Zeph 2023-06-29 at 07:03pm Je viens de découvrir un changement effectué par ma banque (Fortuneo) qui me semble refléter un gros problème de sécurité, je serais curieux d'avoir votre avis :
Jusqu'à il y quelques jours, pour valider un achat internet on devait passer par un "3d secure" (jamais compris le "3" d'ailleurs) en utilisant soit leur application soit un code reçu par SMS. La validation en elle-même se fait via une page intermédiaire (iframe souvent) hébergée par un tiers, parce que je suppose que ce service est délégué. Techniquement ça veut dire que le formulaire dans lequel je saisis mon code SMS est hébergé derrière un domaine qui n'appartient pas à ma banque, donc ils leur ont communiqué mon numéro de téléphone et je ne suis pas sûr d'avoir accepté ça, mais passons.
Sauf qu'il y a une nouveauté : maintenant il y a une étape supplémentaire et après avoir saisi mon code SMS, je dois également rentrer mon mot de passe client dans le même formulaire (le même que celui qui me permet de me connecter au site de la banque). Du coup ce prestataire se retrouve à connaître mon numéro de téléphone, les codes envoyés par SMS, et maintenant mon mot de passe. Je n'ai à nouveau pas accepté ça, mais surtout ça commence à me sembler gênant et risqué d'un point de vue sécurité.
Vous en pensez quoi ? J'ai tenté d'évoquer le problème au support, qui m'a répondu comme j'aurais pu m'y attendre totalement à côté de la plaque, mais pour une fois je ne suis pas sûr de vouloir lâcher l'affaire aussi rapidement, sans pour autant savoir quelle serait la bonne démarche à suivre ?
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez
par ici :)
Euh ça me semble clairement anormal, déjà pour les raisons que tu indiques, mais aussi parce que c'est contraire aux recommandations du type "ne tapez jamais votre mot de passe si vous n'êtes pas 100% certain d'être sur le site de votre banque" que toutes les banques rappellent régulièrement. Rien n'empêcherait un commerçant malhonnête de faire une page qui ressemble exactement au vrai formulaire pour récupérer tes identifiants bancaires, et je ne vois pas comment un utilisateur lambda pourrait s'en apercevoir.
Essaie de demander s'ils n'ont pas d'autres moyens d'authentification (et si on peut désactiver celui-là). Et s'ils te disent non... ben à part changer de banque, je ne vois pas vraiment de solution :/
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT TurboCe qui est dans l'iframe est normalement servit par Mastercard ou Visa, et personne d'autre.
Apres 3D c'est pour "Three Domain"
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Mais MasterCard n'a pas à connaître ton mot de passe de banque, justement.
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
peut être un binaire à la con tournant sur le serveur du vendeur, fourni par la banque, comme c'était la norme il y a 15 ans ?
mais c'est clairement pas ouf non, et en aucun cas donner le pass, wtf
et la le mec il le pécho par le bras et il lui dit '
Ce n’est pas dit ; par exemple les règles pour les SIIV des OIV sont raisonnablement explicites et l’ANSSI a des moyens pour leur taper dessus si elles ne sont pas respectées.
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Ah c'est pas bête en effet, Zeph pourrait essayer de signaler ça à l'ANSSI.
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT Turbo vince 2023-06-30 at 07:54am @zeph
justement, j'ai interrogé ma banque (et son DPO) et en gros "c'est réglementaire"
en vrai, ce qui est réglementaire c'est d'avoir du 2FA qui ne soit pas juste un simple SMS.
les banques ont donc essayé d'imposer leur app (bardées de trackers et pompant tes datas) pour gérer ça et dans le cas où tu n'as pas l'application c'est SMS + code d'accès à ton espace client pour la plupart. Dans certains cas c'est dans une popup mais dans d'autres c'est effectivement embeded dans le site du commerçant
(bourso a une autre méthode, au lieu de te demander le mdp de ton espace client, ils te disent de t'y connecter dans un autre onglet ou sur un autre device pour valider le paiement)
Uther 2023-06-30 at 08:40amEdited by Uther On the 2023-06-30 at 09:42am Pour le Crédit Agricole, leur application ne marche pas sur mon téléphone parce qu'elle le considère rooté, alors qu'il ne l'est pas : j'ai juste une installé un ROM Android basique sans les merdes de Xiaomi.
Du coup j'ai demandé à désactiver l'authentification par l'application. Maintenant pour chaque achat, on me demande le code secret permanent qui m'a été envoyé par la poste en plus d'un code envoyé par SMS.
The_CUrE 2023-06-30 at 08:48amEdited by The_CUrE On the 2023-06-30 at 08:55am A La Banque Postale, si tu n'as pas activé le Certicode via l'application, tu dois entrer ton mdp en plus du code par SMS pour valider tes achats sur les sites non considérés comme "fiables" ou pour certaines sommes (le plancher varie).
Autrement c'est le Certicode que tu as créé (5 chiffres) qui te servira.
"- Nigga you know what the fuck I want, nigga: I want your motherfuckin' Daytons, and your motherfuckin' stereo! And I'll take a double burger with cheese!
- WHUT?"
I LOVE TO HATE/I HATE YOUR LOVE -AND I CAN'T FEEL AFFECTION FOR PEOPLE LIKE YOU!
CAALGOOONNNNN [TELLMESOMETHINGIDONTKNOW SHOWMESOMETHINGICANTUSE PUSHTHEBUTTONS CONNECTTHEGODDAMNDOTS] (Si Dieu existe il doit me détester...)Tu es sur que le domaine appartient à un tiers ? Qui ça ?
Ah bin oui, un TPE à 1000€ avec une bonne puce 4/5G, pas bête...
Ca me fait peur cela-dit.