Au lieu de taper votre mot de passe dans un champ texte classique, l'utilisateur devra entrer son mot de passe à l'aide d'un clavier virtuel pour éviter que celui-ci soit récupéré par un Key-logger.
Toutes les explications ainsi qu'une demo en flash sont dispo ici:
http://www.ca-anjou-maine.fr/Vitrine/ObjCommun/Fic/AnjouMain(...)
J'ai pris l'exemple de l'agence Maine-Anjou mais apparemment la plupart des agences vont etre concernes.
Or dans l'explication on relève la partie suivante:
Néanmoins, il a été constaté que le fonctionnement du clavier virtuel n'était pas optimisé pour les PC équipés du système d'exploitation Linux et du navigateur internet Mozilla et pour les MAC équipés du navigateur Safari.
Vous pouvez télécharger la dernière version du navigateur
Internet Explorer (gratuit et fiable)
J'aime bien la dernière phrase :-)
Malheureusement j'ai pas trouver de lien emails permettant de signaler ce mauvais choix et j'ai pas tellement envie de raconter à une gentille conseillère bancaire pourquoi c'est méchant de refuser l'accès a Firefox/Safari/(insert name here other than explorer)
PS: Apparemment certaines agences ont déjà été migre
http://www.ca-illeetvilaine.fr/
Mais n'ayant pas de compte dans cette agence je suis incapable de vérifier si Firefox fonctionne ou pas avec la nouvelle méthode.
# En effet
Posté par dab . Évalué à 4.
PS: Apparemment certaines agences ont déjà été migre
En effet, c'est le cas depuis déjà quelques semaines voire 3 ou 4 mois.
[^] # Re: En effet
Posté par Gazel . Évalué à 3.
Si oui pourquoi conseiller d'utiliser Explorer?
[^] # Re: En effet
Posté par jedi_bc . Évalué à 9.
[^] # Re: En effet
Posté par Jérôme GALICHON . Évalué à 7.
Jérôme
http://www.geneawiki.com
[^] # Re: En effet
Posté par Calim' Héros (site web personnel) . Évalué à 6.
[^] # Re: En effet
Posté par littlebreizhman . Évalué à 2.
[^] # Re: En effet
Posté par Calim' Héros (site web personnel) . Évalué à 4.
[^] # Re: En effet
Posté par littlebreizhman . Évalué à 1.
Tu as raison, le FF venant de l'archive officielle de Mozilla.org, c'est donc la version X86 dans un environnement x86_64.
Mozilla/5.0 (X11; U; Linux i686 (x86_64); fr; rv:1.8.0.1) Gecko/20060124 Firefox/1.5.0.1 pour info.
Pour l'avoir en 64, faut le compiler soi-même, non ?
[^] # Re: En effet
Posté par Calim' Héros (site web personnel) . Évalué à 2.
[^] # Re: En effet
Posté par Caeies . Évalué à 0.
Caeies
[^] # Re: En effet
Posté par Caeies . Évalué à 1.
Vala.
[^] # Re: En effet
Posté par Gazel . Évalué à 2.
C'est vraiment nul de se faire chier à faire une explication bidon alors qu'ils leur prendraient 5 minutes a tester...
Ils ont du avoir des mauvais retour sur certaines config et ont préféré se cacher derrière une explication fumeuse plutôt que de s'embêter à corriger le bug.
[^] # Re: En effet
Posté par Space_e_man (site web personnel) . Évalué à 2.
... ou simplement quelques raisons d'encourager l'utilisation des logiciels Microsoft...
"Business is business", tout simplement...
[^] # Re: En effet
Posté par Nicolas Alpi . Évalué à 3.
Par contre, c'est très très chiant je trouve ce système.
[^] # Re: En effet
Posté par Boa Treize (site web personnel) . Évalué à 1.
Ah ouais ? Faut sélectionner les navigateurs à supporter, les systèmes d'exploitations à supporter (on prend quels distribs ?), les versions de tout ça, installer toutes les combinaisons de tous les navigateurs sur tous les OS, et demander à des équipes de dérouler tous les scénarios de test !
Et refaire le boulot à chaque version du soft qui sort...
Moi j'appelle pas ça un boulot de cinq minutes, et je dis pas que c'est pô cher, facile à faire, ou qu'il y a un intérêt à le faire vu la situation.
Le mieux est que les devs s'assurent que ça marche, et on ne garantit rien derrière. ;-)
[^] # Re: En effet
Posté par Boa Treize (site web personnel) . Évalué à 2.
Si le CA n'a pas testé des trucs alternatifs, c'est qu'ils ont considéré que ça coûte beaucoup trop cher, c'est tout.
Au mieux ce que vous auriez eu, c'est « testé avec Firefox 1.13 sous SuSE Linux v40.12 » (comme le sont le JDK de Sun, DB2 d'IBM, WebLogic de BEA, etc.)
(Et non, une grande entreprise ne peut pas se permettre de dire « vaguement testé » ou « ça devrait marcher » ou « ouais on y a fait gaffe mais rien n'est sûr » -- ça ne manque pas, les clients hargneux et teigneux prêts à faire des procès pour le préjudice moral (ou financier !) subi pour n'avoir pas réussi à se connecter avec un navigateur « mais le site disait que ça marchait avec et ça a planté ».)
[^] # Re: En effet
Posté par Jimmy . Évalué à 2.
Il y a quand même une grosse marge entre ne rien tester (hormis la config la plus répandue) et vérifier un minimum de compatibilité avec les alternatives qui se développent fortement.
Voici une nouvelle illustration de l'intérêt du respect des normes !
Même si ce n'est pas le cas ici, bloquer un site pour les navigateurs autres que IE c'est nier le but inital d'internet : communiquer.
[^] # Re: En effet
Posté par gnujsa . Évalué à 2.
«
Au mieux ce que vous auriez eu, c'est « testé avec Firefox 1.13 sous SuSE Linux v40.12 »
»
Non, non. De la même manière les sites webs n'annoncent pas qu'ils sont compatible seulement avec la pile TCP/IP du kernel 2.6.12 et supérieur, ou encore les constructeurs d'autoroute compatible avec les peugeots modèle XXX. Et oui les standards, c'est bien pratique.
De toute manière, il y a plus coûteux et compliqué que de tester qu'un site fonctionne sur quelques navigateurs parmi les plus répandus. Et 15 ou 20% pour Firefox, c'est quand même pas négligeable ... Mais ils n'ont pas à s'engager sur ce point
[^] # Re: En effet
Posté par Boa Treize (site web personnel) . Évalué à 2.
(Et puis on ne teste pas la compatibilité avec des standards. On se fait certifier par un organisme indépendant. Je ne sais pas s'il y en a pour les standards du web.)
[^] # Re: En effet
Posté par Cali_Mero . Évalué à 2.
# excuse bidon
Posté par Paul POULAIN (site web personnel, Mastodon) . Évalué à 7.
C'est même magnifique : effet de transparence léger sur le clavier rouge, qui peut se déplacer sans pb dans la fenêtre de firefox !
[^] # Re: excuse bidon
Posté par Larry Cow . Évalué à 10.
Sauf que je ne peux plus avoir mon mot de passe enregistré par KWallet. Ce qui était, du point de vue des keylog, aussi efficace que leur solution merdique qui, en revanche, permet le shoulderlog (ou mattage de password par dessus l'épaule).
Conséquence malheureuse, je ne peux même plus avoir mon numéro de client enregistré dans le navigateur (même sous firefox). Donc il traîne sur un petit papier à proximité de mon ordi (retenir les mots de passe, ok, mais les ID clients en plus faut pas déconner). Ce qui n'est pas terrible non plus.
Bref, leur nouveau système (à la Société Géniale) est une énorme régression, de mon point de vue: j'avais un outil simple et sécurisé, j'en ai désormais un plus compliqué et potentiellement moins sécurisé.
[^] # Re: excuse bidon
Posté par moudj . Évalué à -1.
plus compliqué ok, je trouve aussi que pianoter à la souris est plus chiant qu'au clavier...
moins sécurisé ? pourquoi ?
- parce que tu laisse un bout de papier près de ton ordi ? naaan !
- parce que tu visite ta banque en ligne dans un cyber-café ? naaan !
pourquoi donc alors ?
[^] # Re: excuse bidon
Posté par Calim' Héros (site web personnel) . Évalué à 7.
- Parce que j'ai des enfants a qui je ne souhaite pas confier ces codes ? Siiii!
- Parce que ca ne concerne en rien ton/ta colocataire, ton/ta partenaire ? Siiii!
[^] # Re: excuse bidon
Posté par moudj . Évalué à -8.
et ? tu bosses avec des hackers ?
faut arrêter la parano là...
> - Parce que j'ai des enfants a qui je ne souhaite pas confier ces codes ? Siiii!
et ben ? tu leur donnes pas...
clavier ou souris, ça change rien...
> - Parce que ca ne concerne en rien ton/ta colocataire, ton/ta partenaire ? Siiii!
quel rapport avec le système mis en place ?
si tu laisses trainer tes codes secret près de l'ordi, que ce soit système clavier ou souris, le résultat sera le même...
[^] # Re: excuse bidon
Posté par Calim' Héros (site web personnel) . Évalué à 2.
Et ça se fait très bien (sans compter les cameras qu'il peut y avoir) d'autant plus que tu te sens en sécurité.
Franchement c'est déja pas la mort de relever un numero de carte a un distributeur automatique ou en caisse, alors la.
[^] # Re: excuse bidon
Posté par moudj . Évalué à -7.
perso, je regarde mes comptes uniquement chez moi... donc le shouldersniffing... bof...
> Et ça se fait très bien (sans compter les cameras qu'il peut y avoir) d'autant plus que tu te sens en sécurité.
au boulot ? des cameras dans ton dos ? pour relever ton numero de compte bancaire et ton code ????
faut arrêter de regarder 1984 !!
le seul danger que je vois pour un système de ce genre, c'est la consultation dans un cyber-café...
Et si quelqu'un est assez con pour consulter sa banque en ligne dans un cyber-café... enfin... j'irais pas le plaindre...
[^] # Re: excuse bidon
Posté par Calim' Héros (site web personnel) . Évalué à 5.
Sinon t'es peut être seul chez toi mais comme je le dis plus haut, ce n'est pas le cas de tout le monde.
Enfin, quitte a arrter 1984, autant laisser l'anti-virus faire son boulot et pas faire chiez avec ce truc en flash de merde qui marche pas sur tous les couples navigateurs/os, notament lorsqu'il sagit de X86_64 ou de navigateurs pour personnes non/mal voyantes qui trouvent certainement ca très pratique de pas aller jusqu'a la banque pour avoir un état des lieux de leur compte ou faire un virement...
[^] # Re: excuse bidon
Posté par moudj . Évalué à 2.
2. chez moi, je suis pas seul, mais la confiance est un peu la base de la relation avec la personne vivant sous le même toit que moi...
3. entièrement d'accord.
J'avais d'ailleurs envoyé un mail à la société générale lors du changement de système pour leur signaler le problème pour, entre autre, les aveugles.
Ils m'avaient, à ma grande surprise, répondu positivement en me demandant des conseils ou des pistes pour rendre l'outil accessible, mais il n'y a visiblement (si je puis dire) pas eut de suite... dommage, ça partait bien...
[^] # Re: excuse bidon
Posté par hiphopmomo . Évalué à -1.
tu as le droit de te retourner pour verifier si quelqu'un est dans ton dos.
Vu la disposition des touches et la taille du pave numerique, une personne a plus de 2-3 metres ne pourra pas lire correctement le pave numerique.
Et ça se fait très bien (sans compter les cameras qu'il peut y avoir) d'autant plus que tu te sens en sécurité.
comme dit plus bas par moi meme, on n'est pas a hollywood, m'etonnerais franchement qu'une camera placee a distance raisonnable (ie : de travers et pas sur ta gueule quoi) puisse donner quoique ce soit comme information valabel.
Franchement c'est déja pas la mort de relever un numero de carte a un distributeur automatique ou en caisse, alors la.
c'est pas la mort non plus de se rappeler d'un code client a 8 chiffres (SG). C'est meme depuis que la SG est passe a ce systeme que je me rappelle de mes codes (avant, ils etaient enregistres dans mon FF et j'etais emmerde des que je changeais de poste.)
Mais dis moi, tu crois pas que les banques se sont posees ces question avant toi?
Tu crois pas que c'est leur boulot ce genre de choses et qu'ils y ont reflechi longuement avant de mettre en place une solution de ce style?
Sans compter qu'ils ont acces a bien plus d'infos que toi sur l'utilisation qui est faite de leur site...
Apres libre a toi de penser que tu es tellement plus malin qu'eux que tu vois en 2 secondes un truc qu'eux n'ont jamais vu.
[^] # Re: excuse bidon
Posté par Larry Cow . Évalué à 5.
C'est pas la mort non plus d'aller demander un relevé exceptionnel à ta banque (payant, mais bon, c'est pas la mort), ou de te contenter de tes relevés réguliers. On nous fournissait un outil très pratique, on nous le remplace par un outil moins pratique, sous un prétexte de sécurisation qui semble pour le moins fallacieux. Si toi ça ne te dérange pas, libre à toi. Moi ça me fait chier.
[^] # Re: excuse bidon
Posté par Mark Havel . Évalué à 2.
[^] # Re: excuse bidon
Posté par Vador Dark (site web personnel) . Évalué à 3.
Le monsieur a dit qu'il n'utilisait ni l'un ni l'autre, vu qu'il utilisait KWallet, et que maintenant il ne peut plus utiliser KWallet et que donc tout d'un coup, ça revient au même que clavier ou souris.
[^] # Re: excuse bidon
Posté par moudj . Évalué à 3.
Et moi je répondais au monsieur parce qu'en matière de sécurité, je vois pas pourquoi le nouveau système est moins sécurisé (attention, je dit pas qu'il l'est plus).
Pour les enfants : ben s'ils n'ont pas le code ils ne pourront pas accéder, donc que les codes soient dans kwallet ou dans la tête, ou sur un papier qui ne sera pas à leur portée, ou est la différence ?
Pour la coloc' ? ben pareil, j'ose espérer que tu laisses pas trainer tous tes mots de passe et numéro de CB sur un papier près de la porte d'entrée...
Ce système est chiant, ok, moins securisé ? j'en doute...
En ce qui concerne, le cyber-café, je pense qu'il y a plus de keylogger dans les cyber-café que de mecs faisant du shouldersniffing...
Mais vu les scores que je récolte, le shouldersniffing doit être vachement répandu en fait :-), tout comme le dépôt de mot de passe sur des pots-it à la vue de tout le monde...
[^] # Re: excuse bidon
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 2.
Pour la coloc' ? ben pareil, j'ose espérer que tu laisses pas trainer tous tes mots de passe et numéro de CB sur un papier près de la porte d'entrée...
En fait si, on en a déja parlé partout : le "mattage par dessus l'épaule".
Ce n'est pas évident de vérifier à chaque fois que tu consulte tes comptes qu'il n'y a personne dans la pièce. Sans compter le fait qu'il est facile de ne pas faire confiance à quelqu'un mais délicat de lui dire.
Ce système est chiant, ok, moins securisé ? j'en doute...
Ça dépend du point de vue. Je pense qu'il est plus facile d'être sûr qu'il n'y a pas de key-logger sur un pc (anti-virus, toussa) que d'être sur qu'il n'y a pas un mec dans ton dos qui regarde.
En ce qui concerne, le cyber-café, je pense qu'il y a plus de keylogger dans les cyber-café que de mecs faisant du shouldersniffing...
Je pense l'inverse : il est quand même assez difficile d'installer un key-logger, alors que regarder un mec cliquer, c'est pas à la portée du premier venu.
[^] # Re: excuse bidon
Posté par Larry Cow . Évalué à 2.
L'inverse, non? ;)
[^] # Re: excuse bidon
Posté par Larry Cow . Évalué à 2.
En cela, oui, je considère qu'il y a eu régression du point de vue de la sécurité, et si cette régression n'est que potentielle en ce qui me concerne c'est bien parce que j'ai refusé de transiger (en notant le mdp, par exemple) et non parce que la régression est inexistante.
[^] # Re: excuse bidon
Posté par Xavier Teyssier (site web personnel) . Évalué à 3.
Beeep !
Apparemment, ça marche sous Konqueror depuis quelques jours.
Je ne sais pas trop depuis quand, mais je suppose que ça vient du passage en KDE 3.5.1, passage qui, même si ça n'a rien à voir avec le sujet, ma complètement vidé mon carnet d'adresse, ce qui a un côté passablement embêtant :-(
[^] # Re: excuse bidon
Posté par Larry Cow . Évalué à 2.
Pour le vidage de KABC, j'avais déjà eu le cas une fois, et maintenant que tu le dis c'est vrai que ça coïncide avec un changement de version de KDE. Damn!
[^] # Re: excuse bidon
Posté par Xavier Teyssier (site web personnel) . Évalué à 1.
Mmmm... Et forcément, c'est toujours à ce moment qu'on se rend compte que le DD de ce fichu mini-itx, censé faire des sauvegardes, est dans les choux :-(
Heureusement, paranoïa oblige, mon carnet d'adresse est aussi sauvé dans un carnet d'adresse... papier ! Ouf. Pas de perte de données cette fois-ci. Mais je me suis quand même fait une belle frousse...
[^] # Re: excuse bidon
Posté par Larry Cow . Évalué à 0.
O tempora, O mores, moi c'est le Zaurus qui m'avait sauvé la mise. Mais le principe reste le même :)
[^] # Re: excuse bidon
Posté par lezardbreton . Évalué à 3.
[^] # Re: excuse bidon
Posté par hiphopmomo . Évalué à 4.
La vraie vie n'est pas un film americain, on n'est pas capable de tirer un poster 4m*3m d'excellente qualite d'une sous region d'une video faite par une camera mediocre avec grand angle.
[^] # Re: excuse bidon
Posté par lezardbreton . Évalué à 2.
[^] # Re: excuse bidon
Posté par hiphopmomo . Évalué à 1.
En pratique, meme en etant devant l'ecran et connaissant le code secret par coeur, c'est galere de retrouver l'emplacement des boutons (qui sont places de facon aleatoire, je le rappelle).
Donc je doute qu'une personne etant derriere ton dos a 2-3 metres mini de l'ecran puisse facilement lire les chiffres qui sont clickes.
Sans compter que generalement, tu consultes ton compte depuis un endroit un minimum de confiance et que tu peux toujours verifier si quelqu'un regarde par dessus ton epaule avant de saisir ton code.
[^] # Re: excuse bidon
Posté par qdm . Évalué à 2.
http://www.lemonde.fr/cgi-bin/ACHATS/acheter.cgi?offre=ARCHI(...)
[^] # Re: excuse bidon
Posté par Jiel . Évalué à 10.
C'est plutôt moche, car ce sont les premiers clients des "télé-services".
De plus cela ne solutionne pas le problème. Un système vulnérable à un keylogger est tout autant vulnérable à un spyware plus évolué qui aura la parade (enregistrer l'écran, les mouvements de souris ..)
[^] # Re: excuse bidon
Posté par Prosper . Évalué à 3.
Pour les mouvements de souris , ca peut pas marcher , le clavier virtuel presenté pour tapper ton mot de passe change aléatoirement l'emplacement des touches.
[^] # Re: excuse bidon
Posté par Calim' Héros (site web personnel) . Évalué à 2.
[^] # Re: excuse bidon
Posté par hiphopmomo . Évalué à -1.
[^] # Re: excuse bidon
Posté par Éric (site web personnel) . Évalué à 3.
Et s'il sait faire la correspondance, faire une capture d'écran juste après avoir recu la grille de mot de passe, puis traquer les cliques utilisateurs ... franchement ce n'est pas bien complexe.
[^] # Re: excuse bidon
Posté par hiphopmomo . Évalué à 1.
Cela dit, le fait que le systeme est cassable, mais pas encore casse, justifie t il de rester avec un systeme qui est deja casse?
[^] # Re: excuse bidon
Posté par Vador Dark (site web personnel) . Évalué à 2.
[^] # Re: excuse bidon
Posté par inico (site web personnel) . Évalué à 3.
Un PoC fonctionnel est sortit en 2005.
Le mieux reste encore les one time key.
[^] # Re: excuse bidon
Posté par lorill (site web personnel) . Évalué à 2.
si tu rajoutes la verification des fenetres avant pour voir si t'en a une sur la banque, tu n'as plus besoin de le faire a chaque click, donc ca me semble parfaitement faisable.
[^] # Re: excuse bidon
Posté par Jimmy . Évalué à 2.
http://en.wikipedia.org/wiki/TEMPEST
http://en.wikipedia.org/wiki/Acoustic_cryptanalysis
http://www.erikyyy.de/tempest/
[^] # Re: excuse bidon
Posté par hiphopmomo . Évalué à 4.
Et si tu vas par la, qu'est ce qui te dit que le cable de telephone qui sort de chez toi arrive bien chez ton fai et pas direct dans le camion des chinois du fbi?
[^] # Re: excuse bidon
Posté par Jimmy . Évalué à 1.
# Stupide!
Posté par Nicolas Bernard (site web personnel) . Évalué à 9.
C'est une de ces protections contre un scénario hollywoodien dont parlait Schneier récemment dans Crypto-Gram. On se concentre sur un point précis en espérant que l'attaquant vienne par là et on oublie tout le reste!
[^] # Re: Stupide!
Posté par Space_e_man (site web personnel) . Évalué à 3.
En fait, cela dénote plus d'une certaine incompétence, voir de malhonnêteté "de vouloir faire croire que..."
Haaaa lala, dans quelle monde on vit quand-même :(
C'est triste...
Enfin, d'un autre côté, ça peut nous aider à choisir sa banque ;)
Et puis rien ne nous empêche d'informer "les gens"...
[^] # Re: Stupide!
Posté par hiphopmomo . Évalué à 1.
D'ailleurs, s'ils sont en place ces sales incompetents de merde, c'est parce qu'ils couchent avec la fille du patron/chef de service qui a reussit a les placer (patron qui lui meme a epouse la fille de l'ancien patron etc.) (sacree salope la fille du patron, parce que ca en fait du monde au CA)
[^] # Re: Stupide!
Posté par Anonyme . Évalué à 3.
Le noir, le blanc, le gris, toussa ...
[^] # Re: Stupide!
Posté par Space_e_man (site web personnel) . Évalué à 2.
[^] # Re: Stupide!
Posté par Charles-Victor DUCOLLET . Évalué à 3.
Et je me dis : "BORDEL, il pourais pas faire un tout petit effort pour ecrire des phrases un tant soit peu moins grossière... Alors, ok, le politiquement corrèct ça saoul vite, mais l'ordurier a outrance, c'est pas vraiment mieux et ça pousse certaines personnes a vouloir abuser du premier...
A bon entendeur, salut !
[^] # Re: Stupide!
Posté par hiphopmomo . Évalué à 1.
C'en est meme insultant tellement c'est narcissique et nombirliste!!! Et sans utiliser d'insulte, ce qui est bien la pire des facons d'insulter..
"Moâ je sais, moâ je fais mieux que les autres, les autres c'est des incompetents parce que moâ je pense que et que dans mon monde de ma tete a moâ les choses se passent pas comme ca".
Je suis bien plus choque par ce genre de raisonnement a l'arrachee que par salope, merde ou autre gros mots, qui plus est quand il sont utilises dans une ironie ou un second degre comme je l'ai fait ici...
[^] # Re: Stupide!
Posté par Charles-Victor DUCOLLET . Évalué à 3.
alors, ceci est mon dernier poste sur la question, je n'est pas envie de pourire ce journal avec mes griefes personnel...
si tu n'a pas envie que cela s'arrette là, il y a un petit lien ci dessus pour m'envoyer un message personnel...
sinon, pour me moisser, je ne t'indique pas le chemin, j'imagine que tu connais deja !
[^] # Re: Stupide!
Posté par hiphopmomo . Évalué à 2.
Yet another troll, alors trollons..
'fin bref, j'ai donne mon avis, t'en fait ce que tu veux (ouais ouais, meme ca.. oups, desole, c'est grossier aussi ca..)
[^] # Re: Stupide!
Posté par lezardbreton . Évalué à 4.
On a compris que tu trouvais génial l'authentification de la Sogé, du CA, etc... Plusieurs personnes t'ont expliqué que c'était pénible à l'utilisation et moins sécurisé.
Je te ferais remarquer que lorsque LiNuCe a fait un journal sur le nouveau système d'authentification de la socgen, peu de personne était contre à priori ce système, ce n'est qu'à l'usage qu'on a vu qu'il était nul.
Pourquoi je te parle de quelqu'un derrière mon dos, tout simplement parce que ça m'est arrivé plusieurs fois et je considère que même ma famille n'a pas à connaitre mon mot de passe.
La probabilité que quelqu'un s'amuse à mettre un keylogger sur mon PC est beaucoup plus faible qu'une personne derrière mon dos, sans compter que le nouveau système est aussi sensible à des logiciels espions de ce type.
Ensuite, tu nous dis qu'il est impossible de tester les sites sur tous les navigateurs en nous parlant de firefox sur une version précise de SUSE, alors que tu sais parfaitement que firefox sur SUSE est le même que sous Mandriva, Slackware ou OpenBSD.
Je me demande vraiment ce que tu cherches à démontrer en défendant ce qui est difficilement défendable, tu travailles au CA ?
Moi aussi je bosse dans une banque, et je suis tout à fait conscient que beaucoup de conneries sont faites, un peu d'humilité, ça fait du bien.
[^] # Re: Stupide!
Posté par hiphopmomo . Évalué à 1.
Juste que ceux qui disent "ouais, mais c'est de la merde" feraient surement mieux d'y reflechir a deux fois.
Pour le shoulderlogging, je me suis deja exprime dessus, je suis persuade qu'une personne situee a plus de 2 metre de l'ecran ne pourra pas le lire correctement.
Pour terminer je me suis pas exprime sur le test des sites, meme si j'ai tendance a abonder dans son sens.
Et tu detournes les propos de la peronne qui a dit ceci, qui disait que ca prenait largement plus de 5 minutes a valider comme l'affirmait une grande gueule, grande gueule qui n'a surement jamais deroule une recette pour avancer une connerie pareille.
[^] # Re: Stupide!
Posté par PachaFonk . Évalué à 0.
Et j'm'y connais !!!
[^] # Re: Stupide!
Posté par Éric (site web personnel) . Évalué à 8.
> (avant le passage par SSL) quand on a reçu un page contenant le
> terme "mot de passe",
J'espère que la grille est au moins en double aveugle : le lien entre la case que tu coches et le chiffre que ça active ne peut être fait que de deux façons : via le rendu de l'image ou via le serveur (ce qui veut dire que les identifiants de chaque image et leur url, sont générés aléatoirement à chaque requête et que la correspondance n'est que sur le serveur)
Ceci dit je suis d'accord sur le reste. Ca donne une superbe impression de sécurité mais ça ne sécurise rien. Un logiciel espion peut tout à fait faire la capture du rendu des images avant d'enregistrer les clics quand il sait qu'il est sur la page de login.
C'est même pire : depuis ce truc à la sogé, je ne peux plus regarder mon compte en présence d'un tiers. Autant le clavier je peux taper à peu près tranquillement, autant ce truc visuel gros en rouge sur l'écran avec une mire autour de la souris, si le gars à coté ou derrière ne peut pas voir/retenir mon mot de passe c'est qu'il est totalement bigleux.
Si vraiment c'était un problème de sécurité ils changeraient déjà les mots de passe pour mettre une vrai combinaison de caractères et pas seulement une suite de chiffres. Là c'est juste un problème d'impression de sécurité. Et c'est aussi pour ça que toutes les banques sont obligé de suivre, sinon leurs utilisateurs vont avoir l'impression d'être moins sécurisés (en fait je vais être encore plus cynique, il n'est pas impossible que ce soit le responsable informatique qui ait l'impression que son système est moins sécurisé que les autres banques et qui demande l'ajout du clavier virtuel sans même étudier si c'est vraiment utile).
# Pareil pour la BNP
Posté par Nicolas . Évalué à 1.
Ce clavier est composé de 25 cases je crois, avec seulement 10 chiffres dedans (il y a des cases vides) qui sont répartis de manière aléatoire.
Pour voir ce que ça donne :
http://www.bnpparibas.net/banque/portail/particulier/Fiche?t(...)
Pour résumer, c'est vraiment pratique, et ça marche partout !
[^] # Re: Pareil pour la BNP
Posté par Éric (site web personnel) . Évalué à 4.
[^] # Re: Pareil pour la BNP
Posté par Nicolas . Évalué à 1.
# IE for Mac
Posté par Benoit . Évalué à 4.
MS conseille même l'utilisation de Safari.
[^] # Re: IE for Mac
Posté par gnujsa . Évalué à 4.
« Microsoft ended support for Internet Explorer for Mac on December 31st, 2005, and is not providing any further security or performance updates. »
[^] # Re: IE for Mac
Posté par Nicolas Schoonbroodt . Évalué à 3.
[^] # Re: IE for Mac
Posté par Jimmy . Évalué à 2.
Et en plus, ce sera sans doute possible même sur un Mac ... maintenant qu'Apple fait des PC.
[^] # Re: IE for Mac
Posté par 태 (site web personnel) . Évalué à 3.
[^] # Re: IE for Mac
Posté par Larry Cow . Évalué à 3.
# avant clavier virtuel faut revoir mot de passe
Posté par Dup (site web personnel) . Évalué à 2.
enfin s'ils ont l'impression de sécuriser ainsi....
[^] # Re: avant clavier virtuel faut revoir mot de passe
Posté par iznogoud . Évalué à 3.
Après, au CL, ils limitent à 3 tentatives, après ils bloquent. Ca limite les dégâts. Le CA ne le fait apparemment pas, ou alors ils le cachent bien.
[^] # Re: avant clavier virtuel faut revoir mot de passe
Posté par Sufflope (site web personnel) . Évalué à 1.
[^] # Re: avant clavier virtuel faut revoir mot de passe
Posté par Antoine . Évalué à 1.
[^] # Re: avant clavier virtuel faut revoir mot de passe
Posté par Mark Havel . Évalué à 2.
Et je confirme que cette banque est un peu nulle : il suffit de faire 50 kilomètres pour ne plus pouvoir rien faire d'autre que tirer des sous à un automate avec sa carte bancaire. Soit-disant que les caisses régionnales ne sont pas reliées entre elles...
# Navigateurs 'alternatifs' pas oubliés
Posté par Olivier Serve (site web personnel) . Évalué à 5.
Firefox (Win/Lin/Mac), Mozilla (pareil), Netscape7, Opera, Safari, AOL et Wanadoo (oui, une skin Wanadoo sur le moteur d'IE).
Il est donc probable qu'un Konqueror récent (3.5) passe.
Par contre, c'est une belle connerie ce système.
[^] # Re: Navigateurs 'alternatifs' pas oubliés
Posté par ashram4 . Évalué à 1.
[^] # Re: Navigateurs 'alternatifs' pas oubliés
Posté par Tulan . Évalué à 2.
https://www.paris-enligne.credit-agricole.fr/g1/ssl/vitrine/(...)
Ils ne conseillent aucun navigateur en particulier, et indique même une liste assez complètes des navigateurs compatibles sur les 3 plateformes Win/Linux/Mac.
Apparemment chaque CA gère son propre système:
- Anjou-Maine -> vieux système login/password en HTTP
- Paris-IDF -> à la souris avec un clavier de 10 touches
- Ile et Vilaine -> grand tableau de 25 cases avec remplissage aléatoire
# Vive la sécurité
Posté par phoenix (site web personnel) . Évalué à 3.
Comment on fait quand on est dans un openspace ?
[^] # Re: Vive la sécurité
Posté par Sixel . Évalué à 8.
On bosse, et on consulte son compte depuis la maison. /o\
"Il faut" (Ezekiel 18:4) "forniquer" (Corinthiens 6:9, 10) "avec des chiens" (Thessaloniciens 1:6-9) "morts" (Timothée 3:1-10).
[^] # Re: Vive la sécurité
Posté par kadreg . Évalué à 4.
[^] # Re: Vive la sécurité
Posté par moudj . Évalué à 8.
[^] # Re: Vive la sécurité
Posté par a_jr . Évalué à 1.
Rhalala, mauvaise banque, changer banque !
# Keylogger sous Win, c'est Linux qui prend
Posté par Vador Dark (site web personnel) . Évalué à 5.
Remarque, si pour eux Internet explorer est un navigateur moderne et fiable...
# de toute facon avec un mot de passe entré en clair....
Posté par hervé^3527 . Évalué à 3.
j'appele pas ca etre sécurisé (envoi en clair du n° de compte et du password), donc l'utilisation d'un clavier virtuel va rien changer si tout est encore transféré en http..
et vous qu'en pensez vous?
[^] # Re: de toute facon avec un mot de passe entré en clair....
Posté par Calim' Héros (site web personnel) . Évalué à 4.
[^] # Re: de toute facon avec un mot de passe entré en clair....
Posté par Prosper . Évalué à 1.
[^] # Re: de toute facon avec un mot de passe entré en clair....
Posté par nextgens (site web personnel) . Évalué à 4.
Le formulaire doit lui aussi être sur une page sécurisée.
http://lists.grok.org.uk/pipermail/full-disclosure/2005-Augu(...)
[^] # Re: de toute facon avec un mot de passe entré en clair....
Posté par Prosper . Évalué à 2.
[^] # Re: de toute facon avec un mot de passe entré en clair....
Posté par kadreg . Évalué à 2.
[^] # Re: de toute facon avec un mot de passe entré en clair....
Posté par fabien . Évalué à 2.
les flux en https sont chiffrés sur le reseau.
si on passe les identifiants/password en clair, il en sert absolument a rien de chiffrer le reste.
donc, oui http://www.ca-centrest.fr/ n'est pas securisé a ce niveau là, c'est même une faute grave de voir celà de la part d'une banque.
# Completement crétin
Posté par Guillaume Knispel . Évalué à 5.
Update: après mattage de comment est fait le bidule, c'est encore plus simple que je pensais à contourner : il suffit de coder des plugins pour les navigateurs.
# Et l'intêret d'un clavier virtuel
Posté par golum . Évalué à 6.
[^] # Re: Et l'intêret d'un clavier virtuel
Posté par morphalus . Évalué à 1.
[^] # Re: Et l'intêret d'un clavier virtuel
Posté par Jimmy . Évalué à 2.
Ceux-ci ne sont pas très miniaturisés :
http://www.thinkgeek.com/gadgets/electronic/5a05/
http://www.insecure.org/stc/ (photo au milieu de la page)
mais avec un petit PIC10F200 et une Flash I²C on doit pouvoir en bricoler un assez compact.
# Picardie
Posté par Cyrille Hombecq . Évalué à 1.
L'interface fonctionne sans probleme sous firefox.
# Parade inutile !!
Posté par kawa2204 . Évalué à 3.
Dans les rump session du SSTIC2005 (tres bonne conf soit dit en passant) Nicolas Gregoire a présenté un Proof of Concept a ce sujet.
ses slides :
http://actes.sstic.org/SSTIC05/Rump_sessions/SSTIC05-rump-Gr(...)
Le concept : un simple hook souris sur WM_LBUTTONDOWN, on chope une image de l'environnement autour du curseur, le tour est joué !
L'attaque existe donc déjà avant que la "solution" ne se démocratise vraiment.
Bref, encore un truc inutile fait pour donner confiance aux utilisateurs. Mais les banques sont coutumières du fait. Une de leur tentative qui m'a fait hurler de rire (date un peu):
Ils ont voulu facturer un service de numéro de carte bancaire a usage unique, pour que l'utilisateur ne se fasse pas voler son numero.
J'adooore ce principe : faire payer une assurance qui les couvre eux, et non le client (vu que dans le cas d'une telle fraude, la banque doit rembourser, point barre)
[^] # Re: Parade inutile !!
Posté par Pascal Terjan (site web personnel) . Évalué à 5.
Au moins au crédit lyonnais j'ai ça gratos depuis des années...
J'adooore ce principe : faire payer une assurance qui les couvre eux, et non le client (vu que dans le cas d'une telle fraude, la banque doit rembourser, point barre)
Oui mais ca t'apporte du confort, ca évite de te retrouver dans la merde parce que que t'es à découvert imprévu alors que t'es en vacances au loin et que quelqu'un a vidé ton compte.
# Ok avec firefox, KO avec les browsers texte
Posté par FlashCode (site web personnel, Mastodon) . Évalué à 2.
Par contre, on est maintenant quasi obligés d'utiliser la souris (perte de temps), et surtout avec les navigateurs en texte comme lynx ou links, le site n'est plus accessible :(
WeeChat, the extensible chat client
[^] # Re: Ok avec firefox, KO avec les browsers texte
Posté par Mark Havel . Évalué à 2.
[^] # Re: Ok avec firefox, KO avec les browsers texte
Posté par Jimmy . Évalué à 2.
Pense à un non-voyant avec un outil de synthèse vocale ou un terminal braille.
http://oralux.org/
Et puis on peut afficher des graphiques avec lynx ... en ascii-art !
http://aa-project.sourceforge.net/aview/
# ca paris
Posté par jemore . Évalué à 3.
J'avais écrit il y'a plus d'un an un script PHP pour récuperer les opérations effectués sur mon compte ( http://jemore.nerim.net/dotclear/index.php?2004/10/15/7-curl(...) ) , mais même avec leur nouveau système d'authentification, mon script continu de fonctionner...
Donc c'est peut etre protégé des Keyloggers (et pas des mouselogers) , mais pas d'autres choses...
# Et les déficients visuels dans tout cela ?
Posté par tux77 . Évalué à 6.
# Illegal
Posté par Frédérick Diot . Évalué à 1.
Sur l'abul, nous avions remarqué que ce genre de pratique est illegal. Je n'ai pas l'article de lois exactement, il s'agit des loi contre les discriminations sur la consomation (service, produit etc..).
frederick
# ok pour cmds
Posté par Aurélien Maille . Évalué à 1.
[^] # Re: ok pour cmds
Posté par redo_fr . Évalué à 1.
Je leur ai ecris pour demander des précisions sur cet article:
"2 - Votre ordinateur est-il adapté ?
La mise en place de ce nouveau mode d'accès à vos comptes requiert les
caractéristiques techniques standards de votre ordinateur. Vous pouvez
télécharger la dernière version du navigateur Internet Explorer"
Et leur demander si cela fonctionnait pour MAC, GNU/linux et firefox
Eh bien, ils ont corrigés le site selon mes recommendations :-)
2 - Votre ordinateur est-il adapté ?
La mise en place de ce nouveau mode d'accès à vos comptes requiert les caractéristiques techniques standards de votre ordinateur. Il a été testé avec les principaux systèmes d'exploitation (Windows, MAC OSX, Linux...) et navigateurs du marché (Internet Explorer, Firefox, Safari...) et il est utilisable, grâce à l'ajout d'un logiciel spécifique, par les personnes mal voyantes.
En cas de difficultés, nous vous invitons à télécharger la version la plus récente de votre navigateur.
Bravo au CA-CMDS.
Celui qui pose une question est bête cinq minutes, celui qui n'en pose pas le reste toute sa vie.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.