Societe Generale
nous dit TF1

a quand des sites bancaires
avec un code qui change
pour chaque transaction, ca limiterait
un peu les risques d'interception du mot de passe, mon ?

comme par exemple UBS Suisse

trallala wrote:
> Societe Generale
> nous dit TF1
>
> a quand des sites bancaires
> avec un code qui change
> pour chaque transaction, ca limiterait
> un peu les risques d'interception du mot de passe, mon ?
>
> comme par exemple UBS Suisse

Bonsoir,

Vous avez mal compris. Ce n'est pas le site de la société Générale qui a été
piraté, mais alors pas du tout. Des petits malins ont exploité une faille du
célèbre navigateur Internet Explorer, qui fait qu'en cliquant sur un lien,
vous tombez sur un site qui est totalement différent du lien que vous voyez
(vite résumé).

Les petits malins ont juste pompé la vitrine du site de la société générale
pour en mettre une copie sur un serveur à eux. Dès lors que les gens
recevant un mail leur demandant de se connecter au site Internet de la
société Générale cliquaient sur le lien fourni dans le mail, les gens
accèdaient donc à un site dont l'adresse semble être celle de la banque et
dont le contenu était identique à celui du vrai site (car copié).

Sauf que lorsque vous entrez vos identifiants et mot de passe sur le faux
site de la SG, vous envoyez purement et simplement vos accès aux pirates.
Ils n'ont plus qu'à se connecter au vrai site de la SG avec les identifiants
que vous leur avez inconsciemment donnés et ont ainsi accès à vos comptes, à
la possibilité de faire des virements, etc.

TF1 cite la SG comme exemple, mais ce ne sont pas les seuls à avoir été
confrontés à de tels soucis. La faute n'est pas du coté de la banque, mais
bel et bien des clients qui utilisent un navigateur présentant des failles
de sécurités importantes.

A+

SB

Sébastien Bourgasser :

> Sauf que lorsque vous entrez vos identifiants et mot de passe sur le
> faux site de la SG, vous envoyez purement et simplement vos accès aux
> pirates. Ils n'ont plus qu'à se connecter au vrai site de la SG avec
> les identifiants que vous leur avez inconsciemment donnés et ont ainsi
> accès à vos comptes, à la possibilité de faire des virements, etc.

Tout à fait. Cette méthode qu'on appelle le "phishing" existe depuis des
années avec tous les sites populaires, eBay, paypal, etc. (Elle est ici
accentuées par la faille de IE.)

Il faudrait que les utilisateurs soient au courant qu'un site ne demande
JAMAIS de venir se reloguer sur leur page.

--
John Deuf

Salut,

On Fri, 20 Aug 2004 00:57:12 +0200, Sébastien Bourgasser
<s.bourgasser.at.pointcom.lu@nospam.org> wrote:

> Sauf que lorsque vous entrez vos identifiants et mot de passe sur le faux
> site de la SG, vous envoyez purement et simplement vos accès aux pirates.
> Ils n'ont plus qu'à se connecter au vrai site de la SG avec les
> identifiants que vous leur avez inconsciemment donnés et ont ainsi accès
> à vos comptes, à la possibilité de faire des virements, etc.

Du classique phishing, donc. Mais comme le disait trallala, c'est
totalement impossible avec une banque sérieuse comme l'UBS. Allez,
histoire de vous faire baver un peu:

* ancienne méthode:
- chaque utilisateur a un numéro de contrat, un mot de de passe, et une
"liste à biffer" avec 100 codes dessus
- à chaque connexion, on tape le contrat, le passe, et le code suivant de
la liste, et on le barre

* nouvelle méthode:
- chaque utilisateur a un numéro de contrat, une carte à puce, un lecteur
de carte à puce et un mot de passe
- à chaque connexion, on tape le contrat. Le site donne un code (challenge)
- on tape son mot de passe sur le lecteur, puis le code
- le lecteur donne une réponse, on le tape sur le site

A la BCV ils utilisaient une méthode similaire à l'ancienne méthode de
l'UBS, mais au lieu de "biffer" les codes, le site donne une ligne et une
colonne et il faut donner le code correspondant de la liste de codes
(fournie sous forme d'une carte plastifiée format carte de crédit). Cette
méthode me paraît nettement moins sure.

Bref, rien à voir avec la pseudo-sécurité des services en ligne des
banques françaises, qui s'en servent souvent comme excuse pour ne pas
proposer tous les services utiles (alors qu'à l'UBS ou à la BCV on peut
faire des virements internationaux en ligne, par exemple).

Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/

avec www.yellownet.ch, le site eBanking de LaPoste suisse, c'est
exactement comme l'ancienne methode UBS (identifiant,PIN,liste a
biffer).
PAr ce service, les tarifs defient toute concurrence (ex. virement
international pour Fr.2.-). On peut de plus, chaque mois, recevoir ses
releves en pdf, ses preuves de paiement en pdf, etc. C'est une
excellente alternative a la solution papier dont on a que faire quand
on s'interesse au vrai "e"Banking. (Ces pdf sont proclames a valeur
juridique par LaPoste.)

Je me demande pourquoi les banques francaises ne proposent pas de
reduire leurs frais si le client accepte cette gestion 100%
electronique (0 papiers en externe, 0 timbre). A ma connaissance seule
banque direct le propose? Covefi et Egg le refusent...

> banque direct le propose? Covefi et Egg le refusent...

Pas de papier chez Egg

vous allez nous peter les couilles longtemps avec vos banques suisses qui
blanchissent de l argent sale à tour de bras ?
Alan

"Jacques Caron" <jc@imfeurope.com> a écrit dans le message de news:
opscz9qgpszscttn@news.free.fr...
> Salut,
>
> On Fri, 20 Aug 2004 00:57:12 +0200, Sébastien Bourgasser
> <s.bourgasser.at.pointcom.lu@nospam.org> wrote:
>
> > Sauf que lorsque vous entrez vos identifiants et mot de passe sur le
faux
> > site de la SG, vous envoyez purement et simplement vos accès aux
pirates.
> > Ils n'ont plus qu'à se connecter au vrai site de la SG avec les
> > identifiants que vous leur avez inconsciemment donnés et ont ainsi accès
> > à vos comptes, à la possibilité de faire des virements, etc.
>
> Du classique phishing, donc. Mais comme le disait trallala, c'est
> totalement impossible avec une banque sérieuse comme l'UBS. Allez,
> histoire de vous faire baver un peu:
>
> * ancienne méthode:
> - chaque utilisateur a un numéro de contrat, un mot de de passe, et une
> "liste à biffer" avec 100 codes dessus
> - à chaque connexion, on tape le contrat, le passe, et le code suivant de
> la liste, et on le barre
>
> * nouvelle méthode:
> - chaque utilisateur a un numéro de contrat, une carte à puce, un lecteur
> de carte à puce et un mot de passe
> - à chaque connexion, on tape le contrat. Le site donne un code
(challenge)
> - on tape son mot de passe sur le lecteur, puis le code
> - le lecteur donne une réponse, on le tape sur le site
>
> A la BCV ils utilisaient une méthode similaire à l'ancienne méthode de
> l'UBS, mais au lieu de "biffer" les codes, le site donne une ligne et une
> colonne et il faut donner le code correspondant de la liste de codes
> (fournie sous forme d'une carte plastifiée format carte de crédit). Cette
> méthode me paraît nettement moins sure.
>
> Bref, rien à voir avec la pseudo-sécurité des services en ligne des
> banques françaises, qui s'en servent souvent comme excuse pour ne pas
> proposer tous les services utiles (alors qu'à l'UBS ou à la BCV on peut
> faire des virements internationaux en ligne, par exemple).
>
> Jacques.
> --
> Interactive Media Factory
> Création, développement et hébergement
> de services interactifs: SMS, SMS+, Audiotel...
> http://www.imfeurope.com/

"EUZ64" <nospamalroll@9online.fr> wrote in message news:<2olo61FbuoirU1@uni-berlin.de>...
> vous allez nous peter les couilles longtemps avec vos banques suisses qui
> blanchissent de l argent sale à tour de bras ?
> Alan

Mon cher Monsieur,

1- ces forums sont francophones. C'est-a-dire pas uniquement
nationalo-francais-de-france.

2- les banques suisses sont aussi francaises:
-credit agricole indosuez,
-credit lyonnais (Suisse) SA,
-BNP (Suisse) SA, etc.

3- hors-sujet: les fonds juifs desherites: ca a existe aussi en
France.

4- pour parer a toute attaque: je suis Francais.

"Jean Marc BRUN" <jean-marc.brun _arobace/at_ tgcp.fr> wrote in message news:<4125a9b6$0$3019$626a14ce@news.free.fr>...
> > banque direct le propose? Covefi et Egg le refusent...
>
> Pas de papier chez Egg

alors la ca m'etonne, je leur avais demande?
et on gagne en echange?

"nop95" <daghe@free.fr> a écrit dans le message de
news:8ea51255.0408200704.77a1eaea@posting.google.c om...
> 4- pour parer a toute attaque: je suis Francais.

C'est bien le problème ...