PlanèteMembres  |  Mission   xlsAsset xlsAsset
Cherchez dans nos forums :

Communauté des investisseurs heureux (depuis 2010)

Echanges courtois, réfléchis, sans jugement moral, sur l’investissement patrimonial pour devenir rentier, s'enrichir et l’optimisation de patrimoine

Invitation Vous n'êtes pas identifié : inscrivez-vous pour échanger et participer aux discussions de notre communauté !

Information Nouveau venu dans cette longue discussion ?
Flèche Consultez une sélection des messages les plus réputés en cliquant ici.

#26 29/05/2014 15h57

Membre (2014)
Réputation :   75  

Bonjour

J’ai lu votre lien sur le salt et il précise je cite : Les attaques par force brute en ligne représentent une menace modérée : les systèmes en lignes sont en général conçus pour bloquer les attaques les plus grossières et les temps de latence liés à la connexion distante rendent la durée des tentatives prohibitive.

Certes c’est une menace modérée mais elle existe.Voyez ce logiciel : Thc-hydra-fr - aldeid

De la même façon que pour faire un BF sur une BDD il vous faudra déjà accéder a la dite base donc éventuellement brute-forcer un accès distant.

Ceci dit le brut force est un tout petit morceau de cryptanalyse :http://fr.wikipedia.org/wiki/Cryptanalyse

J’ai parlé du keyloggeur de base évidement il y en a de plus complexe.

J’ai du mal avec le tout Google/Android et le tout Microsoft.Je préfère diversifier

Miguel étant sous mac os il est tranquille.

Au final tout cela va rendre parano le néophyte qui risque de renforcer sa peur sur des faux positifs dus a la multitude de logiciels qu’il va utiliser pour se protéger.

Dans le fond il serai plus simple de définir le profil de l’utilisateur pour pouvoir l’aider a se protéger.


La règle n’est pas absolue, mais il semblerait que plus le niveau de scolarité de votre lecteur est élevé, plus ce dernier accorde de l’importance à l’orthographe. Le lecteur aurait tendance à mesurer l’intelligence de son interlocuteur à son mode d’expression. Méconnaître ce réflexe vous exclura.

Hors ligne Hors ligne

 

#27 29/05/2014 21h43

Membre (2014)
Top 20 Expatriation
Top 20 Obligs/Fonds EUR
Top 10 Invest. Exotiques
Réputation :   141  

Très intéressant tous ces aspects de la sécurité, en particulier les réponses techniques de cet univers foisonnant.

Peut-être d’ailleurs pourra-t-on me répondre sur d’autres pratiques comme celles du spoofing ou du session hijacking selon lesquelles un tiers va prétendre qu’il est vous lorsque vous naviguez sur le net. 

Je m’explique : vous êtes devant votre ordinateur et vous avez ouvert une session avec votre banque ou votre courtier en bourse, vous souhaitez passer un ordre d’achat ou faire un virement. J’imagine que tous les détenteurs d’un portefeuille mobilier de ce forum font cela régulièrement. Vous êtes donc connecté et un tiers malveillant va faire semblant d’être vous ou plutôt un autre ordinateur va faire semblant d’être le vôtre. Donc ce n’est plus vous qui piloterez vos ordres d’achat, de vente ou vos virements mais une tierce personne.

Ma question - aux experts en sécurité - est la suivante : est-ce un scénario possible ?

Une alternative à cela et qui permettra de bien comprendre ma question : vous décidez de passer vos vacances en Colombie et vous y rencontrez des membres des FARC (Fuerzas Armadas Revolucionarias de Colombia) qui vous invitent à rester avec eux. Ils vous assoient devant un ordinateur et vous demandent sous contrainte d’accéder à vos comptes bancaires : ce n’est plus vous qui avez le contrôle mais un tiers, qui pourra faire ce qu’il voudra de vos avoirs.

Dernière modification par sat (29/05/2014 21h58)

Hors ligne Hors ligne

 

#28 29/05/2014 23h19

Membre (2014)
Réputation :   75  

Le Spoofing ou usurpation d’identité est plutôt destiné a l’attaquant qui ne souhaite pas voir dévoiler son IP pour ne pas de faire prendre.

Il peut aussi servir en cas de DDOS car les ordinateurs fonctionnent comme ça :

1.coucou ça va? (j’envoie une requête)
2.Votre ordinateur répond oui ça va et attend une confirmation de livraison du message.
3.Confirmation de livraison.

S’il répond a n’importe qui il n’aura pas de réponses,Si je lui envoie 3 millions de coucou il va vite saturer.

Pour le session hijacking il n’est plus possible de le pratiquer avec les versions récentes HTTP(S)
En plus il faudrait pouvoir se connecter a votre réseau local ce qui suppose d’avoir cracké votre clé WAP/WEP.

Votre lien mentionne un logiciel que j’ai testé a savoir droidsheep qui s’utilise sur un mobile android rooté.Avant la généralisation d’HTTPS ce petit soft était plutôt balaise.

Une video de son fonctionnement : Droidsheep Demo - Hijacking Facebook Sessions from Android - YouTube

Notez que dans ce cas un mot de passe de 1000 caractères n’aurait rien changé.

Si vous êtes otage des FARC expliquez leur bien que vous êtes français et que c’est la crise ils y seront peut être sensible.Blague a part si vous êtes physiquement menacé je ne vois pas de solution sauf a jouer avec votre vie.

Mon frère s’est fait dupliquer sa carte sur Dublin alors qu’il n’y a jamais mis les pieds,un seul retrait de 400euro a suffit a alerter la banque.Elle l’a contacté pour savoir si il était en vacances,il a même pas eu le temps de s’en rendre compte.Reste a espérer que votre banque soit réactive.


La règle n’est pas absolue, mais il semblerait que plus le niveau de scolarité de votre lecteur est élevé, plus ce dernier accorde de l’importance à l’orthographe. Le lecteur aurait tendance à mesurer l’intelligence de son interlocuteur à son mode d’expression. Méconnaître ce réflexe vous exclura.

Hors ligne Hors ligne

 

#29 30/05/2014 13h38

Membre (2014)
Top 20 Expatriation
Top 20 Obligs/Fonds EUR
Top 10 Invest. Exotiques
Réputation :   141  

Merci Mehdi57 pour cette réponse circonstanciée.

J’ai regardé votre vidéo c’est intéressant (ou inquiétant selon son tempérament !). Il y a encore beaucoup (la majorité?) de trafic internet qui n’est pas https (je pense par exemple à Amazon, ebay etc), mais j’imagine que tous les services de paiement en ligne, les banques et autres courtiers sont maintenant sur ce protocole. 

Il y a plein de réseaux locaux qui ne sont pas ou peu protégés et auxquels vous accédez en dehors de chez vous, je pense à Starbucks, cela peut être le café du coin, un restaurant etc.

Pour les banques oui elles sont généralement assez réactives, il m’est même arrivé plusieurs fois de voir ma carte bloquée parce que j’étais en voyage … Si j’ai entendu qu’il était facile de dupliquer un numéro de carte, je ne comprends par contre pas comment un retrait a été possible sur la carte de votre frère. Un paiement j’aurais compris mais un retrait ?

Dernière modification par sat (02/06/2014 13h53)

Hors ligne Hors ligne

 

#30 02/06/2014 02h26

Membre (2014)
Réputation :   75  

Bonsoir,

Les comptes Ebay et Amazon sont bien en HTTPS.
Google force ses recherches en HTTPS.

Bien sur a chaque nouvelle barrière une nouvelle faille.

Quand je parlais de réseau local je parlais de celui de son habitation parce que je n’imagine pas quelqu’un   faire des opérations sensibles en mangeant un mac chicken connecté au wifi du mac do.

Je ne dis pas que ça existe pas.

Le wep/wap ça se crack plutôt facilement et la majorité des box offrent un filtrage par MAC adresse mais qui l’utilise?Les plus peureux désactivent le wifi.

Même avec tout ça si vous avez un "ami" peu scrupuleux a qui vous prêtez votre connexion ça peut être la cata.(faible mais probable)

Pour la carte je ne sais pas comment fonctionnent les banques irlandaises.

Il n’y a pas besoin a proprement parler de dupliquer le numéro de carte car il est fonction de plusieurs paramètres connus et d’un check sum mathématique: Votre numéro de carte bancaire… hasard ou mathématiques ? | codeCB

Comprenez par la qu’avec un générateur,ou en utilisant les premiers chiffres de votre propre carte et en calculant le reste vous pouvez déclencher un retrait ou un paiement qui ne demande pas d’autorisation.Vous n’aurez pas l’autorisation sur un compte qui n’existe pas et risquez de voir la transaction refusée.(cas probable du rejet de la banque du frangin)

Il y même des gens "sympa" prêt a vous vendre directement les cartes que l’on appelle YES CARD:

YesCard ? Wikipédia

Un aperçu dans la recherche google : https://www.google.fr/webhp?sourceid=ch … te+yescard

Vous vous doutez que comme en bourse ceux qui savent se taisent et que la méthode n’est pas vendable.Arnaque garantie.

Le skimming qui consiste a dupliquer votre carte : en rajoutant par dessus la fente pour insérer votre carte un copieur de bande et un faux clavier ou camera qui captera votre code.

Vous pouvez en imaginer toutes les variantes possibles.

Pour vous faire une idée : http://www.skimming.cc/2013/07/we-manuf … vices.html

Bien sur ma tirade n’est en aucun cas un encouragement a l’utilisation du levier du piratage :-)

Dernière modification par mehdi57 (02/06/2014 02h29)


La règle n’est pas absolue, mais il semblerait que plus le niveau de scolarité de votre lecteur est élevé, plus ce dernier accorde de l’importance à l’orthographe. Le lecteur aurait tendance à mesurer l’intelligence de son interlocuteur à son mode d’expression. Méconnaître ce réflexe vous exclura.

Hors ligne Hors ligne

 

#31 02/06/2014 16h59

Membre (2013)
Top 20 SCPI/OPCI
Réputation :   124  

mehdi57 a écrit :

Certes c’est une menace modérée mais elle existe.Voyez ce logiciel : Thc-hydra-fr - aldeid

Cela ne veut pas dire que dans la pratique il fonctionne. Avec 6 lettres uniquement on est déjà à plus de 300 millions de combinaisons. Un site récent ne les acceptera pas. Un vieux site peu sécurisé tombera avec autant de requêtes. Dans tous les cas c’est beaucoup trop long à effectuer et pour un site amateur pas à jour par exemple, il sera bien plus simple d’exploiter une faille documentée de la plateforme.

Le wep/wap ça se crack plutôt facilement et la majorité des box offrent un filtrage par MAC adresse mais qui l’utilise?Les plus peureux désactivent le wifi.

Le WPA vous voulez dire. J’ai peut-être loupé une news mais à ma connaissance le WPA2 AES PSK n’est toujours pas ’crackable’ facilement aujourd’hui. Contrairement au WEP qui est lui ’crackable’ par un adolescent de 15 ans.
Je crois que le filtrage par adresse MAC n’est pas du tout sûr. En effet l’adresse MAC est divulguée en clair sur le réseau et il est très simple de changer une adresse MAC.

Enfin concernant la CB hors-ligne on est un peu hors-sujet.

Dernière modification par NicolasV (02/06/2014 17h01)

Hors ligne Hors ligne

 

#32 02/06/2014 17h51

Membre (2012)
Réputation :   15  

mehdi57 a écrit :

Pour le session hijacking il n’est plus possible de le pratiquer avec les versions récentes HTTP(S)
En plus il faudrait pouvoir se connecter a votre réseau local ce qui suppose d’avoir cracké votre clé WAP/WEP.

Le session hijacking telle qu’expliquée par sat s’appelle plus cummunement "man in the middle" ou homme du milieu:
Attaque de l’homme du milieu ? Wikipédia

par contre, à ma connaissance les versions récente d’HTTPS ne protège pas contre cette attaque car l’attaquant oeuvrera avant l’échange des clés d’encryption en se faisant passer pour le site que l’utilisateur désire atteindre.

L’attaque porte plus sur le deroutement du traffic vers l’attaquant plutôt qu’une quelconque faille https. Cela pourrait être fait par du arp spoofing, un DNS compromis, … La seule alerte pourrait être un pb de certificats SSL qui n’est pas valide ou certifié correctement.

Hors ligne Hors ligne

 

#33 03/06/2014 17h35

Membre (2014)
Réputation :   0  

Miguel a écrit :

Un sujet d’actualité.
La Sécurité sur Internet, quels logiels utilisez vous pour vous protéger?

Bonjour,

Les temps sont durs avec la cybercriminalité mais évidemment, il faut que tu optes pour un bon antivirus et surtout une bonne protection contre les usurpations d’identité. A cet effet, tu a le choix entre les gestionnaires de mot de passe mais moi j’ai choisi Lastpass pour tout sécuriser.

Dernière modification par bendy8 (03/06/2014 17h36)

Hors ligne Hors ligne

 

#34 04/06/2014 01h46

Membre (2014)
Réputation :   75  

Les WordPress ont été attaqués par brute force il y a a peu près un an par une armée de PC zombie.
Ce qui me fait penser que l’union fait la force.
Le but en général n’est pas de voler des informations , comme vous le dites on bruteforcera plus facilement un site plutôt faible/compte amateur qui ne dispose de rien de volable ou rançonnable.
Par contre si on peut augmenter sa part de PC zombies par des zombies avec accès serveur on augmente fortement son potentiel d’attaque d’un grand groupe.
Modérée n’est sans doute pas le bon mot disons cas rare tendant a disparaître.

En hors ligne(local) par contre une bonne carte graphique (ça calcule plus vite qu’un cpu)
sera capable de faire 1 milliard d’opérations a la seconde.

Vos 300 millions de combinaisons ne vont pas aller loin.

Oui je voulais parler de WPA et pas de WAP , le WPA2/PSK se crack aussi et pour l’instant seul Microsoft a craqué l’AES.

Vous avez raison je poste tard et je n’ai pas pensé a la MAC adresse a vrai dire j’ai aussi des murs épais qui me dispense de protection sur mon réseau sans fil.

En 2010 un gars se faisait payer pour craquer un WPA avec la mac adresse garantie en moins d’une heure.(- de 150 millions de combinaisons pour trouver la clé)

Nous avions compris que SAT parlait d’ARP spoofing qui fait partie de l’attaque de l’homme du milieu qui consiste a s’incruster sur un réseau local pour intercepter des données.

Si vous interceptez de l’HTTPS vous allez devoir le déchiffrer pour l’exploiter .Ça n’est pas impossible.
Se faire passer pour le site a atteindre c’est du fishing ou de l’usurpation de DNS et il n’y a pas besoin d’être au milieu pour récupérer les infos.

Vous oubliez dans vos scénarios celui d’un vol pur et simple des certificats qui seraient totalement valides.

Pas la peine d’aller aussi loin en tant que particulier.

Encore un petit logiciel : hijackthis Télécharger HijackThis pour Windows : téléchargement gratuit !
pour windows


La règle n’est pas absolue, mais il semblerait que plus le niveau de scolarité de votre lecteur est élevé, plus ce dernier accorde de l’importance à l’orthographe. Le lecteur aurait tendance à mesurer l’intelligence de son interlocuteur à son mode d’expression. Méconnaître ce réflexe vous exclura.

Hors ligne Hors ligne

 

#35 04/06/2014 08h13

Membre (2012)
Réputation :   15  

mehdi57 a écrit :

Si vous interceptez de l’HTTPS vous allez devoir le déchiffrer pour l’exploiter .Ça n’est pas impossible.
Se faire passer pour le site a atteindre c’est du fishing ou de l’usurpation de DNS et il n’y a pas besoin d’être au milieu pour récupérer les infos.

Je ne suis pas d’accord, pas besoin de déchiffrer le SSL. Dans le man in the middle, le SSL fonctionne correctement, simplement l’échange des clé d’encryption ne se fait pas avec la bonne machine. Il y a un tunnel ssl entre la machine client et l’attaquant, et un 2eme tunnel ssl entre l’attaquant et la machine de destination (banque, …)

Hors ligne Hors ligne

 

#36 06/08/2014 22h56

Membre (2012)
Top 10 Portefeuille
Top 5 Expatriation
Top 20 Actions/Bourse
Top 20 Banque/Fiscalité
Réputation :   802  

Des pirates informatiques russes auraient volé plus d’un milliard de mots de passe.  Le Monde

le Monde a écrit :

Des intrusions venues de Russie

Cette intrusion, qui pourrait être la plus vaste jamais opérée, est partie d’un groupe de pirates installés en Russie, quelque part entre le Kazakhstan et la Mongolie. Selon le Times, les pirates, des hommes âgés d’une vingtaine d’années, ne seraient pas plus d’une douzaine. « Même si le groupe de pirates n’a pas de nom, nous l’avons surnommé ’CyberVor’, ’Vor’ signifiant ’voleur’ en russe », a précisé Hold Security, qui a donné ces informations au terme de sept mois de recherches.

1,2 milliard de mots de passe volés par des hackers russes
le Nouvel Obs.

420.000 sites web, qui vont des plus grandes enseignes au plus petit site, ont été touchés. Les pirates ont réussi à avoir accès à quelque 500 millions de comptes e-mail.

http://www.iphon.fr/post/iPhone-5S-et-Touch-ID[url=]MAJ : Apple apporte des précisions - Touch ID : plongée dans les entrailles du capteur d’empreintes de l’iPhone 5S[/url]

Côté configuration, il suffira d’apposer plusieurs fois d’affilée son doigt sur le capteur pour que celui-ci puisse le reconnaitre sous n’importe quel angle. Voici une vidéo qui permet de découvrir cette procédure de configuration qu’Apple a voulue la plus simple possible, qui prend environ une minute et n’est faite qu’une seule fois (par doigt à émoriser, sachant que 5 peuvent l’être)

Enfin, il faut savoir que plus Touch ID sera utilisé et plus il deviendra fin. En d’autres termes Touch ID s’améliore avec le temps !

1.2 billion passwordes have been hacked CNN vidéo


'Experience is what you get when you leave the forum Devenir rentier

Hors ligne Hors ligne

 

#37 18/09/2014 00h23

Membre (2014)
Réputation :   59  

Ma technique personnelle:
- j’ai une base de mot de passe complexe que je change une fois par an. Il y a des majuscule, minuscule, chiffre. et un caractère spécial.
- ce mot de passe est différent sur chaque site internet, un caractère change. Biensûr, deux bien identifié peuvent changer. Je suis le seul à savoir lequel et quel est la regle à appliquée. Par exemple sur fortuneo une des lettres sera remplacé par un "f". Ou par exemple par la lettre suivante, par un "g".
- le webmail étant extremement sensible (gmail), il a son mot de passe particulier.

Ainsi, pas de probleme de devoir se rappeler de tel vieux mot de passe sur un service utilisé il y a longtemps (sauf si utiliser depuis plus d’un an).

Attention pour le HTTPS, il y a les certificats qui sont bcp plus difficiles à contrefaire, et donc quelqu’un qui intercepte un flux HTTPS ne peut se faire passer pour votre banque, car il ne pourra contrefaire le certificat de la banque (déposé sur verisign par exemple). Donc sur internet, il n’y a quasiment aucun risque de man in the middle hormis par les services gouvenementaux qui peuvent également contrefaire le DNS du serveur de certificat (je crois avoir lu que la NSA l’a déjà fait, et les services chinois doivent le faire régulièrement)

Hors ligne Hors ligne

 

#38 18/09/2014 00h43

Membre (2013)
Top 20 Année 2022
Top 20 Actions/Bourse
Réputation :   413  

Pas mal de fraude est aussi faite par ingénierie sociale

Avoir des questions de sécurité qu’un recoupement réseaux sociaux + Google permet de répondre est un bon moyen de se faire voler ses infos (première école, date de naissance du père, première voiture etc)

Penser aussi à la mitigation car on ne peut pas avoir un risque zéro, surtout avec les hackeurs récemment. Avez vous des limites journalières sur votre carte bancaire? combien avez vous sur le compte courant? Vaut mieux se faire tirer 1000 que 20000.

Hors ligne Hors ligne

 

#39 13/12/2015 10h36

Membre (2011)
Top 10 Expatriation
Réputation :   94  

Les Echos attirent l’attention ce matin sur l’ordinateur quantique de Google qui est apparemment opérationnel (Les Echos - Google présente son ordinateur quantique).

Pour ceux qui ont vu des VAX ou mainframes IBM il y a 25 ans la machine n’a rien d’énorme, son arrivée dans les mauvaises mains n’est qu’une question de temps (sans parler de la NSA qui l’utilise surement déja légalement). Aucun des outils de sécurité actuels sur internet ne devrait être de taille a lui résister :

Porte-parole de la NSA a écrit :

“It is now clear that current Internet security measures and the cryptography behind them will not withstand the new computational capabilities that quantum computers will bring”

(source).

J’avoue qu’en tant qu’utilisateur intensif d’internet pour ma gestion financiere l’arrivée aussi précoce de cette capacité, qu’on annoncait pour dans 5-20 ans, me perturbe. Que pensez-vous de ce risque ?

Edit: description technique de la bestiole parce que ce genre de techno, c’est quand même magique smile

Dernière modification par kmo (13/12/2015 10h39)

Hors ligne Hors ligne

 

#40 13/12/2015 11h27

Membre (2010)
Réputation :   124  

Les ordinateurs quantiques en sont à leurs débuts. Pour l’instant ils ne sont optimisés que pour des tâches très particulières et certains problèmes mathématiques comme celui du voyageur de commerce.

Le problème du voyageur de commerce trouve des applications pratique dans la gestion de bases de données, mais on est encore loin de casser une clé de chiffrement de 2048 bits.

La société D-Wave est d’ailleurs assez controversée, quand aux annonces et au "marketing" qu’elle pratique. Je pense d’ailleurs qu’il s’agit là d’une opération de communication, aussi bien pour Google que pour D-Wave. Il ne serait d’ailleurs pas surprenant, les connaissant, que Google ait une participation au capital de D-Wave.

Pour ce qui est de la sécurité des transactions financières, il y a deux éléments à intercepter :

- le flux brut, c’est à dire celui qui est établi entre la machine de l’utilisateur et le serveur auquel il transmet ses instructions ; ce flux passe par les fournisseurs d’accès respectifs des deux entités (des sociétés privées la plupart du temps) ;

- le contenu lui-même, chiffré.

Pour intercepter un flux, l’infrastructure d’un des deux fournisseurs d’accès doit être prévue pour. Vu les volumes traités sur Internet aujourd’hui, les équipements nécessaires coûtent cher à acheter, à installer et à maintenir. Enfin, quand bien même ce serait fait, il faut ensuite être "dans l’instant", c’est à dire au moment où la communication a lieu. Contrairement à une idée reçue, aucun flux n’est stocké par les fournisseurs d’accès, cela représenterait bien trop de volume. Même les métadonnées ne peuvent pas être stockées. Non, votre fournisseur d’accès n’a pas la liste des sites Internet coquins que vous avez visités…

Après il resterait encore à déchiffrer.

Comme cela a été dit plus haut, les plus gros problèmes de sécurité aujourd’hui sont liés à l’utilisateur. Soit il y a des mots de passe trop faibles, ou alors des informations de type "nom de votre école primaire" sont facilement obtenues (cf. le fameux piratage des comptes Apple des célébrités récemment). Sans parler du nombre de logiciels espions qui traînent sur les machines des gens, installés par eux-mêmes en cliquant sur des liens douteux.

Hors ligne Hors ligne

 

#41 13/12/2015 12h12

Membre (2011)
Top 10 Expatriation
Réputation :   94  

Tout à fait. Mon inquiétude est plus que la principale couche de sécurité sur laquelle je compte devient vulnérable, et que la sécurité des flux est toute relative des lors que je n’ai pas vraiment travaillé sur l’ensemble de mon réseau privé (ordinateur de ma femme, routeur chinois de mon FAI avec peut-etre une backdoor comme celle trouvée chez D-Link jadis, et dans le futur objets connectés mal sécurisés).

Pour l’adéquation des ordinateurs quantiques au décodage des systemes basés sur les factorisations d’entiers, les algorithmes nécessaires existent apparemment depuis 1995-96, cf https://fr.wikipedia.org/wiki/Algorithme_de_Shor. C’est l’existence aujourd’hui d’une puce a 1024 qbits qui m’a étonné, elle doit suffire pour des clés de 512 bits (pas 2048 bits certainement, mais ca peut aller vite).

Edit: un article de sciencemettant en doute "l’accélération quantique" des machines D-Wave.

Dernière modification par kmo (13/12/2015 12h21)

Hors ligne Hors ligne

 

#42 13/12/2015 13h49

Membre (2014)
Réputation :   59  

Vous savez que la NSA stock et tous les flux brutes des transactions Https qui leur passent dans leur main, pour éventuellement les casser quand la technologie sera prête. Et si l’ordinateur quantique est possible, ils l’ont sans aucun doute et retarderont le plus possible l’information comme quoi ils sont en sa possession. Par contre la question est de casser en live les clés qui se pose.
Certains projets libres n’acceptent plus les connections automatiques à leur serveur reposant sur une clé rsa, sans doute en préparation de sa future vulnérabilité face à l’ordinateur quantique.

Hors ligne Hors ligne

 

#43 13/12/2015 16h44

Membre (2012)
Top 20 Actions/Bourse
Top 20 Monétaire
Top 20 Invest. Exotiques
Top 10 Entreprendre
Top 20 Banque/Fiscalité
Réputation :   606  

Stibbons a écrit :

Vous savez que la NSA stock et tous les flux brutes des transactions Https qui leur passent dans leur main, pour éventuellement les casser quand la technologie sera prête.

C’est à priori déjà le cas pour une large majorité des connections vpn / https / ssh actuelles, voir ce papier récent d’une douzaine de chercheurs en cryptographie et sa vulgarisation par ses auteurs ici. Extraits importants :

There have been rumors for years that the NSA can decrypt a significant fraction of encrypted Internet traffic. In 2012, James Bamford published an article quoting anonymous former NSA officials stating that the agency had achieved a “computing breakthrough” that gave them “the ability to crack current public encryption.” The Snowden documents also hint at some extraordinary capabilities: they show that NSA has built extensive infrastructure to intercept and decrypt VPN traffic and suggest that the agency can decrypt at least some HTTPS and SSH connections on demand.

However, the documents do not explain how these breakthroughs work, and speculation about possible backdoors or broken algorithms has been rampant in the technical community. Yesterday at ACM CCS, one of the leading security research venues, we and twelve coauthors presented a paper that we think solves this technical mystery.

[…]

Here’s what’s wrong: If a client and server are speaking Diffie-Hellman [a cornerstone of modern cryptography used for VPNs, HTTPS websites, email, and many other protocols], they first need to agree on a large prime number with a particular form. There seemed to be no reason why everyone couldn’t just use the same prime, and, in fact, many applications tend to use standardized or hard-coded primes. But there was a very important detail that got lost in translation between the mathematicians and the practitioners: an adversary can perform a single enormous computation to “crack” a particular prime, then easily break any individual connection that uses that prime.

[…]

Breaking a single, common 1024-bit prime would allow NSA to passively decrypt connections to two-thirds of VPNs and a quarter of all SSH servers globally.

Breaking a second 1024-bit prime would allow passive eavesdropping on connections to nearly 20% of the top million HTTPS websites.

In other words, a one-time investment in massive computation would make it possible to eavesdrop on trillions of encrypted connections. NSA could afford such an investment.

Dernière modification par Geronimo (13/12/2015 16h56)

En ligne En ligne

 

#44 15/12/2015 11h58

Membre (2015)
Réputation :   31  

sat a écrit :

Je m’explique : vous êtes devant votre ordinateur et vous avez ouvert une session avec votre banque ou votre courtier en bourse, vous souhaitez passer un ordre d’achat ou faire un virement. J’imagine que tous les détenteurs d’un portefeuille mobilier de ce forum font cela régulièrement. Vous êtes donc connecté et un tiers malveillant va faire semblant d’être vous ou plutôt un autre ordinateur va faire semblant d’être le vôtre. Donc ce n’est plus vous qui piloterez vos ordres d’achat, de vente ou vos virements mais une tierce personne.

Ma question - aux experts en sécurité - est la suivante : est-ce un scénario possible ?

Oui ce scénario est possible et a déjà été utilisé.
Je me permet de répondre même si le message date car je connais le sujet et cela peut servir à tous de connaitre le mécanisme pour éviter de se faire piéger.

Voici la description de l’attaque :

1 - L’attaquant fait une campagne massive de SPAM à destination de la population en générale.
Les SPAM du genre « coupure de l’accès internet », « coupure de l’électricité » fonctionnent très bien. Certaines personnes ont peur, ne réfléchissent pas et cliquent sur tout et n’importe quoi.
Le but est que la victime clique sur un lien contenu dans le SPAM, ce lien l’amènera à télécharger un fichier. Le fichier peut être aussi directement dans le SPAM en tant que pièce jointe.
Ce fichier peut être un PDF corrompu (si une faille récente existe sur PDF), un fichier Word avec un macro,……

2 – La victime clique sur le lien contenu dans le SPAM ou ouvre la pièce jointe du SPAM, le virus s’exécute.
Il s’agit d’un downloader qui va aller télécharger sur internet une version récente du malware (liste à jours des adresses web des banque) à l’insu bien évidement de la victime.
Ce téléchargement ne se fait pas directement sur un site web, il se fait via peer to peer (comme le téléchargement via « Emule »). Chaque PC infecté étant un nœud de ce réseau peer to peer

3 – Le malware infecte beaucoup de processus du système d’exploitation dont celui du navigateur internet.
Précisément il réalise des injections HTML, javascript dans le navigateur, le but étant de simuler en locale la page web de la banque, la victime ne le voit pas car il n’y a aucune différence avec la véritable page web de la banque.

4 – La victime décide ensuite de se connecter à sa banque en ligne pour consulter ses comptes (cela peut se faire des jours après l’infection)
L’utilisateur tape l’adresse web de sa banque ou clique sur le lien de sa banque via Google et arrive sur la page simulée par le malware.

5 - La victime rentre sont login/password puis arrive sur une page l’informant que pour des raisons de sécurité il doit rentrer le code confidentiel qu’il vient de recevoir sur son tel portable. Tout cela est l’œuvre du malware.

6 – Après avoir rentré son code confidentiel, l’utilisateur est ensuite renvoyé vers une page l’informant que le site en maintenance.

7 – Pendant que la victime était à l’étape 5, le malware a récupéré les login/password de ce dernier et s’est connecté à la banque en ligne.

8 – Le malware a ensuite ajouté un nouveau compte (IBAN) dans la liste des comptes vers lesquels les virements peuvent être fait.
Cette étape nécessite une validation par code confidentiel envoyé par SMS, code que la victime fournira au malware à son insu à l’étape 6.

9 – Le malware fait le virement vers le compte fraichement ajouté.
Le destinataire du virement est une « mule » situé à l’étranger dans un pays où la coopération bancaire n’est pas facile. Le retour de l’argent n’est pas garanti….

Les vulnérabilités qui permettent à l’attaque de se produire sont un défaut de mise à jour du PC de la victime et SURTOUT un manque de vigilance de la part de la victime (on ne clique pas sur les liens et pièces jointes contenu dans des email douteux).
En espérant que ce message contribue à réduire la seconde vulnérabilité

Hors ligne Hors ligne

 

#45 15/12/2015 12h20

Membre (2012)
Top 10 Expatriation
Top 5 Obligs/Fonds EUR
Top 20 Invest. Exotiques
Top 20 Entreprendre
Top 20 Banque/Fiscalité
Réputation :   417  

Tout est question d’enjeux, un brouteur du Bénin utilisera un spam, un faux email ou un faux site web pour extorquer quelques centaines d’euros via western union.
Un gang de hackers Russes/Ukrainiens utilisera un malware, un faux DNS pour rafler la mise.

Quant à la NSA, elle a sans doute les moyens techniques de briser n’importe quel algorithme ou clé de cryptage ou du moins le moyen de le contourner le cas échéant.

Hors ligne Hors ligne

 

#46 16/12/2015 00h30

Membre (2014)
Réputation :   59  

Pardon

banyuls a écrit :

1 - L’attaquant fait une campagne massive de SPAM à destination de la population en générale.
Les SPAM du genre « coupure de l’accès internet », « coupure de l’électricité » fonctionnent très bien. Certaines personnes ont peur, ne réfléchissent pas et cliquent sur tout et n’importe quoi.
Le but est que la victime clique sur un lien contenu dans le SPAM, ce lien l’amènera à télécharger un fichier. Le fichier peut être aussi directement dans le SPAM en tant que pièce jointe.
Ce fichier peut être un PDF corrompu (si une faille récente existe sur PDF), un fichier Word avec un macro,……

2 – La victime clique sur le lien contenu dans le SPAM ou ouvre la pièce jointe du SPAM, le virus s’exécute.
Il s’agit d’un downloader qui va aller télécharger sur internet une version récente du malware (liste à jours des adresses web des banque) à l’insu bien évidement de la victime.
Ce téléchargement ne se fait pas directement sur un site web, il se fait via peer to peer (comme le téléchargement via « Emule »). Chaque PC infecté étant un nœud de ce réseau peer to peer

3 – Le malware infecte beaucoup de processus du système d’exploitation dont celui du navigateur internet.
Précisément il réalise des injections HTML, javascript dans le navigateur, le but étant de simuler en locale la page web de la banque, la victime ne le voit pas car il n’y a aucune différence avec la véritable page web de la banque.

Et comment sait-il l’adresse de ma banque, qui en france est bien souvent régionale? Et comment fait-il pour recréer exactement la même interface web, interface qu’il a dû déveloper en centaines pour simuler toutes les banques

banyuls a écrit :

4 – La victime décide ensuite de se connecter à sa banque en ligne pour consulter ses comptes (cela peut se faire des jours après l’infection)
L’utilisateur tape l’adresse web de sa banque ou clique sur le lien de sa banque via Google et arrive sur la page simulée par le malware.

5 - La victime rentre sont login/password puis arrive sur une page l’informant que pour des raisons de sécurité il doit rentrer le code confidentiel qu’il vient de recevoir sur son tel portable. Tout cela est l’œuvre du malware.

1) et comment il connait le numéro de téléphone ? Il n’est pas sur le site internet, précisement pour éviter ce genre de probleme.
2) Les sites banquaire n’utilisent plus de login/password, mais un systeme où il faut cliquer pour sélectionner ses chiffres, sur un clavier virtuel dont la disposition change.

Bref, j’ai l’impression que vous décrivez une attaque nécessitant de connaitre beaucoup d’information sur la victime, on est loin de l’attaque beninoise de base.

Hors ligne Hors ligne

 

#47 16/12/2015 01h53

Modérateur (2010)
Top 10 Année 2023
Top 10 Année 2022
Top 20 Dvpt perso.
Top 10 Expatriation
Top 5 Vivre rentier
Top 20 Actions/Bourse
Top 10 Obligs/Fonds EUR
Top 5 Monétaire
Top 5 Invest. Exotiques
Top 20 Crypto-actifs
Top 10 Entreprendre
Top 5 Finance/Économie
Top 5 Banque/Fiscalité
Top 5 SIIC/REIT
Top 5 SCPI/OPCI
Top 5 Immobilier locatif
Réputation :   2805  

Le type d’attaque décrit par banyuls me semble très plausible…. d’autant que j’ai constaté que plusieurs banques ont décidé d’introduire un délai de 24h ou 48h entre l’ajout d’un compte externe vers lequel un virement peut être effectué, et le moment où un premier virement vers ce compte est activable (soit une contre-mesure qui empêche le brouteur de faire son virement, mais qui introduit une gêne importante pour les clients non infectés).

J’imagine que ce n’est pas le seul mode opératoire utilisé pour récupérer des virements non désirés par les clients.


J'écris comme "membre" du forum, sauf mention contraire. (parrain Fortuneo: 12356125)

Hors ligne Hors ligne

 

#48 16/12/2015 02h22

Membre (2014)
Réputation :   75  

Bonsoir,

Malheureusement j’ai bien peur que même en mettant le paquet niveau sécurité nous ayons toujours quelques trains de retard sur les pirates.

Je colle la conclusion du bulletin de Kaspersky sur la sécurité en 2015: 

viruslist a écrit :

L’analyse des statistiques permet de dégager les grandes tendances au niveau du développement de l’activité des cybercriminels :

Une partie des personnes impliquées dans des activités cybercriminelles tente de réduire le risque de poursuites judiciaires et abandonne les attaques à l’aide de malwares au profil d’une diffusion agressive de logiciels publicitaires.
La part des programmes simples utilisés dans des attaques massives augmente. Cette démarche permet aux individus malintentionnés d’actualiser rapidement le malware, ce qui contribue à l’efficacité de l’attaque.
Les individus malintentionnés ont conquis les plateformes non-Windows comme Android et Linux : presque tous les types de malwares existent pour ces platerformes et ils sont activement utilisés.
Dans le cadre de leurs opérations, les cybercriminels adoptent les technologies modernes qui contribuent à l’anonymat : Tor pour cacher les serveurs de commande et les bitcoins pour réaliser les transactions.
Une part de plus en plus importante des déclenchements de l’antivirus est imputable aux programmes de la « zone grise » : il s’agit principalement de différents logiciels publicitaires et de leurs modules. Dans notre Top 20 des menaces via Internet pour 2015, les représentants de cette catégorie de programmes occupent 12 places. Tout au long de l’année, les logiciels publicitaires et leur composants ont été enregistrés sur 26,1 % de l’ensemble des ordinateurs des utilisateurs où notre antivirus s’est déclenché. L’augmentation du nombre de logiciels publicitaires, les méthodes agressives utilisées pour les diffuser et leur résistance à la détection par les logiciels antivirus sont des tendances qui avaient déjà été observées en 2014. La diffusion de tels programmes peut rapporter beaucoup d’argent et leurs auteurs, dans la course aux revenus, utilisent parfois des astuces et des techniques propres aux malwares.

La popularité des codes d’exploitation pour Adobe Flash Player parmi les auteurs de virus a augmenté en 2015. Et d’après nos observations, ces pages avec codes d’exploitation chargent le plus souvent des codes d’exploitation pour Adobe Flash Player. Deux raisons peuvent expliquer cela. Tout d’abord, un nombre important de vulnérabilités a été détecté dans ce produit tout au long de l’année. Deuxièmement, suite à la fuite de données dont Hacking Team fut victime, des informations relatives à des vulnérabilités inconnues dans Flash Player ont été dévoilées au public et les individus malintentionnés en ont profité.

Une modification intéressante est survenue parmi les Trojans bancaires. Les innombrables modifications du Trojan ZeuS qui ont occupé la tête du classement pendant de nombreuses années ont été remplacées par le malware Trojan-Banker.Win32.Dyreza. Au cours de l’année 2015, le classement des malwares développés pour voler de l’argent via les systèmes de banques électroniques a été dominé par Upatre qui téléchargeait sur l’ordinateur des victimes des Trojans bankers de la famille connue sous le nom Dyre/Dyzap/Dyreza. Parmi toutes les menaces bancaires, la part d’utilisateurs attaqués par Dyreza a atteint plus de 40 %. Ce malware bancaire utilise un mode efficace d’injections Web dans le but de voler les données d’accès au système de banque électronique.

Signalons également que deux familles complètes de Trojans bancaires pour appareils mobiles, à savoir Faketoken et Marcher, figurent dans le Top 10 des malwares bancaires pour 2015. Sur la base de ces tendances, nous pouvons supposer que l’année prochaine, les malwares bancaires pour appareils mobiles occuperont un pourcentage plus important de notre classement.

L’année 2015 aura également l’année du changement parmi les Trojans ransomwares :

1. Alors que la popularité des malwares de blocage chute progressivement, le nombre d’utilisateurs attaqués par des malwares de chiffrement a augmenté quant à lui de 48,3 % en un an. Le chiffrement des fichiers au lieu du simple blocage de l’ordinateur est une méthode qui, dans la majorité des cas, ne permet pas à la victime de récupérer facilement l’accès à l’information. Les individus malintentionnés utilisent beaucoup les malwares de chiffrement dans le cadre d’attaques contre des utilisateurs professionnels qui sont plus souvent disposés à payer la rançon que les utilisateurs particuliers. L’apparition en 2015 du premier Trojan de chiffrement pour Linux visant les serveurs Web confirme ce phénomène.
Les malwares de chiffrement comptent souvent plusieurs modules et outre la fonction de chiffrement, ils sont également dotés d’une fonction du vol de données sur les ordinateurs.
Si Linux vient à peine de tomber dans le collimateur des individus malintentionnés, le premier Trojan ransomware pour Android a été détecté quant à lui en 2014. En 2015, le nombre d’attaques ciblant le système d’exploitation Android a constamment augmenté et à l’issue de l’année, 17 % des attaques de ransomwares ont été bloquées sur des périphériques tournant sous Android.
La menace se propage à travers le monde entier : les produits de Kaspersky Lab ont détecté des Trojans de type ransomware dans 200 pays et territoires, autrement dit presque partout.
Nous nous attendons à ce que le développement de malwares de chiffrement axés sur les plates-formes non-Windows se poursuive en 2016 : augmentation de la part d’Android et apparition de malwares de chiffrement pour Mac OS. Quand on sait qu’Android est beaucoup utilisé dans l’électroménager, on peut s’attendre aux premières attaques de malware de chiffrement contre des objets «intelligents».

Le rapport complet se trouve ici : Viruslist.com - Bulletin de Kaspersky sur la sécurité en 2015. Principales statistiques pour 2015

Les entreprises n’ont pas été épargnées,je prends une attaque au hasard:

viruslist a écrit :

L’opération Carbanak illustre parfaitement le transfert de l’attention des attaques ciblées de type APT sur les organisations financières. Cette opération fut un véritable braquage numérique : les individus malintentionnés s’étaient introduit dans le réseau de la banque victime et s’étaient lancé à la recherche du système critique qui allait permettre de soustraire de l’argent à l’organisation financière. Après avoir volé une somme importante (entre 2,5 et 10 millions de dollars), les criminels recherchaient la prochaine victime.

La majorité des victimes de cette campagne malveillante se trouvait en Europe de l’Est. Mais cela n’a pas empêché la campagne Carbanak de viser des organisations aux Etats-Unis, en Allemagne et en Chine également. Cette attaque a touché plus de 100 victimes à travers le monde et les pertes subies par les organisations ciblées (des banques principalement) pourraient atteindre 1 milliard de dollars.

Le rapport complet se trouve ici : Viruslist.com - Bulletin de Kaspersky sur la sécurité en 2015 Evolution des menaces contre la sécurité informatique dans les entreprises
Aussi a quoi s’attendre pour 2016 ici : Viruslist.com - Kaspersky Security Bulletin. Prévisions 2016

@Stibbons On envoi une campagne massive de SPAM et forcement un moment ou un autre ils tombent sur la bonne banque,pour l’interface elle existe déjà il n’y a qu’a la copier.

Pour le SMS je ne sais pas le but c’est de récupérer les identifiants et les key-loggers sont capables d’enregistrer des frappes de clavier virtuel.

Un exemple ici (toujours en activité) : Viruslist.com - Le cheval de Troie bancaire Dyreza se joue de la protection SSL

L’attaque Syrienne remplace doucement la Béninoise sur le même principe.

A bientôt.

Edit:pour le SMS l’ordinateur infecté tente d’infecter le mobile pour capter les sms: Les quatre chevaux de Troie bancaires les plus importants - Kaspersky Daily | Nous utilisons les mots pour sauver le monde | Le blog officiel de Kaspersky Lab en français.

Dernière modification par mehdi57 (16/12/2015 02h36)


La règle n’est pas absolue, mais il semblerait que plus le niveau de scolarité de votre lecteur est élevé, plus ce dernier accorde de l’importance à l’orthographe. Le lecteur aurait tendance à mesurer l’intelligence de son interlocuteur à son mode d’expression. Méconnaître ce réflexe vous exclura.

Hors ligne Hors ligne

 

#49 16/12/2015 11h02

Membre (2015)
Réputation :   31  

Stibbons a écrit :

Et comment sait-il l’adresse de ma banque, qui en France est bien souvent régionale? Et comment fait-il pour recréer exactement la même interface web, interface qu’il a dû développer en centaines pour simuler toutes les banques.

L’adresse de votre banque? Vous parlez bien de l’adresse du site web de la banque en ligne?
C’est accessible par tout le monde… je ne comprends pas votre remarque.
Concernant l’interface web, c’est plus subtile qu’un screenshot avec simplement un champs de disponible. Ils utilisent de l’injection de code dans la page fraichement télécharger ainsi si il y a des changements sur le site officiel ceux-ci seront répercutés sur la page simulée.
Oui ils développent une interface pour chaque banque. Il faut savoir qu’il s’agit de groupes mafieux ayant de gros moyens et où le but est de ramasser de grosses sommes.

Stibbons a écrit :

1) et comment il connait le numéro de téléphone ? Il n’est pas sur le site internet, précisément pour éviter ce genre de problème.
2) Les sites bancaires n’utilisent plus de login/password, mais un système où il faut cliquer pour sélectionner ses chiffres, sur un clavier virtuel dont la disposition change.
.

Je re-précise l’étape :
La victime, après s’être identifiée sur le faux site avec son login/password, est envoyée vers une page lui indiquant qu’elle doit saisir le code qu’elle vient juste de recevoir sur son téléphone portable.
La raison donnée à la victime est que la banque doit faire une vérification « technique de sécurité »
Voici comment le malware récupère le code envoyé sur le téléphone de la victime. C’est la victime qui lui a donné……
Concernant les claviers virtuels, comme la dit Mehdi57 ci-dessus, cela est du même niveau de sécurité qu’une saisie au clavier car un keyloger peut enregistrer un screenshot du clavier virtuel à chaque clic de souris.
Alors pourquoi les banques continues d’utiliser les claviers virtuels ?
=> parce que cela coute moins cher qu’une authentification avec saisie de code reçu par téléphone
=> parce que cela est plus contraignant pour le client. Les clients veulent de la sécurité mais pas les contraintes qui vont avec.
Alors pourquoi les banques ne restent pas sur une saisie au clavier au lieu du clavier virtuel si celui-ci n’apporte rien de plus ?
=> Parce que cela rassure une partie des clients qui croient que le clavier virtuel est plus sécurisé

Stibbons a écrit :

Bref, j’ai l’impression que vous décrivez une attaque nécessitant de connaitre beaucoup d’information sur la victime, on est loin de l’attaque béninoise de base.

Bien sûr que l’on est loin de l’attaque béninoise, il s’agit d’attaque fait par des organisations mafieuses qui ont de très gros moyen.
Si je suis intervenu dans cette file de discussion, c’est parce que je connais bien le sujet de par mon boulot dans la sécurité informatique bancaire.
L’attaque décrit ci-dessus, c’est du vécu…

Hors ligne Hors ligne

 

#50 16/12/2015 11h46

Membre (2012)
Top 10 Expatriation
Top 5 Obligs/Fonds EUR
Top 20 Invest. Exotiques
Top 20 Entreprendre
Top 20 Banque/Fiscalité
Réputation :   417  

Le système le plus fiable est celui des OTP ( One Time Password ), même si le cheval de troie ou le malware vérole votre ordinateur et vous vole votre login/password, il ne peut usurper votre identité puisque le token généré est limité en temps et à votre session.

Pour se faire passer pour vous, le pirate n’a d’autre choix que de venir physiquement voler le boitier.

Hors ligne Hors ligne

 

Information Nouveau venu dans cette longue discussion ?
Flèche Consultez une sélection des messages les plus réputés en cliquant ici.


Discussions peut-être similaires à "quels logiciels pour se protéger sur internet ?"

Pied de page des forums