Banque via le web

Turbo-057

Contributeur régulier
Je profite de ce petit article :
https://www.moneyvox.fr/banque/actualites/59628/banque-web-et-mobile-les-francais-commencent-a-s-y-faire

Pour justement lancer un petit sujet sur le fameux "argument massu" de la sécurité
Les interfaces internet des banques sont certes sécurisés mais pour y accéder je trouve clairement que la sécurité est plutôt .... légère.

Pour donner un petit exemple chez certaines on utilise la bonne vieille méthode de l'identificant utilisateur / PIN (4 digits) ... pour d'autres ID / Mot de passe etc etc....

Et au niveau des règles la encore peu de contrainte voire même des contraintes non sécuritaires.
Je fut très surpris par exemple que chez Fortuneo on ne puisse utiliser que des chiffres et des lettres dans son mot de passe ... aucun caractères spécifique (par contre je pense qu'il impose un changement du mot de passe après une certaine période et il faut au minimum 8 caractères mais pas possible d'aller au delà de 16 ... )

D'autres banques n'impose aucune contrainte de changement ...

Après certaines sont cependant un peu meilleurs (code sms de validation ....)

Cependant très peu de banque utilisent des systèmes d'authentification renforcé du genre token RSA, clef U2F ... ce qui justement m'étonne car le futur combat contre les hackers se profile pour les banques pour l'heure les hackers "premium" visent plutôt les systèmes bancaires tels que SWIFT ([lien réservé abonné]) car effectivement ca rapporte plus ... Mais vu la securité les réussites sont assez rares.
Donc ensuites ils se tournent vers les entreprises ayant des comptes bien garnit ...
Mais petit a petit justement tous les systèmes se blindent ... cependant en général les blindages, contre mesures etc sont reforcés mais après les attaques...

Lorsque les hackers premiums commenceront à s'attaquer aux particuliers cela risque d'être ... plus compliqué à gérer pour les banques n'ayant pas de moyens d'authentifcation sécurisé

A ce propos comment trouvez vous la securité de votre accès a votre interface webbanking ?
Préférez vous la simplicité (il est facile de retenir un simple ID et un pin de 4 chiffres ... mais 4 chiffres par exemple ne font que 10 000 essai un bon ordinateur compte jusque 10 000 en ... moins d'une seconde)...
Ou la sécurité ...
 
C'est un point beaucoup discuté, mais assez trompeur.
10.000 combinaisons se testent en moins d'une seconde... certes... mais comment l'ordinateur va-t-il les tester ?
Via internet, le compte sera bloqué au bout de quelques essais. Qu'il y en ai 10.000 ou 10^100 ne change au final pas grand chose.
On notera en que la plupart des banques avec code simple utilisent 3 facteurs de login: identifiant + donnée personnelle (date de naissance ou autre) + password

Le token RSA est ultra pénible pour une consultation quotidienne (une de mes banques c'était amusée à mettre ça en place comme seul moyen d'accès. Ils ont reculé au bout de quelques mois devant le tollé que ça a occasionné.

La meilleure des solutions à mon avis est une authentification simple pour la consultation, et une identification plus solide (RSA, SMS, etc) lorsqu'on veut effectuer une opération sensible (ajout d'un destinataire, virement de montant important, etc)
Ca évite d'une part de trop utiliser l'accès sécurisé, et sécurise ce qui est vraiment important.

Les attaques sérieuses passeront de toute façon ce genre de sécurités. (même le token ou le SMS ne servent pas à grand chose face à un site contrefait ou à un ordinateur infecté)
 
il y a en effet une grande variabilité dans les banques :
- credit mutuel a le pauvre identifiant / mot de passe sur la même page
- SG a l'identifiant sur une page et le mot de passe a taper sur un clavier virtuel qui s'affiche (chiffres dans le desordre)
- banque populaire a le meme systeme que credit mutuel pour le service consultation simple
- banque populaire a une "calculette" pour le service complet.
- HSBC a un systeme completement penible a base de verification via smartphone...
- UBS a une calculatrice generateur d'un mot de passe unique en fonction d'un code 6 chiffres que te donnes le site UBS au moment du login (apres avoir entré ton numéro de contrat (= login). ca me semble assez sécurisé et hormis le fait d'avoir la calculette avec soi, pour ma part cela me semble etre le meilleur compromis securité/pratique.
- CIC a le meme pauvre truc que Credit Mutuel
- ING a le systeme du mot de passe a moitié rempli (la partie manquante change a chaque fois), mais que des chiffres et que 6.

par contre je me demande si certaines banques bloquent l'accès de l'etranger. je viens de me faire bloquer l'accès a Francaise Des Jeux de l'etranger, et je me demande si c'est une histoire de juridiction ou de crainte de sécurité. car si les banques se mettent a faire de même, ca va vraiment etre penible....

Turbo, une idée sur la meilleure des methodes que j'ai listé au dessus ?
et une idée sur le blocage d'accès éventuel a l'etranger ?
 
Turbo-057 a dit:
mais 4 chiffres par exemple ne font que 10 000 essai un bon ordinateur compte jusque 10 000 en ... moins d'une seconde)....
Cliquez pour agrandir...

il est plus simple (et ne provoque pas de blocage) de tester 10 000 comptes différents en une seconde avec le même code PIN. statistiquement les chances de succès sont les mêmes.
 
ZRR_pigeon a dit:
- ING a le systeme du mot de passe a moitié rempli (la partie manquante change a chaque fois), mais que des chiffres et que 6.
Cliquez pour agrandir...
Je ne sais pas s'il y a des erreurs sur les autres, mais ici c'est incomplet:
ING a le mot de passe + la date de naissance.

Le deuxième facteur suffit à multiplier par environ 10000 le nombre de combinaisons en cas d'attaque aveugle (ne ciblant pas un utilisateur particulier)
On en est donc à un nombre de combinaisons pour la connexion de 10^7
C'est peu pour un mot de passe classique, mais suffisant pour bloquer l'accès via le web.

De manière globale, on peut constater la solidité de ces mesures empiriquement: alors qu'on est sur un domaine touchant directement à l'argent, il y a très peu d'attaques qui ont réussi. (A ma connaissance, toutes les attaques sont passées par des keyloggers ou autres troyens plutôt qu'en essayant de forcer les interfaces web de banques en ligne)
 
ZRR_pigeon a dit:
il est plus simple (et ne provoque pas de blocage) de tester 10 000 comptes différents en une seconde avec le même code PIN. statistiquement les chances de succès sont les mêmes.
Cliquez pour agrandir...
Il me semble que ce n'est pas tout à fait exact (possible que je me trompe)
Ce serait vrai si on dispose de 10.000 numéros de compte actifs. Mais si on tape au hasard, une bonne partie des numéros seront invalides (sous réserve que les numéros de clients ne soient pas issus d'un algo simple, genre "dernier numéro+1" )
 
Membre33312 a dit:
Le token RSA est ultra pénible pour une consultation quotidienne (une de mes banques c'était amusée à mettre ça en place comme seul moyen d'accès. Ils ont reculé au bout de quelques mois devant le tollé que ça a occasionné.

La meilleure des solutions à mon avis est une authentification simple pour la consultation, et une identification plus solide (RSA, SMS, etc) lorsqu'on veut effectuer une opération sensible (ajout d'un destinataire, virement de montant important, etc)
Ca évite d'une part de trop utiliser l'accès sécurisé, et sécurise ce qui est vraiment important.
Cliquez pour agrandir...

Pour les token c'est une des solutions retenus ici au GdL et qu'ont mise en place toute les banques de la place. L'avantage étant que le token puisse être utilisé autant pour l'accès a une banque qu'une autre ou encore pour les organismes tels que les impots, Prestations familiales ....
Et pour l'utiliser régulièrement je n'y vois pas vraiment de contrainte. Et cela n'a pas fait de problème pour la mise en place auprès du public.
D'autant qu'il existe plusieurs type de Token (les physique, ceux sur USB, ceux via smartphone, ceux via sms) qui effectivement pour moi se devraient d'etre indispensable pour une opération sensible mais pourrait l'être aussi a la connexion ...

Pour les blocage au nombre d'essai ... ce n'est pas systématique chez toutes les enseignes (ne pas croire qu'un PIN induit un blocage au delà de 3 essai...)

Par contre a ma connaissance peu de banque ajoute une donnée personnelle comme facteur de login ... la plupart sont un couple ID/Clef (password, pin ...)

Les attaques sont tres souvent en mode Keylogger d'ou l'intéret d'avoir un élément additionel de type mot de passe unique a la connexion par tout element

Depuis peu ici la carte d'identité permet de servir de token ;) pratique aussi mais ici il y a une puce il suffit donc du lecteur.

eID - la carte d'identité passe-partout

Comment utiliser sa nouvelle carte d'identité eID pour accéder aux applications sur internet?

Au moment de la demande de votre nouvelle carte d'identité électronique (eID), vous pouvez opter pour l'activation des certificats d'authentification et de signature électroniques LuxTrust sur la carte. Cette activation qui est gratuite est valable pour 5 ans et renouvelable une fois pour s'aligner avec la validité de la carte d'identité qui est de l'ordre de 10 ans. En savoir plus ...
Cliquez pour agrandir...
 
Membre33312 a dit:
Ce serait vrai si on dispose de 10.000 numéros de compte actifs. Mais si on tape au hasard, une bonne partie des numéros seront invalides (sous réserve que les numéros de clients ne soient pas issus d'un algo simple, genre "dernier numéro+1" )
Cliquez pour agrandir...

ok alors 100 000 comptes (10 secondes) pour en avoir 10 000 de valides.
la plupart des banques ont un nombre de digits fixe dans l'identiiant client (9 a la SG). on sait globalement leur nombre de clients, ca permet de se donner une idée de la "distance" (au sens métrique distance de Hamming d'un code [lien réservé abonné]) entre deux identifiants valides
 
Turbo-057 a dit:
Et pour l'utiliser régulièrement je n'y vois pas vraiment de contrainte. Et cela n'a pas fait de problème pour la mise en place auprès du public.
Cliquez pour agrandir...
Le token nécessite de l'avoir sous la main, et de nombreuses personnes de ma connaissance trouvaient ça pénible.
Perso, il reste toujours à la maison, et occasionnellement ça me pose problème.
Mais c'est très supportable tant que ça ne concerne que les opérations sensibles (ceci dit, il faut penser à l'emporter en vacances...)

Par contre a ma connaissance peu de banque ajoute une donnée personnelle comme facteur de login ... la plupart sont un couple ID/Clef (password, pin ...)
Cliquez pour agrandir...
Je connais ING et HSBC qui le font.
Mais c'est vrai que ce n'est pas généralisé.

Depuis peu ici la carte d'identité permet de servir de token ;) pratique aussi
Cliquez pour agrandir...
Un token se doit de changer de valeur.
Les "cartes token" ont toujours été un pis-aller (pas inutile, mais d'une fiabilité imparfaite)

Pour les blocage au nombre d'essai ... ce n'est pas systématique chez toutes les enseignes (ne pas croire qu'un PIN induit un blocage au delà de 3 essai...)
Cliquez pour agrandir...
Le blocage visible n'est pas le seul existant: il suffit d'augmenter progressivement le temps nécessaire entre deux essais pour bloquer efficacement les attaques de ce genre sans en avoir l'air.
Et la limite de 3 essais est trop faible, en général on part plutôt sur du 8/10.

Dans l'ensemble, comme le le disais, l'expérience montre que c'est "suffisamment" sécurisé pour le moment.
 
ZRR_pigeon a dit:
ok alors 100 000 comptes (10 secondes) pour en avoir 10 000 de valides.
Cliquez pour agrandir...
Et pourtant, aucune attaque de ce genre n'a réussi (à ma connaissance).
Ca doit être un peu plus complexe ;)
 
Membre33312 a dit:
Et pourtant, aucune attaque de ce genre n'a réussi (à ma connaissance).
Ca doit être un peu plus complexe ;)
Cliquez pour agrandir...

je pense aussi que les banques ne sont pas folles, et que si elles (enfin leurs serveurs) voient arriver plus d'une poignée de requêtes (a fortiori quelques milliers/ dizaines de milliers) originant de la même IP, et en quelques diziemes de seconde pour ne rien arranger, ca doit allumer des feux rouges.

quand bien même notre pirate soit patient, espace ses essais, et qu'il arrive a se logger .. que fait-il ? il ajoute son RIB et se fait un virement a lui meme ? la police arrive avant l'argent :shades:

la question est posée, en supposant qu'un pirate puisse se logger a votre place, que peut-il efficacement faire pour sortir de l'argent ?
 
ZRR_pigeon a dit:
la question est posée, en supposant qu'un pirate puisse se logger a votre place, que peut-il efficacement faire pour sortir de l'argent ?
Cliquez pour agrandir...
La seule attaque réussie dont j'avais entendue parler consistait à accumuler les comptes de gens possédant un accès à la bourse.
Et un jour donné de lancer des ordres massifs d'achats/vente sur une valeur peu échangée, et de profiter de ces fortes variations pour engranger plein de plus-values avec des allers-retours au bon moment (facile de vendre au plus haut/acheter au plus bas quand on maitrise le cours ;) ).

C'est une attaque potentiellement très efficace, mais compliquée à mettre en place.
 
Membre33312 a dit:
C'est une attaque potentiellement très efficace, mais compliquée à mettre en place.
Cliquez pour agrandir...

effectivement, mais bon c'est meme possible que l'AMF puisse suspendre ou annuler des transactions suspectes de ce genre...
mais au moins il y a rupture entre l'accès et l'effet, ce qui garantit l'anonymat.
 
ZRR_pigeon a dit:
quand bien même notre pirate soit patient, espace ses essais, et qu'il arrive a se logger .. que fait-il ? il ajoute son RIB et se fait un virement a lui meme ? la police arrive avant l'argent :shades:

la question est posée, en supposant qu'un pirate puisse se logger a votre place, que peut-il efficacement faire pour sortir de l'argent ?
Cliquez pour agrandir...

[lien réservé abonné]
C'est deja arrivé a des entreprises ...

Je n'ai pas le droit de t'expliquer exactement ce qui s'est passé dans le détails mais les pirates ont été trés loin et les entreprises ne se sont aperçus de la disparations des fonds ... que trop tard.

Par contre la effectivement il s'agit d'equipe de hacker très puissantes et organisé qui pouvaient rapidement récupérer l'argent

Quand on voit les appareils notamment les mobiles qui sont des plus en plus utilisés et leurs failles de sécurités ...

Un article intéressant :
[lien réservé abonné]

Je serai curieux de savoir combien d'entre vous utilise le meme mot de passe partout ... voire quasi partout.
Ca aussi les piratages peuvent se servir des reseaux sociaux, et autres informations pour trouver vos informations de connexion ... voir les hackers sur d'autres sites...

A savoir qu'il existe de nos jours des logiciels du genre Key2Pass, OnePassword, DashLane ... et plein d'autres gestionnaires de mots de passe pour sécuriser vos accès et surtout les diversifier. Pensez y.
En outre ces logiciels sont de plus en plus accessibles au grand public.
 
c'est vrai. moi j'ai acheté cela via un financement participatif (donc moins cher)
[lien réservé abonné]

ca permet d'avoir des mots de passe super fort (impossible a memoriser pour un humain), stocké dans un boitier hardware. login automatique quand tu arrives sur le site, ca tapes a ta place les identifiant/passwords.

le boitier marche avec une carte a puce dont tu rentres le code PN pour pouvoir utiliser, comme une CB. pratique et transportable.
 
Bons plans du moment
Logo BforBank
Compte bancaire : Jusqu'à 230 € offerts + 1 mois gratuit sur BforZEN
Logo Yomoni
Assurance-Vie : 2 000 € offerts + fonds € boosté
Logo Société Générale
Compte bancaire : Jusqu'à 100 € + Sobrio à 1 €/mois la première année
Logo Ramify
Assurance-Vie : Jusqu'à 500 € de frais de gestion offerts
Voir plus d'actualités
Actualités les plus consultées
Agirc-ArrcoRetraite complémentaire Agirc-Arrco : pourquoi la hausse du 3 novembre sera plus élevée que prévu jumellesLivret A, LDDS, LEP : la mauvaise nouvelle se précise pour début 2026 1966 retraite« J'aurai 59 ans en décembre, avec 147 trimestres. Je pourrai partir à 60 ans en retraite progressive ? » Une tirelire dans laquelle une personne met de l'argent.Futur taux du Livret A, congés payés, hausse de la pension Agirc-Arrco : les 3 infos du jeudi 11 septembre richesse épargne 2025De l'assurance vie au Livret A, pourquoi les Français n'ont jamais autant épargné qu'en 2025 Les taux immobiliers sont sous pressionTaux immobilier : une très mauvaise nouvelle pour le coût de votre crédit cette semaine ?
Retour
Haut