IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Une simplification apportée à iOS 12 inquiète des experts en sécurité, Réactions à la publication du 03/07/2018
Options
Lionel
posté 3 Jul 2018, 06:08
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 52 125
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Apple a décidé avec iOS 12 de simplifier le quotidien de ses clients. Son nouveau système d'exploitation est capable de détecter les opérations nécessitant une double authentification et de récupérer le code envoyé par SMS afin de l'envoyer automatiquement au site le demandant.
C'est plutôt pratique alors que ce genre de mesure se généralise.
Des experts en sécurité s'émeuvent toutefois de cette automatisation. Ils craignent qu'elle ne soit exploitée par des pirates pour compromettre la sécurité des transactions. Pour eux, l'intervention humaine est indispensable et doit rester effective dans ces conditions.

On verra ce qu'en pensent les banques qui utilisent de plus en plus ce procédé pour valider les ventes par cartes bancaires en ligne. Si la fraude augmente, elles accuseront probablement Apple d'avoir mis en place ce procédé pour favoriser son propre système, Apple Pay.

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
yponomeute
posté 3 Jul 2018, 07:16
Message #2


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 814
Inscrit : 26 Jan 2011
Lieu : Pollachius virens
Membre no 164 083



Franchement ce qui m'épate le plus (et ce n'est pas spécifique à Apple), c'est l'énergie déployée pour inventer ou mettre au point des technologies qui n'ont qu'une seule finalité : permettre au consommateur de payer.
Savoir que des ingénieurs hautement qualifiés travaillent pour que surtout on n'arrête pas de consommer et donc d'épuiser les ressources de la planète, cela n'aide pas à avoir une vision optimiste de l'avenir.


--------------------
MBP 2017 15" avec clavier pourri et touchbar inutile
Go to the top of the page
 
+Quote Post
iVico
posté 3 Jul 2018, 07:26
Message #3


Macbidouilleur de vermeil !
****

Groupe : Modérateurs
Messages : 1 466
Inscrit : 23 Feb 2013
Lieu : Paris ou presque. Plus précisément là où l'horreur s'est produite un certain 9 janvier 2015
Membre no 182 949



Les banques françaises s’eloignent de plus de plus du sms pour utiliser un système d’authentification interne plus robuste basé sur l’imei du téléphone, un code mémorisé par l’utilisateur en plus de contrôle sur des habitudes de vie.

Le seul problème de ces systèmes qu’on appelle clé digital chez BNP ou Secur’pass chez BPCE (pour ne citer qu’eux) c’edt Que l'enrôlement à ces systèmes se basent sur .... un sms.

Donc oui le sms est un système d’authentification faillible (sim swapping) il n’en demeure pas moins indispensable dans certains cas.

Pour avoir côtoyé des experts de la fraude bancaire j’ai plutôt tendance à aller dans le sens de l’article.

Pourras t-on désactiver cette fonction?


--------------------
mHack: GA-Z87P-D3 / 4770k @ 4,1 Ghz / 16go 1600 / R9 280x DC2T @ 1160 Mhz/ El Capitan @ Sandisk Ultra II/ Win 10 @ Crucial M500 / CLOVER
Macbook pro 13" 2016 touch bar et oui c'est (parfois) très utile la touch bar!
FTTH @ 300 Mbps ADSL 8 Mbps :-(
FAQ: Généralités Hackintosh - Boot-flag - Bootloader - Les problèmes les plus courants sur Hackintosh - Update El Capitan & SIP
Go to the top of the page
 
+Quote Post
ekami
posté 3 Jul 2018, 08:49
Message #4


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 812
Inscrit : 9 Apr 2004
Membre no 17 402



Apple a juste voulu tester cette fonction et va certainement revenir dessus.
Ils sont très prudents chez Apple, ils vont donc revenir à la raison et se défausser très vite sur l'utilisateur (pour une fois avec raison).
Je les vois mal prendre la responsabilité du copier/coller des codes reçus par sms à la place des utilisateurs.
Mais à présent que tout le monde sait que c'est faisable, certains ne manqueront pas d'essayer de coder cette fonction pour un usage frauduleux.
Et pendant ce temps là sous MacOS c'est la situation inverse: c'est à l'utilisateur de valider l'installation des extensions au système, alors même qu'elles proviennent de développeurs "legacy" et qu'Apple devrait assumer la légitimé de ces développeurs.

Ce message a été modifié par ekami - 3 Jul 2018, 10:14.


--------------------
Ce que j'ai désactivé sur mon Mac pour avoir la paix: iCloud, Siri, Bluetooth, Wifi, Gatekeeper, FileVault, Coupe feu, Handoff, App Store, AppNap, PowerNap, Time Machine (lancé à heures fixes c'est mieux), Dictée vocale, Resume et AutoSave, Commentaires Spotlight, CoreAnalytics, Animations et notifications diverses…
Et ce que n'utiliserais jamais: Mail, Photos et la suite iWork.
.
Go to the top of the page
 
+Quote Post
hoogs
posté 3 Jul 2018, 09:34
Message #5


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 297
Inscrit : 15 Nov 2002
Lieu : RBT
Membre no 4 702



j'ai du mal à comprendre comment quelqu'un pourrait avoir l'idée saugrenue de mettre ce système automatique en place :
Le principe de la double authentification est bien de confirmer que vous êtes le possesseur du compte utilisé via une action volontaire sur votre téléphone.

Là, si le système répond à la place de l'utilisateur, où est la double authentification ? On peut très bien imaginer le pirate passer commande de chez lui et mon téléphone de répondre sans que je sois informé que quelqu'un usurpe mon identité ailleurs dans le monde.


--------------------
MBP 15" (2015) 11,4 - i7@2,2Ghz, 16Go de ram, ssd 256Go, 10.13
iMac 27" (2013) 13,2 - i5@2.9Ghz, 8Go de ram, F.D. 1To, 10.11
MBA 11" (2010) 3,1 - c2d@1.4Ghz, 4Go de ram, ssd 64Go, 10.10
Go to the top of the page
 
+Quote Post
otto87
posté 3 Jul 2018, 10:12
Message #6


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 109
Inscrit : 12 Jun 2009
Membre no 137 508



Citation (iVico @ 3 Jul 2018, 08:26) *
un système d’authentification interne plus robuste basé sur l’imei du téléphone


L'imei ca peut se changer... epicfail...
Sinon c'est clairement une faille le système d'Apple...


--------------------
Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde....
Go to the top of the page
 
+Quote Post
otto87
posté 3 Jul 2018, 10:32
Message #7


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 109
Inscrit : 12 Jun 2009
Membre no 137 508



Citation (hoogs @ 3 Jul 2018, 10:34) *
j'ai du mal à comprendre comment quelqu'un pourrait avoir l'idée saugrenue de mettre ce système automatique en place

Toujours la même chose : favoriser l'achat par le fait que c'est transparent. Les études montrent que payer par carte bleu permet de dépenser des sommes importantes plus facilement qu'avec du liquide : le fait de payer par carte que ce soit 1 centimes ou 1000 euros c'est le même geste... avec les billets en main, on se rend plus facilement compte de la somme...


--------------------
Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde....
Go to the top of the page
 
+Quote Post
iAPX
posté 3 Jul 2018, 11:10
Message #8


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 9 722
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (hoogs @ 3 Jul 2018, 03:34) *
j'ai du mal à comprendre comment quelqu'un pourrait avoir l'idée saugrenue de mettre ce système automatique en place :
Le principe de la double authentification est bien de confirmer que vous êtes le possesseur du compte utilisé via une action volontaire sur votre téléphone.

Là, si le système répond à la place de l'utilisateur, où est la double authentification ? On peut très bien imaginer le pirate passer commande de chez lui et mon téléphone de répondre sans que je sois informé que quelqu'un usurpe mon identité ailleurs dans le monde.

Les failles du SS7 permettent déjà cela, mais malgré cela c'est pourquoi je n'affiche plus de preview de mes SMS (entre autres): il serait facile de déverrouiller un de mes comptes juste en ayant la capacité de voir l'écran de mon iPhone, verrouillé et posé, au bureau, dans un café, même pas besoin de le voler (mais fonctionne aussi, pas besoin du code PIN si les sms sont prévisualisés).

On a des problèmes d'authentifications de plus en plus important, notamment en comptant les failles de conception des process de récupérations, incluant le cas où quelqu'un a eu son smartphone volé (et la personne veut ré-accéder à ses comptes en "double-authentification"), avec de nombreux outils mais imparfait car tout cela n'est pas global et reste quand même l'interface entre des humains et des systèmes d'information. Entre humains c'est tellement facile et naturel de s'authentifier smile.gif

Je recommande cette lecture (en anglais) : HOW APPLE AND AMAZON SECURITY FLAWS LED TO MY EPIC HACKING, un chef d'œuvre démontrant que personne n'est à l'abri!


--------------------
Apple fanboy, un des rares ici à défendre immanquablement l'immaculée (pas le prononcer "y m'a 'culé" svp!) vertu de cette société qui est le dernier rempart de la civilisation contre la barbarie, grâce au Précieux!
Go to the top of the page
 
+Quote Post
downanotch
posté 3 Jul 2018, 11:13
Message #9


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 449
Inscrit : 11 Apr 2012
Membre no 175 864



Citation (hoogs @ 3 Jul 2018, 10:34) *
On peut très bien imaginer le pirate passer commande de chez lui et mon téléphone de répondre sans que je sois informé que quelqu'un usurpe mon identité ailleurs dans le monde.

SMS one-time passcodes will appear automatically as AutoFill suggestions, so you never have to worry about quickly memorizing them or typing them again.

Ce message a été modifié par downanotch - 3 Jul 2018, 11:13.
Go to the top of the page
 
+Quote Post
iVico
posté 3 Jul 2018, 11:38
Message #10


Macbidouilleur de vermeil !
****

Groupe : Modérateurs
Messages : 1 466
Inscrit : 23 Feb 2013
Lieu : Paris ou presque. Plus précisément là où l'horreur s'est produite un certain 9 janvier 2015
Membre no 182 949



Citation (otto87 @ 3 Jul 2018, 11:12) *
Citation (iVico @ 3 Jul 2018, 08:26) *
un système d’authentification interne plus robuste basé sur l’imei du téléphone


L'imei ca peut se changer... epicfail...
Sinon c'est clairement une faille le système d'Apple...


Si l’emei change alors les systèmes que j’ai cité les détectent et dans ce cas le mobile n’est plus enrôlé au service d’authentification interne. Il n’y a donc pas de risque en soit. Changer l’imei ne constitue pas un vecteur d’attaque puisqu’il se détecte.

Le sms avait un véritable souci avec le sim swapping et Free en a longtemps été victime. Quand il y a le sim swapping le sms est reçu par deux téléphone, le tiens et celui du pirate, qui peut alors valider son achat. En général ces achats sont effectués à des heures tardives pour gagner du temps.

Avec les AF des banques il n’y a plus ces problèmes la. Il y en a d’autres mais l’imei n’en est pas un à priori.


--------------------
mHack: GA-Z87P-D3 / 4770k @ 4,1 Ghz / 16go 1600 / R9 280x DC2T @ 1160 Mhz/ El Capitan @ Sandisk Ultra II/ Win 10 @ Crucial M500 / CLOVER
Macbook pro 13" 2016 touch bar et oui c'est (parfois) très utile la touch bar!
FTTH @ 300 Mbps ADSL 8 Mbps :-(
FAQ: Généralités Hackintosh - Boot-flag - Bootloader - Les problèmes les plus courants sur Hackintosh - Update El Capitan & SIP
Go to the top of the page
 
+Quote Post
iAPX
posté 3 Jul 2018, 12:03
Message #11


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 9 722
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (iVico @ 3 Jul 2018, 05:38) *
...
Le sms avait un véritable souci avec le sim swapping et Free en a longtemps été victime. Quand il y a le sim swapping le sms est reçu par deux téléphone, le tiens et celui du pirate, qui peut alors valider son achat. En général ces achats sont effectués à des heures tardives pour gagner du temps.
...

+1

Et la possibilité pour un pirate de se faire délivrer une autre SIM physique avec du piratage social dans une boutique (généralement en prétendant être le légitime propriétaire et s'être fait dévalisé).


--------------------
Apple fanboy, un des rares ici à défendre immanquablement l'immaculée (pas le prononcer "y m'a 'culé" svp!) vertu de cette société qui est le dernier rempart de la civilisation contre la barbarie, grâce au Précieux!
Go to the top of the page
 
+Quote Post
raoulito
posté 3 Jul 2018, 12:46
Message #12


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 342
Inscrit : 24 Jan 2014
Lieu : La Vienne
Membre no 189 026



Citation (yponomeute @ 3 Jul 2018, 06:16) *
Franchement ce qui m'épate le plus (et ce n'est pas spécifique à Apple), c'est l'énergie déployée pour inventer ou mettre au point des technologies qui n'ont qu'une seule finalité : permettre au consommateur de payer.
Savoir que des ingénieurs hautement qualifiés travaillent pour que surtout on n'arrête pas de consommer et donc d'épuiser les ressources de la planète, cela n'aide pas à avoir une vision optimiste de l'avenir.

c'est 50% de mon boulot. faire que les gens ait envie de continuer et si possible d'acheter des trucs..
après si tu as la chance de travailler uniquement entre compagnies c cool, mais sinon faut achalander le consommateur !

Citation (iAPX @ 3 Jul 2018, 10:10) *
c'est pourquoi je n'affiche plus de preview de mes SMS (entre autres):

et comment on fait ca ? huh.gif

Ce message a été modifié par raoulito - 3 Jul 2018, 12:46.


--------------------
G3 blue&white 1999 / iMac 24 pouces 2006 / macbook pro I5 13" 2011 /mac mini 2014 i5 / imac 27 5K (mi-2017)
iphone 3G / 3GS / 4 / 4S / 5 / 5S / 6 / 6S / 7 / l'ipad pro 12,9 et son stylet ! (un ordinateur de travail, oui oui !)
Début sur Mac aux Beaux-Arts, en 1995, c'etait des LCII, ma première fois. Du coup j'ai foncé.. Sur Amiga 1200 avec Cartes d'extensions etc.. Haaaa que de souvenirs.. :P

Et çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :)
----------
Un Discord pour la concorde :)
Go to the top of the page
 
+Quote Post
Hebus
posté 3 Jul 2018, 12:58
Message #13


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 5 051
Inscrit : 24 Sep 2015
Membre no 196 570



Réglages : Notifications -> Messages

Pareil que iAPX ...

Et avec FaceID ... il t’identifie il montre le contenu des notifications sinon non, aucune notification n’est affichée par défaut chez moi.


--------------------
MBP 2018, Touch Bar, i7 2.6 GHz, 32 GB RAM, 1T SSD, Radeon 560X ... du bonheur !

Un Discord pour la concorde :)
Go to the top of the page
 
+Quote Post
ekami
posté 3 Jul 2018, 13:03
Message #14


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 812
Inscrit : 9 Apr 2004
Membre no 17 402



Citation (downanotch @ 3 Jul 2018, 12:13) *
Citation (hoogs @ 3 Jul 2018, 10:34) *
On peut très bien imaginer le pirate passer commande de chez lui et mon téléphone de répondre sans que je sois informé que quelqu'un usurpe mon identité ailleurs dans le monde.

SMS one-time passcodes will appear automatically as AutoFill suggestions, so you never have to worry about quickly memorizing them or typing them again.

Si ça reste une option de remplissage automatique et que l'option est désactivée par défaut alors c'est peut-être jouable.
Mais je suis effaré du nombre d'options et choix de paramétrages existants dans iOS.


--------------------
Ce que j'ai désactivé sur mon Mac pour avoir la paix: iCloud, Siri, Bluetooth, Wifi, Gatekeeper, FileVault, Coupe feu, Handoff, App Store, AppNap, PowerNap, Time Machine (lancé à heures fixes c'est mieux), Dictée vocale, Resume et AutoSave, Commentaires Spotlight, CoreAnalytics, Animations et notifications diverses…
Et ce que n'utiliserais jamais: Mail, Photos et la suite iWork.
.
Go to the top of the page
 
+Quote Post
scoch
posté 3 Jul 2018, 13:14
Message #15


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 379
Inscrit : 1 Jul 2010
Membre no 156 073



Citation (raoulito @ 3 Jul 2018, 13:46) *
[…] mais sinon faut achalander le consommateur !

Achalander le consommateur ? Ça marche bien ? laugh.gif


--------------------
L'homme n'est que poussière... c'est dire l'importance du plumeau ! Alexandre Vialatte
Go to the top of the page
 
+Quote Post
Pascal Funk
posté 3 Jul 2018, 16:05
Message #16


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 413
Inscrit : 9 Jan 2012
Lieu : Mantes 78
Membre no 173 654



Citation (ekami @ 3 Jul 2018, 14:03) *
Mais je suis effaré du nombre d'options et choix de paramétrages existants dans iOS.


Ne vas jamais sur Android ^^

Paramétrage du Samsung S8 d'un neveu.J'ai laché l'affaire au bout de 10 mn et laissé finir mon frére.Ca me donne la jaunisse cet OS troué (Usine a gaz a fuites)

Android = Liberté = Réglages optimum a son image ? Ou tuning'touch ?
Go to the top of the page
 
+Quote Post
sandorfal
posté 4 Jul 2018, 08:06
Message #17


Adepte de Macbidouille
*

Groupe : Membres
Messages : 77
Inscrit : 2 Dec 2006
Membre no 74 597



Si la fraude ... Elles accuseront ....
AFFIRMATION GRATUITE ET IMAGINAIRE
Encore
Go to the top of the page
 
+Quote Post
ricchy
posté 6 Jul 2018, 08:54
Message #18


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 459
Inscrit : 11 Jun 2002
Membre no 2 673



Citation (otto87 @ 3 Jul 2018, 11:32) *
Les études montrent que payer par carte bleu permet de dépenser des sommes importantes plus facilement qu'avec du liquide : le fait de payer par carte que ce soit 1 centimes ou 1000 euros c'est le même geste... avec les billets en main, on se rend plus facilement compte de la somme...

Si des études le montrent, c'est que les gens sont stupide. rolleyes.gif
Je préfère tout payer par carte ou via mon compte bancaire en gérant mon budget, que de payer cash.
Le résultat et le même, mais cela me fait moins mal aux yeux, que de voir partir mes sous à la poste. laugh.gif


--------------------
Go to the top of the page
 
+Quote Post
raoulito
posté 6 Jul 2018, 10:02
Message #19


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 342
Inscrit : 24 Jan 2014
Lieu : La Vienne
Membre no 189 026



Citation (ricchy @ 6 Jul 2018, 07:54) *
Citation (otto87 @ 3 Jul 2018, 11:32) *
Les études montrent que payer par carte bleu permet de dépenser des sommes importantes plus facilement qu'avec du liquide : le fait de payer par carte que ce soit 1 centimes ou 1000 euros c'est le même geste... avec les billets en main, on se rend plus facilement compte de la somme...

Si des études le montrent, c'est que les gens sont stupide. rolleyes.gif

en fait faut vivre/avoir vecu dans un apys ou 80% de tout ce que tu payes est en liquide pour comprendre. Et encore, dans les années 2006/2010 meme mon salaire etait en liquide (je parle ici du maroc) je vous promet qu'effectivement la mentalité est différente car du coup on sait plus intuitivement combien on met alors qu'avec la carte entre 25 et 35€ c'est pas toujours simple de se souvenir...


--------------------
G3 blue&white 1999 / iMac 24 pouces 2006 / macbook pro I5 13" 2011 /mac mini 2014 i5 / imac 27 5K (mi-2017)
iphone 3G / 3GS / 4 / 4S / 5 / 5S / 6 / 6S / 7 / l'ipad pro 12,9 et son stylet ! (un ordinateur de travail, oui oui !)
Début sur Mac aux Beaux-Arts, en 1995, c'etait des LCII, ma première fois. Du coup j'ai foncé.. Sur Amiga 1200 avec Cartes d'extensions etc.. Haaaa que de souvenirs.. :P

Et çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :)
----------
Un Discord pour la concorde :)
Go to the top of the page
 
+Quote Post
Albatros blanc
posté 11 Jul 2018, 07:42
Message #20


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 083
Inscrit : 3 Dec 2003
Lieu : Luxembourg
Membre no 12 196



Il y a déjà bien des alternatives à la double identification par SMS. Surtout dans le secteur bancaire - mais ailleurs qu'en France.

En Belgique, il existe depuis une bonne dizaine d'année une technologie avec lecteur de cartes: à chaque opération, il faut insérer sa carte bancaire dans un lecteur non connecté pour générer un code temporaire à 6 chiffres. Donc pas de SMS. Une nouvelle technologie vient de voir le jour, appelée "ItsMe" qui est basée sur le cryptage de la carte SIM et le numéro IMEI du téléphone et un code personnel à 5 chiffres.

Au Luxembourg, il existe plusieurs technologies de Luxtrust, qui utilisent soit un token qui génère un code à 6 chiffres aléatoires et qui est associée à un compte utilisateur protégé par mot de passe, soit par un lecteur de carte d'identité, etc.

Comme vous voyez il a déjà de bonnes alternatives à l'envoi de simple SMS. Il faudrait surtout que les gens se réveillent un peu en France et qu'il regarde aussi ce qui se passe ailleurs (au lieu de réinventer la roue)! C'est ce qu'on appelle la "best practice" - mais ça ce n'est pas très français…


--------------------
iMac Intel Core i7 3,4 GHz, 24 Go Ram, OSX 10.10
iMac Intel Core i5 2,66 GHz, 8 Go Ram, OSX 10.10
Mac mini core 2 duo, OSX 10.10
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 23rd October 2018 - 21:47