Journal Credit Agricole en ligne refusera bientôt l'accès aux navigateurs alternatifs

Posté par  .
Étiquettes :
0
9
fév.
2006
Le site du Crédit Agricole va changer sa méthode d'accès aux comptes en ligne.

Au lieu de taper votre mot de passe dans un champ texte classique, l'utilisateur devra entrer son mot de passe à l'aide d'un clavier virtuel pour éviter que celui-ci soit récupéré par un Key-logger.

Toutes les explications ainsi qu'une demo en flash sont dispo ici:

http://www.ca-anjou-maine.fr/Vitrine/ObjCommun/Fic/AnjouMain(...)

J'ai pris l'exemple de l'agence Maine-Anjou mais apparemment la plupart des agences vont etre concernes.

Or dans l'explication on relève la partie suivante:
Néanmoins, il a été constaté que le fonctionnement du clavier virtuel n'était pas optimisé pour les PC équipés du système d'exploitation Linux et du navigateur internet Mozilla et pour les MAC équipés du navigateur Safari.

Vous pouvez télécharger la dernière version du navigateur
Internet Explorer (gratuit et fiable)

J'aime bien la dernière phrase :-)

Malheureusement j'ai pas trouver de lien emails permettant de signaler ce mauvais choix et j'ai pas tellement envie de raconter à une gentille conseillère bancaire pourquoi c'est méchant de refuser l'accès a Firefox/Safari/(insert name here other than explorer)

PS: Apparemment certaines agences ont déjà été migre

http://www.ca-illeetvilaine.fr/

Mais n'ayant pas de compte dans cette agence je suis incapable de vérifier si Firefox fonctionne ou pas avec la nouvelle méthode.
  • # En effet

    Posté par  . Évalué à 4.

    Au lieu de taper votre mot de passe dans un champ texte classique, l'utilisateur devra entrer son mot de passe à l'aide d'un clavier virtuel pour éviter que celui-ci soit récupéré par un Key-logger.

    PS: Apparemment certaines agences ont déjà été migre

    En effet, c'est le cas depuis déjà quelques semaines voire 3 ou 4 mois.
    • [^] # Re: En effet

      Posté par  . Évalué à 3.

      Et alors? Ca marche avec Firefox?

      Si oui pourquoi conseiller d'utiliser Explorer?
      • [^] # Re: En effet

        Posté par  . Évalué à 9.

        Je viens d'essayer avec firefox sur ca-illeetvilaine et ça fonctionne.
      • [^] # Re: En effet

        Posté par  . Évalué à 7.

        Pour le CA de Paris ça marche parfaitement avec FireFox (win/linux). Faut pas chercher la logique: ils on ont simplement pas du tester !

        Jérôme
        http://www.geneawiki.com
        • [^] # Re: En effet

          Posté par  (site web personnel) . Évalué à 6.

          Et sur un systeme avec FF en x86_64, ca marche flash?
          • [^] # Re: En effet

            Posté par  . Évalué à 2.

            Oui, j'ai aucun problème en 64 avec FF
            • [^] # Re: En effet

              Posté par  (site web personnel) . Évalué à 4.

              t'es sur que t'as un FF compilé en x86_64 et non un FF en x86 tournant dans un environement x86_64?
              • [^] # Re: En effet

                Posté par  . Évalué à 1.

                Ah j'avais pas compris.
                Tu as raison, le FF venant de l'archive officielle de Mozilla.org, c'est donc la version X86 dans un environnement x86_64.

                Mozilla/5.0 (X11; U; Linux i686 (x86_64); fr; rv:1.8.0.1) Gecko/20060124 Firefox/1.5.0.1 pour info.

                Pour l'avoir en 64, faut le compiler soi-même, non ?
                • [^] # Re: En effet

                  Posté par  (site web personnel) . Évalué à 2.

                  Oui, ou dans un packet d'une distro x86_64 qui a decider de fournir un paquet x86_64, ce qui n'est pas gagner vue que ca pose des pb avec les plugins propriétaire 32bits.
                  • [^] # Re: En effet

                    Posté par  . Évalué à 0.

                    J'utilise une debian 64 et un FF pure 64, et j'ai pas de souci pour me logguer sur www.ca-paris.fr ... par contre c'est pas du flash, le module ne tourne pas sur ma machine.

                    Caeies
                    • [^] # Re: En effet

                      Posté par  . Évalué à 1.

                      J'oubliais, Il faut absolument permettre de poster le REFERER sinon ça ne marche pas ! (et en plus en mode "2" pas "1" sous FF).

                      Vala.
        • [^] # Re: En effet

          Posté par  . Évalué à 2.

          Ok, désole un journal pour rien alors....

          C'est vraiment nul de se faire chier à faire une explication bidon alors qu'ils leur prendraient 5 minutes a tester...

          Ils ont du avoir des mauvais retour sur certaines config et ont préféré se cacher derrière une explication fumeuse plutôt que de s'embêter à corriger le bug.
          • [^] # Re: En effet

            Posté par  (site web personnel) . Évalué à 2.

            Ils ont du avoir des mauvais retour sur certaines config...

            ... ou simplement quelques raisons d'encourager l'utilisation des logiciels Microsoft...

            "Business is business", tout simplement...
            • [^] # Re: En effet

              Posté par  . Évalué à 3.

              Oui, ça marche, FF 1.0.7 ou FF 1.5, Gnu/Linux ou Windows ça marche chez moi. Ca alpes provence.

              Par contre, c'est très très chiant je trouve ce système.
          • [^] # Re: En effet

            Posté par  (site web personnel) . Évalué à 1.

            C'est vraiment nul de se faire chier à faire une explication bidon alors qu'ils leur prendraient 5 minutes a tester...

            Ah ouais ? Faut sélectionner les navigateurs à supporter, les systèmes d'exploitations à supporter (on prend quels distribs ?), les versions de tout ça, installer toutes les combinaisons de tous les navigateurs sur tous les OS, et demander à des équipes de dérouler tous les scénarios de test !

            Et refaire le boulot à chaque version du soft qui sort...

            Moi j'appelle pas ça un boulot de cinq minutes, et je dis pas que c'est pô cher, facile à faire, ou qu'il y a un intérêt à le faire vu la situation.

            Le mieux est que les devs s'assurent que ça marche, et on ne garantit rien derrière. ;-)
            • [^] # Re: En effet

              Posté par  (site web personnel) . Évalué à 2.

              Ha ! Vous pouvez trouver mon commentaire inutile et celui du gars qui pense qu'il suffit de « cinq minutes pour tester », mais la réalité c'est que « tester », dans le cadre d'un gros site professionnel avec plein de grand public qui vient dessus, ça coûte cher -- un bon paquet de jours de salaire d'un paquet d'employés par combinaison de navigateur et d'OS testé.

              Si le CA n'a pas testé des trucs alternatifs, c'est qu'ils ont considéré que ça coûte beaucoup trop cher, c'est tout.

              Au mieux ce que vous auriez eu, c'est « testé avec Firefox 1.13 sous SuSE Linux v40.12 » (comme le sont le JDK de Sun, DB2 d'IBM, WebLogic de BEA, etc.)

              (Et non, une grande entreprise ne peut pas se permettre de dire « vaguement testé » ou « ça devrait marcher » ou « ouais on y a fait gaffe mais rien n'est sûr » -- ça ne manque pas, les clients hargneux et teigneux prêts à faire des procès pour le préjudice moral (ou financier !) subi pour n'avoir pas réussi à se connecter avec un navigateur « mais le site disait que ça marchait avec et ça a planté ».)
              • [^] # Re: En effet

                Posté par  . Évalué à 2.

                Et non, une grande entreprise ne peut pas se permettre de dire « vaguement testé » ou « ça devrait marcher » ou « ouais on y a fait gaffe mais rien n'est sûr »

                Il y a quand même une grosse marge entre ne rien tester (hormis la config la plus répandue) et vérifier un minimum de compatibilité avec les alternatives qui se développent fortement.

                Voici une nouvelle illustration de l'intérêt du respect des normes !

                Même si ce n'est pas le cas ici, bloquer un site pour les navigateurs autres que IE c'est nier le but inital d'internet : communiquer.
              • [^] # Re: En effet

                Posté par  . Évalué à 2.

                Excuse complètement bidon. Ils n'ont rien a tester si ce n'est que leur site respecte les standards, et qu'il est donc compatible avec un navigateur qui respecte ces standards. Encore faut il qu'ils utilisent les standards d'internet et du web.

                «
                Au mieux ce que vous auriez eu, c'est « testé avec Firefox 1.13 sous SuSE Linux v40.12 »
                »


                Non, non. De la même manière les sites webs n'annoncent pas qu'ils sont compatible seulement avec la pile TCP/IP du kernel 2.6.12 et supérieur, ou encore les constructeurs d'autoroute compatible avec les peugeots modèle XXX. Et oui les standards, c'est bien pratique.

                De toute manière, il y a plus coûteux et compliqué que de tester qu'un site fonctionne sur quelques navigateurs parmi les plus répandus. Et 15 ou 20% pour Firefox, c'est quand même pas négligeable ... Mais ils n'ont pas à s'engager sur ce point
                • [^] # Re: En effet

                  Posté par  (site web personnel) . Évalué à 2.

                  Ce n'est pas une excuse complètement bidon, c'est la réalité du terrain. Tu ne comprends manifestement pas ce que le mot « tester » veut dire dans le monde professionnel et juridique.

                  (Et puis on ne teste pas la compatibilité avec des standards. On se fait certifier par un organisme indépendant. Je ne sais pas s'il y en a pour les standards du web.)
        • [^] # Re: En effet

          Posté par  . Évalué à 2.

          Je confirme que ça marche très bien pour Paris. Et pour ce qui est du test, qu'ils l'aient fait ou pas, j'aurai râlé très fort si ça ne marchait pas parfaitement :-) Accordons-leur le bénéfice du doute. La personne avec qui j'ai été en contact via e-mail semble très consciente de l'existence des logiciels libres.
  • # excuse bidon

    Posté par  (site web personnel) . Évalué à 7.

    Ils n'ont qu'à faire du copier coller du clavier virtuel de la société générale, qui est passé à ce mode d'authentification depuis plusieurs mois aussi, sans que l'utilisateur linux/firefox que je suis n'en subisse le moindre désagrément.
    C'est même magnifique : effet de transparence léger sur le clavier rouge, qui peut se déplacer sans pb dans la fenêtre de firefox !
    • [^] # Re: excuse bidon

      Posté par  . Évalué à 10.

      Sauf que ça ne marche pas sous Konqueror.
      Sauf que je ne peux plus avoir mon mot de passe enregistré par KWallet. Ce qui était, du point de vue des keylog, aussi efficace que leur solution merdique qui, en revanche, permet le shoulderlog (ou mattage de password par dessus l'épaule).
      Conséquence malheureuse, je ne peux même plus avoir mon numéro de client enregistré dans le navigateur (même sous firefox). Donc il traîne sur un petit papier à proximité de mon ordi (retenir les mots de passe, ok, mais les ID clients en plus faut pas déconner). Ce qui n'est pas terrible non plus.

      Bref, leur nouveau système (à la Société Géniale) est une énorme régression, de mon point de vue: j'avais un outil simple et sécurisé, j'en ai désormais un plus compliqué et potentiellement moins sécurisé.
      • [^] # Re: excuse bidon

        Posté par  . Évalué à -1.

        >plus compliqué et potentiellement moins sécurisé.

        plus compliqué ok, je trouve aussi que pianoter à la souris est plus chiant qu'au clavier...

        moins sécurisé ? pourquoi ?
        - parce que tu laisse un bout de papier près de ton ordi ? naaan !
        - parce que tu visite ta banque en ligne dans un cyber-café ? naaan !

        pourquoi donc alors ?
        • [^] # Re: excuse bidon

          Posté par  (site web personnel) . Évalué à 7.

          - Parce que je visite ma banque en ligne au boulot ? Siiii!
          - Parce que j'ai des enfants a qui je ne souhaite pas confier ces codes ? Siiii!
          - Parce que ca ne concerne en rien ton/ta colocataire, ton/ta partenaire ? Siiii!
          • [^] # Re: excuse bidon

            Posté par  . Évalué à -8.

            > - Parce que je visite ma banque en ligne au boulot ? Siiii!

            et ? tu bosses avec des hackers ?
            faut arrêter la parano là...

            > - Parce que j'ai des enfants a qui je ne souhaite pas confier ces codes ? Siiii!

            et ben ? tu leur donnes pas...
            clavier ou souris, ça change rien...

            > - Parce que ca ne concerne en rien ton/ta colocataire, ton/ta partenaire ? Siiii!

            quel rapport avec le système mis en place ?
            si tu laisses trainer tes codes secret près de l'ordi, que ce soit système clavier ou souris, le résultat sera le même...
            • [^] # Re: excuse bidon

              Posté par  (site web personnel) . Évalué à 2.

              Je parle pas de laisser trainer les code, je parle de regarder par dessus l'épaule.
              Et ça se fait très bien (sans compter les cameras qu'il peut y avoir) d'autant plus que tu te sens en sécurité.

              Franchement c'est déja pas la mort de relever un numero de carte a un distributeur automatique ou en caisse, alors la.
              • [^] # Re: excuse bidon

                Posté par  . Évalué à -7.

                > je parle de regarder par dessus l'épaule.

                perso, je regarde mes comptes uniquement chez moi... donc le shouldersniffing... bof...

                > Et ça se fait très bien (sans compter les cameras qu'il peut y avoir) d'autant plus que tu te sens en sécurité.

                au boulot ? des cameras dans ton dos ? pour relever ton numero de compte bancaire et ton code ????

                faut arrêter de regarder 1984 !!

                le seul danger que je vois pour un système de ce genre, c'est la consultation dans un cyber-café...
                Et si quelqu'un est assez con pour consulter sa banque en ligne dans un cyber-café... enfin... j'irais pas le plaindre...
                • [^] # Re: excuse bidon

                  Posté par  (site web personnel) . Évalué à 5.

                  Alors voila, je suis en déplacement a pétaouchnok et j'ai besoin de voir l'état de mes finances, de faire un virement x ou y parce que sinon je peuts plus faire de retraits pour finir mes vacanes... Alors la j'ai pas le choix, y'a pas d'agence dans le coin (oui, j'suis a l'etrangé) et donc ba, je passe par un cyber café.

                  Sinon t'es peut être seul chez toi mais comme je le dis plus haut, ce n'est pas le cas de tout le monde.

                  Enfin, quitte a arrter 1984, autant laisser l'anti-virus faire son boulot et pas faire chiez avec ce truc en flash de merde qui marche pas sur tous les couples navigateurs/os, notament lorsqu'il sagit de X86_64 ou de navigateurs pour personnes non/mal voyantes qui trouvent certainement ca très pratique de pas aller jusqu'a la banque pour avoir un état des lieux de leur compte ou faire un virement...
                  • [^] # Re: excuse bidon

                    Posté par  . Évalué à 2.

                    1. pour les vacances, je suis pas du tout convaincu ;o)

                    2. chez moi, je suis pas seul, mais la confiance est un peu la base de la relation avec la personne vivant sous le même toit que moi...

                    3. entièrement d'accord.
                    J'avais d'ailleurs envoyé un mail à la société générale lors du changement de système pour leur signaler le problème pour, entre autre, les aveugles.
                    Ils m'avaient, à ma grande surprise, répondu positivement en me demandant des conseils ou des pistes pour rendre l'outil accessible, mais il n'y a visiblement (si je puis dire) pas eut de suite... dommage, ça partait bien...
              • [^] # Re: excuse bidon

                Posté par  . Évalué à -1.

                Je parle pas de laisser trainer les code, je parle de regarder par dessus l'épaule.
                tu as le droit de te retourner pour verifier si quelqu'un est dans ton dos.
                Vu la disposition des touches et la taille du pave numerique, une personne a plus de 2-3 metres ne pourra pas lire correctement le pave numerique.


                Et ça se fait très bien (sans compter les cameras qu'il peut y avoir) d'autant plus que tu te sens en sécurité.
                comme dit plus bas par moi meme, on n'est pas a hollywood, m'etonnerais franchement qu'une camera placee a distance raisonnable (ie : de travers et pas sur ta gueule quoi) puisse donner quoique ce soit comme information valabel.

                Franchement c'est déja pas la mort de relever un numero de carte a un distributeur automatique ou en caisse, alors la.
                c'est pas la mort non plus de se rappeler d'un code client a 8 chiffres (SG). C'est meme depuis que la SG est passe a ce systeme que je me rappelle de mes codes (avant, ils etaient enregistres dans mon FF et j'etais emmerde des que je changeais de poste.)

                Mais dis moi, tu crois pas que les banques se sont posees ces question avant toi?
                Tu crois pas que c'est leur boulot ce genre de choses et qu'ils y ont reflechi longuement avant de mettre en place une solution de ce style?
                Sans compter qu'ils ont acces a bien plus d'infos que toi sur l'utilisation qui est faite de leur site...

                Apres libre a toi de penser que tu es tellement plus malin qu'eux que tu vois en 2 secondes un truc qu'eux n'ont jamais vu.
                • [^] # Re: excuse bidon

                  Posté par  . Évalué à 5.

                  c'est pas la mort non plus de se rappeler d'un code client a 8 chiffres (SG).

                  C'est pas la mort non plus d'aller demander un relevé exceptionnel à ta banque (payant, mais bon, c'est pas la mort), ou de te contenter de tes relevés réguliers. On nous fournissait un outil très pratique, on nous le remplace par un outil moins pratique, sous un prétexte de sécurisation qui semble pour le moins fallacieux. Si toi ça ne te dérange pas, libre à toi. Moi ça me fait chier.
                • [^] # Re: excuse bidon

                  Posté par  . Évalué à 2.

                  Chez moi, l'ID client, c'est le numéro de compte où l'on change les 4 derniers chiffres. On est donc très très loin des 8 chiffres à retenir.
            • [^] # Re: excuse bidon

              Posté par  (site web personnel) . Évalué à 3.

              clavier ou souris, ça change rien...

              Le monsieur a dit qu'il n'utilisait ni l'un ni l'autre, vu qu'il utilisait KWallet, et que maintenant il ne peut plus utiliser KWallet et que donc tout d'un coup, ça revient au même que clavier ou souris.
              • [^] # Re: excuse bidon

                Posté par  . Évalué à 3.

                Par "clavier" j'entendais l'ancien système qui permettait d'accèder à l'interface sans l'usage de la souris, Par "souris" le nouveau qui "nécessite" l'usage de la souris.

                Et moi je répondais au monsieur parce qu'en matière de sécurité, je vois pas pourquoi le nouveau système est moins sécurisé (attention, je dit pas qu'il l'est plus).

                Pour les enfants : ben s'ils n'ont pas le code ils ne pourront pas accéder, donc que les codes soient dans kwallet ou dans la tête, ou sur un papier qui ne sera pas à leur portée, ou est la différence ?

                Pour la coloc' ? ben pareil, j'ose espérer que tu laisses pas trainer tous tes mots de passe et numéro de CB sur un papier près de la porte d'entrée...

                Ce système est chiant, ok, moins securisé ? j'en doute...

                En ce qui concerne, le cyber-café, je pense qu'il y a plus de keylogger dans les cyber-café que de mecs faisant du shouldersniffing...

                Mais vu les scores que je récolte, le shouldersniffing doit être vachement répandu en fait :-), tout comme le dépôt de mot de passe sur des pots-it à la vue de tout le monde...
                • [^] # Re: excuse bidon

                  Posté par  (site web personnel) . Évalué à 2.

                  Pour les enfants : ben s'ils n'ont pas le code ils ne pourront pas accéder, donc que les codes soient dans kwallet ou dans la tête, ou sur un papier qui ne sera pas à leur portée, ou est la différence ?

                  Pour la coloc' ? ben pareil, j'ose espérer que tu laisses pas trainer tous tes mots de passe et numéro de CB sur un papier près de la porte d'entrée...


                  En fait si, on en a déja parlé partout : le "mattage par dessus l'épaule".
                  Ce n'est pas évident de vérifier à chaque fois que tu consulte tes comptes qu'il n'y a personne dans la pièce. Sans compter le fait qu'il est facile de ne pas faire confiance à quelqu'un mais délicat de lui dire.

                  Ce système est chiant, ok, moins securisé ? j'en doute...

                  Ça dépend du point de vue. Je pense qu'il est plus facile d'être sûr qu'il n'y a pas de key-logger sur un pc (anti-virus, toussa) que d'être sur qu'il n'y a pas un mec dans ton dos qui regarde.

                  En ce qui concerne, le cyber-café, je pense qu'il y a plus de keylogger dans les cyber-café que de mecs faisant du shouldersniffing...

                  Je pense l'inverse : il est quand même assez difficile d'installer un key-logger, alors que regarder un mec cliquer, c'est pas à la portée du premier venu.
                  • [^] # Re: excuse bidon

                    Posté par  . Évalué à 2.

                    alors que regarder un mec cliquer, c'est pas à la portée du premier venu.

                    L'inverse, non? ;)
                • [^] # Re: excuse bidon

                  Posté par  . Évalué à 2.

                  Ce que je voulais dire, à la base, c'est que le système présenté comme "plus sécurisé" ne l'était en fait pas, et qu'il allait même jusqu'à être _potentiellement_ moins sécurisé. En tant que tel, de la manière dont je l'utilise actuellement, ma sécurité n'a pas souffert du changement (juste mon confort). Cela dit, le changement en question favorise des comportements critiquables de ce point de vue (tentation de marquer le mot de passe quelque-part, vu que les gestionnaires dédiés à cet usage ne peuvent plus le retenir automatiquement) et des factures aggravants (la saisie du code dans un endroit public quelconque, fut-ce sur un pc fiable, est devenu moins sûre).

                  En cela, oui, je considère qu'il y a eu régression du point de vue de la sécurité, et si cette régression n'est que potentielle en ce qui me concerne c'est bien parce que j'ai refusé de transiger (en notant le mdp, par exemple) et non parce que la régression est inexistante.
      • [^] # Re: excuse bidon

        Posté par  (site web personnel) . Évalué à 3.

        Sauf que ça ne marche pas sous Konqueror.

        Beeep !

        Apparemment, ça marche sous Konqueror depuis quelques jours.
        Je ne sais pas trop depuis quand, mais je suppose que ça vient du passage en KDE 3.5.1, passage qui, même si ça n'a rien à voir avec le sujet, ma complètement vidé mon carnet d'adresse, ce qui a un côté passablement embêtant :-(
        • [^] # Re: excuse bidon

          Posté par  . Évalué à 2.

          Tiens, oui, c'est vrai que je n'ai pas encore regardé avec le 3.5.1. Je zieuterais ça. Si en plus Konqui pouvait accepter de garder le-dit mot de passe dans la wallet, ça serait la fête, mais ne révons pas.

          Pour le vidage de KABC, j'avais déjà eu le cas une fois, et maintenant que tu le dis c'est vrai que ça coïncide avec un changement de version de KDE. Damn!
          • [^] # Re: excuse bidon

            Posté par  (site web personnel) . Évalué à 1.

            Pour le vidage de KABC, j'avais déjà eu le cas une fois, et maintenant que tu le dis c'est vrai que ça coïncide avec un changement de version de KDE. Damn!

            Mmmm... Et forcément, c'est toujours à ce moment qu'on se rend compte que le DD de ce fichu mini-itx, censé faire des sauvegardes, est dans les choux :-(

            Heureusement, paranoïa oblige, mon carnet d'adresse est aussi sauvé dans un carnet d'adresse... papier ! Ouf. Pas de perte de données cette fois-ci. Mais je me suis quand même fait une belle frousse...
            • [^] # Re: excuse bidon

              Posté par  . Évalué à 0.

              Heureusement, paranoïa oblige, mon carnet d'adresse est aussi sauvé dans un carnet d'adresse... papier ! Ouf. Pas de perte de données cette fois-ci. Mais je me suis quand même fait une belle frousse...

              O tempora, O mores, moi c'est le Zaurus qui m'avait sauvé la mise. Mais le principe reste le même :)
    • [^] # Re: excuse bidon

      Posté par  . Évalué à 3.

      Et puis, surtout, c'est tellement pratique pour le personne qui est derrière ton dos ou derrière la caméra de surveillance de connaitre ton mot de passe, c'est beau l'innovation !
      • [^] # Re: excuse bidon

        Posté par  . Évalué à 4.

        derrière la caméra de surveillance de connaitre ton mot de passe

        La vraie vie n'est pas un film americain, on n'est pas capable de tirer un poster 4m*3m d'excellente qualite d'une sous region d'une video faite par une camera mediocre avec grand angle.
        • [^] # Re: excuse bidon

          Posté par  . Évalué à 2.

          C'est vrai, j'exagérais un peu : toujours est-il que je n'aime pas afficher mon mot de passe d'une telle manière. Il est quasiment impossible de suivre correctement ce que quelqu'un écrit au clavier, ce n'est pas le cas quand tu pointes sur une touche de l'écran.
          • [^] # Re: excuse bidon

            Posté par  . Évalué à 1.

            Je pensais la meme chose au debut (j'ai un compte SG Logitelnet qui utilise un systeme similaire).

            En pratique, meme en etant devant l'ecran et connaissant le code secret par coeur, c'est galere de retrouver l'emplacement des boutons (qui sont places de facon aleatoire, je le rappelle).

            Donc je doute qu'une personne etant derriere ton dos a 2-3 metres mini de l'ecran puisse facilement lire les chiffres qui sont clickes.

            Sans compter que generalement, tu consultes ton compte depuis un endroit un minimum de confiance et que tu peux toujours verifier si quelqu'un regarde par dessus ton epaule avant de saisir ton code.
        • [^] # Re: excuse bidon

          Posté par  . Évalué à 2.

    • [^] # Re: excuse bidon

      Posté par  . Évalué à 10.

      a noter que ce type de système d'autentification rend le service innacessible aux personnes handicapées visuelles, ainsi qu'aux personnes qui ne peuvent utiliser la souris.

      C'est plutôt moche, car ce sont les premiers clients des "télé-services".

      De plus cela ne solutionne pas le problème. Un système vulnérable à un keylogger est tout autant vulnérable à un spyware plus évolué qui aura la parade (enregistrer l'écran, les mouvements de souris ..)
      • [^] # Re: excuse bidon

        Posté par  . Évalué à 3.

        Un système vulnérable à un keylogger est tout autant vulnérable à un spyware plus évolué qui aura la parade (enregistrer l'écran, les mouvements de souris ..)

        Pour les mouvements de souris , ca peut pas marcher , le clavier virtuel presenté pour tapper ton mot de passe change aléatoirement l'emplacement des touches.
        • [^] # Re: excuse bidon

          Posté par  (site web personnel) . Évalué à 2.

          Et si on enregistre l'image plutot que les input?
          • [^] # Re: excuse bidon

            Posté par  . Évalué à -1.

            tu te vois enregistrer un screenshot a chaque clic de souris?
            • [^] # Re: excuse bidon

              Posté par  (site web personnel) . Évalué à 3.

              Non, mais de toutes façons le truc qui enregistre ton clavier n'a d'intérêt que s'il sait en même temps faire la correspondance avec l'url du navigateur (sinon il ne sait pas faire la différence entre ce que tu tapes à la calculette et ton mot de passe numérique).

              Et s'il sait faire la correspondance, faire une capture d'écran juste après avoir recu la grille de mot de passe, puis traquer les cliques utilisateurs ... franchement ce n'est pas bien complexe.
              • [^] # Re: excuse bidon

                Posté par  . Évalué à 1.

                Effectivement, au temps pour moi..

                Cela dit, le fait que le systeme est cassable, mais pas encore casse, justifie t il de rester avec un systeme qui est deja casse?
                • [^] # Re: excuse bidon

                  Posté par  (site web personnel) . Évalué à 2.

                  Exactes. D'autant plus que les banques doivent être en partie tenu pour responsable lorsqu'il y a des problèmes de sécurités, en ce sens on ne peut leur interdire ce genre de systèmes.
                • [^] # Re: excuse bidon

                  Posté par  (site web personnel) . Évalué à 3.

                  Il est cassé !
                  Un PoC fonctionnel est sortit en 2005.
                  Le mieux reste encore les one time key.
            • [^] # Re: excuse bidon

              Posté par  (site web personnel) . Évalué à 2.

              ca se fait sans aucun soucis, c'est d'ailleurs comme ca qu'on fait les demo en flash genre wink

              si tu rajoutes la verification des fenetres avant pour voir si t'en a une sur la banque, tu n'as plus besoin de le faire a chaque click, donc ca me semble parfaitement faisable.
            • [^] # Re: excuse bidon

              Posté par  . Évalué à 2.

              • [^] # Re: excuse bidon

                Posté par  . Évalué à 4.

                ouais, c'est vrai.

                Et si tu vas par la, qu'est ce qui te dit que le cable de telephone qui sort de chez toi arrive bien chez ton fai et pas direct dans le camion des chinois du fbi?
                • [^] # Re: excuse bidon

                  Posté par  . Évalué à 1.

                  C'est pas parce que je suis parano qu'ils ne sont pas tous après moi ... ;-)
  • # Stupide!

    Posté par  (site web personnel) . Évalué à 9.

    Sur le plan de la sécurité, c'est totalement stupide en plus! C'est de la sécurité par l'obscurité. Certes cela empechera les keyloggers, mais il suffit que l'attaquant utilise un "screenlogger", ou encore modifie le navigateur pour enregistrer tout ce qui est émis (avant le passage par SSL) quand on a reçu un page contenant le terme "mot de passe", et hop...

    C'est une de ces protections contre un scénario hollywoodien dont parlait Schneier récemment dans Crypto-Gram. On se concentre sur un point précis en espérant que l'attaquant vienne par là et on oublie tout le reste!
    • [^] # Re: Stupide!

      Posté par  (site web personnel) . Évalué à 3.

      Oui...

      En fait, cela dénote plus d'une certaine incompétence, voir de malhonnêteté "de vouloir faire croire que..."

      Haaaa lala, dans quelle monde on vit quand-même :(
      C'est triste...
      Enfin, d'un autre côté, ça peut nous aider à choisir sa banque ;)

      Et puis rien ne nous empêche d'informer "les gens"...
      • [^] # Re: Stupide!

        Posté par  . Évalué à 1.

        ben oui, c'est bien connu, tous les banquiers sont des incompetents, comme tous les ingenieurs de toutes les boites qui font du proprio, a l'inverse des ingé du libres, qui eux sont le top moumoute de ce qui peut exister...

        D'ailleurs, s'ils sont en place ces sales incompetents de merde, c'est parce qu'ils couchent avec la fille du patron/chef de service qui a reussit a les placer (patron qui lui meme a epouse la fille de l'ancien patron etc.) (sacree salope la fille du patron, parce que ca en fait du monde au CA)
        • [^] # Re: Stupide!

          Posté par  . Évalué à 3.

          Heuu, il parlait juste d'un petit point précis qui est la saisie de ses identifiants, il n'a pas généralisé ... pas comme d'autres ...
          Le noir, le blanc, le gris, toussa ...
        • [^] # Re: Stupide!

          Posté par  (site web personnel) . Évalué à 2.

          [pertinent] pour moi car je suis mort de rire et ça fait du bien à cette heure ^_^
        • [^] # Re: Stupide!

          Posté par  . Évalué à 3.

          Bon... c'est le troisième ou quatrième poste que je lis de ce "fameux" nanar...
          Et je me dis : "BORDEL, il pourais pas faire un tout petit effort pour ecrire des phrases un tant soit peu moins grossière... Alors, ok, le politiquement corrèct ça saoul vite, mais l'ordurier a outrance, c'est pas vraiment mieux et ça pousse certaines personnes a vouloir abuser du premier...

          A bon entendeur, salut !
          • [^] # Re: Stupide!

            Posté par  . Évalué à 1.

            Parce que traiter l'equipe qui s'occupe du site web du CA d'incompetente voire de malhonnetes bien peinard derriere son ecran apres avoir reflechi a peu pres 3 secondes et demi a la problematique et sans avoir la moindre idee du l'utilisation courante qui est faite du site, c'est pas grossier?

            C'en est meme insultant tellement c'est narcissique et nombirliste!!! Et sans utiliser d'insulte, ce qui est bien la pire des facons d'insulter..
            "Moâ je sais, moâ je fais mieux que les autres, les autres c'est des incompetents parce que moâ je pense que et que dans mon monde de ma tete a moâ les choses se passent pas comme ca".

            Je suis bien plus choque par ce genre de raisonnement a l'arrachee que par salope, merde ou autre gros mots, qui plus est quand il sont utilises dans une ironie ou un second degre comme je l'ai fait ici...
            • [^] # Re: Stupide!

              Posté par  . Évalué à 3.

              Je serais d'accord sur l'ironie si la pluparts de tes postes n'etant pas autant bouré de "second degré" comme tu dis !

              alors, ceci est mon dernier poste sur la question, je n'est pas envie de pourire ce journal avec mes griefes personnel...

              si tu n'a pas envie que cela s'arrette là, il y a un petit lien ci dessus pour m'envoyer un message personnel...

              sinon, pour me moisser, je ne t'indique pas le chemin, j'imagine que tu connais deja !
              • [^] # Re: Stupide!

                Posté par  . Évalué à 2.

                d'un autre cote, c'est pas comme si c'etait un journal constructif qui cherchait a eviter la polemique et ce dès le titre, hein...
                Yet another troll, alors trollons..

                'fin bref, j'ai donne mon avis, t'en fait ce que tu veux (ouais ouais, meme ca.. oups, desole, c'est grossier aussi ca..)
                • [^] # Re: Stupide!

                  Posté par  . Évalué à 4.

                  Tu serais pas un peu pénible par moment ?
                  On a compris que tu trouvais génial l'authentification de la Sogé, du CA, etc... Plusieurs personnes t'ont expliqué que c'était pénible à l'utilisation et moins sécurisé.

                  Je te ferais remarquer que lorsque LiNuCe a fait un journal sur le nouveau système d'authentification de la socgen, peu de personne était contre à priori ce système, ce n'est qu'à l'usage qu'on a vu qu'il était nul.
                  Pourquoi je te parle de quelqu'un derrière mon dos, tout simplement parce que ça m'est arrivé plusieurs fois et je considère que même ma famille n'a pas à connaitre mon mot de passe.

                  La probabilité que quelqu'un s'amuse à mettre un keylogger sur mon PC est beaucoup plus faible qu'une personne derrière mon dos, sans compter que le nouveau système est aussi sensible à des logiciels espions de ce type.

                  Ensuite, tu nous dis qu'il est impossible de tester les sites sur tous les navigateurs en nous parlant de firefox sur une version précise de SUSE, alors que tu sais parfaitement que firefox sur SUSE est le même que sous Mandriva, Slackware ou OpenBSD.

                  Je me demande vraiment ce que tu cherches à démontrer en défendant ce qui est difficilement défendable, tu travailles au CA ?
                  Moi aussi je bosse dans une banque, et je suis tout à fait conscient que beaucoup de conneries sont faites, un peu d'humilité, ça fait du bien.
                  • [^] # Re: Stupide!

                    Posté par  . Évalué à 1.

                    j'ai jamais que je la trouvais absolument geniale.
                    Juste que ceux qui disent "ouais, mais c'est de la merde" feraient surement mieux d'y reflechir a deux fois.

                    Pour le shoulderlogging, je me suis deja exprime dessus, je suis persuade qu'une personne situee a plus de 2 metre de l'ecran ne pourra pas le lire correctement.

                    Pour terminer je me suis pas exprime sur le test des sites, meme si j'ai tendance a abonder dans son sens.
                    Et tu detournes les propos de la peronne qui a dit ceci, qui disait que ca prenait largement plus de 5 minutes a valider comme l'affirmait une grande gueule, grande gueule qui n'a surement jamais deroule une recette pour avancer une connerie pareille.
                    • [^] # Re: Stupide!

                      Posté par  . Évalué à 0.

                      ...comme l'affirmait une grande gueule, grande gueule qui n'a surement jamais deroule une recette pour avancer une ...

                      Et j'm'y connais !!!
    • [^] # Re: Stupide!

      Posté par  (site web personnel) . Évalué à 8.

      > ou encore modifie le navigateur pour enregistrer tout ce qui est émis
      > (avant le passage par SSL) quand on a reçu un page contenant le
      > terme "mot de passe",

      J'espère que la grille est au moins en double aveugle : le lien entre la case que tu coches et le chiffre que ça active ne peut être fait que de deux façons : via le rendu de l'image ou via le serveur (ce qui veut dire que les identifiants de chaque image et leur url, sont générés aléatoirement à chaque requête et que la correspondance n'est que sur le serveur)


      Ceci dit je suis d'accord sur le reste. Ca donne une superbe impression de sécurité mais ça ne sécurise rien. Un logiciel espion peut tout à fait faire la capture du rendu des images avant d'enregistrer les clics quand il sait qu'il est sur la page de login.

      C'est même pire : depuis ce truc à la sogé, je ne peux plus regarder mon compte en présence d'un tiers. Autant le clavier je peux taper à peu près tranquillement, autant ce truc visuel gros en rouge sur l'écran avec une mire autour de la souris, si le gars à coté ou derrière ne peut pas voir/retenir mon mot de passe c'est qu'il est totalement bigleux.

      Si vraiment c'était un problème de sécurité ils changeraient déjà les mots de passe pour mettre une vrai combinaison de caractères et pas seulement une suite de chiffres. Là c'est juste un problème d'impression de sécurité. Et c'est aussi pour ça que toutes les banques sont obligé de suivre, sinon leurs utilisateurs vont avoir l'impression d'être moins sécurisés (en fait je vais être encore plus cynique, il n'est pas impossible que ce soit le responsable informatique qui ait l'impression que son système est moins sécurisé que les autres banques et qui demande l'ajout du clavier virtuel sans même étudier si c'est vraiment utile).
  • # Pareil pour la BNP

    Posté par  . Évalué à 1.

    Même chose pour la BNP, qui utilise un clavier virtuel pour le mot de passe.

    Ce clavier est composé de 25 cases je crois, avec seulement 10 chiffres dedans (il y a des cases vides) qui sont répartis de manière aléatoire.

    Pour voir ce que ça donne :
    http://www.bnpparibas.net/banque/portail/particulier/Fiche?t(...)

    Pour résumer, c'est vraiment pratique, et ça marche partout !
    • [^] # Re: Pareil pour la BNP

      Posté par  (site web personnel) . Évalué à 4.

      pratique ? par rapport à un bon vieux champ de mot de passe ? en quoi est-ce plus pratique ? (mis à part que toute l'assistance peut vérifier si tu ne fais pas une mauvaise saisie ;))
  • # IE for Mac

    Posté par  . Évalué à 4.

    Ils sont au courant que IE pour Mac n'est plus téléchargeable sur le site de MS (http://www.microsoft.com/mac/products/internetexplorer/inter(...)
    MS conseille même l'utilisation de Safari.
    • [^] # Re: IE for Mac

      Posté par  . Évalué à 4.

      Et le comble, Microsoft déconseille l'utilisation d'Internet Explorer for Mac, pour des questions de sécurité:

      « Microsoft ended support for Internet Explorer for Mac on December 31st, 2005, and is not providing any further security or performance updates. »
    • [^] # Re: IE for Mac

      Posté par  . Évalué à 3.

      Oui, mais je suis sur qu'en cherchant bien sur le même site, microsoft conseille l'utilisation de Microsoft Windows... -->[]
      • [^] # Re: IE for Mac

        Posté par  . Évalué à 2.

        microsoft conseille l'utilisation de Microsoft Windows... -->[]

        Et en plus, ce sera sans doute possible même sur un Mac ... maintenant qu'Apple fait des PC.
        • [^] # Re: IE for Mac

          Posté par  (site web personnel) . Évalué à 3.

          A priori, ce n'est pas demain la veille : microsoft ne prévoit pas de sortir un système capable de comprendre le bios spécial des mac... Tu auras plus vite fait d'avoir un émulateur windows (ou un wine) qui tourne, mais il n'y avait pas besoin d'attendre le changement de processeur pour cela.
          • [^] # Re: IE for Mac

            Posté par  . Évalué à 3.

            Sauf que comme le-dit émulateur n'aura pas à émuler le processeur (ou du moins uniquement ses I/O), on pourra espérer quelque-chose de bien plus proche de la vitesse native qu'auparavant.
  • # avant clavier virtuel faut revoir mot de passe

    Posté par  (site web personnel) . Évalué à 2.

    euh je suis un peu dégouté la par CA :D (bon c'est pas nouveau) mais bien avant d'avoir une auth via un pseudo clavier virtuel j'aurais préféré une authentification avec un mot de passe autre que 6 chiffres, car le CA ne permet que la saisie de 6 chiffres en mot de passe, je n'ose imaginer le nombre de personnes ayant mis leur date de naissance en pass lol.

    enfin s'ils ont l'impression de sécuriser ainsi....
    • [^] # Re: avant clavier virtuel faut revoir mot de passe

      Posté par  . Évalué à 3.

      Au crédit lyonnais c'est la même chose, que des chiffres. Et pas plus de 6 non plus. Je trouve que niveau sécurité c'est un peu lamentable.
      Après, au CL, ils limitent à 3 tentatives, après ils bloquent. Ca limite les dégâts. Le CA ne le fait apparemment pas, ou alors ils le cachent bien.
      • [^] # Re: avant clavier virtuel faut revoir mot de passe

        Posté par  (site web personnel) . Évalué à 1.

        Et puis au CL tout est en https, tu consultes pas tes comptes en https après t'être loggué en http.
      • [^] # Re: avant clavier virtuel faut revoir mot de passe

        Posté par  . Évalué à 1.

        Au CA, il me semble aussi qu'il y a blocage après trois tentatives (je n'ai aucune source sous la main, juste mon expérience personnelle ;-)).
        • [^] # Re: avant clavier virtuel faut revoir mot de passe

          Posté par  . Évalué à 2.

          Non, ils l'indiquent clairement un peu partout dans les pages d'aides. Le CA ayant mangé le CL il y a quelques années, ce n'est pas étonnant que la même politique soit en vigueur.

          Et je confirme que cette banque est un peu nulle : il suffit de faire 50 kilomètres pour ne plus pouvoir rien faire d'autre que tirer des sous à un automate avec sa carte bancaire. Soit-disant que les caisses régionnales ne sont pas reliées entre elles...
  • # Navigateurs 'alternatifs' pas oubliés

    Posté par  (site web personnel) . Évalué à 5.

    J'ai envoyé un mail de demande d'explications et il m'ont répondu qu'ils testaient avec :
    Firefox (Win/Lin/Mac), Mozilla (pareil), Netscape7, Opera, Safari, AOL et Wanadoo (oui, une skin Wanadoo sur le moteur d'IE).

    Il est donc probable qu'un Konqueror récent (3.5) passe.

    Par contre, c'est une belle connerie ce système.
    • [^] # Re: Navigateurs 'alternatifs' pas oubliés

      Posté par  . Évalué à 1.

      ouai, j'ai essayé 3-4 fois et mystérieusement à la fin ça a fonctionné. Pour l'instant le CIC reste avec une solution login/password classique et c'est tant mieux
    • [^] # Re: Navigateurs 'alternatifs' pas oubliés

      Posté par  . Évalué à 2.

      Sur la page d'explication du CA IDF:
      https://www.paris-enligne.credit-agricole.fr/g1/ssl/vitrine/(...)

      Ils ne conseillent aucun navigateur en particulier, et indique même une liste assez complètes des navigateurs compatibles sur les 3 plateformes Win/Linux/Mac.

      Apparemment chaque CA gère son propre système:
      - Anjou-Maine -> vieux système login/password en HTTP
      - Paris-IDF -> à la souris avec un clavier de 10 touches
      - Ile et Vilaine -> grand tableau de 25 cases avec remplissage aléatoire
  • # Vive la sécurité

    Posté par  (site web personnel) . Évalué à 3.

    C'est vrai maintenant les personnes derrières moi vont pouvoir regarder le code que je tape. En plus on va leur laisser le temps de bien regarder (le temps de rechercher les chiffres qui bougent tous le temps).

    Comment on fait quand on est dans un openspace ?
    • [^] # Re: Vive la sécurité

      Posté par  . Évalué à 8.

      Comment on fait quand on est dans un openspace ?

      On bosse, et on consulte son compte depuis la maison. /o\

      "Il faut" (Ezekiel 18:4) "forniquer" (Corinthiens 6:9, 10) "avec des chiens" (Thessaloniciens 1:6-9) "morts" (Timothée 3:1-10).

      • [^] # Re: Vive la sécurité

        Posté par  . Évalué à 4.

        Oui, mais j'aime bien aller me beurrer la tronche en sortant du bureau moi, et j'ai besoin de savoir combien de verre je peux prendre avant de me faire foutre dehors à cause d'une carte bleue qui passe plus
        • [^] # Re: Vive la sécurité

          Posté par  . Évalué à 8.

          Si t'es obligé de regarder tous les jours combien il reste sur ton compte, faut vraiment que t'arrêtes de te beurrer la tronche ;-)
        • [^] # Re: Vive la sécurité

          Posté par  . Évalué à 1.

          Il n'existe pas un service de ta banque qui t'envoie un SMS avec l'etat de tes comptes ?
          Rhalala, mauvaise banque, changer banque !
  • # Keylogger sous Win, c'est Linux qui prend

    Posté par  (site web personnel) . Évalué à 5.

    C'est quand même un comble que, en cause des keyloggers Windows, les systèmes alternatifs soient mis de coté.

    Remarque, si pour eux Internet explorer est un navigateur moderne et fiable...
  • # de toute facon avec un mot de passe entré en clair....

    Posté par  . Évalué à 3.

    su ca-centrest.fr, le mot de passe ainsi que le numéro de compte est entré dans une page en http..... et ensuite on se retrouve en ssl dans notre gestion de compte...

    j'appele pas ca etre sécurisé (envoi en clair du n° de compte et du password), donc l'utilisation d'un clavier virtuel va rien changer si tout est encore transféré en http..

    et vous qu'en pensez vous?
  • # Completement crétin

    Posté par  . Évalué à 5.

    Non seulement n'importe qui peut voir beaucoup plus facilement physiquement le code que ceux qui sont au crédit agricole tapent, mais en plus ca sert strictement à rien plus qu'il suffit de coder un truc qui grab l'affichage de l'écran et les événement de la souris et reconnait les chiffres au lieu de coder un keyloguer (un petit peu plus difficile techniquement, mais au vu des enjeux ca va pas prendre très longtemps avant que les escrocs s'y mettent).

    Update: après mattage de comment est fait le bidule, c'est encore plus simple que je pensais à contourner : il suffit de coder des plugins pour les navigateurs.
  • # Et l'intêret d'un clavier virtuel

    Posté par  . Évalué à 6.

    Je sens qu'on va bientôt voir apparaitre des mouse-logger
  • # Picardie

    Posté par  . Évalué à 1.

    L'agence du CA brie-picardie a migré depuis 15 jours.
    L'interface fonctionne sans probleme sous firefox.
  • # Parade inutile !!

    Posté par  . Évalué à 3.

    Comme déjà dit dans quelques posts plus haut, ce genre de parade de sert à rien.

    Dans les rump session du SSTIC2005 (tres bonne conf soit dit en passant) Nicolas Gregoire a présenté un Proof of Concept a ce sujet.
    ses slides :
    http://actes.sstic.org/SSTIC05/Rump_sessions/SSTIC05-rump-Gr(...)

    Le concept : un simple hook souris sur WM_LBUTTONDOWN, on chope une image de l'environnement autour du curseur, le tour est joué !

    L'attaque existe donc déjà avant que la "solution" ne se démocratise vraiment.

    Bref, encore un truc inutile fait pour donner confiance aux utilisateurs. Mais les banques sont coutumières du fait. Une de leur tentative qui m'a fait hurler de rire (date un peu):
    Ils ont voulu facturer un service de numéro de carte bancaire a usage unique, pour que l'utilisateur ne se fasse pas voler son numero.
    J'adooore ce principe : faire payer une assurance qui les couvre eux, et non le client (vu que dans le cas d'une telle fraude, la banque doit rembourser, point barre)
    • [^] # Re: Parade inutile !!

      Posté par  (site web personnel) . Évalué à 5.

      Ils ont voulu facturer un service de numéro de carte bancaire a usage unique, pour que l'utilisateur ne se fasse pas voler son numero.
      Au moins au crédit lyonnais j'ai ça gratos depuis des années...

      J'adooore ce principe : faire payer une assurance qui les couvre eux, et non le client (vu que dans le cas d'une telle fraude, la banque doit rembourser, point barre)
      Oui mais ca t'apporte du confort, ca évite de te retrouver dans la merde parce que que t'es à découvert imprévu alors que t'es en vacances au loin et que quelqu'un a vidé ton compte.
  • # Ok avec firefox, KO avec les browsers texte

    Posté par  (site web personnel, Mastodon) . Évalué à 2.

    Cela fonctionne sans problème avec Firefox (win/linux) depuis des mois avec le CA Ile-de-France.

    Par contre, on est maintenant quasi obligés d'utiliser la souris (perte de temps), et surtout avec les navigateurs en texte comme lynx ou links, le site n'est plus accessible :(

    WeeChat, the extensible chat client

    • [^] # Re: Ok avec firefox, KO avec les browsers texte

      Posté par  . Évalué à 2.

      D'un autre côté, j'aimerais bien savoir quelle est l'utilité de surfer en mode texte, à part une expérience SM ponctuelle ou en cas de perte de serveur graphique. Je veux pas être méchant, mais à la base, le web, les navigateurs et tout ce qui tourne autour, c'est quand même largement prévu pour une utilisation avec des vrais navigateurs graphiques et tout, pas pour des espèces de minitels améliorés.
  • # ca paris

    Posté par  . Évalué à 3.

    Le site du CA Paris a mis en place ce système il y'a plusieurs mois.

    J'avais écrit il y'a plus d'un an un script PHP pour récuperer les opérations effectués sur mon compte ( http://jemore.nerim.net/dotclear/index.php?2004/10/15/7-curl(...) ) , mais même avec leur nouveau système d'authentification, mon script continu de fonctionner...

    Donc c'est peut etre protégé des Keyloggers (et pas des mouselogers) , mais pas d'autres choses...
  • # Et les déficients visuels dans tout cela ?

    Posté par  . Évalué à 6.

    Etant non voyant, je suis victime de ce changement. Heureusement, pour l’instant le site de la caisse d’Epargne propose encore un mode d’authentification classique mais j’appréhende le jour où cette solution sera mise en place. Un rapide test sur le site de la B.N.P est édifiant, il m’est impossible d’avoir une représentation du clavier virtuelle via l’interface de lecture d’écran. En conclusion, merci du progrès et j’espère que les associations du handicap visuel prendront le problème en charge afin qu’une solution alternative soit rapidement trouvée.
  • # Illegal

    Posté par  . Évalué à 1.

    Bonjour,

    Sur l'abul, nous avions remarqué que ce genre de pratique est illegal. Je n'ai pas l'article de lois exactement, il s'agit des loi contre les discriminations sur la consomation (service, produit etc..).

    frederick
  • # ok pour cmds

    Posté par  . Évalué à 1.

    Rien à signaler pour le site de l'agence de Charente-Maritime Deux-Sèvres, on a toujours le bon vieux formulaire :¬)
    • [^] # Re: ok pour cmds

      Posté par  . Évalué à 1.

      Le Crédit Agricole Charente Maritime passe au clavier virtuel aussi.
      Je leur ai ecris pour demander des précisions sur cet article:

      "2 - Votre ordinateur est-il adapté ?
      La mise en place de ce nouveau mode d'accès à vos comptes requiert les
      caractéristiques techniques standards de votre ordinateur. Vous pouvez
      télécharger la dernière version du navigateur Internet Explorer"

      Et leur demander si cela fonctionnait pour MAC, GNU/linux et firefox

      Eh bien, ils ont corrigés le site selon mes recommendations :-)

      2 - Votre ordinateur est-il adapté ?

      La mise en place de ce nouveau mode d'accès à vos comptes requiert les caractéristiques techniques standards de votre ordinateur. Il a été testé avec les principaux systèmes d'exploitation (Windows, MAC OSX, Linux...) et navigateurs du marché (Internet Explorer, Firefox, Safari...) et il est utilisable, grâce à l'ajout d'un logiciel spécifique, par les personnes mal voyantes.
      En cas de difficultés, nous vous invitons à télécharger la version la plus récente de votre navigateur.


      Bravo au CA-CMDS.

      Celui qui pose une question est bête cinq minutes, celui qui n'en pose pas le reste toute sa vie.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.