Journal [ sécurité ] Comment se faire plomber sa messagerie (ou tout autre compte) par la "question secrète"

Posté par .
24
3
mai
2012

Pour ceux qui ne sont pas au courant, l'actrice Scarlett Johansson ainsi qu'une cinquantaine d'autres "peoples" se sont fait "pirater" leur messagerie. Habituellement je ne m'intéresse pas aux actualités "people", mais dans ce cas-ci je ferai une exception. En effet, ce qui est intéressant ici, c'est surtout la méthode employée par le gars qui a piraté les comptes : détermination de l'adresse email de la victime en envoyant des mails "bidon" : lorsque le mail ne revient pas, il considère que l'adresse est la bonne. Ensuite, tentative de récupération du mot de passe en répondant aux fameuses "questions secrètes" : et là il se sert de la presse people pour obtenir ces informations.

Ca fait longtemps que je trouve ces questions débiles : on demande aux gens de ne pas choisir un mot de passe correspondant au nom de leur chien, à leur date de naissance ou autre truc personnel, et ensuite on leur pose la question débile à laquelle n'importe qui pourrait répondre en s'informant un peu (je me rappelle que certains sites ou certains banques demandent de valider le paiement par carte en ajoutant à la saisie des informations de ladite carte un code personnel qui est en général la date de naissance du titulaire de la carte).

Alors que faire maintenant ? Contacter les sites utilisant ces méthodes pour qu'ils cessent de suite d'utiliser ce procédé minable de récupération de mots de passe ?

  • # questions

    Posté par . Évalué à 5.

    C'est pas évident de trouver une question personnelle généraliste que personne ne peut trouver en faisant des recherches.

    La seule que j'ai trouvé est de demander le 1er numéro de téléphone que l'on a connu. C'est en général le seul que l'on se rappelle tout sa vie.

    Vous en avez trouver d'autres ?

    "La première sécurité est la liberté"

    • [^] # Re: questions

      Posté par . Évalué à 10.

      Il suffit de mettre une réponse fausse dont on se souviendra…

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: questions

        Posté par . Évalué à 6.

        La réponse secrète donne le même niveau d'accès que le mot de passe, donc il faut que ça soit aussi sécurisé que le mot de passe (plutôt que de mettre un truc dont je me souviendrai, je mets un uuid)

      • [^] # Re: questions

        Posté par . Évalué à 4.

        C'est souvent le problème : comment se souvenir de cette réponse alors que l'on l'utilise bien moins souvent qu'un mot de passe par définition. Cela ne peut être qu'une chose que l'on connais depuis toujours et qui ne peut pas être trouvé par d'autre.

        "La première sécurité est la liberté"

        • [^] # Re: questions

          Posté par . Évalué à 6. Dernière modification le 03/05/12 à 13:11.

          En fait j'ai trouvé la solution, du moins pour moi. Certains sites proposent de créer soi même la question; j'ai choisi "êtes vous entré dans la Moria?" Et pour le coup je considère toujours que la question n'a pas d'importance, je met toujours le même genre de réponse.

          La réponse n'est pas aussi simple qu'il puisse paraître ;)

          Il ne faut pas décorner les boeufs avant d'avoir semé le vent

          • [^] # Re: questions

            Posté par . Évalué à 10.

            Bonne idée, à l'exception près que ça revient à avoir le même mot de passe partout.

            • [^] # Re: questions

              Posté par . Évalué à 2.

              En fait selon les sites j'ai souvent les même couple login/mots de passes, sauf pour de rare exceptions où j'ai un mot de passe spécifique.

              La réponse à la question secrète est généralement l'un de mes premier mot de passe qui n'est plus d'actualité, sur un autre site je demande si j'ai franchi le Rubicon (qui fut le nom du serveur à la maison faisant office de firewall). Enfin bref il faut se souvenir des anciens mot de passe admin de certaines machines. Je sais que je ne vais pas les oublier, le tout est de savoir lequel est le bon ;)

              Il ne faut pas décorner les boeufs avant d'avoir semé le vent

          • [^] # êtes vous entré dans la Moria?

            Posté par (page perso) . Évalué à 2.

            « Oui, pour affaire, et je suis pas peu fière d’avoir réussie à entuber des nains en la matière. »

            Ahah, trop facile, à moi tout tes comptes !

            • [^] # Re: êtes vous entré dans la Moria?

              Posté par . Évalué à 2.

              pour t'aider, je vais au moins te dire ce que ce n'est pas
              ce n'est pas mellon, ni pastèque, et encore moins ami, ni des variations sur ces thèmes là ;)

              Note bien un mot de passe
              NiMelonNiPasteque ça doit donner pas mal comme mot de passe ;)

              Il ne faut pas décorner les boeufs avant d'avoir semé le vent

        • [^] # Re: questions

          Posté par (page perso) . Évalué à 3.

          comment se souvenir de cette réponse alors que l'on l'utilise bien moins souvent qu'un mot de passe par définition.

          En utilisant une passgrid bien sûr!

          https://devnewton.bci.im/projects/passgrid

          http://devnewton.bci.im

          • [^] # Re: questions

            Posté par . Évalué à 2.

            À propos de ça, pourquoi avez-vous retiré le mode non-déterministe ?

            • [^] # Re: questions

              Posté par (page perso) . Évalué à 1.

              Pour pouvoir regénérer certains passgrids juste à partir de leurs noms.

              http://devnewton.bci.im

              • [^] # Re: questions

                Posté par . Évalué à 2.

                Ça ne répond pas à la question, vous en aviez fait une option, proposant ainsi les deux modes possibles. Pourquoi n'avez vous gardé qu'un seul des deux ? (et qui se trouve de plus être le mode qui ne correspond pas à la référence que vous citez)

                • [^] # Re: questions

                  Posté par (page perso) . Évalué à 3.

                  Je ne me souviens plus trop pourquoi j'ai retiré l'option, sans doute parce qu'il suffit de taper n'importe quoi pour obtenir une grille aléatoire :-)

                  Je dois reprendre ce code un de ces jours pour en faire une version plus sympatique, mais si vous avez envie de l'améliorer, le code est simple et libre!

                  http://devnewton.bci.im

          • [^] # Re: questions

            Posté par (page perso) . Évalué à 2. Dernière modification le 03/05/12 à 19:05.

            Mon passgrid est dans mon salon

            Un bouquin dans ma bibliothèque, toujours le même, ouvrir une page au hasard, prendre la première phrase, les première lettres de chaque mots. recommencer jusqu'à ce que ça aie de la gueule, noter juste le numéro de la page quelque-part. On peut compliquer un poil, remplacer certaines lettres par des chiffres… L'important est de toujours utiliser le même principe

            • [^] # Re: questions

              Posté par . Évalué à 2.

              Ce n'est pas exactement le principe de la grille de mot de passe décrite à l'origine. Le principe est que l'on peut jeter la grille pour oublier volontairement le mot de passe. Là, il vous faudra jeter un livre, ce qui serait dommage.

      • [^] # Re: questions

        Posté par . Évalué à 1.

        J'ai pommé mon mail laposte.net comme ça… (sic)

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: questions

        Posté par (page perso) . Évalué à 3.

        Ou dont on ne se souviendra pas… sur la majorité des sites, tu peux déjà générer un nouveau mot de passe envoyé par mail si tu l'oublies, je vois pas l'intérêt d'une «question secrète» en plus… (non pas qu'il ne puisse pas y avoir de problème de sécurité par ce biais, certes, mais vu que la plupart du temps c'est une option qui existe déjà et que tu peux pas désactiver…)

    • [^] # Re: questions

      Posté par (page perso) . Évalué à 3.

      Question "Nom de jeune fille de ma mère"
      Réponse: numéro carte identité chiffré :)

      • [^] # Re: questions

        Posté par (page perso) . Évalué à 10.

        Et ça n'a pas été trop dur à porter comme nom ? :/

        Pensez à l'environnement avant d'imprimer ce commentaire - Please consider the environment before printing this comment

        • [^] # Re: questions

          Posté par (page perso) . Évalué à 10.

          Marrant, ça me fait penser à ça :).

          Titre de l'image

          • [^] # Re: questions

            Posté par (page perso) . Évalué à 10.

            C'est dommage, dans 6 mois, quand tout le monde ne ferra plus que du NoSQL, plus personne ne comprendra la blague.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: questions

              Posté par . Évalué à 5.

              bien sûr. D'ailleurs, plus personne ne sait lire le C.

    • [^] # Re: questions

      Posté par . Évalué à 10.

      Dans le système qu'on utilise au boulot, il faut choisir et répondre à 3 questions… parmi une liste de 25 et chaque réponse doit être différente… Donc tout le monde sélectionne les 3 premières questions et répond 0 1 et 2

    • [^] # Re: questions

      Posté par (page perso) . Évalué à 3.

      De mon côté j'écris des trucs au hasard dans les champs de réponse à ces questions "personnelles".
      Je trouve cette manie complètement débile de demander une question secrète. Comme si le prénom de mon chien n'était connu que par moi…

      Du coup mes réponses à ces questions ressemblent à ça: é'(_àrhjseè_çzqè_çàzhqèçqwhsrè_çz'qè_orvohqwoç_qaé&, comme ça je suis sûr que personne (y compris moi) ne pourra y répondre.
      Quand je perd vraiment mon mot de passe, j'envoie un mail au service technique du site concerné.

      • [^] # Re: questions

        Posté par . Évalué à 3. Dernière modification le 03/05/12 à 16:32.

        Je suis d'accord avec toi. Je préfère encore stocker mes mots de passes dans un carnet plutôt qu'utiliser cette abhérration de question secrète (je parle du truc en papier vous savez ?), je le fait pour les sites dont je sais que je risque de ne pas me reconnecter de si tôt, pour les autres j'utilise ma mémoire de poisson rouge. Il faut garder le carnet en lieu sûr évidemment. Par contre :

        Quand je perd vraiment mon mot de passe, j'envoie un mail au service technique du site concerné.

        Tu envois un mail au service technique de google.com (c'est tout juste si tu leur tapes pas sur l'épaule…) il te reset ton password sans broncher ? :)

      • [^] # Re: questions

        Posté par . Évalué à 4.

        "Quand je perd vraiment mon mot de passe, j'envoie un mail au service technique du site concerné."

        C'est plus sécurisé comme technique ?

        "La première sécurité est la liberté"

        • [^] # Re: questions

          Posté par . Évalué à 2.

          Tu fais comment quad tu perds le mot de passe de ta messagerie pour envoyer un mail ?

          • [^] # Re: questions

            Posté par . Évalué à 5. Dernière modification le 03/05/12 à 18:01.

            Pour ma messagerie je profite de ce que je paye, à savoir le fournisseur qui me fournit la connexion ADSL et les services minimaux qui vont avec (smtp, pop3s, imap, httpd, postgresql, etc…) De toute façon ils routent déjà tout mon traffic et c'est eux que le juge viendra requérir pour éplucher mes logs sur 3 ans. Alors évidemment c'est toujours bien d'avoir ces services ailleurs (free, ovh ou que sais-je) mais au moins ce mot de passe là je sais que j'ai vais éventuellement pouvoir le faire reseté par téléphone, vu que je paye, je suis client. Par contre google, yahoo, facebook, msn, voir wikipédia ou la poste.net, amha : macache.

        • [^] # Re: questions

          Posté par . Évalué à 3.

          Je l'ai fait avec hotmail, en envoyant un email depuis une autre adresse. Une des informations demandées était les adresses IP depuis lesquelles j'avais l'habitude de me connecter. J'ai pu ainsi récupérer mon compte, mais malheureusement pas mes messages, effacés par celui qui avait réussi à accéder à mon compte (pas en trouvant mon mot de passe, mais en récupérant mon cookie via un bug sur une page microsoft).

      • [^] # Re: questions

        Posté par . Évalué à 3.

        Il a un drôle de nom ton chien.

        Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

      • [^] # Re: questions

        Posté par . Évalué à 3.

        Idem, je mets des caractères aléatoires que je notes dans mon trousseaux avec le mot de passe.
        C'est vraiment débile de pensé que le nom de mon chien est sécure.
        "Sécure, au pied".

  • # Facebook est l'

    Posté par (page perso) . Évalué à 8.

    Je connaissais quelqu'un qui se servait de Facebook pour répondre aux questions secrètes, ça marchait bien.

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # mot de passe

    Posté par (page perso) . Évalué à 4.

    C'est pas tout à fait dans le sujet mais c'est plutôt intéressant.
    L'un des problèmes est la difficulté à casser un mot de passe. Dans ce sens, est-il mieux d'utiliser Tr0ub4dour&3(un mot de passe généré, avec toutes les catégories qui vont bien) ou un mot de passe qui peut avoir du sens mais qui est long comme correcthorsebatterystaple (Correct Horse Battery Staple) ?
    http://tech.dropbox.com/?p=165

    Le fond du problème c'est finalement d'avoir un mot de passe suffisamment complexe pour ne pas être cassé ni trouvé trop rapidement tout en étant facile à retrouver… La question secrète était valable il y a quelques temps lorsqu'il était plus complexe (mais loin d'être impossible) de trouver la réponse. Aujourd'hui avec les réseaux sociaux, le web, et plus globalement la quantité de données qui circule il est assez facile de trouver des réponses. Et là c'est le drame…
    Au final, quelque soit la solution technique, il restera quasiment toujours des facteurs humains qui font qu'on pourra contourner ces systèmes, et dans certains cas très facilement.
    A ce sujet, un bouquin qu'il est pas mal L'art de la supercherie

    • [^] # Re: mot de passe

      Posté par . Évalué à 10.

      Tu as oublié le traditionnel lien vers XKCD.

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

    • [^] # Re: mot de passe

      Posté par (page perso) . Évalué à 6.

      J'en profite pour citer une pratique qui m'horripile au plus au point et qui me fait me poser des questions sur le sérieux de pas mal de services :

      Bank of America doesn’t allow passwords over 20 characters […] eBay doesn’t allow passwords over 20 characters either.

      Bordel, c'est quoi la raison officielle ?

      Si j'étais médisant, je dirais que c'est parce que la table users a un champ password configuré pour être un VARCHAR(20)

      • [^] # Re: mot de passe

        Posté par . Évalué à 7.

        C'est pour que la NSA puisse les craquer en un temps acceptable.

  • # Utiliser son cerveau

    Posté par . Évalué à 2.

    Personnellement, je ne mets que un truc merdique que je ne souhaite même pas rappeler. Si je suis boulet au point d'oublier mon mdp, c'est que je mérite ce qui m'arrive.

    Avant, j'utilisais 3-4 mot de passe par niveau de sécurité requis, maintenant, j'utilise une appli sur mon téléphone avec un mot de passe maître et des mot de passe différent pout chaque truc.

    • [^] # Re: Utiliser son cerveau

      Posté par . Évalué à 2.

      Et si tu perds ton téléphone? t'as une sauvegarde?

    • [^] # Re: Utiliser son cerveau

      Posté par (page perso) . Évalué à 2.

      Et bien entendu, ta base de données de mots de passe est sauvegardée, hein ?
      Nan parce que ce serait bête :)

      • [^] # Re: Utiliser son cerveau

        Posté par . Évalué à 4.

        Pas besoin quand on utilise un générateur de mot de passe qui génère juste un hash à partir du couple maître/URL !

    • [^] # La question secrète est inutile… ou presque !

      Posté par . Évalué à 2.

      J'ai pour principe de toujours répondre une séquence aléatoires de chiffres, lettres et caractères spéciaux à ce type de question. Bien entendu, je ne la note pas, considérant que cette question secrète est une hérésie et une perte de temps.

      Si je n'ai jamais eu de souci pour 99.9% des sites auxquels je suis inscris, j'ai il y a peu reçu une demande de confirmation de compte pour éviter une désactivation après 3 ans sans m'être connecté à je ne sais plus quel service. (Ce n'était pas un hameçonnage)

      Et bien ce service dont j'ai oublié le nom voulais que je réponde à la question secrète, en plus de mot de passe, pour confirmer que je possédais toujours ce compte…

      Résultat : pas moyen de reconfirmer mon compte. Heureusement qu'il s'agissait d'un site mineur, peu important dans l'absolu. (Même pas moyen de me souvenir duquel il s'agissait, c'est dire)

      Sinon récemment j'ai trouvé ce service, qui me parait intéressant sur bien des aspects : lastpass.com
      C'est un service de stockage/génération de mot de passe chiffré et multiplateforme. Je tente l'expérience sur quelques comptes secondaires depuis peu, cela permet par exemple de se connecter facilement à un forum même sur téléphone, où taper un long mot de passe par site devient ennuyeux. L'aspect sécuritaire semble avoir été bien léché, mais je ne suis pas expert dans le domaine.

      • [^] # Re: La question secrète est inutile… ou presque !

        Posté par . Évalué à 2. Dernière modification le 03/05/12 à 16:02.

        Intéressant mais proprio ce soft.

        http://forums.lastpass.com/viewtopic.php?f=12&t=8

        L'auteur explique qu'il n'y a pas de problème, l'algorithme de chiffrage/déchiffrage est connu, chacun peut l'implémenter et comparer le résultat avec les fichiers générés par leur application…

        Mais je me pose une question : ne serait-il pas possible à l'application d'envoyer (en +) des données non chiffrées ou chiffrées avec une clé connue seulement de l'application et de ses auteurs ? Ça serait vite repéré en observant le comportement du soft ?

        Voilà : çapucépalibre c'est dommage.

        Moi je verrai bien un truc tout con pour stocker les mots de passes, un fichier texte chiffré, en peu dans le genre d'un vim -x mais en plus robuste. J'ai déjà essayé de jouer avec nano, openssl et des pipes dans tous les sens mais je n'y suis pas arrivé. Peut-être que vim peut utiliser AES-256 à la place d'un simple crypt() maintenant ?

        Bref, quitte à créer une sorte de "single point of failure" en utilisant un mot de passe maître, il me paraît plus simple d'utiliser un soft déjà disponible pour cela. Ne serait-ce que Excel, qui peut chiffrer un fichier avec AES-256… (Bon j'aurais plus confiance dans un soft libre plutôt qu'une bouse MS mais voilà quoi…)

        • [^] # Re: La question secrète est inutile… ou presque !

          Posté par . Évalué à 1.

          il me paraît plus simple d'utiliser un soft déjà disponible pour cela

          Oui en effet. Il existe déjà kwallet, gnome-keyring, ou pourquoi pas pwsafe en console. Les solutions ne manquent pas mais pourtant à lire les commentaires de ce journal il semble que très peu ici les utilisent! Ils sont pourtant bien pratique. kwallet, par ex, en plus de mémoriser les mots de passe peut préremplir la page concernée lors d'une visite ultérieure, et pwsafe permet de générer des mots de passe avec une interface très pratique.

          • [^] # Re: La question secrète est inutile… ou presque !

            Posté par . Évalué à 1.

            Je rebondis sur ce commentaire qui commence à dater :
            Malgré le côté propriétaire de LastPass, ce qui me plaît c'est d'avoir à portée de main une méthode d'authentification rapide quelque soit l'appareil / OS que j'utilise.

            Saisir un mpd complexe sur Smartphone est trop "complexe", cet appareil doit être simple et rapide à utiliser pour moi. Après je traite différemment mes comptes "sensibles" (banques, moyens de paiement, mails) et mes comptes "pratiques" (forums, comptes utilisateurs, etc).

            Le jour ou un vrai équivalent LastPass en libre débarque, je migre de suite.

  • # la sécurité pour Mme Michu (ou les PDG) reste à inventer

    Posté par (page perso) . Évalué à 7.

    Pour illustrer cela, un extrait/résumé d'un article du Canard Enchaîné paru hier

    Anne Lauvergeon, suite à son licenciement d'Areva, son espionnage par le directeur des mines d'Areva, son livre dans lequel elle met en cause Proglio et Sarkozy, a eu l'idée de demander à une société de sécurité informatique (Mextor) d'ausculter les ordinateurs et le réseau à son domicile. Conclusion : son réseau sans fil était une vraie passoire. Et dès que Mextor a installé un serveur plus protégé, 23 000 attaques ont été détectées entre le 4 et le 12 avril. Conclusion de Mextor : il y a eu une tentative de surveillance et d'espionnage d'envergure.

    Ca faisait un moment que je n'avais pas été sur crack-wpa.fr (qui s'appelle maintenant crack-wifi.fr) et j'ai vu qu'on a fait de sacrés progrès pour casser du WPA.
    Qu'un PDG utilise du sans-fil chez lui me laisse perplexe. On peut au minimum écouter les paquets, et quand on en a assez, on loue du temps CPU pour trouver la clé WPA, certaines boites sont spécialisées là-dedans.
    Je dis ça, mais je parie qu'aujourd'hui tous les PDG ont un Blackberry ou un Ipĥone, se promènent avec un PC sous XP, Vista ou Seven, non chiffré.

    If you choose open source because you don't have to pay, but depend on it anyway, you're part of the problem.evloper) February 17, 2014

    • [^] # Re: la sécurité pour Mme Michu (ou les PDG) reste à inventer

      Posté par (page perso) . Évalué à 8.

      Je dis ça, mais je parie qu'aujourd'hui tous les PDG ont un Blackberry ou un Ipĥone, se promènent avec un PC sous XP, Vista ou Seven, non chiffré.

      Tu as oublié l'ipad pour les réunion et les mails qui transitent en clair.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: la sécurité pour Mme Michu (ou les PDG) reste à inventer

      Posté par . Évalué à 4.

      Qu'un PDG utilise du sans-fil chez lui me laisse perplexe.

      Pas moi c'est sacrément pratique le wifi. Si tu as des informations confidentielles, il « suffit » d'utiliser soit des protocoles sûres soit un réseau privé virtuel. C'est compliqué parce qu'il n'existe pas à ma connaissance de société qui proposent des solutions clef en main mis à part pour des besoins très importants et à des prix prohibitifs.

      Mais en soit il est possible de créer une solutions « simple à prendre en main » (à comparer au wifi avec WPA) avec un routeur préconfiguré qui demande d'ajouter deux éléments de configuration et un CD avec le client VPN (oui pour l'iP* c'est peut être pas aussi simple).

      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

    • [^] # Re: la sécurité pour Mme Michu (ou les PDG) reste à inventer

      Posté par . Évalué à 5.

      Qu'un PDG utilise du sans-fil chez lui me laisse perplexe.

      Si le PDG comprenait les risques et la sécurité informatique, il/elle ne serait pas PDG:
      Principe de Dilbert!

    • [^] # Re: la sécurité pour Mme Michu (ou les PDG) reste à inventer

      Posté par (page perso) . Évalué à 3.

      L'article ne le précise pas, mais si ça se trouve, le réseau sans-fil chez Anne Lauvergeon était avec une clé Wep depuis toujours !

      If you choose open source because you don't have to pay, but depend on it anyway, you're part of the problem.evloper) February 17, 2014

  • # Plus grave... les banques "sécurisées"

    Posté par . Évalué à 4.

    Chez B*


    Ca me fait penser à une certaine banque en ligne B* qui s'apprête à bloquer la carte de paiement dès qu'on fait un paiement à l'étranger. D'autant plus stupide que les paiements sont authentifiés par code secret, et que pour un achat en ligne à l'étranger ils ne réagissent pas.

    Bref, le seul moyen d'éviter le blocage de la carte est de confirmer vos achats par contact de votre banque.

    Donc:
    1 - Vous recevez un message d'alerte email ou sms.
    2 - Vous devez rappeler votre banque, le numéro est indiqué
    3 - On vous demande de confirmer que vous êtes à l'origine des transactions
    4 - Pour confirmer que vous êtes à l'origine des transactions, on vous demande des infos persos et des réponses à des "questions secrètes"
    5 - (Optionnellement, comme il m'est arrivé) On vous bloque quand même votre carte pendant une semaine, parce qu'on est pas professionnel…

    Remarque générale:
    - Si on est plus en possession de sa carte, c'est aussi probablement parce qu'on s'est fait voler l'attenant/le reste (papiers, …)

    Problème 1:
    - Les infos perso ne fournissent aucune garantie.
    Elles se trouvent partout. Facebook, carte de visite, papiers volés avec la carte, RNCS, extrait de naissance !

    Problème 2:
    - Chez B, **les questions secrètes ne sont pas secrètes*.
    Il s'agit de questions prédéfinies. Au mieux, on peut en créer de nouvelles (voir la suite).
    Les questions secrètes sont parfois des infos perso (nom de jeune fille de la mère).
    Des questions du type "Votre première marque de voiture": une carte volée à une jeune victime dans son véhicule… devinez !

    Problème 3:
    - On peut échouer et rappeler un autre conseiller, sans incidence !

    Problème 4:
    - B* n'authentifie aucun de ses emails
    Pas de signature électronique. Un enfant peut en créer un.

    On peut donc contourner et forcer les transactions sans problème en contactant la banque et se faisant passer pour le client. (d'autant plus qu'on est peut être aussi en possession de son téléphone qui reçoit le sms, même pas besoin de chercher le n°).

    Si une question vous pose problème, il vous suffit, au choix:
    - de retenter avec un autre conseiller. La question fatale a une chance de ne pas être dans celles qu'il choisit.
    - d'appeler votre victime en se faisant passer pour la banque et de lui poser les questions !
    - de se faire passer pour la banque en envoyant un message forgé à la victime avec un numéro de téléphone pour qu'il vous rappelle et vous confie tous ses "secrets". En plus, vous pouvez lui dire que le nécessaire a été fait pour sa carte et de ne par s'inquiéter… (sic)

    Bref, rien de sécurisé. Seul un double secret peut venir à bout de ce problème.

    Chez M


    Une utilisation encore plus stupide du secret.

    Pour éviter le phishing, une autre banque exige que vous leur fournissiez une phrase secrète qui s'affiche en rouge sur le site une fois vous connecté. (riez)

    • Cela suppose donc d'avoir déjà donné les codes d'authentification sur le site légitime ou non !
    • Gageons que 95% des clients trompés ne remarqueraient pas que la phrase secrète n'apparait pas sur le site falsifié. (pourquoi s'embêter à la deviner !!!)
    • [^] # Re: Plus grave... les banques "sécurisées"

      Posté par (page perso) . Évalué à 3.

      Ca me fait penser à une certaine banque en ligne B* qui s'apprête à bloquer la carte de paiement dès qu'on fait un paiement à l'étranger. D'autant plus stupide que les paiements sont authentifiés par code secret, et que pour un achat en ligne à l'étranger ils ne réagissent pas.

      C'est lié au fait que les fraudes les plus importantes sont des retraits en liquide à l'étranger, pas des achats sur Internet à l'étranger.

      Enfin, la procédure a l'air tordu, chez moi, il suffit que je les prévienne que je vais dans tel pays pour que je n'ai pas de problème.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Plus grave... les banques "sécurisées"

        Posté par (page perso) . Évalué à 3.

        C'est lié au fait que les fraudes les plus importantes sont des retraits en liquide à l'étranger, pas des achats sur Internet à l'étranger.

        Ah? Je ne vois pas trop comment c'est possible (il faut le code secret). Non, ce n'est pas les fraudes les plus importantes (du moins pas sans t'espionner physiquement / te forcer à rentrer ton code, mais c'est une autre histoire)

        • [^] # Re: Plus grave... les banques "sécurisées"

          Posté par (page perso) . Évalué à 3.

          Ce n'est peut-être pas le cas en France, mais en Belgique, il y a le système Maestro destiné aux payements à l'étranger et qui ne nécessite que la bande magnétique et pas le code même si beaucoup d'automate le demande quand même. Il y en a peut être d'autre.

          Il doit y avoir le même en France puisque j'ai lu qu'avec la faille du système NFC on pouvait copier la carte magnétique et retiré autant qu'on veut (bien plus que la limite sans code du NFC).

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Plus grave... les banques "sécurisées"

            Posté par (page perso) . Évalué à 3. Dernière modification le 03/05/12 à 14:49.

            il y a le système Maestro destiné aux payements à l'étranger et qui ne nécessite que la bande magnétique et pas le code même si beaucoup d'automate le demande quand même.

            Personnellement, j'ai une carte Maestro (c'est le système "standard" en Allemagne) et je n'ai jamais vu de distributeur ne pas demander ton code.

            Vraiment, je demande à voir un distributeur sans code. J'ai aussi une carte US (oui, je me balade) sans puce et on me demande quand même mon code au distributeur. Visa, Visa sans puce, Maestro, j'ai toujours vu une demande de code.

            • [^] # Re: Plus grave... les banques "sécurisées"

              Posté par (page perso) . Évalué à 3.

              En fait, j'ai confondu, je crois qu'il n'est plus possible d'utiliser la bande magnétique sans le code pin. Par contre, copier la bande magnétique et filmé le code secret, c'est relativement facile. Et limité l'utilisation à l'étranger a bien fait chuter la fraude http://www.lalibre.be/economie/actualite/article/700981/le-skimming-en-chute-libre.html

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: Plus grave... les banques "sécurisées"

                Posté par (page perso) . Évalué à 2.

                En fait, j'ai confondu, je crois qu'il n'est plus possible d'utiliser la bande magnétique sans le code pin.

                :)

                Par contre, copier la bande magnétique et filmé le code secret, c'est relativement facile. Et limité l'utilisation à l'étranger a bien fait chuter la fraude

                Etranger = en dehors de l'Europe maintenant, ça change ;-).
                En gros, c'est surtout ne plus avoir le droit de retirer des sous avec juste une carte magnétique, il faut lire la puce. Et ça, c'est bien (tm). Jamais compris pourquoi les banques US (par exemple) n'aiment pas la puce…

                • [^] # Re: Plus grave... les banques "sécurisées"

                  Posté par (page perso) . Évalué à 3.

                  Etranger = en dehors de l'Europe maintenant, ça change ;-).

                  C'est parce que l'article parle pour Maestro, pour d'autres cartes de payement, c'est valable en Europe mais comme c'est plus spécifique à chaque banque, on en parle pas dans le journal. Je connais des personnes avec des cartes Visa qui ont eu des problèmes en Espagne.

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: Plus grave... les banques "sécurisées"

                  Posté par . Évalué à 7.

                  Jamais compris pourquoi les banques US (par exemple) n'aiment pas la puce…
                  Parce qu'ils faudraient qu'ils payent (cher) une technologie étrangère, et française de surcroît.

        • [^] # Re: Plus grave... les banques "sécurisées"

          Posté par . Évalué à 3. Dernière modification le 03/05/12 à 17:11.

          Je ne vois pas trop comment c'est possible

          Moi non plus, pourtant récemment ma banque m'a appelé pour me prévenir que du liquide avait été retiré aux USA avec ma carte (et que les retraits avaient été bloqués). Pourtant, c'est peu probables que les fraudeurs aient réussis a récupérer les infos de ma carte et monde code. Vu que c'était quelques mois après le piratage de de Sony, qui stockait mon numéro de carte, je pense que c'est la que les fraudeurs on récupéré les infos de ma carte.

      • [^] # Re: Plus grave... les banques "sécurisées"

        Posté par (page perso) . Évalué à 3.

        Enfin, la procédure a l'air tordu, chez moi, il suffit que je les prévienne que je vais dans tel pays pour que je n'ai pas de problème.

        Il faut que tu leur dises où tu vas pour qu'il n'y ait aucun problème ? On marche un peu sur la tête, là : je suis un grand garçon, si j'ai une carte Visa, c'est bien parce que je veux payer des trucs à l'étranger, donc j'entends pouvoir le faire par défaut sans prévenir quiconque (et fort heureusement, ça marche ainsi chez ma banque, malgré leur débilité congénitale avancée).

        Envoyé depuis mon PDP 11/70

    • [^] # Re: Plus grave... les banques "sécurisées"

      Posté par (page perso) . Évalué à 2.

      Bon, je vais défendre un peu (mais pas trop quand même)

      Des questions du type "Votre première marque de voiture": une carte volée à une jeune victime dans son véhicule… devinez !

      Ce n'est pas la cible de la protection. Pourquoi? Parce que quand tu te fais tirer ton portefeuille, la première chose que tu fais (si tu es pas trop idiot) est d'appeler ta banque pour bloquer la carte. Donc le temps pour le voleur est assez court.

      L’intérêt est de bloquer les numéro "volés" (=copiés) dans une base de données. C'est efficace contre ça.

      • de se faire passer pour la banque en envoyant un message forgé à la victime avec un numéro de téléphone pour qu'il vous rappelle et vous confie tous ses "secrets". En plus, vous pouvez lui dire que le nécessaire a été fait pour sa carte et de ne par s'inquiéter… (sic)

      La personne recevra 2 mails (le tiens et celui de sa banque), elle se posera (théoriquement?) des questions. Et il faut connaitre ton @email quand tu as que la carte, pas si évident (et pas automatisable).

      Gageons que 95% des clients trompés ne remarqueraient pas que la phrase secrète n'apparait pas sur le site falsifié. (pourquoi s'embêter à la deviner !!!)

      Ca va être rare, très rare, car le but final est que ta carte soit refusé sans cette question. Donc ça marchera. Les sites n’utilisant pas la question vont payer une "prime de risque" de plus en plus importante, tout le monde y passe au fur et à mesure.


      Bref, tout n'est pas parfait, mais si tu as une solution meilleur (Michu-compliant et n’empêchant pas une vente légitime sont des critères pour "meilleur"), fait signe, ils sont intéressés. Facile de taper dessus sans avoir de solution meilleure à proposer. Tu verrai que ça ne serait pas si simple.

      • [^] # Re: Plus grave... les banques "sécurisées"

        Posté par . Évalué à 2.

        Ce n'est pas la cible de la protection. Pourquoi? Parce que quand tu te fais tirer ton portefeuille, la première chose que tu fais (si tu es pas trop idiot) est d'appeler ta banque pour bloquer la carte. Donc le temps pour le voleur est assez court.

        Justement non. Si tu te fais voler à l'étranger, tu fais comment sans téléphone, argent, contact de ta banque pour réagir si rapidement ?
        D'ailleurs c'est à supposer que la personne s'en aperçoive…

        • [^] # Re: Plus grave... les banques "sécurisées"

          Posté par (page perso) . Évalué à 2.

          Pas faux… J'ai toujours quelques billets ailleurs quand je me balade à l'étranger, et mon téléphone est dans une poche différente de mon portefeuille (et surtout c'est un vieux téléphone tout pourri inintéressant pour le voleurs "violents") mais clair que tout le monde ne le fait pas.

          On va dire que dans tous les cas, tu dois te démerder pour pouvoir manger/boire, et que donc tu te démerdes pour ça donc tu peux pour la banque au passage (téléphone à l'hôtel et hop virement Western Union etc)

      • [^] # Re: Plus grave... les banques "sécurisées"

        Posté par . Évalué à 3.

        Ca va être rare, très rare, car le but final est que ta carte soit refusé sans cette question. Donc ça marchera. Les sites n’utilisant pas la question vont payer une "prime de risque" de plus en plus importante, tout le monde y passe au fur et à mesure.

        Je parle d'une phrase qui s'affiche dans l'espace client du site bancaire, une fois connecté. Pas une question lors du paiement comme tu sembles indiquer.

        Facile de taper dessus sans avoir de solution meilleure à proposer. Tu verrai que ça ne serait pas si simple.

        L'ensemble des remarques leur a été notifié par deux fois.

        La solution est connue: le ticket à usage unique (et fournir un boîtier avec authentification biométrique pour les délivrer). Mais en France on préfère bidouiller… ex: visa 3D secure

        Pourquoi ne mettent-ils pas en place une signature par certificat de leurs emails ?? Une quinzaine d'euros par an c'est trop leur demander ?
        Je suis le seul à toujours ouvrir le mail et vérifier le bloc RIPE d'appartenance des IP de l'émetteur ? A vérifier les numéros de tel transmis ? A refuser de donner des informations aux conseillers qui me contactent ?

        B* avait déjà changé sa sécurité par un n° de tel d'authentification renseignable sans confirmation. J'avais déjà signalé le pb… il avait été corrigé dans la journée apparemment par qq'un ici même.

        • [^] # Re: Plus grave... les banques "sécurisées"

          Posté par (page perso) . Évalué à 2.

          le ticket à usage unique (et fournir un boîtier avec authentification biométrique pour les délivrer).

          Le prix est plus élevé que la fraude, pas rentable du moins pour le moment pour elles.

          Pourquoi ne mettent-ils pas en place une signature par certificat de leurs emails ??

          Parce que tout le monde s'en fout. Michu-compliant! Raté.

          Je suis le seul à toujours ouvrir le mail et vérifier le bloc RIPE d'appartenance des IP de l'émetteur ? A vérifier les numéros de tel transmis ? A refuser de donner des informations aux conseillers qui me contactent ?

          Oui. On a dit Michu-compliant! Tu raisonnes en tant qu’utilisateur averti qui ne s’intéresse pas a coûts, la banque cherche une solution rentable et pour tous.

          • [^] # Re: Plus grave... les banques "sécurisées"

            Posté par . Évalué à 1.

            Le mot de passe à usage unique imprimer sur une carte ? C'est un peu chiant mais imparable.

            "La première sécurité est la liberté"

            • [^] # Re: Plus grave... les banques "sécurisées"

              Posté par (page perso) . Évalué à 2.

              C'est ce que j'avais dans plusieurs de mes banques (oui, en plus ces cartes, j'ai plusieurs banques, voyages voyages…), et elles ont toutes aujourd'hui remplacé la feuille avec la liste de mot de passe unique par un envoi de code par SMS.

              J'avoue ne pas trop savoir la raison du changement (les gens perdent la carte avec les pass, mais pas leur tel? Bref problème de Michu-compliant sans doute)

            • [^] # Re: Plus grave... les banques "sécurisées"

              Posté par . Évalué à 2.

              Le mot de passe à usage unique imprimer sur une carte ? C'est un peu chiant mais imparable.

              Qui sera dans le porte-feuilles volé…
              C'est pour cela qu'il faut une sécurisation des tickets, et par une autre méthode qu'un mot de passe laissé à l'utilisateur.

              • [^] # Re: Plus grave... les banques "sécurisées"

                Posté par . Évalué à 3.

                Je les gardais toujours chez moi, car ce n'est utile que pour faire des transactions sur internet, rarement le truc que tu fais dans la rue.

                "La première sécurité est la liberté"

                • [^] # Re: Plus grave... les banques "sécurisées"

                  Posté par (page perso) . Évalué à 2.

                  Et le jour où tu voyages et que tu veux commander vite fait un billet de train par Internet, c'est loupé.
                  Ce genre de raisonnement n'est pas adapté à tous (y compris toi, tu t'en rendras compte un jour… Et tu te diras "fait chier!")

                  • [^] # Re: Plus grave... les banques "sécurisées"

                    Posté par . Évalué à 2.

                    En général, je clique sur l’icône CB et non visa, pour éviter d'aller chercher la carte, il semble que les vérifications soient plus faible. Il n'y a pas de code à entrer.
                    Parfois, le truc "verified by visa" est long à envoyer son SMS et la transaction part en time out. D'où le fait d'éviter ce truc.

                    "La première sécurité est la liberté"

                  • [^] # Re: Plus grave... les banques "sécurisées"

                    Posté par . Évalué à 2. Dernière modification le 03/05/12 à 17:01.

                    Bof. D'une part si tu voyages à l'arrache (ou pour le buisness, ok) et que tu n'as pas déjà ton billet retour il te suffit d'apporter avec toi les 3 ou 4 mdp (si tu es incapable de les mémoriser) dont tu auras besoin (boîte mail, sncf, banque et éventuellement compagnie de transport). De plus, si tu n'était vraiment plus en possesion de ces mots de passe tu pourrais toujours créer un mail temporaire et un compte de secour sur SNCF, Air France, etc… Pour réserver ton billet par internet. C'est sa CB qu'il ne faut pas perdre surtout ;)

          • [^] # Re: Plus grave... les banques "sécurisées"

            Posté par . Évalué à 3.

            Oui. On a dit Michu-compliant! Tu raisonnes en tant qu’utilisateur averti qui ne s’intéresse pas a coûts, la banque cherche une solution rentable et pour tous.

            D'un autre côté, ça n'existe pas une solution simple, sécurisée, intéropérable, sans apprendre de pré-requis. Si on part du principe que l'utilisateur va faire n'importe quoi (parce qu'il est Michu et ne veut pas apprendre), alors dans ce "n'importe quoi" il faut inclure la possibilité qu'il file les infos à n'importe qui.

            Chez ma banque (Crédit Mutuel), ils ont mis un système avec une grille de codes + un code envoyé par mail. C'est compréhensible pour Claude Michu, c'est fastidieux, et pas totalement imparable (la carte à codes est dans le portefeuille avec la carte de crédit, forcément..)

            Donc, ce n'est pas simple. On pourrait enlever le critère "intéropérable" et imaginer un soft propriétaire ou un boîtier fermé qui génère un code. On peut enlever le critère "sécurisé" et ça donne les aberrations citées plus haut. Ou alors on enlève le critère "sans pré-requis" et la banque utilise un certificat pour ses mails, ou bien les signe avec GPG et demande au client d'utiliser GPG. Mais on ne peut pas tout avoir.

            THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

            • [^] # Re: Plus grave... les banques "sécurisées"

              Posté par . Évalué à 2. Dernière modification le 03/05/12 à 19:41.

              la carte à codes est dans le portefeuille avec la carte de crédit

              Je ne vois pas pourquoi : il suffit de cliquer sur un lien pour qu'un code soit envoyé par SMS et remplace le code de la grille et le code envoyé par e-mail. De plus j'ai acheté un billet de train une fois sur l'application SNCF et 3D secure est passé directement au code par SMS. Je sais pas trop comment l'appli gère 3D secure… Je pense qu'il ouvre le navigateur, donc a priori tous les achats par mobile se passent avec un code par SMS.
              On peut donc laisser la carte à la maison (heureusement, parce que cette carte, c'est vraiment pas pratique).

  • # Moi c'est simple

    Posté par (page perso) . Évalué à 5.

    Je tape sur mon clavier n'importe quoi jusqu'à atteindre une longueur suffisante.
    Évidemment, je ne m'en sers jamais donc voilà, pour moi problème résolu.
    Ces questions secrètes ne devraient pas exister.

    • [^] # Re: Moi c'est simple

      Posté par . Évalué à 2.

      Ton « n'importe quoi » n'a pas une entropie suffisante. En pratique tu fais tout le temps les mêmes combinaisons, même si tu ne t'en rends pas compte (c'est pour cette même raison qu'un humain normalement constitué perd lamentablement contre une intelligence artificielle assez simple au jeu Pierre-feuille-ciseaux). Tu as peut-être déjà un générateur de mots de passe installé sur ta machine, essaie openssl rand -base64 10 en ligne de commande. Sinon il y a makepasswd.

  • # Je ne comprends pas

    Posté par . Évalué à 0. Dernière modification le 04/05/12 à 17:14.

    Il me semble que quand on répond à la question secrète le password est envoyé sur l'adresse mail concernée, il n'est pas donné en direct. Donc on n'est pas plus avancé.

    • [^] # Re: Je ne comprends pas

      Posté par (page perso) . Évalué à 3.

      Sauf s'il a accéder aux boîtes mail de la même façon.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.