Suivez les discussions sur : Twitter Facebook RSS   Inscrivez-vous gratuitement à la newsletter : Newsletters   Utilisez la recherche :
PlanèteMembres  |  Mission

Forums de la communauté des investisseurs heureux

Discussions courtoises et réfléchies sur l’investissement patrimonial pour s’enrichir, générer une rente et atteindre l’indépendance financière

Invitation Vous n'êtes pas identifié : inscrivez-vous pour échanger et participer aux discussions de notre communauté !

Information Nouveau venu dans cette longue discussion ?
Flèche Consultez une sélection des messages les plus réputés en cliquant ici.

#51 16/12/2015 12h07

Membre
Réputation :   59  

ZeBonder a écrit :

Pour se faire passer pour vous, le pirate n’a d’autre choix que de venir physiquement voler le boitier.

Bonjour,

en fait pas vraiment, car le malware s’utilise comme un "man-in-the-middle" donc la session est valide vu que le client vient de rentrer son one time password…
Wikipedia

Effectivement comme le précise banyuls, ce sont des groupes mafieux très organisés et avec de gros moyens car les enjeux sont colossaux.
A titre d’infos aussi, un exploit 0-day c’est 5k à 250k€ sur le marché noir des pays de l’est. Soit pas grand chose à la vue du gain.
Prix du 0 day

A titre de stats pour donner un ordre d’idée:
100M de personnes reçoivent un spam / phishing (100 millions ca se trouve sans pb)
1% clic (1% d’idiots) => 1M
1% de ces 1% ne se rend compte de rien pendant tout le process et va jusqu’au bout (1% de crétins) => 100k 10k personnes

vu les stats c’est plus que plausible.

+> vous virez 100€ => jackpot de 1M€

+> vous prenez ne serait-ce que 1000€ (beaucoup pour une personne physique mais pas énorme en terme de risk / client d’un point de vue bancaire) => jackpot de 10M€

Setanta

Message édité par l’équipe de modération (17/12/2015 02h11) :
- correction du chiffre incohérent dans les calcul (10k de "crétins", et par 100k)

Dernière modification par Setanta (16/12/2015 12h11)

Hors ligne Hors ligne

 

#52 16/12/2015 12h42

Membre
Top 50 Réputation
Réputation :   417  

Dans les systèmes que j’ai déjà vus, même un man-in-the-middle ne pourra rien faire.

Pour signer une transaction, l’utilisateur encode la transaction sur le site web de la banque, il y a certaines informations qui apparaissent sur l’écran, il doit les saisir dans son token pour avoir un OTP de signature.

Le man-in-the-middle peut juste voler l’OTP au moment de la connexion donc pourra consulter le compte bancaire mais ne pourra jamais rajouter un bénéficiaire ou faire un virement, pour celà il a besoin d’accéder physiquement au token.

https://www.bov.com/documents/how-to-us … -securekey

https://www.optima.be/sites/default/fil … anking.pdf

Hors ligne Hors ligne

 

#53 16/12/2015 12h58

Membre
Réputation :   28  

ZeBonder a écrit :

…., il y a certaines informations qui apparaissent sur l’écran, il doit les saisir dans son token pour avoir un OTP de signature. ….

Rien n’empêche un malware qui à infecté le navigateur et qui donc se met entre vous et la banque en ligne (d’où le nom d’attaque "man in the browser") de vous faire croire que vous êtes sur la version officiel du site. A ce moment quelque soit les éléments de sécurité mis en place (OTP, code à l’écran à saisir sur son boitier,…) vous vous ferez piéger.
La seule sécurité, c’est la vigilance de l’utilisateur.
Quand vous vous connectez à votre banque en ligne, il n’est pas normal que l’on vous demande de saisir un OTP sans une raison valide (par ex: ajout de d’IBAN pour virement)

ZeBonder, relisait mes messages, je ne fais que me répéter avec ce dernier message.

Ce que dit Setana est juste, cependant la réalité concernant les pourcentages de personnes qui cliquent sur les liens est bien pire que les chiffres qu’il donne, c’est affligeant comment les gens sont inattentifs….. (expérience professionnelle qui parle)

Hors ligne Hors ligne

 

#54 16/12/2015 13h42

Membre
Top 50 Réputation
Réputation :   417  

J’ai tout relu et le malware ne peut pas deviner quel code la banque va afficher pour faire un virement vers un compte donc ne saura pas vous extorquer l’OTP spécirfique à une vraie transaction.

Hors ligne Hors ligne

 

#55 16/12/2015 14h01

Membre
Réputation :   59  

Si le malware est au milieu, il n’a pas besoin de connaître le code ni l’OTP puisqu’il fait passerelle entre le site de la banque et l’utilisateur !

L’un et l’autre croyant échanger ensemble de manière légale et protégée. C’est la base du principe man-in-the-middle.

@banyuls, j’ai volontairement mis des pourcentages très bas pour montrer déjà à quel point c’est jackpot. Evidemment plus il y a de personnes à tomber dans le panneau, plus le jackpot grimpe exponentiellement !

Setanta

Hors ligne Hors ligne

 

#56 22/12/2015 11h59

Membre
Top 20 Réputation
Réputation :   676  

GoodbyLenine a écrit :

Le type d’attaque décrit par banyuls me semble très plausible…. d’autant que j’ai constaté que plusieurs banques ont décidé d’introduire un délai de 24h ou 48h entre l’ajout d’un compte externe vers lequel un virement peut être effectué, et le moment où un premier virement vers ce compte est activable (soit une contre-mesure qui empêche le brouteur de faire son virement, mais qui introduit une gêne importante pour les clients non infectés).

J’imagine que ce n’est pas le seul mode opératoire utilisé pour récupérer des virements non désirés par les clients.

A la caisse d’épargne --- il n’est plus possible d’ajouter un compte bénéficiaire soit même :"l’ajout d’un compte externe vers lequel un virement peut être effectué," ---

Il est suggéré d’avoir le virement effectué par un agent de l’établissement  --- mais c’est payant.

Il reste encore la possibilité de demander a un agent de mettre en place le nouveau compte externe bénéficiaire (ce qu’il n’est plus possible de faire soit même) et d’effectuer ensuite son virement.

Dernière modification par Miguel (22/12/2015 12h01)


'Experience is what you get when you didn't get what you wanted', Howard Marks.

Hors ligne Hors ligne

 

#57 22/12/2015 14h58

Membre
Réputation :   9  

Bonjour à tous,

File décidément très intéressante, bien que petit à petit de plus en plus technique.

Je dirai même légèrement angoissante… au vue de certains articles.

Personne n’a parlé d’un petit logiciel qui s’appelle KeySrambler. Gratuit ou peu cher à ma connaissance, il permet de crypter directement le clavier lorsque vous tapez…

Je vous le recommande en plus des autres outils de protections déjà cités.


Investisseur Novice - Parrain Serein pour Bourse Direct et Boursorama

Hors ligne Hors ligne

 

#58 23/12/2015 09h59

Membre
Réputation :   63  

La sécurité doit être dans la tête, pas dans les outils. Dans l’attaque décrite précédemment il y deux facteurs qui doivent faire fuite la personne:
- au moment où la page technique s’affiche, le faux site ne peut pas afficher le dernier chiffre du numéro de téléphone car celui ci ne l’a pas encore. Il y a deux sens dans la sécurité, le site doit reconnaître que nous sommes bien qui nous disons que nous sommes, ET nous devons être sur que nous sommes bien sûr chez la bonne banque. Et donc…
- le faux site ne peut pas avoir le certificat https donc pareil, alame dans la tête, quelque chose ne va pas on ferme tout

De manière générale, il est conseillé d’activer l’authentification double, au mois pour le compte mail, au prix d’une manipulation plus complexe lors de la première connexion. Comme cela, en cas de perte du mot de passe, l’attaquant ne peux pas se connecter car il lui faudra le code envoyé par SMS qu’il n’a pas pu récupérer. Cela le découragera et il se redirigera vers des comptes moins protégé

Hors ligne Hors ligne

 

#59 23/12/2015 16h18

Membre
Réputation :   28  

Stibbons a écrit :

La sécurité doit être dans la tête

Entièrement d’accord, d’où l’importance de sensibiliser les personnes.
C’est ce qui est fait en entreprise, du moins dans les banques.

Stibbons a écrit :

pas dans les outils

Non, vous êtes trop catégorique. Les outils de sécurité sont aussi vitaux (par ex : système d’exploitation et antivirus à jour)

Stibbons a écrit :

- au moment où la page technique s’affiche, le faux site ne peut pas afficher le dernier chiffre du numéro de téléphone car celui ci ne l’a pas encore.

Oui, cependant je ne suis pas sûr que toutes les banques en ligne utilisant un code de validation par téléphone portable, précisent le dernier chiffre du n° de portable

Stibbons a écrit :

- le faux site ne peut pas avoir le certificat https donc pareil, alame dans la tête, quelque chose ne va pas on ferme tout

Malheureusement non car l’ordinateur étant infecté vous ne verrez rien…
Pour être exact, il ne s’agit pas d’un faux site mais d’une injection de code dans le navigateur internet de l’ordinateur infecté au moment où vous êtes sur le vrai site. Donc si vous cliquez sur le petit cadenas pour vérifier la validité de celui ci, tout apparaitra ok.

Cependant il existe un moyen d’éviter de tomber dans le panneau.
Quand vous décidez d’ajouter via votre banque en ligne, un nouveau compte bancaire (par ex celui de votre frère) pour effectuer un virement alors la banque vous enverra un code d’activation via SMS dans une phrase du genre :
"vous avez ajouté l’IBAN xxxxxxxxxxxxxxx4595, voici le code d’activation 1246"
Il est très important de vérifier que l’IBAN du compte que vous souhaitez ajouter se termine bien par les chiffres donné dans le SMS.
A contrario, quand votre banque en ligne vous demande de donner le code fraichement reçu sur votre téléphone portable, vérifier bien ce qui est écrit dans le SMS. Si le SMS parle d’ajout de compte bancaire alors que sur votre ordinateur il était question de vérifications de sécurité, vous vous arrêtez là et vous savez que votre ordinateur est infecté

Hors ligne Hors ligne

 

#60 24/12/2015 17h23

Membre
Réputation :   63  

banyuls a écrit :

Malheureusement non car l’ordinateur étant infecté vous ne verrez rien…
Pour être exact, il ne s’agit pas d’un faux site mais d’une injection de code dans le navigateur internet de l’ordinateur infecté au moment où vous êtes sur le vrai site. Donc si vous cliquez sur le petit cadenas pour vérifier la validité de celui ci, tout apparaitra ok.

La plupars du temps celà n’est pas possible, les navigateurs ayant une protection activée par défaut: CORS. Mais si le PC est infecté, tout est possible, il suffit d’enregistrer les clics de la souris et le clavier (en prenant une capture d’écran de la zone ou le clic est fait) et tout les mots de passe sont compromis. Mais il y a tonne d’outils (payants) pour garder son Windows sécurisé.

Hors ligne Hors ligne

 

#61 26/12/2015 10h49

Banni
Réputation :   52  

Miguel a écrit :

Un sujet d’actualité.
La Sécurité sur Internet, quels logiciels utilisez vous pour vous protéger?

J’ai parcouru rapidement la discussion sans trouver vraiment de réponse, se protéger contre quoi?
Je me demande ce que pourrait faire un hacker qui obtiendrait mes codes d’accès, si il souhaite s’enrichir? Il pourrait:
- faire un virement vers son propre compte
- utiliser les fonds se trouvant sur mon compte pour faire monter le cours d’une petite capitalisation illiquide

Concernant le premier risque, beaucoup de banques ou courtiers proposent de limiter montant maximum journalier des virements sortants (cela peut-être embêtant pour ceux qui transfèrent régulièrement des montants importants) ou de restreindre les virements sortants à un seul compte ce qui limite le risque.  Si il souhaite changer cela, il faut en plus de pirater l’ordinateur falsifier une signature.

Concernant le deuxième risque, en-dessous d’un certain montant (combien?), pas trop de risque.  Pour les montants plus importants, une répartition sur 2 brokers devrait permettre de doubler le temps de travail du hacker.  Pour ceux qui ne traitent que des grosses capitalisations, il existe peut être des brokers qui permettent de restreindre les transactions aux grosses capitalisations pour lesquelles un particulier ne peut vraisemblablement pas influencer le cours.  Je ne me suis pas trop renseigner sur ce point pour le moment.

Ensuite, si le hacker n’a qu’un désir de nuisance, il devient un peu plus dur de se protéger.  Voyez-vous d’autres manières pour le hacker de s’enrichir?

Hors ligne Hors ligne

 

#62 26/12/2015 21h34

Membre
Réputation :   28  

Concernant le premier risque, les hackers s’attaque a des pme afin de faire des virements de plusieurs dizaines de milliers euros. Les particuliers ne les intéressent pas beaucoup.

Hors ligne Hors ligne

 

#63 14/09/2017 00h04

Membre
Top 50 Réputation
Réputation :   535  

Bonsoir !

Un peu de paranoïa géo-politique : Kaspersky (antivirus) interdit aux USA : Kaspersky interdit

Dernière modification par M07 (14/09/2017 00h05)


M07

Hors ligne Hors ligne

 

#64 01/02/2021 00h57

Membre
Réputation :   68  

Bonjour Scipion ,

Cela fait un moment que je me demande pourquoi un site somme toute important et mème très important comme celui de Damodaran n’est pas sécurisé .

C’est-à-dire qu’il n’est pas en HTTPS . Que le cadenas sur le navigateur web est barré et que la connexion est dite non sécurisée !
En tout cas sur mes deux navigateurs cela est le cas .

Damodaran

Des hackers pourraient probablement plus facilement en prendre le contrôle , en faire un clone non différenciable ou que sais-je .
Ou bien éventuellement cela fait un site moins cher pour son propriétaire …

En tout cas quand je vois un site non sécurisé cela me rend très méfiant , au début quand je l’ai vu pour la première fois et au vu des informations sérieuses qu’il est censé donner sur le marché , j’ai cru que c’était une blague ou bien un hack .

Enfin si il y a du monde qui a des infos sur ce mystère ?

Dernière modification par Serrure (01/02/2021 00h58)

Hors ligne Hors ligne

 

#65 01/02/2021 08h14

Membre
Réputation :   9  

Rien de mystérieux : l’absense ou la présence du "petit cadenas" n’est en rien un indicateur de sécurité du site.

Le protocole https permet de crypter les échanges entre votre navigateur et le serveur qui héberge le site.

C’est très important dès lorsqu’il y a une notion de transaction (connexion à un compte  avec login / mot de passe, paiement en ligne,…). Vos informations peuvent en effet être interceptées si elles ne sont pas cryptées.

Mais pour un simple site comme celui que vous évoquez, le "petit cadenas" n’apporte aucun avantage (et même des invonvenients : le https augmentant les temps de réponse par rapport au http).

Dernière modification par freelance37 (01/02/2021 08h16)

Hors ligne Hors ligne

 

#66 01/02/2021 10h04

Membre
Réputation :   55  

freelance37 a écrit :

Mais pour un simple site comme celui que vous évoquez, le "petit cadenas" n’apporte aucun avantage (et même des invonvenients : le https augmentant les temps de réponse par rapport au http).

Pas tout à fait: le https ne permet pas seulement de chiffrer les données, il permet aussi de certifier que vous êtes bien sur le site sur lequel vous pensez être via le certificat du site. Ces certificats sont émis par une autorité et mis à jour sur votre navigateur. Lorsque vous allez sur une page web, le certificat du site est récupéré par votre navigateur et comparé aux certificats connus: s’ils correspondent, le site est certifié, s’ils ne correspondent pas, le site n’est pas certifié.

Hors ligne Hors ligne

 

#67 01/02/2021 11h14

Membre
Réputation :   9  

Bonjour,

Oui HTTPS permet de :
- chiffrer la communication entre le client (le navigateur) et le serveur web (prévention du "man in the middle")
- de s’assurer, via la délivrance du certificat serveur par un tiers de confiance, que le serveur distant est bien celui qu’il prétend
Ainsi HTTPS permet de s’assurer de la bonne communication client / serveur.

Mais HTTPS ne présume en rien de la bonne sécurité du site / de l’application.

Ainsi un site en HTTPS est tout aussi attaquable qu’un site en HTTP.

Hors ligne Hors ligne

 

#68 01/02/2021 16h06

Membre
Réputation :   68  

Donc pour ce que j’en comprends et en déduit personnellement .
Le propriétaire de Damodaran devrait sécuriser plus son site avec un protocole HTTPS , comme la très grande majorité des sites web .
Cela éviterait beaucoup plus aux utilisateurs et investisseurs de risquer de tomber sur un site pirate cloné qui risquerait de les influencer avec de fausses données .
Et cela ferait tout de suite un site plus sérieux et moins suspicieux .

Hors ligne Hors ligne

 

#69 01/02/2021 19h37

Membre
Top 150 Réputation
Réputation :   159  

Je recommande à tout le monde cette extension de navigateur qui force le navigateur à utiliser https partout où c’est possible. HTTPS Everywhere | Electronic Frontier Foundation

Rappelons par ailleurs qu’un des acteurs qui peut trafiquer les pages web entre le serveur et votre navigateur est tout simplement… votre FAI. Certains se permettent de modifier les pages pour y insérer des publicités.

Il n’y a strictement aucune raison de préférer http à https dans tous les cas. Il est d’ailleurs probable que les navigateurs ne permettent bientôt plus la consultation de ressources en http (déjà, les sites https avec un certificat trop faible niveau chiffrement sont mis à l’écart).

Hors ligne Hors ligne

 

#70 08/02/2021 12h07

Membre
Réputation :   12  

Bonjour,
Je souhaite revoir ma sécurité informatique, mais sans mettre en place une usine à gaz que je ne saurai maintenir, et sollicite donc quelques conseils d’experts.
J’utilise aujourd’hui le logiciel LastPass en version gratuite, très pratique pour retenir les mots de passe complexes (et uniques, sauf exception) de mes 180 sites (je viens de faire le compte, je dois aussi sans doute faire une purge là-dessus), mais m’interroge si des solutions peut-être plus sécures (et peu chères) n’existent pas en 2021.
Quid de l’antivirus (j’utilise actuellement Avast, version gratuite), du firewall à préconiser, autres…?

nb: je travaille sous Windows

Bàv,


Errare humanum est, perseverare diabolicum

Hors ligne Hors ligne

 

#71 08/02/2021 12h13

Membre
Réputation :   23  

Dav26 a écrit :

J’utilise aujourd’hui le logiciel LastPass en version gratuite,

Je ne connais aucunement LastPass, mais après quelques clics l’interface m’a l’air correcte et on dirait qu’il y a également des plugins sur Chrome pour l’autocomplétion. Par contre, pas mal de security breaches listés sur wikipedia LastPass - Wikipedia

Pour ma part j’ai Kaspersky password manager, 10€ l’an et fournit les mêmes services (la version gratuite ne permet que de stocker une vingtaine de champs soit rien du tout). Si j’avais su qu’un tel logiciel gratuit existait j’aurais peut-être utilisé LastPass

Dernière modification par Rodin (08/02/2021 12h20)


La vie est une course, premier dans les starters - RS4 gris nardo, shifter pro, contre-sens.

Hors ligne Hors ligne

 

#72 08/02/2021 13h19

Membre
Réputation :   4  

bonjour,
vous avez aussi  Keypass aussi, mais qui est local (pas en cloud)
si vous avez un besoin d’utiliser votre gestionnaire partout, le lastpass est très bien

sinon vous pouvez renforcer sa sécurité avec une clé yubikey par exemple. il existe de nombreux modèles, taille et toutes offrent la sécurité suffisante.
infos ici : Gammes de Produits | Yubico

Pour les bonnes pratiques, il faut mettre en oeuvre dès que possible la double-authentification dès possible sur tous les services cloud.

pour les mots de passe, il y a de bonnes pratiques, comme:
* le renouvellement de ce lui ci à intervalles réguliers
* la  non réutilisation de même mot de passes pour les sites
* utiliser un mot de passe fort qui est ensuite dérivé pour sur les autres sites
* se souvenir que le mot de passe "maitre" du keypass est le gardien de tous les autres …
* que le navigateur propose souvent de les stocker , ce qui perd l’attrait d’un keypass
* que beaucoup de sites marchand vous gardé connecté à votre compte ( ex: amazon)

1-Concernant la partie "firewall", je dirais que la bonne hygiène de votre poste est surtout un rempart contre les failles actuelles : il faut maintenir le poste ( le système d’exploitation) et ses applications à jour ( java, etc..)

2-Si vous êtes un peu plus "technicien", il existe aussi des guides pour sécuriser son Windows, notamment sur les "ports" qu’il garde ouvert et donc certains peuvent être clos.

3-Enfin, si vous avez une box ou un routeur, veillez à le garder à jour (box = reboot par exemple), routeur = mise à jour des firmwares)

4-Vous pouvez aussi positionner la sensibilité de votre antivirus au maximum ( heuristique) et d’activer les différents agent (web ,réseaux).

5-Pour les usages "limites" : toujours lancer l’antivirus sur le programme telechargé avant son exécution.

6-Si vous avez des multi utilisateurs : ne pas leur donner le profil administrateur, ce qui évite les installations non autorisées/validées.

N’hésitez pas à poser vos questions .. J’ai eu une expérience de novice en finance, mais une expérience certaine en cybersecu.

bonne journée

Dernière modification par gizgiz (08/02/2021 13h30)

Hors ligne Hors ligne

 

#73 08/02/2021 13h30

Membre
Réputation :   4  

Je recommande également KeePass que j’utilise depuis plusieurs années : qui a l’avantage d’être gratuit et open source.

Couplé à une solution de cloud sécurisé (Tresorit) j’ai accès à ma base de donnée KeePass sur tous mes appareils (PC fixe, PC portable pro, iPhone, iPad, etc…).

Il y a des extensions pour le remplissage automatique des mots de passe dans votre navigateur (par exemple Kee pour Firefox).

Hors ligne Hors ligne

 

[+1]    #74 08/02/2021 13h45

Membre
Réputation :   8  

Pour tout ce qui est autour de la vie privée, il y a cet excellent site qui recense beaucoup de solutions : Privacy Tools

Hors ligne Hors ligne

 

[+1]    #75 08/02/2021 21h35

Membre
Réputation :   44  

Pourrait-on m’expliquer la logique consistant à déconseiller un mot de passe commun à beaucoup de sites, et ensuite à conseiller un regroupement des mots de passe sous un même mot de passe maître ?
Il est clair que la révélation de ce dernier est au moins aussi grave que le comportement déconseillé au départ !

Hors ligne Hors ligne

 

Information Nouveau venu dans cette longue discussion ?
Flèche Consultez une sélection des messages les plus réputés en cliquant ici.

Pied de page des forums

Parrains Faites-vous parrainer
Apprendre le bonheur