Connaissez-vous des iniatives de banques ou autre organisme utilisant le
SMS pour véhiculer un code de session, en complément des habituels login
et mot de passe ?
Ainsi on ajoute au "quelquechose que je suis (login) et que je connais
(le mot de passe)", le "quelquechose que je possède".
Outre le fait que cela n'est pas une solution universelle car tout le
monde ne possède de téléphone, pensez-vous que cela puisse être un moyen
facile et relativement sûr d'éviter le phishing ?
Mais peut-être que le phishing est relativement anecdotique en France et
que les banques préfèrent rembourser les victimes plutôt que de mettre
en place des systèmes permettant d'éviter ce type de fraude.
En pratique, elles paient pour ne pas faire de vagues.
On peut noter qu'E-Bay propose une procédure explicite de dénonciation de tentatives de "phishing". Et au passage faire remarquer que l'entretien du compte courant des particuliers n'est pas l'activité la plus lucrative d'une banque, et donc, qu'en cas de conflit d'intérêt entre cette activité et une de leurs activités plus rentables, l'arbitrage qui serait rendu ne laisse aucun doute.
Attendre d'un acteur d'un secteur essentiellement concurrentiel une auto-régulation susceptible de diminuer leur rentabilité sous prétexte que l'intérêt du public est en jeu me semble tout à fait illusoire.
Michel Arboi wrote:
On Thu Oct 13 2005 at 11:44, Mehdi BENKIR wrote:
En pratique, elles paient pour ne pas faire de vagues.
On peut noter qu'E-Bay propose une procédure explicite de dénonciation
de tentatives de "phishing". Et au passage faire remarquer que
l'entretien du compte courant des particuliers n'est pas l'activité la
plus lucrative d'une banque, et donc, qu'en cas de conflit d'intérêt
entre cette activité et une de leurs activités plus rentables,
l'arbitrage qui serait rendu ne laisse aucun doute.
Attendre d'un acteur d'un secteur essentiellement concurrentiel une
auto-régulation susceptible de diminuer leur rentabilité sous prétexte
que l'intérêt du public est en jeu me semble tout à fait illusoire.
En pratique, elles paient pour ne pas faire de vagues.
On peut noter qu'E-Bay propose une procédure explicite de dénonciation de tentatives de "phishing". Et au passage faire remarquer que l'entretien du compte courant des particuliers n'est pas l'activité la plus lucrative d'une banque, et donc, qu'en cas de conflit d'intérêt entre cette activité et une de leurs activités plus rentables, l'arbitrage qui serait rendu ne laisse aucun doute.
Attendre d'un acteur d'un secteur essentiellement concurrentiel une auto-régulation susceptible de diminuer leur rentabilité sous prétexte que l'intérêt du public est en jeu me semble tout à fait illusoire.
Mehdi BENKIR
Erwan David wrote:
Mehdi BENKIR écrivait :
Le problème me semble donc plutôt être l'évidente incapacité du Web à proposer un possible contexte de relation de confiance que le procédé actuellement utilisé pour créer (à tort) cette confiance.
Rien de spécifique au web. Ce sont les même personnes qui se feront avoir par une fausse agence bancaire.
Je ne vais pas rentrer dans un débat de fond, mais il me semble que quelques légers ajustements dans le comportement par défaut des navibrouteurs réduiraient sensiblement les risques, quitte à briser quelques sites amateurs. En fait, un plugin basique suffirait certainement : mais il est vrai que je ne vois pas l'intérêt de bosser gratos pour des banques ou leurs clients, qui, par définition même, peuvent payer.
On se souviendra avec amusement que le .co.uk, .tm.fr et compagnie à l'époque étaient sensés servir à fournir au consommateur final une certitude raisonnable de l'activité principale de l'opérateur d'un service donné.
Erwan David wrote:
Mehdi BENKIR <medhib142@hotmail.com> écrivait :
Le problème me semble donc plutôt être l'évidente incapacité du Web à
proposer un possible contexte de relation de confiance que le procédé
actuellement utilisé pour créer (à tort) cette confiance.
Rien de spécifique au web. Ce sont les même personnes qui se feront
avoir par une fausse agence bancaire.
Je ne vais pas rentrer dans un débat de fond, mais il me semble que
quelques légers ajustements dans le comportement par défaut des
navibrouteurs réduiraient sensiblement les risques, quitte à briser
quelques sites amateurs. En fait, un plugin basique suffirait
certainement : mais il est vrai que je ne vois pas l'intérêt de bosser
gratos pour des banques ou leurs clients, qui, par définition même,
peuvent payer.
On se souviendra avec amusement que le .co.uk, .tm.fr et compagnie à
l'époque étaient sensés servir à fournir au consommateur final une
certitude raisonnable de l'activité principale de l'opérateur d'un
service donné.
Le problème me semble donc plutôt être l'évidente incapacité du Web à proposer un possible contexte de relation de confiance que le procédé actuellement utilisé pour créer (à tort) cette confiance.
Rien de spécifique au web. Ce sont les même personnes qui se feront avoir par une fausse agence bancaire.
Je ne vais pas rentrer dans un débat de fond, mais il me semble que quelques légers ajustements dans le comportement par défaut des navibrouteurs réduiraient sensiblement les risques, quitte à briser quelques sites amateurs. En fait, un plugin basique suffirait certainement : mais il est vrai que je ne vois pas l'intérêt de bosser gratos pour des banques ou leurs clients, qui, par définition même, peuvent payer.
On se souviendra avec amusement que le .co.uk, .tm.fr et compagnie à l'époque étaient sensés servir à fournir au consommateur final une certitude raisonnable de l'activité principale de l'opérateur d'un service donné.
Dominique Blas
[...]
La Postbank en Allemagne vient d'introduire un concept original (à ma connaissance). [...]
Par contre, ça ne répond pas vraiment au problème du phishing, plutôt à celui de faire des transactions quand on est itinérant. Non, cela ne répond pas à 100% mais cela permet de le reporter et de
compliquer vachement le boulot des phisters. Car même si le client de la Postbank de se fait avoir, tant qu'il n'a pas le TN il n'a pas accès au service selon lui. Si, en l'absence de ce TN, il rentre tout de même dans le service (simulé) il se doutera bien qu'il s'est fait avoir (enfin, s'il a une certaine conscience) et sa banque pourra, malgré tout, lui affirmer qu'il n'a dévoilé aucun secret à quiconque. Toutefois les limites sont celles du SMS : être joignable, ce qui est difficilement applicable à l'étranger.
Comme je l'ai dit mélanger les voix d'authentification est une bonne chose, cela complique la tâche du phister en rendant sa problématique bien plus onéreuse car devant considérer pratiquement chaque cas particulier. Mais, comme toujours c'est une question de temps. L'heure n'est pas très éloigné où l'on accédera à son compte en ligne via son mobile et donc ...
Enfin, même si la procédure est complexe à mettre en oeuvre elle peut valoir le coup pour certains clients ... riches pour lesquelles l'investissement vaut la chandelle : pas très difficile de procéder en 2 temps : - premier temps, l'inviter à se connecter à son service en ligne tout en lui expédiant un TN bidon, ce qui permet de connaître la première partie de l'authentification et de lui afficher ensuite un message genre << nous sommes en cours de maintenance veuillez accepter nos excuses >> ;
- second temps, lui subtiliser le mobile (la nuit, au bistrot, etc) pendant quelques minutes le temps de vider le compte.
C'est du cas particulier mais cela peut devenir une pratique courante dans quelques années au même titre que le vol à la roulotte ou à l'étalage. Je vois déjà les titres des journaux télévisés sur le sujet : << c'est une pratique qio tend à se développer et qui a été révelée par la préfecture de police ... Apès le vol de mobiles en pleine rue ... >>
db
--
Courriel : usenet blas net
[...]
La Postbank en Allemagne vient d'introduire un concept original (à ma
connaissance).
[...]
Par contre, ça ne répond pas vraiment au problème du phishing, plutôt à
celui de faire des transactions quand on est itinérant.
Non, cela ne répond pas à 100% mais cela permet de le reporter et de
compliquer vachement le boulot des phisters.
Car même si le client de la Postbank de se fait avoir, tant qu'il n'a
pas le TN il n'a pas accès au service selon lui. Si, en l'absence de ce
TN, il rentre tout de même dans le service (simulé) il se doutera bien
qu'il s'est fait avoir (enfin, s'il a une certaine conscience) et sa
banque pourra, malgré tout, lui affirmer qu'il n'a dévoilé aucun secret
à quiconque.
Toutefois les limites sont celles du SMS : être joignable, ce qui est
difficilement applicable à l'étranger.
Comme je l'ai dit mélanger les voix d'authentification est une bonne
chose, cela complique la tâche du phister en rendant sa problématique
bien plus onéreuse car devant considérer pratiquement chaque cas
particulier.
Mais, comme toujours c'est une question de temps. L'heure n'est pas très
éloigné où l'on accédera à son compte en ligne via son mobile et donc ...
Enfin, même si la procédure est complexe à mettre en oeuvre elle peut
valoir le coup pour certains clients ... riches pour lesquelles
l'investissement vaut la chandelle : pas très difficile de procéder en 2
temps :
- premier temps, l'inviter à se connecter à son service en ligne tout
en lui expédiant un TN bidon, ce qui permet de connaître la
première partie de l'authentification et de lui afficher ensuite
un message genre << nous sommes en cours de maintenance
veuillez accepter nos excuses >> ;
- second temps, lui subtiliser le mobile (la nuit, au bistrot,
etc) pendant quelques minutes le temps de vider le compte.
C'est du cas particulier mais cela peut devenir une pratique courante
dans quelques années au même titre que le vol à la roulotte ou à l'étalage.
Je vois déjà les titres des journaux télévisés sur le sujet : << c'est
une pratique qio tend à se développer et qui a été révelée par la
préfecture de police ... Apès le vol de mobiles en pleine rue ... >>
La Postbank en Allemagne vient d'introduire un concept original (à ma connaissance). [...]
Par contre, ça ne répond pas vraiment au problème du phishing, plutôt à celui de faire des transactions quand on est itinérant. Non, cela ne répond pas à 100% mais cela permet de le reporter et de
compliquer vachement le boulot des phisters. Car même si le client de la Postbank de se fait avoir, tant qu'il n'a pas le TN il n'a pas accès au service selon lui. Si, en l'absence de ce TN, il rentre tout de même dans le service (simulé) il se doutera bien qu'il s'est fait avoir (enfin, s'il a une certaine conscience) et sa banque pourra, malgré tout, lui affirmer qu'il n'a dévoilé aucun secret à quiconque. Toutefois les limites sont celles du SMS : être joignable, ce qui est difficilement applicable à l'étranger.
Comme je l'ai dit mélanger les voix d'authentification est une bonne chose, cela complique la tâche du phister en rendant sa problématique bien plus onéreuse car devant considérer pratiquement chaque cas particulier. Mais, comme toujours c'est une question de temps. L'heure n'est pas très éloigné où l'on accédera à son compte en ligne via son mobile et donc ...
Enfin, même si la procédure est complexe à mettre en oeuvre elle peut valoir le coup pour certains clients ... riches pour lesquelles l'investissement vaut la chandelle : pas très difficile de procéder en 2 temps : - premier temps, l'inviter à se connecter à son service en ligne tout en lui expédiant un TN bidon, ce qui permet de connaître la première partie de l'authentification et de lui afficher ensuite un message genre << nous sommes en cours de maintenance veuillez accepter nos excuses >> ;
- second temps, lui subtiliser le mobile (la nuit, au bistrot, etc) pendant quelques minutes le temps de vider le compte.
C'est du cas particulier mais cela peut devenir une pratique courante dans quelques années au même titre que le vol à la roulotte ou à l'étalage. Je vois déjà les titres des journaux télévisés sur le sujet : << c'est une pratique qio tend à se développer et qui a été révelée par la préfecture de police ... Apès le vol de mobiles en pleine rue ... >>
db
--
Courriel : usenet blas net
Michel Arboi
On Sat Oct 15 2005 at 19:57, Erwan David wrote:
Ce sont les même personnes qui se feront avoir par une fausse agence bancaire.
Ça s'est déjà fait, sous une forme plus simple.
On Sat Oct 15 2005 at 19:57, Erwan David wrote:
Ce sont les même personnes qui se feront avoir par une fausse agence
bancaire.
Ce sont les même personnes qui se feront avoir par une fausse agence bancaire.
Ça s'est déjà fait, sous une forme plus simple.
Fabien LE LEZ
On 16 Oct 2005 22:20:42 GMT, (Xavier):
le port du cerveau s'avère suffisant.
Beaucoup de gens ont malheureusement le réflexe "L'informatique c'est compliqué, je n'y comprendrai jamais rien, donc j'arrête totalement de réfléchir".
On 16 Oct 2005 22:20:42 GMT, xavier@groumpf.org (Xavier):
le port du cerveau s'avère suffisant.
Beaucoup de gens ont malheureusement le réflexe "L'informatique c'est
compliqué, je n'y comprendrai jamais rien, donc j'arrête totalement de
réfléchir".
Beaucoup de gens ont malheureusement le réflexe "L'informatique c'est compliqué, je n'y comprendrai jamais rien, donc j'arrête totalement de réfléchir".
Emmanuel Florac
Le Sun, 16 Oct 2005 22:20:42 +0000, Xavier a écrit :
Une chose m'intrigue de puis le début de ce thread : dans tous les cas que je peux imaginer, -en dehors du MITM mais là, c'est plus du phising, mais du bon vieux piratage- le port du cerveau s'avère suffisant.
Cependant la possession d'un cerveau n'est pas une garantie d'usage. Qui ne fait jamais de conneries, ou de fausses manip? Qui n'a jamais cliqué au mauvais endroit par inadvertance, ou tapé "Entrée" sans lire le contenu de la boîte de dialogue, ou tapé mécaniquement son mot de passe avant que l'invite "password:" ne soit apparue, etc, etc?
C'est comme la bonne vieille rengaine sécuritaire de Sarko : il aura beau mettre des caméras partout et obliger tout le monde à archiver ses emails, ça ne préviendra aucun crime; ensuite il faudra des gens avec un cerveau pour trier les masses absurdes de données accumulées, aucun système informatique ne pourra le faire à leur place.
Ce sont les limites inhérentes à l'automatisation des systèmes de sécurité...
-- Il y a toujours un bug de plus. Loi de Lubarsky.
Le Sun, 16 Oct 2005 22:20:42 +0000, Xavier a écrit :
Une chose m'intrigue de puis le début de ce thread : dans tous les cas
que je peux imaginer, -en dehors du MITM mais là, c'est plus du phising,
mais du bon vieux piratage- le port du cerveau s'avère suffisant.
Cependant la possession d'un cerveau n'est pas une garantie d'usage. Qui
ne fait jamais de conneries, ou de fausses manip? Qui n'a jamais cliqué
au mauvais endroit par inadvertance, ou tapé "Entrée" sans lire le
contenu de la boîte de dialogue, ou tapé mécaniquement son mot de passe
avant que l'invite "password:" ne soit apparue, etc, etc?
C'est comme la bonne vieille rengaine sécuritaire de Sarko : il aura beau
mettre des caméras partout et obliger tout le monde à archiver ses
emails, ça ne préviendra aucun crime; ensuite il faudra des gens avec
un cerveau pour trier les masses absurdes de données accumulées, aucun
système informatique ne pourra le faire à leur place.
Ce sont les limites inhérentes à l'automatisation des systèmes de
sécurité...
--
Il y a toujours un bug de plus.
Loi de Lubarsky.
Le Sun, 16 Oct 2005 22:20:42 +0000, Xavier a écrit :
Une chose m'intrigue de puis le début de ce thread : dans tous les cas que je peux imaginer, -en dehors du MITM mais là, c'est plus du phising, mais du bon vieux piratage- le port du cerveau s'avère suffisant.
Cependant la possession d'un cerveau n'est pas une garantie d'usage. Qui ne fait jamais de conneries, ou de fausses manip? Qui n'a jamais cliqué au mauvais endroit par inadvertance, ou tapé "Entrée" sans lire le contenu de la boîte de dialogue, ou tapé mécaniquement son mot de passe avant que l'invite "password:" ne soit apparue, etc, etc?
C'est comme la bonne vieille rengaine sécuritaire de Sarko : il aura beau mettre des caméras partout et obliger tout le monde à archiver ses emails, ça ne préviendra aucun crime; ensuite il faudra des gens avec un cerveau pour trier les masses absurdes de données accumulées, aucun système informatique ne pourra le faire à leur place.
Ce sont les limites inhérentes à l'automatisation des systèmes de sécurité...
-- Il y a toujours un bug de plus. Loi de Lubarsky.
Dominique Blas
Simplement pour faire part de quelques points sur le sujet.
1. il existe des portables prééquipés de lecteurs carte à microcircuits, par ex. chez Dell (des Latitude hélas donc avant tout pour le marché pro) ;
2. A Hong-Kong plus 12 millions de cartes à puce ont été écoulées et servent indifféremment aux petits achats (porte-monnaie électronique), aux paiements de parking, cinema y compris pour 150 000 d'entre elles au contrôle d'accès domicile et bureau ;
3. une (j'ignore encore si c'est LA) tendance actuelle des phishers semble être le XSS plutôt que le mass-mailing si le premier est applicable. Effectivement, au vu des sites mal fagottés du point de vue contrôle des saisies (*) ce doit être une technique rentable.
db
(*) Tout de même dingue qu'après des années de développement on en soit encore là !
--
Courriel : usenet blas net
Simplement pour faire part de quelques points sur le sujet.
1. il existe des portables prééquipés de lecteurs carte à
microcircuits, par ex. chez Dell (des Latitude hélas donc
avant tout pour le marché pro) ;
2. A Hong-Kong plus 12 millions de cartes à puce ont été
écoulées et servent indifféremment aux petits achats
(porte-monnaie électronique), aux paiements de parking, cinema
y compris pour 150 000 d'entre elles au contrôle d'accès
domicile et bureau ;
3. une (j'ignore encore si c'est LA) tendance actuelle des
phishers semble être le XSS plutôt que le mass-mailing si le
premier est applicable.
Effectivement, au vu des sites mal fagottés du point de vue
contrôle des saisies (*) ce doit être une technique rentable.
db
(*) Tout de même dingue qu'après des années de développement on en soit
encore là !
Simplement pour faire part de quelques points sur le sujet.
1. il existe des portables prééquipés de lecteurs carte à microcircuits, par ex. chez Dell (des Latitude hélas donc avant tout pour le marché pro) ;
2. A Hong-Kong plus 12 millions de cartes à puce ont été écoulées et servent indifféremment aux petits achats (porte-monnaie électronique), aux paiements de parking, cinema y compris pour 150 000 d'entre elles au contrôle d'accès domicile et bureau ;
3. une (j'ignore encore si c'est LA) tendance actuelle des phishers semble être le XSS plutôt que le mass-mailing si le premier est applicable. Effectivement, au vu des sites mal fagottés du point de vue contrôle des saisies (*) ce doit être une technique rentable.
db
(*) Tout de même dingue qu'après des années de développement on en soit encore là !
--
Courriel : usenet blas net
Nicob
On Tue, 18 Oct 2005 18:52:53 +0000, Dominique Blas wrote:
Effectivement, au vu des sites mal fagottés du point de vue contrôle des saisies (*) ce doit être une technique rentable.
(*) Tout de même dingue qu'après des années de développement on en soit encore là !
Si on prend des exemples "près de chez nous" : * la banque qui héberge mon compte courant est vulnérable à un XSS persistant dans la partie authentifiée * la Hackademy avait trouvé lors de la préparation du numéro leur ayant valu une descente de police une tonne de XSS sur des sites bancaires français
Nicob
On Tue, 18 Oct 2005 18:52:53 +0000, Dominique Blas wrote:
Effectivement, au vu des sites mal fagottés du point de vue
contrôle des saisies (*) ce doit être une technique rentable.
(*) Tout de même dingue qu'après des années de développement on en soit
encore là !
Si on prend des exemples "près de chez nous" :
* la banque qui héberge mon compte courant est vulnérable à un XSS
persistant dans la partie authentifiée
* la Hackademy avait trouvé lors de la préparation du numéro leur ayant
valu une descente de police une tonne de XSS sur des sites bancaires
français
On Tue, 18 Oct 2005 18:52:53 +0000, Dominique Blas wrote:
Effectivement, au vu des sites mal fagottés du point de vue contrôle des saisies (*) ce doit être une technique rentable.
(*) Tout de même dingue qu'après des années de développement on en soit encore là !
Si on prend des exemples "près de chez nous" : * la banque qui héberge mon compte courant est vulnérable à un XSS persistant dans la partie authentifiée * la Hackademy avait trouvé lors de la préparation du numéro leur ayant valu une descente de police une tonne de XSS sur des sites bancaires français
Nicob
Dominique Blas
[...]
Si on prend des exemples "près de chez nous" : * la banque qui héberge mon compte courant est vulnérable à un XSS persistant dans la partie authentifiée * la Hackademy avait trouvé lors de la préparation du numéro leur ayant valu une descente de police une tonne de XSS sur des sites bancaires français
Superbe ! Magnifique !
Je résume donc. tu me dis si je commets une erreur : les sous-traitants développeurs des banques font des conneries mettant en péril la sécurité des clients de la banque mais c'est chez ceux qui découvrent le pot aux roses que l'on descend. C'est ça ?
L'histoire se répètre, se répète, se répète ...
db
--
Courriel : usenet blas net
[...]
Si on prend des exemples "près de chez nous" :
* la banque qui héberge mon compte courant est vulnérable à un XSS
persistant dans la partie authentifiée
* la Hackademy avait trouvé lors de la préparation du numéro leur ayant
valu une descente de police une tonne de XSS sur des sites bancaires
français
Superbe ! Magnifique !
Je résume donc. tu me dis si je commets une erreur : les sous-traitants
développeurs des banques font des conneries mettant en péril la sécurité
des clients de la banque mais c'est chez ceux qui découvrent le pot aux
roses que l'on descend. C'est ça ?
Si on prend des exemples "près de chez nous" : * la banque qui héberge mon compte courant est vulnérable à un XSS persistant dans la partie authentifiée * la Hackademy avait trouvé lors de la préparation du numéro leur ayant valu une descente de police une tonne de XSS sur des sites bancaires français
Superbe ! Magnifique !
Je résume donc. tu me dis si je commets une erreur : les sous-traitants développeurs des banques font des conneries mettant en péril la sécurité des clients de la banque mais c'est chez ceux qui découvrent le pot aux roses que l'on descend. C'est ça ?
L'histoire se répètre, se répète, se répète ...
db
--
Courriel : usenet blas net
Manu
Le sujet de l'authentification double facteur est dans l'air en ce moment, il semblerait [1]: http://www.schneier.com/blog/archives/2005/10/scandinavian_at_1.html http://www.schneier.com/blog/archives/2005/10/us_regulators_r.html http://www.reseaux-telecoms.com/cso_btree/05_10_20_062002_314/CSO/Newscso_view http://www.reseaux-telecoms.com/cso_btree/05_10_20_062045_754/CSO/Newscso_view
- Manu
[1] la ressemblance forte entre 2 articles de Marc et Bruce vient d'une discution lors d'une interview du second par le premier, dixit le premier. Tout le monde suit ? :)
Le sujet de l'authentification double facteur est dans l'air en ce
moment, il semblerait [1]:
http://www.schneier.com/blog/archives/2005/10/scandinavian_at_1.html
http://www.schneier.com/blog/archives/2005/10/us_regulators_r.html
http://www.reseaux-telecoms.com/cso_btree/05_10_20_062002_314/CSO/Newscso_view
http://www.reseaux-telecoms.com/cso_btree/05_10_20_062045_754/CSO/Newscso_view
- Manu
[1] la ressemblance forte entre 2 articles de Marc et Bruce vient d'une
discution lors d'une interview du second par le premier, dixit le
premier. Tout le monde suit ? :)
Le sujet de l'authentification double facteur est dans l'air en ce moment, il semblerait [1]: http://www.schneier.com/blog/archives/2005/10/scandinavian_at_1.html http://www.schneier.com/blog/archives/2005/10/us_regulators_r.html http://www.reseaux-telecoms.com/cso_btree/05_10_20_062002_314/CSO/Newscso_view http://www.reseaux-telecoms.com/cso_btree/05_10_20_062045_754/CSO/Newscso_view
- Manu
[1] la ressemblance forte entre 2 articles de Marc et Bruce vient d'une discution lors d'une interview du second par le premier, dixit le premier. Tout le monde suit ? :)
