Journal Quand La Caisse d'Épargne s'y met aussi...

Posté par (page perso) .
Tags : aucun
0
20
juil.
2006
Depuis quelques jours, la Caisse d'Épargne emboîte le pas de certaines de ses petites camarades et propose comme seul et unique moyen de saisir son code d'accès un clavier virtuel. C'est joli comme tout, ahh ça c'est joli... Mais alors, p*t*in, qu'est-ce que c'est chiant leur bidule.

Sous Firefox le clavier-virtuel se retrouve caché derrière les divers bandeaux en Flash(c)(tm) le rendant impossible à utiliser.

Après quelques essais, je me suis rendu compte en utilisant Konqueror (ou en utilisant l'extension UA Switcher pour Firefox) que ce satané clavier-virtuel disparaissait pour laisser place à l'ancienne méthode de saisie !

Si ce nouveau joujou vous irrite tout autant que moi, vous savez à présent ce qu'il vous reste à faire.

Je profite de ce petit journal pour poser également une 'tite question: Connaissez-vous une extension similaire à User-Agent Switcher mais qui ne permettrait de changer l'UA que pour certains domaines seulement (Genre: si domaine=example.com => utiliser l'UA: Machin/1.0)

Merci.
  • # Konqueror über alles

    Posté par . Évalué à 10.


    Connaissez-vous une extension similaire à User-Agent Switcher mais qui ne permettrait de changer l'UA que pour certains domaines seulement (Genre: si domaine=example.com => utiliser l'UA: Machin/1.0)


    Konqueror fait ça de base, et c'est bien pratique pour les sites fourbes (pendant un moment j'étais obligé de me travestir en IE sur le site de la Société Générale pour avoir le digicode virtuel).

    Tools > Change browser identification > Configure

    Comment ça tu voulais une extension Firefox ? /o\
    • [^] # Re: Konqueror über alles

      Posté par (page perso) . Évalué à 6.

      Ah mais je posais la question comme ça, au cas où :). Aucun problème pour utiliser Konqueror me concernant :).
  • # trop pas sécure

    Posté par (page perso) . Évalué à 10.

    En plus ce genre de bêtises c'est complètement débile, impossible de taper son code discrétement, t'es obligé de le faire à l'écran aux yeux de tout le monde...

    (et on oublie l'acccessibilité aussi)

    ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: trop pas sécure

      Posté par . Évalué à 2.

      pour l'accessiblité je crois que tu trolles comme un goret là parce que
      (a la poste mais j'imagine qu'ailleurs....)


      Accessibilité

      Pour répondre aux difficultés de saisie posées par le Clavier Virtuel pour les personnes souffrant d’un handicap et/ou ne pouvant pas utiliser la souris, le nouveau dispositif de saisie du mot de passe à la souris fonctionne également au clavier de votre ordinateur.

      Fonctionnement général :

      Vous vous déplacez sur le Clavier Virtuel à l’aide des flèches de direction « gauche » et « droite » de votre clavier d’ordinateur. Si le curseur n’est pas visible ou que les touches ne fonctionnent pas, cliquez sur la zone active du formulaire, et déplacez vous avec la flèche « droite ».
      image représentant les flêches gauche, droite, barre d'espace et touche entrée

      Attention, pour la saisie de votre mot de passe, le Clavier Virtuel est généré aléatoirement à chaque chargement de la page. Les chiffres ne sont donc jamais à la même position d’une session/connexion à une autre. Des info-bulles sont affichées sur les chiffres si vous utilisez le logiciel JAWS© de la société Freedom Scientific.



      après c'est clair que niveau confidentialité c'ets pas trop parce que tu tapes ton code devant les gens, mais les chiffres ont au moins le mérite de bouger à chaque fois.... pas comme sur les claviers de distributeurs...

      Nan ce qui est vraiment rigolo c'est un code à 6 chiffres, paie ta sécurité..
      • [^] # Re: trop pas sécure

        Posté par . Évalué à 10.

        je crois que tu trolles comme un goret là parce que

        déplacez sur le Clavier Virtuel à l’aide des flèches de direction « gauche » et « droite »

        Les chiffres ne sont donc jamais à la même position d’une session/connexion à une autre.


        Et il faut ajouter à cela que les chiffres du clavier sont des images, sans attribut alt.

        Donc à partir de là, comment il fait l'aveugle qui veux accéder à ses comptes justement parce-que c'est plus pratique pour lui de le faire depuis chez lui sur son PC que de devoir sortir et aller jusqu'a la banque ???

        Il ne vois pas les touches, donc il ne peut pas savoir quel numéro est écrit dessus.
        Il n'y a aucun attribut alt pour le guider.
        Pour déplacer le curseur sur la touche qu'il faut, ba il peut pas vu qu'il ne voit pas quel touche virtuelle il doit appuyer.


        Donc non, ce n'était pas du troll de goret de dire que l'accessibilité en prend un gros coup. C'est vraiment une grosse daube niveau accessibilité cette fonctionnalité. Et vu que de toute façon il y a d'autre moyen d'accéder aux comptes (genre si tu entre un mauvais code, tu te retrouve sur une autre page avec un simple formulaire bateau), ça n'apporte absolument rien question securité. J'aurais même tendence à dire que ça réduit la sécu, parce-que ça donne deux portes d'entrées sur les comptes au lieu d'une seule.

        En gros, c'est juste un truc eye candy pour faire plaisir aux clients, en s'en foutant des questions de sécu ou d'accessibilité.

        Et puissque je parle de sécurité, moi y a un truc qui me choc grave sur la page de la caisse d'épargne :
        On est sur la page d'accueil, en http, donc pas sécurisé, et voila qu'on demande sur cette page non sécurisée d'entrer son numéro de compte et le code secret !!!

        Pour moi, ça c'est une grosse grosse erreur (peut-être que l'envois des infos est fait en sécurisé par ajax ou un truc du genre, mais on ne le vois pas, c'est très grave à mon avi).


        Donc, effectivement, cette nouvelle fonctionnalité à tous les aspects de la grosse merde marketing. Je serais client de la caisse d'épargne, de leur enverrais directement un bon gros courrier des familles leur disant que je change de banque s'ils gardent cette saleté.
        • [^] # Re: trop pas sécure

          Posté par (page perso) . Évalué à 2.

          Je suis d'accord avec toutes tes remarques mais voici une petite précision quant à celle-ci :
          On est sur la page d'accueil, en http, donc pas sécurisé, et voila qu'on demande sur cette page non sécurisée d'entrer son numéro de compte et le code secret !!!


          À cette adresse (https://www.caisse-epargne.fr/asp/modele2.aspx?np=aide_conne(...) ), ils annoncent que si tu entres sur la page http (sans s), avant d'envoyer tes données, il demande à passer en https. Bon après je suis assez ignorant du fonctionnement des requettes et je ne peux pas juger l'exactitude de ces informations.

          En tout cas, c'est clair que le vrai problème de sécurité, c'est le code secret à 6 chiffres. Pas moyen de mettre un vrai mot de passe avec des caractères non alpha numérique, une douzaine de caractères... Ils ont fait un petit sondage il y a quelques semaines et je leur avais demandé ça dans les remarques générales sur la sécurité. Sait-on jamais, si plusieurs personnes ont répondu comme moi, ça arrivera peut-être jusqu'à l'organe décisionnel.
          • [^] # Re: trop pas sécure

            Posté par . Évalué à 7.

            Effectivement, lors de l'identification sur la caisse d'épargne, l'envois des données semble fait en mode sécurisé. Donc ça devrait le faire niveau sécu.


            Mais n'empêche qu'ils demandent aux utilisateurs d'entrer un code d'accès (à son compte en banque !!! ) sur une page non sécurisé !!

            C'est completement anti-pédagogique !! Tout le monde essaye toujours de faire comprendre aux gens qu'il faut faire attention à pas entrer des codes n'importe où, que si l'URL dans la barre d'adresse est pas sur un fond jaune, c'est que c'est pas sécurisé, que si l'adresse ne commence pas par https, c'est pas sécurisé etc.....

            Et une des boites les plus touché par la sécurité des transaction, ils se permettent de demander à leurs clients d'entrer des codes d'accès sur une page http où rien ne garantit le niveau de sécurité.


            C'est scandaleux !!! Les mecs qui ont conçu ce système chez la caisse d'epargne meriteraient d'être virés !!!
            • [^] # Re: trop pas sécure

              Posté par (page perso) . Évalué à 9.

              c'est surtout que RIEN ne garantit que tu es bien sur la page de la caisse d'épargne puisqu'il n'y a pas d'authentification du serveur.

              Il y a donc toujours le risque que la page affichée soit une copie pirate de la page 'normale' mais qui envoie les données à un site tiers puis redirige vers le site 'normal'. L'utilisateur n'y voit que du feu.
              • [^] # Re: trop pas sécure

                Posté par . Évalué à 3.

                Ce que je faisais quand j'étais chez eux :
                - choisir le bonne agence dans la combo
                - entrer "1" dans l'identifiant
                - entrer "1" dans le code

                --> redirection sur une page sécurisée qui me redemande mes identifiants.
                • [^] # Re: trop pas sécure

                  Posté par . Évalué à 3.

                  Je me trompe peut être, mais si le formulaire est posté en https, les données seront transférées de manière sécurisée même si la page qui l'affiche est en http, et c'est le transfert qui est sensible, pas la saisie (d'ailleur ca change rien pour la saisie). C'est peut être ce qui se passait dans ce cas.

                  Non, le truc qui me semble pertinent c'est celui du commentaire au dessus, pour l'authentification du site de la banque.
                  • [^] # Re: trop pas sécure

                    Posté par . Évalué à 3.

                    Oui oui, tout à fait d'accord. J'ai peut-être pas été assez clair alors : par page sécurisé, j'entendais bien source authentifiée en fait.

                    C'est pour ça que j'ai posté mon commentaire là ;-)
        • [^] # Re: trop pas sécure

          Posté par . Évalué à 10.

          Et il faut ajouter à cela que les chiffres du clavier sont des images, sans attribut alt.

          Le logiciel de la caisse d'épargne (et c'est d'ailleurs le seul à ma connaissance) utilise les "extended infos" des options d'accessibilités de Microsoft. Sous linux il y a également moyen d'activer ces options.
          Une fois ces options activées, le logiciel pour mal-voyant et non-voyant JAWS et les logiciels compatibles (c'est à dire quasiment tous, car Jaws n'a pas bardé de de brevets ses technos, et est le leader du marché des logiciels d'interface assitants brailles) il apparait alors des informatiosn supplémentaires qui permettent entre autre de connaitre dans quel fenêtre on se trouve, à quel endroit et le contenu de l'objet. La caisse d'épargne ayant fait les choses bien, les informations sur l'objet contiennent une information supplémentaire qui permet de lire le chiffre sur lequel on se trouve.

          En ce qui concerne la notion de curseur, les même options d'accessibilités couplé à un terminal permettent de se déplacer très rapidement dans tous les objets de la page. Les informations qui te paraissent absurdes quand à la méthode pour se positionner "sur" le clavier seront tout à fait claire pour une personne qui a utilisé un terminal braille ou un outil d'assistance à la saisie (clavier mono-main par exemple). En plus après vérification le clavier virtuel est accessible en appuyant plusieurs fois de suite sur tabulation.

          Je pense que le truc a du être testé avec un aveugle car il respecte assez bien la logique bas/droite "classique". (N.B : logique bas/droite : aller vers le bas me fait parcourir uen liste d'élément, vers la droite je déscend d'un niveau dans l'arborescence, vers la gauche je remonte d'un niveau dans l'arborescence et vers le haut je récupère le nom de la zone dans laquelle je me trouve. )

          En bref, même si le nouveau dispositif est surement plsu pénible que le précédent, il n'en reste pas moins qu'il a manifestement été soigné pour les mal-voyants. Fait suffisament rare pour pouvoir être signalé.
          • [^] # Re: trop pas sécure

            Posté par (page perso) . Évalué à 6.

            > les informations sur l'objet contiennent une information supplémentaire qui
            > permet de lire le chiffre sur lequel on se trouve.

            Ce qui est d'ailleurs complètement idiot. Le but de retirer les champs textes et de mixer les chiffres aléatoirement c'est de rendre impossible pour un script/logiciel de savoir ce que tu as tapé comme code.

            Si c'est pour que les infos soient accessibles à coté pour le navigateur, tout le principe n'a plus d'intérêt et autant reprendre une saisie plus classique que le voisin d'en face ne peux pas voir de sa fenêtre.
        • [^] # Re: trop pas sécure

          Posté par (page perso) . Évalué à 2.

          Et puissque je parle de sécurité, moi y a un truc qui me choc grave sur la page de la caisse d'épargne :
          On est sur la page d'accueil, en http, donc pas sécurisé, et voila qu'on demande sur cette page non sécurisée d'entrer son numéro de compte et le code secret !!!

          Pour moi, ça c'est une grosse grosse erreur (peut-être que l'envois des infos est fait en sécurisé par ajax ou un truc du genre, mais on ne le vois pas, c'est très grave à mon avi).


          Je me suis posé la même question avec la Banque Populaire de ma région. En effet, il y a la petite boîte de login sur la page de garde (désolé pour les non-voyants et autres handicapés: point de clavier virtuel aidant à la saisie) qui est bien évidemment en HTTP. Une fois que l'on saisit identifiant (au passage, c'est un nombre à huit chiffres qui nous est imposé, donc ils ont été obligé d'empêcher je-ne-sais-comment les navigateurs modernes de l'enregistrer. Pour ma part, j'ai fini par le retenir par c½ur mais je n'ose imaginer les vieilles personnes qui avaient déjà du mal à retenir le code à 4 chiffres de la carte Bleue dont la sécurité laisse à désirer du coup) suivi du mot de passe (qu'on peut heureusement ou bizarrement choisir une fois le premier saisi). À partir de là, tout est en HTTPS mais je me suis posé la même question, à savoir: les données les plus importantes n'ont-elles pas déjà été émises en clair ?

          En outre, pour effectuer les virements externes, il y a un nouveau mot de passe qu'on est obligé de retenir et que je trouve sincèrement inutile puisqu'on en a encore une fois le choix, mais bon, passons...

          Donc, quid de la session ? HTTP ou HTTPS en entier ?
          • [^] # Re: trop pas sécure

            Posté par . Évalué à 2.

            Tout dépend du paramètre 'action' du formulaire, en fait. S'il pointe sur une page en https, alors peu importe si tu étais déjà en https ou en clair, les données qu'elles soient en GET ou POST seront envoyées chiffrées via SSL, et d'ailleurs la page d'arrivée aura la belle barre d'adresse jaune.

            Par contre, si tu vois un bon gros <form action="http://pas-secure-pour-un-sous.com/auth.cgi" method="get"> là tu peux légitimement t'inquiéter (et la barre d'adresse restera blanche, indiquant que tu t'es fait avoir) :)
            • [^] # Re: trop pas sécure

              Posté par (page perso) . Évalué à 1.

              <form name="abo" onSubmit="return controleAbonne()" action="https://www.ibpd.alpes.banquepopulaire.fr/htmlcerius/connexion.asp" method="post" autocomplete="OFF" style="margin:0 0 0 0; padding:0 0 0 0">

              Ouf ! ;-)
          • [^] # Re: trop pas sécure

            Posté par . Évalué à 1.

            pour la BP, konqueror stocke bien les mots de passe pour le login. Je le sais, j'utilise konqueror uniquement pour ça! Non qu'il me déplaise, mais juste la flemme de changer de navigateur...
      • [^] # Re: trop pas sécure

        Posté par . Évalué à 2.

        Attends, a la caisse d'épargne, c'est quatre .... et ils ont aussi foutu un digicode virtuel caché sous les bandeaux flash ... enfin moi j'ai utilisé adbloc pour virer tout le flash, le digicode virtuel en javascript est devenu utilisable.
      • [^] # Re: trop pas sécure

        Posté par (page perso) . Évalué à 7.

        Hum, accessibilité, je parlais en fait vis à vis des mal voyants ou autres, ceux qui utilisent des lecteurs d'écran etc.
        Personellement je suis à la BNP : voilà comment apparait le clavier virtuel :

        Un petit aperçu sous Fangs, l'émulateur de lecteur d'écran pour firefox :
        Table with two columns and one row Cliquez pour composer les six chiffres de votre Table end Table with three columns and two rows Code secret Table end Table with two columns and one row Link Graphic slash corrig.jpg Link Corriger Table end


        ...ou sous un simple lynx ça suffit
        Cliquez pour composer les 6 chiffres de votre
        [USEMAP:NSImgGrille]
        Code secret maxlength="6" name="ch2" value="" type="password" disabled >>
        [corrig.jpg] Corriger


        C'est sans appel.

        Leur techno est tout autant disciminatoire que le flash. (parceque le flash ça puera toujours même quand on aura un lecteur libre multiplateforme). Tu n'as pas le droit de surfer, tu n'as pas le droit de vérifier tes comptes, tu n'as pas le droit de faire des virements en ligne si t'es né avec "pas chance" des yeux déficients.

        ce commentaire est sous licence cc by 4 et précédentes

        • [^] # Re: trop pas sécure

          Posté par . Évalué à 2.

          C'est une imagemap.
          Quand tu as des yeux déficients je vois pas vraiment en quoi la boite de dialogue est plus appréciable.
          • [^] # Re: trop pas sécure

            Posté par . Évalué à 4.

            Il existe des lecteurs d'écrans ou autres outils spécialements conçu pour les mal-voyant. Et ces outils là ils savent gérer les formulaires normaux. Il sauront dire à l'utilisateur que y a un champ appelé identifiant et un autre champs appelé code confidentiel.

            Par contre, sur un truc comme le clavier virtuel, il n'y a que des images (donc pas de champs de formulaire), sans texte alternatif (et mis en page n'importe comment).

            Donc au mieux le lecteur d'écran il pourra dire : Il y a 20 images appelés "case 01", "case 02", "case 03"........ "case 20". Mais il sera incappable de dire ce que représente l'image. Donc le non-voyant il a aucun moyen de passer une système comme ça.

            Donc, automatiquement il faut un système alternatif pour les non-voyant (ou alors on brule les non-voyant, ce serait peut-être plus simple :p), et donc tu te retrouve avec deux méthodes d'accès, et donc deux méthodes attaquable au lieu d'une seule.

            Donc l'idée de lutter contre les keylogger est intéressante, mais la manière dont ils font ça est totalement pourrie.
    • [^] # Re: trop pas sécure

      Posté par . Évalué à 2.

      t'es obligé de le faire à l'écran aux yeux de tout le monde...

      tu veux dire que tu fais tes paiements depuis un cybercafé?
      • [^] # Re: trop pas sécure

        Posté par . Évalué à 2.

        ses paiements ?????
        qui parle de payer là ?
      • [^] # Re: trop pas sécure

        Posté par (page perso) . Évalué à 5.

        Peut importe, moi non, je suis assez parano, je l'ai jamais fait en dehors de chez moi avec ma propre connexion, mais enfin, je ne suis pas le seul utilisateur, et puisque toute les banques s'y mettent, ça concerne maintenant presque tout le monde.
        On ne pourra pas empêcher certains de le faire depuis un cybercafé, une école, de chez un ami (qui n'en est peut être pas un), etc.

        Pour moi, un code que tu doit cliquer sur un écran 17 pouces, à hauteur des yeux, c'est pas sécurisé, non.

        Ça peut se filmer aussi.

        Tu ne pourras pas empêcher quelqu'un de le faire en dehors de chez lui, donc tu en as forcément qui le font. Peu importe ce que moi je fais.

        ce commentaire est sous licence cc by 4 et précédentes

        • [^] # Re: trop pas sécure

          Posté par . Évalué à 2.


          Ça peut se filmer aussi.


          on peut aussi filmer le clavier pendant que tu saisis ton code au clavier, je trouve ça ni plus ni moins sécurisé... combien de gens arrivent à toper les mots de passe des autres en regardant ce qu'ils saisissent ? beaucoup !

          par contre côté linux en effet ce nouveau système qui passe sous le bandeau flash est bien casse-pieds : j'ai essayé un truc pour enlever le flash des pages web mais sans succès... la meilleure solution reste celle donnée par quelqu'un plus haut : se tromper de login et passer par la page d'identification (et pour la suite, retenir son url pour ne pas avoir à faire ça à chaque fois :p )
  • # ...

    Posté par (page perso) . Évalué à 4.

    Chez moi pas de probleme : sur un de mes pc, j'ai une distrib 64bits, donc pas de flash et donc pas de probleme, et sur l'autre, j'utilise l'extension flashblock (disponible ici : https://addons.mozilla.org/firefox/433/ ) et leur clavier passe bien car les animations flash ne sont jouées que lorsque je clic dessus.

    S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.

    • [^] # Re: ...

      Posté par (page perso) . Évalué à 5.

      Certes... Mais moi je préfère ne pas avoir le clavier (qui, pour le coup, me gêne largement plus que les animations en Flash).
      • [^] # Re: ...

        Posté par . Évalué à 2.

        Contournement bête et méchant de ton problème, restera le digicode... Avec Adblock, tu dois pouvoir bloquer les animations flash. Enfin je crois.
  • # et?

    Posté par . Évalué à 2.

    Au lieu de pester dans ton coin (linuxfr) contre ce système, ne vaudrait-il pas mieux contacter les responsables de ta banque et leur expliquer le problème et les possibles solutions? (un bouton "accès normal")

    Si ta banque est passée à ce système, c'est probablement que des clients le lui ont réclamé. Certe, ils avaient peut-être tords mais toi qui as raison avais-tu contacté ta banque au préalable pour leur dire tout le bien que tu pensais du système d'alorsl?

    Voila mon avis: il vaut mieux prévenir que guérrir et ne pas seulement râler mais aussi dire quand le choses vont bien.
    • [^] # Re: et?

      Posté par . Évalué à 1.

      Moi je les ai contacté pour leur dire tout le mal que je pense du nouveau système.
      À ma grande surprise j'ai eu une réponse, mais qui venait manifestement d'un service commercial plutôt que technique et complètement à côté de la plaque...

      Je précise que je ralait aussi régulièrement sur l'ancien système qui était quand même particulièrement ridicule : les mots de passe étaient (et sont toujours d'ailleurs) des codes PIN (4 chiffres) statiques.

      Pour revenir sur la question posée dans le journal qui est de savoir comment contourner ce clavier virtuel, si tu tapes un mauvais code tu es redirigée sur une page avec l'ancien système (cette page est spécifique à chaque caisse régionale, pour île de france ouest en tout cas c'est comme ça), il suffit de mettre un signet sur cette page plutôt que la page d'accueil...
      • [^] # Re: et?

        Posté par (page perso) . Évalué à 3.

        Etrange, mon code fait plus de 4 chiffres, et je peux le modifier :)

        Le nouveau système de "clavier virtuel" est a l'image du service de cette banque : a revoir.
        Quand on vois des banques comme le credit lyonnais qui ont une interface réellement utilisable, et dont la lisibilité et les fonctionnalités sont travaillés regulierement. Je crois qu'il serait plutot temps pour la caisse d'epargne d'essayer de faire un réel effort a ce niveau ...
    • [^] # Re: et?

      Posté par (page perso) . Évalué à 3.

      Sauf que les banques vont répondre "c'est une question de sécurité et on ne rigole pas avec ça". Bien entendu il faudra comprendre "le chef qui ne connait rien à la technique l'a vu chez les autres et s'est étonné qu'on soit "moins sécurisés" alors on l'a fait aussi, sans vraiment savoir si c'est mieux.
      • [^] # Re: et?

        Posté par . Évalué à 2.

        "c'est une question de sécurité et on ne rigole pas avec ça".


        Encore faudrait t-il que ça apporte un plus de sécu. Mais là, absolument rien. C'est même plutôt une grosse régression à ce niveau.

        Enfin bon, pour la ménagère, ça rassure peut-être de voir un truc comme ça..... c'est surrement ça qu'ils visent : rassurer les gens.

        Mais rassurer les gens en réduisant la sécurité.... faut le faire quand même !! :)
        • [^] # Re: et?

          Posté par . Évalué à 3.

          Hmm,
          si je me trompe pas, cette fonctionnalitée (je ne parle pas du cas particulier de ce thread) a pour but d'éviter les keyloggers, car la disposition du clavier sur l'écran est aléatoire, ainsi que les numéros (enfin, à la SG c'est comme ca) pour éviter d'utiliser les mouvements de souris pour trouver le code.
          • [^] # Re: et?

            Posté par . Évalué à 1.

            cette fonctionnalitée a pour but d'éviter les keyloggers


            A oui ?

            Mais dans ce cas, pourquoi est-ce toujours possible d'accéder à un compte client avec un formulaire d'identification classique ?
            Parce-que un mec qui veut utiliser un keylogger, il va pas rester sur ce système chiant juste pour faire plaisir aux admin du site. Il va direct allé voir le formulaire classique et basta.


            Donc leur système n'apporte absolument rien niveau sécu. C'est uniquement des fanfreluches pour amadouer les ménagères.

            Et si les fanfreluches réduisent la sécurité (deux méthodes d'accès au lieu d'une, et la demande des codes d'accès sur une page non sécurisé), moi ça me semble inacceptable.
            • [^] # Re: et?

              Posté par . Évalué à 6.

              En général, ce n'est pas l'attaquant qui installe le key logger qui entre le code lui même. Prendre l'ancien formulaire, par exemple pour se connecter avec firefox sous linux sans problème de flash, c'est une action du client légitime.
            • [^] # Re: et?

              Posté par (page perso) . Évalué à 2.

              Bah, si on ne peut plus keylogguer, on enregistrera les requêtes HTTP émises par le navigateur...
              Ce n'est qu'une vaine course à l'armement...
              • [^] # Re: et?

                Posté par (page perso) . Évalué à 1.

                Oui, enfin mettre des identifiants neutres et aléatoires qui ne se traduisent en chiffres que par une correspondance sur le serveur recrée à chaque fois, ce n'est pas bien complexe. Je pense que c'est comme ça qu'ils ont du faire, j'espère pour eux en tout cas.
          • [^] # Re: et?

            Posté par (page perso) . Évalué à 2.

            En fait oui là où je pense que c'est pertinent, c'est qu'il ne faut pas oublier que les 9/10 des clients ont leur pc vérolé avec un ie troué.

            Comme tu dis, d'une ça permet d'éviter les keyloggers,
            De deux, sur le site de ma banque (BNP), il est clairement indiqué :
            La mémorisation automatique du code secret par votre logiciel de navigation est incompatible. Tout savoir pour décocher cette option sur votre navigateur.

            Cela empêche les gens de faire enregistrer leur mot de passe par le navigateur (et récupérable par un code malicieux/contrôle activeX sur un site de pr0n/tout ça).

            ce commentaire est sous licence cc by 4 et précédentes

            • [^] # Re: et?

              Posté par . Évalué à 1.

              Ce que tout le monde à l'air d'oublier ici c'est que plusieurs virus de type trojan permettent à la personne qui a accès illégalement à l'ordinateur de voir l'écran. Les keyloggers ne le veront pas mais ce seras même encore plus facile pour les intrus du "système aux virus". Quand à l'argument : l'intrus ne peut pas toujours regarder l'ecran, il suffit qu'il mette un test dans son truc pour que dès que l'on tape le nom d'une banque ça le previenne ou ça enregistre les images.

              Personnellement je n'ai absolument aucune confiance dans tous ses systèmes et j'apprécierais bien plus qu'ils nous fournissent une sorte de clé usb bloqué en écriture contenant une clé numérique cryptée permettant de vérifier l'identité (avec en plus un mot de passe au cas où on te vole la clé). L'interface te demanderait où se trouve le fichier et il s'en servirait pour l'identifier. il faudrait aussi s'arranger pour que le fichier ne soit pas copiable... Qu'en pensez-vous ?

              En attendant je préfère aller à un distributeur et dans ma banque pour faire les opérations bancaires malgré leurs horaires vraiment peu pratiques.
              • [^] # Re: et?

                Posté par . Évalué à 3.

                La solution la plus sure reste le terminal sécurisé branché en USB.
                Le terminal établit une connexion sécurisée avec le serveur et ne peut pas (ou alors très difficilement) être compromis.

                BeOS le faisait il y a 15 ans !

                • [^] # Re: et?

                  Posté par (page perso) . Évalué à 2.

                  Une carte à puce (« intelligente ») avec un lecteur USB ?
                  Depuis le temps que je me demande pourquoi il n'y en a pas déjà sur tous les PCs...
                  • [^] # Re: et?

                    Posté par (page perso) . Évalué à 2.

                    Dans le corps humain, ca sera plus efficace
                  • [^] # Re: et?

                    Posté par (page perso) . Évalué à 2.

                    Surtout que ça marche très bien avec Firefox (et IE) en plus. Opera et Konqueror ne savent pas faire par contre.
                    • [^] # Re: et?

                      Posté par . Évalué à 1.

                      Comment ça fonctionne ces lecteurs de carte ? Il faut mettre sa carte bleue ou une carte différente ? Vous avez des liens vers du matériel fiable fonctionnant sous linux ? J'avais vu ce genre de lecteurs uniquement sur des machines Sun et je ne pensais pas que l'on pouvait les utiliser pour faire des achats ou autres.
              • [^] # Re: et?

                Posté par (page perso) . Évalué à 2.

                En attendant je préfère aller à un distributeur et dans ma banque pour faire les opérations bancaires malgré leurs horaires vraiment peu pratiques.


                Au guichet, on ne m'a jamais demandé de CI ou presque. Il suffit juste de donner le numéro de compte et hop.
                Quant aux distributeurs automatiques, t'as déjà entendu parler des petits dispositifs qui ont *déjà* été utilisé pour copier la CB _et_ filmer le moment où l'utilisateur compose le code, le tout enregistré dans le cabas du scooter posé là, "négligement" ?
                Copier les CB reste lucratif car il n'y a qu'en France que le code est obligatoire...
                • [^] # Re: et?

                  Posté par . Évalué à 1.

                  J'en ai entendu parler effectivement et c'est pourquoi quel que soit l'endroit où je compose mon code, je le compose en aveugle en mettant ma main ou l'étui de ma Carte Bleue afin que personne ne puisse voir le code et j'évite les mouvements de mains identifiable (qui dit que je suis parano ?) Quand aux arnaques vis à vis des guichets généralement je regarde si ils sont bien encastré... Mais bon au pire si il arrive un problème avec un distributeur frauduleux, je ne serai pas le seul dans ce cas et je penses qu'à ce niveau l'assurance devrait jouer.

                  Quand je paye dans un magasin je m'arrange toujours soit pour garder ma carte, soit toujours la suivre des yeux si je dois la tendre à quelqu'un. Mais à cause des fraudes les magasins sérieux mettent le plus souvent à disposition des appareils où l'on insère nous-même la carte.

                  Je préfèrerais que leurs services internet soient totalement "informatif" et non actif ou alors qu'ils divise cela en 2 sites distincts. Personnellement tout ce qui m'interesse vis à vis d'internet c'est de consulter les transactions pour vérifier si tout s'est bien passé.

                  Copier les CB reste lucratif car il n'y a qu'en France que le code est obligatoire...


                  Je trouve ça bien et ça va me faire réflechir à choisir une carte uniquement nationale (si ça existe encore)
          • [^] # Re: et?

            Posté par . Évalué à 2.

            C'est aussi pour eviter que les mdp soit stocké dans le pc, puis qu'apres un vers vient tout recuperer.
          • [^] # Re: et?

            Posté par (page perso) . Évalué à 2.

            Bof, on peut très bien copier dans un coin les images cliquées. C'est super simple à faire en script et à envoyer par mail. Et il ne faut pas avoir un script très compliqué pour faire de l'ocr très basique et retrouver le code.

            Franchement je suis d'accord avec plus haut : ca n'apporte rien sur le long terme. Ca permet juste de se couper des keylogger actuels le temps qu'ils soient refaits.
  • # astuce

    Posté par (page perso) . Évalué à 4.

    En attendant que la caisse d'épargne ploie sur le coup d'un effet DLFP, une petite astuce d'un collègue qui a le soucis il y a 2 jours à peine avec son poste du bureau sous debian. Comme le formulaire d'accès aux comptes est présent sur toutes les pages (ou presque) il suffit de se rendre sur un page sans flash et le tour est joué, le clavier virtuel apparait entièrement.

    Mais que cela n'empèche pas les clients de se plaindre. A la banque postale on a aussi un clavier virtuel. Ca marche sans problème sous Linux mais c'est loin d'être pratique. Je suis même prêt à payer quelques euros de plus par an pour utiliser des tokens d'authentification (type RSA Secure ID...) ou des cartes à puces à la place.
    • [^] # Re: astuce

      Posté par . Évalué à 1.

      A cette adresse, les connexions se font par carte à puces, avec code changeant régulièrement.

      http://www.cdc-net.com

      L'ennui, c'est que ce n'est pas destiné aux particuliers.
  • # Astuce alternative

    Posté par (page perso) . Évalué à 2.

    Autrement, si vous avez adblock, vous allez dans le menu adblock, et vous séléctionnez Overlay Flash (ou un truc du genre).

    Ca désactive temporairement le flash de la page.
  • # Astuce

    Posté par (page perso) . Évalué à 2.

    Fais un lien direct dans tes favoris :

    *ttps://www.net[CODE_CE].caisse-epargne.fr/private/identification/index2.asp?nuce=[CODE_CE]&nuabbd=[NUM_ABO]&codconf=[CODE_CONF]

    où :

    - CODE_CE est ton code de Caisse d'Épargne (par exemple 15455)
    - NUM_ABO est ton numéro d'abonné (9 chiffres)
    - CODE_CONF est ton code d'accès confidentiel

    Biensûr, ça suppose que tu sois le seul à utiliser l'ordinateur, sinon n'importe qui pourra accéder à ton compte...
    • [^] # Re: Astuce

      Posté par . Évalué à 3.

      le code confidenciel passé dans l'URL...... pourquoi pas....
      • [^] # Re: Astuce

        Posté par (page perso) . Évalué à 2.

        Via HTTPS, tout passe par une connexion sécurisée (et chiffrée), donc je ne vois pas de problème ; autre que celui d'avoir le code confidentiel dans ses favoris, évidemment.

        Il est toujours possible de garder le "template" d'URL sous la main, et de le compléter à la main à chaque fois qu'on veut consulter son compte en ligne...

        Et un code confidentiel dans l'URL, ce n'est pas pire que de le donner chez ton boulanger ou au guichet automatique de ta banque (on voit tellement de trucs de nos jours).
        • [^] # Re: Astuce

          Posté par (page perso) . Évalué à 3.

          Perso je n'ai aucune confiance dans qui que ce soit (même pas les banques) pour avoir désactivé les logs d'accès, surtout s'ils attendant les données en POST (et donc que par défaut ça n'apparait pas dans les logs). Je ne parle même pas de l'historique de ton navigateur.
    • [^] # Re: Astuce

      Posté par (page perso) . Évalué à 2.

      Heu...

      Le code d'accès apparait en clair dans l'URL ?
      • [^] # Re: Astuce

        Posté par (page perso) . Évalué à 2.

        Oui mais je crois savoir que ça ne transite pas en clair sur Internet dès lors que la connexion est chiffrée (HTTPS).

        Bon, vous commencez à me mettre le doute là ! :-)
        • [^] # Re: Astuce

          Posté par . Évalué à 2.

          C'est pas le problème, le digicode est censé éviter les keylogger. Si il suffit de remplacer les keylogger par des screenshoot logger* ou des parser d'historique, c'est ridicule.

          *bête est méchant, pas un qui vérifie la position des chiffre et enregistre cahque clic
          • [^] # Re: Astuce

            Posté par (page perso) . Évalué à 5.

            Bon les gars faut que vous vous documentiez sur les protocoles GET et POST
            avant de flipper.

            Quand tu utilise leur clavier virtuel le formulaire est envoyé en utilisant le
            protocole POST (donc rien dans l'url), *mais* comme beaucoup de scripts web
            ils ne forcent pas le transfert des variables en POST et il est possible de les
            faire passer en GET.
        • [^] # Re: Astuce

          Posté par . Évalué à 5.

          Je suis pas totalement sur, mais effectivement en théorie c'est chiffré lors de la transaction https.


          Mais par contre si tu entre l'URL avec ton code dans ton navigateur, est-ce qu'il ne va pas enregistrer ça dans ton historique par hasard ??

          Résultat, n'importe qui fouillant dans tes historique pourra aller sur ton compte.

          Donc moi ça me semble vraiment pas terrible comme idée.
      • [^] # Re: Astuce

        Posté par (page perso) . Évalué à 4.

        Vous croyez que les access.log de leurs serveurs sont bien sécurisés ?
        • [^] # Re: Astuce

          Posté par . Évalué à 2.

          Je suppose qu'un serveur web en mode sécurisé ne log pas en clair les infos reçu.
          Si c'est le cas, c'est une très grave erreur de sécu de la part du serveur web, pas directement de la banque.

          En l'occurance le serveur utilisé par la caisse d'épargne est un IIS il me semble.

          Enfin, j'ai jamais vérifié comment faisait apache (et IIS j'ai pas moyen de voir) sur ce genre de choses, mais ça me parrait évident que les données ne sont pas dans les logs. Concernant les données fournient par la methode GET, c'est à vérifier.
          • [^] # Re: Astuce

            Posté par (page perso) . Évalué à 2.

            Euh, il faut différencier les requêtes :

            La partie xhtml1.1 :
            GET :
            <form action="http://site/quelquepart.php" method="get">
            <input type="text" name="login" />
            <input type="password" name="pass" />
            </form>
            C'est ce que vous retrouverez dans vos /var/log/httpd/access.log :
            HTTP/1.1 GET /quelquepart.php?login=machin&pass=lol
            C'est ce que vous retrouverez dans vos tableaux globaux php :
            <form action="http://site/quelquepart.php" method="post">
            <input type="text" name="login" />
            <input type="password" name="pass" />
            </form>
            $_GET = array(
            'login' => 'machin',
            'pass' => 'lol'
            );

            POST :
            <form action="http://site/quelquepart.php" method="get">
            <input type="text" name="login" />
            <input type="password" name="pass" />
            </form>
            access.log :
            HTTP/1.1 POST /quelquepart.php
            php :
            $_POST = array(
            'login' => 'machin',
            'pass' => 'lol'
            );

            Mais on peux faire plus subtil :
            POST:
            <form action="http://site/quelquepart.php?cryptvalue=dsfkjjkgkj&tagada=tsouintsouin" method="post">
            <input type="text" name="login" />
            <input type="password" name="pass" />
            </form>
            access.log :
            HTTP/1.1 POST /quelquepart.php?cryptvalue=dsfkjjkgkj&tagada=tsouintsouin
            php :
            $_GET = array(
            'cryptvalue' => 'dsfkjjkgkj',
            'tagada' => 'tsouintsouin'
            );
            $_POST = array(
            'login' => 'machin',
            'pass' => 'lol'
            );
    • [^] # Re: Astuce

      Posté par . Évalué à 7.

      Astuce pour Firefox :
      Au lieu de mettre le code dans les bookmark, il est posible de mettre %s à la place du code dans l'url et de remplir le champ "mot clé" quand on édite le bookmark.
      Ensuite pour accéder au site, il suffit de taper dans la barre d'adresse : "Le_mot_clé le_code_secret" (sans les guillements) et normalement ça marche et sans stoquer le code secret dans ses bookmarks !
      • [^] # Re: Astuce

        Posté par (page perso) . Évalué à 2.

        Effectivement, les bookmarks keywords peuvent aider ici... Mais ca rentrera quand meme dans l'historique!

        Le plus simple serait une petite extension qui fasse ca pour toi automatiquement quand tu vas sur la page (i.e., elle enleverait le flash pour le remplacer par le formulaire classique)
  • # La banque postale

    Posté par (page perso) . Évalué à 2.

    L'ancienne méthode reste accessible ici :

    https://www.videoposte.com/statique/index_clavier.html

    C'est sensé être provisoire, mais ça restera peut-être si beaucoup de monde s'en sert.
    • [^] # Re: La banque postale

      Posté par (page perso) . Évalué à 2.

      Merci pour l'information !
      • [^] # Re: La banque postale

        Posté par (page perso) . Évalué à 1.

        Pareil je leur ai écris, mais leur réponse a été négative...

        Il m'ont seulement donné l'url de la version backup.

        Et je ne vais JAMAIS sur la version clavier visuel a la con !

        Pour deux raison :
        - je peux pas sauver mon foutu couple numéro de compte+code (mon cerveau a pas besoin de retenir ces données inutiles !!!)
        - j'ai pas que ça a faire de perdre 50h a taper leur foutu chiffres...

        Si il sont malin il y a moyen de faire un truc sécure sans avoir besoin d'une telle connerie :

        - nom de champs cryptés via un base64_encode(crypt('login',$_SESSION['random'])) :

        (et récupérer lequel est le login et pass via ré-utilisation du même $_SESSION['id'])
        - afficher login et password dans un ordre a la con
        - ajouter des avec des label+input dans tous les sens avec du display: hidden (pour les navigateurs avec support css/javascript) pour pourrir la vie des attaquants
        - mettre un falback pour les navigateurs stupides/malvoyant/etc...
        - ajouter des champs a remplir (avec un label qui dit mettre n'importe quoi ici)

        Bon ça met en échec la sauvegarde des login+pass (car les noms de champs sont pas statiques d'une fois sur l'autre)

        Le second point idéal serait de pouvoir encrypter en js les valeurs des champs Pour mettre en échec toute la chaîne qui pourrait mettre un proxy entre les deux :
        - norton fait ça pour ajouter un js en fin de page qui kill toutes les popups
        - ou un trojan qui se mettrait en proxy https avec un certificat valide pour * (les clients seraient capable de valider le certificat bidon)

        De toute façon si tu n'ai pas un contrôle complet de la chaîne navigateur+librairies sous-jascentes+chaine jusqu'au serveur c'est inutile de chercher a compliquer la vie du client.
        La seule chose importante est de régulièrement changer le code pour pourrir (et mettre en échec) les trojans.
        Ou alors faire un client don't on soit sur avec protection anti-debugger et autre
        (mais ça tient environt 24h pour les jeux, alors pour des gens qui veulent du pognon c'est pire...)

        La dernière protections est de changer tout le temps le positionnement des balises et de tout crypter a l'intérieur de l'interface pour que si jamais ils réussissent a rentrer il arriver pas a faire beaucoup de dégâts collatéraux...
  • # Script

    Posté par . Évalué à 3.

    moi, agacé de devoir payer au LCL pour accéder au téléchargement des opérations, j'ai pondu un ti script qui avec curl et un parse du html récupère les infos accessible en ligne.

    vais faire la même chose pour la caisse d'épargne tiens...

    petite questin : vous savez si dans les conditions d'utilisation de ces services bancaires et toutes les lignes écritees en petit ya des clauses du genre "le client s'engage à ne pas utiliser de moyen automatisé de visualisation/récupération des données accessible en ligne toussa" ?
    • [^] # Re: Script

      Posté par . Évalué à 3.

      Il m'intéresse bien ton script. Tu l'as publié quelque part ?

      Parce que pour l'instant c'est gratuit pour moi (nouveau client), mais ensuite ça va devenir payant.

      En plus, il faudrait que je puisse modifier les infos automatiquement pour changer les tiers, et mettre les dates d'opération et valeur correctement dans un QIF ou autre pour import dans Grisbi. Mais j'ai pas eu le courage d'automatiser tout ça pour l'instant... Donc ton script serait un bon départ...
  • # Cherche une bonne banque de ce côté

    Posté par . Évalué à 1.

    Je profite de ce journal pour une question perso (qui servira sûrement à d'autres d'ailleurs).

    Je viens de changer de département, et je pense donc changer de banque vu que le nouveau département n'est plus rattaché à la même caisse de mon enseigne.

    Je cherche une nouvelle banque, et le critère principal, pour l'instant, est l'accès par internet à son compte. Pourvu que les tarifs ne soient pas trop élevés (surtout ceux de l'accès par le web), je me moque un peu du reste.

    Quelqu'un a-t-il l'expérience d'une banque qui ne cède pas à ces débilités de claviers virtuels, qui ne détecte pas le navigateur, qui n'utilise pas le flash (sauf pages facultatives), et qui propose une interface claire et pratique ?

    Mon expérience personnelle : le Crédit Agricole Sud Rhône-Alpes. Assez bon ensemble : clavier virtuel, mais qui fonctionne sans problème sous Konqueror ou Firefox, pas de flash dans l'interface.
    Il y a quelques mois, avec Konqueror, la page d'accueil bouclait infiniment (détection du navigateur), mais après un mail au webmaster, le problème a disparu.

    Merci d'avance pour vos témoignages.
    • [^] # Re: Cherche une bonne banque de ce côté

      Posté par . Évalué à 3.

      Tant qu'on y est :)

      J'avais entendu parlé, par des amis l'utilisant, d'une banque sur internet, n'ayant pas d'agences physiques, mais étant très intéressante et proposant des services peu cher et efficaces.

      Je n'ai jamais pu retrouvé le nom, si quelqu'un sais de quoi il s'agit et ce que ça vaut, ça m'interesserait, et je suppose que ça pourrait aussi intéresser Thomas Bigot.


      Sinon, pour mon experience personnel, j'utilise HSBC, ils ont un service web qui fonctionne assez bien, sans clavier virtuel pour le moment (je touche du bois).
      Je dirais en gros que je suis satisfait, mais sans plus.
      Peut faire mieux, mais le principal est là et c'est déjà bien.
    • [^] # Re: Cherche une bonne banque de ce côté

      Posté par . Évalué à 2.

      Méfie-toi du Crédit Agricole, j'ai vu au moins deux caisses régionales facturer 9 ¤ la mise en place de prélèvements automatiques.
    • [^] # Re: Cherche une bonne banque de ce côté

      Posté par . Évalué à 3.

      Je propose AXA Banque:
      http://www.axabanque.fr

      C'est une banque sur internet, l'ancienne Banque Directe renommée depuis son rachat par AXA.

      Côté fonctionnalités, tout va bien avec Firefox (pas essayé konqueror depuis longtemps, mais aux dernières nouvelles, c'est ok). La connexion passe par un clavier virtuel (pour éviter les keyloggers) très bien géré dans Firefox. J'arrive même à télécharger mes comptes au format QIF compatible gnucash (option payante, choisir le format "money").

      Côté confiance, c'est une banque sur internet, mais il y a derrière un très grand groupe. Pour moi, ça compte.

      Depuis peu, vous pouvez choisir une agence AXA comme agence bancaire, mais je n'ai pas testé (je préfère rester sans agence).

      Côté prix: c'est plutôt très bon marché (mais tendance à augmenter les prix depuis 2 ans; ça reste intéressant), avec notamment la gratuité de l'accès web (normal, c'est votre agence!), des virements internes et externes, des envois de chéquiers, et le remboursement de la cb en fonction d'un seuil de dépenses.

      Réponses aux courriels dans la journée quand ce n'est pas urgent.

      AMHA, éviter le compte Oligo, sauf si vous êtes assuré AXA (réduction d'assurance associée).

      J'utilise depuis 2000.
      • [^] # Re: Cherche une bonne banque de ce côté

        Posté par . Évalué à 1.

        > Je propose AXA Banque

        Moi aussi, mais le problème avec les banques en ligne, c'est qu'on ne peut pas faire un dépot en espèces, à moins de passer par Western Union, qui n'est pas gratuit. Donc si à l'occasion d'une vente, vous vous retrouvez avec 1000 euros en billets, il faudra les garder chez vous, et donc, impossible d'utiliser cet argent pour acheter qq chose en ligne.

        Sinon, le site web a l'air fiable. Mon seul reproche, c'est que pour déposer des chèques, il faut lécher une enveloppe avec un goût de colle écoeurant. J'aurais préféré des enveloppes autocollantes.

        > vous pouvez choisir une agence AXA comme agence bancaire

        Je n'ai pas été informé de ça. Il doit falloir être client d'Axa Assurances, ou alors les vendeurs nous tannerons pour qu'on le devienne.
        • [^] # Re: Cherche une bonne banque de ce côté

          Posté par . Évalué à 4.

          >il faut lécher une enveloppe avec un goût de colle écoeurant.

          ====> Moment Astuce <====
          Utilise une éponge pour humidifier ton timbre.

          Et si tu tiens vraiment à lécher quelque chose. Essaye de te lécher le coude.
      • [^] # Re: Cherche une bonne banque de ce côté

        Posté par . Évalué à 1.

        pareil, j'y suis et j'en suis content
        MAIS
        je viens de leur demander comment font les aveugles avec leur clavier virtuel, leur réponse est :
        "En réponse à votre mail, je vous informe que nous ne proposons pas d'alternative au clavier virtuel, malheureusement."
      • [^] # Re: Cherche une bonne banque de ce côté

        Posté par . Évalué à 2.

        Moi je suis pas trop fan de ce genre de solution, parce que c'est quand même toujours mieux de pouvoir déposer facilement chèques et espèces à son agence. Sans compter qu'on peut tout aussi facilement parler à quelqu'un de vrai pour poser des questions, avoir un rendez-vous avec un conseiller pour parler de certaines choses. C'est quand même parfois plus productif que de parler à un robot ou quelqu'un qui ne te connait pas forcément très bien.
        Enfin, bref, moi je préfère encore une "vraie" banque en dur.
        • [^] # Re: Cherche une bonne banque de ce côté

          Posté par . Évalué à 3.

          La vraie banque en dur, avec une vraie personne dedans, elle avait encaissé un chèque de 11.000 francs à mon ordre comme un chèque de 1.100 francs. Finalement, je préfère la machine bête et méchante, qui fait ce qu'on lui demande, et la vraie personne qui contrôle qu'elle fait bien ce qu'on lui demande derrière ! :-)
  • # le seul moyen ?

    Posté par (page perso) . Évalué à 1.

    Depuis quelques jours, la Caisse d'Épargne emboîte le pas de certaines de ses petites camarades et propose comme seul et unique moyen de saisir son code d'accès un clavier virtuel.


    Quelqu'un a déjà proposé l'adresse suivante ?

    https://www.net.caisse-epargne.fr/private/ident.asp

    La page a le mérite d'être totalement accessible et sans fioritures.
  • # mozilla

    Posté par (page perso) . Évalué à 1.

    Amusant : sous Mozilla (et non sous Firefox), je continue d'accèder à la caisse d'épargne avec le même système qu'avant !
  • # Autre solution

    Posté par . Évalué à 2.

    Si tu veux pas installer adblock, tu peux faire une feuille de style utilisateur pour ce site (ne marchera qu'avec firefox).

    cf
    http://www.moktoipas.com/fuss/install.php
    http://www.chevrel.org/fr/carnet/index.php?2005/09/06/491-fi(...)
  • # La solution : greasemonkey

    Posté par (page perso) . Évalué à 4.

    Voici un script greasemonkey qui fonctionne avec Epiphany et le Crédit Agricole ( http://www.ca-sudrhonealpes.fr/ ). Il doit pouvoir être adapté à d'autres banques je pense.
    // ==UserScript==
    // @name          Remove the graphical keyboard for the Credit Agricole Sud Rhone Alpes
    // @namespace     http://purl.org/net/louve/2006/0520/greasemonkey/casudrhonea(...)
    // @description   Remove the graphical keyboard for the Credit Agricole Sud Rhone Alpes
    // @include       https://www.sra-enligne.credit-agricole.fr/cgi-bin/emcgi?App(...)
    // @include       https://www.sra-enligne.credit-agricole.fr/cgi-bin/emcgi
    // ==/UserScript==
    
    (function(moncompte, monmotdepasse){
        // http://developer.mozilla.org/en/docs/Gecko_DOM_Reference
        var chiffreHiddenInput = document.getElementsByName("CHIFFRE").item(0);
        chiffreHiddenInput.setAttribute("TYPE", "text");
        var NcompteInput = document.getElementsByName("CCPTE").item(0);
        var presskeyHiddenInput = document.getElementsByName("PRESSKEY").item(0);
        // lire la table de conversion des mots de passe
        var conversionTable = new Array(10);
        var conversionTableText = "Conversion Table :\n"
        var allTD = document.getElementsByTagName("td");
        var i = 0;
        for (i = 0; i<allTD.length; i++) {
            if(allTD[i].getAttribute("class") == "case"){
                var js = allTD[i].getAttribute("onClick"); // javascript:CocherCase('xx')
                var a = allTD[i].getElementsByTagName("a").item(0);
                var code = js.substr(js.indexOf("'")+1, 2);
                if(code.indexOf("'") == -1){
                    conversionTable[Number(a.textContent)] = code;
                    conversionTableText += "conversionTable[" + a.textContent + "] = " + code + "\n";
                }
            }
        }
        //alert(conversionTableText);
        function convertPass(pass){
            var i = 0;
            var convertedPass = "";
            for(i = 0; i<pass.length; i++){
                convertedPass += conversionTable[pass[i]];
            }
            return convertedPass;
        }
        // Add GUI
        var beforeElement = chiffreHiddenInput;
        // Create the label
        var myText = document.createTextNode("Code secret:");
        chiffreHiddenInput.parentNode.insertBefore(myText, beforeElement);
        // Create the input
        var myInput = document.createElement("input");
        myInput.setAttribute("type", "text");
        myInput.onblur = function(e){
            chiffreHiddenInput.value = convertPass(e.target.value);
        };
        chiffreHiddenInput.parentNode.insertBefore(myInput, beforeElement);
        // Create the submit button
        var mySubmit = document.createElement("input");
        mySubmit.setAttribute("type", "submit");
        mySubmit.setAttribute("value", "Valider");
        mySubmit.onclick = function(){ return true; };
        chiffreHiddenInput.parentNode.insertBefore(mySubmit, beforeElement);
        // Default values
        myInput.value = monmotdepasse;
        chiffreHiddenInput.value = convertPass(monmotdepasse);
        NcompteInput.value = moncompte;
    })("00", "00")
    
    Et voici comment installer le script greasemonkey : http://mail.gnome.org/archives/epiphany-list/2006-April/msg0(...) Et le lien (pour faire le clic-droit dans epiphany) : http://bzr.mildred632.free.fr/Projects/greasemonkey/CAsudrho(...)
  • # Deplacez le clavier !

    Posté par (page perso) . Évalué à 2.

    Le clavier est cache sous une anim flash sous firefox ... mais on peut deplacer tt le clavier sur la page avec un drag-n-drop !
    Vous l'avez remarque ou pas ?
    • [^] # Re: Deplacez le clavier !

      Posté par . Évalué à 0.

      non moi il est pas caché le clavier, mais c'est horrible, il suffit qu'un ami, un collegue, ou n'importe qui d'autre soit derriere toi et le code est divulgué (en plus les images sont entouré quand on clique dessus).

      C'est vraiment un drole de systeme mais j'avais aussi remarqué qu'il faisait cela dans d'autre banque (bien avant la caisse d'epargne).

      C'est soit disant plus secure, oui ça evite certes les hook mais bon...

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.