La Banque Populaire s'attaque au vol de mot de passe

Ça fait très longtemps (au moins depuis que j'utilise le service, cad min 3ans) que le crédit mutuel propose un système de sécurité supplémentaire, via une carte de "clés personnelles". Celle-ci contient une soixantaine de codes demandés aléatoirement, en plus de l'identifiant et du mot de passe, pour les virements et la génération de cartes virtuelles temporaires(achats sur internet).
Elle est changée gratuitement, et aucun pirate ne peut deviner le code demandé, puisqu'il est unique: si le code A7 demandé pour valider un virement est erroné, ce sera le code F2 qui sera demandé et ainsi de suite...(pas de brute force possible).
La BP est en retard et utilise un moyen onéreux, qu'elle fera payer à travers l'augmentation des couts globaux de ses autres services...

Ce n'est pas une révolution, c'est un mauvais choix technique, et c'est seulement aujourd'hui qu'ils réagissent! Nos économies sont décidément bien mal placées !

"La BP est en retard et utilise un moyen onéreux, qu'elle fera payer à travers l'augmentation des couts globaux de ses autres services...
Ce n'est pas une révolution, c'est un mauvais choix technique, et c'est seulement aujourd'hui qu'ils réagissent! Nos économies sont décidément bien mal placées !"

Sauf que...celà fait des années que la BP dispose de l'e-carte bleue. Une pseudo carte qui permet de générer un numéro UNIQUE à fournir en lieu et place du numéro de carte à chaque transaction...
Concernant le tarif il s'agit d'un forfait mensuel abordable (je n'ai pas le montant en tête) et inclus une assurance "livraison"...
Ce service n'est pas la propriété de la BP...

Il devient difficile de dénigrer un effort de recherche de solutions de sécurité supplémentaire non? ;)

... pourquoi faire simple quand on peut faire compliqué ?
De forfaits "abordable"s en prix dérisoires, les banques nous facturent de plus en plus de choses...
De plus, si ce n'est pas la propriété de BP, quid de la reponsabilité en cas de pb (un pirate qui hack le fonctionnement du terminal peut du coup pirater qui il veut, si le système est mal conçu... Et je ne fais aucune confiance à ceux qui ont inventé l'impiratable carte à puce de CB).

Si une solution est déjà en place et qu'elle fonctionne, pourquoi proposer une solution plus couteuse et plus compliquée (et je suppose réservée à windows) sinon dans un but marketing (pub) et pour faire du cash ?

"un pirate qui hack le fonctionnement du terminal peut du coup pirater qui il veut, si le système est mal conçu... Et je ne fais aucune confiance à ceux qui ont inventé l'impiratable carte à puce de CB"

Il faut arrêter d'aller au ciné ...

On voit bien que vous ne saveza pas de quoi vous parlez, la carte bleue est impiratable, et ce type de terminal aussi, il fonctionne sur le principe de token RSA, si vous ne connaissez rien à ces technologies, un tour sur wikipedia devrait faire l'affaire. Et en matière de sécurité, des systèmes sans faille existent (oui oui! CB et token RSA sont un exemple)

Je pense que vous devriez être un peu plus prudent dans vos propos. De nos jours, il y a suffisamment de hackeurs pour pirater les systèmes les plus sophistiqués. De plus, vous devriez savoir que la carte à puce est piratable ainsi que le token.
Alors, un peu moins de certitude dans un contexte aussi compliqué que la sécurité.
Maintenant, pour parler du système (token) mis en place par la banque, il faut savoir que cela n'apporte pas grand chose de plus. Le token ne permet pas de signer électroniquement en ligne, et la vraie valeur ajoutée pour le client de la banque serait une solution sécurisée avec cette possibilité.
En zapant sur les sites bancaires, j'ai remarqué une nouvelle solution pour les clients des banques sur le site de la Bred. Apparemment, le support authentifie par certificat électronique le client sur ses comptes bancaires. Il peut signer en ligne ses factures, contrats (dématérialisation)et acheter en 3D secure. Cette solution paraît répondre aux besoins actuels. A voir...

"On voit bien que vous ne saveza pas de quoi vous parlez, la carte bleue est impiratable, et ce type de terminal aussi, il fonctionne sur le principe de token RSA,"

Ce n'est pas ce que j'ai entendu la dernière fois que j'ai entendu un chercheur en sécurité informatique évoquer le sujet.

Je vous reporte également à un récent numéro de MISC sur le sujet.

http://www.01net.com/article/96379

Tu n'as même pas besoin de changer de site ! Tu étais en hibernation jusqu'à aujourd-hui, ou bien tu es juste naïf ?

"Si une solution est déjà en place et qu'elle fonctionne, pourquoi proposer une solution plus couteuse et plus compliquée ..."

A priori l'e-carte bleue ne permet pas de sécuriser l'accès à la gestion des comptes en ligne (virements...).
Voilà la principale nouveauté de leur nouvelle solution (sans parler du niveau de sécurité supplémentaire à terme pour les achats en ligne...mais bon ça c'est pas pour demain).

Tout est piratable c'est bien connu mais faut il devenir parano pour autant? en choisissant avec bon sens nos sites marchands, en disposant d'un ordinateur "sain" et avec une solution à base de numéro unique de transaction il me semble que l'on limite déjà bien les risques...

ou c'est pour cela que plus de deux millions d'€ manques chaques annee dans les caisses de depos de la banques de france soyons serieux cela couterait plus cher de completement changer ce system pasoiriste wikipidia haha elle est bien bonne....,sur 0hein.net

"A priori l'e-carte bleue ne permet pas de sécuriser l'accès à la gestion des comptes en ligne (virements...). "
... je le fais tous les jours avec cette solution (opérations critiques cad virement, ecarte ...chez CM) , je ne comprends pas le blocage que vous avez tous entre ecarte et virement. Un code sécurisé peut servir à tout. Donc je le redis
"Si une solution est déjà en place et qu'elle fonctionne, pourquoi proposer une solution plus couteuse et plus compliquée ..."

Ok, personnellement je n'ai pas souscris à l'e-carte bleue. Mon banquier ne m'a jamais vanté cet avantage là du produit.
Je ne manquerai pas de lui poser la question.
A bientôt

Attention, chaque banque est différente. Ce dont je parle fonctionne au crédit mutuel. Pour les autres je ne sais pas.
;)

Pas tout à fait exact jo567, car le Crédit Mutuel a développé la carte à code mais une simple photocopie de ce document rend inopérant !
Une simple photocopie ! Et oui.
Par ailleurs, le numéro provisoire de CB existe bel et bien au Crédit Mutuel mais aussi dans d'autres réseaux bancaires et en plus avec des services associés : Banque Pop par ex avec assurances incluses, Crédit Lyonnais, etc. Ton exposé est un peu light.

La caisse d'épargne utilise une astuce très simple : elle envoie par SMS un code à entrer. Pas besoin de moyen coûteux.

De prime abord, c'est plus simple, mais en fait ça nécessite de posséder un téléphone portable... Donc, pour moi ça ne coute rien (j'en ai un de toutes façons), mais tous les usagers d'internet n'ont pas forcément de portable (tranche 50ans et + surtout).
Pour ce groupe de personnes, un portable et un abonnement, ça devient déjà un moyen couteux.

Pour la caisse d'épargne, ce service dont vous faites les louanges, n'est pas disponible dans toutes les régions, habitant en Alasace, je n'ai aucun système de sécurité spécial pour faire mes achats en lignes à part mettre ma date de naissance sur les site partenaire, date de naissance qui n'est pas vraiment une sécurité en soit.

Ce système par SMS existe aussi déja mais propose une sécurisation bien moindre qu'avec ce terminal.

Et à Saint-herblain çà marche ??

Ce système d'accès est déjà utilisé depuis plusieurs années en Suisse également. Tous les accès sur le compte sécurisé font appel à ce code, même pour la consultation. A chaque changement de service (virement, transaction etc) un nouveau code est demandé.
La carte et le codeur sont fournis gratuitement, par contre si la carte est bloquée après 3 essais de code NIP, la nouvelle est payante. En plus, la banque offre un logiciel de traitement des paiements, virements et toutes opérations bancaires, il permet de préparer ces derniers hors ligne et de n'envoyer qu'un paquet de données sécurisées par le même système, ceci réduit le temps de liaison avec la banque.
Pour ma part, j'ai une très bonne expérience avec ce système. On peut simplement souhaiter que toutes les banques l'utilisent.

C'est réservé à Windows et uniquement avec IE, ou je pourrai l'utiliser sur mon linux avec firefox ?

Le lecteur est non connecté et ne possède pas de "secret". C'est donc par définition passe partout, indépendant de l'OS du navigateur, etc ... etc ... ca fonctionne partout dans le monde et même là ou un GSM ne capte pas !!!!