Journal : Quand La Caisse d'Épargne s'y met aussi...
Posté par GCN (Jabber id, page perso, ) le 19 juillet 2006
Depuis quelques jours, la Caisse d'Épargne emboîte le pas de certaines de ses petites camarades et propose comme seul et unique moyen de saisir son code d'accès un clavier virtuel. C'est joli comme tout, ahh ça c'est joli... Mais alors, p*t*in, qu'est-ce que c'est chiant leur bidule.
Sous Firefox le clavier-virtuel se retrouve caché derrière les divers bandeaux en Flash(c)(tm) le rendant impossible à utiliser.
Après quelques essais, je me suis rendu compte en utilisant Konqueror (ou en utilisant l'extension UA Switcher pour Firefox) que ce satané clavier-virtuel disparaissait pour laisser place à l'ancienne méthode de saisie !
Si ce nouveau joujou vous irrite tout autant que moi, vous savez à présent ce qu'il vous reste à faire.
Je profite de ce petit journal pour poser également une 'tite question: Connaissez-vous une extension similaire à User-Agent Switcher mais qui ne permettrait de changer l'UA que pour certains domaines seulement (Genre: si domaine=example.com => utiliser l'UA: Machin/1.0)
Merci.
Sous Firefox le clavier-virtuel se retrouve caché derrière les divers bandeaux en Flash(c)(tm) le rendant impossible à utiliser.
Après quelques essais, je me suis rendu compte en utilisant Konqueror (ou en utilisant l'extension UA Switcher pour Firefox) que ce satané clavier-virtuel disparaissait pour laisser place à l'ancienne méthode de saisie !
Si ce nouveau joujou vous irrite tout autant que moi, vous savez à présent ce qu'il vous reste à faire.
Je profite de ce petit journal pour poser également une 'tite question: Connaissez-vous une extension similaire à User-Agent Switcher mais qui ne permettrait de changer l'UA que pour certains domaines seulement (Genre: si domaine=example.com => utiliser l'UA: Machin/1.0)
Merci.
> Lire le journal (94 commentaires, moyenne: 2,9).
Vous avez demandé le commentaire #735934.
Run by 
Cette page a été générée par Templeet en 0.0834s (dont 0.0071 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
et?
Au lieu de pester dans ton coin (linuxfr) contre ce système, ne vaudrait-il pas mieux contacter les responsables de ta banque et leur expliquer le problème et les possibles solutions? (un bouton "accès normal")
Si ta banque est passée à ce système, c'est probablement que des clients le lui ont réclamé. Certe, ils avaient peut-être tords mais toi qui as raison avais-tu contacté ta banque au préalable pour leur dire tout le bien que tu pensais du système d'alorsl?
Voila mon avis: il vaut mieux prévenir que guérrir et ne pas seulement râler mais aussi dire quand le choses vont bien.
[^]Re: et?
Moi je les ai contacté pour leur dire tout le mal que je pense du nouveau système.
À ma grande surprise j'ai eu une réponse, mais qui venait manifestement d'un service commercial plutôt que technique et complètement à côté de la plaque...
Je précise que je ralait aussi régulièrement sur l'ancien système qui était quand même particulièrement ridicule : les mots de passe étaient (et sont toujours d'ailleurs) des codes PIN (4 chiffres) statiques.
Pour revenir sur la question posée dans le journal qui est de savoir comment contourner ce clavier virtuel, si tu tapes un mauvais code tu es redirigée sur une page avec l'ancien système (cette page est spécifique à chaque caisse régionale, pour île de france ouest en tout cas c'est comme ça), il suffit de mettre un signet sur cette page plutôt que la page d'accueil...
[^]Re: et?
Etrange, mon code fait plus de 4 chiffres, et je peux le modifier :)
Le nouveau système de "clavier virtuel" est a l'image du service de cette banque : a revoir.
Quand on vois des banques comme le credit lyonnais qui ont une interface réellement utilisable, et dont la lisibilité et les fonctionnalités sont travaillés regulierement. Je crois qu'il serait plutot temps pour la caisse d'epargne d'essayer de faire un réel effort a ce niveau ...
PlexiWeb, l'hébergement simple et rapide - http://www.plexiweb.net/
[^]Re: et?
Sauf que les banques vont répondre "c'est une question de sécurité et on ne rigole pas avec ça". Bien entendu il faudra comprendre "le chef qui ne connait rien à la technique l'a vu chez les autres et s'est étonné qu'on soit "moins sécurisés" alors on l'a fait aussi, sans vraiment savoir si c'est mieux.
[^]Re: et?
Encore faudrait t-il que ça apporte un plus de sécu. Mais là, absolument rien. C'est même plutôt une grosse régression à ce niveau.
Enfin bon, pour la ménagère, ça rassure peut-être de voir un truc comme ça..... c'est surrement ça qu'ils visent : rassurer les gens.
Mais rassurer les gens en réduisant la sécurité.... faut le faire quand même !! :)
[^]Re: et?
Hmm,
si je me trompe pas, cette fonctionnalitée (je ne parle pas du cas particulier de ce thread) a pour but d'éviter les keyloggers, car la disposition du clavier sur l'écran est aléatoire, ainsi que les numéros (enfin, à la SG c'est comme ca) pour éviter d'utiliser les mouvements de souris pour trouver le code.
[^]Re: et?
A oui ?
Mais dans ce cas, pourquoi est-ce toujours possible d'accéder à un compte client avec un formulaire d'identification classique ?
Parce-que un mec qui veut utiliser un keylogger, il va pas rester sur ce système chiant juste pour faire plaisir aux admin du site. Il va direct allé voir le formulaire classique et basta.
Donc leur système n'apporte absolument rien niveau sécu. C'est uniquement des fanfreluches pour amadouer les ménagères.
Et si les fanfreluches réduisent la sécurité (deux méthodes d'accès au lieu d'une, et la demande des codes d'accès sur une page non sécurisé), moi ça me semble inacceptable.
[^]Re: et?
En général, ce n'est pas l'attaquant qui installe le key logger qui entre le code lui même. Prendre l'ancien formulaire, par exemple pour se connecter avec firefox sous linux sans problème de flash, c'est une action du client légitime.
[ Répondre ] Ce commentaire est-il impertinent ou utile ?
[^]Re: et?
Jusqu'au premier virus velu qui changera l'UA...
[^]Re: et?
Bah, si on ne peut plus keylogguer, on enregistrera les requêtes HTTP émises par le navigateur...
Ce n'est qu'une vaine course à l'armement...
[^]Re: et?
Oui, enfin mettre des identifiants neutres et aléatoires qui ne se traduisent en chiffres que par une correspondance sur le serveur recrée à chaque fois, ce n'est pas bien complexe. Je pense que c'est comme ça qu'ils ont du faire, j'espère pour eux en tout cas.
[^]Re: et?
En fait oui là où je pense que c'est pertinent, c'est qu'il ne faut pas oublier que les 9/10 des clients ont leur pc vérolé avec un ie troué.
Comme tu dis, d'une ça permet d'éviter les keyloggers,
De deux, sur le site de ma banque (BNP), il est clairement indiqué :
Cela empêche les gens de faire enregistrer leur mot de passe par le navigateur (et récupérable par un code malicieux/contrôle activeX sur un site de pr0n/tout ça).
† In te confirmátus sum ex útero : de ventre matris meæ tu es protéctor meus.
[^]Re: et?
Ce que tout le monde à l'air d'oublier ici c'est que plusieurs virus de type trojan permettent à la personne qui a accès illégalement à l'ordinateur de voir l'écran. Les keyloggers ne le veront pas mais ce seras même encore plus facile pour les intrus du "système aux virus". Quand à l'argument : l'intrus ne peut pas toujours regarder l'ecran, il suffit qu'il mette un test dans son truc pour que dès que l'on tape le nom d'une banque ça le previenne ou ça enregistre les images.
Personnellement je n'ai absolument aucune confiance dans tous ses systèmes et j'apprécierais bien plus qu'ils nous fournissent une sorte de clé usb bloqué en écriture contenant une clé numérique cryptée permettant de vérifier l'identité (avec en plus un mot de passe au cas où on te vole la clé). L'interface te demanderait où se trouve le fichier et il s'en servirait pour l'identifier. il faudrait aussi s'arranger pour que le fichier ne soit pas copiable... Qu'en pensez-vous ?
En attendant je préfère aller à un distributeur et dans ma banque pour faire les opérations bancaires malgré leurs horaires vraiment peu pratiques.
[^]Re: et?
La solution la plus sure reste le terminal sécurisé branché en USB.
Le terminal établit une connexion sécurisée avec le serveur et ne peut pas (ou alors très difficilement) être compromis.
[^]Re: et?
Une carte à puce (« intelligente ») avec un lecteur USB ?
Depuis le temps que je me demande pourquoi il n'y en a pas déjà sur tous les PCs...
[^]Re: et?
Dans le corps humain, ca sera plus efficace
[^]Re: et?
Surtout que ça marche très bien avec Firefox (et IE) en plus. Opera et Konqueror ne savent pas faire par contre.
[^]Re: et?
Comment ça fonctionne ces lecteurs de carte ? Il faut mettre sa carte bleue ou une carte différente ? Vous avez des liens vers du matériel fiable fonctionnant sous linux ? J'avais vu ce genre de lecteurs uniquement sur des machines Sun et je ne pensais pas que l'on pouvait les utiliser pour faire des achats ou autres.
[^]Re: et?
Au guichet, on ne m'a jamais demandé de CI ou presque. Il suffit juste de donner le numéro de compte et hop.
Quant aux distributeurs automatiques, t'as déjà entendu parler des petits dispositifs qui ont *déjà* été utilisé pour copier la CB _et_ filmer le moment où l'utilisateur compose le code, le tout enregistré dans le cabas du scooter posé là, "négligement" ?
Copier les CB reste lucratif car il n'y a qu'en France que le code est obligatoire...
[^]Re: et?
J'en ai entendu parler effectivement et c'est pourquoi quel que soit l'endroit où je compose mon code, je le compose en aveugle en mettant ma main ou l'étui de ma Carte Bleue afin que personne ne puisse voir le code et j'évite les mouvements de mains identifiable (qui dit que je suis parano ?) Quand aux arnaques vis à vis des guichets généralement je regarde si ils sont bien encastré... Mais bon au pire si il arrive un problème avec un distributeur frauduleux, je ne serai pas le seul dans ce cas et je penses qu'à ce niveau l'assurance devrait jouer.
Quand je paye dans un magasin je m'arrange toujours soit pour garder ma carte, soit toujours la suivre des yeux si je dois la tendre à quelqu'un. Mais à cause des fraudes les magasins sérieux mettent le plus souvent à disposition des appareils où l'on insère nous-même la carte.
Je préfèrerais que leurs services internet soient totalement "informatif" et non actif ou alors qu'ils divise cela en 2 sites distincts. Personnellement tout ce qui m'interesse vis à vis d'internet c'est de consulter les transactions pour vérifier si tout s'est bien passé.
Je trouve ça bien et ça va me faire réflechir à choisir une carte uniquement nationale (si ça existe encore)
[^]Re: et?
C'est aussi pour eviter que les mdp soit stocké dans le pc, puis qu'apres un vers vient tout recuperer.
[^]Re: et?
Bof, on peut très bien copier dans un coin les images cliquées. C'est super simple à faire en script et à envoyer par mail. Et il ne faut pas avoir un script très compliqué pour faire de l'ocr très basique et retrouver le code.
Franchement je suis d'accord avec plus haut : ca n'apporte rien sur le long terme. Ca permet juste de se couper des keylogger actuels le temps qu'ils soient refaits.