IPB

Bienvenue invité ( Connexion | Inscription )

2 Pages V   1 2 >  
Reply to this topicStart new topic
> Une faille sous Android est activement exploitée pour siphonner des comptes en banque, Réactions à la publication du 03/12/2019
Options
Lionel
posté 3 Dec 2019, 16:24
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 53 759
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Une faille qualifiée de 0-Day touche des appareils sous Android, même à jour. La faille permet à des logiciels malveillants de se faire passer pour leurs pendants légitimes déjà installés. Une fois sur place ces logiciels obtiennent l'accès à des informations sensibles comme l'enregistrement audio, vidéo, la lecture de messages reçus...
36 applications exploitent cette vulnérabilité et les pirates semblent particulièrement intéressés par le fait d'usurper l'identité des utilisateurs pour siphonner leurs comptes en banque.

Pour rappel, les smartphones sont de plus en plus souvent utilisés comme clés d'authentification bancaire, que ce soit par des messages échangés ou des clés électroniques installées dessus. Prendre le contrôle des appareils et voir ce qui s'y passe permet de fait d'outrepasser toutes les sécurités mises en place.

Dans le détail, la vulnérabilité d'Android se cache dans un process appelé TaskAffinity. Elle permet, si l'on a les bonnes autorisations, d'interagir avec d'autres applications. La faille permet d'en obtenir de très hautes sans efforts.

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
divoli
posté 3 Dec 2019, 17:27
Message #2


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 10 883
Inscrit : 15 May 2005
Membre no 39 209



La routine. whistle.gif Plus qu'à attendre la rustine (pour les terminaux qui bénéficient encore de mises à jour). whistle.gif De plus, des dizaines d'applications exploitant cette faille se trouvaient sur le Play Store, carrément, avant que Google ne les supprime.
https://www.phonandroid.com/malware-android...e-bancaire.html

Ce message a été modifié par divoli - 3 Dec 2019, 17:29.


--------------------
Go to the top of the page
 
+Quote Post
Oncle Sophocle
posté 3 Dec 2019, 19:18
Message #3


Adepte de Macbidouille
*

Groupe : Membres
Messages : 208
Inscrit : 16 Jan 2014
Lieu : Belfort
Membre no 188 887



Moi j'm'en phous, mon téléphone ne me sert qu'à téléphoner, recevoir ou envoyer des SMS (pas des emails), gérer mes alertes de calendrier, et très épisodiquement et seulement quand j'en ai besoin, à me connecter à l'internet quand je veux utiliser mon logiciel de cartographie. Et jamais pour payer les achats.
Cela dit, chacun choisit les risques qu'il veut prendre... wink.gif
Go to the top of the page
 
+Quote Post
ekami
posté 3 Dec 2019, 19:23
Message #4


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 5 126
Inscrit : 9 Apr 2004
Membre no 17 402



Ça me rappelle les conversations avec les personnes qui me demandent de regarder leur Tél androïd pour "le mettre à jour" mais la plupart du temps "Houps ! c'est pas possible, c'est comme ça, il n'y à rien à faire…"
Ils comprennent alors le concept de "fragmentation" d'Androïd, son principal pb depuis…sa naissance !


--------------------
Go to the top of the page
 
+Quote Post
LordJohnWhorfin
posté 3 Dec 2019, 20:06
Message #5


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 147
Inscrit : 18 Mar 2004
Membre no 16 424



Citation (Oncle Sophocle @ 3 Dec 2019, 20:18) *
Moi j'm'en phous, mon téléphone ne me sert qu'à téléphoner, recevoir ou envoyer des SMS (pas des emails), gérer mes alertes de calendrier, et très épisodiquement et seulement quand j'en ai besoin, à me connecter à l'internet quand je veux utiliser mon logiciel de cartographie. Et jamais pour payer les achats.
Cela dit, chacun choisit les risques qu'il veut prendre... wink.gif

Tout à fait d'accord, mais tu cours bien moins de risques en utilisant ApplePay qu'en payant avec une carte de crédit, surtout en ligne.
Go to the top of the page
 
+Quote Post
otto87
posté 3 Dec 2019, 20:41
Message #6


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 064
Inscrit : 12 Jun 2009
Membre no 137 508



Citation (LordJohnWhorfin @ 3 Dec 2019, 21:06) *
Tout à fait d'accord, mais tu cours bien moins de risques en utilisant ApplePay qu'en payant avec une carte de crédit, surtout en ligne.


Pas de sans contact, la carte bleu doit toujours rester visible chez le commerçant et code envoyé par SMS à chaque paiement en ligne. C'est magique, ça marche avec un dumbphone à 30 euros wink.gif Et en plus personne, n'a envie de piquer mon téléphone! Et oui, 2 ou 3 fois par ans, je pleure de ne pas avoir de GPS smile.gif

Ce message a été modifié par otto87 - 3 Dec 2019, 20:43.


--------------------
Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde....
Mac Plus, SE 30,SI,CI,LC 1,2,3,4,imac G3, G4 Tour,imac intel, mac book 13",Dell Precision
Go to the top of the page
 
+Quote Post
Patounet1
posté 3 Dec 2019, 20:49
Message #7


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 349
Inscrit : 16 Feb 2006
Lieu : Ariège 09300
Membre no 55 743



Bonjour,
Peut-être mais en utilisant à la fois la CB et ApplePay, tu multiplies les risques, à moins que tu aies renoncé à utiliser ta CB, (c'est peut-être possible dans une métropole ?)


--------------------
G4 MDD 1,25ghz- Ram 1,5Go Mac OSX 10.5.8. carte PCI ->5 ports USB2
MacBook Pro Retina fin 2013, 13", 8Go-256Go SSD. OS X 10.15 Catalina
Windows-phone Lumia 550 (Win 10)
Go to the top of the page
 
+Quote Post
SpacetitoX
posté 3 Dec 2019, 21:54
Message #8


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 7 312
Inscrit : 6 Dec 2002
Lieu : En wifi à la piscine... À Carcassonne
Membre no 5 034



Encore une journée ou l'ont m'a dit android c'est bien mieux car c'est ouvert... Qu'est-ce que je me marre.


--------------------

*** Que du Mac et iDevices en pagaille de l'année ***
Go to the top of the page
 
+Quote Post
otto87
posté 3 Dec 2019, 22:06
Message #9


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 064
Inscrit : 12 Jun 2009
Membre no 137 508



Citation (SpacetitoX @ 3 Dec 2019, 22:54) *
Encore une journée ou l'ont m'a dit android c'est bien mieux car c'est ouvert... Qu'est-ce que je me marre.

Et encore une journée ou un type sous-entend que le code proprio c'est mieux... Qu'est-ce que je me marre.
Voila ce qui arrive quand on utilise des arguments fallacieux! L'ouverture du code est par nature plus sécurisé même si ça n’empêche pas des erreurs!



--------------------
Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde....
Mac Plus, SE 30,SI,CI,LC 1,2,3,4,imac G3, G4 Tour,imac intel, mac book 13",Dell Precision
Go to the top of the page
 
+Quote Post
ungars
posté 3 Dec 2019, 23:23
Message #10


Adepte de Macbidouille
*

Groupe : Membres
Messages : 216
Inscrit : 23 Aug 2003
Membre no 9 180



Citation (otto87 @ 3 Dec 2019, 23:06) *
Citation (SpacetitoX @ 3 Dec 2019, 22:54) *
Encore une journée ou l'ont m'a dit android c'est bien mieux car c'est ouvert... Qu'est-ce que je me marre.

Et encore une journée ou un type sous-entend que le code proprio c'est mieux... <a href="http://&quot;https://www.forbes.com/sites/thomasbrewster/2019/03/27/millions-are-being-lost-to-apple-pay-fraudwill-apple-card-come-to-the-rescue/&quot;" target="_blank">Qu'est-ce que je me marre.</a>
Voila ce qui arrive quand on utilise des arguments fallacieux! L'ouverture du code est par nature plus sécurisé même si ça n’empêche pas des erreurs!

Oui, c'est super, comme ceci https://news.sophos.com/fr-fr/2018/10/19/bu...cter-gentiment/
Go to the top of the page
 
+Quote Post
otto87
posté 4 Dec 2019, 00:50
Message #11


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 064
Inscrit : 12 Jun 2009
Membre no 137 508



Citation (ungars @ 4 Dec 2019, 00:23) *
Citation (otto87 @ 3 Dec 2019, 23:06) *
Citation (SpacetitoX @ 3 Dec 2019, 22:54) *
Encore une journée ou l'ont m'a dit android c'est bien mieux car c'est ouvert... Qu'est-ce que je me marre.

Et encore une journée ou un type sous-entend que le code proprio c'est mieux... <a href="http://&quot;https://www.forbes.com/sites/thomasbrewster/2019/03/27/millions-are-being-lost-to-apple-pay-fraudwill-apple-card-come-to-the-rescue/&quot;" target="_blank">Qu'est-ce que je me marre.</a>
Voila ce qui arrive quand on utilise des arguments fallacieux! L'ouverture du code est par nature plus sécurisé même si ça n’empêche pas des erreurs!

Oui, c'est super, comme ceci https://news.sophos.com/fr-fr/2018/10/19/bu...cter-gentiment/


Parfait Apple l'utilise biggrin.gif (à moi la force du boomerang! wink.gif ) , le cumul du libre et du proprio laugh.gif
Mais bon c'est facile de critiquer ceux qui corrigent les failles en quelques heures quand un autre les laisse traîner pendant des mois, et même les laisse traîner pendant des mois alors que des gros barbus les ont corrigées en quelques heures tongue.gif
Bordel les méfaits de la religion!
PS : j'ai aussi été un religieux, mais bon je m'en suis sorti!

Ce message a été modifié par otto87 - 4 Dec 2019, 01:39.


--------------------
Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde....
Mac Plus, SE 30,SI,CI,LC 1,2,3,4,imac G3, G4 Tour,imac intel, mac book 13",Dell Precision
Go to the top of the page
 
+Quote Post
dtb06
posté 4 Dec 2019, 05:04
Message #12


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 989
Inscrit : 12 Jul 2011
Membre no 168 764



Citation (Oncle Sophocle @ 3 Dec 2019, 20:18) *
Moi j'm'en phous, mon téléphone ne me sert qu'à téléphoner, recevoir ou envoyer des SMS (pas des emails), gérer mes alertes de calendrier, et très épisodiquement et seulement quand j'en ai besoin, à me connecter à l'internet quand je veux utiliser mon logiciel de cartographie. Et jamais pour payer les achats.
Cela dit, chacun choisit les risques qu'il veut prendre... wink.gif



Tu te crois à l'abri avec les SMS ?
https://www.nextinpact.com/brief/des-millio...libre-10515.htm


--------------------
PC Core i7 [email protected] Radeon 390X, RAM [email protected], SSD Samsung 950PRO NVMe M.2 256Go + SSD Crucial BX200 960Go. Win10.
Portable Dell XPS 15'' Core i7 [email protected] Geforce 1050Ti MaxQ, Ecran 4K tactile, RAM 16Go, SSD NVMe M.2 500Go. Win10.
PC Media Center [email protected],33GHz RAM 8Go, SSD Crucial M4 256Go + DD 2To. Linux Ubuntu+XBMC.
MacBookPro "Mi-2009" [email protected],26GhHz 9400m, RAM 8Go, SSD Samsung 950EVO 1To + BX500 480Go. El Capitan.
Powerbook "Firewire" [email protected] RAM 1Go, DD 40Go, carte AirPort (wifi b) + carte PCcard wifi (wifi n). OSX Tiger.
PowerMac "Quicksilver" [email protected] RAM 1,25Go, DD 40Go+DD 200Go, carte AirPort (wifi b) + dongle USB wifi (wifi n). MacOS9.2.2/OSX Tiger/Linux Mint PPC.
Go to the top of the page
 
+Quote Post
codeX
posté 4 Dec 2019, 08:38
Message #13


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 818
Inscrit : 18 Mar 2009
Membre no 133 029



Citation (otto87 @ 4 Dec 2019, 01:50) *
PS : j'ai aussi été un religieux, mais bon je m'en suis sorti!

Tu ne devrais pas te vanter d’avoir été religieux. C’est le genre de dogme qui attaque fort les neurones et qui laisse des traces de débilité même quand on a tout fait pour y échapper.

Sinon, à part ça, le 500éme plus gros se porte bien ?


--------------------
Membre de l'AFSH - Bonjour chez vous

Mais avec de la vaseline Apple, tu ne sens presque rien...
zoso2k1. MacBidouille. 12 décembre 2014.
Go to the top of the page
 
+Quote Post
downanotch
posté 4 Dec 2019, 09:12
Message #14


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 546
Inscrit : 11 Apr 2012
Membre no 175 864



Citation (otto87 @ 4 Dec 2019, 00:50) *
Citation (ungars @ 4 Dec 2019, 00:23) *
Citation (otto87 @ 3 Dec 2019, 23:06) *
Citation (SpacetitoX @ 3 Dec 2019, 22:54) *
Encore une journée ou l'ont m'a dit android c'est bien mieux car c'est ouvert... Qu'est-ce que je me marre.

Et encore une journée ou un type sous-entend que le code proprio c'est mieux... <a href="http://&quot;https://www.forbes.com/sites/thomasbrewster/2019/03/27/millions-are-being-lost-to-apple-pay-fraudwill-apple-card-come-to-the-rescue/&quot;" target="_blank">Qu'est-ce que je me marre.</a>
Voila ce qui arrive quand on utilise des arguments fallacieux! L'ouverture du code est par nature plus sécurisé même si ça n’empêche pas des erreurs!

Oui, c'est super, comme ceci https://news.sophos.com/fr-fr/2018/10/19/bu...cter-gentiment/


Parfait Apple l'utilise

Apple utilise OpenSSH, pas libssh.
Go to the top of the page
 
+Quote Post
malhomme
posté 4 Dec 2019, 09:36
Message #15


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 188
Inscrit : 4 Jul 2002
Lieu : Le Mans
Membre no 2 835



Intéressant. mon smartphone est une clef obligatoire d'accès au réseau sécurisé de mon entreprise cliente par délivrance d'un token calculé.
Bon c'est pas non plus critique, c'est juste le secteur nucléaire d'une grande entreprise française d'électricité.


--------------------
" - chuis fatigué... T'es pas fatigué toi ?
- Je frise le coma"
Go to the top of the page
 
+Quote Post
mirmidon
posté 4 Dec 2019, 10:15
Message #16


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 891
Inscrit : 6 Apr 2007
Lieu : Un peu plus à droite...
Membre no 84 228



Citation (Oncle Sophocle @ 3 Dec 2019, 20:18) *
Moi j'm'en phous, mon téléphone ne me sert qu'à téléphoner, recevoir ou envoyer des SMS (pas des emails), gérer mes alertes de calendrier, et très épisodiquement et seulement quand j'en ai besoin, à me connecter à l'internet quand je veux utiliser mon logiciel de cartographie. Et jamais pour payer les achats.
Cela dit, chacun choisit les risques qu'il veut prendre... wink.gif


Si tu utilises maps.me tu n'as même plus besoin de te connecter, sauf pour faire les mises à jours (je n'en fais pas plus d'une par an)
Go to the top of the page
 
+Quote Post
zebigbug
posté 4 Dec 2019, 10:33
Message #17


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 447
Inscrit : 26 Apr 2004
Membre no 18 117



Citation (otto87 @ 3 Dec 2019, 23:06) *
Citation (SpacetitoX @ 3 Dec 2019, 22:54) *
Encore une journée ou l'ont m'a dit android c'est bien mieux car c'est ouvert... Qu'est-ce que je me marre.

Et encore une journée ou un type sous-entend que le code proprio c'est mieux... <a href="http://&quot;https://www.forbes.com/sites/thomasbrewster/2019/03/27/millions-are-being-lost-to-apple-pay-fraudwill-apple-card-come-to-the-rescue/&quot;" target="_blank">Qu'est-ce que je me marre.</a>
Voila ce qui arrive quand on utilise des arguments fallacieux! L'ouverture du code est par nature plus sécurisé même si ça n’empêche pas des erreurs!


La faille la plus importante sur Android c'est l'utilisateur qui accorde l’accès a ses contacts ou ses données à des applications comme la lampe de poche.
Sur coyote par exemple le logiciel gps demande un accès pour gérer les appels , j'ai posé la question , je n'ai jamais eu de réponses.
Pourquoi un avertisseur de danger doit il passer des appels ??
Hier une émission expliquait que sur android , on pouvait hacker le système via une fausse application , qui demandait de nombreux accès validés par l'utilisateur.

Mais personnellement je me marre aussi quand je vois des gens achetés des iphone 7
Smartphone Apple iPhone 7 Noir 32 GO 439,00€
Ecran compact 4,7" soit 11,9 cm
Stockage élevé 32 Go
Batterie standard 1960mAh
Mémoire RAM 2 Go

Smartphone Xiaomi Mi 9T Pro Noir 429
Ecran large 6,4" soit 16,25 cm
Stockage élevé 64 Go
Batterie très longue durée 4000mAh
Mémoire RAM 6 Go

vi vi moi aussi je me marre .

Oui mais l'iphone est mit à jour plus souvent , va t on me répondre...

Oui et non selon les marques , il existe des roms alternatives .

Mais est il si important que cela de mettre le téléphone a jour ?
Cette question , je me la pose sérieusement surtout en terme de sécurité.
Tous les piratages des téléphones sont du a des applications et leurs droits.
les failles sur les téléphones android ou Apple nécessite d'avoir un accès physique à l'appareil.

Si une personne a la réponse , j'apprécierais beaucoup
Go to the top of the page
 
+Quote Post
SartMatt
posté 4 Dec 2019, 10:36
Message #18


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 31 477
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (malhomme @ 4 Dec 2019, 09:36) *
Intéressant. mon smartphone est une clef obligatoire d'accès au réseau sécurisé de mon entreprise cliente par délivrance d'un token calculé.
Bon c'est pas non plus critique, c'est juste le secteur nucléaire d'une grande entreprise française d'électricité.
À priori, ce malware ne présente pas de risque à ce niveau là.

Tout d'abord, il ne permet pas de visualiser ce qui s'affiche sur l'écran du téléphone, il ne peut que récupérer une partie de ce qui est saisi, récupérer les SMS, les photos et certains autres fichiers. Dans l'application de génération de token de ta boîte, il pourra récupérer le mot de passe que tu saisis pour générer un token, et rien d'autre. Mais ce mot de passe est totalement inutile ailleurs que dans l'application installée sur ton téléphone.

Ensuite, quand bien même il arriverait à lire le token généré par l'application, par exemple s'il arrivait à déclencher un screenshot, le token fourni par l'application mobile ne suffit pas à se connecter au VPN, il faut aussi ton id d'employé, qui n'est pas renseigné dans l'application (donc pas accessible pour celui qui aurait éventuellement capturé ce que donne l'application*), et surtout, il faut que tu ais sur ton poste les certificats qui vont bien pour te connecter au VPN. En installant le même logiciel VPN sur un poste non fourni par la boîte, même en ayant tes identifiants, ça ne marchera pas (j'en connais qui ont essayé...).

* il peut par contre éventuellement le récupérer si tu le saisis dans une autre application de la boîte, qui passe par l'autre système d'authentification, celui où tu saisis ton identifiant d'employé et ton mot de passe. Mais pour ça il faut qu'il simule l'écran de connexion de ces applications, et là le risque en pratique est très faible : c'est un écran spécifique, avec le logo de la boîte, etc... Le pirate lambda qui cherche surtout à s'en mettre plein les poches en récupérant des infos bancaires, il va pas s'amuser à reproduire cet écran. Donc à moins d'une attaque vraiment très ciblée, il n'y a pas trop de risque. Et même face à une attaque ciblée, il faut quand même aussi que l'attaquant ait les certificats de la boîte pour la connexion VPN, et ça c'est pas sur le téléphone qu'il les récupérera, vu que le téléphone ne se connecte pas au VPN.


--------------------
Go to the top of the page
 
+Quote Post
g4hd
posté 4 Dec 2019, 11:04
Message #19


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 7 961
Inscrit : 9 Nov 2001
Lieu : Mucem et Fort St Jean
Membre no 1 255



Je fais plusieurs fois par mois des achats sur le net.
Au moment du paiement, si l'option PayPal existe, je la choisis.
En effet, c'est vraiment leur métier, les manipulations sont simples et franches, il y a un relevé d'achats et surtout : je n'ai jamais lu que PayPal ait été braqué… ce serait trop grave pour leur existence !

Mais souvent, c'est un paiement via une app cryptée et https où le choix est contraint CB ou Visa avec tous les numéros et même le code à 3 chiffres.
Ensuite, je dois valider avec un code aléatoire à retourner…
Bon ! Ce sont des sites ayant pignon sur rue, mais j'ai toujours une appréhension.

Selon vous, quelle meilleure alternative pour des achats sur le net ?

Ce message a été modifié par g4hd - 4 Dec 2019, 11:11.


--------------------
MacPro Trashcan - quad 3,7 - 32 Go - SSD 1To OWC - Catalina
iPad pro 12,9 A12z - cellular - 500 Go

♥️ Qobuz, du vrai bon son en streaming, ça existe et c'est français !
Go to the top of the page
 
+Quote Post
SartMatt
posté 4 Dec 2019, 11:21
Message #20


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 31 477
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (g4hd @ 4 Dec 2019, 11:04) *
Selon vous, quelle meilleure alternative pour des achats sur le net ?
Le mieux, je pense que c'est d'utiliser des numéros de CB jetables. Si ta banque n'offre pas cette possibilité, il y a le service Max qui permet de le faire gratuitement. Bon, il y a toutefois un côté serpent qui se mord la queue si tu te fais piquer tes identifiants d'accès à l'application Max... Mais ces identifiants ne sont pas à saisir à chaque fois, une fois l'application configurée tu peux utiliser la biométrie, ce qui limite le risque de te les faire piquer.

Une autre solution peut être d'utiliser une carte sur laquelle tu peux bloquer/débloquer la carte à la volé, voire mieux, bloquer/débloquer le droit d'acheter sur Internet. Tu débloques, tu fais ton achat, tu rebloques. Mais du coup ça ne marche pas sur certains sites qui n'envoient pas la demande à la banque immédiatement... La plupart des néo-banques et banques en ligne offrent cette possibilité. Cette fonction est notamment disponible chez Max (blocage Internet et blocage hors France), chez Orange (blocage Internet et blocage global), Revolut (blocage global) et ING (blocage global). De mémoire, c'est aussi dispo chez Fortuneo, uniquement pour le blocage Internet.

L'idéal serait une application permettant de générer des CB jetables après une authentification "en dur", via une clé FIDO U2F, ou tout bêtement en lisant via NFC la CB physique. Le seul risque que je vois dans ce cas, c'est si le pirate intercepte le numéro jetable et arrive à l'utiliser avant que le commerçant ne l'ait utilisé... Pour ça l'étape suivante serait que chaque commerçant ait un identifiant de débiteur et qu'à la génération de la CB jetable tu renseignes cet identifiant, pour que la CB soit directement verrouillée sur ce débiteur, alors qu'actuellement une CB jetable est juste verrouillée sur le premier débiteur à l'utiliser (parfois même par verrouillée du tout, avec juste un plafond de débit).

Ce message a été modifié par SartMatt - 4 Dec 2019, 11:31.


--------------------
Go to the top of the page
 
+Quote Post
Oncle Sophocle
posté 4 Dec 2019, 11:46
Message #21


Adepte de Macbidouille
*

Groupe : Membres
Messages : 208
Inscrit : 16 Jan 2014
Lieu : Belfort
Membre no 188 887



Citation (dtb06 @ 4 Dec 2019, 06:04) *
Citation (Oncle Sophocle @ 3 Dec 2019, 20:18) *
Moi j'm'en phous, mon téléphone ne me sert qu'à téléphoner, recevoir ou envoyer des SMS (pas des emails), gérer mes alertes de calendrier, et très épisodiquement et seulement quand j'en ai besoin, à me connecter à l'internet quand je veux utiliser mon logiciel de cartographie. Et jamais pour payer les achats.
Cela dit, chacun choisit les risques qu'il veut prendre... wink.gif



Tu te crois à l'abri avec les SMS ?
https://www.nextinpact.com/brief/des-millio...libre-10515.htm


Quand j'envoie ou reçois des SMS, mon téléphone n'est pas connecté (ni WiFi, ni BT, ni 4G) et je ne lis que les SMS émis par des personnes (famille, fournisseurs...) auxquelles je sais avoir donné mon n° de téléphone. Qu'est-ce que je risque ?
Go to the top of the page
 
+Quote Post
malhomme
posté 4 Dec 2019, 12:00
Message #22


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 188
Inscrit : 4 Jul 2002
Lieu : Le Mans
Membre no 2 835



Citation (SartMatt @ 4 Dec 2019, 10:36) *
Tout d'abord, il ne permet pas de visualiser ce qui s'affiche sur l'écran du téléphone, il ne peut que récupérer [...]

et ça c'est pas sur le téléphone qu'il les récupérera, vu que le téléphone ne se connecte pas au VPN.


Merci de tes explications didactiques et ton soin de les partager ici.


--------------------
" - chuis fatigué... T'es pas fatigué toi ?
- Je frise le coma"
Go to the top of the page
 
+Quote Post
danyaile
posté 4 Dec 2019, 15:25
Message #23


Adepte de Macbidouille
*

Groupe : Membres
Messages : 135
Inscrit : 18 Oct 2004
Membre no 25 378



Citation (g4hd @ 4 Dec 2019, 12:04) *
Selon vous, quelle meilleure alternative pour des achats sur le net ?


La meilleure alternative selon moi : utiliser des cartes virtuelles à usage unique.
Malheureusement selon les banques leur usage est payant ou gratuit mais restreint à un certain nombre par mois.

Cordialement,
Go to the top of the page
 
+Quote Post
djdoxy
posté 4 Dec 2019, 20:34
Message #24


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 895
Inscrit : 17 Apr 2002
Lieu : Entre Nîmes et Montpellier
Membre no 2 280



Citation (danyaile @ 4 Dec 2019, 16:25) *
Citation (g4hd @ 4 Dec 2019, 12:04) *
Selon vous, quelle meilleure alternative pour des achats sur le net ?


La meilleure alternative selon moi : utiliser des cartes virtuelles à usage unique.
Malheureusement selon les banques leur usage est payant

Ah ces banquiers... ils ne perdent par leur sale habitude de nous faire payer (à nous) les assurances qui les protegent (eux)
Quand on prend un crédit par exemple, c'est le client qui paie l'hypoteque... et sa levée!

En cas d'utilisation frauduleuse de votre carte bancaire (=sans votre signature, votre code confidentiel ou le code 3D Secure recu par texto) alors elle obligation de vous rembourser (sans que vous ayez à souscrire une quelconque assurance (articles L.133-18 et L.133-23 du Code monétaire et financier)

Ce message a été modifié par djdoxy - 4 Dec 2019, 21:18.


--------------------
Heureux switcher depuis le 18/02/2005 mais désormais apostat
Hackintosh Core i5 3.4Ghz sur P8Z77-V avec une RX580 sous Mac OS X Mojave
Go to the top of the page
 
+Quote Post
Tom25
posté 5 Dec 2019, 00:03
Message #25


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 977
Inscrit : 27 Jul 2008
Lieu : Besançon
Membre no 118 630



J'espère avoir mal compris ce que j'ai lu plus haut. Je m'emporte contre les religions quand certains l'utilisent pour justifier des actes malveillants, mais traiter tous ceux qui ont la foi de décérébrer me choque.


--------------------
Mon site web où je me présente et où se trouvent mes chtits programmes.
Go to the top of the page
 
+Quote Post
zero
posté 5 Dec 2019, 01:32
Message #26


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 842
Inscrit : 25 Nov 2001
Membre no 1 397



Citation (danyaile @ 4 Dec 2019, 23:25) *
Citation (g4hd @ 4 Dec 2019, 12:04) *
Selon vous, quelle meilleure alternative pour des achats sur le net ?


La meilleure alternative selon moi : utiliser des cartes virtuelles à usage unique.
Malheureusement selon les banques leur usage est payant ou gratuit mais restreint à un certain nombre par mois.

Cordialement,

Oui, enfin, ça dépend où l'on achète. Il y a des sites où l'on peut acheter via un système comme Paypal par exemple. Ça protège mieux l'acheteur que ces "cartes" à usage unique.

Ce message a été modifié par zero - 5 Dec 2019, 01:42.
Go to the top of the page
 
+Quote Post
SartMatt
posté 5 Dec 2019, 09:39
Message #27


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 31 477
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (zero @ 5 Dec 2019, 01:32) *
Citation (danyaile @ 4 Dec 2019, 23:25) *
Citation (g4hd @ 4 Dec 2019, 12:04) *
Selon vous, quelle meilleure alternative pour des achats sur le net ?


La meilleure alternative selon moi : utiliser des cartes virtuelles à usage unique.
Malheureusement selon les banques leur usage est payant ou gratuit mais restreint à un certain nombre par mois.

Cordialement,

Oui, enfin, ça dépend où l'on achète. Il y a des sites où l'on peut acheter via un système comme Paypal par exemple. Ça protège mieux l'acheteur que ces "cartes" à usage unique.
En France, on est bien mieux protégé par une carte à usage unique que par PayPal : avec une carte à usage unique, tu bénéficies de la même protection légale que sur les CB. En cas de transaction frauduleuse, tu as juste à la contester, sans avoir à rien justifier, et la banque est obligée d'annuler l'opération, et c'est ensuite à elle d'éventuellement prouver que ta contestation n'était pas légitime. La banque doit annuler la transaction et toutes ses conséquences (si par exemple tu t'es retrouvé à découvert, même si c'était pas directement après cette opération, elle doit annuler les agios). Et ces CB à usage unique permettent aussi de s'assurer que le commerçant ne prélèvera pas plus que ce qu'il avait indiqué, ce qui n'est pas toujours le cas avec PayPal (PayPal propose différents modes de transactions, dans certains cas tu autorises le commerçant à émettre plusieurs prélèvements et sans limite de montant).

Avec PayPal, au mieux ils te remboursent juste la transaction frauduleuse, sans les éventuelles conséquences indirectes (découverts, etc...), avec un délai de remboursement plus long (une transaction CB, ça doit être immédiat... la fois où ça m'est arrivé, c'était annulé avant même que j'ai reçu l'accusé de réception de mon courrier), un délai de contestation plus court (tu n'as que 60 jours pour contester, contre 13 mois pour une CB). Et cerise sur le gâteau, ça passe par l'interface client de PayPal, ce qui fait que si ton compte PayPal a été volé et que tu n'y accèdes plus, ça devient très compliqué de contester...


Accessoirement, à la base la question que se posait g4hd est quelle est la meilleure alternative quand PayPal n'est pas proposé : https://forum.macbidouille.com/index.php?ac...mp;qpid=4302845
Donc la meilleure alternative à PayPal, c'est PayPal rolleyes.gif Comme quoi, y a pas que mes messages que tu lis pas avant de répondre...

Pour ceux qui trouveraient le message de g4hd trop long pour être lu, un petit résumé :
Citation (g4hd @ 4 Dec 2019, 11:04) *
si l'option PayPal existe, je la choisis. [...] Mais souvent, c'est un paiement via une app cryptée et https où le choix est contraint CB ou Visa avec tous les numéros et même le code à 3 chiffres. [...] Selon vous, quelle meilleure alternative pour des achats sur le net ?


Ce message a été modifié par SartMatt - 5 Dec 2019, 10:07.


--------------------
Go to the top of the page
 
+Quote Post
zero
posté 6 Dec 2019, 01:58
Message #28


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 842
Inscrit : 25 Nov 2001
Membre no 1 397



Citation (SartMatt @ 5 Dec 2019, 17:39) *
Et ces CB à usage unique permettent aussi de s'assurer que le commerçant ne prélèvera pas plus que ce qu'il avait indiqué, ce qui n'est pas toujours le cas avec PayPal (PayPal propose différents modes de transactions, dans certains cas tu autorises le commerçant à émettre plusieurs prélèvements et sans limite de montant).

Avec PayPal, au mieux ils te remboursent juste la transaction frauduleuse, sans les éventuelles conséquences indirectes (découverts, etc...), avec un délai de remboursement plus long (une transaction CB, ça doit être immédiat... la fois où ça m'est arrivé, c'était annulé avant même que j'ai reçu l'accusé de réception de mon courrier), un délai de contestation plus court (tu n'as que 60 jours pour contester, contre 13 mois pour une CB).

J'utilise souvent PayPal pour faire des achats. Je paie la somme indiquée et on m'envoie l'achat une fois le paiement effectué. Le commerçant ne peut pas prélèver plus. J'ai parfois enclenché des litiges (on a 6 mois pour ça et non pas 60 jours!) parce que je n'ai rien reçu ou l'objet ne correspondait pas, j'ai été remboursé peu de temps après sans réel justification.

Ce message a été modifié par zero - 6 Dec 2019, 02:01.
Go to the top of the page
 
+Quote Post
SartMatt
posté 6 Dec 2019, 08:19
Message #29


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 31 477
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (zero @ 6 Dec 2019, 01:58) *
Le commerçant ne peut pas prélèver plus.
Encore une fois, ça dépend du mode de paiement PayPal utilisé... Il y a des modes (les plus souvent utilisés) où tu donnes ton autorisation pour une seule transaction et un montant précis, mais il y a aussi des modes qui permettent plusieurs transactions sans limite (utilisés notamment pour les paiements récurrents, mais je suis déjà tombé sur des cas où c'était utilisé pour du non récurrent... par exemple, là tout de suite, en consultant la liste de mes autorisations dans PayPal, je vois qu'en plus des sociétés auprès de qui j'ai des abonnements, j'ai des autorisations pour la Fnac, pour Epic Games, pour Steam, pour Microsoft... et autant je me rappelle l'avoir donnée pour les trois dernières, autant pour la première, je l'ai visiblement fait sans même m'en rendre compte...).

Après, le risque c'est aussi et surtout le risque de vol d'identifiants, et là là question du montant autorisé ou non ne se pose pas, celui qui a volé les identifiants donne les autorisations qu'il veut.

Citation (zero @ 6 Dec 2019, 01:58) *
J'ai parfois enclenché des litiges (on a 6 mois pour ça et non pas 60 jours!) parce que je n'ai rien reçu ou l'objet ne correspondait pas, j'ai été remboursé peu de temps après sans réel justification.
Je veux bien te croire sur parole. Mais le site de PayPal, il dit bien 60 jours : https://www.paypal.com/fr/webapps/mpp/secur...icious-activity

"Vous avez 60 jours après la transaction pour nous signaler qu'il s'agit d'une transaction frauduleuse."

Et de toute façon, même 6 mois, ça reste une protection inférieure à celle de la CB, tout en étant une protection limitée au remboursement de la transaction et à la bonne volonté de PayPal, là où la protection sur la CB consiste en une annulation de la transaction, avec toutes ses conséquences directes et indirectes (précisément, la loi dit : "rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu") et sans délai ("immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant").


--------------------
Go to the top of the page
 
+Quote Post
zero
posté 6 Dec 2019, 10:07
Message #30


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 842
Inscrit : 25 Nov 2001
Membre no 1 397



SartMatt, tu réagis sur ce que tu as dis pas sur ce que j'ai dit. Je parle de litige à cause d'un achat qui s'est mal passé. Comme le l'ai dit, ça dépend où l'on achète (j'aurais dû mettre aussi "et de ce qu'on achète" spécialement pour toi.)
Sinon, pour un abonnement, je ne sais pas. J'en ai jamais pris avec PayPal et je ne savais pas qu'on pouvait le faire avec une carte à usage unique.

Ce message a été modifié par zero - 6 Dec 2019, 10:26.
Go to the top of the page
 
+Quote Post

2 Pages V   1 2 >
Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 31st March 2020 - 03:47