Discussion :

[Jack Sparrow]

Ce que je vois souvent au Luxembourg, c'est l'un des 2 systèmes suivants :

L'autentification se fait en plus d'un login/password avec :

- une carte électronique (qui ressemble à une carte bleu et qui s'insert via un lecteur spécial). Ces cartes permettent de certifier son identité, de signer électroniquement des documents etc. https://www.luxtrust.lu/ au luxembourg
- l'utilisation d'un générateur externe synchronisé avec la banque et le compte

A partir d'un certain montant, il y a un appel du client pour confirmer le virement.

[tmcuh]

Habitant la Belgique est ayant un compte en France j'ai pu comparer les deux systèmes et ce que j'en tire, c'est qu'en Belgique il faut avoir et connaitre, tandis qu'en France connaitre suffit.

En effet, moi je suis à Fortis et ils ont deux système : l'ancien est un digipass (calculette) où je dois entrer le n° de série de l'appareil, mon n° d'utilisateur (que je peux sauvegarder en cookies pour faciliter) et ensuite l'appareil est munie d'un code PIN (3 essais max : en cas d'échec on est prévenu lors de l'ouverture de l'appareil que quelqu'un a joué avec. Après 3 essais c'est un code puk qui est demandé). Ensuite on peut entrer sur le site. Si une session reste ouverte et que quelqu'un arrive pour faire un virement, il doit utilisé l'appareil pour récupéré là aussi un n° généré et donc connaitre le code PIN aussi.

Leur deuxième système (plus récent) comprend l'insertion de la carte bancaire, le site génère un n° qu'il faut encoder dans l'appareil et renvoyer sur le site le n° généré par le digipass + n° d'utilisateur. Le système est plus complexe que le premier mais moins pratique, car il faut toujours avoir avec sa carte bancaire et arriver sur le site est plus complexe, car plus de manipulation. Mais la sécurité est à ce prix!


En france j'ai déjà vu BNP... à mourir de rire, le n° d'utilisateur peut être enregistré par le navigateur web (niveau sécurité on a vu mieux) car une fois que quelqu'un est passé sur le site, il suffit juste de regarder son mot de passe sur le clavier virtuel (6 "malheureux" chiffres) pour pouvoir rentrer sur le compte comme l'on veut. Ils ont introduit une petite sécurité supplémentaire avec l'ajout de mot de passe envoyé par sms (ça révolutionne tout !)

Moi j'ai un compte chez Crédit du Nord, là aussi : login + mdp mais pas de clavier virtuel. Par contre là pas question de faire des virements sans leur envoyer par papier pour qu'ils ajoutent ça dans la liste, mais bon! à l'heure du web envoyer des infos par papier est un peu desué !

[Yoann29]

On pourrait faire un mélange de certaine méthodes :
- Utilisation d'un clavier virtuel mais dont les numéros ne serait pas écrit mais dicté ( ça marche donc pas en cybercafé ... et c'est pas super discret mais bon ... sa évite les capture par screenshot )
- Et par dessus on pourrait rajouter une identification physique (comme celle citée par tmcuh)

Après on pourra mettre en place toute les protections du monde, si l'utilisateur à un malware sur son PC, c'est comme si il allait au guichet de sa banque avec 15 personnes derrière lui en train de noter son code . (il donne sa carte après en plus )

[pierreLeFake]

Moi j'ai mieux que tout vos trucs hyper viello !

Tu commences par un test salivaire : ca veut dire tu crache à la gueule de ton PC
puis tu fais le test testiculaire : c'est très agréable, ca détend ...
tout ca avec la voie de Julio Iglesias pour te dire quoi faire !

mais ça n'existera que quand les moutons sauront piloter des hélicoptères ...

[bobdole]

Après on pourra mettre en place toute les protections du monde, si l'utilisateur à un malware sur son PC, c'est comme si il allait au guichet de sa banque avec 15 personnes derrière lui en train de noter son code . (il donne sa carte après en plus )

Ben c'est pour éviter ça qu'on a inventé les One-Time-Password (EMV CAP, SMS, etc ...) transmis/générés par un autre canal.
Même si un malware récupère l'OTP, il ne pourra pas le réutiliser pour s'authentifier.
Et paf le malware

[Sunchaser]

Bonjour,
Solution rapide et efficace pour une banque, afin de ne plus attirer aucune convoitise: ne gérer que des comptes débiteurs.

[OWickerman]

Moi sur le site de ma banque, on me dit de me bouger jusqu'au guichet le plus proche, mais même cette méthode n'est pas garantie à 100% :/
En clair, la sécurité inviolable n'existe pas. Même avec les empreintes digitales, on peut toujours te couper la main !

[Jack Sparrow]

En clair, la sécurité inviolable n'existe pas. Même avec les empreintes digitales, on peut toujours te couper la main !

Enfin, en cryptologie, casser un algorithme de cryptage, un procédé de signature... En mathématiques, c'est un problème trivial

[OWickerman]

Enfin, en cryptologie, casser un algorithme de cryptage, un procédé de signature... En mathématiques, c'est un problème trivial

Va dire ça à tous les pauvres types qui essayent de décrypter le manuscrit Voynich tiens :p

[BW HadèS]

Bonjour,

De mon côté au LCL, la sécurité c'est loin d'être ça. Le numéro du compte, le numéro de l'agence et un code "secret", le tout à saisir simplement au clavier dans des inputs basiques.

Lorsque l'on fait un virement, il faut ressaisir le code secret pour valider, et c'est tout !

Le pire ? Ma femme et moi sommes tous deux au LCL. Si je me connecte sur mon compte, puis je me déconnecte (en cliquant sur le lien idoine), ma femme se connecte ensuite sur son compte et miracle : c'est sur mon compte qu'elle arrive !!

Donc effectivement, ce n'est pas très sécurisé. Mais à bien y réfléchir, je préfère ça plutôt que d'avoir à saisir un code, puis un autre, puis un autre, avoir un appareil supplémentaire qui génère encore un code à insérer, etc.

La meilleure sécurité reste de faire attention et de protéger son PC, ne pas surfer sur n'importe quel site, etc.

Enfin, à mon avis en tout cas...

[buzzkaido]

Juste à propos du "bougez la souris pendant le transfert" :

A mon avis, c'est l'une des meilleures solutions. Mais il ne faut pas tout confondre.

Cela ne permet PAS de sécuriser l'entrée au site. Pour cela, il faut au choix, un login/mot de passe, appareil externe, biométrie....

Cela permet de crypter de façon TRES efficace la transmission de données.

En effet, pour crypter des données, il faut une clé de cryptage.

Pour qu'une clé de cryptage soit performante, il faut qu'elle soit générée à partir de données présentant une forte entropie.

Pour cela, on utilise habituellement une suite de nombres aléatoire. Seulement, sur un ordinateur, on ne sait faire que du "pseudo-aléatoire". L'entropie des données utilisées pour générer la clé s'en trouve donc réduite. Donc probabilité plus grande de tomber 2 fois sur la même clé, et décryptage facilité.

Les mouvements de souris sont utilisés comme paramètres dans le générateur de nombres aléatoire. Comme on ne fait pas 2 fois la même série de mouvement, on a à chaque fois des nombres bien différents. Et donc une forte entropie. Et donc une clé efficace.

D'ailleurs, même des utilitaires comme PuttyGen, utilisé pour générer des clés SSH pour des connexions sécurisées utilisent cette technique.

Donc attention : ne pas confondre sécurité des échanges de données et sécurisation de l'accès au site.

[pmithrandir]

J'aurais jamais pensé que ca puisse servir a ca... utiliser l'humain pour générer un nombre aléatoire, super balèze comme idée...

[Guilp]

Juste à propos du "bougez la souris pendant le transfert" :

A mon avis, c'est l'une des meilleures solutions. Mais il ne faut pas tout confondre.

Cela ne permet PAS de sécuriser l'entrée au site. Pour cela, il faut au choix, un login/mot de passe, appareil externe, biométrie....

Cela permet de crypter de façon TRES efficace la transmission de données.

En effet, pour crypter des données, il faut une clé de cryptage.

Pour qu'une clé de cryptage soit performante, il faut qu'elle soit générée à partir de données présentant une forte entropie.

Pour cela, on utilise habituellement une suite de nombres aléatoire. Seulement, sur un ordinateur, on ne sait faire que du "pseudo-aléatoire". L'entropie des données utilisées pour générer la clé s'en trouve donc réduite. Donc probabilité plus grande de tomber 2 fois sur la même clé, et décryptage facilité.

Les mouvements de souris sont utilisés comme paramètres dans le générateur de nombres aléatoire. Comme on ne fait pas 2 fois la même série de mouvement, on a à chaque fois des nombres bien différents. Et donc une forte entropie. Et donc une clé efficace.

D'ailleurs, même des utilitaires comme PuttyGen, utilisé pour générer des clés SSH pour des connexions sécurisées utilisent cette technique.

Donc attention : ne pas confondre sécurité des échanges de données et sécurisation de l'accès au site.

Pourquoi avoir besoins d'une très forte entropie à partir du moment où la clé est générée à chaque tentative de connexion?

par exemple, sur le site de dexia.be, par exemple, c'est aussi le principe de calculette qui a été retenu:
1) Lorsqu'on veut se connecter, le site donne une clé de cryptage aléatoire de 8 chiffres à entrer dans la calculette.
2) On entre dans la calculette le PIN (qui n'est donc jamais entré dans l'ordinateur directement), et la clé, et la calculette donne un résultat crypté de 8 chiffres.
3) On écrit ce résultat sur le site.

(à chaque tentative de connexion, la clé est regénérée)

Cela me semble, à mes yeux, la meilleure protection à partir du moment les seuls éléments à voler sont à l'extérieur de l'ordinateur du client : le PIN et l'algo de cryptage utilisé.

à partir de là, je ne vois pas pourquoi rajouter de l'entropie sur la clé génére à partir des mouvements de souris, à partir du moment où la clé est regénérée à chaque fois. (D'où ma question initiale).

[Skyounet]

Parce que pour le truc de la souris, encore une fois, c'est n'est pas pour une connexion, mais pour un transfert ou pour d'autres actions effectuées une fois loggué.

[Jack Sparrow]

Va dire ça à tous les pauvres types qui essayent de décrypter le manuscrit Voynich tiens :p

En cryptologie moderne, je crois que l'on utilise jamais des systèmes de cryptage dont l'algorithme n'est pas disponible par tout le monde.

C'est mathématiquement trivial quand tu as effectivement l'algorithme de cryptage.

[dams78]

En fait la base de la cryptologie est effectivement de fournir l'algorithme pour que certains essayent de le casser, ce qui prouve ou non sa force.

Sachant que le principe d'un algo de cryptage est d'utiliser des calculs à trappes. Ce sont des calculs qu'il est super facile à faire dans un sens, mais quasiment impossible à réaliser dans l'autre sens, car le nombre de possibilités est souvent lié à la taille de la clé et donc plus celle ci augmente plus c'est "impossible".

[buzzkaido]

car le nombre de possibilités est souvent lié à la taille de la clé

Et pour en rajouter une couche, si je ne dis pas de bêtises, le nombre de possibilités augmente aussi très vite avec l'entropie de la clé utilisée.

D'où l'intérêt d'avoir des nombres de base les plus aléatoires possibles.

[JoeChip]

C'est un arbitrage entre complexité et efficacité. Aucun système n'est absolument sûr, mais on peut augmenter la sécurité théorique en échange de complexité d'utilisation ("Le système est plus complexe que le premier mais moins pratique, [...] car plus de manipulation. Mais la sécurité est à ce prix!").

Parfois c'est en pratique une idée douteuse, d'augmenter la sécurité théorique... Par exemple, l'augmentation de la sécurité des clefs de voiture fait que maintenant au lieu de se faire voler sa voiture au parking, ça se fait au car-jacking... Des empreintes digitales pour retirer de l'argent, non seulement on pourrait se faire voler un doigt (il y a toujours des gens qui vont au plus simple...), mais comme disait je ne sais plus qui, baser la sécurité sur des empreintes digitales, ça équivaut à laisser son pin-code trainer partout sur les verres, les meubles, les poignées de porte... Les fichiers de police...

La sécurité maximale, c'est la simplicité maximale : pas de télécommunications entre moi et ma banque pour ce qui concerne les opérations sensibles...

On peut diminuer la sécurité théorique sans diminuer la sécurité objective (le nombre d'incidents) si l'utilisateur (1) est conscient du niveau de sécurité fourni, (2) est correctement informé des précautions à prendre, et (3) les prend. Celui qui dit "Niveau secure on a vu mieux... Du coup je m'y connecte que de chez moi." est probablement plus en sécurité que celui qui a la calculette à puce et se connecte depuis un cyber-café sur un lieu de vacances, en croyant à la sécurité absolue de son système.

La dérogation à la règle (1) (la croyance en une sécurité absolue) est une des grandes causes de dérogation à (3), en général le fournisseur se contente de communiquer sur (2) pour se couvrir et ne pas devoir engager des processus pédagogiques mal maîtrisés.

[Luc Orient]

Habitant la Belgique est ayant un compte en France j'ai pu comparer les deux systèmes et ce que j'en tire, c'est qu'en Belgique il faut avoir et connaitre, tandis qu'en France connaitre suffit.

En effet, moi je suis à Fortis ...

En france j'ai déjà vu BNP... à mourir de rire ...

Moi ce qui me fait mourir de rire, c'est que chez Fortis, si ils sont excellents en sécurité par contre en matière de placements bancaires, il sont totalement nuls. La banque s'est trouvé au bord de la faillite et savez-vous qui les a racheté ? .... Eh bien BNP Paribas ...

Faut arrêter de délirer ... La fraude bancaire sur internet ça doit représenter presque rien en matière financière ... Quand on compare à la tourmente financière de ces derniers mois qui a failli emporter la quasi totalité du système financier on peut rigoler ... Quand à l'escroquerie Madoff c'est tout sauf de l'internet ...

[dams78]

Moi ce qui me fait mourir de rire, c'est que chez Fortis, si ils sont excellents en sécurité par contre en matière de placements bancaires, il sont totalement nuls. La banque s'est trouvé au bord de la faillite et savez-vous qui les a racheté ? .... Eh bien BNP Paribas ...

Faut arrêter de délirer ... La fraude bancaire sur internet ça doit représenter presque rien en matière financière ... Quand on compare à la tourmente financière de ces derniers mois qui a failli emporter la quasi totalité du système financier on peut rigoler ... Quand à l'escroquerie Madoff c'est tout sauf de l'internet ...

Oué enfin le jour où un petit malin arrivera à te vider tes comptes, tu tiendra peut être pas ce discours?
D'ailleurs est ce que c'est possible? quels recours on peut avoir?
Perso je suis à la société générale et pour faire un virement externe il faut que je confirme le compte avec un code envoyé sur mon portable, je trouve cette méthode vraiment bien.