Arnaques et phishing

krapoutchik · Mars 8, 2024, 7:36

Comme @Chour_Pascal j’utilise Keypass, un seul mot de passe à retenir et hop l’affaire est faite ;
La base de donnée des mots de passe est bien entendu cryptée et est virtuellement impossible à craquer si le mot de passe est suffisamment long genre " Mon1ermotdepasse* " un ordinateur mettrait, suivant le site cité plus haut, 93 trillion d’année pour trouver le mot de passe en force brut .

dakota_du_sud · Mars 8, 2024, 7:36

Ah OK. Mais alors tous ces MDP sont stockés sur l’ordi ?

ON5WF · Mars 8, 2024, 7:36

Comme je l’ai dit plus haut, dans mon cas (Deutsche Bank) le mot de passe est un code de 8 chiffres fourni par un digipass qui n’est pas connecté au PC, donc pas accessible au pirate.

De plus, pour effectuer un virement vers un compte qui n’est pas dans la liste des bénéficiaires, il faut de nouveau entrer un autre code fourni par ce digipass. Et bien entendu, le code requis pour la connexion avec le PC banking change à chaque connexion.

Mais évidemment, en cas de message louche à l’écran, il suffit de fermer le compte ouvert ou de redémarrer le PC ou encore à la limite, de jeter le PC par la fenêtre comme l’a dit Alain @Electron190 .

Et surtout, ne jamais utiliser le compte admin pour aller sur internet!

Chour_Pascal · Mars 8, 2024, 7:38

Oui. Et on peut faire une sauvegarde de la base (fichier .kbx).

dakota_du_sud · Mars 8, 2024, 7:43

C’est le genre de MDP qu’il faut éviter, car il s’agit d’une phrase intelligible, pour laquelle, lorsqu’on arrive à décrypter les premiers caractères, intuitivement on peut terminer la phrase.

Moi j’ai plutôt ce genre de MDP (que je viens d’inventer) : 4%+Ak:7!&§Gh°q"9 etc… Je pense que c’est déjà plus difficile à cracker. Mais bien entendu quasiment impossible à retenir par cœur, surtout si on en a une centaine comme ça.

ON5WF · Mars 8, 2024, 7:44

Non non! Ils sont tous différents et simples à retenir.

Chour_Pascal · Mars 8, 2024, 7:49

faux. Voir ma réponse à @Dakota Arnaques et phishing - #2250 par dakota_du_sud

Ce genre de remarque est une affirmation gratuite qui est sans grand intérêt : elle ne prend pas en compte le contexte d’utilisation. Dans certains contextes par exemple, un papier peut-être accessible et facilement copié sans que l’utilisateur le sache (c’est même un cas assez courant malheureusement).

Plus généralement, cette remarque ne prend pas en compte la gestion de risques qui est une affaire personnelle et compliquée, surtout que dans ce domaine, peu de gens ont les compétences pour la faire.

Pour s’en sortir, il faut que les logiciels de sécurité expliquent le contexte d’utilisation visé. A chacun de voir ensuite s’il est adapté ou pas à son cas personnel.

Chour_Pascal · Mars 8, 2024, 8:06

Le Digipass de la Deutsche Bank est une bonne approche. Mais pour le secteur bancaire, il y a aussi le procédé Mastercard (utilisé par les autres réseaux également) qui consiste à faire calculer ce code par la carte bancaire elle-même via une calculette (l’équivalent du Digipass), ce qui est encore plus sûr car on n’a pas à se préoccuper de la sécurité de la calculette elle même.

Ce procédé est malheureusement peu utilisé en France (la BPCE le propose). Il a surtout eu du succès dans les pays du Nord de l’Europe et le comble est que les principaux fournisseurs de matériels pour les clients des banques étaient français !

Domi-Niaque · Mars 8, 2024, 8:10

Notice du Digipass de la DB:

allo.guy · Mars 8, 2024, 8:22

Cela fait des années que le code sur ma carte n’est plus visible.
Dés que je reçois une nouvelle carte, je gratte le code immédiatement.
Après faut se rappeler le code…
Ce qui rendra difficile de le découvrir pour quelqu’un qui me fait les poches ou quand je fais un payement chez un commerçant indélicat qui aurait l’idée de photographier ou filmer ma carte.

Je n’ai jamais compris pourquoi le code était marqué au dos de la carte.

ON5WF · Mars 8, 2024, 8:30

Oui, j’ai ça aussi pour une autre Banque (Belfius).

bernardfrut · Mars 8, 2024, 8:32

Tout à fait d’accord ! Allo Guy !

la BNP m’avait aussi proposé un CVV qui changeait en affichage régulièrement sur la carte !

pas si sûr !!

Chour_Pascal · Mars 8, 2024, 8:51

Pour avoir « un peu » travaillé sur ce sujet, c’est surtout horriblement compliqué… Pour ce qui est du circuit de recyclage des cartes en fin de vie.

Pour l’aspect sécurité, ça améliore un peu le principe du CVV qui de toute façon n’est pas très bon. Et ça permet surtout de proposer des cartes « haut de gamme » à certains clients « importants ».

Donc, félicitation

marceljack · Mars 8, 2024, 8:54

Normalement tu ne dois pas laisser le serveur partir avec ta carte !

Chour_Pascal · Mars 8, 2024, 8:54

Je plussoie comme on dit.

bellancourt_guy · Mars 8, 2024, 9:04

Un petit peu, mon neveu ! comme on dit ! Ce truc, a failli, m’arriver J’étais entrain de discuter, le serveur arrive, avec la note, je lui donne ma carte…Je tourne la tête, il était parti, avec ma carte, non mais ! je l’ai prié de me la rendre, et d’effectuer l’opération, a ma table, avec le terminal, qu’en plus, il avait en main !J’ai eu l’impression, qu’il faisait un peu la grimace ! Après, tu t’étonne de te faire dévaliser !!

radiocomm3 · Mars 9, 2024, 8:55

Reçu ce midi par SMS, de la part de Chronopost, disant que la livraison de mon colis a été suspendue en raison de frais supplémentaires.Suivez les instructions etc…Suit une adresse mail : https:// chronopost-express etc…etc…
Evidemment, je n’ai pas été sur ce site, et j’ai été voir, effectivement il s’agit bien d’une arnaque à grande échelle
Par contre, ce qui me g^ne, c’est que j’avais cru comprendre qu’un site http avec le S était un site sécurisé avec lequel il n’y a pas de problémes.??? ça a donc changé ??

Domi-Niaque · Mars 9, 2024, 9:01

Chour_Pascal · Mars 9, 2024, 9:08

Non. Un site en https signifie seulement qu’il est authentifié par une clé publique reconnue par une autorité de certification (signée par l’autorité de certification dans ce que l’on appelle un certificat) elle même reconnue par le navigateur et que les communications sont chiffrées.

Sauf que n’importe qui ou presque peut avoir une clé et un certificat tout à fait valides et reconnus par une autorité de certification pour un site donné.

On expliquait dans le passé que les communications étaient sécurisée parce que personne ne pouvait intercepter le PAN de votre carte lors des paiement à distance et que le nom de domaine du site correspondait à celui du certificat de sa clé signée par l’autorité de certification (ça a été la première motivation de la généralisation du https).

Ex: si je créé un site appelé laposte-reclamation.fr (ou lapost.fr, etc), je peux obtenir une certificat de clé valide pour ce site. Et donc, le navigateur considèrera à raison que l’authentification avec laposte-reclamation.fr est réussie (certificat valide, autorité de certification reconnue) et continuera le dialogue normalement. Vous serez connecté à un site pirate parfaitement en règle.

bernardfrut · Mars 9, 2024, 9:29

Re bonsoir à tous

Sur mon dernier Mac. reconditionné. le vendeur m’a mis France Verif = ça permet de donner une évaluation du site consulté …