Journal : Credit Agricole en ligne refusera bientôt l'accès aux navigateurs alternatifs
Posté par Gazel () le 09 février 2006
Le site du Crédit Agricole va changer sa méthode d'accès aux comptes en ligne.
Au lieu de taper votre mot de passe dans un champ texte classique, l'utilisateur devra entrer son mot de passe à l'aide d'un clavier virtuel pour éviter que celui-ci soit récupéré par un Key-logger.
Toutes les explications ainsi qu'une demo en flash sont dispo ici:
http://www.ca-anjou-maine.fr/Vitrine/ObjCommun/Fic/AnjouMain(...)
J'ai pris l'exemple de l'agence Maine-Anjou mais apparemment la plupart des agences vont etre concernes.
Or dans l'explication on relève la partie suivante:
J'aime bien la dernière phrase :-)
Malheureusement j'ai pas trouver de lien emails permettant de signaler ce mauvais choix et j'ai pas tellement envie de raconter à une gentille conseillère bancaire pourquoi c'est méchant de refuser l'accès a Firefox/Safari/(insert name here other than explorer)
PS: Apparemment certaines agences ont déjà été migre
http://www.ca-illeetvilaine.fr/
Mais n'ayant pas de compte dans cette agence je suis incapable de vérifier si Firefox fonctionne ou pas avec la nouvelle méthode.
Au lieu de taper votre mot de passe dans un champ texte classique, l'utilisateur devra entrer son mot de passe à l'aide d'un clavier virtuel pour éviter que celui-ci soit récupéré par un Key-logger.
Toutes les explications ainsi qu'une demo en flash sont dispo ici:
http://www.ca-anjou-maine.fr/Vitrine/ObjCommun/Fic/AnjouMain(...)
J'ai pris l'exemple de l'agence Maine-Anjou mais apparemment la plupart des agences vont etre concernes.
Or dans l'explication on relève la partie suivante:
Néanmoins, il a été constaté que le fonctionnement du clavier virtuel n'était pas optimisé pour les PC équipés du système d'exploitation Linux et du navigateur internet Mozilla et pour les MAC équipés du navigateur Safari.
Vous pouvez télécharger la dernière version du navigateur
Internet Explorer (gratuit et fiable)
J'aime bien la dernière phrase :-)
Malheureusement j'ai pas trouver de lien emails permettant de signaler ce mauvais choix et j'ai pas tellement envie de raconter à une gentille conseillère bancaire pourquoi c'est méchant de refuser l'accès a Firefox/Safari/(insert name here other than explorer)
PS: Apparemment certaines agences ont déjà été migre
http://www.ca-illeetvilaine.fr/
Mais n'ayant pas de compte dans cette agence je suis incapable de vérifier si Firefox fonctionne ou pas avec la nouvelle méthode.
> Lire le journal (116 commentaires, moyenne: 2,7).
Vous avez demandé le commentaire #679810.
Run by 
Cette page a été générée par Templeet en 0.1296s (dont 0.0116 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
excuse bidon
Ils n'ont qu'à faire du copier coller du clavier virtuel de la société générale, qui est passé à ce mode d'authentification depuis plusieurs mois aussi, sans que l'utilisateur linux/firefox que je suis n'en subisse le moindre désagrément.
C'est même magnifique : effet de transparence léger sur le clavier rouge, qui peut se déplacer sans pb dans la fenêtre de firefox !
[^]Re: excuse bidon
Sauf que ça ne marche pas sous Konqueror.
Sauf que je ne peux plus avoir mon mot de passe enregistré par KWallet. Ce qui était, du point de vue des keylog, aussi efficace que leur solution merdique qui, en revanche, permet le shoulderlog (ou mattage de password par dessus l'épaule).
Conséquence malheureuse, je ne peux même plus avoir mon numéro de client enregistré dans le navigateur (même sous firefox). Donc il traîne sur un petit papier à proximité de mon ordi (retenir les mots de passe, ok, mais les ID clients en plus faut pas déconner). Ce qui n'est pas terrible non plus.
Bref, leur nouveau système (à la Société Géniale) est une énorme régression, de mon point de vue: j'avais un outil simple et sécurisé, j'en ai désormais un plus compliqué et potentiellement moins sécurisé.
[+] [^]Re: excuse bidon
>plus compliqué et potentiellement moins sécurisé.
plus compliqué ok, je trouve aussi que pianoter à la souris est plus chiant qu'au clavier...
moins sécurisé ? pourquoi ?
- parce que tu laisse un bout de papier près de ton ordi ? naaan !
- parce que tu visite ta banque en ligne dans un cyber-café ? naaan !
pourquoi donc alors ?
echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq'|dc
[^]Re: excuse bidon
- Parce que je visite ma banque en ligne au boulot ? Siiii!
- Parce que j'ai des enfants a qui je ne souhaite pas confier ces codes ? Siiii!
- Parce que ca ne concerne en rien ton/ta colocataire, ton/ta partenaire ? Siiii!
Ce commentaire est :
Génial, Nul, 42
[+] [^]Re: excuse bidon
> - Parce que je visite ma banque en ligne au boulot ? Siiii!
et ? tu bosses avec des hackers ?
faut arrêter la parano là...
> - Parce que j'ai des enfants a qui je ne souhaite pas confier ces codes ? Siiii!
et ben ? tu leur donnes pas...
clavier ou souris, ça change rien...
> - Parce que ca ne concerne en rien ton/ta colocataire, ton/ta partenaire ? Siiii!
quel rapport avec le système mis en place ?
si tu laisses trainer tes codes secret près de l'ordi, que ce soit système clavier ou souris, le résultat sera le même...
echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq'|dc
[^]Re: excuse bidon
Je parle pas de laisser trainer les code, je parle de regarder par dessus l'épaule.
Et ça se fait très bien (sans compter les cameras qu'il peut y avoir) d'autant plus que tu te sens en sécurité.
Franchement c'est déja pas la mort de relever un numero de carte a un distributeur automatique ou en caisse, alors la.
Ce commentaire est :
Génial, Nul, 42
[+] [^]Re: excuse bidon
> je parle de regarder par dessus l'épaule.
perso, je regarde mes comptes uniquement chez moi... donc le shouldersniffing... bof...
> Et ça se fait très bien (sans compter les cameras qu'il peut y avoir) d'autant plus que tu te sens en sécurité.
au boulot ? des cameras dans ton dos ? pour relever ton numero de compte bancaire et ton code ????
faut arrêter de regarder 1984 !!
le seul danger que je vois pour un système de ce genre, c'est la consultation dans un cyber-café...
Et si quelqu'un est assez con pour consulter sa banque en ligne dans un cyber-café... enfin... j'irais pas le plaindre...
echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq'|dc
[^]Re: excuse bidon
Alors voila, je suis en déplacement a pétaouchnok et j'ai besoin de voir l'état de mes finances, de faire un virement x ou y parce que sinon je peuts plus faire de retraits pour finir mes vacanes... Alors la j'ai pas le choix, y'a pas d'agence dans le coin (oui, j'suis a l'etrangé) et donc ba, je passe par un cyber café.
Sinon t'es peut être seul chez toi mais comme je le dis plus haut, ce n'est pas le cas de tout le monde.
Enfin, quitte a arrter 1984, autant laisser l'anti-virus faire son boulot et pas faire chiez avec ce truc en flash de merde qui marche pas sur tous les couples navigateurs/os, notament lorsqu'il sagit de X86_64 ou de navigateurs pour personnes non/mal voyantes qui trouvent certainement ca très pratique de pas aller jusqu'a la banque pour avoir un état des lieux de leur compte ou faire un virement...
Ce commentaire est :
Génial, Nul, 42
[^]Re: excuse bidon
1. pour les vacances, je suis pas du tout convaincu ;o)
2. chez moi, je suis pas seul, mais la confiance est un peu la base de la relation avec la personne vivant sous le même toit que moi...
3. entièrement d'accord.
J'avais d'ailleurs envoyé un mail à la société générale lors du changement de système pour leur signaler le problème pour, entre autre, les aveugles.
Ils m'avaient, à ma grande surprise, répondu positivement en me demandant des conseils ou des pistes pour rendre l'outil accessible, mais il n'y a visiblement (si je puis dire) pas eut de suite... dommage, ça partait bien...
echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq'|dc
[+] [^]Re: excuse bidon
Je parle pas de laisser trainer les code, je parle de regarder par dessus l'épaule.
tu as le droit de te retourner pour verifier si quelqu'un est dans ton dos.
Vu la disposition des touches et la taille du pave numerique, une personne a plus de 2-3 metres ne pourra pas lire correctement le pave numerique.
Et ça se fait très bien (sans compter les cameras qu'il peut y avoir) d'autant plus que tu te sens en sécurité.
comme dit plus bas par moi meme, on n'est pas a hollywood, m'etonnerais franchement qu'une camera placee a distance raisonnable (ie : de travers et pas sur ta gueule quoi) puisse donner quoique ce soit comme information valabel.
Franchement c'est déja pas la mort de relever un numero de carte a un distributeur automatique ou en caisse, alors la.
c'est pas la mort non plus de se rappeler d'un code client a 8 chiffres (SG). C'est meme depuis que la SG est passe a ce systeme que je me rappelle de mes codes (avant, ils etaient enregistres dans mon FF et j'etais emmerde des que je changeais de poste.)
Mais dis moi, tu crois pas que les banques se sont posees ces question avant toi?
Tu crois pas que c'est leur boulot ce genre de choses et qu'ils y ont reflechi longuement avant de mettre en place une solution de ce style?
Sans compter qu'ils ont acces a bien plus d'infos que toi sur l'utilisation qui est faite de leur site...
Apres libre a toi de penser que tu es tellement plus malin qu'eux que tu vois en 2 secondes un truc qu'eux n'ont jamais vu.
Les doigts dans les poches et les mains de le nez
[^]Re: excuse bidon
c'est pas la mort non plus de se rappeler d'un code client a 8 chiffres (SG).
C'est pas la mort non plus d'aller demander un relevé exceptionnel à ta banque (payant, mais bon, c'est pas la mort), ou de te contenter de tes relevés réguliers. On nous fournissait un outil très pratique, on nous le remplace par un outil moins pratique, sous un prétexte de sécurisation qui semble pour le moins fallacieux. Si toi ça ne te dérange pas, libre à toi. Moi ça me fait chier.
[^]Re: excuse bidon
Chez moi, l'ID client, c'est le numéro de compte où l'on change les 4 derniers chiffres. On est donc très très loin des 8 chiffres à retenir.
[^]Re: excuse bidon
clavier ou souris, ça change rien...
Le monsieur a dit qu'il n'utilisait ni l'un ni l'autre, vu qu'il utilisait KWallet, et que maintenant il ne peut plus utiliser KWallet et que donc tout d'un coup, ça revient au même que clavier ou souris.
[^]Re: excuse bidon
Par "clavier" j'entendais l'ancien système qui permettait d'accèder à l'interface sans l'usage de la souris, Par "souris" le nouveau qui "nécessite" l'usage de la souris.
Et moi je répondais au monsieur parce qu'en matière de sécurité, je vois pas pourquoi le nouveau système est moins sécurisé (attention, je dit pas qu'il l'est plus).
Pour les enfants : ben s'ils n'ont pas le code ils ne pourront pas accéder, donc que les codes soient dans kwallet ou dans la tête, ou sur un papier qui ne sera pas à leur portée, ou est la différence ?
Pour la coloc' ? ben pareil, j'ose espérer que tu laisses pas trainer tous tes mots de passe et numéro de CB sur un papier près de la porte d'entrée...
Ce système est chiant, ok, moins securisé ? j'en doute...
En ce qui concerne, le cyber-café, je pense qu'il y a plus de keylogger dans les cyber-café que de mecs faisant du shouldersniffing...
Mais vu les scores que je récolte, le shouldersniffing doit être vachement répandu en fait :-), tout comme le dépôt de mot de passe sur des pots-it à la vue de tout le monde...
echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq'|dc
[^]Re: excuse bidon
Pour les enfants : ben s'ils n'ont pas le code ils ne pourront pas accéder, donc que les codes soient dans kwallet ou dans la tête, ou sur un papier qui ne sera pas à leur portée, ou est la différence ?
Pour la coloc' ? ben pareil, j'ose espérer que tu laisses pas trainer tous tes mots de passe et numéro de CB sur un papier près de la porte d'entrée...
En fait si, on en a déja parlé partout : le "mattage par dessus l'épaule".
Ce n'est pas évident de vérifier à chaque fois que tu consulte tes comptes qu'il n'y a personne dans la pièce. Sans compter le fait qu'il est facile de ne pas faire confiance à quelqu'un mais délicat de lui dire.
Ce système est chiant, ok, moins securisé ? j'en doute...
Ça dépend du point de vue. Je pense qu'il est plus facile d'être sûr qu'il n'y a pas de key-logger sur un pc (anti-virus, toussa) que d'être sur qu'il n'y a pas un mec dans ton dos qui regarde.
En ce qui concerne, le cyber-café, je pense qu'il y a plus de keylogger dans les cyber-café que de mecs faisant du shouldersniffing...
Je pense l'inverse : il est quand même assez difficile d'installer un key-logger, alors que regarder un mec cliquer, c'est pas à la portée du premier venu.
[^]Re: excuse bidon
alors que regarder un mec cliquer, c'est pas à la portée du premier venu.
L'inverse, non? ;)
[^]Re: excuse bidon
Ce que je voulais dire, à la base, c'est que le système présenté comme "plus sécurisé" ne l'était en fait pas, et qu'il allait même jusqu'à être _potentiellement_ moins sécurisé. En tant que tel, de la manière dont je l'utilise actuellement, ma sécurité n'a pas souffert du changement (juste mon confort). Cela dit, le changement en question favorise des comportements critiquables de ce point de vue (tentation de marquer le mot de passe quelque-part, vu que les gestionnaires dédiés à cet usage ne peuvent plus le retenir automatiquement) et des factures aggravants (la saisie du code dans un endroit public quelconque, fut-ce sur un pc fiable, est devenu moins sûre).
En cela, oui, je considère qu'il y a eu régression du point de vue de la sécurité, et si cette régression n'est que potentielle en ce qui me concerne c'est bien parce que j'ai refusé de transiger (en notant le mdp, par exemple) et non parce que la régression est inexistante.
[^]Re: excuse bidon
Sauf que ça ne marche pas sous Konqueror.
Beeep !
Apparemment, ça marche sous Konqueror depuis quelques jours.
Je ne sais pas trop depuis quand, mais je suppose que ça vient du passage en KDE 3.5.1, passage qui, même si ça n'a rien à voir avec le sujet, ma complètement vidé mon carnet d'adresse, ce qui a un côté passablement embêtant :-(
[^]Re: excuse bidon
Tiens, oui, c'est vrai que je n'ai pas encore regardé avec le 3.5.1. Je zieuterais ça. Si en plus Konqui pouvait accepter de garder le-dit mot de passe dans la wallet, ça serait la fête, mais ne révons pas.
Pour le vidage de KABC, j'avais déjà eu le cas une fois, et maintenant que tu le dis c'est vrai que ça coïncide avec un changement de version de KDE. Damn!
[^]Re: excuse bidon
Pour le vidage de KABC, j'avais déjà eu le cas une fois, et maintenant que tu le dis c'est vrai que ça coïncide avec un changement de version de KDE. Damn!
Mmmm... Et forcément, c'est toujours à ce moment qu'on se rend compte que le DD de ce fichu mini-itx, censé faire des sauvegardes, est dans les choux :-(
Heureusement, paranoïa oblige, mon carnet d'adresse est aussi sauvé dans un carnet d'adresse... papier ! Ouf. Pas de perte de données cette fois-ci. Mais je me suis quand même fait une belle frousse...
[^]Re: excuse bidon
Heureusement, paranoïa oblige, mon carnet d'adresse est aussi sauvé dans un carnet d'adresse... papier ! Ouf. Pas de perte de données cette fois-ci. Mais je me suis quand même fait une belle frousse...
O tempora, O mores, moi c'est le Zaurus qui m'avait sauvé la mise. Mais le principe reste le même :)
[^]Re: excuse bidon
Et puis, surtout, c'est tellement pratique pour le personne qui est derrière ton dos ou derrière la caméra de surveillance de connaitre ton mot de passe, c'est beau l'innovation !
[^]Re: excuse bidon
derrière la caméra de surveillance de connaitre ton mot de passe
La vraie vie n'est pas un film americain, on n'est pas capable de tirer un poster 4m*3m d'excellente qualite d'une sous region d'une video faite par une camera mediocre avec grand angle.
Les doigts dans les poches et les mains de le nez
[^]Re: excuse bidon
C'est vrai, j'exagérais un peu : toujours est-il que je n'aime pas afficher mon mot de passe d'une telle manière. Il est quasiment impossible de suivre correctement ce que quelqu'un écrit au clavier, ce n'est pas le cas quand tu pointes sur une touche de l'écran.
[^]Re: excuse bidon
Je pensais la meme chose au debut (j'ai un compte SG Logitelnet qui utilise un systeme similaire).
En pratique, meme en etant devant l'ecran et connaissant le code secret par coeur, c'est galere de retrouver l'emplacement des boutons (qui sont places de facon aleatoire, je le rappelle).
Donc je doute qu'une personne etant derriere ton dos a 2-3 metres mini de l'ecran puisse facilement lire les chiffres qui sont clickes.
Sans compter que generalement, tu consultes ton compte depuis un endroit un minimum de confiance et que tu peux toujours verifier si quelqu'un regarde par dessus ton epaule avant de saisir ton code.
Les doigts dans les poches et les mains de le nez
[^]Re: excuse bidon
Un film bulgare plutôt :
http://www.lemonde.fr/cgi-bin/ACHATS/acheter.cgi?offre=ARCHI(...)
[^]Re: excuse bidon
a noter que ce type de système d'autentification rend le service innacessible aux personnes handicapées visuelles, ainsi qu'aux personnes qui ne peuvent utiliser la souris.
C'est plutôt moche, car ce sont les premiers clients des "télé-services".
De plus cela ne solutionne pas le problème. Un système vulnérable à un keylogger est tout autant vulnérable à un spyware plus évolué qui aura la parade (enregistrer l'écran, les mouvements de souris ..)
[^]Re: excuse bidon
Un système vulnérable à un keylogger est tout autant vulnérable à un spyware plus évolué qui aura la parade (enregistrer l'écran, les mouvements de souris ..)
Pour les mouvements de souris , ca peut pas marcher , le clavier virtuel presenté pour tapper ton mot de passe change aléatoirement l'emplacement des touches.
[^]Re: excuse bidon
Et si on enregistre l'image plutot que les input?
Ce commentaire est :
Génial, Nul, 42
[+] [^]Re: excuse bidon
tu te vois enregistrer un screenshot a chaque clic de souris?
Les doigts dans les poches et les mains de le nez
[^]Re: excuse bidon
Non, mais de toutes façons le truc qui enregistre ton clavier n'a d'intérêt que s'il sait en même temps faire la correspondance avec l'url du navigateur (sinon il ne sait pas faire la différence entre ce que tu tapes à la calculette et ton mot de passe numérique).
Et s'il sait faire la correspondance, faire une capture d'écran juste après avoir recu la grille de mot de passe, puis traquer les cliques utilisateurs ... franchement ce n'est pas bien complexe.
[^]Re: excuse bidon
Effectivement, au temps pour moi..
Cela dit, le fait que le systeme est cassable, mais pas encore casse, justifie t il de rester avec un systeme qui est deja casse?
Les doigts dans les poches et les mains de le nez
[^]Re: excuse bidon
Exactes. D'autant plus que les banques doivent être en partie tenu pour responsable lorsqu'il y a des problèmes de sécurités, en ce sens on ne peut leur interdire ce genre de systèmes.
[^]Re: excuse bidon
Il est cassé !
Un PoC fonctionnel est sortit en 2005.
Le mieux reste encore les one time key.
"Les États-Unis sont le seul pays à être passé de la barbarie à la décadence sans connaître la civilisation." -- (origine réelle inconnue) Albert Einstein/Oscar Wilde/Georges Clemenceau/etc..
[^]Re: excuse bidon
ca se fait sans aucun soucis, c'est d'ailleurs comme ca qu'on fait les demo en flash genre wink
si tu rajoutes la verification des fenetres avant pour voir si t'en a une sur la banque, tu n'as plus besoin de le faire a chaque click, donc ca me semble parfaitement faisable.
[^]Re: excuse bidon
Ca peut potentiellement être fait par une attaque Tempest.
http://en.wikipedia.org/wiki/TEMPEST
http://en.wikipedia.org/wiki/Acoustic_cryptanalysis
http://www.erikyyy.de/tempest/
[^]Re: excuse bidon
ouais, c'est vrai.
Et si tu vas par la, qu'est ce qui te dit que le cable de telephone qui sort de chez toi arrive bien chez ton fai et pas direct dans le camion des chinois du fbi?
Les doigts dans les poches et les mains de le nez
[^]Re: excuse bidon
C'est pas parce que je suis parano qu'ils ne sont pas tous après moi ... ;-)