593 shaares
32 results
tagged
sécurité
Bah putain, c'est pas triste....
Bidule "connecté" = méfiance, c'est toujours bien de pouvoir faire tourner un tcpdump en remote sur son routeur :)
Bidule "connecté" = méfiance, c'est toujours bien de pouvoir faire tourner un tcpdump en remote sur son routeur :)
Effectivement c'est aussi une solution...
Vu sur http://www.cartes-bancaires.com/spip.php?rubrique81
Puis-je faire une transaction sans contact sans m’en rendre compte ?
Non, il est impossible d’effectuer un paiement sans contact sans le vouloir. En effet, c’est vous qui déclenchez le paiement en approchant votre carte à moins de 3 à 4 cm du terminal du commerçant pour valider le montant inscrit. Au-delà de cette distance votre carte sans contact ne peut-être activée. Vous restez donc maître de vos paiements sans contact. En outre, toute transaction sans contact se conclue par l’émission d’un ticket de caisse.
AH BAH CAY BON ALORS : PAS DE TICKET DE CAISSE = PAS DE TRANSACTION
La sécurisation par le ticket de caisse, tkt.
3 à 4cm avec un lecteur "normal", plusieurs mètres avec l'émetteur/récepteur + antenne directionnelle kivontbien. Mais c'est sans compter l'utilisation d'une imprimante thermique... bah oui pour le ticket de caisse.
Mais CB expire bientôt, et la prochaine sera NFC, ma banquière est déjà prévenue : https://wtf.roflcopter.fr/links/pogo/?4mF8dw
Vu sur http://www.cartes-bancaires.com/spip.php?rubrique81
Puis-je faire une transaction sans contact sans m’en rendre compte ?
Non, il est impossible d’effectuer un paiement sans contact sans le vouloir. En effet, c’est vous qui déclenchez le paiement en approchant votre carte à moins de 3 à 4 cm du terminal du commerçant pour valider le montant inscrit. Au-delà de cette distance votre carte sans contact ne peut-être activée. Vous restez donc maître de vos paiements sans contact. En outre, toute transaction sans contact se conclue par l’émission d’un ticket de caisse.
AH BAH CAY BON ALORS : PAS DE TICKET DE CAISSE = PAS DE TRANSACTION
La sécurisation par le ticket de caisse, tkt.
3 à 4cm avec un lecteur "normal", plusieurs mètres avec l'émetteur/récepteur + antenne directionnelle kivontbien. Mais c'est sans compter l'utilisation d'une imprimante thermique... bah oui pour le ticket de caisse.
Mais CB expire bientôt, et la prochaine sera NFC, ma banquière est déjà prévenue : https://wtf.roflcopter.fr/links/pogo/?4mF8dw
C'est déjà un grand pas en avant pour sécuriser votre réseau de l'intérieur.
Oui la menace vient aussi de l'intérieur, par exemple l'installation de trojan/malware via l'utilisateur (à son insu) est une menace sérieuse à considérer ! (Surtout si l'attaque est ciblée)
Vous aurez beau mettre en place tout dispositif matériel ou logiciel, la source du problème vient le plus souvent de l'utilisateur.
Et ce n'est pas de sa faute ! C'est de la vôtre ! Il faut éduquer vos utilisateurs ! Un peu de pédagogie en matière de sécurité ne fait jamais de mal et sera bien plus bénéfique que toute sécurité mis en place de son côté et qui sera probablement perçu comme une contrainte.
Je viens de recevoir un mail du helpdesk, où je travaille, m'indiquant la mise en place d'alerte mail concernant l'expiration du mot de passe Windows.
Le mail comprend :
- Une explication de la nécessité d'une telle procédure,
- Un rappel des règles de sécurités : ne pas ouvrir de mail inconnu, ne pas cliquer sur un lien, ne pas appeler un numéro de téléphone inconnu (+ rappel du numéro unique du helpdesk),...
- Un rappel sur les mots de passe : ne les communiquer à personne, le helpdesk n'a pas le droit de le demander,
- Une explication comme quoi ces règles peuvent s'appliquer dans notre vie privée (Banques, Paypal, etc),
- Le template du mail de rappel.
Voilà une bonne pratique en matière de sécurité :)
Oui la menace vient aussi de l'intérieur, par exemple l'installation de trojan/malware via l'utilisateur (à son insu) est une menace sérieuse à considérer ! (Surtout si l'attaque est ciblée)
Vous aurez beau mettre en place tout dispositif matériel ou logiciel, la source du problème vient le plus souvent de l'utilisateur.
Et ce n'est pas de sa faute ! C'est de la vôtre ! Il faut éduquer vos utilisateurs ! Un peu de pédagogie en matière de sécurité ne fait jamais de mal et sera bien plus bénéfique que toute sécurité mis en place de son côté et qui sera probablement perçu comme une contrainte.
Je viens de recevoir un mail du helpdesk, où je travaille, m'indiquant la mise en place d'alerte mail concernant l'expiration du mot de passe Windows.
Le mail comprend :
- Une explication de la nécessité d'une telle procédure,
- Un rappel des règles de sécurités : ne pas ouvrir de mail inconnu, ne pas cliquer sur un lien, ne pas appeler un numéro de téléphone inconnu (+ rappel du numéro unique du helpdesk),...
- Un rappel sur les mots de passe : ne les communiquer à personne, le helpdesk n'a pas le droit de le demander,
- Une explication comme quoi ces règles peuvent s'appliquer dans notre vie privée (Banques, Paypal, etc),
- Le template du mail de rappel.
Voilà une bonne pratique en matière de sécurité :)
Article très intéressant sur le but et les limites de la crypto
Démystification sur l'espionnage de masse "à la source", à retenir :
- Routeur de cœur = ASIC = CPU optimisé pour les opérations sur les paquets IP = pas possible de faire un "grep" sans mettre la machine à genoux cailloux hiboux poux.
- Re-router le trafic = ça va se voir, et les opérateurs - vu qu'ils paient la bp utilisée - surveillent leur flux sortant.
- Faire un DDOS via un simple backdoor = c'est possible et pas facilement détectable (OS de routeur = blackbox)
- Chiffrez vos communications
- Chiffrez vos communications
- Chiffrez vos communications
- Chiffrez vos communications
- Chiffrez vos communications
- Chiffrez vos communications
- Chiffrez vos communications
- Chiffrez vos communications
- Routeur de cœur = ASIC = CPU optimisé pour les opérations sur les paquets IP = pas possible de faire un "grep" sans mettre la machine à genoux cailloux hiboux poux.
- Re-router le trafic = ça va se voir, et les opérateurs - vu qu'ils paient la bp utilisée - surveillent leur flux sortant.
- Faire un DDOS via un simple backdoor = c'est possible et pas facilement détectable (OS de routeur = blackbox)
- Chiffrez vos communications
- Chiffrez vos communications
- Chiffrez vos communications
- Chiffrez vos communications
- Chiffrez vos communications
- Chiffrez vos communications
- Chiffrez vos communications
- Chiffrez vos communications
Eh oui, la RAM c'est pas aussi secure que ça.... un p'tit coup de frigo et hop on peut récupérer les data tranquille...
Une sécurité qui repose en partie sur la bonne foi du constructeur... fallait bien que les chinois nous fasse sauter tout ça :]
Incroyable...
Une très bonne chose que l'utilisation de Google Authenticator.
Je l'utilise déjà pour pas mal d'applications (SSH, Gmail, Dropbox), par contre il faudrait pouvoir spécifier la clé à utiliser, car la liste des appli commence à s'allonger et au final ça risque d'être un poil le dawa...
[EDIT]
En parlant de ça, comme j'ai deux blogs sous wordress, j'ai activé Google Authenticator sur les deux et mis la même "secret" sur mes deux comptes.
Ce qui me permet d'avoir qu'un seul compte Google Authenticator pour mes deux blogs.
Petit tuto :
- Paramétrer Google Authenticator sur l'un des blogs, et récupérer le secret associé (dans le profil utilisateur)</li>
- Lancer votre phpmyadmin/chive préféré
- Aller dans la table "eumb_usermeta" de la db de votre/vos autre blogs
- Repérer son userid : SELECT * FROM eumb_usermeta WHERE meta_value LIKE '<login>'
- modifier l'entrée googleauthenticator_secret correspondant à son userid avec le secret que vous avez noté plus haut
- Profit.
Je l'utilise déjà pour pas mal d'applications (SSH, Gmail, Dropbox), par contre il faudrait pouvoir spécifier la clé à utiliser, car la liste des appli commence à s'allonger et au final ça risque d'être un poil le dawa...
[EDIT]
En parlant de ça, comme j'ai deux blogs sous wordress, j'ai activé Google Authenticator sur les deux et mis la même "secret" sur mes deux comptes.
Ce qui me permet d'avoir qu'un seul compte Google Authenticator pour mes deux blogs.
Petit tuto :
- Paramétrer Google Authenticator sur l'un des blogs, et récupérer le secret associé (dans le profil utilisateur)</li>
- Lancer votre phpmyadmin/chive préféré
- Aller dans la table "eumb_usermeta" de la db de votre/vos autre blogs
- Repérer son userid : SELECT * FROM eumb_usermeta WHERE meta_value LIKE '<login>'
- modifier l'entrée googleauthenticator_secret correspondant à son userid avec le secret que vous avez noté plus haut
- Profit.
...en tout cas pas comme ça a été implémenté.
Je viens de recevoir un Addendum de mon contrat CB stipulant que ma prochaine carte sera équipée d'une puce NFC...
A lire les liens ci-dessous, c'est un truc de ouf, les données sont stockées en clair et accessibles librement..... O RLY ?
Chais pas pourquoi mais je sens que ça va servir, ça m'énerve déjà...
[via Sebsauvage]
Bonjour,
Dans __ mois, ma carte bancaire arrivera à expiration et sera remplacée. Depuis quelques temps une nouvelle génération de carte bancaires est en train d'être déployée, dont la principale caractéristique est de permettre des communications sans contact (technologie NFC), et donc de procéder à des transactions sans nécessiter l'insertion de la carte dans un lecteur.
Je ne souhaite pas avoir une telle technologie sur ma future carte, car la mise en oeuvre actuelle n'offre pas de garanties suffisantes sur la protection des données contenues. Pouvez-vous me garantir que ma future carte ne contiendra pas de dispositifs permettant une communication sans contact physique ? Sinon, quelles sont les alternatives envisageables ?
Voici le noeud du problème : cette carte communique par ondes radio, ce qui signifie qu'il est difficile de contrôler qui peut ou ne peut pas interagir avec la carte. Or, aucun mécanisme de sécurité n'a été mis en oeuvre, ce qui permet à une tierce partie non autorisée d'avoir accès au moins aux informations suivantes :
- Sexe, Nom, Prénom
- date d'expiration
- contenu de la piste magnétique (dupliqué dans la mémoire accessible via NFC)
- historique des transactions
- Primary Account Number
Ma première inquiétude se rapporte à la facilitée accrue avec laquelle des fraudes pourront avoir lieu, non seulement vis-à-vis du préjudice pécunier, mais aussi vis-à-vis de la surcharge de travail induite par les échanges et négociations avec les assurances lorsqu'il s'agira de se faire rembourser des sommes prélevées frauduleusement.
Ma deuxième inquiétude se rapporte à la perte de contrôle sur ces données : en utilisant ces données, une tierce partie non autorisée est en mesure de suivre mes déplacements, connaître mon identité, et jusqu'à un certain niveau connaître mon train de vie.
Enfin, cette carte contient des données à caractère personnel, tel que défini dans la loi 78-17 du 6 janvier 1978 modifiée, dite "Loi Informatique et Liberté". Le fait de diffuser de telles données sans le consentement de leur propriétaire, ou de ne pas protéger l'accès à de telles données aux seules personnes autorisées dans un cadre défini contractuellement est passible de poursuite devant les tribunaux français ; et actuellement ces données a caractère personnel stockées sur la carte ne sont pas protégées.
Pour toutes ces raisons, je ne souhaite pas que ma future carte soit équipée de systèmes de communication sans contact.
De nombreux articles ont été publiés sur les problèmes de sécurité de ces cartes ; pour avoir rapidement une information plus détaillée sur ce dossier, je vous invite à lire l'article suivant :
http://www.pcinpact.com/news/70412-cartes-paiement-sans-contact-defaut-securisation.htm
ainsi que la présentation de Renaud Lifchitz pour les détails plus techniques :
http://readnfccc.googlecode.com/files/hes2012-bt-contactless-payments-insecurity.pdf
Je vous remercie par avance de l'attention que vous porterez à ma demande et à mes inquiétudes.
Cordialement,
Je viens de recevoir un Addendum de mon contrat CB stipulant que ma prochaine carte sera équipée d'une puce NFC...
A lire les liens ci-dessous, c'est un truc de ouf, les données sont stockées en clair et accessibles librement..... O RLY ?
Chais pas pourquoi mais je sens que ça va servir, ça m'énerve déjà...
[via Sebsauvage]
Bonjour,
Dans __ mois, ma carte bancaire arrivera à expiration et sera remplacée. Depuis quelques temps une nouvelle génération de carte bancaires est en train d'être déployée, dont la principale caractéristique est de permettre des communications sans contact (technologie NFC), et donc de procéder à des transactions sans nécessiter l'insertion de la carte dans un lecteur.
Je ne souhaite pas avoir une telle technologie sur ma future carte, car la mise en oeuvre actuelle n'offre pas de garanties suffisantes sur la protection des données contenues. Pouvez-vous me garantir que ma future carte ne contiendra pas de dispositifs permettant une communication sans contact physique ? Sinon, quelles sont les alternatives envisageables ?
Voici le noeud du problème : cette carte communique par ondes radio, ce qui signifie qu'il est difficile de contrôler qui peut ou ne peut pas interagir avec la carte. Or, aucun mécanisme de sécurité n'a été mis en oeuvre, ce qui permet à une tierce partie non autorisée d'avoir accès au moins aux informations suivantes :
- Sexe, Nom, Prénom
- date d'expiration
- contenu de la piste magnétique (dupliqué dans la mémoire accessible via NFC)
- historique des transactions
- Primary Account Number
Ma première inquiétude se rapporte à la facilitée accrue avec laquelle des fraudes pourront avoir lieu, non seulement vis-à-vis du préjudice pécunier, mais aussi vis-à-vis de la surcharge de travail induite par les échanges et négociations avec les assurances lorsqu'il s'agira de se faire rembourser des sommes prélevées frauduleusement.
Ma deuxième inquiétude se rapporte à la perte de contrôle sur ces données : en utilisant ces données, une tierce partie non autorisée est en mesure de suivre mes déplacements, connaître mon identité, et jusqu'à un certain niveau connaître mon train de vie.
Enfin, cette carte contient des données à caractère personnel, tel que défini dans la loi 78-17 du 6 janvier 1978 modifiée, dite "Loi Informatique et Liberté". Le fait de diffuser de telles données sans le consentement de leur propriétaire, ou de ne pas protéger l'accès à de telles données aux seules personnes autorisées dans un cadre défini contractuellement est passible de poursuite devant les tribunaux français ; et actuellement ces données a caractère personnel stockées sur la carte ne sont pas protégées.
Pour toutes ces raisons, je ne souhaite pas que ma future carte soit équipée de systèmes de communication sans contact.
De nombreux articles ont été publiés sur les problèmes de sécurité de ces cartes ; pour avoir rapidement une information plus détaillée sur ce dossier, je vous invite à lire l'article suivant :
http://www.pcinpact.com/news/70412-cartes-paiement-sans-contact-defaut-securisation.htm
ainsi que la présentation de Renaud Lifchitz pour les détails plus techniques :
http://readnfccc.googlecode.com/files/hes2012-bt-contactless-payments-insecurity.pdf
Je vous remercie par avance de l'attention que vous porterez à ma demande et à mes inquiétudes.
Cordialement,
A tester....