Des claviers virtuels pour défendre la banque sur Internet

Je crains pour les handicapé visuel et moteurs qui se servent massivement d'internet pour gerer leur comptes banquaires ...

ça ne change rien. un gros clavier à l'écran et 6 clics, où est la difficulté ? rien de fondamentalement différent, c'est pas comme si on demandait de reconstituer un puzzle ou de cliquer 20 fois.

Tu parle de personne qui on la vue qui baisse? Mais ceux qui ne vois absolument rien, il fond comment. Ou alors ceux qui ne peuvent pas utiliser une sourie?

Pour les manchots aveugles, c'est déja difficile de se servir du systéme actuel...
Bon blague à part : ceux qui ont la vue qui baisse peuvent utiliser les options d'accésibilité de windows qui permettent aux mal voyants de pouvoir lire ce qui est à l'écran.
Ceux qui ne peuvent pas utiliser de souris ont surement le même probléme avec le clavier, qui est un périphérique d'entrée encore plus compliqué à utiliser qu'une souris car comportant 105 touches.
Pour les non voyants, c'est surement trés problématique aussi et ils sont déja surement embétés par le systéme actuel qui de toutes façons oblige à lire ce qui est ecrit à l'ecran...
Je ne crois pas que l'accessibilité soit parfaite avec le systéme actuel, elle ne sera surement pas meilleure, mais elle aura le mérite d'etre plus sûre...
C'est déja ça non ?

Les aveugles utilisent ce que l'on appelle un naviguateur braille, ou alors un logiciel qui vas leur lire la pages..., ainsi il peuvent tres bien visiter n'importe qu'elle site, remplire des formulaire ou n'importe quoi d'autre. Il y as une seul chose qu'il ne peuvent pas faire, voir une image... Or le nouveaux systéme est uniquement baser dessu...

PS : J'esagére un peux car ne non voyant peux tout faire si et seulement si le webmaster as bien fait sont travaille confert wai du w3c...


Si la personne tremble elle aurat beaucoup de mal à utiliser une sourie, mais moins pour un clavier...


L'accecibiliter ne pouras jamais être parfaite une personne qui à un handicape ne pouras jamais le corriger grace à un site... Mais l'accecibiliter et à travailler et non pas à ignorer. Car même si les personnes avec un handicape son minoritaire, ce sont des personnes qui son tres demandeuse de nouvelle technologie... Un aveugle peux acheter en ligne ce qu'il ne pourais pas faire dans un magazin, il peux consulter son compte banquaire tout les jour alors que sans c'est la croix et la baniére pour le faire autrement...


Pour les medicament souvant on dit que plus c'est mauvais mieux il agit... Ce que nous fond les banque c'est la même chose, c'est plus pénible et plus contreignant et il faut les croire sur parole que c'est mieux... Il existe des logiciel qui fond des capture d'écrant et qui saisice les clic de sourie... Un événement sur l'arriver sur la pages bnp, photo, saisie des clic de sourie, fin sur le fait de quitter la pages... Et voilà on à piquer le code. Oui un peux plus complexe, mais bon pour x fois 1000€ c'est pas si chere payer...

A trop vouloire ignorer les minoriter, un jour ce seras nous la minoriter oublier. Qui trouverais normale que l'on suprime les trotoire pour que les automobiliste est plus de place...

C'est plutôt une bonne initiative et un gain de sécurité. Mais on nous demande de retenir en plus des informations. Comme si nous n'avions pas assez de code et de numéros à retenir. Ce qui était rapide et simple va devenir long et lourd à la longue. Mais bon s'il compliquer pour sécuriser. Allons-y !!

Rien de plus facile que d'écrire un keylogger qui fait des captures d'écran quand il détecte qu'il se trouve sur le site de la bnp, et qui enregistre les coordonnées des clics associés... C

Ca ne sert à rien ce truc... Un pur gadget poudre aux yeux pour économiser à mise à dispostion des clients d'une calculette vraie RSA qui génère des codes différents à chaque fois (c'est ce que font les banques américaines pour leur clients... sont sérieux eux au moins)

ok un key logger récupère tes clics et ensuite il en fait quoi? le code est valable une seule fois?

Maintenant si c'est pour une collection...

où avez-vous vu qu'il fallait se rappeler d'un code supplémentaire ? on a déjà besoin de ce code pour se connecter au site de sa banque ! au contraire le journaliste parle d'une carte pour ajouter de la sécurité sans nous ajouter de code à se rappeler(antiphishing entre autres) !

d'un côté il y a ceux qui se plaignent de la complexité (ouh là là un code à 6 chiffres), de l'autre ceux qui veulent une surprotection avec code unique obtenu par fax, sms, mail (blabla RSA, blabla les américains). Réfléchissez et vous verrez que la carte que le client garde avec lui avec une question différente à chaque fois est un très bon compromis (relisez l'article 7 fois avant de poster).

Oui la grille change. Mais ton code ne change pas.
Si ton code est "365" par exemple, avec les captures d'écran et les clics de souris, il sera facile de détecter que tu as appuyé sur la case correspondant au "3", puis celle au "6", puis celle au "5". Ca y'est, en une séquence de capture, le pirate a déjà ton code secret. La grille peut bien changer à chaque fois, ce n'est pas un problème.

Pour la CCF Keypass, même principe : "quel est le chiffre correspondant à la position 10 ?". Plus qu'à enregistrer la réponse. Certes reproduire la grille va prendre un peu de temps... Mais pour vider ton compte bancaire en un virement, ça vaut le coup de patienter un peu. Ne t'inquiète pas, il y aura bien des pirates qui auront la patience. Et puis même avec juste une partie de la grille, on a quelques chances de retomber sur une question déjà posée où à laquelle on peut déjà répondre...

1/ Concernant la carte du CCF, il suffit de faire un peu de cacul de stat pour trouver le nombre de connexion minimum à intercepter pour obtenir la grille : 3 positions sont demandée parmi 16, et dans l'ordre. C'est à dire que la probabilité de trouver au hasard la bonne combinaison est de 1/3360
En théorie, si on a la malchance de se voir demander 3 chiffres différents à chaque fois, il suffira d'intercepter 6 saisies, mais cette probabilité est très faible 1/20922789888000
2/ concernant le clavier virtuel, c'est la valeur des touches qui changent à chaque fois, pas leur affichage à l'écran... c'est le principe du défi/réponse : la valeur réelles des touches du clavier dépend du code de l'utilisateur et d'un aléa généré par le serveur. Ainsi, l'utilisateur clique sur 2, le navigateur envoie 2, mais le serveur sait que pour cette instance unique du clavier 2 vaut 7, et ainsi de suite. Donc, même avec interception, le keylogger n'aura aucune donnée pertinente à exploiter.
3/ tu ne peux pas vider un compte en une seule fois... il y a des seuils d'alerte sur les virements ! Et il faudrait encore que le pirate puisse saisir le RIB correspondant au compte destinataire. Et les banques ont limités cette fonction.
4/ pour vider un compte, il faut faire des virements... le destinaire de ces virements est connu... le pirate se fait donc arrété !
(ou alors le pirate utilise le compte d'un complice naif, une "mule", qui retire le liquide et lui transfert par Western Union, et c'est la mule qui se fait arrété, et généralement c'est assez rapide).

En effet, il peut faire des screens de l'ecran. Mais alors la, autre problem...
1) il va faire un screen a chaque fois que l'on click ? sa va etre un peu dur quand meme, le disque va vite etre plein... et dans les millier de screen de la journee il faut retrouver les bon

2) Envoyer des milliers d'image sur interet, je pense que c'est plutot visible

puisque ce qui est affiché n'est pas le code réel...
que ce soit des copies d'écran, de l'interception du clavier, ou des données en transit :
1/ ce ne sont pas les "vraies" données puisqu'elles résultent d'un calcul effectué par le serveur, et dont le résultat RESTE sur le serveur, à partir du code du client et d'un aléa généré par le serveur.
2/ elles sont à usage unique

Je suis client bnp, et je ne connais pas mon code, c'est mon naviguateur qui s'en souvien pour moi (oui j'ai confience en lui). Donc on vas devoir apprendre par coeur ce code là aussi...

Comme ça si jamais un cambrioleur passe par chez toi il peut te voler ton pc et se connecter à ta banque simplement en ouvrant ton explorateur, trés sympa pour lui...
J'espére que ce n'est pas IE ton explorateur, car ce n'est plus de la confiance mais de l'insouciance...

J'ai pas dit que je suis riche est que j'ai envie de me faire voler pour voir ce que cela donne... Avec ie, j'aurais dit que j'ai confience dans mes logiciel de securiter...

Venir chez moi, prendre des risque pour récupérer quelque centaine d'euro et de la marchandise invendable...

Programmer un logiciel pour voler potenciellement des millier de personne et recupérer en moyen des centaine d'euro 100*1000...

La securiter doit sévaluer dans les deux sence, un cure dent ne turas pas un éléphant, un tank n'est pas adapter à la mouche...

Seul des spécialiste pourais ce permetre d'essayer de voler les code d'acces à un site de bank, car pour voler ensuite en tout impuniter il faut savoir comment faire et agir vite... C'est un processuce tres long et qu'il faut savoir ciblé...

Un code numérique de 6 chiffres a une entropie maximum de 19 bits. A l'heure où les clefs 128-bit semblent "un peu justes", 19 bits font pâle figure (même si c'est vendu très cher).

En belgique quand on prend l'option gestion des comptes sur internet on nous donne une espece de petite calculette. On initialise la calculette en entrant un code pin qu'on choisit et ensuite c'est cette calculette qui genere le code pour se connecter sur le site internet. On entre notre id sur le site, le code pin dans la calculette qui renvoie une serie de chiffres qu'on saisit comme mot de passe et le tour est joue. Et meme si quelqu'un recupere ce qu'on a tape au clavier ca ne lui sert a rien puisque le mot de passe n'est valable qu'une fois.

Ca existe aussi de maniere logicielle : on nous donne un code, on le rentre dans le logiciel, et il nous donne la réponse à renvoyer.

encore + simple on envoi a chaque client une carte grandeur carte banquaire avec une liste de code a biffer, a chaque connection et il suffit de barrer la ligne de code utilisé, simple et économique, et peu être imprimer en braie pour un non voyant

Désolé de gacher votre reves mais les non voyants ne vont pas sur le net car il n'y a aucun site qui leur est possible de "comprendre". En effet sur internet 80% de ce que l'on voit ce sont des images.. Or les non voyants non pas de notions d'images et les images pas interpretables en braille..
Voila qui est dis. Par contre je suis client BNP et je trouve cette revolution interessante : il sera dorénavent plus difficile d'etre la cible d'un key logger qui avec 14 chiffres possede un acces complet aux comptes.

Bonjourt !
Je me présente :
Guillaume
Non-voyant de naissance, développeur informatique.........
Faudrait peu-t-être, mon cher ami, vous tenir un peu plus au fait, de ce qui ce fait en matière d'accessibilité avant de poster un message d'une telle ignorance,
voir même presque blessant pour la communauté des non-voyants qui, contrairement à ce que vous avez écrit, peuvent faire un très grand nombre de chose
grâce à internet et à un lecteur d'écran comme cela est mon cas ! et, oui, justement, entre autre chose, mon vieux, je consulte très régulièrement mon
compte grâce au site bnpnet !
Pour vous cultiver un peu dans le domaine de l'accessibilité, je vous invite à me contacter pour de plus amples informations !
Moralité :
Avant de poster une débilité pareille, se renseigner un brin ! ! !
P.S. : sûr, par contre, que ce système très sécurisé, devrait, dans l'avenir, m'empêcher purement et simplement de consulter mon compte bancaire via internet
et, de fait, me contraindre sans le moindre scrupule à changer de banque !
A bon entendeur ! ! !

Que de technique dans vos commentaires… Personnellement, je pense que l’authentification renforcée des utilisateurs est une bonne résolution, quelle que soit la solution technique proposée. Bien sûr, et vous avez tous raisons, chaque méthode a ses avantages et ses inconvénients. Il convient donc à la banque de définir le profil et l’environnement de ses clients (sans oublier leur capacité à s’approprier ou non de nouvelles technologies) puis d’offrir la solution la mieux appropriée.
Mais je ne pense pas que se contenter d’authentifier un utilisateur soit une fin en soit, et particulièrement lorsqu’il s’agit de dématérialiser des transactions demandant un engagement formel (demande de transfert de fonds, autorisation de prélèvement, changement de contrat…).
L’authentification forte confère un niveau de sécurité accru pour l’accès au service, mais pour SIGNER mes relations avec la banque, l’état de l’art consisterait à offrir un outil de signature électronique aux utilisateurs. Dès lors, une banque un peu plus ambitieuse, à l’instar des banques d’autres pays, se devrait de déployer des certificats numériques à ses clients… et pourquoi pas, d’ailleurs dans nos cartes bancaires… Ainsi, cette même technologie permettrait de répondre à l’authentification forte, mais aussi à la signature électronique.
Toute autre démarche, me parait beaucoup plus tenir d’une annonce marketing : ....à suivre....

... suite...

On fait croire que l’on veille à la sécurité de vos comptes, mais on accepte des transactions sans aucune signature sérieuse de votre part. La banque de demain, c’est une banque qui offre de nouveaux services, pas celle qui se contente de mettre en place un niveau de sécurité légèrement supplémentaire. Tant que nos banques ne signeront pas leurs emails (quand les conseillers ont un compte de messagerie), les attaques par phishing seront toujours aussi faciles. Qu’elle que soit la méthode d’authentification, un hacker pourra me faire croire que je suis sur le site de ma banque et que je me suis authentifié avec succès… Halte donc aux annonces technico-marketing… aillez le courage d’offrir de vraies solutions… et le marketing suivra de lui même…

L'authentification non rejouable, et il s'agit du propos de cette discution et des solutions présentées par BNP et CCF, rend caduque le phishing. L'authentifiant est à usage unique : si il est volé, il n'est pas réutilisable.
Quant à communiquer ses informations personnelles sur Internet, que ce soit ou non à un site légitime, hors de question, et c'est du simple bon sens !
Les VPCistes nous garantissent que la transaction est sécurisée puisque SSL est utilisé... c'est bien évidemment faux : ils ne prennent en compte que le transfert de l'information du navigateur à leur site web. Et ensuite... où et dans quelles conditions sont donc stockées non données ? La base de données du VPCiste est-elle sécurisée ?
Face à de nombreuses attaques de sites de paiement en ligne et de sites marchands, VISA et MasterCard ont convenu d'un accord sur une certification sécurité des acteurs du e-Commerce. Il était temps !

PS: utilisez 'pirate' en lieu et place de 'hacker', merci de faire la différence, car il y en a une !