$20143$, JFGB a pris la peine d'écrire ce qui suit :
***Bonjour Le Crédit agricole, à l'instar de la BNP vient d'instaurer la grille qui permet d'inscrire le Pwd à la souris au lui du clavier. Meilleure sécurité qu'ils disent! Un keylogger installé sur la machine est-il rendu impuissant?
Oui, car ce qui est transmis au serveur de la banque, ce n'est pas le pwd, mais des positions dans la grille. Je ne sais pas comment c'est réellement codé, mais c'est du style "bataille navale" : B5 A3 D1 C2 D2 E1 (et le serveur de la banque possède la table de correspondance inverse)
Donc le key logger qui va intercepter cela ne pourra absolument pas savoir à quoi cela correspond, vu que la grille (10 chiffres dans une matrice 5x5) est modifiée aléatoirement à chaque ouverture de la page de connexion.
Je trouve ce système particulièrement astucieux et en même temps très simple, ce qui est pour moi un gage de qualité!
Peut-être. Cependant, les chiffres étant affichés sur l'écran, l'information transite bien quelque part et peut donc être récupérée dans une matrice. [ Y1,XI Y2,X2 ] == dessin du chiffre i puis if (;;) { if clic in [ici] alors nombre}
A.
ALBATOR
"Jean-Claude BELLAMY" a écrit dans le message de news: 43ca1e7e$0$21305$
Dans le message :43ca0f20$0$20143$, JFGB a pris la peine d'écrire ce qui suit :
***Bonjour Le Crédit agricole, à l'instar de la BNP vient d'instaurer la grille qui permet d'inscrire le Pwd à la souris au lui du clavier. Meilleure sécurité qu'ils disent! Un keylogger installé sur la machine est-il rendu impuissant?
Oui, car ce qui est transmis au serveur de la banque, ce n'est pas le pwd, mais des positions dans la grille. Je ne sais pas comment c'est réellement codé, mais c'est du style "bataille navale" : B5 A3 D1 C2 D2 E1 (et le serveur de la banque possède la table de correspondance inverse)
Il y a des keylogger plus évolué que ce que vous pensez un spy dispo à la vente est capable d'éffectuer des capture d'écran à intervales programmables... Il y a toujours une faille !
"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> a écrit dans le
message de news: 43ca1e7e$0$21305$8fcfb975@news.wanadoo.fr...
Dans le message :43ca0f20$0$20143$8fcfb975@news.wanadoo.fr,
JFGB <Jeff@wanadoo.fr> a pris la peine d'écrire ce qui suit :
***Bonjour
Le Crédit agricole, à l'instar de la BNP vient d'instaurer la grille
qui permet d'inscrire le Pwd à la souris au lui du clavier.
Meilleure sécurité qu'ils disent!
Un keylogger installé sur la machine est-il rendu impuissant?
Oui, car ce qui est transmis au serveur de la banque, ce n'est pas le
pwd, mais des positions dans la grille.
Je ne sais pas comment c'est réellement codé, mais c'est du style
"bataille navale" : B5 A3 D1 C2 D2 E1
(et le serveur de la banque possède la table de correspondance
inverse)
Il y a des keylogger plus évolué que ce que vous pensez un spy dispo à
la vente est capable d'éffectuer des capture d'écran à intervales
programmables...
Il y a toujours une faille !
"Jean-Claude BELLAMY" a écrit dans le message de news: 43ca1e7e$0$21305$
Dans le message :43ca0f20$0$20143$, JFGB a pris la peine d'écrire ce qui suit :
***Bonjour Le Crédit agricole, à l'instar de la BNP vient d'instaurer la grille qui permet d'inscrire le Pwd à la souris au lui du clavier. Meilleure sécurité qu'ils disent! Un keylogger installé sur la machine est-il rendu impuissant?
Oui, car ce qui est transmis au serveur de la banque, ce n'est pas le pwd, mais des positions dans la grille. Je ne sais pas comment c'est réellement codé, mais c'est du style "bataille navale" : B5 A3 D1 C2 D2 E1 (et le serveur de la banque possède la table de correspondance inverse)
Il y a des keylogger plus évolué que ce que vous pensez un spy dispo à la vente est capable d'éffectuer des capture d'écran à intervales programmables... Il y a toujours une faille !
Petit Pierre
Alain L'Huissier vient de nous annoncer :
"cut"
Peut-être. Cependant, les chiffres étant affichés sur l'écran, l'information transite bien quelque part et peut donc être récupérée dans une matrice. [ Y1,XI Y2,X2 ] == dessin du chiffre i puis if (;;) { if clic in [ici] alors nombre} "cut"
Pas vrai, car pour un utilisateur donné, les coordonnées du code demandé, (A5 ou B3, ou XY), seront différentes à chaque transaction.
De plus, et heureusement, il n'y a pas 2 sociétaires du CCM qui ont les mêmes codes sur leur carte de sécurisation.
De plus, pour chaque abonné, le changement automatique périodique de la carte est prévu.
Tu comprends?
Petit Pierre
Alain L'Huissier vient de nous annoncer :
"cut"
Peut-être. Cependant, les chiffres étant affichés sur l'écran, l'information
transite bien quelque part et peut donc être récupérée dans une matrice.
[ Y1,XI \ Y2,X2 ] == dessin du chiffre i
puis if (;;) { if clic in [ici] alors nombre}
"cut"
Peut-être. Cependant, les chiffres étant affichés sur l'écran, l'information transite bien quelque part et peut donc être récupérée dans une matrice. [ Y1,XI Y2,X2 ] == dessin du chiffre i puis if (;;) { if clic in [ici] alors nombre} "cut"
Pas vrai, car pour un utilisateur donné, les coordonnées du code demandé, (A5 ou B3, ou XY), seront différentes à chaque transaction.
De plus, et heureusement, il n'y a pas 2 sociétaires du CCM qui ont les mêmes codes sur leur carte de sécurisation.
De plus, pour chaque abonné, le changement automatique périodique de la carte est prévu.
Tu comprends?
Petit Pierre
Jean-Claude BELLAMY
Dans le message :43ca1ecb$0$7774$, Alain L'Huissier a pris la peine d'écrire ce qui suit :
"Jean-Claude BELLAMY" a écrit dans le message de news: 43ca1e7e$0$21305$
Dans le message :43ca0f20$0$20143$, JFGB a pris la peine d'écrire ce qui suit :
***Bonjour Le Crédit agricole, à l'instar de la BNP vient d'instaurer la grille qui permet d'inscrire le Pwd à la souris au lui du clavier. Meilleure sécurité qu'ils disent! Un keylogger installé sur la machine est-il rendu impuissant?
Oui, car ce qui est transmis au serveur de la banque, ce n'est pas le pwd, mais des positions dans la grille. Je ne sais pas comment c'est réellement codé, mais c'est du style "bataille navale" : B5 A3 D1 C2 D2 E1 (et le serveur de la banque possède la table de correspondance inverse) Donc le key logger qui va intercepter cela ne pourra absolument pas savoir à quoi cela correspond, vu que la grille (10 chiffres dans une matrice 5x5) est modifiée aléatoirement à chaque ouverture de la page de connexion.
Je trouve ce système particulièrement astucieux et en même temps très simple, ce qui est pour moi un gage de qualité!
Peut-être. Cependant, les chiffres étant affichés sur l'écran,
NON, justement, c''st là la subtilité ! Les chiffres ne sont pas affichés en tant que tels! Il n'y pas d'information NUMÉRIQUE qui transite, car l'ensemble de la matrice est un BITMAP, une image, et c'est un Javascript, à l'aide d'un tag "usemap" dans la définiton de l'image, qui détecte la position géographique du clic.
Le keylogger ne pourra rien faire de ces infos ! Je rappelle que la matrice de chiffres (générée sur le serveur) est différente à CHAQUE appel de l'URL, (-> à chaque rafraichissement de l'écran) et je re-rappelle que cette matrice est un bitmap unique, et non pas un tableau de chiffres (et case vides) qui est transmis. 2 personnes qui se connectent rigoureusement au même moment obtiendront 2 grilles différentes. Et il ne faut pas oublier que la transmission : - du bitmap (du serveur vers le client) - des positions des clics (du client vers le serveur) est entièrement chiffrée (128 bits est un niveau certes potentiellement cassable , mais c'est un obstacle supplémentaire)
La seule faille sérieuse que je vois serait d'avoir laissé s'installer un outil complet de PMAD (tel que VNC). Vu la taille de l'engin, la consommation de ressources et les ports utilisés faciles à bloquer par n'importe quel firewall, le risque est infime.
Et si tu as encore des doutes, analyse donc le code source de cet URL : https://www.secure.bnpparibas.net/banque/portail/particulier/HomeConnexion?type=homeconnex
Et dans le cas de la BNP, vu les règles en vigueur, celui qui arriverait malgré tout à s'emparer du n° de client et du password ne pourrait rien en faire pour son usage perso ...
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Dans le message :43ca1ecb$0$7774$79c14f64@nan-newsreader-07.noos.net,
Alain L'Huissier <alain.lc.lhuissier@noos.fr> a pris la peine d'écrire ce
qui suit :
"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> a écrit dans le
message de news: 43ca1e7e$0$21305$8fcfb975@news.wanadoo.fr...
Dans le message :43ca0f20$0$20143$8fcfb975@news.wanadoo.fr,
JFGB <Jeff@wanadoo.fr> a pris la peine d'écrire ce qui suit :
***Bonjour
Le Crédit agricole, à l'instar de la BNP vient d'instaurer la grille
qui permet d'inscrire le Pwd à la souris au lui du clavier.
Meilleure sécurité qu'ils disent!
Un keylogger installé sur la machine est-il rendu impuissant?
Oui, car ce qui est transmis au serveur de la banque, ce n'est pas
le pwd, mais des positions dans la grille.
Je ne sais pas comment c'est réellement codé, mais c'est du style
"bataille navale" : B5 A3 D1 C2 D2 E1
(et le serveur de la banque possède la table de correspondance
inverse) Donc le key logger qui va intercepter cela ne pourra absolument
pas
savoir à quoi cela correspond, vu que la grille (10 chiffres dans
une matrice 5x5) est modifiée aléatoirement à chaque ouverture de la
page de connexion.
Je trouve ce système particulièrement astucieux et en même temps très
simple, ce qui est pour moi un gage de qualité!
Peut-être. Cependant, les chiffres étant affichés sur l'écran,
NON, justement, c''st là la subtilité !
Les chiffres ne sont pas affichés en tant que tels!
Il n'y pas d'information NUMÉRIQUE qui transite, car l'ensemble de la
matrice est un BITMAP, une image, et c'est un Javascript, à l'aide d'un tag
"usemap" dans la définiton de l'image, qui détecte la position géographique
du clic.
Le keylogger ne pourra rien faire de ces infos !
Je rappelle que la matrice de chiffres (générée sur le serveur) est
différente à CHAQUE appel de l'URL, (-> à chaque rafraichissement de
l'écran) et je re-rappelle que cette matrice est un bitmap unique, et non
pas un tableau de chiffres (et case vides) qui est transmis.
2 personnes qui se connectent rigoureusement au même moment obtiendront 2
grilles différentes.
Et il ne faut pas oublier que la transmission :
- du bitmap (du serveur vers le client)
- des positions des clics (du client vers le serveur)
est entièrement chiffrée (128 bits est un niveau certes potentiellement
cassable , mais c'est un obstacle supplémentaire)
La seule faille sérieuse que je vois serait d'avoir laissé s'installer un
outil complet de PMAD (tel que VNC).
Vu la taille de l'engin, la consommation de ressources et les ports utilisés
faciles à bloquer par n'importe quel firewall, le risque est infime.
Et si tu as encore des doutes, analyse donc le code source de cet URL :
https://www.secure.bnpparibas.net/banque/portail/particulier/HomeConnexion?type=homeconnex
Et dans le cas de la BNP, vu les règles en vigueur, celui qui arriverait
malgré tout à s'emparer du n° de client et du password ne pourrait rien en
faire pour son usage perso ...
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - Jean-Claude.Bellamy@wanadoo.fr
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Dans le message :43ca1ecb$0$7774$, Alain L'Huissier a pris la peine d'écrire ce qui suit :
"Jean-Claude BELLAMY" a écrit dans le message de news: 43ca1e7e$0$21305$
Dans le message :43ca0f20$0$20143$, JFGB a pris la peine d'écrire ce qui suit :
***Bonjour Le Crédit agricole, à l'instar de la BNP vient d'instaurer la grille qui permet d'inscrire le Pwd à la souris au lui du clavier. Meilleure sécurité qu'ils disent! Un keylogger installé sur la machine est-il rendu impuissant?
Oui, car ce qui est transmis au serveur de la banque, ce n'est pas le pwd, mais des positions dans la grille. Je ne sais pas comment c'est réellement codé, mais c'est du style "bataille navale" : B5 A3 D1 C2 D2 E1 (et le serveur de la banque possède la table de correspondance inverse) Donc le key logger qui va intercepter cela ne pourra absolument pas savoir à quoi cela correspond, vu que la grille (10 chiffres dans une matrice 5x5) est modifiée aléatoirement à chaque ouverture de la page de connexion.
Je trouve ce système particulièrement astucieux et en même temps très simple, ce qui est pour moi un gage de qualité!
Peut-être. Cependant, les chiffres étant affichés sur l'écran,
NON, justement, c''st là la subtilité ! Les chiffres ne sont pas affichés en tant que tels! Il n'y pas d'information NUMÉRIQUE qui transite, car l'ensemble de la matrice est un BITMAP, une image, et c'est un Javascript, à l'aide d'un tag "usemap" dans la définiton de l'image, qui détecte la position géographique du clic.
Le keylogger ne pourra rien faire de ces infos ! Je rappelle que la matrice de chiffres (générée sur le serveur) est différente à CHAQUE appel de l'URL, (-> à chaque rafraichissement de l'écran) et je re-rappelle que cette matrice est un bitmap unique, et non pas un tableau de chiffres (et case vides) qui est transmis. 2 personnes qui se connectent rigoureusement au même moment obtiendront 2 grilles différentes. Et il ne faut pas oublier que la transmission : - du bitmap (du serveur vers le client) - des positions des clics (du client vers le serveur) est entièrement chiffrée (128 bits est un niveau certes potentiellement cassable , mais c'est un obstacle supplémentaire)
La seule faille sérieuse que je vois serait d'avoir laissé s'installer un outil complet de PMAD (tel que VNC). Vu la taille de l'engin, la consommation de ressources et les ports utilisés faciles à bloquer par n'importe quel firewall, le risque est infime.
Et si tu as encore des doutes, analyse donc le code source de cet URL : https://www.secure.bnpparibas.net/banque/portail/particulier/HomeConnexion?type=homeconnex
Et dans le cas de la BNP, vu les règles en vigueur, celui qui arriverait malgré tout à s'emparer du n° de client et du password ne pourrait rien en faire pour son usage perso ...
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org ou http://jc.bellamy.free.fr
