Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Mais en principe, si ta banque est sérieuse, elle aura un certificat EV (Extended Validation), donc avec vérification accrue de l'organisme et des garanties bien supérieures à un certificat standard, concrétisé dans le navigateur par l'ajout de son nom à côté du petit cadenas vert. Cependant, faut-il encore le savoir, ce qui n'est pas forcément le cas de l'internaute lambda...Envoyé par ShigruM
Il existe des extensions qui permettent cela, comme WOT
--
Le problème est que souvent on ne lit le mail qu'en travers et sans prendre le temps de vérifier exemple avec celui-ci qu'un collègue a reçu au boulot
(PS ne cliquez pas sur le lien)
- Déjà en faisant attention on voit deux fautes d’orthographe dans le mailCher(e) Client(e),
Votre nom de domaine xxxx.com est actuellement enregistré chez OVH.
Aprés l'actualisation de nos services nous avons remarqué que votre carte de paiment n'a pas été validée.
Votre nom de domaine a donc été suspendu.
Pour le réactiver, il vous suffit de vous rendre sur notre site, et procéder à l'actualisation de votre mode de paiement :
https://www.ovh.net/fr/cgi-bin/actualisation/renew.cgi?id=Y29udGFjdEBjaXBhbS5jb20?%5ref=74286364eb%5D
Aucun mot de passe ne vous sera demandé et vous pourrez créer votre bon de commande immédiatement.
IMPORTANT : Afin d'éviter l'interruption de vos services OVH, nous vous remercions de régler au plus vite votre situation .
Pour toute information complémentaire, notre support reste à votre disposition.
Merci de votre compréhension.
Cordialement,
Support client OVH
- Le numéro du support client n'est pas indiqué, alors qu'il y est généralement dans les mail du support OVH
- L'adresse mail de mon collègue ne fait pas partie des adresses référencées pour la gestion de notre compte OVH
- On ne paie par carte mais par prélèvement automatique sur l'un des comptes de la boite
- Notre "NicHandle" OVH (N° de client) n'est présent nul part dans le mail ni dans le sujet du mail alors qu'il y est tout le temps sur les mails OVH
Tout ça pour dire que si l'on prend de bien lire et que surtout que l'on attend 5 à 10 minutes avant de cliquer sur lien (le temps de réfléchir un peu,
ou de le faire lire à une deuxième personne) ce genre de connerie est vite éventé
Le problème c'est les gens stressés par le mail qui cliquent sans réfléchir (ou ou la la ils vont me suspendre ma ligne internet...)
Ma femme a failli se faire avoir avec son compte Orange... heureusement elle a eu un doute et m'a transféré le mail...
Mais ça aurait pu mal se terminer le lien menait sur une page pour saisir un N° de carte bancaire... en tout point semblable à celui d'Orange (couleurs, polices, logos)
excepté quelques fautes d'orthographes de ci de là
Après des escrocs il y en a toujours eu (un gars avait vendu à un ferrailleur la Tour Eiffel y'a longtemps) et il y en aura toujours...
J'ai pris la décision de toujours attendre avant de cliquer sur un lien, je le laisse le mail dans ma boîte et j'y reviens après
En réponse à Neckara
Neckara wrote:
>Et si je veux me faire mon petit serveur de mail perso ?
>Et si je veux héberger un service moi-même avec des notifications par mails ?
Pour ton serveur de mail perso, tu demandes une autorisation administrative à une autorité centralisée qui te délivrera une clé te permettant d'émettre des mails. Sans cette clé, tout envoi de mails est impossible.
Pour ton service de notification par mail, même topo.
A cause des spams, on va vraiment être obligé de mettre en place un nouveau système de courrier électronique. Système qui sera bien évidemment centralisé, surveillé, authentifié et payant à l'unité.
j'en reçois 5 par jours des relances pour mes sites OVH, par contre le texte du lien qui apparaît n'est pas le lien vers lequel il dirige, c'est souvent un site à l'étranger qui a été piraté, un blog, ou un site vitrine ...donc là c'est facile à identifier. D'autant que OVH prévient 60, 30 et 15 jours à l'avance, jamais dans l'urgence en disant "payez tout de suite ou on ferme le site"
Je reçois aussi souvent des sondages ou des enquêtes de satisfactions, et là franchement, vu que le lien pointe souvent sur un site générique de la boîte a qui a été confié l'enquête, c'est difficile de savoir si elle est réelle...et comme ça prend souvent des plombes à remplir, je zape.
il est aujourd'hui très simple d'avoir un certificat valide, les autorités qui les donnent ne vérifie absolument pas les sites web.
d’ailleurs maintenant la plupart des hébergeurs web te donne un certificat d'office inclus dans le prix.
il est d'une bêtise sans nom de se croire en sécurité juste parce qu’il y'a un cadenas vert
Pour ta culture, sache que https garantie une protection uniquement de l'attaque de l'homme du milieu absolument pas du reste !
Désolé mais le fait d'avoir https ne te protège absolument pas d'une attaque man in the middle
En même temps, les URL sont la solution pour accéder directement à un site... hors Google préfererait surement qu'on accede aux sites uniquement par leur intermédiaire.
Combien d'entre nous écrive l'url entière, ou préfère demander à google ?
Je pense qu'ils veulent juste capturer ces utilisateurs en plus dans leur moteur de recherche.
Peux-tu nous en dire plus ?Désolé mais le fait d'avoir https ne te protège absolument pas d'une attaque man in the middle
je penserais bien à des techniques de mirroring de port sur switch, ou des techniques de proxy où c'est le proxy qui génère les certificats sur une autorité validée par les clients, mais bon c'est juste de l'ordre de la réflexion
Émotion
Infantilisation
Culpabilisation
Christophe Alévèque - 18 Mars 2021
Certes non mais ça fait que l'attaquant ne voit pas le message (enfin si mais chiffré), seulement les métadonnées nécessaires au transfert du message.Désolé mais le fait d'avoir https ne te protège absolument pas d'une attaque man in the middle
Tout le problème réside dans la qualité de la validation des certificats https.
Les site bancaires, pour l'exemple, devrait disposer d'un certificats https validé, ou estampillé comme autorisé, par la Finma.
Résultats des courses un site bancaire aura son petit flag https avec un tag spécifique pour dire "bancaire".
Ca éviterait donc qu'un site https://mabamque.com soit reconnu comme un vrai site bancaire, même si son certificat https est valide est vient de.. au pif.. letsencrypt.
Bien sur cela implique d'avoir une double validation du certificats, une fois sur sa validé auprès de l'autorité de certification initial, une fois auprès de l'autorité tierce de responsabilité (Finma dans notre cas)
C'est en gros de la validation à 4 yeux.
On peut évoquer le problème des borgnes... ou pas ?
Comment on faisait sans AJAX ?
C'est vrai que le vote sur certains message est LA fonctionnalité indispensable, perso quand je vois la zizanie que cela provoque ...
Tu viens sur le site pour voir ton compteur de vote défiler ? Perso j'y viens pour les infos et y apprendre des choses.
L'auto-complétion, quand je cherche quelques choses je ne m'en sers pas, j'aime pas être influencé et ça à tendance à te ramener toujours sur les mêmes sites sponsorisé.
Pour faire de petites applications/démos, j'utilise le langage adapté au besoin, nul besoin de l'exposer sur une page web.
Tout dépend du nombre de visiteur, avec ta bande passante montante sur ADSL qui était de 130Ko/s tu vas vite saturé, le VDSL est un peu mieux mais reste minime, la fibre avec ces 30Mo/s c'est déjà beaucoup mieux et perso mon pc tombe jamais en panne et j'ai jamais eu de coupure depuis 10ans que je suis dans mon appart, sinon la redondance est possible avec un 2ème pc et du loadbalancing, le raid ...
Les seuls, soucis serait les reboot de box pour mise à jour et les changements d'ip chez orange (en payant un peu plus cher 15euros, tu peux en avoir une fixe) sinon dyndns, chez free ça l'est de base, pour les reboots de box, la seul solution est de virer la box orange par un routeur edge.
Paye ta comparaison :/
Dans le cas de la banque en question, tu avais beau taper ton mot de passe sur ta page web en HTTPS, ton mot de passe passait en clair dans des trames HTTP POST entre serveur applicatif.
Je te mes au défini de récupérer le code applicatif avec ton aspirateur web, c'est d'ailleurs celui-ci qui te permettra d'avoir une page personnalisé (thèmisé ? :p) qui n'est pas viré à chaque vidage du cache de ton navigateur.
Chat en ligne, éditeurs collaboratifs, etc.
L'installation d'un client lourd est inutile et coûteux en terme utilisateur.
Ouch. La banque c'est faite épinglée au moins ?
C'est notamment pour cela qu'il existe des extensions plutôt utiles comme "HTTPS everywhere".
On s'en moque de reproduire exactement le site de la banque dans ses moindres détails et comportements.
Le but est juste de tromper suffisamment d'internautes pour récupérer les informations qu'on désire, quitte à le rediriger vers le site original s'il clique sur certains liens.
Parce qu'avec les nouvelles technos basé sur Javascript ou le code est déporté de plus en plus côté client, tu crois pas qu'au final tu te retrouve pas avec un client lourd : ton navigateur !
C'est mal connaitre le monde dans le quel tu vis, les accords de confidentialité sont pas fait pour faire joli.
T’inquiète depuis cela a été corrigé, mais sur le coup c'est le coût qui était en jeu, faut pas croire, tout le monde fait d'abord du pas cher, en comptant sur la probabilité que personne ne découvre la faille avant que l'applicatif n'évolue.
Et donc HTTPS te protège contre ça ? Si les gens ne font pas attention aux détails du site, tu crois qu'ils feront attention à un certificats invalide, si la personne mal intentionné n'arrive pas à avoir un certificat valide, ou qu'il trouve une faille dans ton navigateur via par exemple des framework javascript qui sortent tous les ans avec leur lots de bugs/failles qui te feront croire que celui-ci est valide.
Allé je balance encore, une autre banque avait un site HTTPS, avec un médias contenu dans sa page qui ne l'était pas, provoquant un message du navigateur, tu crois que les clients se sont méfiés, non ils ont continués à utiliser le site de la banque, cela aurait très bien pu être un de ces fameux doublons, ça ne les a pas arrêtés.
Les gens ne sont tous simplement pas éduqués pour utiliser Internet, pour preuve le nombre de personnes qui se sont inscrit sur Facebook alors que pour les utilisateurs averties d'Internet, c'était couru d'avance que toutes ces données serviraient à manipuler la masse. Comme c'était couru d'avance que Google utiliserait son monopole pour imposer sa loi et c'est maintenant pire encore car ils propagent leurs frameworks à grand coup de marketing qui finira par empêcher tous autres moteur de recherche de pouvoir parcourir les pages.
Pourquoi remettons nous en cause la neutralité du Net : pour que tous les icônes Facebook, Twitter relevant tes cookies et traçant ta navigation soient prioritaires sur toutes les autres requêtes, car le pouvoir c'est prévoir le plus rapidement possible.
Le pire c'est comment on t-il su que tu venais de contacter EDF ? Soit EDF revend ces données, soit ils sont compromis.
Il m'est arrivé un peu la même chose mais avec un cabinet médical, je devais rappeler un numéros surtaxer car mon rendez-vous devait sois-disant être reporté.
Heureusement, j'avais encore le numéro du cabinet dans mon journal et j'ai trouvé bizarre qu'il ne me rappel pas avec celui-ci, j'en déduis qu'ils étaient compromis.
Mais la question que je me pose, c'est comment de tel arnaqueur peuvent avoir des contrats avec les fournisseurs téléphoniques, ils sont pas censé fournir un numéro de Siret à celui-ci, j'en déduis que l'arnaque est légal.
Oui, et tu réinstalles un navigateur à chaque site que tu visites…
La CNIL non plus n'est pas faite pour faire jolie.
Je sais que c'est le cas pour certaines applications notamment mobiles, mais le faire sur un site aussi sensible, c'est juste de l'incompétence.
C'est pas son rôle.
Le message du navigateur est tout de même assez explicite et visible.
Le gains pour Facebook/Twitter serait négligeable, encore plus maintenant qu'on installe la fibre.
Ceux qui attaquent la neutralité du net son surtout les FAI qui veulent faire payer soit leurs utilisateurs soit les fournisseurs de services pour avoir le droit d'utiliser/servir un service donné. Pour se faire plus de fric, mais aussi financer certains pans du réseau, e.g. inter-connexion avec les serveurs Youtube.
Les SP, n'ont pas grand intérêt à perdre la neutralité du net.
Comme hadopi...
Alors non, a chaque fois que je me connecte a la borne wifi de la fac ou je travail ou de la gare j'ai tous le temps ce type de message, certificat invalide
il y'a aussi l'intranet de ma boite ou le navigateur m'alerte en rouge.
je bypass comme tous le monde...
Ou, comme je le disais plus tôt : certificats EV. Ce qui se fait déjà, donc inutile de réinventer la roue, à mon avis.
Peut être, mais selon tes besoins applicatifs trimbaler, ton gros navigateur, c'est peut être un peu trop, sans compter que tu ne maitrise pas toute la partie code du navigateur, d'où une application non sécure, de plus niveau performance, on repassera.
Malheureusement, tu trouveras personne pour perdre son boulot pour si peu, il y a bien pire dans la vie, d'autant que se serait pour défendre des personnes qui de toutes façons exposent leur données personnelles en permanence à commencer par Facebook.
Non c'est un calcul stratégique, ça coûte moins cher, une fois que tu as plus de capital, tu peux bien sûr te permettre de faire mieux.
C'est toi qui me dis que cela te protège contre l'usurpation de site :/
Je parle de faits, l'exemple que je t'ai donné est réel.
En fait tu ne connais pas bien Internet, tu as beau avoir une connexion fibre, tes paquets Internet passent par différents équipement réseaux plus où moins bien dimensionné, et il s'agit là de latence pour le retour de leurs infos, sinon pourquoi l'auraient-il remit en cause ?
Erreur les FAI n'ont d'intérêt qu'a répondre à une demande, principe de l'offre et la demande, faire se genre de choses a un coût sans compter sur leur image qui s'en verra dégradé. En tant que particulier, j'aurais tendance a choisir un FAI qui n'a pas ce genre de pratique, et il a plus de particulier que d'entreprises capable de se payer se genre de services.
Vous reprochez le navigateur de ne pas être assez sécurisé, mais vous bypassez les protections de sécurités...
Si le certificat est invalide, il est invalide. Vous prenez donc explicitement un risque, et là le navigateur ne peut pas faire grand chose de plus.
Après, c'est aussi à votre boîte, fac, et gare, de prendre leur responsabilités et de fournir un certificat valide.
Donc si cela dépends des besoins applicatifs, l'utilisation de JavaScript est pertinente, lorsque ces besoins justifient une application web. CQFD.
Je n'ai jamais porté plainte auprès de la CNIL, mais je présumes qu'elles sont anonyme (?).
Tu trouveras toujours pire ailleurs.
L'un exclut pas l'autre. Il peut faire le calcul stratégique tant qu'il le souhaite, prendre une telle décision n'est qu'une preuve d'incompétence.
Il faut différence l'authentification "syntaxique", de l'authentification "cognitive". HTTPS t'assures que l'identité clamée du serveur avec lequel tu communiques est bien la sienne. En revanche, il ne peut et ne pourra jamais t'assurer que l'identité clamée du serveur est bien celle à laquelle tu penses (e.g. typosquatting). Dans ce cas, ce sont d'autres protocoles qui prennent le relais, ce n'est pas du ressorts de HTTPS.
Les GAFAMs ne remettent pas en cause la neutralité du net et au contraire la soutienne. Ce sont les FAI qui remettent en cause cette neutralité.
Notamment, parce que ce sont aux FAI qu'incombe la responsabilité de dimensionner leur réseau en fonction des besoins, et que les GAFAMs sont très consommateurs, et souhaiteraient donc que les GAFAMs mettent la main à la poche pour financer le réseau.
Heu...
On ne compte même plus les problèmes entre la neutralité du net et les FAI, qui se sont fait reprendre un certain nombre de fois par la FCC en Amérique. C'était d'ailleurs même l'origine des premiers textes sur la neutralité du net.
Perso, c'est plus simple : je ne clique jamais sur un lien reçu dans un mail (sauf si c'est un renouvellement de mdp que j'ai demandé évidemment). Je vais plutôt voir "a la main" sur le site concerné. Ça m'a évité une fois ou deux une mauvaise surprise.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager