Une simplification apportée à iOS 12 inquiète des experts en sécurité, Réactions à la publication du 03/07/2018 |
Bienvenue invité ( Connexion | Inscription )
Une simplification apportée à iOS 12 inquiète des experts en sécurité, Réactions à la publication du 03/07/2018 |
3 Jul 2018, 06:08
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 336 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Apple a décidé avec iOS 12 de simplifier le quotidien de ses clients. Son nouveau système d'exploitation est capable de détecter les opérations nécessitant une double authentification et de récupérer le code envoyé par SMS afin de l'envoyer automatiquement au site le demandant.
C'est plutôt pratique alors que ce genre de mesure se généralise. Des experts en sécurité s'émeuvent toutefois de cette automatisation. Ils craignent qu'elle ne soit exploitée par des pirates pour compromettre la sécurité des transactions. Pour eux, l'intervention humaine est indispensable et doit rester effective dans ces conditions. On verra ce qu'en pensent les banques qui utilisent de plus en plus ce procédé pour valider les ventes par cartes bancaires en ligne. Si la fraude augmente, elles accuseront probablement Apple d'avoir mis en place ce procédé pour favoriser son propre système, Apple Pay. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
3 Jul 2018, 07:16
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 969 Inscrit : 26 Jan 2011 Lieu : Pollachius virens Membre no 164 083 |
Franchement ce qui m'épate le plus (et ce n'est pas spécifique à Apple), c'est l'énergie déployée pour inventer ou mettre au point des technologies qui n'ont qu'une seule finalité : permettre au consommateur de payer.
Savoir que des ingénieurs hautement qualifiés travaillent pour que surtout on n'arrête pas de consommer et donc d'épuiser les ressources de la planète, cela n'aide pas à avoir une vision optimiste de l'avenir. -------------------- MBP 2017 15" avec clavier pourri et touchbar inutile
|
|
|
3 Jul 2018, 07:26
Message
#3
|
|
Macbidouilleur de vermeil ! Groupe : Modérateurs Messages : 1 477 Inscrit : 23 Feb 2013 Lieu : Paris ou presque. Plus précisément là où l'horreur s'est produite un certain 9 janvier 2015 Membre no 182 949 |
Les banques françaises s’eloignent de plus de plus du sms pour utiliser un système d’authentification interne plus robuste basé sur l’imei du téléphone, un code mémorisé par l’utilisateur en plus de contrôle sur des habitudes de vie.
Le seul problème de ces systèmes qu’on appelle clé digital chez BNP ou Secur’pass chez BPCE (pour ne citer qu’eux) c’edt Que l'enrôlement à ces systèmes se basent sur .... un sms. Donc oui le sms est un système d’authentification faillible (sim swapping) il n’en demeure pas moins indispensable dans certains cas. Pour avoir côtoyé des experts de la fraude bancaire j’ai plutôt tendance à aller dans le sens de l’article. Pourras t-on désactiver cette fonction? -------------------- "Ceux qui peuvent renoncer à la liberté essentielle pour obtenir un peu de sécurité temporaire, ne méritent ni la liberté ni la sécurité" B. Franklin
|
|
|
3 Jul 2018, 08:49
Message
#4
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 5 445 Inscrit : 9 Apr 2004 Membre no 17 402 |
Apple a juste voulu tester cette fonction et va certainement revenir dessus.
Ils sont très prudents chez Apple, ils vont donc revenir à la raison et se défausser très vite sur l'utilisateur (pour une fois avec raison). Je les vois mal prendre la responsabilité du copier/coller des codes reçus par sms à la place des utilisateurs. Mais à présent que tout le monde sait que c'est faisable, certains ne manqueront pas d'essayer de coder cette fonction pour un usage frauduleux. Et pendant ce temps là sous MacOS c'est la situation inverse: c'est à l'utilisateur de valider l'installation des extensions au système, alors même qu'elles proviennent de développeurs "legacy" et qu'Apple devrait assumer la légitimé de ces développeurs. Ce message a été modifié par ekami - 3 Jul 2018, 10:14. -------------------- Exif Photoworker: Renommez et organisez vos photos et vidéos en quelques clics (téléchargement et période d'essai gratuits).
|
|
|
3 Jul 2018, 09:34
Message
#5
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 405 Inscrit : 15 Nov 2002 Lieu : RBT Membre no 4 702 |
j'ai du mal à comprendre comment quelqu'un pourrait avoir l'idée saugrenue de mettre ce système automatique en place :
Le principe de la double authentification est bien de confirmer que vous êtes le possesseur du compte utilisé via une action volontaire sur votre téléphone. Là, si le système répond à la place de l'utilisateur, où est la double authentification ? On peut très bien imaginer le pirate passer commande de chez lui et mon téléphone de répondre sans que je sois informé que quelqu'un usurpe mon identité ailleurs dans le monde. -------------------- iHack 27" (2019) 19,1 Z390 Designare OC 0.9.6 - [email protected], RX 5700 8Go, 32Go RAM, SSD NVMe 1To, 13.2.1
iMac 27" (2013) 13,2 - [email protected], 24Go RAM, F.D. 1To, 10.15 MBA 11" (2010) 3,1 - [email protected], 4Go RAM, SSD 64Go, 10.13 |
|
|
3 Jul 2018, 10:12
Message
#6
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 228 Inscrit : 12 Jun 2009 Membre no 137 508 |
un système d’authentification interne plus robuste basé sur l’imei du téléphone L'imei ca peut se changer... epicfail... Sinon c'est clairement une faille le système d'Apple... -------------------- Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde.... |
|
|
3 Jul 2018, 10:32
Message
#7
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 228 Inscrit : 12 Jun 2009 Membre no 137 508 |
j'ai du mal à comprendre comment quelqu'un pourrait avoir l'idée saugrenue de mettre ce système automatique en place Toujours la même chose : favoriser l'achat par le fait que c'est transparent. Les études montrent que payer par carte bleu permet de dépenser des sommes importantes plus facilement qu'avec du liquide : le fait de payer par carte que ce soit 1 centimes ou 1000 euros c'est le même geste... avec les billets en main, on se rend plus facilement compte de la somme... -------------------- Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde.... |
|
|
3 Jul 2018, 11:10
Message
#8
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 379 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
j'ai du mal à comprendre comment quelqu'un pourrait avoir l'idée saugrenue de mettre ce système automatique en place : Le principe de la double authentification est bien de confirmer que vous êtes le possesseur du compte utilisé via une action volontaire sur votre téléphone. Là, si le système répond à la place de l'utilisateur, où est la double authentification ? On peut très bien imaginer le pirate passer commande de chez lui et mon téléphone de répondre sans que je sois informé que quelqu'un usurpe mon identité ailleurs dans le monde. Les failles du SS7 permettent déjà cela, mais malgré cela c'est pourquoi je n'affiche plus de preview de mes SMS (entre autres): il serait facile de déverrouiller un de mes comptes juste en ayant la capacité de voir l'écran de mon iPhone, verrouillé et posé, au bureau, dans un café, même pas besoin de le voler (mais fonctionne aussi, pas besoin du code PIN si les sms sont prévisualisés). On a des problèmes d'authentifications de plus en plus important, notamment en comptant les failles de conception des process de récupérations, incluant le cas où quelqu'un a eu son smartphone volé (et la personne veut ré-accéder à ses comptes en "double-authentification"), avec de nombreux outils mais imparfait car tout cela n'est pas global et reste quand même l'interface entre des humains et des systèmes d'information. Entre humains c'est tellement facile et naturel de s'authentifier Je recommande cette lecture (en anglais) : HOW APPLE AND AMAZON SECURITY FLAWS LED TO MY EPIC HACKING, un chef d'œuvre démontrant que personne n'est à l'abri! -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
3 Jul 2018, 11:13
Message
#9
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 827 Inscrit : 11 Apr 2012 Membre no 175 864 |
On peut très bien imaginer le pirate passer commande de chez lui et mon téléphone de répondre sans que je sois informé que quelqu'un usurpe mon identité ailleurs dans le monde. SMS one-time passcodes will appear automatically as AutoFill suggestions, so you never have to worry about quickly memorizing them or typing them again. Ce message a été modifié par downanotch - 3 Jul 2018, 11:13. |
|
|
3 Jul 2018, 11:38
Message
#10
|
|
Macbidouilleur de vermeil ! Groupe : Modérateurs Messages : 1 477 Inscrit : 23 Feb 2013 Lieu : Paris ou presque. Plus précisément là où l'horreur s'est produite un certain 9 janvier 2015 Membre no 182 949 |
un système d’authentification interne plus robuste basé sur l’imei du téléphone L'imei ca peut se changer... epicfail... Sinon c'est clairement une faille le système d'Apple... Si l’emei change alors les systèmes que j’ai cité les détectent et dans ce cas le mobile n’est plus enrôlé au service d’authentification interne. Il n’y a donc pas de risque en soit. Changer l’imei ne constitue pas un vecteur d’attaque puisqu’il se détecte. Le sms avait un véritable souci avec le sim swapping et Free en a longtemps été victime. Quand il y a le sim swapping le sms est reçu par deux téléphone, le tiens et celui du pirate, qui peut alors valider son achat. En général ces achats sont effectués à des heures tardives pour gagner du temps. Avec les AF des banques il n’y a plus ces problèmes la. Il y en a d’autres mais l’imei n’en est pas un à priori. -------------------- "Ceux qui peuvent renoncer à la liberté essentielle pour obtenir un peu de sécurité temporaire, ne méritent ni la liberté ni la sécurité" B. Franklin
|
|
|
3 Jul 2018, 12:03
Message
#11
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 379 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
... Le sms avait un véritable souci avec le sim swapping et Free en a longtemps été victime. Quand il y a le sim swapping le sms est reçu par deux téléphone, le tiens et celui du pirate, qui peut alors valider son achat. En général ces achats sont effectués à des heures tardives pour gagner du temps. ... +1 Et la possibilité pour un pirate de se faire délivrer une autre SIM physique avec du piratage social dans une boutique (généralement en prétendant être le légitime propriétaire et s'être fait dévalisé). -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
3 Jul 2018, 12:46
Message
#12
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 010 Inscrit : 24 Jan 2014 Lieu : La Vienne Membre no 189 026 |
Franchement ce qui m'épate le plus (et ce n'est pas spécifique à Apple), c'est l'énergie déployée pour inventer ou mettre au point des technologies qui n'ont qu'une seule finalité : permettre au consommateur de payer. Savoir que des ingénieurs hautement qualifiés travaillent pour que surtout on n'arrête pas de consommer et donc d'épuiser les ressources de la planète, cela n'aide pas à avoir une vision optimiste de l'avenir. c'est 50% de mon boulot. faire que les gens ait envie de continuer et si possible d'acheter des trucs.. après si tu as la chance de travailler uniquement entre compagnies c cool, mais sinon faut achalander le consommateur ! c'est pourquoi je n'affiche plus de preview de mes SMS (entre autres): et comment on fait ca ? Ce message a été modifié par raoulito - 3 Jul 2018, 12:46. -------------------- ——
Çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :) Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout. JULES CLARETIE |
|
|
3 Jul 2018, 12:58
Message
#13
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 162 Inscrit : 24 Sep 2015 Lieu : Pays d'Aix Membre no 196 570 |
Réglages : Notifications -> Messages
Pareil que iAPX ... Et avec FaceID ... il t’identifie il montre le contenu des notifications sinon non, aucune notification n’est affichée par défaut chez moi. -------------------- Bobo du Pays d'Aix et Fanboy Apple
|
|
|
3 Jul 2018, 13:03
Message
#14
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 5 445 Inscrit : 9 Apr 2004 Membre no 17 402 |
On peut très bien imaginer le pirate passer commande de chez lui et mon téléphone de répondre sans que je sois informé que quelqu'un usurpe mon identité ailleurs dans le monde. SMS one-time passcodes will appear automatically as AutoFill suggestions, so you never have to worry about quickly memorizing them or typing them again. Si ça reste une option de remplissage automatique et que l'option est désactivée par défaut alors c'est peut-être jouable. Mais je suis effaré du nombre d'options et choix de paramétrages existants dans iOS. -------------------- Exif Photoworker: Renommez et organisez vos photos et vidéos en quelques clics (téléchargement et période d'essai gratuits).
|
|
|
3 Jul 2018, 13:14
Message
#15
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 821 Inscrit : 1 Jul 2010 Membre no 156 073 |
[…] mais sinon faut achalander le consommateur ! Achalander le consommateur ? Ça marche bien ? -------------------- L'homme n'est que poussière... c'est dire l'importance du plumeau ! Alexandre Vialatte
|
|
|
3 Jul 2018, 16:05
Message
#16
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 437 Inscrit : 9 Jan 2012 Lieu : Mantes 78 Membre no 173 654 |
Mais je suis effaré du nombre d'options et choix de paramétrages existants dans iOS. Ne vas jamais sur Android ^^ Paramétrage du Samsung S8 d'un neveu.J'ai laché l'affaire au bout de 10 mn et laissé finir mon frére.Ca me donne la jaunisse cet OS troué (Usine a gaz a fuites) Android = Liberté = Réglages optimum a son image ? Ou tuning'touch ? |
|
|
4 Jul 2018, 08:06
Message
#17
|
|
Adepte de Macbidouille Groupe : Membres Messages : 79 Inscrit : 2 Dec 2006 Membre no 74 597 |
Si la fraude ... Elles accuseront ....
AFFIRMATION GRATUITE ET IMAGINAIRE Encore |
|
|
6 Jul 2018, 08:54
Message
#18
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 495 Inscrit : 11 Jun 2002 Membre no 2 673 |
Les études montrent que payer par carte bleu permet de dépenser des sommes importantes plus facilement qu'avec du liquide : le fait de payer par carte que ce soit 1 centimes ou 1000 euros c'est le même geste... avec les billets en main, on se rend plus facilement compte de la somme... Si des études le montrent, c'est que les gens sont stupide. Je préfère tout payer par carte ou via mon compte bancaire en gérant mon budget, que de payer cash. Le résultat et le même, mais cela me fait moins mal aux yeux, que de voir partir mes sous à la poste. -------------------- |
|
|
6 Jul 2018, 10:02
Message
#19
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 010 Inscrit : 24 Jan 2014 Lieu : La Vienne Membre no 189 026 |
Les études montrent que payer par carte bleu permet de dépenser des sommes importantes plus facilement qu'avec du liquide : le fait de payer par carte que ce soit 1 centimes ou 1000 euros c'est le même geste... avec les billets en main, on se rend plus facilement compte de la somme... Si des études le montrent, c'est que les gens sont stupide. en fait faut vivre/avoir vecu dans un apys ou 80% de tout ce que tu payes est en liquide pour comprendre. Et encore, dans les années 2006/2010 meme mon salaire etait en liquide (je parle ici du maroc) je vous promet qu'effectivement la mentalité est différente car du coup on sait plus intuitivement combien on met alors qu'avec la carte entre 25 et 35€ c'est pas toujours simple de se souvenir... -------------------- ——
Çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :) Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout. JULES CLARETIE |
|
|
11 Jul 2018, 07:42
Message
#20
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 083 Inscrit : 3 Dec 2003 Lieu : Luxembourg Membre no 12 196 |
Il y a déjà bien des alternatives à la double identification par SMS. Surtout dans le secteur bancaire - mais ailleurs qu'en France.
En Belgique, il existe depuis une bonne dizaine d'année une technologie avec lecteur de cartes: à chaque opération, il faut insérer sa carte bancaire dans un lecteur non connecté pour générer un code temporaire à 6 chiffres. Donc pas de SMS. Une nouvelle technologie vient de voir le jour, appelée "ItsMe" qui est basée sur le cryptage de la carte SIM et le numéro IMEI du téléphone et un code personnel à 5 chiffres. Au Luxembourg, il existe plusieurs technologies de Luxtrust, qui utilisent soit un token qui génère un code à 6 chiffres aléatoires et qui est associée à un compte utilisateur protégé par mot de passe, soit par un lecteur de carte d'identité, etc. Comme vous voyez il a déjà de bonnes alternatives à l'envoi de simple SMS. Il faudrait surtout que les gens se réveillent un peu en France et qu'il regarde aussi ce qui se passe ailleurs (au lieu de réinventer la roue)! C'est ce qu'on appelle la "best practice" - mais ça ce n'est pas très français… -------------------- iMac Intel Core i7 3,4 GHz, 24 Go Ram, OSX 10.10
iMac Intel Core i5 2,66 GHz, 8 Go Ram, OSX 10.10 Mac mini core 2 duo, OSX 10.10 |
|
|
Nous sommes le : 19th April 2024 - 12:32 |