Discussion :

[noftal]

Bonjour,
Je développe une macro VBA qui interagit avec mon compte bancaire sur Boursorama.
Pour cela j'utilise l'excellent tuto : http://qwazerty.developpez.com/tutor...-et-vba-excel/
Mais la page de login web de boursorama est constituée d'un clavier virtuel. Attention, un vrai clavier virtuel. C'est à dire que si mon code remplit la inputbox avec mon mot de passe cela ne marche pas (même si mon mot de passe s'affiche bien dans le champ visuel.
Il semble que le tuto ne permette pas de faire cela avec ce type de page.
Je vous donne la page en question :
https://clients.boursorama.com/connexion/

Si qqun pouvait m'aider à l'analyser pour savoir comment "commander" à ma macro de taper sur les touches du clavier virtuel ce serait génial.

[unparia]

Bonjour
Et c'est PARFAIT ainsi.
Cela prouve que ta banque sait au moins gêner considérablement les robots éventuels.
De quoi te plaindrais-tu donc ?
Perso : si ma banque ne savait pas mettre en place une telle barrière, je la quitterais.

[pegase33]

Bonjour,
En utilisant le tuto de qwazerty et toutes les infos sur les différents forums vba et IE ..on peut arriver à effectuer une macro permettant de réaliser une automation d'un formulaire IE.
Le souci du clavier virtuel...est évident...J'ai tenté sur des grilles de différentes banques en ligne (pas celle de boursorama!) à clavier virtuel
Grosso modo...la procédure :
1 Boucle pour l'input de l'Identifiant
2 Faire une copie d'écran de la grille en lançant paint et l'enregistrer en jpg (utilisation de sendkeys)
3 Hors macro : Utiliser l'outil OCR Finereader pour définir la zone image de la grille (en tableau) pour la traiter ensuite avec HotFolder.exe (outil de Finereader pour automatiser et sortie de la grille en excel) et créer une tache OCR avec sortie excel
4 lancer HotFolder.exe et enregistrer sur un fichier excel les Range des chiffres de la grille
5 copier cette grille sur une feuille de la macro
6 traiter les chiffres de la grille et avec une boucle en ciblant le TagName utiliser la propriété Click et terminer par le submit
Tout ceci est assez long ..mais ça fonctionne chez moi :-)

[unparia]

Bonjour pegase33
Tu n'es jamais "tombé" sur un clavier virtuel dont ni le positionnement ni la disposition des touches ne sont fixes ?

[unparia]

De la lecture (une parmi d'autres) pour toi, pegase33

http://assiste.com.free.fr/p/abc/a/clavier_virtuel.html

....Le clavier change de position à chaque connexion et la disposition des lettres et chiffres change également .....

Ma banque va encore plus loin que cela (pas à chaque connexion, mais à chaque saisie nouvelle si la précédente a été ratée)

[patricktoulon]

bonjour
@pegaze
pour faire court perso avec ma banque et juste pour m'amuser j'ai réussi mais c'est une usine a gaz
comment?
aby finereader piloté par vba avec shell qui te permet de reconnaitre un caractère dans une image a un endroit précis

je n'ai trouvé que cette solution mais je ne la donnerais pas car ce serait la porte ouverte a tout

il faut bien que tu comprenne que ces protections ne sont pas la pour rien

j'en ai même déjà trop dis

[noftal]

Merci pour vos tentatives de me venir en aide.
Bien que ce topic ne soit pas sur la question philosophique de l'utilité de ces claviers pour lutter contre la fraude, je m'interroge toujours sur leur utilité. Auparavant (et encore aujourd'hui pour certains sites), la parade était la suivante : au bout de 3 essais infructueux, la connexion est impossible et il faut appeler ou demander la regénération du mot de passe pour accéder au contenu. Le clavier virtuel empêche juste à un robot de saisir automatiquement un mot de passe pris au hasard. Mais avec une limite sur le nombre d'essais, je ne vois pas où est le risque. Donc je ne vois pas en quoi les robots présentent un danger en tant que tel.

[unparia]

Le clavier virtuel empêche juste à un robot de saisir automatiquement un mot de passe pris au hasard.

Pas uniquement (tu as manifestement lu en diagonale le lien que je t'ai donné).
Sa finalité essentielle n'est pas celle-là !
Relis

Il se trouve simplement que, de ce fait, tu ne peux non plus robotiser (en plus de la finalité essentielle).

EDIT : lorsque, après relecture ATTENTIVE, tu auras compris la finalité essentielle, interroge-toi sur la compromission de cette finalité du seul fait de ta propre application.
(Même plus besoin de mécanismes sophistiqués... Du moins compliqué suffira (grâce à ... toi ...) pour voler TON mot de passe)
C'est ce qui s'appelle "bénéficier d'une serrure sophistiquée, mais en cacher la clef sous le paillasson" !

[patricktoulon]

re
oui les clavier virtuel changeant a chaque ouverture de pages ou même a chaque mise a jour de page rendent entre autre complètement impuissants les keyloger (capteurs de touches)et toutes les cochonneries du même genre

non sincèrement de ce coté tu peux laisser tomber l'idée d'automatisation

[pegase33]

J'ai automatisé sur différentes banques, Pole emploi, CAF ; freemobile..etc...ça fonctionne ...ce sont mes comptes perso...bien sûr!
Le clavier virtuel change à chaque renouvellement de page...évidemment!!
L’utilisation de Finereader ABBYY en définissant une zone (la grille en question...positionnement différente suivant les pages web)...et lancer hotfolder qui automatise le traitement de la zone et sortie fichier excel...ce dernier est traité à son tour pour le placement des chiffres à chaque nouvelle grille!!
D'accord avec toi patricktoulon...c'est un peu l'usine à gaz ;-)
En fait c'est juste l'utilisation d'un formulaire avec mot de passe par clavier virtuel...rien à voir avec l'utilisation à des fins de...bot ;-)...faut arrêter la parano!!!
Le traitement de la macro jusqu'à la connexion...jusqu'à 1'30...2' suivant le chargement des pages et le traitement de l'OCR!

[unparia]

En fait c'est juste l'utilisation d'un formulaire avec mot de passe par clavier virtuel...rien à voir avec l'utilisation à des fins de...bot ;-)...faut arrêter la parano!!!

qui parle d'autre chose que des aspects/difficultés techniques résultant de protections mises ? Personne ...
Cette remarque est donc à adresser à qui de droit, à savoir celui/ceux qui a/ont décidé de mettre de telles protections, si l'on trouve que ces protections sont abusives
Et qui parle de tentatives "à des fins de bot" ou de ceci, ou de cela ? Personne non plus. Il s'agit tout simplement de contrecarrer des tentatives d'accès à un compte autrement qu'en utilisant physiquement un clavier virtuel mis en place à des fins très précises, la plus importante d'entre elles étant de protéger d'abord l'utilisateur, l'utilisation d'un clavier virtuel compliquant considérablement la tache d'un éventuel "keylogger" destiné à "voler" un mot de passe qui serait frappé au clavier matériel.

[Invité]

Bonjour,
Les questions de sécurité c'est rien que de la paranoïa, les différents acteurs la banque,le fournisseur d'accès, le titulaire du compte ont besoin de croire que le système est inviolable! Ce n'est que de la psychologie rien à voir avec la sécurité.

[unparia]

Bonjour Robert
Certes le viol est toujours possible dès lors que l'on peut installer sur la machine du client ce qu'il faut installer pour l'espionner plus "complètement"
Mais :
1) Il faut avoir (ou avoir eu) accès à la machine du client et avoir su y installer l'espion qui convient (pas vraiment simple avec clavier virtuel alors que beaucoup plus facile en se contentant du clavier matériel)
2) cela ne résoudrait pas la difficulté induite exposée dans la présente discussion : y compris, donc, si un "espion" avait réussi à "voler" le mot de passe (il pourrait le frapper physiquement, mais ne pourrait toujours pas, pour autant, le "frapper" virtuellement. Quel besoin aurait-il d'ailleurs de ne pas le frapper au clavier virtuel, puisqu'ayant le bon mot de passe, sa finalité n'est pas de robotiser, mais d'accéder illégalement ?)
3) la création d'un programme tendant à robotiser la saisie du mot de passe serait déjà, à elle seule, une énorme fragilisation de la sécurité du mot de passe (la clé sous le paillasson à laquelle je faisais allusion plus haut). Le client prendrait ainsi plusieurs risques, à commencer par celui d'un "proche" malveillant ayant accès à sa machine à quelque moment que ce soit (y compris à la suite du vol tout bête de la machine elle-même).

[pegase33]

Les problèmes de sécurité sur l’accès aux comptes provient à plus de 80% des failles ...en interne des banques...ou des entreprises...en plus des failles des OS et navigateurs!
Malgré tout sur l'accès aux comptes...Le clavier virtuel bien sûr rend la tâche plus difficile...mais pas inviolable!!!
En fait à la question à l'origine de la publication de noftal...je réponds oui par une macro on peut accèder à son compte et automatiser la tâche!
J'ai décrit ma procédure d'une façon générale sans préciser la macro!