Home » Idioties, Passes temps

Les banques et la sécurité

21 mars 2011 7 commentaires
tags : , ,
Download PDF

A l’occasion de l’éradication du dernier Windows XP au bureau, l’éternel problème du foutu lecteur de carte à puce que la banque nous a fourgué il y a 10 ans pour faire des prélèvements automatiques revient sur le tapis.

Cette charmante petite chose porte le doux nom de « Caroline », charmante demoiselle fabriquée par une boite qui s’appelle Covadis et qui n’a qu’une seule utilité : prendre toujours la même carte, se faire taper dessus toujours le même code à 4 chiffres, soit disant pour sécuriser la transmission et la validation de nos trames contenant les coordonnées bancaires de nos clients et fournisseurs pour ordonner des prélèvements pour les uns et des virements pour les autres.

Laissez-moi vous faire un peu le détail :

  1. Notre applicatif maison génère un fichier contenant, en gros « à telle date, il faut que tu piques 200 euro sur le compte de machin, 300 sur le compte de bidule, 20 sur le compte de truc. Histoire de voir que je me suis pas planté, je te le dis tout net, la somme fait 520. Allez, salut ! »
  2. On va sur le site entrepro-corpo-bidule de la BNP avec Internet Explorer (sinon, ça marche pas)
  3. On met la carte verte dans Caroline
  4. On tape le code
  5. On va dans l’option « Transnet »
  6. Le bidule java va regarder tout seul sur le disque dur du PC à l’endroit où on a mis le fichier prelevements.txt
  7. Il fait la liste des prélèvements avec un bouton « envoyer » en bas
  8. On clique sur envoyer
  9. On va dans la rubrique validation
  10. On clique sur la ligne de prélèvement
  11. On clique « oui, je veux vraiment prendre 520 euro à des gens »
  12. On retape le même code qu’au 4° sur Caroline
  13. On sort la carte de Caroline
  14. On la met dans sa poche
  15. On attend sagement la date indiquée pour voir les sous arriver sur le compte en banque

Tout ceci, bien entendu, sur un site en https avec le certificat SSL qui va bien. Bon, là, on se dit « youpi, du SSL plus une carte à puce, on est sécure quoi ! »

Eh ben non, parce qu’au n° 2, on a vu, juste à coté du bouton « s’identifier avec un lecteur de carte », une option « entrer un login et un mot de passe », donc en fait, c’est au choix.

Comme chacun sait, proposer une méthode d’authentification forte en laissant une méthode faible juste à coté, ça sert juste à rien.

Revenons-en à nos amis de la BNP. J’envoie dare dare un mail à notre chargé de compte que j’ai déjà molesté il n’y a pas 2 semaines à propos d’une histoire perso de crédit immobilier, et je lui dit « votre lecteur de carte, c’est une merde, il ne marche que sous windows 95/ME/XP/2000 ».

Et la, ô surprise, il me répond dans les 10 minutes (rarissime) en me disant qu’il a parlé à son responsable monétique qui a dit qu’il fallait nous envoyer le dernier lecteur de la mort qui tue… Sans fil !

Glups… Sans fil ?!

Alors je cherche. Et puis je finis par trouver. Ce coup ci, c’est made in Gemalto.

Et la, je me questionne. Un petit tour de flash plus tard, j’ai compris. Cet engin est effectivement sans fil puisqu’il n’a pas de fil… mais il ne communique avec rien du tout, non non. Point de bluetooth, de wifi ou autre GSM, rien.

Il prend juste la carte qu’on lui fourre dans le bide, lui donne le code qu’on tape à manger, attend que la carte dise « yabon » et répond un code chiffré qu’il convient de taper sur le site.

C’est donc, je suppose, un engin qui génère un onetimepassword calé à l’horaire et/ou au nombre d’entrées effectuées sur la machine (je testerai ça dès réception).

Dans l’absolu c’est pas nécessairement une mauvaise idée, mais mon petit doigt me dit que ça doit encore être fait avec les pieds. Mon chargé de compte confirme d’ailleurs en m’envoyant le login en clair par email.

Et il y a toujours, juste à coté, la possibilité de s’identifier avec un bête login/password tout ce qu’il y a de plus statique et qui, en prime, est généré pour tous les clients lors de la signature du contrat et envoyé par courrier.

On ne parle bien sûr pas du fait que le mot de passe qui va avec n’est *jamais* changé, qu’il peut se lire à travers l’enveloppe (contrairement aux codes de cartes bancaires) et qu’il ne peut être constitué que de 6 chiffres.

Quand on sait, pour finir, que dans 90% des banques qui sont en face, il suffit d’avoir le RIB de quelqu’un, sans aucun besoin d’autorisation de prélèvement ou de signature, pour lui piquer du pognon et que tout ce système est totalement opaque et n’envoie aucune espèce de confirmation, que ce soit par mail ou par courrier… Ça laisse rêveur.

Amis banquiers, de grâce, arrêtez de creuser, vous êtes arrivés au fond.

7 Comments »

  • P'tit Lu said:

    « Quand on sait, pour finir, que dans 90% des banques qui sont en face, il suffit d’avoir le RIB de quelqu’un, sans aucun besoin d’autorisation de prélèvement ou de signature, pour lui piquer du pognon et que tout ce système est totalement opaque et n’envoie aucune espèce de confirmation, que ce soit par mail ou par courrier… »
    Tu pourrais préciser ce « point de détail » stp ? Le souci des RIB qu’on refile à qui mieux-mieux m’intéresse.

  • Bruno (author) said:

    Préciser quoi ? Comment ça marche ?

    tu me donne ton RIB, je le met dans mon bout de code PHP qui génère une trame ETEBAC (ou EBICS, au choix), je l’envois a ma banque et elle prend de l’argent sur ton compte pour le mettre sur le mien.

    En théorie, ta banque devrait refuser le prélèvement si elle a pas vu passer un papier avec ton RIB et ta signature (la partie basse de l’autorisation de prélèvement). En pratique, à part La Poste (et encore, pas dans toutes les postes) j’en connais aucune qui fait ça.

    Par défaut ils laissent passer sauf si une opposition précise a été déposée par le titulaire du compte sur le numéro national d’émetteur concerné.

    Et il y a aussi les numéros nationaux d’émetteurs qui ont tous les droits, genre ceux du Fisc, d’EDF, de GDF et de FT qui sont en whitelist d’office partout.

  • Michael said:

    Je confirme ce que Bruno dit, j’ai arreté de renvoyer des papiers à ma banque ( la caisse d’épargne ) pour payer mes serveurs, vu qu’avec ou sans, c’est kif kif.

    Je comprends leur point de vue, ça coute de l’argent, ça fait chier les clients, et c’est sans doute aussi efficace que les popups de Vista. Mais ça reste quand même du foutage de gueule.

  • jerome said:

    Et oui quand on pense aux heures à expliquer aux clients :

    – Oui il faut mettre du ssl partout sauf sur le site vitrine
    – Oui aussi sur l’intranet (on sait jamais votre bâtiment étant un moulin)
    – Oui en externe il faut acheter un certificat
    – Oui c’est cher et ça ressemble à une arnaque mondiale (fallait la monter la boite de certification en 1990…)
    – Oui vos courriels contenant les info des partenaires « plus-confidentiel-tu-meurs-et-tu-détruit-une-boite » devraient être crypté signé avec pgp|gpg ou un certificat.
    – Oui le top serait une PKI gouvernementale, encore que…
    – Oui vous êtes le seul a en avoir pris conscience parce que je viens de vous en parler

    Le pire c’est que :

    1 – Les gens s’en foutent de la confidentialité
    2 – Tout leur parait trop compliqué
    3 – Il ne pensent pas que quelqu’un peut les épier quand il font une transaction
    4 – Il écoutent, ils disent « oui », ils font un effort pour comprendre, et 20 minutes après ils ont tout oublié, et tape « secret » comme mot de passe plus-sécurisé-tu-meurs

    Un jour un Steeve Jobs quelconque va arriver à en faire un truc tendance, il va arriver avec son SSL privateur et tout le monde n’utilisera plus que ça…

    Le combat est perdu d’avance…

    Concernant les banques c’est encore pire :

    – Je me fout de la sécurité j’ai les assurances pour ça
    – Il faut un gadget que mes clients achètent (avec une petite gratte pour moi au passage)
    – Je vais faire un beau site bien gavé de flash et de Java comme ça on a l’impression que c’est hyper secure – ça l’est d’ailleurs – c’est une belle porte blindé installé sur des murs en briques, avec une belle fenêtre simple vitrage de chaque coté…
    – Surtout je garde des outils bien vieillot qui passe que par du RTC, et la preuve ultime c’est la signature reçu par FAX.

    Quand la seule solution pour imposer certaines règles c’est la dictature, faut laisser tomber les règles…

  • lildadou said:

    Jérôme, tu es d’une perspicacité redoutable :)

    Je profite de l’article pour dire que CaCert se propose d’être une autorité racine de certification basé sur le Web Of Trust. Elle soutenue par GNU.

    @Bruno: Surtout ne vas pas voir comment est géré ton pognon dans les SI, un pote (sous-traité) bosse dans une banque, je suis blanc à chaque fois qu’on parle boulot. La sécurité c’est absolument pas une préoccupation, la confiaaaaaannnnnnnce, çà, s’en est une.

  • Bruno (author) said:

    @lildadou : note, la confiaaaaaannnncceee c’est la base de CaCert :p

  • vulcain said:

    La caisse d’épargne a pendant longtemps laissé la possibilité d’ajouter un RIB dans l’interface web. Juste au jour des malins ont réussi à récupérer le numéro de compte et le code (regarder par dessus l’épaule, social ingénieuring ??) Ils ajoutaient leur compte aux iles caïmans…
    Depuis pour le virement vers un compte, cela se fait avec une inscription préalable en agence (avecsignature sur 3 pages de texte :-( j’ai pas compris le pourquoi de ces 3 pages)

Leave your response!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.

Be nice. Keep it clean. Stay on topic. No spam.

You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at Gravatar.


5 + = dix