SMS et lutte contre le phishing

Manu wrote:

Salut,

Connaissez-vous des iniatives de banques ou autre organisme utilisant le
SMS pour véhiculer un code de session, en complément des habituels login
et mot de passe ?
Ainsi on ajoute au "quelquechose que je suis (login) et que je connais
(le mot de passe)", le "quelquechose que je possède".

Outre le fait que cela n'est pas une solution universelle car tout le
monde ne possède de téléphone, pensez-vous que cela puisse être un moyen
facile et relativement sûr d'éviter le phishing ?
Mais peut-être que le phishing est relativement anecdotique en France et
que les banques préfèrent rembourser les victimes plutôt que de mettre
en place des systèmes permettant d'éviter ce type de fraude.

- Manu
A ma banque (fortis, en belgique) pour avoir un accès à mon compte en ligne,

j'ai un digipass (taille d'une toute petite calculatrice de poche).
on l'allume, on rentre son code pin et on tape le numéro affiché (à 6
chiffres) dans la case "password" du site web.

C'est la seule solution qui est foolproof (fool=commun des mortels) car elle
fait intervenir quelque chose que l'utilisateur a.

même si il parvient à rentrer ces infos dans un site bidon, le site bidon ne
poura pas s'en servir très longtemps ...

On 12 Oct 2005 21:32:04 GMT, Manu <nobody@guzu.net>:

pensez-vous que cela puisse être un moyen
facile et relativement sûr d'éviter le phishing ?

J'imagine que tu penses à une réaction du style "Tiens, cette fois-ci
je n'ai pas à attendre le SMS pour arriver sur mon compte, c'est
bizarre" ?
Dans ce cas, la réponse me paraît assez clairement négative.
Justement, les victimes du phishing ne se posent pas ce genre de
questions, c'est pour ça qu'elles se font avoir.

Salut,

Connaissez-vous des iniatives de banques ou autre organisme utilisant le
SMS pour véhiculer un code de session, en complément des habituels login
et mot de passe ?
Ainsi on ajoute au "quelquechose que je suis (login)
le login ne fait pas partie de l'authentification. Il s'agit d'une

identification, c'est tout.
Le << être >> existe en authentification il s'agit des procédés
caractérisant l'individu : biométrie, ADN, etc.

et que je connais
(le mot de passe)", le "quelquechose que je possède".

Perso non. La voie postale reste la voie habituelle.
Mais p'têt que pour les djeuns ça se fait : politique de comm à la con
(*) quand tu nous tiens.

Outre le fait que cela n'est pas une solution universelle car tout le
monde ne possède de téléphone, pensez-vous que cela puisse être un moyen
facile et relativement sûr d'éviter le phishing ?

Euh, il y a mauvaise compréhension de l'hameçonnage là ou mauvaise
explication du rôle du SMS.
L'hameçonnage intervient a posteriori et NON PAS A PRIORI.
Ce n'est pas parce que l'on a obtenu un code par un moyen hors-bande
qu'on ne va pas le refiler à un inconnu qui le demande dans la rue.


Toutefois l'idée a du bon dans le sens que tu pensais évoquer ; à
savoir, utiliser une caractéristique individuelle ou un élément possédé
pour l'authentification complémentaire auprès du site Web bancaire.

Si, effectivement, ce moyen était utilisé ce serait la fin du phishing.
Ce moyen existe et 99,9% des titulaires d'un compte bancaire le possède
ainsi que certainement 100% des banconautes. Il s'agit bien entendu de
la carte bancaire.
La manip n'est pas sorcier : communication directe entre la puce et le
site bancaire pour assurer l'authentification complémentaire (en sus
d'un identifiant et d'un authentifiant basé sur la connaissance tel le
PIN ou autre chose).
La technologie est là depuis lontemps : lecteur de carte à microcircuit
à 30 EUR (15 EUR en masse) et API présente (PCSC) dans tous les systèmes
d'exploitation.

Là oui, ce serait un progrès indéniable. Mais voilà, nos chers banquiers
ont certainement été conseillés sur le sujet mais n'ont rien fait ...
comme d'habitude assis sur leurs convictions depuis des siècles.

Plutôt que de ponctionner quelques euros par mois pour l'accès au
service ils auraient mieux fait de pénaliser les frais d'ouverture
(assortir ceux-ci à l'acquisition d'un lecteur pour 20 euros par
exemple) et tous le monde s'en serait mieux porté. Mais voilà ces gens
ne pensent pas même lorsqu'on leur écrit !
Pour ma part je suis équipé, je m'en fiche. Sauf qu'il n'y aucun service
en face sursceptible de m'accueillir. Et surtout ne pas en parler au
guichetier : il affiche un air pétri d'un je ne sais quoi naviguant
entre l'incompréhension et la condescendance.

Du coup, rien à espérer du côté des banques. Avant longtemps en tous cas.


La relève viendra plus certainement des opérateurs de téléphonie mobile
qui utilisent déjà le téléphone comme moyen de paiement (**) le montant
des transactions étant reporté sur la facture.
Le téléphone étant de plus en plus PDA voire super-PDA on peut donc
facilement imaginer que l'accès à la gestion du compte ne pourra se
faire que via ce dernier que l'on a bien plus souvent sur soi qu'un
quelconque autre type d'ordinateur. Et là, le phishing ... s'évanouira
de lui-même. Mais il faudra encore bien 20 ans.


Dans l'intervalle, je crains fort qu'il ne se produise la même chose
que pour les messageries roses il y a 12 ans : le nivellement par le bas ?
A savoir des groupes de pressions mamouthesques et surtout
deresponsabilisés feront en sorte que l'ont boucle l'Internet plutôt que
de pousser à mettre en place des solutions intelligentes et pérennes. :-(

Nous avons donc d'un côté des clients qui se font avoir par manque de
sensisbilisation, d'éducation (que les banques se gardent bien de
conseiller sur le sujet) et des clients qui souhaitent disposer de
solutions qui les protègent (à condition que cela ne leur coute pas trop
cher) et de l'autre côté des handicapés du bulbe qui préfèrent agir
politiquement (ce qu'ils savent faire) plutôt que d'écouter leur client
et utiliser la technologie de manière profitable.

C'est exactement ce qui se passe avec les majors de la musique.

db

(*) Pourquoi plus les jeunes que les adultes ? On ne sait pas. Encore un
prétendu marketer qui a estimé que les plus de 20 ans ne croyaient que
dans la Poste.

(**) Je l'utilisais en 2003 pour facturer les accès WiFi. Pas mal de
pays mettent cela en place le pionnier étant le Japon en incoroporant
une puce RFID au sein de certain téléphones commercialisés par DoCoMo.
Du reste la SIm est bien plus sûre que la carte bancaire. Au moins les
opérateurs de téléphonie ont su utliser ses points forts.

--

Courriel : usenet blas net

Manu wrote:

Salut,

Connaissez-vous des iniatives de banques ou autre organisme utilisant le
SMS pour véhiculer un code de session, en complément des habituels login
et mot de passe ?

J'ai bien connaissance du cas d'un bon collègue qui reçoit très
régulièrement l'état du compte bancaire d'un parfait inconnu par SMS sur
son téléphone mobile, ainsi que des alertes sur les grosses opérations
de cette personne.

Mais peut-être que le phishing est relativement anecdotique en France et
que les banques préfèrent rembourser les victimes plutôt que de mettre
en place des systèmes permettant d'éviter ce type de fraude.

Je ne crois pas que les banques soient nécessairement responsables du
fait que leurs clients se fassent escroquer par des tiers.

On 12 Oct 2005 23:01:09 GMT, Aris <aris@0xbadc0de.be>:

même si il parvient à rentrer ces infos dans un site bidon, le site bidon ne
poura pas s'en servir très longtemps ...

Un pirate ne peut-il pas automatiser l'utilisation des informations,
et donc - par exemple - effectuer un virement quelques secondes après
avoir reçu le mot de passe que tu viens de taper ?

Aris wrote:

C'est la seule solution qui est foolproof (fool=commun des mortels) car elle
fait intervenir quelque chose que l'utilisateur a.

même si il parvient à rentrer ces infos dans un site bidon, le site bidon ne
poura pas s'en servir très longtemps ...

C'est un peu à ça que je voulais arriver, mais en utilisant un appareil
plus commun et moins cher que ces appareils. Mais avec un résultat
cryptographiquement moins fort.

Aris a exprimé avec précision :

C'est la seule solution qui est foolproof (fool=commun des mortels) car elle
fait intervenir quelque chose que l'utilisateur a.

Non elle est moyenne car le code est rejouable pendant un certain
temps. La bonne solution est celle ou le serveur envoie un "challenge
code" utlisable une seule fois que l'on tape en plus de son PIN sur la
carte pour générer le mot de passe a usage unique

Fabien LE LEZ wrote:

J'imagine que tu penses à une réaction du style "Tiens, cette fois-ci
je n'ai pas à attendre le SMS pour arriver sur mon compte, c'est
bizarre" ?

Non tout simplement, un système d'authentification ressemblant à un OTP
et avec un secret partagé envoyé par SMS.

Finaleemnt, je me suis fendu d'une petite analyse rapide de ce qui
existe pour protéger de manière fiable les suagers des services en ligne.
Voici ce que j'ai récupéré en quelques minutes.

1. Article de novembre 2004, à l'occasion du salon cartes 2004, intitulé
<< Le difficile réveil des banques françaises >> :

http://www.01net.com/editorial/256940/lutte-antifraude-le-difficile-reveil-des-banques-francaises/
Cet article parle de la solution ActivCard mise en place par le
Crédit Agricole (lequel ?) pour ses clients professionnels.

Extraits : << Il était temps pour nous, en effet, de rompre avec
une exception culturelle bien fâcheuse : la Swedbank en Suède,
la Nordea en Norvège, la Finanza & Futuro Banca en Italie, la
Zagrebacka en Croatie, la First National Bank en Afrique du Sud,
la Lukas Bank en Pologne, le Crédit Suisse, la Rabobank en
Australie. Toutes ces banques à travers le monde ont deux
dénominateurs communs : elles ont un train d'avance dans la
sécurisation de leurs offres de gestion de comptes en ligne. Et
aucune d'elles n'est française.
(...)
Ce n'est pas en attendant la multiplication des actes
délictueux, et en criant au loup devant le « phishing » , que
les banques rassureront sur leur capacité à contenir la fraude
en ligne. Mais en agissant avec les moyens modernes déjà
maîtrisés par les équipes techniques en interne. La Société
Générale a fourni plus de cinq mille tokens à ses employés, et
la BNP Paribas plus de dix mille. Mais à leurs clients, aucun. A
quand un plus juste équilibre ? >>

Point auquel j'adhère complètement.

2. Citation de Serge Maître de l'Afub :

« Pour la banque, le " phishing " est le fait d'une faute
extérieure, c'est le client qui commet une négligence. Mais
lorsqu'un organisme bancaire met en place des moyens peu
sécurisés pour gérer son argent en ligne, il fait courir un
risque à ses clients. Il est de sa responsabilité de sécuriser.
Ne pas proposer une authentification forte, voire la signature
électronique, pour les opérations bancaires est archaïque. »

Même opinion partagée !

3. A l'occasion du même salon :
Activcard Deploie la Toute Premiere Solution D'authentification
Forte a Deux Facteurs Pour une Application de Banque de Detail
en Afrique du Sud

4. Autre mise en place :
BANKA KOPER (SLOVENIE) LANCE LE PREMIER PROGRAMME DE
BANQUE EN LIGNE SECURISEE PAR CARTE A PUCE EMV
XIRING fournit plus de 10.000 lecteurs de poche permettant
l'authentification du porteur par sa carte bancaire au standard
EMV, Suresnes (France), le 19 Mai 2005 –

Non seulement les solutions existent depuis longtemps (ce que j'écrivais
hier soir) mais en plus elles ont été mises en place par des banques et
ce, pour leur clientèle particulière !
Mais en France, le pays de la carte à puce ... bof

Bravo !

db

--

Courriel : usenet blas net

[...]

Le phishing vient urtout du fait que la banque ne s'authentifie pas
auprès du client. C'est là le vrai problème.

Elle le fait très bien avec les autres banques ainsi qu'avec ses clients
d'entreprise (grosse), en ETEBAC5, mais effectivement pas avec ses
clients TPME et les particuliers.

Pourquoi donc ?
Alors qu'une ICP (PKI) est relativement simple à mettre en place de nos
jours ? Qui plus est une ICP à base de CB ce que tout client utilisant
un service en ligne possède aujourd'hui.

Tout simplement parce que ces clients là ne peuvent pas se payer un
produit de transfert de fichiers implantant ETEBAC5 (plusieurs milliers
d'euros) seule méthode connue de la part des banques.
Pourtant des solutions gratuites (à l'achat) existent et depuis fort
longtemps : HTTPS, SSH, SFTP, etc.
Ce n'est que maintenant, en 2005, qu'une certaine banque commence à
évaluer la chose !
Sans doute ce genre de chose a-t-il été déjà évalué par d'autres
banques, plus petites, mais cela n'a jamais fait surface que je sache.

Alors, faudra-t-il attendre que le montant détourné par phishing (contre
lequel la banque est blindée contractuellement je pense : si le client
dévoile son identifiant et son mdp c'est son pb) dépasse de loin les
investissements nécessaires pour mettre en place cette ICP et ce qui
s'en suit (support téléphonique, gestion des révocations en ligne :
bref, comme pour la carte bancaire) ?
Ou faut-il d'ores et déjà défiler dans la rue opur réclamer des mesures
? :-)

db

--

Courriel : usenet blas net