Perte de téléphone : comment protéger ses comptes bancaires ?

Chez Crédit Agricole l’accès aux comptes s’effectue par lecture d’empreinte digitale via le smartphone ou par code d’accès via un navigateur et pour le reste le légendaire logiciel KeePass (gratuit et open source) disponible sur tous les OS smartphone, tablet et PC.

https://keepass.info/download.html

Ces solutions basiques ne sont pas inviolables mais c’est déjà un minimum de précaution.

Dernière modification par 1vestisseur (21/02/2023 22h25)

Bonsoir,

Votre téléphone offre 2 fonctions de sécurité essentielles : il doit garantir la confidentialité des données que vous lui confiez et il sert à vous authentifier auprès de différents services.

1) Garantir la confidentialité des données stockées sur le téléphone et son support amovible.
Pas de miracle pour les mesures de sécurité : Vous devez protéger l’accès du téléphone via les fonctions d’authentification. La faiblesse récurrente est le mot de passe faible ou imaginable par ingénierie sociale. (exemple : date de naissance d’un proche)
L’autre mesure de sécurité est le chiffrement des données.

2) Garantir votre authentification
En préventif : la mesure de sécurité pour protéger votre terminal repose sur vos facteurs d’authentification.
En réactif : Suspendez immédiatement la ligne afin que l’attaquant ne puisse pas profiter de votre téléphone pour s’authentifier a votre place.

J’en profite pour rebondir sur l’authentification via portable. Au regard du nombre d’arnaque via l’usurpation du code RIO, des réflexions sont menées, notamment par l’ANSSI pour remplacer ou à minima renforcer la sécurité de ce facteur d’authentification.
Ci joint un article intéressant :https://onewave.io/le-blog/mfa-pourquoi-privilegier-la-securite-materielle-a-lauthentification-mobile/

Bonne journée

Je suis très béotien pour tout çà et limite naïf
Mais en cas de vol, la reconnaissance par empreinte digitale (le Touch ID) pour l’accessibilité du téléphone ne serait pas suffisante ?
Sauf si le voleur prend la carte sim et l’insère dans son téléphone peut-être

Dernière modification par Job (22/02/2023 11h14)

Bonjour,

Nos smartphone récents sont quand même plutôt bien protégés avec toute la partie authentification biométrique et le chiffrement des données, en tout cas ils offrent un niveau de protection largement suffisant pour une utilisation classique comme celle qu’en font la plupart d’entre nous.

Pour moi l’une des vulnérabilités les plus importante du smartphone c’est la carte sim physique (pas certains que le code pin à 4 chiffres soit vraiment robuste même si vous avez pris soins de remplacer celui par défaut soit vraiment une protection suffisante sans compter sur l’ingénierie sociale si le voleur est dans l’entourage plus ou moins proche)  qui pourrait être extrêmement facilement insérée dans un autre téléphone par le voleur et ainsi pouvoir s’authentifier à certains services à l’aide des codes envoyés par SMS.
Mais il faudrait que ce soit dans un cadre bien précis d’un vol ciblée commis par une personne malveillante de l’entourage qui aurait pu récupérer en amont les identifiants et mots de passes des services concernées ça ne concerne pas un vol à l’arraché simple dans la rue.
L’ e-sim est certainement une alternative plus sécurisée que la sim physique concernant ce risque et je pense y passer en partie pour cette raison.

Dernière modification par Munich (22/02/2023 12h37)

Il y a peu je lisais un article sur ce sujet :

Le vol du téléphone d’une Genevoise à Marrakech se transforme en cauchemar bancaire

Evidemment, sur un mobile, on a chrome, android, etc qui stocke des mots de passes dans tous les coins. A priori les mots de passes bancaires ne sont jamais stockés en clair, mais comme il y a aussi les boites mails, ce n’est généralement pas trop difficile à récupérer des accès quand on a mail+portable, et finalement j’ai vraiment des gros doutes sur la protection de tout ces accès.

Bonsoir,

Ce n’est pas évident : les mots de passe ne sont stockés que si vous acceptez cette option ; regardez les paramètres de votre navigateur.
Pour les mails, rien n’oblige non plus à enregistrer l’adresse électronique sur le portable.
Une bonne pratique est d’avoir une adresse électronique dédiée aux services que vous jugez sensibles (banques, administrations…).
Je ne l’ai pas fait, mais simplement rédiger la liste de ce qu’il faut faire en cas de perte ou vol de son portable serait utile.

Bonjour,

Vous pouvez vous renseigner du côté des accès dit "2FA". Parmis ceux-ci, consulter les clefs physiques comme Yubikey de chez Yubico.
Ce système oblige la preuve de la possession d’un objet physique (ici genre de clé USB) pour la connexion aux sites/application web. C’est la meilleur protection rapport facilité d’usage / protection ultime.
Cordialement.

InvestisseurHeureux, le 11/03/2023 a écrit :

Mon expérience, c’est surtout que la modernité vous donne bcp de problèmes supplémentaires à gérer, au lieu de vous simplifier la vie contrairement à ce qui est promis.

Hors sujet. J’ai un vieux souvenir qui me fait toujours sourire et cette remarque m’y a fait repenser. Toute fin des années 1980, le mail est arrivé dans mon université. Je me souviens très bien d’une réunion où un gars nous avait expliqué enthousiasmé qu’avec le mail on allait gagner un temps phénoménal par rapport au courrier postal. Il n’avait juste pas pensé qu’on allait remplacer une dizaine de courriers par semaine, par une petite centaine de mails par jours. Ha oui, on en a gagné du temps !

Plus sérieusement, merci de vos réponses. J’ai fait le tri dans mes mots passes sauvegardés sous chrome, android, viré las raccourci, désinstallé les applis mobiles pour les comptes que je n’ai pas à regarder souvent, etc… C’est bien laborieux ces vérifications.

InvestisseurHeureux, le 11/03/2023 a écrit :

En tout cas il devient de plus en plus impossible de se passer de smartphone.

C’est obligatoire par exemple pour L’identité Numérique permettant d’accéder à divers sites internet gouvernementaux dont le Compte Formation !

Ca s’appelle la sécurité renforcée mais absolument tout passe par le smartphone : bonjour la résilience !

Et ceux qui font le choix de ne pas en avoir n’ont plus qu’à aller se faire voir. C’est le progrès. Merci pour nous…

Oui mais ça c’est largement justifié :
M. Yahiel le chargé de Hollande à la Caisse des Dépots et des Consignation, a fait pour le CPF la même chose que le bluenext avec la fraude TVA sur les quotas CO². Copié collé, meme schéma !

Nombreuses sont les sociétés de "vent", même françaises, une entrepreneuse a été rattrapée pour dispenser de faux cours.. Moi qui suis 100% pro-autodidaxie (et titulaire de diplômes pour "justifier" mon parcours), j’ai jamais compris cet engouement pour les formations.. Mais les aigrefins, eux, si! Et comme, aujourd’hui, le préjudice total est évalué à plus de 13 millions d’euros, la cerise reste que les candidats lésés, titulaires de ces crédits, veulent se voir rembourser par la CDC, au titre de défaut de sécurisation de la procédure, de bout en bout !

luimeme a écrit :

Connaissez vous une banque en ligne qui utilise correctement les clé physique en 2FA ?

Chez Boursorama c’est une vraie blague; il suffit de cliquer sur "je ne l’ai pas" et la connexion repasse sur un PIN… Ils l’utilisent au mieux comme une méthode de connexion secondaire, ce qui n’a que peu de sens.

Certaines banques peuvent proposer le token, je ne sais pas s’il y en a en France
Le Crédit Mutuel peut encore proposer des clés par grille de validation sur papier, pour les réfractaires au numérique

Pour répondre au sujet de base, pour ma part, je suis assez "étanche" à ces risques, avec quelques menues précautions :
a/ Presque aucune application bancaire sur mon tel, si  ce n’est les néobanques pour l’international : revolut, n26, avec des sommes n’excédant jamais les 200€ de dépôts.
b/ Aucun de mes comptes bancaires disposant de conséquente épargne n’est géré par un appareil mobile, c’est tout. Jamais j’investirai avec une application : trop émotionnel, trop d’incitation à "trader", alors qu’investir doit être rationnel.
c/ S’il y a un code sur le téléphone, comme la large majorité des utilisateurs, alors sous android il est impossible (sauf recovery remplacé par twrp?) d’accéder aux données, et le voleur le reformatera. Pour Apple, le code aussi présent empêche toute intrusion, sauf si vous travaillez chez les services secrets ou la police. Mais dans tous les cas, normalement un code permet de bien bloquer les choses. Et même l’export de données syphonnées sous Android, votre appli bancaire exigera toujours un code spécifique à l’application pour interagir avec !

PascalD, le 23/02/2023 a écrit :

Bonjour,

L’actualité très récente nous montre que les communications sont insuffisamment protégées et les socles des téléphones insuffisamment durcis : Ce que l’on sait de l’arnaque à l’IMSI-catcher qui a visé 16 000 smartphones - Les Numériques

Pour voir à quoi ressemble une arnaque bancaire, vue de l’intérieur :