Les claviers virtuels des banques en ligne mis à l'épreuve
Source : Generation NT | Mots-clés : banque, securite, identification
L’identification par clavier virtuel
Aujourd’hui, nous sommes de plus en plus nombreux à avoir Internet à la maison et de ce fait à profiter des services en ligne des divers organismes de la vie quotidienne et notamment les services en lignes de nos banques.
Certaines de ces dernières, afin de sécuriser au maximum l’espace privé de leurs clients, ont proposées une identification à l’aide d’un clavier numérique virtuel pour entrer le mot de passe. Ainsi, l’utilisateur est obligé d’utiliser sa souris. Un bon moyen d’exclure certaine méthode de fraude, notamment les logiciels conçus pour enregistrer ce que vous tapez sur votre clavier et récupérer, à partir de ce système, vos informations confidentielles. Seulement, aujourd’hui, ces claviers numériques virtuels sont également vulnérables.
Maudit cheval de Troie
Hispasec Systems, une société de sécurité espagnole, a découvert un cheval de Troie capable de capturer des images de votre écran d’ordinateur. Ainsi, si l’usager de l’ordinateur saisi son mot de passe à l’aide du clavier virtuel, le cheval de Troie enregistrera celui-ci. D’une façon assez classique, ce cheval de Troie arrive sur nos pc soit par la voie des sites web malicieux soit par les courriers électroniques indésirables (spam). Le plus inquiétant est que lors d’un test effectué par Hispasec, seulement 6 antivirus sur 30 au total ont été capables de détecter le Troyen.
Cependant, selon un analyste en sécurité de chez Gartner, ce genre de logiciel malveillant reste assez rare puisque la ressource nécessaire à son fonctionnement est considérable (large bande passante et une capacité de stockage des vidéos capturées importantes).
Soyons sur nos gardes
Néanmoins, selon Bernardo Quintero chercheur en sécurité, un nouveau cheval de Troie aurait été détecté récemment et celui-ci combinerai l’enregistrement des touches du clavier et la capture vidéo de l’activité de l’utilisateur. De ce fait, au lieu d’enregistrer l’écran dans son intégralité, le programme vise uniquement la partie où l’usager clique. Ainsi, les fichiers à transporter sont plus petits ce qui rend l’attaque plus facile. Nous nous devons donc d’être prudent.
- Consulter le rapport de Hispasec Systems sur cette page.
-
Actualité précédente
Easy Neuf : Internet pour les... -
Actualité suivante
Microsoft veut de la fantaisie dans...
- Une loi envisageable sur le port du voile intégral [Actualité]
- Plan [Etudes / Travail]
- Ajout d'un logiciel dans la logithèque [Logithèque]
- Les claviers virtuels des banques en ligne mis à l'épreuve [Les news]
- probleme de pilote de la carte son [Appareils multimedia]
Posez votre question sur ce sujet à la communauté !
Maintenant je suppose que comme toutes (ou au moins la plupart) des banques il reste une identification clé privé (ou partie privé) qui ferait que même si on connait le mot de passe de la pesronne il ne servirait à rien.
L'ancien système de ma banque se basait sur une clé privé et une clé publique et un mot de passe pour crypter le tout, donc avec le mot de passe seul rien n'était possible.
Le nouveau système est plus complexe au niveau sécurité. On doit fournir le numéro de notre carte (mémorisable) ensuite notre carte bancaire dans un lecteur de carte entrer dans celui ci un numéro aléatoire fourni par la banque, rentrer son code secret dans le boitier et ensuite indiquer le numéro que le lecteur renvoie en réponse sur le site.
Effectivement c'est légèrement plus long à l'identification mais au moins c'est plus sécurisé. Pour infos ce lecteur n'est en aucun cas relié à l'ordinateur.
Bien c'est pas nouveau les Cheval de Troi qui prenne des captures d'écran .... C'est que maintenant qu'ils s'apperçoivent que sa existe !! O_o
Ce type de trojans existent depuis très longtemps.
Il est très simple de coder dans un langage de base une application qui effectue des captures d'écran à intervale régulier ou installer une application de controle à distance (VNC par exemple) à partir d'un virus.
Une petite décompilation de VNC permet de supprimer par exemple l'icone dans le systray ce qui rend l'application discrete.
d'aprés ce que j'ai compris il s'agirait d'un troyen qui prend une video
dite le moi si je me trompe car il nessesite une grande bande passsante
Oui enfin ca apparaitra toujours dans la liste des processus, et pour un utilisateur habitué (traduisez, nerd ou geek xD) il s'en rendra tout de suite compte (non je suis désolé, mais à force, qui ne connais pas par coeur tous ses processus et ce à quoi ils servent ? (Je parle des utilisateurs fréquents, pas des lambda évidement)).
)
Alors le seul risque concret reste une merde dans les services, ca en revanche, bonjour pour la détecter manuellement. Mais autrement pour toutes ces merdes qui tournent en arrière plan, suffit de connaitre ses processus et c'est réglé.
(Oué j'ai taskmgr en lancement auto au démarrage, et alors ?
De toute façon faut pas rêver, y'aura TOUJOURS une faille. A partir du moment où un système est exploitable par une quelconque personne, il peut l'être pour toute autre. Règle fondamentale qui régit l'univers, et les PC semblent en faire partie.
J'ai un ami administrateur système qui dit que la plus grande vulnérabilité de tout système informatique est ce qui se trouve entre le clavier et la chaise.
Pour les clavier virtuel ou il ne faut pas cliquer, juste passer la souris sur le bouton qui change de place, c'est déjà plus délicat à détecter à quel moment on valide un chiffre non ??
Ex. : La Banque Postale <-- ce ne sont pas les seuls il me semble, mais je n'arrive pas à en trouver d'autre ayant mis ce type de système en place.
"Délicat"... J'aime ce mot. Il prouve que ce n'est pas impossible. CQFD.
oui, je n'ai pas dis que c'était impossible, juste plus compliqué, voir beaucoup plus compliqué ...
Oui oui bien sûr, ça reste plus compliqué
)
(fallait pas voir de méchanceté dans mon post hein
Mais bon, pas vraiment d'intérêt vu que même si les moyens mis en place sont de plus en plus importants, les moyens des crackers augmentent aussi... Ca irait peut-être plus vite de revenir à l'ère du papier
Bah y'a toujours de moyen encore plus dur à craquer ...
A quand l'accès à son site bancaire protéger par biométrie, elle même protégée par une cryptographie forte dont la clef t'es remise en main propre.
Ca commence à devenir dur à casser là
J'imagine d'ici, le petit boîtier à côté du clavier, bourré d'électronique, qui nous demande de mettre notre doigt (ou main), pour avoir accès à une clef de cryptage pour chiffre le nombre aléatoire envoyé par la banque, avant de le renvoyer à la banque.