Discussion :

[Stéphane le calme]

Peu de temps après s'être fait voler son iPhone, 10 k$ ont été retirés et elle n'avait plus accès à son compte Apple.
« Une fois que quelqu'un pénètre dans cet environnement de sécurité, cela se retourne contre vous »

Une fonctionnalité iPhone de base peut aider les criminels à voler toute votre vie numérique. Le code d'accès qui déverrouille votre téléphone peut permettre aux voleurs d'accéder à votre argent et à vos données. C'est ce qu'a découvert une femme a ses dépens qui a déclaré que peu de temps après le vol de son iPhone 13 Pro Max, elle n'avait plus accès à son compte Apple. Reyhan Ayas a déclaré qu'Apple n'était « pas du tout utile » après que 10 000 dollars ont été prélevés sur son compte bancaire.

Alex Argiro, qui était détective du NYPD avant de prendre sa retraite en 2022, a déclaré qu'il y avait eu des centaines de crimes similaires commis à New York au cours des deux dernières années : « Une fois que vous entrez dans le téléphone, c'est comme une boîte au trésor ».

Reyhan Ayas quittait un bar de Manhattan en novembre lorsqu'un homme lui a arraché son téléphone et s'est enfui. En quelques minutes, la femme de 31 ans, économiste senior à Revelio Labs, une start-up d'intelligence de la main-d'œuvre, n'a plus pu accéder à son compte Apple et à tout ce qui s'y rattache, y compris des photos, des contacts et des notes.

Dans une interview, Ayas a déclaré qu'elle se tenait devant le bar lorsqu'un homme lui a volé son iPhone 13 Pro Max. Elle croit qu'il l'avait vue entrer son mot de passe à un moment donné et avait attendu l'occasion de voler son appareil.

La femme de 31 ans a déclaré avoir emprunté un autre iPhone pour essayer de localiser le sien à l'aide de la fonction "Find My iPhone". Cependant, Ayas a déclaré qu'elle avait déjà été éjectée de son compte Apple à ce moment-là. « Je ne savais pas ce qui se passait », a-t-elle déclaré.

Elle a déposé plainte dans un commissariat le lendemain et a montré des notifications de demande de réinitialisation de mot de passe et des informations de connexion après le vol de son appareil.

Parce qu'elle avait perdu l'accès à son compte Apple, elle n'a pas pu se connecter à son ordinateur MacBook. Elle a contacté le support Apple, qui lui a conseillé de se procurer une nouvelle carte SIM et un nouvel iPhone. Elle l'a fait, mais n'a toujours pas pu accéder à son compte.

Au cours des 24 heures suivantes, environ 10 000 dollars ont été prélevés de son compte bancaire, selon un relevé bancaire consulté par le média qui l'a interviewé. Il lui a été conseillé d'ouvrir un nouveau compte et d'y transférer tous ses fonds.

Alors qu'elle visitait un Apple Store à la recherche d'une assistance, Ayas a déclaré avoir reçu un e-mail de Credit Karma montrant une demande de carte de crédit Apple. Un autre e-mail lui a indiqué que la demande avait été approuvée alors qu'elle était en attente avec le support de la carte Apple.

L'équipe de soutien « n'a pas été utile du tout », a déclaré Ayas. Elle a ensuite appelé Goldman Sachs, qui émet les cartes de crédit d'Apple, et a pu obtenir de l'aide.

Ayas a dit qu'elle était très frustrée par Apple qui demandait continuellement : « Avez-vous essayé "Find My iPhone ?" ». « Bien sûr, j'ai essayé, peut-être trois minutes après [ndlr. le vol de mon téléphone], je l'ai essayé. On dirait que c'est une blague pour vous. Ma vie entière est un gâchis, mais vous me demandez toujours si je l'ai essayé », a-t-elle déclaré avoir répondu.

Lors de sa dernière conversation avec un représentant d'Apple, le représentant a déclaré à Ayas qu'il n'y avait aucun moyen de retrouver l'accès à son compte iCloud.

« Apple est très fier d'être de son environnement de sécurité fermé. Mais ils parlent rarement du fait que si un intrus pénètre cet environnement de sécurité fermé, il devient alors également fermé aux personnes qui possèdent le compte », a déclaré Ayas. « Cela peut absolument se retourner contre vous ».

Une situation loin d'être isolée

Des histoires similaires s'accumulent dans les postes de police du pays. Les auteurs de ces méfaits utilisent une astuce remarquablement low-tech : ils regardent les propriétaires d'iPhone taper leurs codes d'accès, puis volent leurs téléphones et ont le champ libre. Les voleurs exploitent une simple vulnérabilité dans la conception logicielle de plus d'un milliard d'iPhone actifs dans le monde. Il se concentre sur le mot de passe, la courte chaîne de chiffres qui permet d'accéder à un appareil ; et les mots de passe, généralement des combinaisons alphanumériques plus longues qui servent de connexion pour différents comptes.

Une fois qu'un tiers parvient à mettre la main sur le mot de passe, il peut en quelques secondes changer le mot de passe associé à l'identifiant Apple du propriétaire de l'iPhone. Cela empêcherait la victime d'accéder à son compte, qui comprend tout ce qui est stocké dans iCloud. Le voleur peut aussi souvent piller les applications financières du téléphone puisque le mot de passe peut déverrouiller l'accès à tous les mots de passe stockés de l'appareil.

« Une fois que vous entrez dans le téléphone, c'est comme une boîte au trésor », a déclaré Alex Argiro, qui a enquêté sur un réseau de vol très médiatisé en tant que détective du département de police de New York avant de prendre sa retraite l'automne dernier. Il a dit qu'il y avait eu des centaines de crimes de ce genre dans la ville au cours des deux dernières années. « Et cela va en augmentant », a-t-il déclaré. « C'est un crime tellement opportuniste. Tout le monde a des applications financières ».

Apple Inc. s'est présenté comme le leader de la confidentialité et de la sécurité numériques, vendant son matériel, ses logiciels et ses services Web iCloud étroitement intégrés comme la meilleure protection pour les données de ses clients. « Les chercheurs en sécurité conviennent que l'iPhone est l'appareil mobile grand public le plus sécurisé, et nous travaillons sans relâche chaque jour pour protéger tous nos utilisateurs contre les menaces nouvelles et émergentes », a déclaré une porte-parole d'Apple.

« Notre sympathie va droit aux utilisateurs qui ont vécu cette expérience et nous prenons très au sérieux toutes les attaques contre nos utilisateurs, aussi rares soient-elles », a-t-elle déclaré, ajoutant que la société estime que ces crimes sont rares, car ils nécessitent le vol de l'appareil et du mot de passe. « Nous continuerons à faire progresser les protections pour aider à sécuriser les comptes des utilisateurs ».

Un examen de la récente vague de vols révèle une possible lacune dans l'armure d'Apple. Les défenses de l'entreprise sont conçues autour de scénarios d'attaque courants : le pirate sur Internet qui tente d'utiliser les identifiants de connexion d'une personne, ou le voleur dans la rue qui cherche à s'emparer d'un iPhone pour une vente rapide.

Ils ne tiennent pas nécessairement compte du brouillard d'une scène de bar nocturne pleine de jeunes, où les prédateurs se lient d'amitié avec leurs victimes et les poussent à révéler leurs codes d'accès. Une fois que les voleurs possèdent à la fois le code d'accès et le téléphone, ils peuvent exploiter une fonctionnalité qu'Apple a intentionnellement conçue comme une commodité : permettre aux clients oublieux d'utiliser leur code d'accès pour réinitialiser le mot de passe du compte Apple.

« Ce n'était qu'une question de temps avant qu'un attaquant n'utilise le shoulder surfing ou l'ingénierie sociale », a déclaré Adam Aviv, professeur agrégé d'informatique à l'Université George Washington. « S'appuyer sur un téléphone comme appareil de confiance échoue dans de tels cas », a-t-il ajouté. Le shoulder surfing est une technique consistant à dérober des informations secrètes ou confidentielles d’une personne en regardant par-dessus l’épaule de celle-ci. Par exemple, une des fraudes les plus communes est le clonage par distraction, aussi appelée le shoulder surfing  : à la caisse d'un commerce, le voleur relève le numéro d'identification personnel (NIP) du client devant lui, en regardant par-dessus son épaule alors que ce dernier paie avec sa carte.

Anatomie de l'attaque : le voleur vous regarde taper votre mot de passe, puis vole votre iPhone. Avec l'appareil et le code d'accès, le voleur peut alors faire ceci...

Le vol

Toutes les victimes interrogées par le Wall Street Journal ont déclaré que leurs iPhone avaient été volés alors qu'elles étaient en train de parler sur les réseaux sociaux la nuit. Certains ont dit que les téléphones leur avaient été arrachés des mains par quelqu'un qu'ils venaient de rencontrer. D'autres ont déclaré avoir été agressés physiquement et intimidés pour qu'ils remettent leurs téléphones et leurs codes d'accès. Quelques-uns ont dit qu'ils croyaient avoir été drogués. Ils se sont réveillés le lendemain matin sans leurs téléphones, sans aucun souvenir de la nuit précédente.

Dans tous les cas, les propriétaires d'iPhone ont été éjectés de leurs comptes Apple. Ils ont ensuite découvert des milliers de dollars de vols financiers, y compris une combinaison de frais Apple Pay, des comptes bancaires épuisés liés à des applications téléphoniques et de l'argent prélevé sur Venmo de PayPal Holdings Inc. et d'autres applications d'envoi d'argent.

Une vulnérabilité similaire existe dans le système d'exploitation mobile Android de Google. Cependant, la valeur de revente plus élevée des iPhone en fait une cible beaucoup plus courante, selon les responsables des forces de l'ordre. « Nos politiques de connexion et de récupération de compte tentent de trouver un équilibre entre permettre aux utilisateurs légitimes de conserver l'accès à leurs comptes dans des scénarios réels et empêcher les mauvais acteurs d'entrer », a déclaré un porte-parole de Google.

Le soir du 22 janvier 2022, Reece Thompson, directeur artistique d'une agence de création à Hiawatha, Iowa, prenait un verre avec sa petite amie alors qu'il visitait le centre-ville de Minneapolis lorsque son iPhone 12 Pro a disparu du bar. Le lendemain matin, lorsqu'il a tenté de se connecter à son compte Apple à partir d'un autre appareil, le mot de passe du compte avait été modifié. Des milliers de dollars avaient été débités de ses cartes de crédit via Apple Pay et 1 500 dollars avaient été volés sur son compte Venmo, a-t-il déclaré.

Les procureurs du Minnesota affirment que Thompson, âgé de 42 ans, a été victime d'un réseau de voleurs qui a accumulé près de 300 000 dollars en volant des iPhone et leurs codes d'accès à au moins 40 victimes. Le groupe a ciblé les amateurs de bar avec des smartphones Apple, a rapidement pillé les comptes accessibles grâce à ces appareils, puis a revendu les téléphones, selon le mandat d'arrêt d'un membre du réseau présumé, Alfonze Stuckey. Stuckey a depuis plaidé coupable à un chef de racket et a été condamné à 57 mois de prison. Onze autres suspects ont été accusés de racket dans cette affaire.

Des groupes de deux ou trois voleurs allaient dans un bar et se liaient d'amitié avec les victimes, leur demandant souvent d'ouvrir Snapchat ou une autre plate-forme de médias sociaux, a déclaré le Sgt. Robert Illetschko, l'enquêteur principal sur l'affaire. Au cours de cette interaction, ils essaieraient d'observer la victime déverrouiller l'iPhone avec le mot de passe, a-t-il déclaré. S'ils n'avaient pas saisi le code d'accès au début, ils auraient peut-être essayé de demander à la victime de leur remettre le téléphone pour une photo, puis de l'éteindre subtilement avant de le rendre, a-t-il ajouté. Après le redémarrage d'un iPhone, un mot de passe est requis pour le déverrouiller.

« C'est aussi simple que de regarder cette personne taper à plusieurs reprises son code d'accès dans le téléphone », a déclaré le Sgt. Illetschko, ajoutant que parfois les voleurs filmaient secrètement les victimes afin qu'ils puissent être sûrs d'avoir saisi la bonne séquence. « Il y a beaucoup d'astuces pour amener la personne à entrer le code ».

Des cas similaires ont été signalés à Austin, Denver, Boston et Londres.

À New York, l'une des premières informations que la police a reçues sur l'ampleur de cette nouvelle vague de criminalité a pris la forme d'un décès inexpliqué.

Le vendredi 27 mai, lors d'une visite de Washington, D.C., John Umberger est sorti pour la nuit à Manhattan, terminant la soirée dans un bar du quartier de Hell's Kitchen. Cinq jours plus tard, le directeur de la diplomatie et des programmes politiques de l'American Center for Law and Justice, âgé de 33 ans, a été retrouvé mort dans l'appartement où il résidait, avec un portefeuille vidé et pas d'iPhone.

Au début, la police a soupçonné qu'il s'agissait d'une surdose de drogue de routine. Ensuite, sa famille a découvert que des milliers de dollars avaient été prélevés de ses comptes bancaires, PayPal et Venmo, ainsi que des frais de carte de crédit suspects, selon la mère d'Umberger, Linda Clary. Elle pense que le mot de passe du compte Apple de son fils a été modifié.

Argiro, le détective de New York qui a participé à l'enquête sur la mort d'Umberger avant de prendre sa retraite en septembre, a déclaré que les autorités en étaient venues à croire qu'il était victime d'un groupe de voleurs qui ciblent les barmans de New York, blanchissent de l'argent avec des applications, puis revendent les téléphones. Ce groupe particulier serait responsable de plus de 30 incidents, a-t-il ajouté.

Le bureau du procureur du district de Manhattan est en train de monter un dossier à présenter devant un grand jury, selon des personnes proches de l'enquête.

La méthode

En théorie, les innovations récentes d'Apple en matière de sécurité devraient éliminer la vulnérabilité d'un mot de passe intercepté. La porte-parole d'Apple a indiqué que Face ID et Touch ID étaient des moyens qui limiteraient la nécessité de saisir un mot de passe.

Pourtant, à New York, certaines autorités ont suggéré Face ID comme point d'entrée possible dans les téléphones. L'Office of Nightlife de la ville, une liaison entre la mairie et l'industrie hôtelière, a accueilli un conférencier qui a recommandé aux amateurs de bar de désactiver la reconnaissance faciale, sur la théorie selon laquelle le visage d'une personne incapable pourrait être utilisé par les voleurs.

Une violation du code d'accès est le scénario le plus probable, selon les rapports du Journal et les tests sur l'appareil. Pour changer le mot de passe de l'identifiant Apple de quelqu'un sur un iPhone, un scan du visage ne suffit pas : un mot de passe est nécessaire. Lorsque le changement de mot de passe est terminé, le logiciel offre une option pour forcer d'autres appareils Apple, tels que les Mac ou les iPad, à se déconnecter du compte Apple, afin qu'une victime ne puisse pas se tourner vers ces appareils pour retrouver l'accès. Le logiciel ne demande jamais à l'utilisateur d'entrer un ancien mot de passe avant d'en définir un nouveau. Les journalistes du Journal ont pu faire tout cela en moins d'une minute.

Une porte-parole d'Apple a déclaré que le système est conçu pour aider les utilisateurs qui ont oublié le mot de passe de leur compte. Elle a ajouté que cela nécessite deux facteurs, l'appareil physique ainsi que le code d'accès de l'appareil.

Avec le nouveau mot de passe, le voleur peut désactiver "Find My iPhone", ce qui permettrait autrement aux victimes de localiser leurs téléphones et même de les effacer à distance pour protéger leurs données. La désactivation de "Localiser mon iPhone" permet également au voleur de revendre l'iPhone.

Apple a récemment introduit la possibilité d'utiliser des clefs de sécurité matérielles, de petits dongles USB, pour protéger l'identifiant Apple. Lors des tests du Journal, les clefs de sécurité n'ont pas empêché les changements de compte en utilisant uniquement le mot de passe, et le mot de passe pouvait même être utilisé pour supprimer les clefs de sécurité du compte.

Source : WSJ

Et vous ?

Quelle lecture faites-vous de ces situations ?
Avez-vous vécu, directement ou indirectement, des situations similaires ? Partagez votre vécu.
Face à ceci, est-il alors prudent de garder ses informations bancaires sur son mobile ? Dans quelle mesure ?

[SofEvans]

Parce qu'elle avait perdu l'accès à son compte Apple, elle n'a pas pu se connecter à son ordinateur MacBook. Elle a contacté le support Apple, qui lui a conseillé de se procurer une nouvelle carte SIM et un nouvel iPhone.

Bwahahahhahaha hahah !

- "Bonjour, je me suis fais voler mon Iphone et je ne peux plus utiliser aucun de mes appareils Apple, vous pourriez m'aider ?"
- "Vous avez pensé à racheter un Iphone ?"

C'est juste magique, il n'y a pas d'autre mot !

Dans le même registre, il faut faire hyper gaffe de ne pas se faire "pirater" son adresse e-mail, et il faut toujours avoir 1-2 adresse e-mail en backup pour ce genre de cas.
A partir de l'email, tout comme à partir de l'Iphone (mais dans une moindre mesure certes), l'attaquant a accès à tout et peut changer les mot de passe.

[juju26]

Raison de plus de séparer les choses. Pour moi, un téléphone ne doit pas remplacer une CB et ne doit pas être la solution d'identification unique.
Cela devrait même être interdit par la législation pour des questions de sécurité.
Demain, sous prétexte de renforcement de la sécurité, les mots de passe seront supprimés. Dans ce cas, les voleurs ne chercheront pas à voir votre mot de passe ou à l’extorquer. Ils vous arracheront le doigt ou la t...

[23JFK]

Sur mon smartphone (pas d'Apple), il y a un mdp spécifique pour la maintenance (modifier le mdp de déverouillage...). Après s'il y a des nunuches qui utilisent toujours le même mdp partout où il leur en est demandé un : On ne peut rien pour eux.

[d_d_v]

Le pire, c'est si la victime n'a plus de carte bancaire et n'utilise que son smartphone comme moyen de paiement

[denisys]

SofEvans
Le 28/02/2023 à 13:26
C'est juste magique, il n'y a pas d'autre mot !

Et bien, moi j‘en voie au moins un autre.
Comme le disait le seigneur Karadoc de la fameuse série : Kaamelott
C’est de la merde !!!

[Fagus]

Je pense que cette mésaventure devrait nous inciter à rester humbles. Tout le monde n'est pas informaticien, et honnêtement, je trouve que c'est difficile d'établir un plan de menace pour résister à la plupart des attaques numériques.

Personnellement, je pense qu'il faut :

• Partir du postulat que tout est susceptible de faillir (panne, vol, piratage...)
• Donc il faut tout décentraliser (l'exact opposé de ce que fait Apple par facilité..., mais ce n'est guère mieux chez Google)
• et avoir des systèmes de double authentification redondants et séparés
• et du bon sens face au fishing...

De mon côté,

• j'ai plusieurs mails pour les sites ordinaires, moyennement sécurisés, très sécurisés... (c'est bidon, mais déjà, je reçois tout le fishing sur mon adresse poubelle, ce qui facilite le tri. franchement avec le temps j'ai tout reçu, les trucs bidons, les attaques parfaites avec faux site parfait, le virus qui passe tous les antivirus ; j'en ai désobfusqué parfois par curiosité)
• des pass uniques et un gestionnaire de pass
• la double authentification TOTP autant que possible
• et pas avec mon téléphone mais avec un token yubico
• quand j'éteins un PC ou que je ferme le navigateur, le comportement forcé est de démonter les disques chiffrés et d'effacer le cache, cookies etc.
• je n'ai qu'une confiance très limitée dans google, qui comme apple a fait des compromis sécurité/facilitations. Lors d'un test, j'ai pu supprimer sur mon compte google la double authentification SANS saisir la double authentification [c'était aussi arrivé à la youtubeuse Heliox qui s'était fait voler son compte juste en exécutant dans un moment de fatigue un exe troyandé non détecté par l'antivirus]. De même, sur un appareil apple d'un proche décédé dont j'ignorais tous les pass, j'avais pu ouvrir suite à un changement de leur politique leur gestionnaire de mot de passes SANS le mot de passe principal qui m'était inconnu. Le gestionnaire m'avait permis de récupérer le contrôle total du compte étrangement... suite à une erreur de logique dans leur procédure.
• protonmail a une meilleure politique de sécurité, mais si on oublie son pass, le compte est perdu.
• ma CB n'est pas sur mon téléphone ni sur un compte.

Pour les choses sensibles, il faudrait aussi utiliser Qubes OS (par ex pour le dév de LastPass qui s'est fait voler ses codes sur une faille de son lecteur multimédia...).

Malheureusement, beaucoup d'organismes et de sociétés considèrent que l'authentification par téléphone/SMS est sécurisée (cf la récente attaque d'ampleur par IMSI catcher en Île de France), ou qu'un pass+mail de récupération sont au top (comme l'Assurance Maladie qui m'a imposé cette pratique récemment, alors que la France utilise pour les pro depuis des décennies (de manière assez incroyable) des cartes à puce cryptographiques individuelles pour s'identifier...).

[walfrat]

Raison de plus de séparer les choses. Pour moi, un téléphone ne doit pas remplacer une CB et ne doit pas être la solution d'identification unique.
Cela devrait même être interdit par la législation pour des questions de sécurité.
Demain, sous prétexte de renforcement de la sécurité, les mots de passe seront supprimés. Dans ce cas, les voleurs ne chercheront pas à voir votre mot de passe ou à l’extorquer. Ils vous arracheront le doigt ou la t...

Dans le meme genre, déjà tester la double authentification sur une appli bancaire ?

• Quand tu le fais depuis ton PC, tu vois valider sur ton portable (avec un autre code certes)
• Quand tu le fais depuis ton portable, tu dois valider... sur ton portable

Bref si t'as un mouchard sur ton portable, t'es foutu.

Partir du postulat que tout est susceptible de faillir (panne, vol, piratage...)
Donc il faut tout décentraliser (l'exact opposé de ce que fait Apple par facilité..., mais ce n'est guère mieux chez Google)
et avoir des systèmes de double authentification redondants et séparés
et du bon sens face au fishing...

Non non non et non bordel, c'est pas au citoyen lambda de gérer 3 adresses mails, 2 pc, 3 portables, 4 gestionnaire de mots de passes différents par sécurité, 5 comptes bancaires, ça ne marchera jamais à l'échelle de toute une population.

La raison pour laquelle tout ça pullule, c'est parce que la justice ne suit pas.

[Fagus]

...
Bref si t'as un mouchard sur ton portable, t'es foutu.

Je suis bien d'accord, c'est pour cela que mon portable n'a pas un accès privilégié que je ne puisse révoquer ailleurs. (et le TOTP résiste aux mouchards...)
Ensuite, je suis aussi d'accord que les banques qui considèrent qu'un portable est une authentification forte, c'est un vrai problème.

Non non non et non bordel, c'est pas au citoyen lambda de gérer 3 adresses mails, 2 pc, 3 portables, 4 gestionnaire de mots de passes différents par sécurité, 5 comptes bancaires, ça ne marchera jamais à l'échelle de toute une population.

La raison pour laquelle tout ça pullule, c'est parce que la justice ne suit pas.

Idéalement, ce n'est pas au citoyen de gérer ces complexités techniques, mais comme je peux en partie, "aide toi et le ciel t'aidera".

En France, en cas d'arnaque électronique sur un paiement bancaire, la charge de la preuve est inversée. C'est à la banque de prouver que le client a fauté. Sinon, elle doit rembourser, c'est la loi. Actuellement, il y a un problème. Les banques arguent que leur système est très sécurisé grâce à la double authentification par téléphone et refusent de rembourser en toute illégalité en intimidant les clients. Lesquels clients sont obligés d'aller vers 60 millions de consommateurs ou un procès.

Par ailleurs, le temps que la justice intervienne, l'argent volé est déjà parti à l'étranger en dehors de la juridiction... donc, " il faudrait avoir une justice exceptionnelle", je crains que ça ne suffise pas (et dans le contexte d'affaissement progressif de l'état français je crains que ça n'arrive pas de sitôt ).

[weed]

Une des règles de base que j'applique est de ne pas tout mettre les oeufs dans le même panier, or le truc à la mode est de tout faire depuis son téléphone.

[DevTroglodyte]

Une des règles de base que j'applique est de ne pas tout mettre les oeufs dans le même panier, or le truc à la mode est de tout faire depuis son téléphone.

Faut comprendre le commun des mortels, c'est tellement pratique, et comme ils ont toujours le smartphone dans la poche... C'est déjà compliqué de faire adopter par une personne lambda un gestionnaire de mots de passe avec des vrais mots de passe et non un fichier excel avec des mdp tellement facile à trouver qu'un pirate pourrait se sentir insulté... Alors demander aux gens d'utiliser des mesures de sécurité redondantes et éviter de toute mettre au même endroit, c'est pas gagné.

Limite, il faudrait faire des formations obligatoires sur la sécurité informatique, vu à quel point le numérique est intégré à nos vies.

[Artemus24]

Salut à tous.

et du bon sens face au fishing...

Les gens sont dépourvus de bon sens et c'est ça le problème.
Donc pourquoi mettre ses références bancaires dans un téléphone mobile ? On peut se le demander.
Je sais. Parce que cela simplifie la vie. Oui, mais la vie de qui ? Des voleurs, certainement.

ma CB n'est pas sur mon téléphone ni sur un compte.

Je ne possède pas de téléphone mobile car je n'en ai pas besoin.
Je continue de payer par carte bancaire car c'est le moyen le plus utilisé, là où je fais mes courses.
Par internet, je ne peux pas payer mes achats avec ma carte bancaire.
Ma carte bancaire ne me le permet pas et cela ne m'empêche pas de payer au moyen d'un virement bancaire.

Ensuite, je suis aussi d'accord que les banques qui considèrent qu'un portable est une authentification forte, c'est un vrai problème.

Pourquoi s'authentifier au moyen d'un téléphone mobile alors que celui-ci peut facilement se faire voler ?
J'ai répondu à mon banquier qu'une ligne fixe ne peut pas se faire voler et qu'ils auraient dû y penser avant.
On m'a répondu que les téléphones fixes ne peuvent pas recevoir des sms.
Pourquoi un SMS ? Pour m'identifier sur doctolib, j'ai eu un message vocale sur ma ligne fixe.

Délibérément, le choix a été fait de s'identifier par téléphone mobile et par sms.

Le pire dans cette histoire, ils n'ont même pas tenu compte des zones blanches.
Comment s'authentifier quand on n'a pas de réseau 4G à sa disposition ?
Tout est fait pour les citadins, pas pour les ruraux.

Une des règles de base que j'applique est de ne pas tout mettre les oeufs dans le même panier, or le truc à la mode est de tout faire depuis son téléphone.

Un téléphone sert à téléphoner pas à faire autre chose.

Limite, il faudrait faire des formations obligatoires sur la sécurité informatique, vu à quel point le numérique est intégré à nos vies.

Ce n'est pas possible car qui voudrait payer pour suivre une de ces formations ?

Une des solutions est la biométrie. Mais qu'est-ce qui empêche un voleur de vous arracher le doigt où l'oeil ?
Et pourquoi ne pas porter sous la peau, une puce électronique ?
C'est tellement stupide qu'un jour, l'état va nous obliger à le faire.

Cordialement.
Artemus24.
@+

[Claude40]

Bonjour,
Un téléphone mobile est devenu quasiment obligatoire !
Il faudrait que l’on envoie tous un mail à nos banques pour trouver une méthode d’authentification forte autre que le SMS sur un mobile. Je sors de 15 jours de galère, à cause d’un smartphone tombé « en panne » et qui me réclamait un mot de passe alors que je n’en avait pas prévu. C’est comme si on me l’avait volé sans toutefois le risque de voir vider mes comptes (et encore, comment en être certain ?).
Plus d’accès au compte bancaire depuis un Pc, plus de possibilité d’achat sur Internet, plus de carte de fidélité dans mon supermarché préféré, etc… La seule solution a été de le réinitialiser en configuration usine. Mais il faut encore que j’attende un code envoyé par courrier pour accéder à mon compte bancaire. Et tous les courriers sont en principe en tarif vert, c’est-à-dire lents (j’attend depuis une semaine).
On va nous répondre que les banques obéissent à des normes européennes. Mais quand le normes peuvent conduire à des difficultés pareilles, il faut les changer.

[Artemus24]

Salut Claude40.

Merci pour ton retour d'expérience Claude40.

Un téléphone mobile est devenu quasiment obligatoire !

Non, car c'est toi qui rend ce besoin obligatoire.

Plus d’accès au compte bancaire depuis un Pc, plus de possibilité d’achat sur Internet, plus de carte de fidélité dans mon supermarché préféré, etc…

Tu ne vas pas me faire croire que tu as besoin d'acheter sur internet tous les jours. Que dois-je comprendre ? Que tu as la fièvre acheteuse ?

Je reçois une fois par mois mon relevé bancaire. Je n'ai pas besoin de le consulter quinze fois par jour.
J'ai aussi une carte de fidélité, en plastique, juste à coté de ma carte bancaire dans mon portefeuille.
Je ne vois franchement pas l'intérêt de tout dématérialiser.
J'espère pour toi que tu as des doubles, autre que dans un téléphone mobile.

Cordialement.
Artemus24.
@+

[Claude40]

Salut Claude40.


Non, car c'est toi qui rend ce besoin obligatoire.

Tu ne vas pas me faire croire que tu as besoin d'acheter sur internet tous les jours. Que dois-je comprendre ? Que tu as la fièvre acheteuse ?

Je reçois une fois par mois mon relevé bancaire. Je n'ai pas besoin de le consulter quinze fois par jour.
J'ai aussi une carte de fidélité, en plastique, juste à coté de ma carte bancaire dans mon portefeuille.
Je ne vois franchement pas l'intérêt de tout dématérialiser.
J'espère pour toi que tu as des doubles, autre que dans un téléphone mobile.

Cordialement.
Artemus24.
@+

L'expérience des uns n'est pas celle des autres.
Il se trouve que mon smartphone est tombé en panne le jour ou je voulais consulter mon compte une fois par mois. Pas de pot ! Il se trouve que je devais initialiser un virement vers un autre compte au risque de voir ce compte à découvert. Pas de bol ! Il se trouve que j'ai initialisé un achat sur Internet le jour de la panne et que j'ai dû y renoncer car je n'ai pas pu confirmer le paiement par CB dans les 5 jours. Vraiment pas de chance ! Il se trouve que mon enseigne commerciale ne fournit plus de carte de fidélité plastique, mais un QR Code à scanner lors du passage en caisse. Je suis vraiment maudit !
Il n'y a que deux mois que j'avais ce smartphone. Jusque là j'avais un mobile basique incapable de recevoir des SMS. Ma banque impose désormais (directive européenne) de passer par un application tierce pour valider un achat sur le net via un SMS. Auparavant le code de validation du paiement était envoyé par e-mail. Ce n'est pas moi qui suis un fana de la dématérialisation et qui rend le portable obligatoire.! Le résiste tant que je peux et je souhaite à tous de ne pas être obligé de passer par les fourches caudines de leurs fournisseurs. Car, un jour, tous ces protocoles seront généralisés et on ne pourra même plus changer de fournisseur (de banque, de supermarché ou autre) pour éviter ces contraintes.
Cordialement également.

[Fagus]

...

Non, car c'est toi qui rend ce besoin obligatoire.
...
Tu ne vas pas me faire croire que tu as besoin d'acheter sur internet tous les jours. Que dois-je comprendre ? Que tu as la fièvre acheteuse ?
...

Sans même faire d'achats, j'ai des factures à régler, et parfois le paiement en ligne est forcé par la loi (ou sinon majoration au % de la somme en cas de paiement par chèque, ce qui chiffre beaucoup...).
J'ai aussi eu des bugs avec l'appli pourrie de la BNP qui parfois considère mon téléphone comme un autre téléphone que celui qui sert d'authentification. Autant dire que tant que mon conseiller n'intervient pas, je n'ai plus accès à mon argent pour les transactions à distance. Pour certains ça peut être un gros problème.

Mon avis, c'est que l'authentification par téléphone c'est nul, sauf pour la banque qui externalise ses coûts sur le client, et trouve un moyen de ne plus le rembourser en cas de fraude.

Dans la loi, apparemment, il n'est exigé nulle part d'avoir un téléphone portable. Un token ou un fixe sont possibles. Seulement, il semble que peu de banques le fassent (Digipass 29€ alors que l’authentification forte est sensée être sans surcoût), ou sur ligne fixe, apparemment seulement la banque postale.
Quand je pense que la France était dans les précurseurs avec des boîtiers sécurisés déjà il y a quasi 30 ans, et que fabriquer un hardware TOTP c'est quelques euros...

[Hallebarde]

Avec un mot de passe de login et un autre pour accéder aux réglages du compte, pas de problème.
Et un troisième pour réinitialiser l' Iphone tant qu'on y est.

[Artemus24]

Salut à tous.

L'expérience des uns n'est pas celle des autres.

Je suis obligé d'aller chez des commerçants qui n'acceptent plus la carte bancaire à cause des frais trop élevés. Heureusement pour moi, j'ai encore des liquidités et des chèques pour payer.

Il paraitrait d'ici quelques années, qu'il n'y aura plus d'argent fiduciaire. Donc par voie de conséquence, plus de DAB ou GAB pour retirer de l'argent. Ces DAB coutent trop cher à entretenir à cause du peu de retraits par mois. Je les utilise assez régulièrement, au moins un fois par mois.

Je ne suis pas contre la disparition de cette argent fiduciaire. Mais nous serions tout tributaire du bon fonctionnement du réseau internet et de l'accessibilité aux banques. Et quand est-il de la sécurité pour ces échanges monétaire sur le net ? Ce n'est certainement pas le cadenas dans le navigateur qui va nous protéger d'une captation d'informations.

j'ai des factures à régler, et parfois le paiement en ligne est forcé par la loi (ou sinon majoration au % de la somme en cas de paiement par chèque, ce qui chiffre beaucoup...).

Je ne connais ce type de paiement forcé. De quoi parles-tu ? Des PV ? Je viens de jeter un coup d'oeil sur comment régler une amende, on peut encore payer par chèque ou se rendre au bureau de tabac.

Autant dire que tant que mon conseiller n'intervient pas, je n'ai plus accès à mon argent pour les transactions à distance. Pour certains ça peut être un gros problème.

Je suis à la campagne. La succursale bancaire est ouverte que deux matinées dans la semaine, là où j'habite. L'agence principale, qui est à plus de 25 Km de chez moi, est ouverte tous les matins. L'après-midi, ce n'est que sur rendez-vous. Heureusement pour moi, je peux échanger par e-mail avec mon conseiller bancaire quand j'en ai besoin. Dernièrement, je devais fournir des papiers que seul le banquier possédait. Cela a pu se faire dans la journée, par e-mail. Si besoin, il peut me joindre par téléphone. Comme je le connais bien, j'ai toute confiance en mon conseiller bancaire.

Mon avis, c'est que l'authentification par téléphone c'est nul, sauf pour la banque qui externalise ses coûts sur le client, et trouve un moyen de ne plus le rembourser en cas de fraude.

J'ai le même avis que toi. Ce n'est pas très sérieux leur façon de procéder pour s'authentifier.

La directive européenne pour s'authentifier se nomme "DSP2" et elle refuse une identification directement entre deux parties. Le principe retenu est celui de la tripartite, où le troisième est nécessairement autre chose que votre PC. La directive "DSP2" n'indique pas en quoi consiste ce troisième moyen pour s'identifier.

Ma banque a fait le choix du téléphone mobile et non aussi du téléphone fixe. Il parait que tout le monde possède un téléphone mobile mais pas un téléphone fixe. Il faudra que l'on m'explique comment puis-je avoir l'internet chez moi sans être triple play (internet + télévision + téléphone fixe) ?

L'identification par mot de passe sera obsolète d'ici quelques années, car trop contraignant et pas assez sécurisé.

J'ai un site web où je peux entrer dans mon espace de travail. Je le fais grâce à un certificat SSH. Sans certificat, l'authentification est rejeté et j'ai interdit l'accès par mot de passe. Cela fait plus de dix ans que j'utilise cette méthode sans aucun problème.

Comme je fais mes démarches depuis chez moi, sur mon PC, j'ai la change d'avoir une adresse IP fixe. On peut m'identifier par ce moyen être certain que je suis bien celui qui est à l'origine de l'accès à mon compte bancaire.

Il existe aussi des moyens biométriques. Ma banque met à la disposition des professionnels, un lecteur d'empreintes digitale à relier à l'ordinateur. Ce n'est fait que pour les professionnels pas pour les particuliers.

Par serveur vocale. Cela fonctionne sur tous les téléphones fixes et mobiles. Le téléphone vous fournit un code à quatre chiffres dont la durée de vie est de quelques minutes, juste le temps de s'authentifier sur son PC. Si le code est trop long, on risque de ne pas le retenir.

N'utilisez pas les applications qui stockent vos mots de passe. J'en ai testé un, et je ne comprenais pas pourquoi il avait besoin d'internet. Les mots de passe sont aussi stockés sur le serveur. N'importe qui ayant accès à ce serveur pour consulter vos mots de passe et en fair un usage frauduleux.

De toute façon, il n'existe aucun moyen de s'authentifier à 100%.

Dans la loi, apparemment, il n'est exigé nulle part d'avoir un téléphone portable.

C'est vrai.

Avec un mot de passe de login et un autre pour accéder aux réglages du compte, pas de problème. Et un troisième pour réinitialiser l'IPhone tant qu'on y est.

Un hacker pourra toujours cracker vos mots de passe. Il y a aussi la possibilité de reconfigurer votre téléphone mobile aux paramétrages d'usine. Même s'il n'accède pas aux données, ce hacker peut toujours le revendre.

Cordialement.
Artemus24.
@+

[Claude40]

Tout ceci montre bien que l'on a aujourd'hui tendance à utiliser les nouvelles technologies, sans avoir bien mesuré les inconvénients, souvent plus importants que les avantages espérés. Science sans conscience.....

[foetus]

Tout ceci montre bien que l'on a aujourd'hui tendance à utiliser les nouvelles technologies, sans avoir bien mesuré les inconvénients, souvent plus importants que les avantages espérés

Le problème n'est pas vraiment les gens/ le public … même si on peut lui reprocher bien des choses : ne pas vouloir changer, ne pas vouloir s'y intéresser (faire 1 permis "Internet" ?), …

Tout cela est poussé par les grandes entreprises/ lobbys/… dans leur propre intérêt : dépenser moins (tout est numérique et centralisé, moins de physique), tout est contrôlé/ tracé/ fliqué/ …, pousser les assurances et autres, augmenter les prix (c'est de la "haute technologie").
La France n'existe plus vraiment, c'est l'Europe qui décide. Là depuis 2019, ce sont les paiements instantanés gratuits qui sont poussés … comme dans les autres pays.

Dans cette brève, c'est la même technique que le "spoofing" : avoir accès à ton compte, changer l'identifiant, le code de sécurité et l'appareil de confiance, augmenter les plafonds, gratter des bonus (carte bancaire, …) et ensuite c'est "open bar".
Parce que j'ai vraiment dû mal à croire que 1) la banque ne voit rien d'anormal, ne voit pas le compte récepteur et ne peut rien faire (factuellement c'est 1 soustraction et 1 addition virtuelles) et que 2) les pirates n'ont pas eu de l'aide (l'exemple de l'IMSI catcher du commentaire 7 de @Fagus)