Usurpation de numéro de portable, reportage envoyé spécial

[trebor]

il me semble que ce digipass n'est pas connecté justement.

En effet, le digipass avec et sans insertion de la carte bancaire n'est pas connecté à internet.
Dommage pour le https et le cadenas, ça va encore moins me rassurer
Le plus dangereux, c'est lorsqu'on clic sur un lien pour accéder sur le site de la banque, est-ce vraiment le bon lien et non un lien piraté
Ok une fois le bon lien de la banque identifié, le placer dans les favoris, mais un pirate qui a le contrôle du pc pourra modifier le contenu des favoris.

N'utilise un pc que pour me connecter à la banque me rassure, ses seules liens avec internet sont pour les mises à jour de W10 et la banque.
Smartphone et tablette exclus ainsi que un pc portable pour internet et les mails.
-----

[titijoy3]

En effet, le digipass avec et sans insertion de la carte bancaire n'est pas connecté à internet.
Dommage pour le https et le cadenas, ça va encore moins me rassurer
Le plus dangereux, c'est lorsqu'on clic sur un lien pour accéder sur le site de la banque, est-ce vraiment le bon lien et non un lien piraté
Ok une fois le bon lien de la banque identifié, le placer dans les favoris, mais un pirate qui a le contrôle du pc pourra modifier le contenu des favoris.

N'utilise un pc que pour me connecter à la banque me rassure, ses seules liens avec internet sont pour les mises à jour de W10 et la banque.
Smartphone et tablette exclus ainsi que un pc portable pour internet et les mails.

ne jamais cliquer sur un lien vers une banque, taper l'adresse et accéder directement au site officiel

[trebor]

ne jamais cliquer sur un lien vers une banque, taper l'adresse et accéder directement au site officiel

Merci, je retiens

[Bounoume]

ne jamais cliquer sur un lien vers une banque, taper l'adresse et accéder directement au site officiel

euh, dans firefox, il y a les 'marque-pages' (bokmarks) qui composent automatiquement l'adresse... et celle-ci s'affiche lors de l'appel, et on peut voir et corriger les URL par le menu "modifier" (le marque-page sélectionné) c'est quand même + pratique que retaper chaque fois tout le nom de l'URL ...avec risque d'erreur et même de tomber par malchance sur le site contrefait... qui n'en diffère que très peu.)

[Bounoume]

Par contre, les attaquants utilisent des failles souvent non encore connues, et là personne ne peut rien faire, si la faille n'est pas découverte, souvent au niveau de l'OS ou de la messagerie, via un sms "forgé", par exemple.
Voir les cas des logiciel "espion" Pegasus, Reign... imparables et intraçables, jusqu'au leak des failles...
Mais là on vise des cibles particulièrement interéssantes, politiquement ou économiquement, pas le péquin moyen...
...../.........
La meilleure protection est une hygiène numérique rigoureuse :
1. Ne pas cliquer sur un lien, comme dans les cas des emails.
2. Ne pas installer une appli car demandée par un inconnu, mais avec l'assurance d'une certaine légitimité (opérateur télécom, opérateur bancaire, tech de maintenance, ...).
3. Ne pas installer d'applis depuis des sites suspects ou des stores d'application non légitime (appli crackée attractives)...
4. Ne pas visiter des sites douteux qui lancent l'installation d'appli non souhaitées...
5. Etc.

quand tu parles d'installer s'agit-il bien de lancer, dans une fenêtre appli système distincte de celle(s) affichant les envois du site malveillant......
donc lancer la commande d'installation de l'appli vérolée dans une fenêtre authentique du système local.......
......SANS se logger en tant qu'admin ?
......AVEC les droits admin (ou sudo sous linux) ?
ou bien est-ce simplement répondre 'oui' à une pseudo invite d' "installation" dans la fenêtre du message vérolé qui vient d'être reçu?

pour ce qui est de la 'visite' d'un site douteux....
si le faussaire créateur du site n'a pas la capacité de forger un exécutable, un script , un mail ou un sms exploitant une faille du système (comme Pegasus...) comment le dit site peut-il nuire quand même?

en invitant explicitement à télécharger 'son' appli satellite, qui est, elle, un exécutable de code banal, mais produisant les actions pirates voulues par le hacker?
en installant discrètement son exécutable malveillant, sans intervention du pigeon hacké?
en faisant scanner un QRcode contenant l'ordre d'installation de l'exécutable malveillant?
et quid des cookies qu'il peut laisser au-delà de sa fermeture?

au final, en visitant un tel site douteux, mais en se gardant d'installer quoi que ce soit à sa demande, de lire des fichiers à risque.... comme je crois quelques banaux documents forgés se prétendant .pdf ou xlsx ......, de scanner un QRcode....., en fermant bien la session douteuse ouverte dans son navigateur puis en arrêtant puis redémarrant la machine (si c'est un PC....) on risque quoi?

de même, en ouvrant un mail apparemment quelconque..... mais qui après ouverture semble suspect, mais sans ouvrir ensuite les liens vérolés qu'il va proposer, on risque quoi?



ps des banques, des assurances ( ou des trucs comme telepac, les finances publiques, ou meme la secu......) qui envoient des mails pour dire 'nouveaux documents dans votre espace privé sont arrivés' et autres infos apparemment banales, j'en subis plein... alors si un de ces machins vient d'une adresse un tout petit peu différente de l'officielle, ça peut passer inapperçu....
i

[titijoy3]

euh, dans firefox, il y a les 'marque-pages' (bokmarks) qui composent automatiquement l'adresse... et celle-ci s'affiche lors de l'appel, et on peut voir et corriger les URL par le menu "modifier" (le marque-page sélectionné) c'est quand même + pratique que retaper chaque fois tout le nom de l'URL ...avec risque d'erreur et même de tomber par malchance sur le site contrefait... qui n'en diffère que très peu.)

oui, mais le lien n'est pas proposé par une entité tierce..

[JPL]

Ne pas faire ceci, ne pas faire cela... ne pas sortir de chez soi avec de l’argent dans son portefeuille, avec les clés de la maison dans la poche, avec sa carte bancaire (à moins de la mettre dans un petit coffre-fort portatif )... Il y a une différence entre une prudence raisonnable et une méfiance obsessionnelle compulsive et contre-productive.

La seule façon de ne pas mourir... c’est de ne pas être né...

[titijoy3]

faut dire ça à ceux qui se retrouvent avec un compte vidé pour avoir fait confiance à un faux lien..

maintenant, même quand on reçoit un appel du numéro téléphonique de la banque, le numéro peut être piraté et on croit avoir à faire à son conseiller !


https://iletaitunepub.fr/2024/02/20/...2C%20sur%20RTL.

[JPL]

Pour répondre en mode plus sérieux, dans cette discussion j’ai vu un certain nombre de déclarations judicieuses et de bon sens tandis que d’autres semblent plutôt être paranoïaques. Pour répéter une banalité qu’il est bon de rappeler, le risque nul n’existe pas, mais il faut bien vivre dans ce monde où le danger existe, mais qui nous offre des possibilités extraordinaires dans de nombreux domaines, et je ne veux pas m’en priver en appliquant des précautions déraisonnables. Le problème c’est que le progrès a mis entre les mains de tout le monde des outils formidables sans informer les utilisateurs des risques courants et des moyens simples pour s’en prémunir dans la majorité des cas.

Ceci étant dit, malgré mon expérience je ne peux pas exclure qu’un jour je me ferai piéger, sauf que je suis raisonnablement sûr que j’aurai évité les pièges dans plus de 99% des cas.

[patrick78140]

Je suis d'accord avec JPL
Sauf,que nous,abonnés du forum ca nous semble evident
Mais a un client lambda,comment peut-il reagir a tous les pieges,meme les plus grossiers
Pour eux ca leur passe au dessus et c'est compliqué a faire comprendre qu'ils peuvent etre piegés
Ces crackers ciblent les personnes vulnerables qui se demandent bien comment c'est possible que num affiché n'est pas celui qu"on croit
J'ai un voisin qui est devenu parano et qui m'appelle tous les 4 matins en me disant qu'il a l'impression d'avoir été piraté alors qu'il avait perdu le wifi

[izentrop]

faut dire ça à ceux qui se retrouvent avec un compte vidé pour avoir fait confiance à un faux lien..

maintenant, même quand on reçoit un appel du numéro téléphonique de la banque, le numéro peut être piraté et on croit avoir à faire à son conseiller !


https://iletaitunepub.fr/2024/02/20/...2C%20sur%20RTL.

A chaque transaction bancaire, le réflexe important est de regarder la barre d'adresse, qui doit impérativement commencer par https://, ce qui je n'espère être pas le cas de ces pages d'hameçonnage ou le pirate peu récupérer les données composées par la victime

Un navigateur à jour prévient si une page n'est pas sécurisée.

[trebor]

A chaque transaction bancaire, le réflexe important est de regarder la barre d'adresse, qui doit impérativement commencer par https://, ce qui je n'espère être pas le cas de ces pages d'hameçonnage ou le pirate peu récupérer les données composées par la victime

Un navigateur à jour prévient si une page n'est pas sécurisée.

Bonjour,
Vous n'avez pas lu tous les messages, car ce https et le cadenas ne garanti pas une sécurité, un pirate peut les utiliser dans le lien qu'il propose à sa victime pour le prendre à l'hameçon comme un poisson

[Ikhar84]

Comme la discussion dérape sur HTTPS, je me permets un petit rappel !

HTTPS veut dire que le navigateur a demandé et obtenu un certificat SSL conforme et valide.

L'identité revendiquée dans l'url est certifiée et la communication va être chiffrée.

Si le certificat est reconnu valide, c'est qu'il a été fournie par une autorité de certification (CA) connue par le système, ou qu'elle a été ajouté manuellement, ou que son propre certificat est fourni par le fabriquant du système dans un magasin dit "racine".

Si le certificat a été ajouté manuellement : https peut certifier un site malveillant !

Si le magasin racine a été touché : https peut non seulement certifier un site malveillant, mais lui même peut certifier n'importe quelle autre adresse !

Si tout est OK, et qu'aucun manipulation frauduleuse n'a été faite sur le système, HTTPS certifie juste que le domaine revendiqué est bien légitime

Code:

https://crdit-agricole.ru

peut être certifié, rien n'assure que c'est un domaine utilisé par "Le Crédit Agricole", par exemple !

Il faut passer par un service tiers pour identifier le propriétaire du domaine (WHOIS) en espérant qu'il n'ai pas demandé l'anonymat, ce qui serait étrange pour une banque officielle, par exemple...

En bref, rien ne sert de paniquer, rester aussi vigilant sur le net que dans la vie de tous les jours (vous laisseriez un inconnu poser sa tête sur votre épaule pendant que vous composez le code de votre cartr bleue ?), ne pas succomber à la paranoïa, ne pas propager des idées à la limite du complotisme, et vivre sa vie sur le net comme sa vie réelle : pleinement et sereinement, mais sans naïveté !

[pm42]

Ceci étant dit, malgré mon expérience je ne peux pas exclure qu’un jour je me ferai piéger, sauf que je suis raisonnablement sûr que j’aurai évité les pièges dans plus de 99% des cas.

Pareil. J'utilise le Net depuis l'époque où on se connectait au mode 1200 bauds et où le Web n'existait pas, j'achète en ligne depuis que c'est possible.
Durant cette période, j'ai entendu parler d'un nombre incroyable de vulnérabilités, attaques et arnaques qui toutes faisaient très peur et devant lesquelles on était supposé sans défense.
C'est logique : la peur faire vendre.

En pratique, il ne m'est presque rien arrivé et les rares problèmes ont été mineurs.
Cela ne veut pas dire que je ne peux pas me faire avoir bien sur et j'ai aussi connu des gens et surtout des boites qui se sont retrouvé avec un crypto-virus et pas de solution de secours notamment pas de backup bien protégé.

Mais effectivement, ce n'est pas la peine d'être paranoïaque.

[trebor]

Comme la discussion dérape sur HTTPS, je me permets un petit rappel !

HTTPS veut dire que le navigateur a demandé et obtenu un certificat SSL conforme et valide.

L'identité revendiquée dans l'url est certifiée et la communication va être chiffrée.

Si le certificat est reconnu valide, c'est qu'il a été fournie par une autorité de certification (CA) connue par le système, ou qu'elle a été ajouté manuellement, ou que son propre certificat est fourni par le fabriquant du système dans un magasin dit "racine".

Si le certificat a été ajouté manuellement : https peut certifier un site malveillant !

Si le magasin racine a été touché : https peut non seulement certifier un site malveillant, mais lui même peut certifier n'importe quelle autre adresse !

Si tout est OK, et qu'aucun manipulation frauduleuse n'a été faite sur le système, HTTPS certifie juste que le domaine revendiqué est bien légitime

Code:

https://crdit-agricole.ru

peut être certifié, rien n'assure que c'est un domaine utilisé par "Le Crédit Agricole", par exemple !

Il faut passer par un service tiers pour identifier le propriétaire du domaine (WHOIS) en espérant qu'il n'ai pas demandé l'anonymat, ce qui serait étrange pour une banque officielle, par exemple...

En bref, rien ne sert de paniquer, rester aussi vigilant sur le net que dans la vie de tous les jours (vous laisseriez un inconnu poser sa tête sur votre épaule pendant que vous composez le code de votre carte bleue ?), ne pas succomber à la paranoïa, ne pas propager des idées à la limite du complotisme, et vivre sa vie sur le net comme sa vie réelle : pleinement et sereinement, mais sans naïveté !

Alors ce https ne garanti pas que le lien est sécurisé ?
Comment vérifier facilement que le lien https + cadenas sont réellement sécurisés ?
A l'avenir je vais éditer les liens manuellement comme conseillé, donc ne plus utiliser les favoris, ni les liens proposés par google ou autres moteurs de recherches.

[izentrop]

Bonjour,
Vous n'avez pas lu tous les messages, car ce https et le cadenas ne garanti pas une sécurité, un pirate peut les utiliser dans le lien qu'il propose à sa victime pour le prendre à l'hameçon comme un poisson

En effet mais même ChatGpt induit en erreur

**Le "https" et le cadenas** sont des éléments essentiels pour garantir la sécurité lors de la navigation sur Internet. Voici ce que vous devez savoir à leur sujet :

1. **HTTPS (Hypertext Transfer Protocol Secure)** :
- Le "https" est une version sécurisée du protocole "http" utilisé pour transférer des données entre votre navigateur et un site web.
- Il crypte les informations pendant leur transfert, empêchant ainsi les attaques de type "homme du milieu".
- Lorsque vous visitez un site sécurisé, vous verrez "https://" dans l'adresse URL et un symbole de **cadenas vert** à côté. Cela signifie que la communication est chiffrée et que vos données sont protégées¹³.

2. **Le Cadenas Vert** :
- Le cadenas vert indique que la connexion entre vous et le site est sécurisée.
- Il est vérifié par un certificat d'authentification délivré par une autorité de contrôle indépendante.
- Si le certificat est absent ou expiré, le navigateur vous avertit.
- En bref, un simple coup d'œil attentif au cadenas vert vous permet de surfer en toute sécurité¹⁵.

En résumé, lorsque vous voyez le "https" et le cadenas vert, vous pouvez naviguer sur Internet en toute confiance. Ils garantissent que vos données sont protégées pendant la communication avec le site web. 

Source : conversation avec Bing, 03/03/2024
(1) HTTPS : 5 raisons de s'intéresser au cadenas qui sécurise le web. https://numeriqueethique.fr/ressourc...urisent-le-web.
(2) Que signifie HTTPS et pourquoi est-ce important - NordPass. https://nordpass.com/fr/blog/what-is-https/.
(3) Ça veut dire quoi le cadenas des sites Internet ? – Kitcreanet. https://kitcreanet.fr/ca-veut-dire-q...ites-internet/.
(4) Que signifie HTTPS et pourquoi est-ce important - NordPass. https://bing.com/search?q=https+%2b+...a9curis%c3%a9s.
(5) Google Chrome met fin au malentendu sur les sites “sécurisés”. https://www.presse-citron.net/google...tes-securises/.
(6) undefined. https://bing.com/search?q=.

Mais en cliquant sur le lien de kitcreanet.fr

De nos jours
Vous l’avez compris, de nos jours, la quasi totalité des sites Internet, qu’ils soient honnêtes ou non, que ce soit le site de votre banque, le site du garage d’à côté, le site des impôts ou un site malveillant destiné à voler vos informations personnelles, tous possèdent ce petit cadenas.

Une étude menée en 2021 indique que 93% des sites malhonnêtes qui tentent de voler vos données avaient bel et bien le petit cadenas dans la barre d’adresse !

Du coups va falloir redoubler de vigilance.

[JPL]

Le https garantit que l’échange entre les deux parties est crypté (ce qui est important quand il faut valider par un mot de passe, qui pourrait être lu par tout pirate interceptant l’échange en http.

[Forhorse]

il me semble que ce digipass n'est pas connecté justement.

Je vois pas comment il pourrait valider une opération sans être connecté avec la banque... tu scan le QR code, tu valides avec ton code perso et puis quoi ? si c'est pas connecté ça s'arrête là. Il faut bien que le truc renvois vers la banque que tu as bien validé l'opération.
C'est le même processus qu'avec le système d’authentification à 2 facteurs de l'application smartphone des mêmes banques.

[MissJenny]

c'est toi qui entres le code donné par le digipass sur le site de la banque. Ce dispositif ne sert pas à te prouver que tu es sur le bon site, il sert à la banque à prouver que c'est bien toi qui te connectes sur son site. C'est un peu la même chose que le SMS envoyé sur ton portable, sauf que comme le digipass n'est pas connecté il est moins facile à pirater. Bien sûr si on te le vole ou si quelqu'un pointe un révolver sur ta tempe ça ne t'avance pas à grand-chose.

[trebor]

c'est toi qui entres le code donné par le digipass sur le site de la banque. Ce dispositif ne sert pas à te prouver que tu es sur le bon site, il sert à la banque à prouver que c'est bien toi qui te connectes sur son site. C'est un peu la même chose que le SMS envoyé sur ton portable, sauf que comme le digipass n'est pas connecté il est moins facile à pirater. Bien sûr si on te le vole ou si quelqu'un pointe un révolver sur ta tempe ça ne t'avance pas à grand-chose.

Bonjour à tous,
Exactement, aucun lien par câble ou autre avec le pc.
Il y a 2 types de digipass, celui avec et sans l'insertion de la carte de banque.
Une fois sur le site de la banque, il faut indiquer une code personnel, ensuite allumer le digipass et y introduire ses numéros de passe, le digipass vous indique une numéro à introduire sur le site afin d'avoir accès sur son compte.
Il y a un autre système ou c'est la banque qui vous communique un numéro à introduire dans le digipass, le digipass donne un autre numéro à indiquer sur le site de la banque.
Toutes ces manipulations me semblent plus sécurisantes que la rapidité offerte lors de l'utilisation d'un smartphone pour accéder à son compte.
Le danger c'est de tomber sur une fausse page de sa banque et d'y introduire des données qu'un pirate pourra utiliser.
Je n'ai jamais eu de problème et je reste méfiant malgré tout.

[Liet Kynes]

Pour la question de départ, après réflexion, le hacker "éthique" n'a pu écouter les conversations qu'en ayant fait installer un spyware sur les portables des victimes potentielles et comme il a la liste des numéros de téléphone sur le "site" d'échange des arnaqueurs, il a du le faire massivement via des SMS pour ensuite avoir quelques retours.
Bref le reportage laisse croire que toute prise de contrôle est possible alors qu'il ne s'agit à la base que d'imprudences des utilisateurs.

[pm42]

Bref le reportage laisse croire que toute prise de contrôle est possible alors qu'il ne s'agit à la base que d'imprudences des utilisateurs.

Mince alors ? On aurait eu un reportage qui fait dans le sensationnalisme, joue sur la peur et n'informe pas vraiment ? A la télé ?
Ce doit être la 1ère fois

D'autant que ce genre de chose n'est pas récente : en 2006, on a accusé Paris Hilton de l'avoir utilisé : https://www.infoworld.com/article/26...l-hacking.html
Et comment dire... Elle n'est pas vraiment devenue célèbre par ses performances comme hackeur.

Pour le reste, on est dans le grand classique : les smartphones sont raisonnablement sécurisés et il faut des ressources importantes pour les mettre sur écoute, typiquement celles d'un Etat (regarder dans l'actualité récente la Pologne), le plus gros risque reste l'utilisateur qui va donner de l'information ou faire une action qu'il ne devrait pas. C'est tout le principe des pishing et des techniques d'ingénierie sociale.

[Liet Kynes]

Mince alors ? On aurait eu un reportage qui fait dans le sensationnalisme, joue sur la peur et n'informe pas vraiment ? A la télé ?
Ce doit être la 1ère fois
.

Il y a surtout l usage de méthodes inacceptables.

[trebor]

Pour la question de départ, après réflexion, le hacker "éthique" n'a pu écouter les conversations qu'en ayant fait installer un spyware sur les portables des victimes potentielles et comme il a la liste des numéros de téléphone sur le "site" d'échange des arnaqueurs, il a du le faire massivement via des SMS pour ensuite avoir quelques retours.
Bref le reportage laisse croire que toute prise de contrôle est possible alors qu'il ne s'agit à la base que d'imprudences des utilisateurs.

Bonjour,
Le message #14 de gienas est quand même très futé pour piéger ceux qui recevront un courrier de leur banque les invitants à cliquer sur un lien ou à scanner un QR code.
https://forums.futura-sciences.com/i...e-special.html
Il faut admettre que pour certain cas que le risque existe même en étant prudent.
Je lis ceci :
56% des escroqueries bancaires se matérialisaient par un achat réglé par carte bancaire sur un site de commerce en ligne et pas que.
https://www.google.com/search?client...A9+aux+banques

[Forhorse]

c'est toi qui entres le code donné par le digipass sur le site de la banque. Ce dispositif ne sert pas à te prouver que tu es sur le bon site, il sert à la banque à prouver que c'est bien toi qui te connectes sur son site. C'est un peu la même chose que le SMS envoyé sur ton portable

Alors pour le coup non, dans ce cas c'est pas comme pour le SMS mais plutôt comme pour la carte de code des mêmes banques qui servent à valider centaines opération... où le site de la banque demande de rentrer le code contenu au croisement de ligne/colonne de la carte.