Zwei-Faktor-Authentifizierung: doppelt verschlossen hält besser

Si vous regardez un peu en arrière… les SMS étaient considérés comme incassables et absolument sécurisés. Certaines banques proposaient cela comme seul 2FA à leurs clients.

Comme alternative, il y avait un jeton qui affichait un code différent toutes les 10 secondes.

Si l’utilisateur se connectait à un faux site Web, la réclamation était limitée au solde du compte correspondant.

C’est alors que l’incroyable, l’inimaginable s’est produit.

L’utilisateur s’est connecté à un faux site Web et a été invité à fournir toutes sortes de données provenant du téléphone portable inclus dans le contrat en ligne dans le cadre d’un « contrôle de sécurité ».

Grâce à ces données volées, les fraudeurs ont pu créer une fausse carte d’identité afin de pouvoir, par exemple, s’identifier dans un magasin Swisscom.

Un duplicata de téléphone portable pourra alors être obtenu auprès de l’opérateur téléphonique (mot clé : multi-SIM).

Configurez ensuite tous les messages SMS à envoyer à l’autre téléphone portable.

Ainsi:

1. Connectez-vous au vrai site Web de la banque avec les données obtenues via le faux site Web.

2. Puisque tous les SMS sont désormais envoyés sur l’autre téléphone portable, le compte titres et tous les comptes peuvent désormais être liquidés en toute tranquillité.

Grâce à ce processus de connexion “sécurisé”, des demandes isolées gigantesques pouvant atteindre environ un quart de million de francs ont été enregistrées.

Cela n’était pas possible avec les autres procédures de connexion auparavant courantes, de la liste à gratter à celle avec le jeton - car vous ne pouviez accéder qu’au solde du compte respectif.

Les banques ont désormais poussé CrontoSign - pour certaines banques, c’est la seule procédure de connexion pour les clients.

Il suffirait désormais aux fraudeurs de voler la lettre d’activation afin d’intégrer un autre appareil dans la banque en ligne de la victime.

Est-ce que cela a été réalisé maintenant ? Les dégâts seraient ici tout aussi gigantesques qu’avec les SMS.

Glotzologue

Afficher la langue d’origine (Allemand)
Image d'illustration d'une femme avec un ordinateur portable

@Glotzologe

C’est pourquoi - en accord avec ma banque - j’ai déchiqueté la lettre d’activation et je m’appuie également sur un générateur de jetons hors ligne (principe ancien : connaissance et POSSESSION)

P.S. CrontoSign (celui avec les codes QR colorés) fait partie de l’histoire depuis longtemps, du moins dans ma banque.

Afficher la langue d’origine (Allemand)

J’ai un niveau de sécurité encore plus élevé à la banque que « juste » 2FA. J’ai demandé à la banque de configurer le portail en lecture seule, afin que le compte d’épargne soit protégé et s’il est volé par des pirates informatiques, l’entière responsabilité incombe à la banque.

Les opérations de paiement sont effectuées via Postfinance, où j’ai logiquement aussi des droits d’écriture, mais seulement aussi peu d’argent que nécessaire sur le compte. Cela signifie que le risque de perte est très limité, même dans le pire des cas.

Afficher la langue d’origine (Allemand)

@hed

“l’entière responsabilité incombe à la banque”

Avez-vous lu les termes et conditions? 😉

Il indique généralement que le titulaire du compte (DU) accepte chaque transaction envoyée à la banque conformément aux paramètres habituels de bla-di-bla.

Je serais *très* surpris si Postfinance traitait les choses différemment !

(Je préfère faire confiance à une *vraie* banque régionale avec qui je peux parler en personne - essayez Postfinance - “bonne chance” !)

mais je m’éloigne un peu du sujet ici - DÉSOLÉ !

Afficher la langue d’origine (Allemand)

@Anonyme

Selon les termes et conditions, dans la plupart des cas, le client est responsable si le compte est « vidé » via le canal eBanking. Le cas de lecture seule n’est pas reflété dans les conditions générales car seule une poignée de clients l’ont déjà demandé, même dans les grandes banques.

J’ai donc fait confirmer par écrit à la banque qu’en cas d’accès en lecture seule, le client ne peut être poursuivi, même s’il manipule ses identifiants avec négligence.

Et s’il vous plaît, relisez mon message attentivement. Chez Postfinance, je dispose de droits d’écriture et de lecture et j’assume donc la responsabilité en cas d’utilisation abusive de mes informations d’identification. C’est pourquoi j’ai minimisé le risque de responsabilité avec PF en ne gardant que le minimum d’argent nécessaire sur ce compte.

Afficher la langue d’origine (Allemand)
21 jours plus tard
2 mois plus tard

Le 2FA est déjà à nouveau obsolète, voir l’article ici :

Sécurité informatique : comment les attaquants peuvent contourner l’authentification à deux facteurs

[https://www.heise.de/ratgeber/IT-Security-Wie-Angreifer-die-Zwei-Factor-Authentik-austreiben-…](https://www.heise.de/ratgeber/IT- Sécurité-Comment-les-attaquants-contournent-l’authentification-à-deux-facteurs-8973846.html)

Afficher la langue d’origine (Allemand)
3 mois plus tard

C’est quand même lamentable que Swisscom décide pour nous. Il n’y a pas d’option a ne pas vouloir la 2FA à nos risques et périls. C’est “papa” Swisscom qui décide. Donc si vous avez un email de famille où tout le monde accède, là c’est fini. Il faut courrir après celui qui a reçu le code par SMS. Débile.

Ce message est en Français

@Daderax

Bonsoir Daderax

FAUX! Je vous invite à lire le lien suivant pour désactiver l’authentification à deux facteurs afin de lier les emails sans code SMS.

A lire ici

Bonne soirée Doremi

Ce message est en Français
un an plus tard

Bonjour,

Concernant la double authentification, c’est totalement inutilisable lorsqu’il existe plusieurs adresses mail pour le compte famille ou entreprise.

Afin de pouvoir sécuriser le compte, il serait utile que chaque adresse mail puis enregistrer un numéro de téléphone portable pour recevoir le code demander.

Bonne soirée

Jean

Ce message est en Français

@Chewiochies29

Il est préférable que chaque membre de la famille utilise une application tierce avec son propre compte e-mail sur le PC. Des applications tierces comme Outlook, Thunderbird ou l’application “Mail” sur Mac, ainsi que les applications natives de chaque fabricant de mobile, permettent d’éviter les problèmes de double authentification.

Cordialement Doremi

Ce message est en Français
3 mois plus tard

Après avoir pris le temps de tout lire de votre part, il est clair pour moi que rien n’est clair, sauf que le client est toujours responsable.

C’est de plus en plus compliqué et le commun des mortels ne peut plus s’en sortir.

Il ne reste plus qu’à faire attention et à espérer ne pas se faire piéger. Ne pas utiliser les publicités liées, mais saisir à nouveau le site web séparément.

N.B. J’ai déjà été piégé :

Lors du traitement de la commande par carte de crédit, Cembra m’a envoyé un code par SMS. J’ai cru qu’il s’agissait de la validation du paiement.

Il s’agissait en fait d’une autorisation pour une application frauduleuse, qui m’a ensuite prélevé quelques centaines de francs. Je ne m’en suis rendu compte qu’après coup, en lisant et en comparant plusieurs fois le SMS.

Mais il n’y avait pas de 2FA. Un seul code et Cembra permettait aux escrocs de vider facilement ma carte de crédit. C’est ce que j’appelle la complicité dans des activités criminelles.

Afficher la langue d’origine (Allemand)
  • user109 a répondu à cette contribution.

    Bithiemmie10 partout où il y a de l’argent à prendre, on essaie de le soutirer par des astuces de plus en plus perfides. Il faut toujours être bien informé et se méfier comme de la peste pour ne pas se faire avoir. Même alors, on peut encore se faire avoir parce qu’on est stressé ou que la situation s’y prête logiquement. Cela arrive aussi aux experts en sécurité. Malheureusement, la sécurité à 100% n’existe pas.

    Mais je pense que Swisscom devrait introduire des passkey ou au moins mettre à disposition une interface pour différentes procédures de sécurité.

    Afficher la langue d’origine (Allemand)
     modifié par user109
      Image d'illustration d'une femme avec un ordinateur portable