Bercy relativise le piratage visant les comptes de 2 000 contribuables

Bercy relativise le piratage visant les comptes de 2 000 contribuables

Cybercy

Avatar de l'auteur
Marc Rees

Publié dans

Internet

21/08/2019 4 minutes
142

Bercy relativise le piratage visant les comptes de 2 000 contribuables

« Piratage à Bercy : des milliers de feuilles d’impôts trafiquées ». Cet article en une du Canard Enchaîné de la semaine a fait réagir les services fiscaux. Par communiqué, la DGFIP, direction des finances publiques, relativise l’incident.

Selon l’hebdomadaire satirique, plus de 2 000 contribuables ont eu quelques déconvenues avec leur dossier fiscal, fin juin. Concrètement, des malintentionnés ont tout simplement eu accès à leur boîte mail. De là, ils ont demandé au site des impôts de communiquer par courriel l’identifiant exigé à l’accès, afin de générer un nouveau mot de passe.

« Après quoi, [les pirates] ont modifié leurs déclarations d’impôts », poursuit le journal. « Le plus souvent, il s’agissait du formulaire 2042-RICI qui permet de déclarer les crédits et réductions d’impôts dont peut bénéficier un contribuable, et qui doivent donc lui être remboursés par le fisc ». 

« L'adresse mail est la clé d'entrée indispensable pour accéder à de nombreux services en ligne de sites administratifs ou de la sphère privée. C'est pourquoi il convient de bien sécuriser son accès afin qu'un pirate ne puisse pas accéder à vos données personnelles et ainsi réaliser des opérations à votre insu », réagit la DGFIP.

Plusieurs mesures en réaction

Bercy confirme donc cet incident, mais relativise en expliquant que cette faille concerne les comptes de messagerie personnelle des contribuables, non ses propres infrastructures. « Aucun piratage à Bercy mais des boites mails perso chez quelques opérateurs. Pas de milliers de feuilles d'impôts trafiquées mais 2 000 comptes sur lesquels il y a eu des tentatives. La DGFiP a réagi très vite, aucun impact fiscal n'est à signaler » signale ce tweet du compte officiel de l'administration fiscale.

La direction indique au passage que trois mesures ont été prises.

D’un, les comptes, victimes, ont été bloqués et les usagers pris en main par les services « via un dispositif personnalisé (courrier, téléphone, accueil physique) ». De deux, les différents opérateurs, les fournisseurs de boites mail et la CNIL ont tous été alertés. Enfin, une plainte a été déposée. 

Selon le Code pénal, le fait d’accéder frauduleusement dans un système informatique, pour y supprimer ou modifier des données, est déjà puni en principe de trois ans d'emprisonnement et de 100 000 € d'amende. Lorsque le système est mis en œuvre par l’État, comme ici, alors ces peines sont portées à cinq ans d'emprisonnement et à 150 000 € d'amende. 

« Dans un souci permanent de mise à jour des normes de sécurité, des évolutions respectant les normes européennes et le règlement général sur la protection des données (RGPD) sont d'ores et déjà prévues » ajoute la DGFIP, plus d’un an après l’entrée en application du fameux texte.

Biométrie et double facteur

Ainsi, « l'ajout d'une question secrète supplémentaire » est programmé pour fin août. Bercy envisage aussi d’autres mesures comme « l'envoi d'un code par SMS », voire « l'application d'un système biométrique comme le suggère l'UE pour mieux sécuriser les achats sur internet ». C’est là où le  décret ALICEM devrait jouer à plein régime. Seul hic, il est attaqué par la Quadrature du Net au Conseil d’État – l’association, armée des critiques de la CNIL, contestant l’absence d’alternative à ce système biométrique.

En attendant, la CNIL avait elle-même relevé que « basée sur la gestion d’un secret, l’authentification par identifiant et mot de passe est un moyen simple et peu coûteux à déployer pour contrôler un accès ». Néanmoins, précise-t-elle dans ce communiqué de 2018, « cette méthode d’authentification présente un niveau de sécurité faible ». Dans une délibération publiée un an plus tôt, elle soulignait avoir « toujours considéré que d'autres moyens offrent davantage de sécurité, comme par exemple l'authentification à double facteur ».

142

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Plusieurs mesures en réaction

Biométrie et double facteur

Commentaires (142)


Du coup où est le problème?



Les gens n’ont qu’à sécuriser leurs boites mails, et la DGFIP mettre en place l’authentification double-facteurs.


faut arrêter avec les questions secrètes sérieux…

 

Pourquoi ne pas mettre en place un système à 2 facteurs, avec soit une Yubikey, soit une app style FreeOTP ?



 


C’est l’été, faut bien se mettre un truc sous la dent, une petite polémique ça mange pas de pain <img data-src=" />


+1, en plus je sais pas si des études ont été faites là-dessus, mais pour moi les questions secrètes ça facilitent les piratages, vu la quantité d’info perso que laisse trainer les gens sur la toile (+ un peu de social engineering).








odoc a écrit :



C’est l’été, faut bien se mettre un truc sous la dent, une petite polémique ça mange pas de pain <img data-src=" />





+1



+1 pour l’authentification double facteur, avec appli sur le smartphone du style FreeOTP.



Et pour ceux qui n’ont pas de smartphone, avec un SMS (même si c’est moins secure).



Edit : Grillé par eglyn <img data-src=" />


Avec des questions comme “quel est votre premier employeur?” ou “quelle est le nom de jeune-fille de votre mère?”, y’a en effet pas besoin d’aller chercher bien loin…


C’est clair, depuis l’explosion des FB et consorts les gens publient toute leur vie sur ces plateformes à la noix, du coup il est très probable que quelqu’un de mal intentionné puisse en apprendre suffisamment sur eux rien qu’à partir de leurs “pages perso”pour arriver à deviner les réponses.



Sinon “le Canard” qui fait du putaclic c’est pas nouveau, c’est un peu leur fond de commerce.








dylem29 a écrit :



Du coup où est le problème?



Les gens n’ont qu’à sécuriser leurs boites mails, et la DGFIP mettre en place l’authentification double-facteurs.





Le problème vient que tout le monde ne sait pas sécuriser sa boîte mail et que l’authentification à double facteur n’est pas en place.



Pourquoi tu poses des questions quand tu connais la réponse ?



Et donc c’est à la DGFIP de s’occuper des boites mails des gens?

Sécuriser sa boite mail = ne pas donner son mot de passe à n’importe qui, le changer régulièrement et qu’il soit complexe.


C’est effectivement une pratique à proscrire. Une bonne parade quand vous êtes obligé de remplir une question secrète est de générer un second mot de passe aléatoire comme réponse (et de stocker ça dans un coffre à mots de passe, ça évite les oublis :)), ce qui met à l’abri d’un social engineering basique.


+1

Vivement un déploiement en masse de ce standard.








M’enfin ! a écrit :



Le problème vient que tout le monde ne sait pas sécuriser sa boîte mail et que l’authentification à double facteur n’est pas en place.



Pourquoi tu poses des questions quand tu connais la réponse ?







L’article laisse croire que c’est le site des impôts qui a été piraté, or c’est la boîte mail qui a été “piraté “. Un titre alarmiste pour rien.



Allez, on répète tous ensemble :



“Le second facteur par SMS n’est pas sécurisé et ne devrait plus être déployé en 2019”.



Les navigateurs modernes supportent Webauthn et FIDO2, en plus de pouvoir proposer du TOTP classique.








dylem29 a écrit :



Et donc c’est à la DGFIP de s’occuper des boites mails des gens?





non. par contre c’est à la DGFIP de sécuriser l’accès à leur SI.



Sécuriser sa boite mail = ne pas donner son mot de passe à n’importe qui, le changer régulièrement et qu’il soit complexe.



le changer régulièrement c’est une mauvaise pratique, déconseillé par le NIST, le GCHQ et même l’ANSSI il me semble.

la bonne pratique c’est le gestionnaire de mots de passe.

dans tous les cas les gens font ce qu’ils veulent, donc la DGFIP doit gérer le cas “l’utilisateur s’est fait poutrer son identifiant”. et franchement une solution 2FA c’est pas la mer à boire.



c’est toujours plus sécurisé que rien du tout.



pour FIDO2 et autres solutions de geeks, je rappelle juste que tous les contribuables doivent pouvoir accéder.


Le problème pour moi, c’est que les impôts obligent à utiliser la déclaration en ligne alors qu’un simple fishing suffit à des personnes mal intentionnées pour accéder à des données confidentielles.



En gros la solution imposée et mise en œuvre n’a pas été qualifiée pour un enjeu aussi important.


t’as essayé de parler de FIDO2 et FreeOTP avec ta grand mère? ça va être fun tu vas voir.


Non, ça rajoute de la complexité technique au niveau serveur, et de la complexité procédurale au niveau utilisateur, pour quelque chose de bypassable pour un coût de 500€ sur n’importe quel marché gris/noir, ou avec quelques compétences techniques.



Inutile et procurant un faux sentiment de sécurité -&gt; poubelle.


Ça ne suffit pas. Tu n’as pas entendu parler des piratages massifs de yahoo mail ?



Si tu crois qu’un mot de passe suffit à protéger un compte mail ou autre, tu as des soucis à te faire sur ta sécurité informatique.


L’accès au SI est sécurisé puisqu’un identifiant et un mot de passe a été demandé.

Le SI n’est pas compromis, les pirates ont juste utilisés la faille connut “chaise/clavier”.



Je suis d’accord pour le 2FA, qui est une mesure supplémentaire pour sécuriser l’authentification des comptes.

Je ne comprends pas d’ailleurs pourquoi ça n’a pas été mit en place plus tôt.



Personnellement, je trouve l’authentification Ameli bien plus dangereuse que celle des impôts à cause du type de connexion à&nbsp; l’interface, numéro de sécurité sociale (chiffre + facile à calculer) et mot de passe (que des chiffres également).



D’ailleurs avec FranceConnect on peut se connecter aux impôts avec les identifiants Ameli (qui pour le coup est une grosse faille de sécu), tu peux prévoir toutes les méthodes d’authentification possible avec prélèvements sanguins, analyse de cheveux, empreinte de pieds, de mains, photos, mot de passe, si tu permets d’un autre côté la connexion avec un mot de passe en chiffres + un identifiant en chiffres, ça sert à rien. <img data-src=" />


j’imagine que si. c’est une question de bénéfices/risques.

en l’occurrence des tentatives sur 2000 comptes pour un total de 30 millions de déclarations, le calcul est vite fait.








dylem29 a écrit :



Du coup où est le problème? Les gens n’ont qu’à sécuriser leurs boites mails, et la DGFIP mettre en place l’authentification double-facteurs.







odoc a écrit :



C’est l’été, faut bien se mettre un truc sous la dent, une petite polémique ça mange pas de pain <img data-src=" />



Le problème est bien que la DGFip possède toujours un système de réinitialisation de mot de passe archaïque; c’est de l’amateurisme de haut niveau. Or pour le coup l’authentification double-facteur à l’aide de clés asymétriques aurait évité le piratage de ces milliers de comptes. Dès lors, la DGFip a bien une responsabilité.



C’est pas dû à une intrusion cette attaque de 3 milliards de comptes ?


OK, ça se by-pass pour 500 € et donc ici, il y aurait eu combien de comptes attaqués pour ce prix ?


niveau complexité procédurale pour l’utilisateur, si tu as moins complexe je suis preneur.

pour la question du bypass, c’est du massif ou de l’unitaire? parce que si faut se taper les 30 millions de comptes à péter un par un, c’est chaud. ^^


il me semble que si. pas vraiment la même histoire donc.


quel intérêt surtout de payer 500€ pour modifier la déclaration d’impots d’un tiers, qui va forcément s’en rendre compte.


Si justement, la preuve que choisir un mot de passe complexe et le garder secret ne sert à rien. Le changer régulièrement non plus : l’attaque arrive rapidement après le piratage, donc sauf si tu changes de mot de passe toutes les heures, c’est inutile.








PSXBH a écrit :



Allez, on répète tous ensemble :



“Le second facteur par SMS n’est pas sécurisé et ne devrait plus être déployé en 2019”.



Les navigateurs modernes supportent Webauthn et FIDO2, en plus de pouvoir proposer du TOTP classique.





On peut le répéter mais si les choses sont pas faite correctement ça peut signifier des contraintes très forte (obligation de passer par des applications smartphone spécifique, etc…). Je trouve déjà exagéré d’exiger de quelqu’un qu’il ait un téléphone.



C’est bien là où je voulais en venir, mais c’est pas sympa de ne pas laisser réfléchir celui qui a des certitudes. <img data-src=" />



Certes, mais ici on parle d’accès à une boite mail pour récupérer le mot de passe des impôts.

Pas d’intrusion sur les serveur de la DGFIP.



Je ne dis pas que la DGFIP n’est pas en cause, je dis juste simplement que si les gens prenaient conscience de l’importance de la sécurisation d’une boite mail (avec mot de passe fort + 2FA ) ça aiderait pas mal. <img data-src=" />








dylem29 a écrit :



Du coup où est le problème?



Les gens n’ont qu’à sécuriser leurs boites mails, et la DGFIP mettre en place l’authentification double-facteurs.





S’il ne s’agit pas de critiquer l’infrastructure, en revanche on peut regretter que l’information ne soit découverte que deux mois après et par la presse.



Une info rapide de tous (qui en plus n’aurait pas mis en en cause l’infra mais les mauvaises pratiques des usagers) cela&nbsp; permet d’une part de faire un peu de pédagogie mais surtout à tous ceux qui le veulent de vérifier s’ils ne sont pas concernés et au cas où les investigations de Bercy sont passées à côté.



On peut imaginer que les mecs se sont lancés dans une campagne de qualification de comptes (2 000 ça commence à faire), généralement ça se fait en changeant d’user agent, d’ip etc… Donc c’est difficile d’identifier à 100 % les comptes qui ont été impactés.



Je ne serais pas si catégorique.

Si c’est effectivement si facile (il me semblait qu’il fallait connaitre le numéro de télédéclarant), ce n’est que la partie émergée de l’iceberg, 2000 comptes d’un coup c’est remarquable, mais combien de comptes individuels peut être même pas identifiés aujourd’hui sont potentiellement piratés ?








ColinMaudry a écrit :



même si c’est moins secure.



Either english or French, but please, please, don’t mix !!!!

En français, secure (avec ou sans accent) ça n’existe pas.



Bon, je vais te la refaire pas à pas :





  1. le problème ici est au départ le piratage d’une boite mail

  2. les pirates demandent au site des impôts de communiquer par courriel l’identifiant exigé à l’accès, afin de générer un nouveau mot de passe.

  3. ils prennent ensuite le contrôle du compte sur le site des impôts.



    Donc, si on attaque un site de webmail comme dans le cas de yahoo que je citais. On prend le contrôle de pleins de boites mail même si les mots de passe sont complexes et gardés secrets. c’est le 1) de ce qui est plus haut.



    On peut donc ensuite demander au site des impôts les identifiants nécessaires pour générer un nouveau mot de passe (là, c’est le 2) ) et prendre le contrôle des comptes de ces contribuables (là, c’est le 3) ).



    Donc, ton affirmation initiale à laquelle j’ai réagi est hors sujet dans le cas présent.



    Et le choix d’offrir le 2FA est bien un choix de la DGFIP. L’utilisateur n’a aucun rôle à jouer là-dedans.








hellmut a écrit :



c’est toujours plus sécurisé que rien du tout.





Mmmh pas si sur, à l’heure où beaucoup de gens ont un smartphone, qu’énormément l’utilisent pour le web et leurs mails, n’en sécurisent même pas le verrouillage parce-que ça les fait chier de devoir taper un code avant de l’utiliser, celui qui pique un téléphone a de fait accès aux mails et aux sms du coup la sécurisation via l’envoi de sms …



Ah et pour les ayatollah du MPD complexe je rappellerais juste ce xkcd : un mot de passe fort que tu es obligé de sauvegarder/noter quelquepart faute d’arriver à le mémoriser ne sert à rien, d’où la bêtise ambiante de demander des mots de passe contenant obligatoirement au moins une majuscule, un chiffre, voir un caractère non alphabétique/numérique, tout en imposant une longueur courte (difficile à mémoriser, facile à casser par bruteforce)



Problème n°1 : actuellement, il est possible de réinitialiser son mot de passe avec un mail et le numéro fiscal. Cela n’est pas suffisant, en particulier pour les 2000 comptes piratés puisque les hackers sont à présent en possession de toutes leurs coordonnées, n° fiscaux, adresses, etc… Espérons que la DGFip va leur générer de nouveaux n° fiscaux…



Problème n°2 : coordoonées bancaires en clair sur son compte personnel.

Avec la mise en place de prélèvement à la source, la DGFip a exigé des contribuables de fournir des coordonnées bancaires. Or ces coordonnées bancaires sont visibles en clair sur un compte personnel des impôts (même pas quelques XXXX XXXX. Rubrique “Gérer mon prélèvement à la source” puis “Mettre à jour les coordonnées bancaires”, affichage en bas en clair). Ainsi, les hackers ont pu collecter les IBAN de ces milliers de comptes… Or les virements SEPA ne nécessitent plus d’autorisation écrite préalable. C’est pas neutre, ça!



Problème n°3 : le changement des coordonnées bancaires.

Le canard explique que les hackers ont changé le formulaire 2042-RICI qui permet de déclarer les crédits et réductions d’impôts. On peut spéculer que le piratage de fin juin avait pour objectif de changer les coordonnées bancaires de contribuables pour recevoir un remboursement des crédits/réductions d’impôts prévu mi-juillet. Pour cela il fallait changer les coordonnées bancaires et cela est malheureusement trop facile sur le compte personnel.



Problème n°4 : la DGFip dissimule le piratage.

Par rapport au piratages de ces milliers de comptes, on peut constater qu’il a fallu que le canard le dévoile un mois et demi après pour en avoir connaissance. En effet, la DGFip n’a pas communiqué officiellement. Ainsi cette dissimulation est un autre problème d’autant plus venant d’une administration publique.


Même si je n’ai pas vu la chose sous cet angle, je n’ai jamais dit que le mot de passe sécurisé à fond.



Pour Yahoo, le hack date de plusieurs années, j’imagine que l’entreprise&nbsp; a averti les utilisateurs et qu’ils ont fait le nécessaire chez eux, j’imagine aussi que les 2000 comptes n’utilisent pas tous une boîte Yahoo, rien n’écarte qu’Orange, Gmail ou Outlook aient été hackés bien sûr. <img data-src=" />


OK, ils auraient pu communiquer vers tout le monde dès qu’ils ont su suffisamment de choses sur l’attaque, mais peut-être cela aurait peut-être entravé l’enquête suite à a plainte, les pirates se sachant repérés.



Ils ont prévenu tous ceux qui devaient l’être : les usagers, les opérateurs de boite mail et la CNIL plus dépôt de plainte.



En fait, si on lit leur communiqué (en lien dans leur tweet), il se sont rendu compte de l’attaque à cause du nombre important de demandes de renouvellement de mots de passe. Ils sont donc exhaustifs sur les comptes attaqués : pas de renouvellement de mot de passe =&gt; pas d’attaque du compte.


Problème n°5 : Les pirates ont accès à l’authentification des usagers par FranceConnect et peuvent donc avoir accès à d’autres informations sur eux (ameli, retraite,…)


Il y a quelques années, on pouvait aussi s’authentifier avec un certificat. C’est ce que je faisais, cela marchait très bien. Il est dommage qu’on ne puisse plus avoir de certificat en parallèle du mot de passe pour les personnes sachant gérer les certificats.



Avec la multiplication des pourriels, avoir un certificat est très pratique et permet de signer ses courriels… À quand une république numérique ;-)


500€ c’est le prix d’un outil pour exploiter SS7, donc ça ne sert pas qu’à ça, il y a bien plus lucratif que les déclarations d’impôt. Comme d’habitude, ça troll et ça fait semblant de pas comprendre :)



Le processus s’automatise très bien, donc non, ça ne s’applique pas à 30 millions de comptes, mais ça passe à l’échelle, comme on a pu le voir avec les attaques SS7 sur les SMS de second facteurs envoyés par les banques pour confirmer des transferts d’argent.



Et pour fred42, le ton condescendant tu peux le garder, merci.


Bien vu! <img data-src=" /> Le piratage de ces comptes n’est donc pas neutre pour les contribuables concernés avec cette potentielle collecte importante de données personnelles.


En même temps, le principe d’un second facteur, c’est d’avoir un second facteur…



Actuellement, y’a peu de second facteurs aussi ubiquitaires que les smartphones. C’est triste mais c’est comme ça. On ne peut pas non plus obliger les gens à acheter ou posséder une clef de sécurité, et comme la carte d’identité à puce est repoussée aux calendes grecques, une application OTP reste le moindre mal, même si elle vient avec de grosses contraintes d’utilisabilité.








fred42 a écrit :



OK, ils auraient pu communiquer vers tout le monde dès qu’ils ont su suffisamment de choses sur l’attaque, mais peut-être cela aurait peut-être entravé l’enquête suite à a plainte, les pirates se sachant repérés.




Ils ont prévenu tous ceux qui devaient  l'être : les usagers, les opérateurs de boite mail et la CNIL plus dépôt de plainte.      






En fait, si on lit leur communiqué (en lien dans leur tweet), il se sont rendu compte de l'attaque à cause du nombre important de demandes de renouvellement de mots de passe. Ils sont donc exhaustifs sur les comptes attaqués : pas de renouvellement de mot de passe =&gt; pas d'attaque du compte.








C'est délicat à identifier les méthodologies de qualifications de comptes, par exemple le cheminement probable peut être celui-là :     




  • les “pirates” avaient probablement une liste de comptes emails avec identifiant/pass (db poutrée ou achetée etc…),

  • ils testent les comptes emails et conservent ceux auxquels ils peuvent accéder,

  • ils testent alors l’identifiant/pass sur d’autres sites courants fb, twitter etc… et le site des impôts,

  • x comptes de sites passent avec les mêmes identifiant/pass que ceux du compte email,

  • sur les comptes où ils maîtrisent l’email mais pas fb, twitter, etc et le site des impôts, ils identifient où ils peuvent demander une réinitialisation du mot de passe si on détient déjà l’email.



    Au final, si tu ne prends comme critère d’identification de ton attaque que la demande de réinitialisation du mot de passe pour détecter les comptes qui sont “piratés” tu passes à coté de tous les comptes dont les identifiants du compte email étaient les mêmes sur le site des impôts et donc une part non déterminée de tes utilisateurs continue à se faire poutrer.&nbsp;



    Pour avoir étudier ce type d’attaques pour des clients et les contremesures à mettre en œuvre, clairement tu ne peux jamais certifier à 100% que tu as identifié tous les comptes piratés (et inversement tu vas en détecter des brouettes qui sont des faux positifs).









PSXBH a écrit :



En même temps, le principe d’un second facteur, c’est d’avoir un second facteur…



Actuellement, y’a peu de second facteurs aussi ubiquitaires que les smartphones. C’est triste mais c’est comme ça. On ne peut pas non plus obliger les gens à acheter ou posséder une clef de sécurité, et comme la carte d’identité à puce est repoussée aux calendes grecques, une application OTP reste le moindre mal, même si elle vient avec de grosses contraintes d’utilisabilité.





Tout simplement… Et le but de la DGFIP étant de favoriser la déclaration en ligne et de ne pas se retrouver avec une queue pas possible de gens qui n’arrivent pas à se connecter, la mise en place d’un portail vraiment sécurisé n’est pas pour tout de suite. Surtout vu le nombre de personnes touchées, le moyen utilisé et les risques générés.









odoc a écrit :



+1, en plus je sais pas si des études ont été faites là-dessus, mais pour moi les questions secrètes ça facilitent les piratages, vu la quantité d’info perso que laisse trainer les gens sur la toile (+ un peu de social engineering).





T’es pas obligé de mettre le nom de jeune fille de maman quand c’est demandé, tu peux mettre le nom de jeune fille de ta femme, le titre du dernier bouquin que t’as lu, …



Pour les Yubi & Co c’est cool, sauf que si t’as pas le modèle qui fait iOS (lightbidule), Android (microUSB, USB-c, …), Wiindows (USB-A, USB-c / thunderbolt) et MacOS (USB-c / thunderbolt) et Linux (USB-A, USB-c / thunderbolt) t’es un peu dans la mouise.



Aujourd’hui, le double facteur beaucoup font sans, ou par SMS.

Tu perds ta Yubikey en vacances tu fais comment ?









Guinnness a écrit :



C’est clair, depuis l’explosion des FB et consorts les gens publient toute leur vie sur ces plateformes à la noix, du coup il est très probable que quelqu’un de mal intentionné puisse en apprendre suffisamment sur eux rien qu’à partir de leurs “pages perso”pour arriver à deviner les réponses.



Sinon “le Canard” qui fait du putaclic c’est pas nouveau, c’est un peu leur fond de commerce.





Mode my life bis, la réponse a la question secrete n’a pas a être honnête, y’a aucune obligation dessus !



Oui, on a “tous” notre life sur les réseaux sociaux, plus ou moins, mais aucun fklingue sur la tempe nous obligeant à mettre des infos véridiques pour des questions secretes.

Ton mot de passe c’est pas “12345678” quand il faut minimum 8 caractères normalement, ou “abcdefgh”, bah là c’est pareil.



Étonné en bien que les impôts est vu “l’attaque”, l’assume, aide les contribuables emmerdés et même que ça soit sortie dans la presse <img data-src=" />








ProFesseur Onizuka a écrit :



Étonné en bien que les impôts est vu “l’attaque”, l’assume, aide les contribuables emmerdés et même que ça soit sortie dans la presse <img data-src=" />





Avec la nuance que l’attaque serait de juin et que la com de Bercy n’est intervenue qu’hier du fait des révélations du canard, elle assume en étant un peu aidée à le faire ^^



bref, on s’éloigne. j’ai jamais prétendu que c’était l’alpha et l’oméga du 2FA, je dis juste que c’est un cran au dessus des capacités du script kiddie de base, et que ça aurait sans doute permis de ralentir le rythme de l’attaque en question.

en l’occurrence JD dans son point 3 a répondu à ma question de l’intérêt de dépenser des sous pour ça.



Pour les banques dont tu parles il me semble qu’il y avait un complice chez un opérateur. ou alors on parle pas de la même histoire.


K0nnard! respecte les critères de mots de passe sécurisé, est facile à retenir et si quelqu’un te demande ton mot de passe au téléphone, tu peut lui donner sans risque <img data-src=" />


Quand je paie à 🇸🇬 mes impôts c’est avec 2FA mais pas SMS mais une app :https://www.singpass.gov.sg/singpass/common/aboutus



Ça existe depuis 2003 ici. 😅


Je n’ai pas de sources à citer malheureusement, mais oui, des études ont été faites à l’aune de notre ère où toutes les données privées sont affichées… et c’est dramatique <img data-src=" />



Sans parler des cas genre “le CEO de Twitter s’est fait pirater son compte GMail !” et le vilain qui explique “bah oui, fallait juste fouiller son blog pour trouver les réponses”. M’enfin.



Pour ça que souvent la réponse à ces questions (obligatoire naturellement) devient “F6E28896CAB2…….” (aka “rand”)








sytoka a écrit :



Il y a quelques années, on pouvait aussi s’authentifier avec un certificat. C’est ce que je faisais, cela marchait très bien. Il est dommage qu’on ne puisse plus avoir de certificat en parallèle du mot de passe pour les personnes sachant gérer les certificats.



Avec la multiplication des pourriels, avoir un certificat est très pratique et permet de signer ses courriels… À quand une république numérique ;-)





C’été cool le certificat, fallait juste pas le perdre ^^









xlp a écrit :



Je n’ai pas de sources à citer malheureusement, mais oui, des études ont été faites à l’aune de notre ère où toutes les données privées sont affichées… et c’est dramatique <img data-src=" />



Sans parler des cas genre “le CEO de Twitter s’est fait pirater son compte GMail !” et le vilain qui explique “bah oui, fallait juste fouiller son blog pour trouver les réponses”. M’enfin.



Pour ça que souvent la réponse à ces questions (obligatoire naturellement) devient “F6E28896CAB2…….” (aka “rand”)





Faut coller “42” dans chaque séquence aléatoire !

LA réponse à toute question est 42 ! Ou Karembeu pour les fan de foot ou d’Adriana ^^





Bercy relativise le piratage visant les comptes de 2&nbsp;000 contribuables





Ben évidemment qu’il relativise, hier les media (France Infos par exemple) ont bien pris soin d’éviter de préciser qu’il s’agissait d’un bête piratage d’email d’utilisateurs, laissant entendre que impots.gouv.fr aurait pu s’être fait hacker… ce qui aurait été beaucoup plus grave.








PSXBH a écrit :



En même temps, le principe d’un second facteur, c’est d’avoir un second facteur…



Actuellement, y’a peu de second facteurs aussi ubiquitaires que les smartphones. C’est triste mais c’est comme ça. On ne peut pas non plus obliger les gens à acheter ou posséder une clef de sécurité, et comme la carte d’identité à puce est repoussée aux calendes grecques, une application OTP reste le moindre mal, même si elle vient avec de grosses contraintes d’utilisabilité.







Je trouve la solution d’une clé de sécurité bien plus acceptable pour ma part car c’est un dispositif qu’à cet usage qui n’implique pas de mélanger affaire perso et outil d’authentification.



Le fisc va également renforcer dès la fin août l’accès à son site: les contribuables devront donner leur date de naissance pour pouvoir accéder à leur espace personnel.

On ne sait pas s’il faut en rire ou en pleurer…


Je vais pas être original, mais pitié faut abolir les questions “secrètes” de sécurité.



Je comprend le problème, mettre un 2fa à l’ensemble des actifs c’est très compliqué, d’autant plus quand le passage par Internet est de plus en plus forcé.



Mais donner la possibilité à quelqu’un de reset mon mot de passe parce qu’il a trouvé le nom de mon école primaire ou de mon animal de compagnie ça tend vers 0 en sécurité de mon point de vue.


Tu as lu ça où ?




Concrètement, des malintentionnés ont tout simplement eu accès à leur boîte mail





Tout part de là, mais on ne connaît pas tout. Quel(s) fournisseur(s) d-e-mails sont concernés ? Comment s’est fait cet accès frauduleux ? Les mots de passe étaient-ils sécurisés ?





«&nbsp;L’adresse mail est la clé d’entrée indispensable pour accéder à de

nombreux services en ligne de sites administratifs ou de la sphère

privée. »





&nbsp;Est-ce que cela ne permet pas l’accès à d’autres sites si on utilise France Connect ? <img data-src=" />



&nbsp;

voire « l’application d’un système biométrique comme le suggère l’UE pour mieux sécuriser les achats sur internet ».





J’attends avec INpatience la décision du Conseil d’Etat. J’espère que les systèmes biométriques ne vont pas devenir la norme parce que ça serait soi-disant plus sécurisé <img data-src=" />


Et dans trois semaines il n’y aura plus la méthode par SMS pour les banques avec la mise en place de la DSP2 ? <img data-src=" /> J’attends de voir.


Bon, du coup, j’ai vérifié : mes infos de RIB n’ont pas changé …

En même temps, une boite mail perso chez gmail, qui prévient d’un qu’un accès depuis un “endroit” pas habituel est fait, et avec F2A … peu de chance de se faire hacker … :)



Mais bon, je ne suis pas un citoyen lambda …








JD a écrit :



&nbsp;Or les virements SEPA ne nécessitent plus d’autorisation écrite préalable. C’est pas neutre, ça!&nbsp;

&nbsp;&nbsp;



&nbsp;

C’est nouveau ça ?



Le créancier doit avoir une autorisation de son débiteur pour pouvoir tirer de l’argent sur son compte. Et en plus, tu peux faire annuler toute opération de prélèvement sepa non autorisée dans les&nbsp;13 mois qui suivent.



Bah non, ce n’est pas une pratique à proscrire. C’est complètement sécurisé comme approche tant qu’on ne fait pas n’importe quoi.



Les freins actuels sont…




  1. C’est toujours plus ou moins les mêmes questions bateaux.

    &nbsp;-&gt; Sur le volume au niveau global effectivement ça pose problème. Mais il suffirait d’imposer que les sites qui mettent en place un mécanisme de sécurité de ce type laissent le choix de la réponse ET DE LA QUESTION !

    -&gt; C’est (pour ce que j’en conçois) à peine plus compliqué à gérer, et ça diffuse (donc mitige) plus que largement le risque.



  2. Les gens mettent toujours une “vraie” réponse, qui correspond à une info effectivement trouvable sur les réseaux sociaux.

    -&gt; Donner une info trop vieille pour être trouvable dans un temps raisonnable (ex prénom d’un arrière-grand-père, pour la plupart des gens c’est inatteignable, à moins d’avoir pris le temps de “pousser” toute sa généalogie en format texte et photos sur un site accessible).

    -&gt; Se fabriquer une réponse indirecte (ex mot-clé associé au nom pour “quel est votre animal de compagnie”)

    -&gt; Réponse complètement fausse.





    Faut arrêter un peu les ayatollahs de la sécurité.

    Certes les systèmes “physiques” sont par essence plus efficaces sur la transmission des données ou leur dissimulation (puisque clé bien longue générée aléatoirement), mais ça pose d’autres problèmes liés, justement, à la gestion de l’objet physique.



    À ce compte là on pourrait citer les systèmes biométriques qui se multiplient, multipliant avec eux les enjeux liés à la vie privée ou, dans une moindre mesure, l’usurpation d’identité (le scan rétinien, faut y aller. L’empreinte digitale, c’est non trivial, mais faisable par exemple dans un contexte familial).

    &nbsp;

    Tandis que la mémoire, c’est un truc à peu près inviolable (sauf sous la torture/drogue mais là je pense qu’on en est plus à s’inquiéter d’un compte mail XD) en revanche ça pose des problèmes liés à sa persistence dans le temps (âge, alzheimer, accidents etc).



    —&gt; UNE méthode UNIQUE n’est JAMAIS la bonne solution. Laisser le choix aux gens, et leur laisser assumer.


Pas con, j’y penserai.


Pour le coup, non, ce n’est pas vrai.

Le titre dit ce qu’il dit et rien de plus.

C’est nous qui avons l’habitude du journalisme crasseux qui lance des polémiques (genre le journal cité en haut de cette actu) et qui sautons aux conclusions… là où il n’y à rien à conclure.




  • Il y a eu piratage des comptes,

  • Bercy relativise.

    (- et comme l’explique l’actu, avec raison.)


+1 à tout.








wanou2 a écrit :



C’est nouveau ça ?



Le créancier doit avoir une autorisation de son débiteur pour pouvoir tirer de l’argent sur son compte. Et en plus, tu peux faire annuler toute opération de prélèvement sepa non autorisée dans les 13 mois qui suivent.





Depuis la mise en place du SEPA en 2014. Après il faut se rapprocher de sa banque pour connaitre les actions possibles pour limiter les risques : listes blanches, listes noires, blocage de prélèvements…

Et oui on peut toujours les faire annuler (différent de révoquer qui peut être payant)









Citan666 a écrit :





  1. Les gens mettent toujours une “vraie” réponse, qui correspond à une info effectivement trouvable sur les réseaux sociaux.

    -&gt; Donner une info trop vieille pour être trouvable dans un temps raisonnable (ex prénom d’un arrière-grand-père, pour la plupart des gens c’est inatteignable, à moins d’avoir pris le temps de “pousser” toute sa généalogie en format texte et photos sur un site accessible).

    -&gt; Se fabriquer une réponse indirecte (ex mot-clé associé au nom pour “quel est votre animal de compagnie”)

    -&gt; Réponse complètement fausse.





    J’aime bien reprendre des éléments de la question dans la réponse



L’autorisation de prélèvement par virement à envoyer à sa banque n’existe plus depuis plusieurs années (depuis 2014 d’après le site de quechoisir.org) qui précise :



Avec le prélèvement SEPA, vous n’avez plus à signer et à donner d’autorisation de prélèvement à votre banque pour que le paiement d’un fournisseur (d’eau, de téléphone, d’électricité, etc.) soit réalisé : il vous suffit de signer le mandat de prélèvement et de l’envoyer au fournisseur en question accompagné d’un relevé d’identité bancaire (RIB). C’est le prestataire qui s’occupe de la mise en place du prélèvement, et qui conserve le mandat de prélèvement.



C’est pour cela que les banques ont eu l’obligation de mettre en place un système permettant de créer une liste blanche d’organismes/entreprises/etc autorisés à effectuer des prélèvements bancaires. J’ai ça sur HelloBank.


Tu m’as devancé Z-os <img data-src=" />



@wanou2 : effectivement, on peut se faire rembourser mais cela n’annule pas le prélèvement frauduleux en faveur d’une personne malintentionnée. Ainsi, le fait que la DGFip laisse les IBAN en clair sur les comptes personnels des contribuables est encore une preuve d’amateurisme et cela génère un risque de prélèvements frauduleux. La norme des sites possédant les coordonnées bancaires est très souvent d’afficher une partie de l’IBAN dont des XXXX XXXX comme pour les numéros de cartes bancaires sauvegardés sur certains sites marchands.


&nbsp;&nbsp;







Z-os a écrit :



Depuis la mise en place du SEPA en 2014. Après il faut se rapprocher de sa banque pour connaitre les actions possibles pour limiter les risques : listes blanches, listes noires, blocage de prélèvements…

Et oui on peut toujours les faire annuler (différent de révoquer qui peut être payant)



&nbsp;

La révocation d’un mandat sepa se fait&nbsp;auprès du créancier pas auprès de la banque.&nbsp;Tu n’as aucun risque avec&nbsp;le SEPA,&nbsp;les banques&nbsp;doivent rembourser tout prélèvement non autorisé par un mandat. C’est au créancier de s’assurer de la conformité du mandat, pas à la banque et encore moins à la personne lésée.

&nbsp;





JD a écrit :



L’autorisation de prélèvement par virement à envoyer à sa banque n’existe plus depuis plusieurs années (depuis 2014 d’après le site de quechoisir.org) qui précise :



Avec le prélèvement SEPA, vous n’avez plus à signer et à donner d’autorisation de prélèvement à votre banque pour que le paiement d’un fournisseur (d’eau, de téléphone, d’électricité, etc.) soit réalisé : il vous suffit de signer le mandat de prélèvement et de l’envoyer au fournisseur en question accompagné d’un relevé d’identité bancaire (RIB). C’est le prestataire qui s’occupe de la mise en place du prélèvement, et qui conserve le mandat de prélèvement.



C’est pour cela que les banques ont eu l’obligation de mettre en place un système permettant de créer une liste blanche d’organismes/entreprises/etc autorisés à effectuer des prélèvements bancaires. J’ai ça sur HelloBank.



&nbsp;

“il vous suffit de signer le mandat de prélèvement&nbsp;” C’est bien ce que je disais, le créancier doit avoir une autorisation de son débiteur.







Avant le passage à SEPA, les banques ne s’assuraient que très rarement de la présence ou non d’une autorisation de prélèvement avant de procéder au dit prélèvement. Que ce soit&nbsp;précédemment un prélèvement RIB ou aujourd’hui un prélèvement sur IBAN on est au même niveau de sécurité.



&nbsp;



Laisserais-tu entendre que les prélèvements frauduleux n’existent plus? Si oui, tu fais erreur.

En effet, une personne malintentionnée connaissant l’IBAN d’une autre personne peut tenter d’effectuer un prélèvement bancaire. Si la victime potentielle n’a pas activé la liste blanche et ne vérifie pas les prélèvements à venir alors le prélèvement peut passer… pour la simple et mauvaise raison que “la banque du débiteur, lorsqu’elle reçoit une demande de prélèvement, présume l’existence d’un mandat et débite son client” (Source).



Moralité : des prélèvements (frauduleux) peuvent être effectués sans autorisation écrite préalable.


oui mais accès au SI d’un opérateur téléphonique. donc bon, c’est pas complètement accessible au 1er venu.

suffit pas d’avoir 500 balles quoi. ^^


pleurer de rire, je crois que c’est ça. <img data-src=" />


Non, aucun accès au SI d’un opérateur.



Il suffit d’exploiter l’absence de sécurité dans le maintenant trop vieux protocole SS7 et de se faire envoyer les SMS du numéro à détourner.


Tout le monde parle de l’intérêt d’intégrer l’authentification double facteur, sauf que lorsque je souhaite le proposer pour mes sites je ne trouve de “simple” et courant que des solutions de géants du net. Et il est naturellement pas question de passer par eux (je me casse pas le bol à tout détacher d’un quelconque géants du net pour finir avec google authenticator à la connexion…).



Mais pour trouver une intégration simple d’une solution open source, doublée d’une applications dispos sous android os et android, là je galère. J’ai tenté de bricoler avec des librairies dispos sur github mais ça a toujours foirré (du coup j’ai pas encore cherché pour l’appli mobile).



Si certains ont des pistes voire un tuto, je suis preneur car la manipulation des libs trouvées et loin d’être simple.


Toutes les banques n’ont pas fait ce choix crétin. Exemple au Crédit Mutuel, tu as bien un SMS, sauf si tu as l’application sur ton smartphone, dans ce cas c’est une notification à valider, poussée via TLS, donc beaucoup plus robuste qu’un SMS.



Et la plupart des banques ont une guerre de retard en matière de pratiques de sécurité, ils ne sont pas exactement à prendre comme exemples d’implémentation des bonnes pratiques.


pour se faire envoyer les SMS il faut avoir accès au réseau (interne) d’un opérateur. dans l’exemple cité les attaquants utilisent le réseau d’un opérateur étranger.








Kazer2.0 a écrit :



Je préfère andOTP perso (https://f-droid.org/en/packages/org.shadowice.flocke.andotp/ )





Je ne connaissais pas, je vais jeter un oeil, si ça peut faire des backup c’est pratique lors de changement de téléphone :)

&nbsp;



Il sera temps que le 2FA ne soi plus une mesure supplémentaire justement.



Perso je l’ai activé partout où je pouvais (bon mon gestionnaire d’OTP est bien blindé, mais c’est toujours mieux)


Tu peux faire un backup chiffré avec de l’AES. Et c’est Open-Source :https://github.com/andOTP/andOTP








odoc a écrit :



+1, en plus je sais pas si des études ont été faites là-dessus, mais pour moi les questions secrètes ça facilitent les piratages, vu la quantité d’info perso que laisse trainer les gens sur la toile (+ un peu de social engineering).









GrosMatou27 a écrit :



Avec des questions comme “quel est votre premier employeur?” ou “quelle est le nom de jeune-fille de votre mère?”, y’a en effet pas besoin d’aller chercher bien loin…









Guinnness a écrit :



C’est clair, depuis l’explosion des FB et consorts les gens publient toute leur vie sur ces plateformes à la noix, du coup il est très probable que quelqu’un de mal intentionné puisse en apprendre suffisamment sur eux rien qu’à partir de leurs “pages perso”pour arriver à deviner les réponses.





Vous m’étonnez là.

Pour ma part, ce que je mets comme questions secrètes, je défie quiconque à part mes parents ou fratrie de connaître la réponse (peut-être 2-3 relations d’enfance et encore).







Guinnness a écrit :



Sinon “le Canard” qui fait du putaclic c’est pas nouveau, c’est un peu leur fond de commerce.





Non, ce n’est pas leur fond de commerce.

Leur fond de commerce (et leur répuration), c’est les révélations, pas les trucs qui font acheter et où il n’y a rien derrière.









PSXBH a écrit :



https://github.com/yeojz/otplib





J’ai pas testé celle-ci (je sais pas pourquoi je suis pas fan de node.js, mais bon à l’occasion si celle-ci est connue, je testerai, merci :) )



Tu as l’air de bien connaitre le sujet.

Perso j’ai subi un hack de ma carte après avoir fait un achat sur un site non sécurisé mal sécurisé qui se trouve être le site de l’Aéroport de Lyon. Hack de la BDD (ils m’ont envoyé un mail 3 jours après pour m’avertir), 1000 et quelques euros débités avec ma CB (ma banque a bloqué à partir de la 10ème transaction), le tout fait entre 1h et 1h30 du matin sur un site de vente de vêtements que je ne connaissais pas, je le sais car j’ai recu le sms pour toutes les transactions, sms que je n’ai jamais validé puisque je dormais, ce qui n’a pas empêché le hack.

&nbsp;

Question : comment ont-ils fait malgré le sms ?


Il y a des fois (avait? ça fait un moment que je n’ai pas eu à remplir une réponse à une question secrète) ou si on n’a pas eu d’animal, pas de voiture, et qu’on n’a pas vraiment un film préféré, les choix sont assez limités…


T’en as un à me conseiller?

J’ai celui de Steam, Microsoft…


Encore mieux, tu peux inventer :-) .

Même le nom de jeune fille de ma mère, je ne sais pas comment un inconnu peut l’obtenir (via mon FB ou pas).


double sim?

s’ils arrivent à se procurer un double de ta carte sim, ils recoivent aussi le SMS.

ou sinon hack de SS7 comme évoqué ici.



on est tous d’accord pour dire que cette technique de 2FA n’est pas sécu, mais c’est toujours plus sécu que rien.


Non mais je dis pas, il y a plein de solutions, perso j’utilise comme dit plus haut par quelqu’un d’autre un gestionnaire de mot de passe avec un mot aléatoire en réponse secrète.

Mais expliquer à quelqu’un qu’il doit pas mettre le nom de son chat pour sécuriser son compte parce que ça réduit la sécurité…

Et retenir une réponse inventée… pas évident non plus


Facile, les sites de e commerce ne sont pas obligés de mettre en place de sécurisation lors du paiement, ils peuvent “ignorer” l’étape d’authentification et passer outre ( ex Amazon). Par contre en cas de fraude c’est pour leur pomme.



Surtout à l’étranger d’ailleurs.


Le 2FA c’est bien d’en parler, mais quand la majorité des apps proposées sur les sites ne sont compatible qu’Android et IOS, bah ca donne pas envie (si on a une -bonne- app a me proposer pour Windows Phone je prends).

Et à ceux qui répondraient “t’avais qu’a t’acheter un “vrai” téléphone”, je leur proposerais de passer leur chemin, que c’est un don, je n’investirai pas dans un nouveau tel juste pour consulter ma banque ou mes impots…








Citan666 a écrit :



(…)





Donner une fausse réponse est selon moi une assez mauvaise idée. Presque aussi mauvaise que donner la bonne.

L’autre jour mon compte Google a jugé que mon IP était inhabituelle (ça ne fait que 6 ans que j’ai la même…) et m’a demandé comment s’appelait ma maitresse de CP. J’avais du me sentir très intelligent le jour où j’ai paramétré cette question (j’ai sauté le CP), mais 15 ans plus tard je me suis senti assez con (la tristitude ♫).



A mon sens il n’y a que deux options valables : traiter ces questions comme un second mdp (48 chars générés aléatoirement et mis dans un gestionnaire de mdp), ou passer son chemin.



je retrouve plus l’article mais y a eu bien plus simple (au Royaume Uni je crois) : social engineering directement chez l’opérateur pour mettre en place temporairement une redirection vers un autre numéro (le fournisseur n’envoyant pas de sms de confirmation).



Efficacité redoutable apparemment


ah oui joli, pas pensé au transfert d’appel. ^^


Pour PHP, j’ai trouvé celle-là mais je n’ai pas encore eu le temps de la tester (intégrer la 2FA avant même d’avoir fait le reste, ça marche pas trop xp) :https://github.com/RobThree/TwoFactorAuth



Mais je confirme le fait que les libs pour la 2FA ne sont pas très claires…


Il y en a des applications de double authentification pour Windows Phone non ?

https://www.microsoft.com/fr-fr/search/shop/Apps?q=2FA



Peut-être que je dis des bêtises mais je ne connais pas bien la boutique Microsoft d’applications… je la trouve horrible à utiliser…


Sinon tu peux aussi définir une fois pour toute un (groupe de) mots-clés que tu fournis quelque soit la question.

Ou dériver la réponse du nom du site.



Bref, désolé pour toi, mais ton expérience n’est nullement représentative de la défaillance du système. Juste d’une défaillance personnelle mettant en lumière la contrainte de stockage à long terme des mots de passe (juste après les enjeux du choix de la boîte mail servant à identifier XD) <img data-src=" />

<img data-src=" />








arhenan a écrit :



Pour PHP, j’ai trouvé celle-là mais je n’ai pas encore eu le temps de la tester (intégrer la 2FA avant même d’avoir fait le reste, ça marche pas trop xp) :https://github.com/RobThree/TwoFactorAuth



Mais je confirme le fait que les libs pour la 2FA ne sont pas très claires…





C’est celle-ci que j’ai testé et… j’ai pas du comprendre car ça plante totalement <img data-src=" />





Si tu y arrives n’hésites pas à me dire comment ^^



Non, il suffit de simuler un réseau étranger et de faire croire que le mobile visé est en roaming sur ce réseau.



Les termes utilisés et explications dans l’article en lien sont assez peu clairs, mais je suis persuadé que c’est cela qui a été fait. La phrase “The unidentified foreign network provider has since been blocked” me semble indiquer que ce n’était pas un vrai réseau sinon, il n’aurait pas été bloqué.



L’article de NXI parlant des mêmes attaques était plus clair, en tout cas sur le fait que ces faux réseaux existent et sont pour l’instant impossible à détecter parce que le protocole SS7 repose sur la confiance.








spidermoon a écrit :



K0nnard! respecte les critères de mots de passe sécurisé, est facile à retenir et si quelqu’un te demande ton mot de passe au téléphone, tu peut lui donner sans risque <img data-src=" />





<img data-src=" /> Attention quand même à l’interprétation que pourrait en faire la personne en face à l’énoncé du mot de passe. <img data-src=" />









rivaldo32 a écrit :



Tu as l’air de bien connaitre le sujet.

Perso j’ai subi un hack de ma carte après avoir fait un achat sur un site non sécurisé mal sécurisé qui se trouve être le site de l’Aéroport de Lyon. Hack de la BDD (ils m’ont envoyé un mail 3 jours après pour m’avertir), 1000 et quelques euros débités avec ma CB (ma banque a bloqué à partir de la 10ème transaction), le tout fait entre 1h et 1h30 du matin sur un site de vente de vêtements que je ne connaissais pas, je le sais car j’ai recu le sms pour toutes les transactions, sms que je n’ai jamais validé puisque je dormais, ce qui n’a pas empêché le hack.

 

Question : comment ont-ils fait malgré le sms ?





<img data-src=" /> Normalement, t’as du pouvoir prouver que ce n’était pas de ton fait et récupérer tes “billes” j’espère.

Par contre ça n’empèche pas les mauvaises nuits passées à cogiter comme un malade. <img data-src=" />



(pas lu tous les commentaires, je précise)



Personnellement j’ai pour habitude de conseiller de mentir dans les “questions secrètes”, voire de dire quelque chose totalement à côté de la plaque.

Exemple : “dans quelle ville vous avez été au lycée” =&gt; “un cheval qui fait une trampoline”



Dans mon cas personnel, je mets la question + valeur dans mon Keepass en plus du password.



Bon courage pour l’ingénierie sociale. <img data-src=" />


Oui ça a été facile à prouver d’autant que le système de sécu (automatique je présume) de ma banque avait bloqué ma CB à la 10ème transaction, ce qui signifie que ma banque avait déjà identifié la fraude. &nbsp;

J’ai récupéré l’argent 10 jours après.&nbsp;








Zerdligham a écrit :



Donner une fausse réponse est selon moi une assez mauvaise idée. Presque aussi mauvaise que donner la bonne.

L’autre jour mon compte Google a jugé que mon IP était inhabituelle (ça ne fait que 6 ans que j’ai la même…) et m’a demandé comment s’appelait ma maitresse de CP. J’avais du me sentir très intelligent le jour où j’ai paramétré cette question (j’ai sauté le CP), mais 15 ans plus tard je me suis senti assez con (la tristitude ♫).



A mon sens il n’y a que deux options valables : traiter ces questions comme un second mdp (48 chars générés aléatoirement et mis dans un gestionnaire de mdp), ou passer son chemin.





La question secrête est le seul moyen de valider le compte sur certains sites.

Après un moyen mnémotechnique ou un gestionnaire de mdp fera le taf effectivement.



La réponse réelle a plus de chance d’être trouvée qu’une réponse alambiquée sans rapport (ou un 2nd password).

Le but étant quand même que n’importe qui ne puisse pas accéder au compte.



L’un dans l’autre, tu vas quand même dans le sens de ne pas donnée la réponse réelle a la question, la méthode de rétention de la réponse est simplement une question personnelle :)



Ouais effectivement j’y avais pas pensé mais en rajoutant des fautes ça facilite pas l’attaque par dictionnaire, encore faut il se souvenir d’où on a fait la faute <img data-src=" />


À tout dématérialiser, tout ce que l’on gagne c’est une augmentation de l’exposition aux risques (piratages, usurpations numériques, etc.) : ça va se finir qu’il faudra des assurances (évidemment obligatoires) contre cette catégorie de risques.

Je ne vois pas où est le progrès là-dedans… (ni social, ni économique)

C’est tout le contraire : cette croissance des risques amène à une augmentation du stress de la population et ce trouble à sa quiétude est une entrave au droit à la recherche du bonheur, qui ne passe certainement pas par une augmentation de la complexité des mots de passe, ni par des sécurisations biométriques…



Bienvenue dans le futur… <img data-src=" />








Tsinpen a écrit :



cette croissance des risques amène à une augmentation du stress de la population et ce trouble à sa quiétude est une entrave au droit à la recherche du bonheur





tu t’es cru aux états unis? <img data-src=" />









Tsinpen a écrit :



(piratages, usurpations numériques, etc.) : ça va se finir qu’il faudra des assurances (évidemment obligatoires) contre cette catégorie de risques.

Bienvenue dans le futur… <img data-src=" />





Si tu es une entreprise, ces assurances existent déjà et sont couramment souscrites lorsque la boite veut mettre en avant sa volonté de protéger les données de son personnel et ses clients.



On l’a beaucoup vu notamment avec les mises en conformité avec le RGPD; si les assurances n’ont rien d’obligatoire, elles te garantissent la reconstitution des données et la remise en service du système, ce qui est par contre une obligation du Règlement, et même si ton prestataire informatique a fondu les plombs (ce qui est hélas courant).



Concrètement (et c’est un sentiment non une vérité statistique), le RGPD s’est traduit pour beaucoup de pros par le fait d’investir au bénéfice d’entreprises privées promettant la conformité et notamment les assureurs, mais que très accessoirement pour améliorer l’effectivité de la protection des données à caractère personnel.



Illustration de ce que je constate couramment : la boite prend une Société de DPO externe qui balance des mails standard d’information (outre une veille re-pompant les annonces sur le site de la CNIL, le DPO balance un modèle de signature des emails, un d’une clause type dans les contrats et un d’affichage à destination des salariés), complète le registre simplifié de la CNIL après un questionnaire (en y collant son logo ça fait plus chic) et met en place une adresse email type “[email protected]”.



Parallèlement, l’entreprise prend une assurance pour la question de la restauration des données, enfin elle adresse un courrier à son prestataire informatique qui répond dans des termes vagues que le RGPD est au cœur de ses préoccupations (mais en réalité ne prend aucun engagement clair et ne reprend pas la clause de sous-traitance obligatoire dans sa mission de maintenance…).



Bref, beaucoup d’affichage pour se donner l’illusion d’être conforme, parfois avec des investissements financiers pas anodins, mais concrètement la réglementation reste toujours aussi mal maitrisée et pour cause, elle est extrêmement mal pensée, et surtout prétend systématiquement renvoyée à une Juridiction unique et centralisée à Paris, la CNIL, pour trancher tous les litiges qui sont pourtant du quotidien.

&nbsp;

(Pardon pour cette digression un peu HS)



même si c’est moins sécurisé








hellmut a écrit :



tu t’es cru aux états unis? <img data-src=" />







Bah an fait, leur copyright ayant expiré depuis fort longtemps, c’est devenu du domaine public, n’est-ce pas :



« … afin que les réclamations des citoyens, fondées désormais sur des principes simples et incontestables, tournent toujours au maintien de la Constitution et au bonheur de tous. »



Source : légifrance, préambule DDHC 1789



<img data-src=" />









crocodudule a écrit :



Si tu es une entreprise, (…)







Bah nan, je ne suis que moi. <img data-src=" />

Rien que l’expression me donne déjà des boutons : comment pourrait-on être une entreprise ?

Syndrome fusionnel avec une création de l’esprit ?

<img data-src=" />







crocodudule a écrit :



ces assurances existent déjà et sont couramment souscrites lorsque la boite veut mettre en avant sa volonté de protéger les données de son personnel et ses clients.







Mais non, là tu me parles d’assurances contre le risque d’un recours contre l’entreprise quand elle n’est pas elle-même victime mais au contraire cause ou bien vecteur passif du préjudice causé à un tiers.

Ça n’a absolument rien à voir avec ce dont je parlais : assurances contre le risque d’être soi-même victime d’un tiers causant le préjudice (ou d’une administration qui en serait elle-même la cause ou bien le vecteur passif).

Après tout il y a bien une Hadopi pour sanctionner le « défaut de sécurisation »… ça fait des années…







crocodudule a écrit :



(Pardon pour cette digression un peu HS)







Je parlais de la population donc clairement pas des entreprises… mais merci pour ces infos, même si ça ne marche pas comme ça partout.









Tsinpen a écrit :



Bah nan, je ne suis que moi. <img data-src=" />



Rien que l'expression me donne déjà des boutons : comment pourrait-on être une entreprise ?      

Syndrome fusionnel avec une création de l'esprit ?



<img data-src=" />



Ca me semble clair, si tu agis pour le compte de ton entreprise, ca va mieux ?







Tsinpen a écrit :



Mais non, là tu me parles d’assurances contre le risque d’un recours contre l’entreprise quand elle n’est pas elle-même victime mais au contraire cause ou bien vecteur passif du préjudice causé à un tiers.



Ça n'a absolument rien à voir avec ce dont je parlais : assurances contre le risque d'être soi-même victime d'un tiers causant le préjudice (ou d'une administration qui en serait elle-même la cause ou bien le vecteur passif).      

Après tout il y a bien une Hadopi pour sanctionner le « défaut de sécurisation »... ça fait des années...







Non. Tout d’abord, tu peux écarter ton exemple avec l’HADOPI: il est interdit en France de s’assurer contre le risque de sanction (c’est la même pour une sanction pénale).



Ensuite je parle bien d’assurance qui t’assure les conséquences d’une “piratage” dont tu es victime (ou l’entreprise) : reconstitution des données, remise en place du matos, et pour certaines de la perte d’exploitation le temps de la remise en place.

&nbsp;

Et pour certaines, elles t’assurent les conséquences éventuellement dommageables pour les clients et/ou membres du personnel. (Par exemple, une entreprise de livraison se fait poutrer son serveur et n’a pas pu livrer comme voulu faute de pouvoir fonctionner, du coup l’entreprise doit des pénalités, dans ce cas l’assurance peut éventuellement les prendre en charge (avec plafonds naturellement)).



Par contre je suis pas certain que tu maîtrises la notion de vecteur passif en matière de faute causant un dommage (développé notamment s’agissant des accidents de la circulation), parce que là la référence fonctionne absolument pas s’agissant des obligations du responsable du traitement ^^









Tsinpen a écrit :



Bah nan, je ne suis que moi. <img data-src=" />

Rien que l’expression me donne déjà des boutons : comment pourrait-on être une entreprise ?

Syndrome fusionnel avec une création de l’esprit ?

<img data-src=" />



Autoentrepreneur ou entreprise individuelle : la personnalité juridique de l’entreprise est confondue avec la tienne. Tu es donc bien une entreprise <img data-src=" />









crocodudule a écrit :



Ca me semble clair, si tu agis pour le compte de ton entreprise, ca va mieux ?





Non. Tout d’abord, tu peux écarter ton exemple avec l’HADOPI: il est interdit en France de s’assurer contre le risque de sanction (c’est la même pour une sanction pénale).



Ensuite je parle bien d’assurance qui t’assure les conséquences d’une “piratage” dont tu es victime (ou l’entreprise) : reconstitution des données, remise en place du matos, et pour certaines de la perte d’exploitation le temps de la remise en place.

 

Et pour certaines, elles t’assurent les conséquences éventuellement dommageables pour les clients et/ou membres du personnel. (Par exemple, une entreprise de livraison se fait poutrer son serveur et n’a pas pu livrer comme voulu faute de pouvoir fonctionner, du coup l’entreprise doit des pénalités, dans ce cas l’assurance peut éventuellement les prendre en charge (avec plafonds naturellement)).



Par contre je suis pas certain que tu maîtrises la notion de vecteur passif en matière de faute causant un dommage (développé notamment s’agissant des accidents de la circulation), parce que là la référence fonctionne absolument pas s’agissant des obligations du responsable du traitement ^^





Ah mais c’était clair, sauf que ça me file des boutons quand c’est formulé comme ça… Quand à savoir pour le compte de qui j’agis, cela me semble être un sujet fort indiscret. <img data-src=" />

Et non ça ne va pas mieux puisque la dématérialisation est imposée (enfin, en train de l’être), mais qu’au premier pépin, c’est pas leur faute… Vrai ou pas, c’est dans un certain sens une drôle de manière de penser la notion de responsabilité.

Ce qui serait pas trop fou, c’est que l’état et ses administrations se mettent en tête l’idée que quand ils imposent quelque chose, c’est eux qui en sont responsables… Mais j’ai parfois l’impression de rêver… ou plutôt de cauchemarder…

Dans l’exemple d’aujourd’hui, le fisc s’est “appuyé” sur l’e-mail pour sécuriser l’accès ; mais sans s’assurer que l’e-mail lui-même soit suffisamment sécurisé : ça me fait penser aux portes coulissantes japonaises : personne n’imaginerait “sécuriser” sa maison avec ça… mais ce sont pourtant bien des portes, n’est-ce-pas ?

<img data-src=" />



Je ne vois pas pourquoi tu me dis qu’on peut pas s’assurer contre le risque de sanction, je n’ai pas parlé de ça : j’ai parlé d’assurances vis-à-vis d’une catégorie de risques créés par l’informatisation. Ç’ay koi le rapport avec la sanction ???



Le rapport avec l’ado pitre est que la notion de « défaut de sécurisation » n’est pas une invention récente. Quels seront les développements à l’avenir ? On nous parle de biométrie et autres… Est-ce que l’administration va être mise devant ses responsabilités lorsqu’elle impose la dématérialisation à des gens qui ne savent pas forcément s’en servir correctement ? Ou bien va-t-on comme à l’habitude franco-française inventer une nouvelle forme d’usine à gaz virtuelle, et dire ensuite que si l’usager de l’administration se fait pirater, c’est de sa responsabilité parce qu’il n’avait qu’à accepter de s’équiper chez lui d’un système biométrique pour se connecter à internet et être ainsi identifié de manière fiable ?

<img data-src=" /> <img data-src=" />



Sur les conséquences du piratage, tu dérives puisque tu ne reconnais qu’une faible partie de celles-ci : la partie matérielle. Le client qui n’a pas pu commander car le serveur s’est fait poutré doit lui aussi être indemnisé, faute de quoi ce n’est pas le risque de ne pas livrer qui est assuré, mais seulement le risque de perte d’exploitation, ce qui ne représente que la plus faible partie du préjudice.



Après, si tu veux retourner faire la circulation pour re-devenir un vecteur actif de la lutte contre les accidents au lieu de n’être que le vecteur passif qui sanctionne depuis sa salle vidéo aux écrans multiples, je ne peux rien faire pour t’en empêcher, ni pour appuyer ta demande puisque je ne travaille pas dans ce secteur-là… mais je pense que tu as bien compris que la dématérialisation et l’informatisation te causent un préjudice plus important que des histoires de petits sous ou de gros sous…

<img data-src=" />









Patch a écrit :



Autoentrepreneur ou entreprise individuelle : la personnalité juridique de l’entreprise est confondue avec la tienne. Tu es donc bien une entreprise <img data-src=" />







Euh… Sauf que la réciproque est fausse : la personnalité juridique de la personne n’est pas soluble en droit dans la personnalité juridique de l’entreprise, même détenue par la même personne.



Bien sur je me doute que tu argueras que cela n’est vrai que jusqu’à un certain point, puisque certaines théories modernes de la physique juridico-quantique permettent à une même particule-personne d’être à la fois morale et réelle, tout en étant simultanément en plusieurs endroits de l’espace. L’exemple de la boite-individuelle sobre en ville et de l’auto-patron bourré en vacances à la plage montre que la dualité onde-corpuscule permet de conduire bourrré puisque la maréchaussée ne pourra pas faire souffler le conducteur-entreprise sans briser sa superposition juridico-quantique, ce qui serait de la maltraitance (illégal, donc).



Néanmoins de telles théories ne savent évacuer le risque d’apparition de trous noirs quantiques pour les facteurs devant livrer un colis urgent à une même particule-personne en état de superposition duale patron/entreprise pendant son cinq-à-sept avec leurs particules-personnes en état de supersoumission duale au lit/au boulot secrétaire/maîtresse pendant le même horaire et au même lieu de l’espace.



C’est donc sachant ce risque dual psyco-physique d’absorption gravitationello-légale de l’espace exotico-temporel aux seins tous noirs (et à la fois tout blancs), que je rappelle que la résolution de tels dilemmes quantico-moraux ne saurait être atteinte que par le refus de l’ubiquité qui se traduit dans notre monde macroscopique non superposé soit par un tournage de talons et un colis non livré, soit par un coup de poing dans la face quand la secrétaire s’avère être la femme du facteur.



Et c’est ainsi que nous éviterons la fin de l’univers tel que nous le connaissons…

<img data-src=" />









Tsinpen a écrit :



Euh… Sauf que la réciproque est fausse : la personnalité juridique de la personne n’est pas soluble en droit dans la personnalité juridique de l’entreprise, même détenue par la même personne.



Bien sur je me doute que tu argueras que cela n’est vrai que jusqu’à un certain point, puisque certaines théories modernes de la physique juridico-quantique permettent à une même particule-personne d’être à la fois morale et réelle, tout en étant simultanément en plusieurs endroits de l’espace. L’exemple de la boite-individuelle sobre en ville et de l’auto-patron bourré en vacances à la plage montre que la dualité onde-corpuscule permet de conduire bourrré puisque la maréchaussée ne pourra pas faire souffler le conducteur-entreprise sans briser sa superposition juridico-quantique, ce qui serait de la maltraitance (illégal, donc).



Néanmoins de telles théories ne savent évacuer le risque d’apparition de trous noirs quantiques pour les facteurs devant livrer un colis urgent à une même particule-personne en état de superposition duale patron/entreprise pendant son cinq-à-sept avec leurs particules-personnes en état de supersoumission duale au lit/au boulot secrétaire/maîtresse pendant le même horaire et au même lieu de l’espace.



C’est donc sachant ce risque dual psyco-physique d’absorption gravitationello-légale de l’espace exotico-temporel aux seins tous noirs (et à la fois tout blancs), que je rappelle que la résolution de tels dilemmes quantico-moraux ne saurait être atteinte que par le refus de l’ubiquité qui se traduit dans notre monde macroscopique non superposé soit par un tournage de talons et un colis non livré, soit par un coup de poing dans la face quand la secrétaire s’avère être la femme du facteur.



Et c’est ainsi que nous éviterons la fin de l’univers tel que nous le connaissons…

<img data-src=" />



<img data-src=" /> <img data-src=" />

Tu t’es bien lâché <img data-src=" />









Tsinpen a écrit :



Après, si tu veux retourner faire la circulation pour re-devenir un vecteur actif de la lutte contre les accidents au lieu de n’être que le vecteur passif qui sanctionne depuis sa salle vidéo aux écrans multiples, je ne peux rien faire pour t’en empêcher, ni pour appuyer ta demande puisque je ne travaille pas dans ce secteur-là… mais je pense que tu as bien compris que la dématérialisation et l’informatisation te causent un préjudice plus important que des histoires de petits sous ou de gros sous…

<img data-src=" />





Je pense naturellement la même chose sur l’impact de la dématérialisation, mais par contre la notion de vecteur passif (qui est quelque chose de bien précis) n’a rien à rien à faire ici, c’est ce que je voulais te dire. <img data-src=" />



mdr, maintenant il va falloir acheté un pc, un abo internet, un tel, un abo mobile pour payer leurs taxes. Car évidement c’est pas eux qui payent tout ça.


magnifique :)








crocodudule a écrit :



Je pense naturellement la même chose sur l’impact de la dématérialisation, mais par contre la notion de vecteur passif (qui est quelque chose de bien précis) n’a rien à rien à faire ici, c’est ce que je voulais te dire. <img data-src=" />





Et voilà, crocodudule va lancer une offre publique d’achat hostile sur « la notion de vecteur passif (qui est quelque chose de bien précis) ».

Bon, et alors, tu prévois de commencer par une initial coin offer-enfoncing en bitcoins ou en etherum ?

Combien pour une action de vecteur ? Et tu reprends les actifs de vecteurs aussi ou bien juste le passif ?

<img data-src=" />



Steam, c’est un cas à part vu que c’est pas standard, c’est les seuls avec Square Enix qui me casse les noix avec ça.



Sinon le reste (Crosof, Gmail, Xiaomi, Forum, Protonmail, Discord, BackBlaze, Ubisoft, OVH-Kimsufi-SoYouStart, R* Social Club et j’en passe), j’ai tout dans l’appli andOTP qui est open-source et surtout qui permet de faire un backup chiffré des OTPs en cas de restauration (comme je change pas mal de ROM sur mon phone).



Pour ‘Crosoft, petite manip est de dire que tu utilises un Windows Phone pour qu’il te laisse enregistrer un OTP normal. Après, tu vas évidemment perdre la fonctionnalité de l’appli ‘Crosoft qui te permet de valider en cliquant sur un bouton, mais je préfère un OTP dans une appli verrouillé avec un mot de passe différent de mon phone.


Merci <img data-src=" />


C’est compliqué, elle est au cimetière !!<img data-src=" />



Par contre, diversifier les méthodes d’accès pour compliquer les attaques à large échelle, cela me semble une bonne pratique.


Obligation, mon œil.



Je n’ai jamais réussi à mettre en place une liste blanche à la caisse d’épargne.


C’est le but de WebAuthn et de la norme U2F:

https://fr.wikipedia.org/wiki/WebAuthn

https://fr.wikipedia.org/wiki/Universal_Second_Factor





Des protocoles standardisés qui permettent en théorie d’être déployés par tout et par tous. Dans le cas de Windows Phone, il te faudra espérer qu’un développeur propose un programme compatible.

&nbsp;


Cela n’est pas de ma faute si tu es incapable de faire respecter tes droits (1) ou si tu es incapable de comprendre comment activer la liste blanche à la caisse d’épargne (2).





  1. Les banques ne peuvent pas refuser votre liste blanche.



  2. Comment gérer mes prélèvements (liste noire, liste blanche)?


la grande échelle c’est le péquin moyen.

le but c’est que tout le monde accède simplement à son compte, pas de générer des dizaines de milliers d’appels au support de Mme Michu, qui a le même mot de passe partout, à savoir sa date de naissance.


Merci pour le lien de l’UFC que choisir. J’ignorais que c’était une obligation.

Pour le deuxième lien, je connaissais déjà celui-ci:&nbsphttps://www.caisse-epargne.fr/particuliers/au-quotidien/conseil-prelevement-sepa



Oui, je suis un peu stupide mais heureusement mes 2 conseillers aussi, ils n’ont pu répondre à mes questions. Ainsi que ceux qui conçoivent les 2 pages web que toi et moi avons trouvé sur le sujet. Je n’y lis nulle part le pas à pas (Aller dans tel menu puis dans celui et cocher telle casse ou bien appeler tel numéro et pour demander l’activation ou bien écrire telle lettre au service machin pour activer la fonction).



Bizarrement, je suis pas le seul à ne pas trouver où c’est situé dans l’interface du site web:&nbsp;

http://forum.net-litiges.com/viewtopic.php?t=4790

https://www.communaute.caisse-epargne.fr/t5/Espace-Particuliers/Gestion-des-mand…

https://www.communaute.caisse-epargne.fr/t5/Espace-Particuliers/Gestion-des-mand…

&nbsp;

=&gt; La liste blanche n’existe pas dans les faits et la caisse d’épargne fait tout te décourager de bloquer un prélèvement (vécu).