Connaissez-vous des iniatives de banques ou autre organisme utilisant le
SMS pour véhiculer un code de session, en complément des habituels login
et mot de passe ?
Ainsi on ajoute au "quelquechose que je suis (login) et que je connais
(le mot de passe)", le "quelquechose que je possède".
Outre le fait que cela n'est pas une solution universelle car tout le
monde ne possède de téléphone, pensez-vous que cela puisse être un moyen
facile et relativement sûr d'éviter le phishing ?
Mais peut-être que le phishing est relativement anecdotique en France et
que les banques préfèrent rembourser les victimes plutôt que de mettre
en place des systèmes permettant d'éviter ce type de fraude.
même si il parvient à rentrer ces infos dans un site bidon, le site bidon ne poura pas s'en servir très longtemps ...
Un pirate ne peut-il pas automatiser l'utilisation des informations, et donc - par exemple - effectuer un virement quelques secondes après avoir reçu le mot de passe que tu viens de taper ? si tu veux effectuer un virement sur le dos de quelqu'un, t'as qu'à écrire
un virement papier, faire une signature bidon et le mettre dans la boite aux lettres, ca marche aussi :)
les opérations plus dangereuses comme les envois de virements à l'etranger nécéssitent une signature, qui se fait par une autre opération du digipass.
Fabien LE LEZ wrote:
On 12 Oct 2005 23:01:09 GMT, Aris <aris@0xbadc0de.be>:
même si il parvient à rentrer ces infos dans un site bidon, le site bidon
ne poura pas s'en servir très longtemps ...
Un pirate ne peut-il pas automatiser l'utilisation des informations,
et donc - par exemple - effectuer un virement quelques secondes après
avoir reçu le mot de passe que tu viens de taper ?
si tu veux effectuer un virement sur le dos de quelqu'un, t'as qu'à écrire
un virement papier, faire une signature bidon et le mettre dans la boite
aux lettres, ca marche aussi :)
les opérations plus dangereuses comme les envois de virements à l'etranger
nécéssitent une signature, qui se fait par une autre opération du digipass.
même si il parvient à rentrer ces infos dans un site bidon, le site bidon ne poura pas s'en servir très longtemps ...
Un pirate ne peut-il pas automatiser l'utilisation des informations, et donc - par exemple - effectuer un virement quelques secondes après avoir reçu le mot de passe que tu viens de taper ? si tu veux effectuer un virement sur le dos de quelqu'un, t'as qu'à écrire
un virement papier, faire une signature bidon et le mettre dans la boite aux lettres, ca marche aussi :)
les opérations plus dangereuses comme les envois de virements à l'etranger nécéssitent une signature, qui se fait par une autre opération du digipass.
Dominique Blas
[...]
A ma banque (fortis, en belgique) pour avoir un accès à mon compte en ligne,
j'ai un digipass (taille d'une toute petite calculatrice de poche). on l'allume, on rentre son code pin et on tape le numéro affiché (à 6 chiffres) dans la case "password" du site web.
Hum, une banque soucieuse de la sécurité de ses clients. Intéressant ! Fortis tu dis ? Au prix de la calculette pourquoi Fortis n'a-t-elle pas livrée un lecteur de CB ?
Le petit inconvénient avec la calculette c'est la fenêtre de temps durant laquelle le phisher peut utiliser ton OTP (qq minutes). Le rejeu est effectivement impossible (objectif de l'OTP) mais à condition qu'il y ait eu jeu. Or dans notre situation ce n'est pas le cas vu qu'il y a eu vol. Toutefois il y a peu de chance que le phisher utilise ton mot de passe dans la fenêtre de temps durant laquelle il est valable. Je douet en effet qu'il soit devant son poste à attendre le moindre retour lui parvenant.
Mais malgré tout OTP contre phishing : pas 100% secure.
En outre ça reste compliqué pour un particulier : toujours avoir sa calculettre synchronisée sur soi ... Pour ma part, j'ai développé, dans un autre cadre, ce genre de calculette sur un mobile (en J2ME). Au moins, le mobile on l'a toujours sur soi et il est à l'heure. Accesoirement la porte est ouverte pour d'autres types d'authentification (SMS vers le centre d'autorisation, etc). Une première étape vers le paiement en ligne ...
Le 100% secure, vis-à-vis du phishing, et en considérant les moyens actuels, il y a la CB
Enfin, ce qui serait intéressant d'analyser les principes d'authentification des banques en ligne et de le publier (dans Capital par exemple).
db
--
Courriel : usenet blas net
[...]
A ma banque (fortis, en belgique) pour avoir un accès à mon compte en ligne,
j'ai un digipass (taille d'une toute petite calculatrice de poche).
on l'allume, on rentre son code pin et on tape le numéro affiché (à 6
chiffres) dans la case "password" du site web.
Hum, une banque soucieuse de la sécurité de ses clients. Intéressant !
Fortis tu dis ?
Au prix de la calculette pourquoi Fortis n'a-t-elle pas livrée un
lecteur de CB ?
Le petit inconvénient avec la calculette c'est la fenêtre de temps
durant laquelle le phisher peut utiliser ton OTP (qq minutes).
Le rejeu est effectivement impossible (objectif de l'OTP) mais à
condition qu'il y ait eu jeu.
Or dans notre situation ce n'est pas le cas vu qu'il y a eu vol.
Toutefois il y a peu de chance que le phisher utilise ton mot de passe
dans la fenêtre de temps durant laquelle il est valable. Je douet en
effet qu'il soit devant son poste à attendre le moindre retour lui
parvenant.
Mais malgré tout OTP contre phishing : pas 100% secure.
En outre ça reste compliqué pour un particulier : toujours avoir sa
calculettre synchronisée sur soi ...
Pour ma part, j'ai développé, dans un autre cadre, ce genre de
calculette sur un mobile (en J2ME). Au moins, le mobile on l'a toujours
sur soi et il est à l'heure. Accesoirement la porte est ouverte pour
d'autres types d'authentification (SMS vers le centre d'autorisation, etc).
Une première étape vers le paiement en ligne ...
Le 100% secure, vis-à-vis du phishing, et en considérant les moyens
actuels, il y a la CB
Enfin, ce qui serait intéressant d'analyser les principes
d'authentification des banques en ligne et de le publier (dans Capital
par exemple).
A ma banque (fortis, en belgique) pour avoir un accès à mon compte en ligne,
j'ai un digipass (taille d'une toute petite calculatrice de poche). on l'allume, on rentre son code pin et on tape le numéro affiché (à 6 chiffres) dans la case "password" du site web.
Hum, une banque soucieuse de la sécurité de ses clients. Intéressant ! Fortis tu dis ? Au prix de la calculette pourquoi Fortis n'a-t-elle pas livrée un lecteur de CB ?
Le petit inconvénient avec la calculette c'est la fenêtre de temps durant laquelle le phisher peut utiliser ton OTP (qq minutes). Le rejeu est effectivement impossible (objectif de l'OTP) mais à condition qu'il y ait eu jeu. Or dans notre situation ce n'est pas le cas vu qu'il y a eu vol. Toutefois il y a peu de chance que le phisher utilise ton mot de passe dans la fenêtre de temps durant laquelle il est valable. Je douet en effet qu'il soit devant son poste à attendre le moindre retour lui parvenant.
Mais malgré tout OTP contre phishing : pas 100% secure.
En outre ça reste compliqué pour un particulier : toujours avoir sa calculettre synchronisée sur soi ... Pour ma part, j'ai développé, dans un autre cadre, ce genre de calculette sur un mobile (en J2ME). Au moins, le mobile on l'a toujours sur soi et il est à l'heure. Accesoirement la porte est ouverte pour d'autres types d'authentification (SMS vers le centre d'autorisation, etc). Une première étape vers le paiement en ligne ...
Le 100% secure, vis-à-vis du phishing, et en considérant les moyens actuels, il y a la CB
Enfin, ce qui serait intéressant d'analyser les principes d'authentification des banques en ligne et de le publier (dans Capital par exemple).
db
--
Courriel : usenet blas net
Erwan David
Dominique Blas écrivait :
Au prix de la calculette pourquoi Fortis n'a-t-elle pas livrée un lecteur de CB ?
Problèmes de drivers ?
-- Si vous embauchez, voici mon CV http://www.rail.eu.org/cv/cv.pdf
Dominique Blas <db@internet.invalid> écrivait :
Au prix de la calculette pourquoi Fortis n'a-t-elle pas livrée un
lecteur de CB ?
Problèmes de drivers ?
--
Si vous embauchez, voici mon CV
http://www.rail.eu.org/cv/cv.pdf
Au prix de la calculette pourquoi Fortis n'a-t-elle pas livrée un lecteur de CB ?
Problèmes de drivers ?
-- Si vous embauchez, voici mon CV http://www.rail.eu.org/cv/cv.pdf
Manu
Dominique Blas wrote:
le login ne fait pas partie de l'authentification. Il s'agit d'une identification, c'est tout. Le << être >> existe en authentification il s'agit des procédés caractérisant l'individu : biométrie, ADN, etc.
Ce que je ne saisi pas dans ce << être >> c'est qu'il couvre à la fois le << possède >> et << être >> tel que je l'entendais. Mais je dois mal entendre :)
Perso non. La voie postale reste la voie habituelle. Mais p'têt que pour les djeuns ça se fait : politique de comm à la con (*) quand tu nous tiens.
Dans mon esprit, je possède le téléphone portable. Le SMS est une sorte de OTP, un secret partagé via un autre canal.
Si on intercepte mon mot de passe et mon login, il doit manquer à l'attaquant le troisième paramètre (envoyé par SMS). Mais plus j'y pense plus je me dis que ça cloche quelquepart :)
Euh, il y a mauvaise compréhension de l'hameçonnage là ou mauvaise explication du rôle du SMS. L'hameçonnage intervient a posteriori et NON PAS A PRIORI.
D'où le OTP, que j'appelais identifiant de session. Ça me fait penser que même dans un système comme celui présenté par Aris avec un token, même si le mot de passe ne dure que le temps de la session rien n'empêche l'attaquant de récupérer ce mot de passe et d'ouvrir la session à la place de l'utilisateur, puis de renvoyer une page d'erreur. Le gros problème pour l'attaquant est qu'il lui faut maintenir la session ouverte le temps de l'exploitation, puisque sinon il perd ce mot de passe. Mais ça ne semble pas insurmontable.
Le problème glisse doucement vers SSL et la confiance qu'on peut placer dans le navigateur, ou bien vers les cartes à puce.
En cherchant un peu mieux, j'ai trouvé ça, mais je n'ai pas pris le temps le lire pour le moment : - chez le grand Bruce: http://www.schneier.com/blog/archives/2004/11/twofactor_authe.html - http://www.paymentsnews.com/2004/07/nab_fights_phis.html - et du coup http://en.wikipedia.org/wiki/Two_Factor_Authentication
La technologie est là depuis lontemps : lecteur de carte à microcircuit à 30 EUR (15 EUR en masse) et API présente (PCSC) dans tous les systèmes d'exploitation.
C'est plus couteux qu'un système basé sur le portable et surtout moins sexy :) Ceci il parait que les prestations bancaires ont augmentées dans des proportions largement supérieures à l'augmentation moyenne du coup de la vie. Prestations dont peu de gens font totalement usage. En tout cas c'est mon cas. Or pour ce prix, je pense qu'on pourrait avoir droit à ce genre de "service". Mais là on devient hors charte.
- Manu
Dominique Blas wrote:
le login ne fait pas partie de l'authentification. Il s'agit d'une
identification, c'est tout.
Le << être >> existe en authentification il s'agit des procédés
caractérisant l'individu : biométrie, ADN, etc.
Ce que je ne saisi pas dans ce << être >> c'est qu'il couvre à la fois
le << possède >> et << être >> tel que je l'entendais. Mais je dois mal
entendre :)
Perso non. La voie postale reste la voie habituelle.
Mais p'têt que pour les djeuns ça se fait : politique de comm à la con
(*) quand tu nous tiens.
Dans mon esprit, je possède le téléphone portable.
Le SMS est une sorte de OTP, un secret partagé via un autre canal.
Si on intercepte mon mot de passe et mon login, il doit manquer à
l'attaquant le troisième paramètre (envoyé par SMS).
Mais plus j'y pense plus je me dis que ça cloche quelquepart :)
Euh, il y a mauvaise compréhension de l'hameçonnage là ou mauvaise
explication du rôle du SMS.
L'hameçonnage intervient a posteriori et NON PAS A PRIORI.
D'où le OTP, que j'appelais identifiant de session.
Ça me fait penser que même dans un système comme celui présenté par Aris
avec un token, même si le mot de passe ne dure que le temps de la
session rien n'empêche l'attaquant de récupérer ce mot de passe et
d'ouvrir la session à la place de l'utilisateur, puis de renvoyer une
page d'erreur. Le gros problème pour l'attaquant est qu'il lui faut
maintenir la session ouverte le temps de l'exploitation, puisque sinon
il perd ce mot de passe. Mais ça ne semble pas insurmontable.
Le problème glisse doucement vers SSL et la confiance qu'on peut placer
dans le navigateur, ou bien vers les cartes à puce.
En cherchant un peu mieux, j'ai trouvé ça, mais je n'ai pas pris le
temps le lire pour le moment :
- chez le grand Bruce:
http://www.schneier.com/blog/archives/2004/11/twofactor_authe.html
- http://www.paymentsnews.com/2004/07/nab_fights_phis.html
- et du coup http://en.wikipedia.org/wiki/Two_Factor_Authentication
La technologie est là depuis lontemps : lecteur de carte à microcircuit
à 30 EUR (15 EUR en masse) et API présente (PCSC) dans tous les systèmes
d'exploitation.
C'est plus couteux qu'un système basé sur le portable et surtout moins
sexy :)
Ceci il parait que les prestations bancaires ont augmentées dans des
proportions largement supérieures à l'augmentation moyenne du coup de la
vie. Prestations dont peu de gens font totalement usage. En tout cas
c'est mon cas. Or pour ce prix, je pense qu'on pourrait avoir droit à ce
genre de "service".
Mais là on devient hors charte.
le login ne fait pas partie de l'authentification. Il s'agit d'une identification, c'est tout. Le << être >> existe en authentification il s'agit des procédés caractérisant l'individu : biométrie, ADN, etc.
Ce que je ne saisi pas dans ce << être >> c'est qu'il couvre à la fois le << possède >> et << être >> tel que je l'entendais. Mais je dois mal entendre :)
Perso non. La voie postale reste la voie habituelle. Mais p'têt que pour les djeuns ça se fait : politique de comm à la con (*) quand tu nous tiens.
Dans mon esprit, je possède le téléphone portable. Le SMS est une sorte de OTP, un secret partagé via un autre canal.
Si on intercepte mon mot de passe et mon login, il doit manquer à l'attaquant le troisième paramètre (envoyé par SMS). Mais plus j'y pense plus je me dis que ça cloche quelquepart :)
Euh, il y a mauvaise compréhension de l'hameçonnage là ou mauvaise explication du rôle du SMS. L'hameçonnage intervient a posteriori et NON PAS A PRIORI.
D'où le OTP, que j'appelais identifiant de session. Ça me fait penser que même dans un système comme celui présenté par Aris avec un token, même si le mot de passe ne dure que le temps de la session rien n'empêche l'attaquant de récupérer ce mot de passe et d'ouvrir la session à la place de l'utilisateur, puis de renvoyer une page d'erreur. Le gros problème pour l'attaquant est qu'il lui faut maintenir la session ouverte le temps de l'exploitation, puisque sinon il perd ce mot de passe. Mais ça ne semble pas insurmontable.
Le problème glisse doucement vers SSL et la confiance qu'on peut placer dans le navigateur, ou bien vers les cartes à puce.
En cherchant un peu mieux, j'ai trouvé ça, mais je n'ai pas pris le temps le lire pour le moment : - chez le grand Bruce: http://www.schneier.com/blog/archives/2004/11/twofactor_authe.html - http://www.paymentsnews.com/2004/07/nab_fights_phis.html - et du coup http://en.wikipedia.org/wiki/Two_Factor_Authentication
La technologie est là depuis lontemps : lecteur de carte à microcircuit à 30 EUR (15 EUR en masse) et API présente (PCSC) dans tous les systèmes d'exploitation.
C'est plus couteux qu'un système basé sur le portable et surtout moins sexy :) Ceci il parait que les prestations bancaires ont augmentées dans des proportions largement supérieures à l'augmentation moyenne du coup de la vie. Prestations dont peu de gens font totalement usage. En tout cas c'est mon cas. Or pour ce prix, je pense qu'on pourrait avoir droit à ce genre de "service". Mais là on devient hors charte.
- Manu
Nicob
On Thu, 13 Oct 2005 09:44:40 +0000, Fabien LE LEZ wrote:
Un pirate ne peut-il pas automatiser l'utilisation des informations, et donc - par exemple - effectuer un virement quelques secondes après avoir reçu le mot de passe que tu viens de taper ?
Evidemment que si. Et ça marche "dans la vraie vie", il y a d'ailleurs une banque (allemande ?) dont les clients se sont fait avoir comme ça il n'y pas si longtemps. Le principe est simple, un MiTM basique entre le client et la banque ...
Nicob
On Thu, 13 Oct 2005 09:44:40 +0000, Fabien LE LEZ wrote:
Un pirate ne peut-il pas automatiser l'utilisation des informations,
et donc - par exemple - effectuer un virement quelques secondes après
avoir reçu le mot de passe que tu viens de taper ?
Evidemment que si. Et ça marche "dans la vraie vie", il y a d'ailleurs
une banque (allemande ?) dont les clients se sont fait avoir comme ça il
n'y pas si longtemps. Le principe est simple, un MiTM basique entre le
client et la banque ...
On Thu, 13 Oct 2005 09:44:40 +0000, Fabien LE LEZ wrote:
Un pirate ne peut-il pas automatiser l'utilisation des informations, et donc - par exemple - effectuer un virement quelques secondes après avoir reçu le mot de passe que tu viens de taper ?
Evidemment que si. Et ça marche "dans la vraie vie", il y a d'ailleurs une banque (allemande ?) dont les clients se sont fait avoir comme ça il n'y pas si longtemps. Le principe est simple, un MiTM basique entre le client et la banque ...
Nicob
MaXX
Dominique Blas wrote:
[...] A ma banque (fortis, en belgique) pour avoir un accès à mon compte en ligne,
j'ai un digipass (taille d'une toute petite calculatrice de poche). on l'allume, on rentre son code pin et on tape le numéro affiché (à 6 chiffres) dans la case "password" du site web. Hum, une banque soucieuse de la sécurité de ses clients. Intéressant !
Fortis tu dis ? Au prix de la calculette pourquoi Fortis n'a-t-elle pas livrée un lecteur de CB ? j'ai pas l'impression que ça coute 30euros... Elle est fabriquée par Vasco
et le modele est digipass 550 (http://www.vasco.com/products/product.html?productR)
Le petit inconvénient avec la calculette c'est la fenêtre de temps durant laquelle le phisher peut utiliser ton OTP (qq minutes). Le rejeu est effectivement impossible (objectif de l'OTP) mais à condition qu'il y ait eu jeu. Le code est à usage unique. j'ai fait l'essai, si je tape le code dans un
browser et une seconde plus tard (le temps d'un ALT+TAB) dans un autre, le dernier me dit, que le code ne peut être utilisé 2x et qu'il faut toujours recalculer un nouveau. (ON, I, code PIN, =).
[...]
Le 100% secure, vis-à-vis du phishing, et en considérant les moyens actuels, il y a la CB Un spyware "Card Reader Ready" n'est pas envisageable? Combien compte-t-on
de cas de caisse enregistreuses trafiquées pour recopier les cartes... Enfin c'était du temps des bandes magnétiques, je le concède, mais ça arrivera surement un jour pour les puces/cartes à µp.
Enfin, ce qui serait intéressant d'analyser les principes d'authentification des banques en ligne et de le publier (dans Capital par exemple). Je serais bien heureux de voir ça...
db
-- MaXX
Dominique Blas wrote:
[...]
A ma banque (fortis, en belgique) pour avoir un accès à mon compte en
ligne,
j'ai un digipass (taille d'une toute petite calculatrice de poche).
on l'allume, on rentre son code pin et on tape le numéro affiché (à 6
chiffres) dans la case "password" du site web.
Hum, une banque soucieuse de la sécurité de ses clients. Intéressant !
Fortis tu dis ?
Au prix de la calculette pourquoi Fortis n'a-t-elle pas livrée un
lecteur de CB ?
j'ai pas l'impression que ça coute 30euros... Elle est fabriquée par Vasco
et le modele est digipass 550
(http://www.vasco.com/products/product.html?productR)
Le petit inconvénient avec la calculette c'est la fenêtre de temps
durant laquelle le phisher peut utiliser ton OTP (qq minutes).
Le rejeu est effectivement impossible (objectif de l'OTP) mais à
condition qu'il y ait eu jeu.
Le code est à usage unique. j'ai fait l'essai, si je tape le code dans un
browser et une seconde plus tard (le temps d'un ALT+TAB) dans un autre, le
dernier me dit, que le code ne peut être utilisé 2x et qu'il faut toujours
recalculer un nouveau. (ON, I, code PIN, =).
[...]
Le 100% secure, vis-à-vis du phishing, et en considérant les moyens
actuels, il y a la CB
Un spyware "Card Reader Ready" n'est pas envisageable? Combien compte-t-on
de cas de caisse enregistreuses trafiquées pour recopier les cartes...
Enfin c'était du temps des bandes magnétiques, je le concède, mais ça
arrivera surement un jour pour les puces/cartes à µp.
Enfin, ce qui serait intéressant d'analyser les principes
d'authentification des banques en ligne et de le publier (dans Capital
par exemple).
Je serais bien heureux de voir ça...
[...] A ma banque (fortis, en belgique) pour avoir un accès à mon compte en ligne,
j'ai un digipass (taille d'une toute petite calculatrice de poche). on l'allume, on rentre son code pin et on tape le numéro affiché (à 6 chiffres) dans la case "password" du site web. Hum, une banque soucieuse de la sécurité de ses clients. Intéressant !
Fortis tu dis ? Au prix de la calculette pourquoi Fortis n'a-t-elle pas livrée un lecteur de CB ? j'ai pas l'impression que ça coute 30euros... Elle est fabriquée par Vasco
et le modele est digipass 550 (http://www.vasco.com/products/product.html?productR)
Le petit inconvénient avec la calculette c'est la fenêtre de temps durant laquelle le phisher peut utiliser ton OTP (qq minutes). Le rejeu est effectivement impossible (objectif de l'OTP) mais à condition qu'il y ait eu jeu. Le code est à usage unique. j'ai fait l'essai, si je tape le code dans un
browser et une seconde plus tard (le temps d'un ALT+TAB) dans un autre, le dernier me dit, que le code ne peut être utilisé 2x et qu'il faut toujours recalculer un nouveau. (ON, I, code PIN, =).
[...]
Le 100% secure, vis-à-vis du phishing, et en considérant les moyens actuels, il y a la CB Un spyware "Card Reader Ready" n'est pas envisageable? Combien compte-t-on
de cas de caisse enregistreuses trafiquées pour recopier les cartes... Enfin c'était du temps des bandes magnétiques, je le concède, mais ça arrivera surement un jour pour les puces/cartes à µp.
Enfin, ce qui serait intéressant d'analyser les principes d'authentification des banques en ligne et de le publier (dans Capital par exemple). Je serais bien heureux de voir ça...
db
-- MaXX
Mehdi BENKIR
Thierry Herbelot wrote:
Au contraire : ce n'est que lorsque les banques (entre autres) seront financièrement responsables des conséquences de *leurs* choix sur la vie de leurs clients que la situation a une petite chance de s'améliorer.
Les banques ne peuvent pas vraiment empêcher leurs utilisateurs d'employer des PCs bourrés de logiciels d'utilité douteuse, non ? En choisissant de faire transiter ses secrets par un micro-ordinateur donné, chacun prend ses risques.
Thierry Herbelot wrote:
Au contraire : ce n'est que lorsque les banques (entre autres) seront
financièrement responsables des conséquences de *leurs* choix sur la vie de
leurs clients que la situation a une petite chance de s'améliorer.
Les banques ne peuvent pas vraiment empêcher leurs utilisateurs
d'employer des PCs bourrés de logiciels d'utilité douteuse, non ? En
choisissant de faire transiter ses secrets par un micro-ordinateur
donné, chacun prend ses risques.
Au contraire : ce n'est que lorsque les banques (entre autres) seront financièrement responsables des conséquences de *leurs* choix sur la vie de leurs clients que la situation a une petite chance de s'améliorer.
Les banques ne peuvent pas vraiment empêcher leurs utilisateurs d'employer des PCs bourrés de logiciels d'utilité douteuse, non ? En choisissant de faire transiter ses secrets par un micro-ordinateur donné, chacun prend ses risques.
Fabien LE LEZ
On 13 Oct 2005 12:16:11 GMT, Dominique Blas :
Mais en France, le
pays de la carte à puce ...
Et du minitel. En fait, personne n'a dit aux banquiers que le minitel est mort et qu'il va falloir commencer à chercher des solutions pour le remplacer.
La Caisse d'Épargne a une solution originale : sur le site web, je ne peux rien faire d'autre qu'imprimer un RIB et transférer de l'argent entre mon compte-chèques et mon livret A. Certes, l'intérêt est limité, mais en l'état actuel des techniques employées par les banques françaises, c'est encore la solution la plus sage AMHA. Et pour envoyer de l'argent à quelqu'un, il me reste Paypal. C'est pas forcément beaucoup plus sécurisé, mais au moins, le transfert se fait via ma carte bleue, sur laquelle j'ai une assurance en cas de paiements délictueux.
On 13 Oct 2005 12:16:11 GMT, Dominique Blas <db@internet.invalid>:
Mais en France, le
pays de la carte à puce ...
Et du minitel. En fait, personne n'a dit aux banquiers que le
minitel est mort et qu'il va falloir commencer à chercher des
solutions pour le remplacer.
La Caisse d'Épargne a une solution originale : sur le site web,
je ne peux rien faire d'autre qu'imprimer un RIB et transférer de
l'argent entre mon compte-chèques et mon livret A.
Certes, l'intérêt est limité, mais en l'état actuel des
techniques employées par les banques françaises, c'est encore la
solution la plus sage AMHA.
Et pour envoyer de l'argent à quelqu'un, il me reste Paypal.
C'est pas forcément beaucoup plus sécurisé, mais au moins, le
transfert se fait via ma carte bleue, sur laquelle j'ai une assurance
en cas de paiements délictueux.
Et du minitel. En fait, personne n'a dit aux banquiers que le minitel est mort et qu'il va falloir commencer à chercher des solutions pour le remplacer.
La Caisse d'Épargne a une solution originale : sur le site web, je ne peux rien faire d'autre qu'imprimer un RIB et transférer de l'argent entre mon compte-chèques et mon livret A. Certes, l'intérêt est limité, mais en l'état actuel des techniques employées par les banques françaises, c'est encore la solution la plus sage AMHA. Et pour envoyer de l'argent à quelqu'un, il me reste Paypal. C'est pas forcément beaucoup plus sécurisé, mais au moins, le transfert se fait via ma carte bleue, sur laquelle j'ai une assurance en cas de paiements délictueux.
Aris
Erwan David wrote:
Dominique Blas écrivait :
Au prix de la calculette pourquoi Fortis n'a-t-elle pas livrée un lecteur de CB ?
Problèmes de drivers ?
Cette solution ne m'aurait pas plu parce qu'elle est trop intrusive :
1- je peux pas l'utiliser partout ou je veux (université par ex) 2- comme d'habitude, seuls les esclaves sous windows auront droit à utiliser le net banking.
Erwan David wrote:
Dominique Blas <db@internet.invalid> écrivait :
Au prix de la calculette pourquoi Fortis n'a-t-elle pas livrée un
lecteur de CB ?
Problèmes de drivers ?
Cette solution ne m'aurait pas plu parce qu'elle est trop intrusive :
1- je peux pas l'utiliser partout ou je veux (université par ex)
2- comme d'habitude, seuls les esclaves sous windows auront droit à utiliser
le net banking.
Au prix de la calculette pourquoi Fortis n'a-t-elle pas livrée un lecteur de CB ?
Problèmes de drivers ?
Cette solution ne m'aurait pas plu parce qu'elle est trop intrusive :
1- je peux pas l'utiliser partout ou je veux (université par ex) 2- comme d'habitude, seuls les esclaves sous windows auront droit à utiliser le net banking.
Fabien LE LEZ
On 13 Oct 2005 20:54:36 GMT, Mehdi BENKIR :
Les banques ne peuvent pas vraiment empêcher leurs utilisateurs d'employer des PCs bourrés de logiciels d'utilité douteuse, non ?
D'autant que le sujet de départ était le phishing. Je vois mal une banque être condamnée parce qu'un de ses clients a été taper son numéro de CB et son code PIN sur <http://www.pirates-associes.org/> sous prétexte que ce site affiche le logo de ladite banque.
On 13 Oct 2005 20:54:36 GMT, Mehdi BENKIR <medhib142@hotmail.com>:
Les banques ne peuvent pas vraiment empêcher leurs utilisateurs
d'employer des PCs bourrés de logiciels d'utilité douteuse, non ?
D'autant que le sujet de départ était le phishing. Je vois mal une
banque être condamnée parce qu'un de ses clients a été taper son
numéro de CB et son code PIN sur <http://www.pirates-associes.org/>
sous prétexte que ce site affiche le logo de ladite banque.
Les banques ne peuvent pas vraiment empêcher leurs utilisateurs d'employer des PCs bourrés de logiciels d'utilité douteuse, non ?
D'autant que le sujet de départ était le phishing. Je vois mal une banque être condamnée parce qu'un de ses clients a été taper son numéro de CB et son code PIN sur <http://www.pirates-associes.org/> sous prétexte que ce site affiche le logo de ladite banque.
