Livrets Boostés HSBC (jusqu'au 30/04/09)

[Merisier]

En cherchant un peu, j'ai trouvé quelques discussions sur la sécurité et IE7.
Certains disent qu'il n'y a plus de cadenas en bas, et d'autres disent le contraire...

Bref, ci dessous un lien de microsoft (voir le point 4):
[lien réservé abonné]


La différence entre la couleur bleue et verte vient du niveau de cryptage SSL std contre SSL EV
Description du SSLEV avec en prime un test de ton navigateur:
[lien réservé abonné]

Il doit donc falloir charger le certificat, ou déclarer le site parmi les sites de confiance? HSBC exige peut être une connexion SSLEV ???

Une discussion intéressante (surtout le dernier post):
[lien réservé abonné]

Donc IE7 chiant et site chiant = problèmes de connexion.

Bon, avec tout ça on en saura un peu plus sur la sécurité...



EDIT:
Extrait de la FAQ du site de verisign.fr

Pourquoi un navigateur IE7 peut ne pas reconnaître EV ?
Les navigateurs déterminent l’authenticité des certificats SSL en vérifiant si ceux-ci correspondent à une racine SSL valide présente sur la machine client. VeriSign signe chaque certificat SSL EV à l’aide de deux racines : une racine EV et une racine SSL traditionnelle. S’il y a deux racines, tout navigateur sera en mesure d’identifier une racine SSL valide, même les versions les plus anciennes qui ne reconnaissent pas encore EV. IE7 est conçu pour reconnaître Extended Validation, mais peut ne pas s’afficher correctement dans Windows XP parce que la correspondance se fait avec la racine SSL traditionnelle plutôt que la racine EV. Les systèmes Windows XP Internet ne mettent pas automatiquement à jour le magasin de racines. Développé avant l’apparition de la norme EV, le système Windows XP ne dispose pas de la racine EV en local, sauf s’il a été mis à jour manuellement et, puisque le navigateur reconnaît la racine SSL traditionnelle, rien ne déclenche la mise à jour du magasin de racines. La technologie EV Upgrader de VeriSign, intégrée directement au sceau VeriSign Secured®, déclenche cette mise à jour manuelle. Explorer 7 sous Vista est conçu pour mettre automatiquement à jour le magasin de racines une fois par semaine ; il doit donc toujours reconnaître un certificat EV et l’afficher correctement.

Comment VeriSign EV Upgrader™ permet-il à tous les navigateurs IE7 de reconnaître EV ?
La technologie EV Upgrader de VeriSign est intégrée directement au sceau VeriSign Secured®. La première fois qu’un client IE7 tournant sous Windows XP visite un site Web doté d’un sceau VeriSign Secured et d’EV Upgrader, le navigateur va contacter un service de stockage de racines de Microsoft et installer la racine EV de VeriSign de manière transparente. Une fois la racine EV stockée, elle vérifie les certificats SSL EV de VeriSign de tous les sites Web et affiche correctement la barre verte et le nom de la société. La mise à jour se fait en arrière-plan, sans message à l’utilisateur.

 

[bco]

Je viens de tester avec IE 7 : pas de cadenas en bas.

si cela peut aider :
[lien réservé abonné] [lien réservé abonné]

je conseillerais quand meme de faire un essai sur un autre ordinateur ... (bureau, famille, amis...) et avec différents navigateurs ....

 

[xoni318]

Merci pour tout le mal que vous vous donnez.
J'ai testé hier avec un autre PC, sous vista lui (mais IE7 tout autant), et c'est idem.

Me connecter en https, sur différents sites bancaires, je le fais quotidiennement (ou presque), et cela ne m'a jamais posé de problème.

Quand on voit la page affichée par HSBC, il est impossible d'en conclure que le problème vient de chez moi = ils affirment en rouge que cela vient de chez eux....


Dois-je attendre demain lundi (en heures de bureau) pour retester ?

C'est la partie "1ère connexion" qui semble HS. Je l'ai tenté hier samedi pour la première fois vers 14H il me semble, donc HSBC était fermé.

 

[womar59]

Je viens de tester avec IE 7 : pas de cadenas en bas.

....

Confirmation, je suis sous IE7 et Vista, il n'y a pas de cadenas dans la barre d'état......
Par contre un point d'exclamation indique qu'une page ( ou une action )a été bloquée......
Attention sous vista il faut-être administrateur pour modifier les paramètres de sécurité......

BON COURAGE.....

 

[perussonne]

1ère connexion tentée... et réussie hier matin

 

[xoni318]

Bon, mon navigateur est déjà compatible SSL EV, mais je n'ai pas de barre URL verte
Allez comprendre...

"Test SSL/TLS avec un certificat Comodo SGC EV


Parfait, mode SSL activé! Votre navigateur supporte le 128-bit: cette session est en TLSv1 RC4-MD5

Votre navigateur Internet Explorer 7 sous XP a été mis à jour pour être compatible avec les certificats SSL EV (sauf si l'avertissement de blocage de fenêtre de publicité est apparue! Dans ce cas il faut temporairement désactiver cette fonction puis recharger la page)."

Bon, je verrai ça cette nuit, spa triste de se planter derrière un écran le premier WE du printemps

 

[Merisier]

Bco et womar:
Avez vous une barre ou un cadenas verts lorsque vous visualisez la page login de hsbc?

Autrement dit, est ce un pb imputable au site HSBC, incompatible avec IE7?

J'ai validé mon compte hier en fin d'après midi (18h)

 

[Merisier]

Test SSL/TLS avec un certificat Comodo SGC EV
Parfait, mode SSL activé! Votre navigateur supporte le 128-bit: cette session est en TLSv1 RC4-MD5

Pour info j'obtiens:

Test SSL/TLS avec un certificat Comodo SGC EV
Parfait, mode SSL activé! Votre navigateur supporte le 128-bit: cette session est en SSLv3 RC4-MD5

aussi bien avec IE6 ou Firefox
Avec ce dernier, le nom du site est en VERT

 

[bco]

voici ce que j'ai dans la page de login :
[lien réservé abonné]

 

[womar59]

Bco et womar:
Avez vous une barre ou un cadenas verts lorsque vous visualisez la page login de hsbc?

Autrement dit, est ce un pb imputable au site HSBC, incompatible avec IE7?

J'ai validé mon compte hier en fin d'après midi (18h)

Je viens encore de me connecté....
Tout fonctionne très bien pour moi ( IE7 +Vista )....

 

[Merisier]

Merci bco
Donc, si tu as réussi à consulter ton compte CED (je pense), nous avons un cas d'utilisation du site en SSLEV (barres vertes) avec IE7.

Le site n'est donc pas en cause à priori

 

[xoni318]

Bon, je viens d'installer Firefox 3.0.7 sur mon PC sous XP.

Cela permet de voir que la page d'accueil d'HSBC est criptée sous VeriSign Class 3 Extended Validation SSL SGC CA (168 bits)
Dès que l'on passe à la partie du site "1ère connexion", on passe en VeriSign Class 3 Secure Server CA. Et plus de barre verte (normal, ce n'est plus de l'Extended Validation). Cela reste en 168 bits.

Donc, cela semble bien venir du serveur d'HSBC, non ?

Au fait, j'obtiens la même page avec Firefox, à savoir (sous IE) =
[lien réservé abonné]

Bon j'abandonne pour le moment...

Ca c'est encore un coup d'Hamadi pour intercepter nos codes PIN et vider nos comptes [parano inside]

 

[Merisier]

[lien réservé abonné]

Ca donne ça chez moi: même techno, même résultat: barre verte

[lien réservé abonné]

Et chez vous?

 

[xoni318]

Bon, quelques captures d'écran sous FireFox 3.0.7 =

[lien réservé abonné]

[lien réservé abonné]

[lien réservé abonné]

J'ai mis du rouge sur des éléments dont j'ignore la sensibilité, principe de précaution quand on n'y connait pas grand chose en criptage

 

[xoni318]

[lien réservé abonné]

Ca donne ça chez moi: même techno, même résultat: barre verte

[lien réservé abonné]

Et chez vous?

Pareil

 

[Merisier]

Au vu de l'@ www3 il s'agit de la page "1ère connexion" je pense?
Effectivement ma barre n'est pas verte mais bleue.

Image 2:
tout est pareil, sauf la ligne:
Connexion chiffrée: chiffrement de haut niveau (RC4 128 bits)

et non pas xxxx 168 bits !!!!!!

D'ailleurs comment est ce possible vu que le chiffrage à plus de 128b est interdit en France !!!!

Image3: identique

Je suis revenu ensuite sur la page login classique (avec barre verte)
Image2 identique, y compris le chiffrement à 128b
Image 3 différente, car il est fait mention du certificat SSL EV.

 

[xoni318]

Encore merci Merisier pour votre aide.
Malheureusement, rien de nouveau pour moi.

1ère connexion impossible sous =
- XP + IE7
- XP + Firefox 3
- Vista + IE7

Je ne vais quand même pas tester IE8 sorti aujourd'hui ?


Donc je tente en vain depuis 1/2 heure de joindre la hotline 0810003686 (alors que pour l'assitance le site renvoit sur 0810 68 68 68, là ça répond mais on me dit que le CED est vraiment à part et qu'ils ne peuvent rien pour moi).

Faudra que je fasse une capture d'écran de mon compte Free pour voir le nombre de fois où j'ai appelé ce 0810003686 sans aboutir.

Là ça dépasse l'entendement pour moi.

 

[xoni318]

Mail relatant mon problème, avec la capture d'écran et le lien sur cette discussion, envoyé à l'instant.

Je dois quitter, et verrai s'il y a du nouveau cet après-midi.

Cdlt

 

[Merisier]

Xoni, je vous ai envoyé un MP

 

[xoni318]

Xoni, je vous ai envoyé un MP

Merci Merisier, j'ai bien lu, et j'ai entrepris une petite investigation sur le criptage des sites bancaires. Alors voilà =

ING = RC4 128 bits
Monabanq = RC4 128 bits
Banque Populaire du Sud = RC4 128 bits
La Banque Postale = RC4 128 bits
e-cartebleue = RC4 128 bits
HSBC = 3DES-EDE-CBS 168 bits (sur TOUT le site sécurisé)
Caisse d'épargne = AES-256 256 bits
LCL = AES-256 256 bits

Je ne sais pas ce que cela implique.

Sinon, comme demandé, j'ai décoché le TLS 1.0, et cela ne change rien...

Je suis planté. Les bécanes essayés sont des PC personnels, avec des OS genuine (authentique), fr, bref tout ce qu'il y a de plus commun.
De tous les sites bancaires sécurisés que j'ai pu consulter depuis des années, c'est la première fois que je suis planté comme cela, du moins pendant aussi longtemps (il arrive qu'il y ait des maintenances sur les sites bancaires, mais cela ne s'éternise jamais).

Hotline injoignoible faut-il le préciser. Je cherche à vérifier mon identifiant avec eux...
Le fait que je sois le seul ici à avoir ce souci ne me rassure en aucune manière.