Suivez les discussions sur : Twitter Facebook RSS   Inscrivez-vous gratuitement à la newsletter : Newsletters   Utilisez la recherche :
PlanèteMembres  |  Mission

Forums de la communauté des investisseurs heureux

Discussions courtoises et réfléchies sur l’investissement patrimonial pour s’enrichir, générer une rente et atteindre l’indépendance financière

Invitation Vous n'êtes pas identifié : inscrivez-vous pour échanger et participer aux discussions de notre communauté !

#1 02/07/2018 23h30

Membre
Réputation :   34  

Bonjour,

J’aimerais savoir les courtiers actuels sont sécurisés quand on s’y connecte ?

A part un identifiant ou mot de passe à écrire, ont ils des systèmes assez simple pour sécuriser le compte de leur client.

Par exemple, la plupart des banques fonctionnent en ligne avec un mot de passe que l’on n’écrit pas mais où l’on clique sur une pavé numérique virtuel pour rentrer notre mot de passe.

D’autres envoie un code sms pour renseigner un code supplémentaire.

Dans un autre domaine où les hacks de comptes sont fréquent, comme les jeux en réseau style World of Warcraft et Star Wars Old Republics, il existe des authentiticators. Un petit boitier qui a un instant T génère un code qui ne fonctionnera que pour la période où il est utilisé.

Le but est d’éviter qu’un keylogger déniche vos codes.

Cordialement
Zedbum

Mots-clés : courtier, keylogger, sécurité

Hors ligne Hors ligne

 

#2 02/07/2018 23h36

Membre
Top 50 Réputation
Réputation :   505  

Bonsoir Zedbum,

Chez Bourse Direct la connections se fait via identifiant / mot de passe.

Par contre lors d’une première connections via un navigateur, il vous est demandé de renseigner un nom de profil ainsi qu’une phrase de sécurité. Le tout est à valider ensuite via un code envoyé par SMS.

Il n’est donc pas possible de se connecter via un navigateur sur lequel vous n’avez pas activé votre profil.
De plus, la phrase de sécurité, affichée lors de chaque connections, vous permet de vous assurer que vous êtes bien sur le site Bourse Direct.


le Petit Actionnaire - Suivi de mes investissements dans les dividendes et Éducation financière.

Hors ligne Hors ligne

 

#3 02/07/2018 23h46

Membre
Réputation :   38  

Il le propose tous je pense. Enfin j’espère.

Comme Neo45, j’aime bien la façon de Bourse Direct. Mon navigateur efface ses traces après chaque fermeture, ce qui fait que j’ai le droit a un SMS a chaque connexion. Sécurisant.
Sinon j’ai IG qui a créé sa propre application de double authentification. Un genre de Google auhenticator. Sympa aussi, mais un peu contraignante je trouve, au vu de mon utilisation.

Ce qui me permet de rajouter une question a la votre, qui est ma réflexion du moment. Vaut il mieux un mot de passe fort, ou bien un faible combiné d’un double facteur.

Hors ligne Hors ligne

 

#4 03/07/2018 07h50

Membre
Top 100 Réputation
Réputation :   197  

Bonjour,
effectivement les banques ne sont pas toujours en avance sur le plan de la sécurité informatique des moyens de connexion. Le deux-facteurs est rare et quand il existe il est parfois mal fait, les immondes claviers virtuels à cliquer prolifèrent alors qu’ils n’apportent qu’un affaiblissement du mot de passe (contrairement à ce qu’on pourrait croire ça ne protège pas vraiment d’un vol du mot de passe), etc.
La raison est que les clients ne sont pas prêts à supporter les contraintes d’une vraie authentification à deux facteurs. Chez Boursorama on peut activer l’envoi d’un SMS à chaque fois, c’est déjà un bon début.

DeadBull, il vaut mieux un mot de passe fort avec un double facteur. La taille du mot de passe est sans lien avec la présence ou non du double facteur donc la bonne réponse est bien "mot de passe fort" + double facteur.

zedbum, je ne connais pas de banque qui utilise un one-time-password pour la connexion au site. Par contre, c’est utilisé pour valider les virements au moins à la Banque Populaire (par signature avec la carte bleue).

Hors ligne Hors ligne

 

#5 03/07/2018 08h17

Membre
Top 20 Réputation
Réputation :   548  

sven337 a écrit :

La raison est que les clients ne sont pas prêts à supporter les contraintes d’une vraie authentification à deux facteurs.

C’est surtout que le double facteur est en général bien inutile pour un accès à son interface bancaire.

Une attaque brute-force ne se fait pas au travers de l’interface web: l’attaque se bloque en 3 lignes de code (ou presque)
Quant aux keyloggers, ils permettent certes d’accéder à l’interface bancaire, mais tant que c’est ça, le mal est bien restreint: les ajouts de RIB inconnus sont en général sujets au double facteur.

Seul attaque vraisemblable: pour les banques qui ne sécurisent pas davantage l’accès au CTO, il est possible (et ça a déjà été fait) de manipuler massivement le cours de petites capitalisations en achetant en masse en provenance de milliers de comptes piratés, puis en vendant cette valeur (dans le bon ordre…)
Mais l’attaque nécessite des ressources importantes et ne me semble pas arriver bien souvent (comme quoi la sécurité n’est pas si défaillante que ça).

les immondes claviers virtuels à cliquer prolifèrent alors qu’ils n’apportent qu’un affaiblissement du mot de passe

Paradoxalement, la simplicité des mots de passe d’accès aux banques (seulement 6/8 chiffres) est plutôt une amélioration de la sécurité: cela garantit que l’utilisateur n’utilise pas le même mot de passe que celui de devenir-rentier, de facebook ou d’un obscur blog.

je ne connais pas de banque qui utilise un one-time-password pour la connexion au site

Ma banque avait mis ça en place pendant quelques temps… et a du revenir en arrière face à l’insatisfaction des clients.


La vie d'un pessimiste est pavée de bonnes nouvelles…

Hors ligne Hors ligne

 

#6 03/07/2018 08h47

Membre
Top 100 Réputation
Réputation :   197  

Faith a écrit :

C’est surtout que le double facteur est en général bien inutile pour un accès à son interface bancaire.

C’est exagéré. Je ne vais pas en faire un roman parce que je pense que vous pourrez vous documenter mieux que je ne peux expliquer, mais votre affirmation ne tient pas debout, et sa justification non plus.

Faith a écrit :

Une attaque brute-force ne se fait pas au travers de l’interface web: l’attaque se bloque en 3 lignes de code (ou presque)

Un des buts, pas le premier, du double facteur est de protéger du brute-force en cas de vol de le base de données, pas en ligne. L’attaque brute-force fonctionne très bien hors ligne surtout sur des mots de passes un peu faibles. Ce que vous indiquez n’est "même pas faux", mais complètement sans lien avec la question du double facteur.
L’autre utilité est de protéger du vol de mot de passe par un keylogger ou par phishing, choses qui arrivent souvent.
Votre "threat model" n’est pas très sérieux, normal que vous ne voyiez pas l’intérêt du double facteur.

Faith a écrit :

Quant aux keyloggers, ils permettent certes d’accéder à l’interface bancaire, mais tant que c’est ça, le mal est bien restreint: les ajouts de RIB inconnus sont en général sujets au double facteur.

Dans une optique de pure nuisance vous pouvez aussi passer des ordres de bourse (liquider un CTO pour acheter BX4 à la place !), espionner discrètement votre cible pendant des mois, désactiver un virement permanent, passer un virement externe auprès d’un compte déjà référencé, etc.

Faith a écrit :

Paradoxalement, la simplicité des mots de passe d’accès aux banques (seulement 6/8 chiffres) est plutôt une amélioration de la sécurité: cela garantit que l’utilisateur n’utilise pas le même mot de passe que celui de devenir-rentier, de facebook ou d’un obscur blog.

Ça ne garantit absolument pas cela, je pourrais très bien utiliser le même mot de passe à 6/8 chiffres sur plein de sites. Encore que ces sites le refuseraient car il est trop faible… smile
Le seul cas où vous avez cette garantie, c’est si c’est la banque qui génère le mot de passe pour vous mais
1) ça ne requiert pas un clavier virtuel, on pourrait très bien le faire sur un mot de passe classique à 20 caractères ou plus
2) vous vous retrouvez avec la banque qui, à un moment, connaît votre mot de passe en clair, et donc avec tous les risques ça implique en cas d’acteur malveillant à la banque ou de vol de leur base
(Si vous vous posez la question, il y a encore certains sites non bancaires très connus qui stockent les mots de passe en clair de nos jours…)

Ce qui est vrai, par contre, c’est que le risque reste limité tant que les virements externes sont protégés par du multifacteur, et que le mieux est l’ennemi du bien. Si un système est tellement "sécurisé" qu’il en devient inconfortable à utiliser, les utilisateurs vont le contourner (ou s’enfuir). C’est pour cela que c’est bien que le multi-facteur au login soit désactivable pour les clients, comme vous, qui n’en voient pas l’intérêt.  De là à dire que c’est inutile… j’ai une part importante de mon patrimoine chez un seul courtier qui ne propose que l’authentification par mot de passe limitée à 16 caractères, et je ne suis pas du tout à l’aise avec cette situation sur le plan de la sécurité. Vu mon usage de ce courtier (qui n’est pas ma banque principale), un login à 2 facteurs ne serait pas du luxe.

Dernière modification par sven337 (03/07/2018 09h01)

Hors ligne Hors ligne

 

#7 03/07/2018 08h58

Membre
Réputation :   38  

@sven337 Avant que vous ne partiez, pouvez vous nous partager le nom de votre courtier qui n’offre pas de double facteur. C’etait Le but du sujet .

Dernière modification par DeadBull (03/07/2018 08h59)

Hors ligne Hors ligne

 

#8 03/07/2018 09h06

Membre
Top 100 Réputation
Réputation :   197  

Je ne "pars" pas, c’est juste que je ne veux pas passer des heures à expliquer l’intérêt du double-facteur alors que c’est largement documenté.
Le courtier dont je parle est Binck.

De mémoire:
Binck - pas de 2FA (2-factor authentication)
Boursorama - 2FA quand l’appareil de connexion est inconnu et pour référencer un compte externe
Fortunéo - 2FA pour référencer un compte externe (+ délai de 24h)

Et pas vraiment de sécurité supplémentaire sur la partie bourse. On pourrait imaginer un 2FA sur les gros ordres.

Hors ligne Hors ligne

 

#9 03/07/2018 09h37

Membre
Top 50 Réputation
Réputation :   415  

La France est très en retard dans ce domaine, voici des courtiers/banques qui utilisent un système de sécurité via un petit boitier qui génère un code unique ( OTP ) et ce depuis plus de 10 ans :
- Oblis.be ( courtier Belge en actions/obligations )
- les banques Belges, chacune fournissant son propre boitier
- les banques/courtiers Luxembourgeois
- plusieurs banques Anglaises comme Barclays,via un générateur OTP
- Interactive Brokers via sa Digital Security Card+

Hors ligne Hors ligne

 

#10 03/07/2018 09h45

Membre
Top 20 Réputation
Réputation :   548  

sven337 a écrit :

mais votre affirmation ne tient pas debout, et sa justification non plus.

Disons que vous avez suffisamment déformé mon propos pour qu’il ne tienne plus debout.

Dans une optique de pure nuisance

Et ce que vous décrivez arrive… jamais ?

Ça ne garantit absolument pas cela, je pourrais très bien utiliser le même mot de passe à 6/8 chiffres sur plein de sites. Encore que ces sites le refuseraient car il est trop faible… smile

Vous me contredisez en première phrase pour me donner raison en seconde.

De là à dire que c’est inutile… j’ai une part importante de mon patrimoine chez un seul courtier qui ne propose que l’authentification par mot de passe limitée à 16 caractères, et je ne suis pas du tout à l’aise avec cette situation sur le plan de la sécurité. Vu mon usage de ce courtier (qui n’est pas ma banque principale), un login à 2 facteurs ne serait pas du luxe.

J’aime cette conclusion: vous écrivez un post assez argumenté pour décrire les nombreux risques et dangers, à quel point je suis inconscient de le négliger et… vous gardez une part importante de votre patrimoine aussi "peu" protégée, alors que l’offre en 2FA est abondante (au passage, Degiro le propose).

Pardon, mais vos actes montrent que vous jugez en réalité ce risque très faible.

Dernière modification par Faith (03/07/2018 09h46)


La vie d'un pessimiste est pavée de bonnes nouvelles…

Hors ligne Hors ligne

 

#11 03/07/2018 10h42

Membre
Top 20 Réputation
Réputation :   572  

Le risque d’un piratage par force brute est nul. Par contre en obligeant les utilisateurs à avoir des mots de passes soit disant fort avec des tas de contraintes ou en demandant de les modifier périodiquement on les pousse à les laisser enregistrés dans le navigateur.

Le risque de piratage c’est un cheval de Troie qui permet de récupérer tous les identifiants et mots de passe stockés dans les navigateurs puis les teste automatiquement. Pour les sites n’ayant que l’identifiant de stocké le programme peur essayer les mots de passes stockés pour d’autres sites.

Est faille de sécurité tout ce qui reste enregistré dans votre ordinateur. Bien sur on peut récupérer ce que fait un utilisateur à distance, mais pour regarder ce qu’il tape sur un portier il faut quand même un gros travail manuel… Il est infiniment plus simple d’envoyer des millions de mail avec un cheval de Troie qui siphonne tout ce qui est enregistré.

A partir du moment où la connexion oblige à retaper identifiant et mdp la sécurité est suffisante. Mais il faut effectivement mieux avoir des mots de passes uniques pour les sites sensibles.


Le pouvoir doit se définir par la possibilité d'en abuser

Hors ligne Hors ligne

 

#12 03/07/2018 10h59

Administrateur
Top 20 Réputation
Réputation :   2778  

Chez HBSC ou Banque Populaire il y a effectivement un petit boîtier pour recevoir des codes et s’authentifier ou confirmer une opération "importante".

C’est pénible au possible : ça prend des plombes, vous devez emmener les boîtiers en déplacement et ponctuellement il n’a plus de pile et il faut redemander un boîtier à la banque.

Hors ligne Hors ligne

 

#13 03/07/2018 11h17

Membre
Top 50 Réputation
Réputation :   350  

Pour la banque populaire, vous n’êtes pas obligé d’utiliser le boitier pour les virements (il vous suffit de demander de recevoir le code par sms) mais uniquement pour activer de nouveaux bénéficiaires. A moins qu’il n’existe des seuils de virement à partir duquel on doive utiliser le boitier?

Hors ligne Hors ligne

 

#14 03/07/2018 11h22

Membre
Top 50 Réputation
Réputation :   415  

Les boitiers physiques sont de plus en plus remplacés par des e-tokens ou des applications qui génèrent le mot de passe temporaire.

Hors ligne Hors ligne

 

#15 03/07/2018 11h59

Membre
Réputation :   32  

Pour IB, les méthodes de protection dépendent des balances du compte. Par exemple, 500k USD (niveau de la garantie au passage) minimum pour avoir la security card+.

source

Hors ligne Hors ligne

 

#16 03/07/2018 12h30

Membre
Top 50 Réputation
Réputation :   415  

En dessous c’est des cartes en papier avec des codes à utiliser, comme c’était le cas avec le crédit mutuel.

Dernière modification par ZeBonder (03/07/2018 12h33)

Hors ligne Hors ligne

 

#17 03/07/2018 12h35

Membre
Top 20 Réputation
Réputation :   947  

A la Banque Populaire, si l’on n’a pas de boitier, les virements se font avec confirmation d’un code envoyé par sms et l’ajout de bénéficiaire nécessite d’appeler la banque avec son numéro de mobile enregistré pour qu’ils le voient ou sinon ce sont eux qui rappellent le numéro pour valider, pas de validation en ligne sans boitier.
Le plafond quotidien est de 15000€ pour les virements, parfois en 3 fois selon les caisses régionales.

Hors ligne Hors ligne

 

#18 04/07/2018 06h26

Membre
Top 150 Réputation
Réputation :   152  

ZeBonder a écrit :

En dessous c’est des cartes en papier avec des codes à utiliser, comme c’était le cas avec le crédit mutuel.

Ou l’application IBKR Mobile quand même bien plus pratique que la carte papier.


Stay away from negative people. They have a problem for every solution.

Hors ligne Hors ligne

 

#19 04/07/2018 10h48

Membre
Réputation :   68  

Les cartes papiers sur IB c’est terminé. Les nouveaux clients sont basculés sur IBKey. Seul la génération de carte temporaire dans la gestion de compte est encore fonctionnelle !

Hors ligne Hors ligne

 

#20 04/07/2018 12h06

Membre
Top 50 Réputation
Réputation :   415  

Je suis un vieux client old school, j’ai mes cartes en papier que j’utilise encore pour me connecter à IB smile

Dernière modification par ZeBonder (04/07/2018 12h06)

Hors ligne Hors ligne

 

#21 04/07/2018 12h47

Membre
Réputation :   68  

Zebonder, le changement est tout récent (quelques semaines). Tant que vous avez votre carte ça ne devrait pas changer pour vous.

Hors ligne Hors ligne

 

#22 04/07/2018 13h26

Membre
Top 20 Réputation
Réputation :   559  

Bonjour !

Moi aussi, j’ai la carte recto-verso, avec le captcha qui demande deux des codes de la carte.
Perso, j’ai numérisé la carte, converti le tout en caractères, et programmé une moulinette pour simplifier le truc : quand le captcha s’affiche, je n’ai qu’à retaper les deux numéros, mon script retrouve les codes, les colle dans le champ de saisie et valide.


M07

Hors ligne Hors ligne

 

#23 04/07/2018 13h37

Membre
Réputation :   68  

Ou sinon vous avez le protocole sécurisé IB Key, bien plus pratique pour s’authentifier de manière sécurisé.

Hors ligne Hors ligne

 

#24 04/07/2018 13h47

Membre
Réputation :   28  

ZeBonder a écrit :

La France est très en retard dans ce domaine, voici des courtiers/banques qui utilisent un système de sécurité via un petit boitier qui génère un code unique ( OTP ) et ce depuis plus de 10 ans

Ne pas avoir ce boitier n’est pas vraiment un retard car sa gestion est très lourde.
Entre les pertes par les clients, les boitiers à changer car ils se désynchronisent et le fait qu’il faille l’avoir avec soi, il est largement préférable d’avoir des OTP envoyés par SMS

bifidus a écrit :

Le risque de piratage c’est un cheval de Troie qui permet de récupérer tous les identifiants et mots de passe stockés dans les navigateurs puis les teste automatiquement.

Oui pour tout ce qui utilise une authentification à 1 facteur (ie : compte/mot de passe) mais l’aspiration des données d’un ordinateur ne permettra pas l’accès à tout ce qui nécessite une authentification à 2 facteurs (ie : compte/mot de passe ET otp).

Dans ce second cas le virus/cheval de Troie est beaucoup plus complexe et simule l’interface bancaire via le navigateur au moment où l’utilisateur souhaite accéder à sa banque en ligne. Il peut donc modifier les actions de l’utilisateur avant de les transmettre à la banque et aussi les valider (dans le cas d’ajout de RIB par ex) avec l’OTP que l’utilisateur va saisir, ce dernier ne sachant bien évidement pas que ses actions sont modifiées.

Le but de ces virus est essentiellement d’effectuer des virements sur des comptes à l’étranger et les cibles privilégiées sont les TPE. Les particuliers n’ont généralement pas des capacités de virement très élevés et les grandes entreprises utilisent les logiciels pour les virements et non les interfaces bancaires en ligne.

Hors ligne Hors ligne

 

Pied de page des forums

Parrains Faites-vous parrainer
Apprendre le bonheur