[FRnOG] Re: [FRnOG] RE: [Comment vous protégez vous ?

2010-06-24 Par sujet Florian MAURY
Bonjour,
En fait, les banques trouvent actuellement le système par SMS
insuffisant et sont obligées de chercher des solutions à
authentification plus forte. La solution de remplacement devrait être
disponible dans les quelques mois/années à venir : les process des
banques sont toujours super longs (dans un soucis de qualité,
certainement ^^).
Toujours est il que le SMS n'est pas assez sécurisé :
* Il peut être lu par n'importe qui
* Il ne requiert pas de code PIN pour être recu
* Il n'a pas une délivraison garantie, et instantanée (que celui qui
n'a pas raté un problème parce que son SMS est arrivé avec 15 min (ou
plusieurs heures dans les moins bon cas) de retard lève la main =))
* Il est transmissible (renvoi du SMS, épelé sur un appel vocal, etc)

En soi, le sms garantit que *quelqu'un* détient le téléphone et non la
personne très précise qu'on cherche à authentifier (incarnée par le
couple téléphone/Homme).
Florian MAURY

2010/6/24 Giles R DeMourot :
> Bonjour,
>
> Cela fait penser au système d'authentification employé par certaines banques
> (la mienne) en http comme en ftp pour valider les virements (https) ou
> télécharger des documents (ftp), avec code pin généré à chaque demande
> d'accès et envoyé par sms par le serveur de la banque, code qui doit être
> réentré pour accéder à la section virement de son compte sur le serveur
> https, ou ftp pour les documents. Le système est aussi utilisé en https pour
> valider les paiements carte bancaire d'un montant élevé, voire d'un montant
> pas particulièrement élevé pour certaines banques intermédiaires.
>
> GRM
>
> -Original Message-
> From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of
> Florian MAURY
> Sent: Thursday, June 24, 2010 12:13 PM
> To: Liste FRnoG
> Subject: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment
> vous protégez vous ?
>
> Bonjour,
> Pour ce qui est des OTP, il n'y a pas eu de discussion publique : je l'ai
> contacté directement en privé pour éviter des gestes trop commerciaux
> directement sur la liste, mais puisque tu le demandes, je vais me faire un
> plaisir de parler d'un produit développé par mon précédent employeur et qui
> répond en parti au problème, puisqu'elle a déjà été utilisée pour sécuriser
> ce genre d'accès ; Il s'agit d'une solution d'authentification forte par
> téléphonie mobile, qui permet au travers d'un navigateur de générer de
> manière automatique un appel vocal avec le téléphone du client, puis de
> jouer un son sur l'ordinateur qui est un OTP sonore, chiffré et unique. Ce
> son entendu par le téléphone constitue une étape d'authentification, puisque
> effectuée par un autre média qu'Internet, non reproductible, et non
> transportable (une retransmission par un second téléphone ou autre
> dispositif avec compression altérera le message et le rendra
> inauthentifiable). L'authentification peut être renforcée par la demande
> pendant l'appel vocal de l'entrée d'un code PIN. Si le client voulant
> s'authentifier est susceptible de ne pas avoir de matériel sonore
> (enceintes, casque, etc...), il est possible d'effectuer l'authentification
> par l'entrée d'un code de transaction : il est à noter cependant que l'on
> perd dès lors l'OTP.
> Je précise, quitte à présenter le produit en détail qu'il est accessible en
> SaaS ou en mode appliance, rackable en datacenter, et que le produit est
> commandable à partir de n'importe quel langage disposant d'une librairie
> d'appel SOAP. Je précise également que cette solution est compatible avec
> tous les téléphones, tous les opérateurs, dans tous les pays.
> Je suis là demain, pour en parler, si vous le souhaitez.
>
> Je vous laisse l'URL du site, afin de pouvoir tester la solution et pouvoir
> discuter du produit en connaissance de cause demain.
> http://www.certificall.net
>
> Ce type de solution s'intercale donc très bien dans l'étape
> d'authentification pour accès à l'espace privé du client. Il est dès lors
> possible de savoir que le client est bien celui qu'il prétend être, et
> ouvrir son IP sur le firewall pour une session de courte/moyenne durée. Le
> client peut donc partir en vacances à l'autre bout du monde et toujours
> pouvoir se connecter d'urgence (ne me remerciez pas de vous gacher vos
> vacances ;) )
>
> A demain,
> Florian MAURY
>
>> 2010/6/24 Mehdi Badreddine :
>>> à ce propos, quid des OTP ? des retours d'expériences ?
>>>
>>> Mehdi
>>>
>>> Le 24 juin 2010 10:35, Jérémie Pogeant  a
> écrit :
>
> [snip]
> Citez moi un serveur SFTP qui est capable de :
> - faire des soft quota
> - trouver ses uid/gid/login/pass/clef publique depuis une db ou un
> annuaire ldap
> - qui soit évidement opensource et portable ailleurs que sur du
> linux...
> [/snip]

 proFTPd avec mod_sftp et mod_sql (pour la base des users).
 Il est compatible avec la gestion des quotas. Par contre je ne sais
 pas pour le stockage de la clé publique dans la db.
 --
 Jérémie Pogeant
>>>
>>

Re: [FRnOG] Re: Comment vous protégez vous ?

2010-06-24 Par sujet Clément Game

Spyou wrote:

Le 23/06/2010 15:44, Stephane Bortzmeyer a écrit :
  

On Tue, Jun 22, 2010 at 12:46:59PM +0200,
 Gilles PIETRI  wrote 
 a message of 32 lines which said:




Typiquement, ce genre de vol de mot de passe se fait par un troyen
  

Et nous laissons maintenant la parole à Maître Capello, qui va
corriger les erreurs de français, même commises avec bravitude.

Le logiciel est un question était sans doute un cheval de Troie. Or,
le cheval de Troie n'était pas troyen, il était grec ! (C'est même
pour cela qu'il représentait un danger pour les Troyens.)



D'un autre coté, ne peut-on pas considéré qu'il fut, au moins quelques heures 
avant de
bruler avec tout le reste de la ville, Troyen, ayant été offert à Troie par les 
Grecs ?
  
+1. Je m'etais fait la meme reflection hierle problème epineux reste 
le payload ( les quelques gugus à l'interieur du chwal) qui pour le 
coups sont resté grecs eux.  Alors du coup si on veut employer des 
termes precis, on peut parler de troyen pour l'enveloppe et de grec pour 
la charge active :)


C.
---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] RE: [Comment vous protégez vous ?

2010-06-24 Par sujet Giles R DeMourot
Bonjour,

Cela fait penser au système d'authentification employé par certaines banques
(la mienne) en http comme en ftp pour valider les virements (https) ou
télécharger des documents (ftp), avec code pin généré à chaque demande
d'accès et envoyé par sms par le serveur de la banque, code qui doit être
réentré pour accéder à la section virement de son compte sur le serveur
https, ou ftp pour les documents. Le système est aussi utilisé en https pour
valider les paiements carte bancaire d'un montant élevé, voire d'un montant
pas particulièrement élevé pour certaines banques intermédiaires.

GRM

-Original Message-
From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of
Florian MAURY
Sent: Thursday, June 24, 2010 12:13 PM
To: Liste FRnoG
Subject: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment
vous protégez vous ?

Bonjour,
Pour ce qui est des OTP, il n'y a pas eu de discussion publique : je l'ai
contacté directement en privé pour éviter des gestes trop commerciaux
directement sur la liste, mais puisque tu le demandes, je vais me faire un
plaisir de parler d'un produit développé par mon précédent employeur et qui
répond en parti au problème, puisqu'elle a déjà été utilisée pour sécuriser
ce genre d'accès ; Il s'agit d'une solution d'authentification forte par
téléphonie mobile, qui permet au travers d'un navigateur de générer de
manière automatique un appel vocal avec le téléphone du client, puis de
jouer un son sur l'ordinateur qui est un OTP sonore, chiffré et unique. Ce
son entendu par le téléphone constitue une étape d'authentification, puisque
effectuée par un autre média qu'Internet, non reproductible, et non
transportable (une retransmission par un second téléphone ou autre
dispositif avec compression altérera le message et le rendra
inauthentifiable). L'authentification peut être renforcée par la demande
pendant l'appel vocal de l'entrée d'un code PIN. Si le client voulant
s'authentifier est susceptible de ne pas avoir de matériel sonore
(enceintes, casque, etc...), il est possible d'effectuer l'authentification
par l'entrée d'un code de transaction : il est à noter cependant que l'on
perd dès lors l'OTP.
Je précise, quitte à présenter le produit en détail qu'il est accessible en
SaaS ou en mode appliance, rackable en datacenter, et que le produit est
commandable à partir de n'importe quel langage disposant d'une librairie
d'appel SOAP. Je précise également que cette solution est compatible avec
tous les téléphones, tous les opérateurs, dans tous les pays.
Je suis là demain, pour en parler, si vous le souhaitez.

Je vous laisse l'URL du site, afin de pouvoir tester la solution et pouvoir
discuter du produit en connaissance de cause demain.
http://www.certificall.net

Ce type de solution s'intercale donc très bien dans l'étape
d'authentification pour accès à l'espace privé du client. Il est dès lors
possible de savoir que le client est bien celui qu'il prétend être, et
ouvrir son IP sur le firewall pour une session de courte/moyenne durée. Le
client peut donc partir en vacances à l'autre bout du monde et toujours
pouvoir se connecter d'urgence (ne me remerciez pas de vous gacher vos
vacances ;) )

A demain,
Florian MAURY

> 2010/6/24 Mehdi Badreddine :
>> à ce propos, quid des OTP ? des retours d'expériences ?
>>
>> Mehdi
>>
>> Le 24 juin 2010 10:35, Jérémie Pogeant  a
écrit :

 [snip]
 Citez moi un serveur SFTP qui est capable de :
 - faire des soft quota
 - trouver ses uid/gid/login/pass/clef publique depuis une db ou un 
 annuaire ldap
 - qui soit évidement opensource et portable ailleurs que sur du
linux...
 [/snip]
>>>
>>> proFTPd avec mod_sftp et mod_sql (pour la base des users).
>>> Il est compatible avec la gestion des quotas. Par contre je ne sais 
>>> pas pour le stockage de la clé publique dans la db.
>>> --
>>> Jérémie Pogeant
>>
>>
>
---
Liste de diffusion du FRnOG
http://www.frnog.org/



smime.p7s
Description: S/MIME cryptographic signature


Re: [FRnOG] Re: Comment vous protégez vous ?

2010-06-24 Par sujet Spyou
Le 23/06/2010 15:44, Stephane Bortzmeyer a écrit :
> On Tue, Jun 22, 2010 at 12:46:59PM +0200,
>  Gilles PIETRI  wrote 
>  a message of 32 lines which said:
> 
>> Typiquement, ce genre de vol de mot de passe se fait par un troyen
> 
> Et nous laissons maintenant la parole à Maître Capello, qui va
> corriger les erreurs de français, même commises avec bravitude.
> 
> Le logiciel est un question était sans doute un cheval de Troie. Or,
> le cheval de Troie n'était pas troyen, il était grec ! (C'est même
> pour cela qu'il représentait un danger pour les Troyens.)

D'un autre coté, ne peut-on pas considéré qu'il fut, au moins quelques heures 
avant de
bruler avec tout le reste de la ville, Troyen, ayant été offert à Troie par les 
Grecs ?

Donner, c'est donner .. :)
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Re: [FRnOG] Re: Comment vous protégez vous ?

2010-06-23 Par sujet sfout...@gmail.com

Donc on ne devrait pas parler de troyen mais de grec.
Or le terme designe aussi le sandwich connu sous le nom de kebab ou  
doner


Il deviendrait alors bien difficile de differencier le virus indigeste  
du sandwich indigeste...


La confusion serait alors terrible :
Madame Michu se retrouvant avec un grec dans son ordi, en plus de  
Nikos de TF1 dans sa TV.
Elle argumenterait que jamais elle n'a trouvé de frites dans son  
pécé.


Les troyens c'est pas plus mal ...é-pi-ssétou !!!

Sebastien FOUTREL
Sent from Iphone

Le 23 juin 2010 à 19:52, stefan  a écrit :




2010/6/23 Stephane Bortzmeyer 
On Tue, Jun 22, 2010 at 12:46:59PM +0200,
 Gilles PIETRI  wrote
 a message of 32 lines which said:

> Typiquement, ce genre de vol de mot de passe se fait par un troyen

Et nous laissons maintenant la parole à Maître Capello, qui va
corriger les erreurs de français, même commises avec bravitude.

Le logiciel est un question était sans doute un cheval de Troie. Or,
le cheval de Troie n'était pas troyen, il était grec ! (C'est même
pour cela qu'il représentait un danger pour les Troyens.)


Tout cela est certainement à reprocher aux generations précedentes,
qui dans leur hâte et sûrs du futur de la langue française (que
nous-mêmes savons bien compromis sans notre vigilance
de tous les instants) n'ont pas remarqué que ce
"cheval de Troie" prêtait a confusion, sans
quoi ils lui auraient sans nul doute
préféré "faux cheval utilisé aux
dépends de Troie", qui, s'il
n'est pas complet, offre
l'avantage d'être plus
court qu'une explication
détaillée, elle-même à son
tour plus courte que l'histoire
connue de l'humanité, qui est, on en
conviendra, un peu comme cette phrase, peu
pratique à lire aussi bien qu'à écrire, en tout les cas
dans le cadre décontracté d'une communication de tous les jours.




[FRnOG] Re: [FRnOG] Re: Comment vous protégez vous ?

2010-06-23 Par sujet stefan
2010/6/23 Stephane Bortzmeyer 

> On Tue, Jun 22, 2010 at 12:46:59PM +0200,
>  Gilles PIETRI >
> wrote
>  a message of 32 lines which said:
>
> > Typiquement, ce genre de vol de mot de passe se fait par un troyen
>
> Et nous laissons maintenant la parole à Maître Capello, qui va
> corriger les erreurs de français, même commises avec bravitude.
>
> Le logiciel est un question était sans doute un cheval de Troie. Or,
> le cheval de Troie n'était pas troyen, il était grec ! (C'est même
> pour cela qu'il représentait un danger pour les Troyens.)
>
>
Tout cela est certainement à reprocher aux generations précedentes,
qui dans leur hâte et sûrs du futur de la langue française (que
nous-mêmes savons bien compromis sans notre vigilance
de tous les instants) n'ont pas remarqué que ce
"cheval de Troie" prêtait a confusion, sans
quoi ils lui auraient sans nul doute
préféré "faux cheval utilisé aux
dépends de Troie", qui, s'il
n'est pas complet, offre
l'avantage d'être plus
court qu'une explication
détaillée, elle-même à son
tour plus courte que l'histoire
connue de l'humanité, qui est, on en
conviendra, un peu comme cette phrase, peu
pratique à lire aussi bien qu'à écrire, en tout les cas
dans le cadre décontracté d'une communication de tous les jours.