[FRnOG] Re: [FRnOG] RE: [Comment vous protégez vous ?
Bonjour, En fait, les banques trouvent actuellement le système par SMS insuffisant et sont obligées de chercher des solutions à authentification plus forte. La solution de remplacement devrait être disponible dans les quelques mois/années à venir : les process des banques sont toujours super longs (dans un soucis de qualité, certainement ^^). Toujours est il que le SMS n'est pas assez sécurisé : * Il peut être lu par n'importe qui * Il ne requiert pas de code PIN pour être recu * Il n'a pas une délivraison garantie, et instantanée (que celui qui n'a pas raté un problème parce que son SMS est arrivé avec 15 min (ou plusieurs heures dans les moins bon cas) de retard lève la main =)) * Il est transmissible (renvoi du SMS, épelé sur un appel vocal, etc) En soi, le sms garantit que *quelqu'un* détient le téléphone et non la personne très précise qu'on cherche à authentifier (incarnée par le couple téléphone/Homme). Florian MAURY 2010/6/24 Giles R DeMourot : > Bonjour, > > Cela fait penser au système d'authentification employé par certaines banques > (la mienne) en http comme en ftp pour valider les virements (https) ou > télécharger des documents (ftp), avec code pin généré à chaque demande > d'accès et envoyé par sms par le serveur de la banque, code qui doit être > réentré pour accéder à la section virement de son compte sur le serveur > https, ou ftp pour les documents. Le système est aussi utilisé en https pour > valider les paiements carte bancaire d'un montant élevé, voire d'un montant > pas particulièrement élevé pour certaines banques intermédiaires. > > GRM > > -Original Message- > From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of > Florian MAURY > Sent: Thursday, June 24, 2010 12:13 PM > To: Liste FRnoG > Subject: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment > vous protégez vous ? > > Bonjour, > Pour ce qui est des OTP, il n'y a pas eu de discussion publique : je l'ai > contacté directement en privé pour éviter des gestes trop commerciaux > directement sur la liste, mais puisque tu le demandes, je vais me faire un > plaisir de parler d'un produit développé par mon précédent employeur et qui > répond en parti au problème, puisqu'elle a déjà été utilisée pour sécuriser > ce genre d'accès ; Il s'agit d'une solution d'authentification forte par > téléphonie mobile, qui permet au travers d'un navigateur de générer de > manière automatique un appel vocal avec le téléphone du client, puis de > jouer un son sur l'ordinateur qui est un OTP sonore, chiffré et unique. Ce > son entendu par le téléphone constitue une étape d'authentification, puisque > effectuée par un autre média qu'Internet, non reproductible, et non > transportable (une retransmission par un second téléphone ou autre > dispositif avec compression altérera le message et le rendra > inauthentifiable). L'authentification peut être renforcée par la demande > pendant l'appel vocal de l'entrée d'un code PIN. Si le client voulant > s'authentifier est susceptible de ne pas avoir de matériel sonore > (enceintes, casque, etc...), il est possible d'effectuer l'authentification > par l'entrée d'un code de transaction : il est à noter cependant que l'on > perd dès lors l'OTP. > Je précise, quitte à présenter le produit en détail qu'il est accessible en > SaaS ou en mode appliance, rackable en datacenter, et que le produit est > commandable à partir de n'importe quel langage disposant d'une librairie > d'appel SOAP. Je précise également que cette solution est compatible avec > tous les téléphones, tous les opérateurs, dans tous les pays. > Je suis là demain, pour en parler, si vous le souhaitez. > > Je vous laisse l'URL du site, afin de pouvoir tester la solution et pouvoir > discuter du produit en connaissance de cause demain. > http://www.certificall.net > > Ce type de solution s'intercale donc très bien dans l'étape > d'authentification pour accès à l'espace privé du client. Il est dès lors > possible de savoir que le client est bien celui qu'il prétend être, et > ouvrir son IP sur le firewall pour une session de courte/moyenne durée. Le > client peut donc partir en vacances à l'autre bout du monde et toujours > pouvoir se connecter d'urgence (ne me remerciez pas de vous gacher vos > vacances ;) ) > > A demain, > Florian MAURY > >> 2010/6/24 Mehdi Badreddine : >>> à ce propos, quid des OTP ? des retours d'expériences ? >>> >>> Mehdi >>> >>> Le 24 juin 2010 10:35, Jérémie Pogeant a > écrit : > > [snip] > Citez moi un serveur SFTP qui est capable de : > - faire des soft quota > - trouver ses uid/gid/login/pass/clef publique depuis une db ou un > annuaire ldap > - qui soit évidement opensource et portable ailleurs que sur du > linux... > [/snip] proFTPd avec mod_sftp et mod_sql (pour la base des users). Il est compatible avec la gestion des quotas. Par contre je ne sais pas pour le stockage de la clé publique dans la db. -- Jérémie Pogeant >>> >>
Re: [FRnOG] Re: Comment vous protégez vous ?
Spyou wrote: Le 23/06/2010 15:44, Stephane Bortzmeyer a écrit : On Tue, Jun 22, 2010 at 12:46:59PM +0200, Gilles PIETRI wrote a message of 32 lines which said: Typiquement, ce genre de vol de mot de passe se fait par un troyen Et nous laissons maintenant la parole à Maître Capello, qui va corriger les erreurs de français, même commises avec bravitude. Le logiciel est un question était sans doute un cheval de Troie. Or, le cheval de Troie n'était pas troyen, il était grec ! (C'est même pour cela qu'il représentait un danger pour les Troyens.) D'un autre coté, ne peut-on pas considéré qu'il fut, au moins quelques heures avant de bruler avec tout le reste de la ville, Troyen, ayant été offert à Troie par les Grecs ? +1. Je m'etais fait la meme reflection hierle problème epineux reste le payload ( les quelques gugus à l'interieur du chwal) qui pour le coups sont resté grecs eux. Alors du coup si on veut employer des termes precis, on peut parler de troyen pour l'enveloppe et de grec pour la charge active :) C. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] RE: [Comment vous protégez vous ?
Bonjour, Cela fait penser au système d'authentification employé par certaines banques (la mienne) en http comme en ftp pour valider les virements (https) ou télécharger des documents (ftp), avec code pin généré à chaque demande d'accès et envoyé par sms par le serveur de la banque, code qui doit être réentré pour accéder à la section virement de son compte sur le serveur https, ou ftp pour les documents. Le système est aussi utilisé en https pour valider les paiements carte bancaire d'un montant élevé, voire d'un montant pas particulièrement élevé pour certaines banques intermédiaires. GRM -Original Message- From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of Florian MAURY Sent: Thursday, June 24, 2010 12:13 PM To: Liste FRnoG Subject: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment vous protégez vous ? Bonjour, Pour ce qui est des OTP, il n'y a pas eu de discussion publique : je l'ai contacté directement en privé pour éviter des gestes trop commerciaux directement sur la liste, mais puisque tu le demandes, je vais me faire un plaisir de parler d'un produit développé par mon précédent employeur et qui répond en parti au problème, puisqu'elle a déjà été utilisée pour sécuriser ce genre d'accès ; Il s'agit d'une solution d'authentification forte par téléphonie mobile, qui permet au travers d'un navigateur de générer de manière automatique un appel vocal avec le téléphone du client, puis de jouer un son sur l'ordinateur qui est un OTP sonore, chiffré et unique. Ce son entendu par le téléphone constitue une étape d'authentification, puisque effectuée par un autre média qu'Internet, non reproductible, et non transportable (une retransmission par un second téléphone ou autre dispositif avec compression altérera le message et le rendra inauthentifiable). L'authentification peut être renforcée par la demande pendant l'appel vocal de l'entrée d'un code PIN. Si le client voulant s'authentifier est susceptible de ne pas avoir de matériel sonore (enceintes, casque, etc...), il est possible d'effectuer l'authentification par l'entrée d'un code de transaction : il est à noter cependant que l'on perd dès lors l'OTP. Je précise, quitte à présenter le produit en détail qu'il est accessible en SaaS ou en mode appliance, rackable en datacenter, et que le produit est commandable à partir de n'importe quel langage disposant d'une librairie d'appel SOAP. Je précise également que cette solution est compatible avec tous les téléphones, tous les opérateurs, dans tous les pays. Je suis là demain, pour en parler, si vous le souhaitez. Je vous laisse l'URL du site, afin de pouvoir tester la solution et pouvoir discuter du produit en connaissance de cause demain. http://www.certificall.net Ce type de solution s'intercale donc très bien dans l'étape d'authentification pour accès à l'espace privé du client. Il est dès lors possible de savoir que le client est bien celui qu'il prétend être, et ouvrir son IP sur le firewall pour une session de courte/moyenne durée. Le client peut donc partir en vacances à l'autre bout du monde et toujours pouvoir se connecter d'urgence (ne me remerciez pas de vous gacher vos vacances ;) ) A demain, Florian MAURY > 2010/6/24 Mehdi Badreddine : >> à ce propos, quid des OTP ? des retours d'expériences ? >> >> Mehdi >> >> Le 24 juin 2010 10:35, Jérémie Pogeant a écrit : [snip] Citez moi un serveur SFTP qui est capable de : - faire des soft quota - trouver ses uid/gid/login/pass/clef publique depuis une db ou un annuaire ldap - qui soit évidement opensource et portable ailleurs que sur du linux... [/snip] >>> >>> proFTPd avec mod_sftp et mod_sql (pour la base des users). >>> Il est compatible avec la gestion des quotas. Par contre je ne sais >>> pas pour le stockage de la clé publique dans la db. >>> -- >>> Jérémie Pogeant >> >> > --- Liste de diffusion du FRnOG http://www.frnog.org/ smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] Re: Comment vous protégez vous ?
Le 23/06/2010 15:44, Stephane Bortzmeyer a écrit : > On Tue, Jun 22, 2010 at 12:46:59PM +0200, > Gilles PIETRI wrote > a message of 32 lines which said: > >> Typiquement, ce genre de vol de mot de passe se fait par un troyen > > Et nous laissons maintenant la parole à Maître Capello, qui va > corriger les erreurs de français, même commises avec bravitude. > > Le logiciel est un question était sans doute un cheval de Troie. Or, > le cheval de Troie n'était pas troyen, il était grec ! (C'est même > pour cela qu'il représentait un danger pour les Troyens.) D'un autre coté, ne peut-on pas considéré qu'il fut, au moins quelques heures avant de bruler avec tout le reste de la ville, Troyen, ayant été offert à Troie par les Grecs ? Donner, c'est donner .. :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Re: Comment vous protégez vous ?
Donc on ne devrait pas parler de troyen mais de grec. Or le terme designe aussi le sandwich connu sous le nom de kebab ou doner Il deviendrait alors bien difficile de differencier le virus indigeste du sandwich indigeste... La confusion serait alors terrible : Madame Michu se retrouvant avec un grec dans son ordi, en plus de Nikos de TF1 dans sa TV. Elle argumenterait que jamais elle n'a trouvé de frites dans son pécé. Les troyens c'est pas plus mal ...é-pi-ssétou !!! Sebastien FOUTREL Sent from Iphone Le 23 juin 2010 à 19:52, stefan a écrit : 2010/6/23 Stephane Bortzmeyer On Tue, Jun 22, 2010 at 12:46:59PM +0200, Gilles PIETRI wrote a message of 32 lines which said: > Typiquement, ce genre de vol de mot de passe se fait par un troyen Et nous laissons maintenant la parole à Maître Capello, qui va corriger les erreurs de français, même commises avec bravitude. Le logiciel est un question était sans doute un cheval de Troie. Or, le cheval de Troie n'était pas troyen, il était grec ! (C'est même pour cela qu'il représentait un danger pour les Troyens.) Tout cela est certainement à reprocher aux generations précedentes, qui dans leur hâte et sûrs du futur de la langue française (que nous-mêmes savons bien compromis sans notre vigilance de tous les instants) n'ont pas remarqué que ce "cheval de Troie" prêtait a confusion, sans quoi ils lui auraient sans nul doute préféré "faux cheval utilisé aux dépends de Troie", qui, s'il n'est pas complet, offre l'avantage d'être plus court qu'une explication détaillée, elle-même à son tour plus courte que l'histoire connue de l'humanité, qui est, on en conviendra, un peu comme cette phrase, peu pratique à lire aussi bien qu'à écrire, en tout les cas dans le cadre décontracté d'une communication de tous les jours.
[FRnOG] Re: [FRnOG] Re: Comment vous protégez vous ?
2010/6/23 Stephane Bortzmeyer > On Tue, Jun 22, 2010 at 12:46:59PM +0200, > Gilles PIETRI > > wrote > a message of 32 lines which said: > > > Typiquement, ce genre de vol de mot de passe se fait par un troyen > > Et nous laissons maintenant la parole à Maître Capello, qui va > corriger les erreurs de français, même commises avec bravitude. > > Le logiciel est un question était sans doute un cheval de Troie. Or, > le cheval de Troie n'était pas troyen, il était grec ! (C'est même > pour cela qu'il représentait un danger pour les Troyens.) > > Tout cela est certainement à reprocher aux generations précedentes, qui dans leur hâte et sûrs du futur de la langue française (que nous-mêmes savons bien compromis sans notre vigilance de tous les instants) n'ont pas remarqué que ce "cheval de Troie" prêtait a confusion, sans quoi ils lui auraient sans nul doute préféré "faux cheval utilisé aux dépends de Troie", qui, s'il n'est pas complet, offre l'avantage d'être plus court qu'une explication détaillée, elle-même à son tour plus courte que l'histoire connue de l'humanité, qui est, on en conviendra, un peu comme cette phrase, peu pratique à lire aussi bien qu'à écrire, en tout les cas dans le cadre décontracté d'une communication de tous les jours.