Auteur Sujet: La banque LCL ne supporte pas TLS 1.2  (Lu 25843 fois)

0 Membres et 1 Invité sur ce sujet

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
La banque LCL ne supporte pas TLS 1.2
« Réponse #12 le: 23 octobre 2018 à 16:27:48 »
On dirait que le bug touche l'ensemble des caisses régionales CA...

J'ai testé les 5 premières, toutes ont l'erreur. Seul le site web principal fonctionne.

Sendell

  • Abonné SFR fibre FttH
  • *
  • Messages: 15
  • Lyon
    • Site perso
La banque LCL ne supporte pas TLS 1.2
« Réponse #13 le: 23 octobre 2018 à 16:37:24 »
Ayant un peu de temps à perdre, juste pour voir j'ai imprimé qques documents, captures d'écrans, ... et suis allé à mon agence. J'ai essayé de ne pas trop attaquer la pauvre guichetière à coup de PCI-DSS3.2, mais je ne suis pas du tout arrivé à mes fins : le conseiller venu en renfort en a conclu d'un air péremptoire que le problème est dans Firefox, l'absence de TLS1.2 et leur propre conseil de désactiver autre chose n'a pas eu l'air de le heurter (la guichetière montrait sur son visage que si) ; le fait que le support de TLS1.0 disparaisse des navigateurs en 2020 "laisse encore un an" et il semblait ne plus jamais avoir entendu parler de PCI-DSS quand j'ai évoqué de la fin de TLS1.0 en juin dernier. Problème réglé, ça c'est un mec efficace !
Bon blague à part je ne m'attendais pas non plus à un miracle (il ne faudrait pas en attendre moins de leur part semble-t-il), mais juste un début de reconnaissance d'un problème de leur côté m'aurait semblé convenable.


Pour bien rigoler : LCL vous invite à désactiver TLS 1.0 dans votre navigateur, ce qui rend impossible l’accès à leur site.
=> https://telecharger-releves.secure.lcl.fr/testssl/LCL/tls1.0_details.html
Sérieusement, ils ont testé leurs conseils, ou ils ont recopiés les recommandation du Conseil des normes de sécurité PCI sans voir que cela bloquait l’accès au site ?

Citer
Extrait du site de LCL :

Pourquoi arrêter la prise en charge de ce protocole ?

Nous procédons à la désactivation du protocole TLS 1.0 afin de :

Conserver un niveau de sécurité respectant l’état de l’art sur notre plate-forme d'hébergement.
Maintenir des normes de sécurité les plus élevées pour renforcer la protection de vos données.
A ce jour, l'Agence Nationale de la Sécurité des Système d'Information (ANSSI) recommande fortement de ne plus autoriser le protocole TLS 1.0 pour la protection et le chiffrement des flux réseau, ce protocole de chiffrement étant devenu trop faible.

Oui ce coup là est mon préféré, de loin ! Je vais adorer les embêter avec "mais j'ai suivi vos recommandation, pourquoi ne les respectez-pas vous-même"

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
La banque LCL ne supporte pas TLS 1.2
« Réponse #14 le: 23 octobre 2018 à 16:55:56 »
Tout simplement consternant...

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 097
  • Alpes Maritimes (06)
La banque LCL ne supporte pas TLS 1.2
« Réponse #15 le: 23 octobre 2018 à 19:20:34 »
le fait que le support de TLS1.0 disparaisse des navigateurs en 2020 "laisse encore un an" et il semblait ne plus jamais avoir entendu parler de PCI-DSS quand j'ai évoqué de la fin de TLS1.0 en juin dernier. Problème réglé, ça c'est un mec efficace !
Bon blague à part je ne m'attendais pas non plus à un miracle (il ne faudrait pas en attendre moins de leur part semble-t-il), mais juste un début de reconnaissance d'un problème de leur côté m'aurait semblé convenable.

Je pense clairement que ce n'est pas le métier du guichetier ...
As tu essayé le lien que je t'ai donné sur la page précédente ? Il y a déjà plus de chances que ça atterrisse à quelqu'un qui s'y connait en sécurité informatique..

Orriz

  • Abonné Sosh fibre
  • *
  • Messages: 419
La banque LCL ne supporte pas TLS 1.2
« Réponse #16 le: 23 octobre 2018 à 19:28:25 »
Ce n'est pas le métier du guichetier, mais son métier c'est tout de meme de prendre en compte la remontée client et faire suivre l'info à qui de droit  ;)

Sendell

  • Abonné SFR fibre FttH
  • *
  • Messages: 15
  • Lyon
    • Site perso
La banque LCL ne supporte pas TLS 1.2
« Réponse #17 le: 23 octobre 2018 à 20:14:28 »
Je pense clairement que ce n'est pas le métier du guichetier ...
As tu essayé le lien que je t'ai donné sur la page précédente ? Il y a déjà plus de chances que ça atterrisse à quelqu'un qui s'y connait en sécurité informatique..

Je n'allais pas en agence pour changer grand chose, juste voir si on me répondait d'essayer en désactivant mon antivirus (le grand classique des SAV de FAI) ou mieux. Bah pas mieux, c'est tout.
Je vais rédiger un truc correct basé sur leurs propres recommandations pour le formulaire d'assistance ; tant que le site ne m'était pas accessible, le formulaire d'assistance ne l'était cependant pas plus !

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
La banque LCL ne supporte pas TLS 1.2
« Réponse #18 le: 23 octobre 2018 à 20:46:22 »
Le serveur ossp qui ne répond plus, n'a pas d'impact sur la sécurité et cela a été réparé.

Je pense qu'il faut argumenter au guichet sur le fait que tu as trouvé un problème de sécurité (c'est réel) sur leur site internet qui permet de récupérer des informations dans certains cas et demander à être contacté par un expert en sécurité.

Je pense que peu de personnes autres que les experts de sécurité sont en mesure de comprendre les risques de TLS 1.0

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 097
  • Alpes Maritimes (06)
La banque LCL ne supporte pas TLS 1.2
« Réponse #19 le: 23 octobre 2018 à 21:33:59 »
Mouais, je ne suis pas convaincu par le guichet ... Au mieux ça sera mal retransmis via un ticket interne aux "informaticiens" qui sont surement à Paris ou ailleurs.
un message avec les liens ssl labs et etc ici ( https://particuliers.lcl.fr/assistance-portail-par/) passera surement mieux ;)

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
La banque LCL ne supporte pas TLS 1.2
« Réponse #20 le: 23 octobre 2018 à 21:39:17 »
Le problèmes de SSL Labs, c'est que la méthodologie est inchangée depuis des années.

Cela permet de comparer statistiquement l'évolution : la note A qui était rare il y a 4 ans est aujourd'hui presque donné à tous les sites.

Pour moi le non support de TLS 1.2 ne devrait pas permettre d'avoir la note C.

LCL à la note C qui n'est pas catastrophique.
Je préfère imirhil.fr et sa note F.

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 097
  • Alpes Maritimes (06)
La banque LCL ne supporte pas TLS 1.2
« Réponse #21 le: 23 octobre 2018 à 21:55:08 »
c'était un exemple ssl labs ;)

c'était juste pour dire que le message "informatique" ou twitter https://twitter.com/lcl est surement plus "rapide" / sur pour la communication que remonter l'information au guichet ..

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
La banque LCL ne supporte pas TLS 1.2
« Réponse #22 le: 23 octobre 2018 à 22:07:01 »
Je préfère imirhil.fr et sa note F.
C'est https://cryptcheck.fr/ maintenant :)

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 097
  • Alpes Maritimes (06)
La banque LCL ne supporte pas TLS 1.2
« Réponse #23 le: 23 octobre 2018 à 22:18:26 »
d'ailleurs, maintenant, apparement, le site de la banque supporte TLS 1.1 et 1.2 .. ( https://cryptcheck.fr/https/particuliers.lcl.fr )
Une réaction rapide de la banque ou plutôt un bug qui a été corrigé cet aprem en même temps que le bug OSCP ?

Edit: j'ai confondu particuliers.secure.lcl.fr et particuliers.lcl.fr (c'est bien G "https://cryptcheck.fr/https/particuliers.secure.lcl.fr")