Authentification forte

AlbertoWin

Contributeur régulier
Bonjour,

Dans le rapport de la médiatrice bancaire, voici une histoire :
Monsieur X souhaite obtenir le remboursement de deux virements intervenus au débit de son compte, pour un montant total de 4 200 euros, sans qu’il en soit à l’origine. Monsieur X a décou- vert qu’à la même période, une tierce personne avait acheté et installé à son insu une carte SIM virtuelle auprès de son opérateur téléphonique, usurpant ainsi sa ligne de téléphone portable pour passer des appels et utiliser la connexion à internet à partir d’un pays étranger. [...] l’ajout de l’IBAN a été vali- dé par un code envoyé par SMS sur le numéro de téléphone portable enregistré dans sa base clients depuis plusieurs mois au nom de Monsieur X. Ce dernier conteste avoir initié les virements sur son espace personnel de banque en ligne, et réfute ladite installation du service d’authentification forte et la validation de l’ajout du virement puisqu’il n’avait pas reçu les SMS évoqués par la banque. [...] Il m’est apparu que Monsieur X n’avait pas été le réel destinataire des SMS permettant d’ins- taller le dispositif d’authentification forte et de valider l’ajout de l’IBAN du bénéficiaire des deux virements contestés. [...] La banque n’apportait pas la preuve de la négligence grave de son client dans la réalisation de la fraude dont il avait été victime, dans la mesure où ce dernier apportait la preuve que sa ligne téléphonique avait été détournée à son insu. J’ai conclu au remboursement intégral des virements par la banque.
Cliquez pour agrandir...

Ainsi ma question est : Si l'activation du certicode, clé digitale, secur pass... nécessite un SMS de confirmation, que ce dernier peut être détourné et n'est pas considéré comme fiable. Et que malgré que les codes de connexion soient aussi nécessaire, peut-on soulever une faille du service d'authentification forte dans la mesure où son activation est sujette à des failles connues et ainsi montrer que l'activation de l'authentification forte ne nécessite pas "d'authentification forte" ?

En conclusion, le service d'authentification forte est-il vraiment fiable ? Et en quoi la validation par mobile est différente du SMS renforcé si l'activation du premier est effectué via le second ? Quel est la plus-value du premier ?
 
Dernière modification:
AlbertoWin a dit:
En conclusion, le service d'authentification forte est-il vraiment fiable ?
Cliquez pour agrandir...
Bonjour,
dans l'absolu, aucun coffre fort, n'est fort;
il existe et existera toujours des moyens pour "forcer"
La méthode décrite dans la citation est connue depuis des années dans la sécurité des systèmes d'informations sous le nom de spoofing;
La question qui se pose, d'ailleurs dans d'autre débats de société, est le niveau de contrainte que l'on est socialement prêt à accepter ,pour assurer la sécurité;
il est vraisemblable que les technologie issue de la blockchain permettront un cran supplémentaire de sécurité, en s'assurant que le gendarme qui contrôle la transaction( l'inscription de l'iban dans la base') est vraiment un gendarme; jusqu'à ce que les brigands forcent la chose;
 
Bonjour

J'ai vécu moi-même une expérience démontrant la non fiabilité totale et définitive de l'envoi de codes de confirmation, mais c'est quand même un dispositif plus fiable que sans;

Je me suis aperçu un jour que ma sonnerie d'arrivée de message sms sur mon téléphone sonnait sans que je ne recoive le moindre message.
Le lendemain, comme cela continuait, je suis allé dans une boutique de l'opérateur. La personne de la boutique a tenté de m'appeler, et l'appel est arrivé sur un autre téléphone ailleurs, on ne sait ou. Visiblement un double de ma carte SIM existait.
On m'a refait immédiatement une nouvelle carte sim, interdit l'usage des deux précédentes, et je suis ressorti content.


Le soir même je consulte mon compte bancaire et constate abasourdi que de nouveaux comptes destinataires ont été déclarés, une dizaine, dont un en Italie, un en Autriche, deux en Israel, et quelques autres encore dont je ne me souviens pas. Compte-tenu du délai de 72 heures, certains pouvaient être activés sous 5 ou 6 heures.

Je passe une demi-heure à chercher sur mes sms vraiment s'il n'y a aucune trace desdites demandes de validations, et je finis par les trouver à l'autre extrémité de la liste, les derniers sms étant arrivés comme les plus anciens, petite astuce qui permet donc au tricheur de ne pas avertir le titulaire de l'abonnement que le message existe.
Entre temps, avec la nouvelle carte SIM mes nouveaux sms arrivaient eux à nouveau correctement, et ne mepermettait donc pas de me douter de cette astuce.


Information à ma banque qui apparemment n'en n'a rien fait, plainte à la police, une heure de perdue pour rien, jamais aucune nouvelle de cette plainte comme de la vingtaine que j'ai déposées en cinq ans, on est en France... Tant qu'un footbaleur ou qu'un VIP ne sera pas piraté, il ne se passera rien.
 
Membre50050 a dit:
Bonjour

J'ai vécu moi-même une expérience démontrant la non fiabilité totale et définitive de l'envoi de codes de confirmation, mais c'est quand même un dispositif plus fiable que sans;

Je me suis aperçu un jour que ma sonnerie d'arrivée de message sms sur mon téléphone sonnait sans que je ne recoive le moindre message.
Le lendemain, comme cela continuait, je suis allé dans une boutique de l'opérateur. La personne de la boutique a tenté de m'appeler, et l'appel est arrivé sur un autre téléphone ailleurs, on ne sait ou. Visiblement un double de ma carte SIM existait.
On m'a refait immédiatement une nouvelle carte sim, interdit l'usage des deux précédentes, et je suis ressorti content.


Le soir même je consulte mon compte bancaire et constate abasourdi que de nouveaux comptes destinataires ont été déclarés, une dizaine, dont un en Italie, un en Autriche, deux en Israel, et quelques autres encore dont je ne me souviens pas. Compte-tenu du délai de 72 heures, certains pouvaient être activés sous 5 ou 6 heures.

Je passe une demi-heure à chercher sur mes sms vraiment s'il n'y a aucune trace desdites demandes de validations, et je finis par les trouver à l'autre extrémité de la liste, les derniers sms étant arrivés comme les plus anciens, petite astuce qui permet donc au tricheur de ne pas avertir le titulaire de l'abonnement que le message existe.
Entre temps, avec la nouvelle carte SIM mes nouveaux sms arrivaient eux à nouveau correctement, et ne mepermettait donc pas de me douter de cette astuce.


Information à ma banque qui apparemment n'en n'a rien fait, plainte à la police, une heure de perdue pour rien, jamais aucune nouvelle de cette plainte comme de la vingtaine que j'ai déposées en cinq ans, on est en France... Tant qu'un footbaleur ou qu'un VIP ne sera pas piraté, il ne se passera rien.
Cliquez pour agrandir...
C'est surtout l'opérateur qui devrait ouvrir une enquête. Néanmoins on peut se demander comment ses derniers ont eu vos identifiants et mots de passe. Si le premier est le numéro de compte et le second est réinitialisable par SMS, c'est jackpot pour eux. Et dans ce cas, la fiabilité des facteurs d'authentification n'est pas indépendante comme le requiert la loi.

Vous avez eu de la chance avec ce délai de 72h. Moi je n'ai que 24h par SMS, très peu de temps du coup pour réagir.

Comment validez-vous vos achats maintenant ?

Information à ma banque qui apparemment n'en n'a rien fait, plainte à la police, une heure de perdue pour rien, jamais aucune nouvelle de cette plainte comme de la vingtaine que j'ai déposées en cinq ans, on est en France... Tant qu'un footbaleur ou qu'un VIP ne sera pas piraté, il ne se passera rien.
Cliquez pour agrandir...
Même eux il ne se passera rien. Y a que pour les politiciens et compagnie, mais eux ils ont une quatruple authentification j'imagine.
 
Je n'ai rien changé, je fais avec.
Je surveille quand il se passe quelque chose d'inhabituel.
AlbertoWin a dit:
Même eux il ne se passera rien.
Cliquez pour agrandir...

Le vol Kardashian a été résolu en un temps record et le méchant de l'affaire vite cloué au pilori. On ne fait pas ça à des gens comme ça (Ce qui est certes tout à fait exact).

Mon voisin qui a déversé dudéfoliant sur les légumes sur 20 mètres va très bien, la gendarmerie m'a dit que c'était du civiL... Quand j'ai insisté ils m'ont fait comprendre que cétait moi le problème (leur problème s'entend).
 
Bons plans du moment
Logo Ramify
Assurance-Vie : Jusqu'à 500 € de frais de gestion offerts
Logo Garance mutuelle
PER : Jusqu'à 750 € + frais de transfert remboursés
Logo Boursorama Banque
Compte bancaire : Jusqu'à 120 € offerts de prime de bienvenue
Logo Hello bank
Compte bancaire : Jusqu'à 260 € + Hello Prime à 1 € pendant 6 mois
Voir plus d'actualités
Actualités les plus consultées
Agirc-ArrcoRetraite complémentaire Agirc-Arrco : pourquoi la hausse du 3 novembre sera plus élevée que prévu bourseLe CAC 40 atone à la clôture avant la révision de la notation française par Fitch 1966 retraite« J'aurai 59 ans en décembre, avec 147 trimestres. Je pourrai partir à 60 ans en retraite progressive ? » refus prêt immobilierSi vous êtes propriétaire, la date limite pour cet impôt sur l'immobilier est le 15 septembre Garance promoGarance : jusqu'à 2 500 euros pour l'assurance vie et 750 euros pour le PER ! Moody's met en garde la France.Placement : la note de la dette de la France abaissée, son coût risque d'augmenter
Retour
Haut