Auteur Sujet: Banques: évolutions de sécurité pour respecter la DSP2  (Lu 16570 fois)

0 Membres et 2 Invités sur ce sujet

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 668
  • Montgesty (46150)
    • Tetaneutral.net
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #24 le: 24 septembre 2019 à 17:10:48 »
Aussi, combien vous pensez qu'il y a des personnes capables d'intercepter un SMS facilement aujourd'hui ?
J'ai l'impression que ce nombre approche zéro, et que si ca devait arriver, ca n'arrivera certainement pas pour mon paiement de 23€ sur amazon (le jeu n'en vaut pas la chandelle).

C'est pas ton paiement de 23€ qui les intéresse.

C'est le fait que , si ils arrivent a choper à la fois ton compte amazon (ou bancaire, dans ce cas) et ton téléphone, alors ils peuvent vider ton compte.
Et ils peuvent ré-iterer avec la personne suivante.

Il n'y a pas bcp de personne capable de le faire, mais apparemment la sécurité des échanges SMS est bien moins grande qu'imaginée. Ca veux pas dire qu'il y a une horde de pirate . par contre ça peux vouloir dire que les quelques pirates qu'il y a peuvent faire beaucoup de victimes.


Citer
La solution du TPE, que l'on branche en USB sur son ordinateur lors d'un achat, dans lequel on insère la carte à puce, pour taper son code. C'est quoi le problème de cette solution ? Que l'on ne pourra pas acheter sur son téléphone ? Ben on attend le soir de rentrer à la maison pour acheter non ?

Le téléphone on l'a toujours sur soi , pas le TPE. Et on est pas tous sédentaire...
Une solution pourrait être le TPE "intégré" dans la carte bancaire, que, elle, on a toujours sur soit : https://www.e-ink-info.com/e-ink-used-create-dynamic-cvv-credit-cards





Citer
encore qu'une banque, par définition, a de l'argent hein

Oui enfin, elle a surtout notre argent, quoi... Donc le TPE, c'est toi-même qui te le paiera... comme toute solution, par ailleurs.



kazyor

  • Expert des Télécoms
  • Expert
  • *
  • Messages: 1 335
  • Lyon 7ème (69)
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #25 le: 24 septembre 2019 à 17:34:20 »
Et les (H/T)OTP ?
Si on a pas de smartphone, il reste les clefs type SecurId ...

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 668
  • Montgesty (46150)
    • Tetaneutral.net
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #26 le: 24 septembre 2019 à 17:45:15 »
Et les (H/T)OTP ?
Si on a pas de smartphone, il reste les clefs type SecurId ...

J'avoue que j'aime assez les systèmes à base de carte à glisser dans le portefeuille , https://wholesaler.alibaba.com/product-detail/One-Time-Password-NFC-OTP-Card_62096160726.html (c'est qu'un exemple, hein, je recommande rien moi :-)  ) mais un truc style securID ou plus petit serait bien. Après , niveau banque ça oblige aussi à avoir des systèmes robustes de leur coté & opérable avec les processeur de paiement existant... j'imagine que ça se fait pas en un vendredi soir.

Anonyme

  • Invité
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #27 le: 24 septembre 2019 à 17:49:28 »
Saviez vous que pour les échanges de SMS entre opérateurs, il existe d'autres opérateurs dont c'est le métier ?

Très concrètement, lorsque vous devez envoyer un SMS à un jeu télévisuel, "choisissez 1 pour la question A, choisissez 2 pour la réponse B" et que le SMS est payant, c'est opéré par une boite particulière.
Et il y a parfois des "ratés" (rarement heureusement, mais ils ne sont pas à exclure totalement), chaque opérateur annonce ses fenêtres de maintenance, quand elles sont prévues.
Ce qui entraîne, que parfois des SMS n'arrivent pas suffisamment rapidement pour authentifier, un SMS qui arrive avec plusieurs heures de retard dans ce cas de figure, n'a aucun intérêt.
Quand c'est un jeu ce n'est pas très grave, cela part dans une "queue" et c'est traité en asynchrone, mais pour de l'authentification, c'est pas très viable.

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #28 le: 24 septembre 2019 à 20:47:25 »
Comment je fais si je n'ai pas de smartphone, et que je n'en veux pas ?

Tu utilises des espèces (ou bien une carte bancaire si tu en veux bien).

Le SMS a au moins cet avantage : il ne nécessite pas d'accès Internet, il ne nécessite pas que le méchant Google sache, au moment ou je veux lire mon code, où je me trouve ; par exemple. Il ne nécessite pas que le méchant malware présent dans mon téléphone puisse accéder à son serveur de contrôle (bot engine), via un accès Internet.

Le premier point s'évite en paramétrant son smartphone et le second en n'installant pas d'applications supplèmentaires.

Le SMS arrive vers mon téléphone, mais mon téléphone n'a aucun moyen, à ce moment là, d'envoyer quelque info que ce soit vers l'exterieur, puisqu'il n'a pas d'accès à Internet.

Il peut faire remonter des informations par SMS, par voix (pourquoi pas avec des informations modulées) et éventuellement par d'autres canaux auxiliaires.

Aussi, combien vous pensez qu'il y a des personnes capables d'intercepter un SMS facilement aujourd'hui ?

Dans les pays avec du chiffrement 2G caduc et une infrastructure vieillissante, un certain nombre, du moins davantage que de personnes capables d'intercepter ce qui passe par un lien données à proximité.

Dans la plupart des pays, à peu près autant que de personnes d'intercepter en masse du trafic Internet.

La solution du TPE, que l'on branche en USB sur son ordinateur lors d'un achat, dans lequel on insère la carte à puce, pour taper son code. C'est quoi le problème de cette solution ?

Il faut d'abord s'assurer que l'ordinateur n'est pas dangereux, surtout s'il contient un système Microsoft. Ensuite, je pense que c'est une option qui n'intéresse pas les banques car, si elles choisissent de proposer une solution qui ne passe pas par un appareil mobile, il est plus simple de fournir une solution qui utilise des clefs OTP que de devoir connecter des terminaux de particuliers au réseau interbancaire (ou solution équivalente et elle aussi complexe).

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #29 le: 25 septembre 2019 à 14:06:29 »
Aeris partage son expérience de la DSP2 : https://twitter.com/aeris22/status/1172859672761708545

J’ai eu à faire à un cas concret ce jour avec l’arrivée de la DSP2.
                https://twitter.com/aeris22/status/1172650319773220865
N26 a activé son authentification forte, réclamant une application Android incompatible avec un téléphone rooté ou ne disposant pas des applications Google. Un Lineage OS pourtant avec MicroG (https://microg.org/) n’est plus utilisable.
La seule proposition de la part de N26 est d’acheter un nouveau téléphone, ce qui ne règlera de toute façon pas le problème puisqu’il serait à nouveau sans les Google Apps…
                https://twitter.com/aeris22/status/1172813775273168896

Ce problème va être de plus en plus fréquent, la plupart des banques implèmentant la 2FA uniquement via leur application mobile, qui reposent souvent sur les Goggle App.
Et les banques proposant la 2FA via SMS risquent fort de devoir changer de fusil d’épaule un jour, EBA ayant explicitement interdit ce moyen d’authentification tant que la SIM n’est pas protégée contre la réplication
                https://eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4039

Les libristes ne sont pas les seuls touchés dans l’affaire, le blocage de Huawei par Google ou les personnes ne disposant pas de smartphone ou de vieux modèles plus maintenus sont aussi concernés. Ce qui peut rapidement faire une bonne partie de la population.

Les choix technologiques des banques d’une 2FA applicative sont d’autant plus inexplicables que leur politique de mot de passe s’est récemment dégradé avec l’entrée en vigueur de la DSP2 et le passage de mots de passe robustes et fiables à des mots de passe à 6 ou 8 chiffres, et qu’il existe des solutions beaucoup plus sûres et efficaces de double authentification 100% intéropérables (TOTP).

Ce problème a des effets très notables. Alors que la vente liée/forcée permettait quand même un usage « normal » après quelques bricolages ou l’achat de matériel dans des points de vente spécifiques, la DSP2 exclut de fait du système bancaire toute personne non compatible. Ce qui induit à plus ou moins long terme l’exclusion complète de la société.


Les téléphones Huawei avec leur fork d'Android seront eux aussi impactés.

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #30 le: 25 septembre 2019 à 14:29:47 »
Tout est dit ^^

Ils s'imaginent , que tout le monde a un smartphone, que tout le monde a un Apple ou un Google, que tout le monde se fait gentillement syphoner , et que c'est normal.
Désolé mais .... non en fait.

Revoyez votre copie, et arrêtez d'obliger les gens à consommer vos imbécilités , la planète en a plus que marre, et les gens (sensés) aussi !

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #31 le: 25 septembre 2019 à 14:33:43 »
On me signale une solution pour l'application du Crédit Mutuel : comme les autres, elle repose sur une validation des opérations avec une application Android qui refuse de s'installer sur un téléphone rooté.

La solution, c'est de rooter avec Magisk Manager, qui permet de cacher à une appli le statut rooté du téléphone, mais ça demande des compétences techniques avancées.

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 668
  • Montgesty (46150)
    • Tetaneutral.net
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #32 le: 25 septembre 2019 à 14:38:03 »
Je me demande si l'Arcep va se saisir du sujet, puisque apparemment ils avaient dit s'intéresser aussi aux problèmes des terminaux , et, récemment à France Inter  (On arrête pas l'eco) Soriano dénonçait la main-mise des GAFA.

Et là, on a les banques qui..... imposent Google ou Apple !!

#toutvabien

(A ce propos , dans l'émission "on arrête pas l'éco de samedi dernier, les banques étaient, encore elles, accusée d'avoir de jolis discours verts.... et de financer encore à + de 70% les projets des multinationales polluantes, vu que ce sont les plus rentables financièrement.... )


Alors , exclusion de la société c'est ptet un peu fort, mais c'est sur que ça va , à minima, entraver les transactions - et représenter une incitation importante aux gens, mais aussi conforter la position de Google & Apple qui verrouillent toujours plus leurs appareil au nom de la "sécurité".

La question que je me pose c'est est-ce que les banques sont conscientes de ça et cherchent, sciemment, à exclure le maximum de gens "non conformistes" , ou bien est-ce que c'est juste de la flemme.  Dit autrement : Il ne faut pas prendre pour de la malveillance ce qui n'est que de l'incompétence... :-)

(Accessoirement , est-ce que ça ne donne pas à Google une sorte de droit de vie & de mort sur les téléphone & les intégrateurs ? )


doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #33 le: 25 septembre 2019 à 14:39:13 »
Les banques n'ont qu'à fournir un device, proprio, au lieu de se reposer sur autrui (Google et autres).

Ca coute plus cher, c'est sur, mais il faut arrêter de tout vouloir concentrer dans son téléphone, contrôlé par des firmes américaines.
J'écoute de la musique avec un balladeur, pas avec un téléphone... Et je prends des photos avec un Reflex , pas avec un téléphone...  C'est fou cette mode qui sévit depuis ~15 ans maintenant je trouve , d'asservir le pauvre humain écervelé à cet engin qui ne lui fait que du mal.

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #34 le: 25 septembre 2019 à 14:43:51 »
Je me demande si l'Arcep va se saisir du sujet, puisque apparemment ils avaient dit s'intéresser aussi aux problèmes des terminaux , et, récemment à France Inter  (On arrête pas l'eco) Soriano dénonçait la main-mise des GAFA.

L'Arcep cherche a ce qu'on lui donne les compétences sur ce sujet , mais aujourd'hui ce n'est pas le cas.

L'Arcep observe et ce cas, remonté suite à l'appel à témoignages de l'Arcep est intéressant : https://twitter.com/gro_tsen/status/1176434316106240000

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 668
  • Montgesty (46150)
    • Tetaneutral.net
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #35 le: 25 septembre 2019 à 14:48:14 »
L'Arcep cherche a ce qu'on lui donne les compétences sur ce sujet , mais aujourd'hui ce n'est pas le cas.


Ah je croyais. Merci.

J'y avais pas pensé, mais l'un de mes téléphone est un Zuk Z1 (sous-marque de lenovo) ve,du sous Cyanogen, ancêtre de Lineage, et que j'ai effectivement passé sous Lineage ensuite.
(l'OS était la raison de ce choix à l'époque).
Cette sous-marque n'a fait que 2 téléphones avant de fermer :-)