IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Elle se fait voler son iPhone, 10K $ sont retirés et elle n'a plus accès à son compte Apple :
« une fois que quelqu'un pénètre dans cet environnement de sécurité, cela se retourne contre vous »

Le , par Stéphane le calme

54PARTAGES

6  0 
Une fonctionnalité iPhone de base peut aider les criminels à voler toute votre vie numérique. Le code d'accès qui déverrouille votre téléphone peut permettre aux voleurs d'accéder à votre argent et à vos données. C'est ce qu'a découvert une femme a ses dépens qui a déclaré que peu de temps après le vol de son iPhone 13 Pro Max, elle n'avait plus accès à son compte Apple. Reyhan Ayas a déclaré qu'Apple n'était « pas du tout utile » après que 10 000 dollars ont été prélevés sur son compte bancaire.

Alex Argiro, qui était détective du NYPD avant de prendre sa retraite en 2022, a déclaré qu'il y avait eu des centaines de crimes similaires commis à New York au cours des deux dernières années : « Une fois que vous entrez dans le téléphone, c'est comme une boîte au trésor ».


Reyhan Ayas quittait un bar de Manhattan en novembre lorsqu'un homme lui a arraché son téléphone et s'est enfui. En quelques minutes, la femme de 31 ans, économiste senior à Revelio Labs, une start-up d'intelligence de la main-d'œuvre, n'a plus pu accéder à son compte Apple et à tout ce qui s'y rattache, y compris des photos, des contacts et des notes.

Dans une interview, Ayas a déclaré qu'elle se tenait devant le bar lorsqu'un homme lui a volé son iPhone 13 Pro Max. Elle croit qu'il l'avait vue entrer son mot de passe à un moment donné et avait attendu l'occasion de voler son appareil.

La femme de 31 ans a déclaré avoir emprunté un autre iPhone pour essayer de localiser le sien à l'aide de la fonction "Find My iPhone". Cependant, Ayas a déclaré qu'elle avait déjà été éjectée de son compte Apple à ce moment-là. « Je ne savais pas ce qui se passait », a-t-elle déclaré.

Elle a déposé plainte dans un commissariat le lendemain et a montré des notifications de demande de réinitialisation de mot de passe et des informations de connexion après le vol de son appareil.

Parce qu'elle avait perdu l'accès à son compte Apple, elle n'a pas pu se connecter à son ordinateur MacBook. Elle a contacté le support Apple, qui lui a conseillé de se procurer une nouvelle carte SIM et un nouvel iPhone. Elle l'a fait, mais n'a toujours pas pu accéder à son compte.

Au cours des 24 heures suivantes, environ 10 000 dollars ont été prélevés de son compte bancaire, selon un relevé bancaire consulté par le média qui l'a interviewé. Il lui a été conseillé d'ouvrir un nouveau compte et d'y transférer tous ses fonds.

Alors qu'elle visitait un Apple Store à la recherche d'une assistance, Ayas a déclaré avoir reçu un e-mail de Credit Karma montrant une demande de carte de crédit Apple. Un autre e-mail lui a indiqué que la demande avait été approuvée alors qu'elle était en attente avec le support de la carte Apple.

L'équipe de soutien « n'a pas été utile du tout », a déclaré Ayas. Elle a ensuite appelé Goldman Sachs, qui émet les cartes de crédit d'Apple, et a pu obtenir de l'aide.

Ayas a dit qu'elle était très frustrée par Apple qui demandait continuellement : « Avez-vous essayé "Find My iPhone ?" ». « Bien sûr, j'ai essayé, peut-être trois minutes après [ndlr. le vol de mon téléphone], je l'ai essayé. On dirait que c'est une blague pour vous. Ma vie entière est un gâchis, mais vous me demandez toujours si je l'ai essayé », a-t-elle déclaré avoir répondu.

Lors de sa dernière conversation avec un représentant d'Apple, le représentant a déclaré à Ayas qu'il n'y avait aucun moyen de retrouver l'accès à son compte iCloud.

« Apple est très fier d'être de son environnement de sécurité fermé. Mais ils parlent rarement du fait que si un intrus pénètre cet environnement de sécurité fermé, il devient alors également fermé aux personnes qui possèdent le compte », a déclaré Ayas. « Cela peut absolument se retourner contre vous ».

Une situation loin d'être isolée

Des histoires similaires s'accumulent dans les postes de police du pays. Les auteurs de ces méfaits utilisent une astuce remarquablement low-tech : ils regardent les propriétaires d'iPhone taper leurs codes d'accès, puis volent leurs téléphones et ont le champ libre. Les voleurs exploitent une simple vulnérabilité dans la conception logicielle de plus d'un milliard d'iPhone actifs dans le monde. Il se concentre sur le mot de passe, la courte chaîne de chiffres qui permet d'accéder à un appareil ; et les mots de passe, généralement des combinaisons alphanumériques plus longues qui servent de connexion pour différents comptes.

Une fois qu'un tiers parvient à mettre la main sur le mot de passe, il peut en quelques secondes changer le mot de passe associé à l'identifiant Apple du propriétaire de l'iPhone. Cela empêcherait la victime d'accéder à son compte, qui comprend tout ce qui est stocké dans iCloud. Le voleur peut aussi souvent piller les applications financières du téléphone puisque le mot de passe peut déverrouiller l'accès à tous les mots de passe stockés de l'appareil.

« Une fois que vous entrez dans le téléphone, c'est comme une boîte au trésor », a déclaré Alex Argiro, qui a enquêté sur un réseau de vol très médiatisé en tant que détective du département de police de New York avant de prendre sa retraite l'automne dernier. Il a dit qu'il y avait eu des centaines de crimes de ce genre dans la ville au cours des deux dernières années. « Et cela va en augmentant », a-t-il déclaré. « C'est un crime tellement opportuniste. Tout le monde a des applications financières ».

Apple Inc. s'est présenté comme le leader de la confidentialité et de la sécurité numériques, vendant son matériel, ses logiciels et ses services Web iCloud étroitement intégrés comme la meilleure protection pour les données de ses clients. « Les chercheurs en sécurité conviennent que l'iPhone est l'appareil mobile grand public le plus sécurisé, et nous travaillons sans relâche chaque jour pour protéger tous nos utilisateurs contre les menaces nouvelles et émergentes », a déclaré une porte-parole d'Apple.

« Notre sympathie va droit aux utilisateurs qui ont vécu cette expérience et nous prenons très au sérieux toutes les attaques contre nos utilisateurs, aussi rares soient-elles », a-t-elle déclaré, ajoutant que la société estime que ces crimes sont rares, car ils nécessitent le vol de l'appareil et du mot de passe. « Nous continuerons à faire progresser les protections pour aider à sécuriser les comptes des utilisateurs ».

Un examen de la récente vague de vols révèle une possible lacune dans l'armure d'Apple. Les défenses de l'entreprise sont conçues autour de scénarios d'attaque courants : le pirate sur Internet qui tente d'utiliser les identifiants de connexion d'une personne, ou le voleur dans la rue qui cherche à s'emparer d'un iPhone pour une vente rapide.

Ils ne tiennent pas nécessairement compte du brouillard d'une scène de bar nocturne pleine de jeunes, où les prédateurs se lient d'amitié avec leurs victimes et les poussent à révéler leurs codes d'accès. Une fois que les voleurs possèdent à la fois le code d'accès et le téléphone, ils peuvent exploiter une fonctionnalité qu'Apple a intentionnellement conçue comme une commodité : permettre aux clients oublieux d'utiliser leur code d'accès pour réinitialiser le mot de passe du compte Apple.

« Ce n'était qu'une question de temps avant qu'un attaquant n'utilise le shoulder surfing ou l'ingénierie sociale », a déclaré Adam Aviv, professeur agrégé d'informatique à l'Université George Washington. « S'appuyer sur un téléphone comme appareil de confiance échoue dans de tels cas », a-t-il ajouté. Le shoulder surfing est une technique consistant à dérober des informations secrètes ou confidentielles d’une personne en regardant par-dessus l’épaule de celle-ci. Par exemple, une des fraudes les plus communes est le clonage par distraction, aussi appelée le shoulder surfing  : à la caisse d'un commerce, le voleur relève le numéro d'identification personnel (NIP) du client devant lui, en regardant par-dessus son épaule alors que ce dernier paie avec sa carte.


Anatomie de l'attaque : le voleur vous regarde taper votre mot de passe, puis vole votre iPhone. Avec l'appareil et le code d'accès, le voleur peut alors faire ceci...

Le vol

Toutes les victimes interrogées par le Wall Street Journal ont déclaré que leurs iPhone avaient été volés alors qu'elles étaient en train de parler sur les réseaux sociaux la nuit. Certains ont dit que les téléphones leur avaient été arrachés des mains par quelqu'un qu'ils venaient de rencontrer. D'autres ont déclaré avoir été agressés physiquement et intimidés pour qu'ils remettent leurs téléphones et leurs codes d'accès. Quelques-uns ont dit qu'ils croyaient avoir été drogués. Ils se sont réveillés le lendemain matin sans leurs téléphones, sans aucun souvenir de la nuit précédente.

Dans tous les cas, les propriétaires d'iPhone ont été éjectés de leurs comptes Apple. Ils ont ensuite découvert des milliers de dollars de vols financiers, y compris une combinaison de frais Apple Pay, des comptes bancaires épuisés liés à des applications téléphoniques et de l'argent prélevé sur Venmo de PayPal Holdings Inc. et d'autres applications d'envoi d'argent.

Une vulnérabilité similaire existe dans le système d'exploitation mobile Android de Google. Cependant, la valeur de revente plus élevée des iPhone en fait une cible beaucoup plus courante, selon les responsables des forces de l'ordre. « Nos politiques de connexion et de récupération de compte tentent de trouver un équilibre entre permettre aux utilisateurs légitimes de conserver l'accès à leurs comptes dans des scénarios réels et empêcher les mauvais acteurs d'entrer », a déclaré un porte-parole de Google.

Le soir du 22 janvier 2022, Reece Thompson, directeur artistique d'une agence de création à Hiawatha, Iowa, prenait un verre avec sa petite amie alors qu'il visitait le centre-ville de Minneapolis lorsque son iPhone 12 Pro a disparu du bar. Le lendemain matin, lorsqu'il a tenté de se connecter à son compte Apple à partir d'un autre appareil, le mot de passe du compte avait été modifié. Des milliers de dollars avaient été débités de ses cartes de crédit via Apple Pay et 1 500 dollars avaient été volés sur son compte Venmo, a-t-il déclaré.

Les procureurs du Minnesota affirment que Thompson, âgé de 42 ans, a été victime d'un réseau de voleurs qui a accumulé près de 300 000 dollars en volant des iPhone et leurs codes d'accès à au moins 40 victimes. Le groupe a ciblé les amateurs de bar avec des smartphones Apple, a rapidement pillé les comptes accessibles grâce à ces appareils, puis a revendu les téléphones, selon le mandat d'arrêt d'un membre du réseau présumé, Alfonze Stuckey. Stuckey a depuis plaidé coupable à un chef de racket et a été condamné à 57 mois de prison. Onze autres suspects ont été accusés de racket dans cette affaire.

Des groupes de deux ou trois voleurs allaient dans un bar et se liaient d'amitié avec les victimes, leur demandant souvent d'ouvrir Snapchat ou une autre plate-forme de médias sociaux, a déclaré le Sgt. Robert Illetschko, l'enquêteur principal sur l'affaire. Au cours de cette interaction, ils essaieraient d'observer la victime déverrouiller l'iPhone avec le mot de passe, a-t-il déclaré. S'ils n'avaient pas saisi le code d'accès au début, ils auraient peut-être essayé de demander à la victime de leur remettre le téléphone pour une photo, puis de l'éteindre subtilement avant de le rendre, a-t-il ajouté. Après le redémarrage d'un iPhone, un mot de passe est requis pour le déverrouiller.

« C'est aussi simple que de regarder cette personne taper à plusieurs reprises son code d'accès dans le téléphone », a déclaré le Sgt. Illetschko, ajoutant que parfois les voleurs filmaient secrètement les victimes afin qu'ils puissent être sûrs d'avoir saisi la bonne séquence. « Il y a beaucoup d'astuces pour amener la personne à entrer le code ».

Des cas similaires ont été signalés à Austin, Denver, Boston et Londres.

À New York, l'une des premières informations que la police a reçues sur l'ampleur de cette nouvelle vague de criminalité a pris la forme d'un décès inexpliqué.

Le vendredi 27 mai, lors d'une visite de Washington, D.C., John Umberger est sorti pour la nuit à Manhattan, terminant la soirée dans un bar du quartier de Hell's Kitchen. Cinq jours plus tard, le directeur de la diplomatie et des programmes politiques de l'American Center for Law and Justice, âgé de 33 ans, a été retrouvé mort dans l'appartement où il résidait, avec un portefeuille vidé et pas d'iPhone.

Au début, la police a soupçonné qu'il s'agissait d'une surdose de drogue de routine. Ensuite, sa famille a découvert que des milliers de dollars avaient été prélevés de ses comptes bancaires, PayPal et Venmo, ainsi que des frais de carte de crédit suspects, selon la mère d'Umberger, Linda Clary. Elle pense que le mot de passe du compte Apple de son fils a été modifié.

Argiro, le détective de New York qui a participé à l'enquête sur la mort d'Umberger avant de prendre sa retraite en septembre, a déclaré que les autorités en étaient venues à croire qu'il était victime d'un groupe de voleurs qui ciblent les barmans de New York, blanchissent de l'argent avec des applications, puis revendent les téléphones. Ce groupe particulier serait responsable de plus de 30 incidents, a-t-il ajouté.

Le bureau du procureur du district de Manhattan est en train de monter un dossier à présenter devant un grand jury, selon des personnes proches de l'enquête.

La méthode

En théorie, les innovations récentes d'Apple en matière de sécurité devraient éliminer la vulnérabilité d'un mot de passe intercepté. La porte-parole d'Apple a indiqué que Face ID et Touch ID étaient des moyens qui limiteraient la nécessité de saisir un mot de passe.

Pourtant, à New York, certaines autorités ont suggéré Face ID comme point d'entrée possible dans les téléphones. L'Office of Nightlife de la ville, une liaison entre la mairie et l'industrie hôtelière, a accueilli un conférencier qui a recommandé aux amateurs de bar de désactiver la reconnaissance faciale, sur la théorie selon laquelle le visage d'une personne incapable pourrait être utilisé par les voleurs.

Une violation du code d'accès est le scénario le plus probable, selon les rapports du Journal et les tests sur l'appareil. Pour changer le mot de passe de l'identifiant Apple de quelqu'un sur un iPhone, un scan du visage ne suffit pas : un mot de passe est nécessaire. Lorsque le changement de mot de passe est terminé, le logiciel offre une option pour forcer d'autres appareils Apple, tels que les Mac ou les iPad, à se déconnecter du compte Apple, afin qu'une victime ne puisse pas se tourner vers ces appareils pour retrouver l'accès. Le logiciel ne demande jamais à l'utilisateur d'entrer un ancien mot de passe avant d'en définir un nouveau. Les journalistes du Journal ont pu faire tout cela en moins d'une minute.

Une porte-parole d'Apple a déclaré que le système est conçu pour aider les utilisateurs qui ont oublié le mot de passe de leur compte. Elle a ajouté que cela nécessite deux facteurs, l'appareil physique ainsi que le code d'accès de l'appareil.

Avec le nouveau mot de passe, le voleur peut désactiver "Find My iPhone", ce qui permettrait autrement aux victimes de localiser leurs téléphones et même de les effacer à distance pour protéger leurs données. La désactivation de "Localiser mon iPhone" permet également au voleur de revendre l'iPhone.

Apple a récemment introduit la possibilité d'utiliser des clefs de sécurité matérielles, de petits dongles USB, pour protéger l'identifiant Apple. Lors des tests du Journal, les clefs de sécurité n'ont pas empêché les changements de compte en utilisant uniquement le mot de passe, et le mot de passe pouvait même être utilisé pour supprimer les clefs de sécurité du compte.

Source : WSJ

Et vous ?

Quelle lecture faites-vous de ces situations ?
Avez-vous vécu, directement ou indirectement, des situations similaires ? Partagez votre vécu.
Face à ceci, est-il alors prudent de garder ses informations bancaires sur son mobile ? Dans quelle mesure ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de juju26
Membre averti https://www.developpez.com
Le 28/02/2023 à 13:39
Raison de plus de séparer les choses. Pour moi, un téléphone ne doit pas remplacer une CB et ne doit pas être la solution d'identification unique.
Cela devrait même être interdit par la législation pour des questions de sécurité.
Demain, sous prétexte de renforcement de la sécurité, les mots de passe seront supprimés. Dans ce cas, les voleurs ne chercheront pas à voir votre mot de passe ou à l’extorquer. Ils vous arracheront le doigt ou la t...
16  1 
Avatar de SofEvans
Membre émérite https://www.developpez.com
Le 28/02/2023 à 13:26
Parce qu'elle avait perdu l'accès à son compte Apple, elle n'a pas pu se connecter à son ordinateur MacBook. Elle a contacté le support Apple, qui lui a conseillé de se procurer une nouvelle carte SIM et un nouvel iPhone.
Bwahahahhahaha hahah !

- "Bonjour, je me suis fais voler mon Iphone et je ne peux plus utiliser aucun de mes appareils Apple, vous pourriez m'aider ?"
- "Vous avez pensé à racheter un Iphone ?"

C'est juste magique, il n'y a pas d'autre mot !

Dans le même registre, il faut faire hyper gaffe de ne pas se faire "pirater" son adresse e-mail, et il faut toujours avoir 1-2 adresse e-mail en backup pour ce genre de cas.
A partir de l'email, tout comme à partir de l'Iphone (mais dans une moindre mesure certes), l'attaquant a accès à tout et peut changer les mot de passe.
14  0 
Avatar de d_d_v
Membre éprouvé https://www.developpez.com
Le 28/02/2023 à 17:36
Le pire, c'est si la victime n'a plus de carte bancaire et n'utilise que son smartphone comme moyen de paiement
7  0 
Avatar de walfrat
Membre émérite https://www.developpez.com
Le 01/03/2023 à 10:43
Citation Envoyé par juju26 Voir le message
Raison de plus de séparer les choses. Pour moi, un téléphone ne doit pas remplacer une CB et ne doit pas être la solution d'identification unique.
Cela devrait même être interdit par la législation pour des questions de sécurité.
Demain, sous prétexte de renforcement de la sécurité, les mots de passe seront supprimés. Dans ce cas, les voleurs ne chercheront pas à voir votre mot de passe ou à l’extorquer. Ils vous arracheront le doigt ou la t...
Dans le meme genre, déjà tester la double authentification sur une appli bancaire ?
  • Quand tu le fais depuis ton PC, tu vois valider sur ton portable (avec un autre code certes)
  • Quand tu le fais depuis ton portable, tu dois valider... sur ton portable


Bref si t'as un mouchard sur ton portable, t'es foutu.

Partir du postulat que tout est susceptible de faillir (panne, vol, piratage...)
Donc il faut tout décentraliser (l'exact opposé de ce que fait Apple par facilité..., mais ce n'est guère mieux chez Google)
et avoir des systèmes de double authentification redondants et séparés
et du bon sens face au fishing...
Non non non et non bordel, c'est pas au citoyen lambda de gérer 3 adresses mails, 2 pc, 3 portables, 4 gestionnaire de mots de passes différents par sécurité, 5 comptes bancaires, ça ne marchera jamais à l'échelle de toute une population.

La raison pour laquelle tout ça pullule, c'est parce que la justice ne suit pas.
6  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 01/03/2023 à 22:29
Citation Envoyé par walfrat Voir le message
...
Bref si t'as un mouchard sur ton portable, t'es foutu.
Je suis bien d'accord, c'est pour cela que mon portable n'a pas un accès privilégié que je ne puisse révoquer ailleurs. (et le TOTP résiste aux mouchards...)
Ensuite, je suis aussi d'accord que les banques qui considèrent qu'un portable est une authentification forte, c'est un vrai problème.

Citation Envoyé par walfrat Voir le message

Non non non et non bordel, c'est pas au citoyen lambda de gérer 3 adresses mails, 2 pc, 3 portables, 4 gestionnaire de mots de passes différents par sécurité, 5 comptes bancaires, ça ne marchera jamais à l'échelle de toute une population.

La raison pour laquelle tout ça pullule, c'est parce que la justice ne suit pas.
Idéalement, ce n'est pas au citoyen de gérer ces complexités techniques, mais comme je peux en partie, "aide toi et le ciel t'aidera".

En France, en cas d'arnaque électronique sur un paiement bancaire, la charge de la preuve est inversée. C'est à la banque de prouver que le client a fauté. Sinon, elle doit rembourser, c'est la loi. Actuellement, il y a un problème. Les banques arguent que leur système est très sécurisé grâce à la double authentification par téléphone et refusent de rembourser en toute illégalité en intimidant les clients. Lesquels clients sont obligés d'aller vers 60 millions de consommateurs ou un procès.

Par ailleurs, le temps que la justice intervienne, l'argent volé est déjà parti à l'étranger en dehors de la juridiction... donc, " il faudrait avoir une justice exceptionnelle", je crains que ça ne suffise pas (et dans le contexte d'affaissement progressif de l'état français je crains que ça n'arrive pas de sitôt ).
6  0 
Avatar de Artemus24
Expert éminent sénior https://www.developpez.com
Le 04/03/2023 à 8:19
Salut à tous.

Citation Envoyé par Fagus
et du bon sens face au fishing...
Les gens sont dépourvus de bon sens et c'est ça le problème.
Donc pourquoi mettre ses références bancaires dans un téléphone mobile ? On peut se le demander.
Je sais. Parce que cela simplifie la vie. Oui, mais la vie de qui ? Des voleurs, certainement.

Citation Envoyé par Fagus
ma CB n'est pas sur mon téléphone ni sur un compte.
Je ne possède pas de téléphone mobile car je n'en ai pas besoin.
Je continue de payer par carte bancaire car c'est le moyen le plus utilisé, là où je fais mes courses.
Par internet, je ne peux pas payer mes achats avec ma carte bancaire.
Ma carte bancaire ne me le permet pas et cela ne m'empêche pas de payer au moyen d'un virement bancaire.

Citation Envoyé par Fagus
Ensuite, je suis aussi d'accord que les banques qui considèrent qu'un portable est une authentification forte, c'est un vrai problème.
Pourquoi s'authentifier au moyen d'un téléphone mobile alors que celui-ci peut facilement se faire voler ?
J'ai répondu à mon banquier qu'une ligne fixe ne peut pas se faire voler et qu'ils auraient dû y penser avant.
On m'a répondu que les téléphones fixes ne peuvent pas recevoir des sms.
Pourquoi un SMS ? Pour m'identifier sur doctolib, j'ai eu un message vocale sur ma ligne fixe.

Délibérément, le choix a été fait de s'identifier par téléphone mobile et par sms.

Le pire dans cette histoire, ils n'ont même pas tenu compte des zones blanches.
Comment s'authentifier quand on n'a pas de réseau 4G à sa disposition ?
Tout est fait pour les citadins, pas pour les ruraux.

Citation Envoyé par Weed
Une des règles de base que j'applique est de ne pas tout mettre les oeufs dans le même panier, or le truc à la mode est de tout faire depuis son téléphone.
Un téléphone sert à téléphoner pas à faire autre chose.

Citation Envoyé par DevTroglodyte
Limite, il faudrait faire des formations obligatoires sur la sécurité informatique, vu à quel point le numérique est intégré à nos vies.
Ce n'est pas possible car qui voudrait payer pour suivre une de ces formations ?

Une des solutions est la biométrie. Mais qu'est-ce qui empêche un voleur de vous arracher le doigt où l'oeil ?
Et pourquoi ne pas porter sous la peau, une puce électronique ?
C'est tellement stupide qu'un jour, l'état va nous obliger à le faire.

Cordialement.
Artemus24.
@+
6  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 28/02/2023 à 21:08
Je pense que cette mésaventure devrait nous inciter à rester humbles. Tout le monde n'est pas informaticien, et honnêtement, je trouve que c'est difficile d'établir un plan de menace pour résister à la plupart des attaques numériques.

Personnellement, je pense qu'il faut :
  • Partir du postulat que tout est susceptible de faillir (panne, vol, piratage...)
  • Donc il faut tout décentraliser (l'exact opposé de ce que fait Apple par facilité..., mais ce n'est guère mieux chez Google)
  • et avoir des systèmes de double authentification redondants et séparés
  • et du bon sens face au fishing...


De mon côté,
  • j'ai plusieurs mails pour les sites ordinaires, moyennement sécurisés, très sécurisés... (c'est bidon, mais déjà, je reçois tout le fishing sur mon adresse poubelle, ce qui facilite le tri. franchement avec le temps j'ai tout reçu, les trucs bidons, les attaques parfaites avec faux site parfait, le virus qui passe tous les antivirus ; j'en ai désobfusqué parfois par curiosité)
  • des pass uniques et un gestionnaire de pass
  • la double authentification TOTP autant que possible
  • et pas avec mon téléphone mais avec un token yubico
  • quand j'éteins un PC ou que je ferme le navigateur, le comportement forcé est de démonter les disques chiffrés et d'effacer le cache, cookies etc.
  • je n'ai qu'une confiance très limitée dans google, qui comme apple a fait des compromis sécurité/facilitations. Lors d'un test, j'ai pu supprimer sur mon compte google la double authentification SANS saisir la double authentification [c'était aussi arrivé à la youtubeuse Heliox qui s'était fait voler son compte juste en exécutant dans un moment de fatigue un exe troyandé non détecté par l'antivirus]. De même, sur un appareil apple d'un proche décédé dont j'ignorais tous les pass, j'avais pu ouvrir suite à un changement de leur politique leur gestionnaire de mot de passes SANS le mot de passe principal qui m'était inconnu. Le gestionnaire m'avait permis de récupérer le contrôle total du compte étrangement... suite à une erreur de logique dans leur procédure.
  • protonmail a une meilleure politique de sécurité, mais si on oublie son pass, le compte est perdu.
  • ma CB n'est pas sur mon téléphone ni sur un compte.


Pour les choses sensibles, il faudrait aussi utiliser Qubes OS (par ex pour le dév de LastPass qui s'est fait voler ses codes sur une faille de son lecteur multimédia...).

Malheureusement, beaucoup d'organismes et de sociétés considèrent que l'authentification par téléphone/SMS est sécurisée (cf la récente attaque d'ampleur par IMSI catcher en Île de France), ou qu'un pass+mail de récupération sont au top (comme l'Assurance Maladie qui m'a imposé cette pratique récemment, alors que la France utilise pour les pro depuis des décennies (de manière assez incroyable) des cartes à puce cryptographiques individuelles pour s'identifier...).
4  0 
Avatar de weed
Membre chevronné https://www.developpez.com
Le 02/03/2023 à 13:20
Une des règles de base que j'applique est de ne pas tout mettre les oeufs dans le même panier, or le truc à la mode est de tout faire depuis son téléphone.
4  0 
Avatar de Claude40
Membre actif https://www.developpez.com
Le 04/03/2023 à 14:12
Bonjour,
Un téléphone mobile est devenu quasiment obligatoire !
Il faudrait que l’on envoie tous un mail à nos banques pour trouver une méthode d’authentification forte autre que le SMS sur un mobile. Je sors de 15 jours de galère, à cause d’un smartphone tombé « en panne » et qui me réclamait un mot de passe alors que je n’en avait pas prévu. C’est comme si on me l’avait volé sans toutefois le risque de voir vider mes comptes (et encore, comment en être certain ?).
Plus d’accès au compte bancaire depuis un Pc, plus de possibilité d’achat sur Internet, plus de carte de fidélité dans mon supermarché préféré, etc… La seule solution a été de le réinitialiser en configuration usine. Mais il faut encore que j’attende un code envoyé par courrier pour accéder à mon compte bancaire. Et tous les courriers sont en principe en tarif vert, c’est-à-dire lents (j’attend depuis une semaine).
On va nous répondre que les banques obéissent à des normes européennes. Mais quand le normes peuvent conduire à des difficultés pareilles, il faut les changer.
3  0 
Avatar de electroremy
Membre expérimenté https://www.developpez.com
Le 05/03/2023 à 11:27
Le smartphone est devenu indispensable et c'est une mauvaise chose.
Les emails aussi, et c'est une mauvaise chose.

J'ai eu mon premier smartphone en... 2020, contraint et forcé par mon employeur. Je vivais très bien sans.

Ca c'est encore accéléré. Le système de double authentification de ma banque a imposé l'usage d'une application, donc d'un smartphone.

Beaucoup d'applications et de services n'existent que sur smartphone, pas de version PC.

En termes de sécurité c'est une énorme erreur, car il n'y a rien de plus facile à voler ou à perdre qu'un smartphone.

Un PC, même portable, est plus difficile à perdre ou à voler, et un PC peut être mieux sécurisé. Le PC portable de mon employeur est sécurisé au maximum par nos IT (cryptage des données et du système, compte limité, suite sécurisé professionnelle, boot impossible autrement que le système) ; il faut en plus du mot de passe de la session windows un mot de passe différent pour se connecter aux applications pro.

Un de mes collègues c'était fait volé son PC portable pro. Le PC portable a été retrouvé abandonné par la nature par quelqu'un qui l'a ramené, ne réussissant pas à faire quoi que ce soit avec ce PC, le voleur a laissé tombé.

Pour les emails, ce qui est emmerdant maintenant c'est qu'avec le "zéro papier" toutes sortes de données sensibles sont envoyés par emails (impôts, factures EDF, factures de gaz, ...) j'aurais préféré que ces documents là continuent uniquement à être envoyés par courrier, voire même ne même pas avoir d'espace client en ligne.
D'abord parce que ça ne sert à rien.
On n'a pas besoin de "gérer" un abonnement EDF. On paie ce qu'on consomme chaque mois, c'est tout, ceux qui ne veulent pas de paperasse optent pour le prélèvement automatique.
Ensuite, car cela créé des vulnérabilités.
Quelqu'un qui pirate une boite mail a maintenant accès à beaucoup de choses.
3  0