LA CARTE DE CREDIT : PROTECTIONS ET

Dimension: px
Commencer à balayer dès la page:

Download "LA CARTE DE CREDIT : PROTECTIONS ET"

Transcription

1 LA CARTE DE CREDIT : PROTECTIONS ET METHODES DE CONTOURNEMENT Julien Birène, Samuel Da Mota, Myriam Goupil, Xavier Guerraz, Morgan Hotonnier 31/10/2010 Ce rapport cherche { éclairer l utilisateur de la carte de crédit, de la première carte { puce française au format international EMV utilisé de nos jours. Nous étudierons les mécanismes d authentification et d habilitation des cartes de crédit et différentes méthodes les contournant.

2 SOMMAIRE I. Introduction... 3 II. Le système des cartes bancaires B0 (avant 2003) Fabrication de la carte bancaire Autorisation de la transaction... 4 a. Authentification de la carte... 4 b. Authentification du porteur de la carte... 5 c. Authentification en ligne (optionnel)... 5 d. Déroulement de la transaction (une fois autorisée)... 6 III. Petit rappel législatif... 7 IV. Contournement par duplication: Le card skimming Technique Protection Sensibilisation V. Contournement de l'authentification: La YesCard Technique Protection Sensibilisation VI. Vol d'identité: Peur justifiée du paiement en ligne Technique Protection Sensibilisation VII. Tromper l'utilisateur: Phishing, Pharming et Scams Technique Protection Sensibilisation VIII. Une attaque atypique : Piratage du DAB Reverse engineering sur borne ATM Attaque matérielle Attaque à distance Moyen de protection IX. Cartes de crédit nouvelle génération : format EMV SRS Day Page 1

3 1. Introduction Fonctionnement général Authentification a. Static Data Authentication (SDA) b. Dynamic Data Authentication (DDA) Gestion des transactions a. Fonctionnement hors ligne et en ligne b. Fonctionnement hors ligne uniquement X. EMV reste faillible: le PIN Authentication Spoofing Technique Protection Sensibilisation XI. Conclusion XII. Bibliographie SRS Day Page 2

4 I. INTRODUCTION Le besoin de pouvoir transporter son argent sans risquer de se faire voler n est pas nouveau : dès le XIIIème siècle les Templiers ont inventé un système de lettre de change, à base de cryptologie symétrique, très similaire au système de chèques et banques aujourd hui. Ce système permettait de voyager sans argent. Les voyageurs remettaient leurs biens aux Templiers avant un pèlerinage, en échange d une lettre de change. En arrivant à destination, d autres Templiers restituaient au voyageur la somme inscrite sur la lettre en monnaie locale. En 1914, Western Union met un système de carte en métal { disposition de ses clients. Mais c est en 1950 qu apparaît la première carte de crédit : le Diner s Club propose { ses membres un système permettant de dîner à crédit grâce à une carte de paiement sous forme de petit carnet. En 1958, Bank of America est la première banque à proposer une carte de crédit bancaire suivie par la Mastercard en Quelques années plus tard, l apparition de la carte { puce permet un paiement sécurisé sur un réseau mondial. La carte de crédit bancaire est aujourd hui un moyen de paiement très répandu et principalement utilisé pour des paiements chez des commerçants ou des retraits aux distributeurs automatiques. Au travers de ce rapport, nous chercherons à éclairer l utilisateur de la carte de crédit, de la première carte à puce française au format international EMV utilisée de nos jours. Nous étudierons les mécanismes d authentification et d habilitation des cartes de crédit et différentes méthodes les contournant. SRS Day Page 3

5 II. LE SYSTEME DES CARTES BANCAIRES B0 (AVANT 2003) 1. FABRICATION DE LA CARTE BANCAIRE Seul le groupement des cartes bancaires (le GIE carte bancaire) peut délivrer une carte bancaire. Lors de la fabrication d une carte bancaire, l organisme bancaire y intègre des données comme le nom du porteur, le numéro de la carte, la date de validité, un chiffré du code confidentiel à quatre chiffres, un code secret utilisé pour du DES ainsi qu une valeur de signature. La valeur de signature est un nombre calculé en fonction d un hash des autres informations présentes sur la carte et d une clé secrète appartenant au groupement des cartes bancaires. Le système cryptographique utilisé est le système RSA. 2. AUTORISATION DE LA TRANSACTION Lorsque l on introduit une carte bancaire dans un lecteur, l autorisation de la transaction se fait en plusieurs étapes : 1. Authentification hors ligne (ou authentification de la carte) 2. Authentification du porteur de la carte 3. Authentification en ligne (par le centre bancaire) a. AUTHENTIFICATION DE LA CARTE La première étape réalisée par le lecteur de carte bancaire lorsque l on y introduit une carte est de vérifier la validité de la carte i.e. que la carte a été émise par un centre bancaire. Pour ce faire, il procède à une vérification basée sur des données enregistrées dans la mémoire de la carte lors de sa création. Lorsque l on introduit la carte, celle-ci envoie au lecteur sa valeur de signature ainsi que les autres données qu elle contient. Pour vérifier que la carte est correcte, le lecteur utilise la clé publique du groupement bancaire pour déchiffrer la valeur de signature et vérifie que le nombre trouvé coïncide parfaitement avec le hashé fourni par la carte. Le fonctionnement se schématise comme suit : Figure 1: Transaction entre la carte et le lecteur SRS Day Page 4

6 1. Insertion de la carte dans le lecteur 2. La carte envoie ses informations et la valeur de signature 3. Le lecteur calcule le hash des informations 4. Le lecteur déchiffre la valeur de signature avec une clé publique 5. La carte est valide si et seulement les résultats obtenus aux étapes 3 et 4 sont identiques b. AUTHENTIFICATION DU PORTEUR DE LA CARTE Une fois que la carte a été authentifiée par le lecteur i.e. que la première étape s est déroulée correctement, le lecteur demande { l utilisateur d entrer un code { quatre chiffre qu il retransmet de suite à la carte pour validation. Cette dernière contient le code confidentiel chiffré, aussi pour vérifier que le code entré est correct. La carte chiffre le code reçu et le compare ensuite { la valeur qu elle contient. Le porteur de la carte est authentifié si et seulement les deux chiffrés coïncident, et la transaction pourra avoir lieu. c. AUTHENTIFICATION EN LIGNE (OPTIONNEL) Si le montant de la transaction dépasse un certain seuil ou que la carte utilisée interdit les découverts le lecteur procèdera à une autorisation auprès du centre bancaire. Pour ce faire, le centre bancaire va authentifier la carte bancaire avec un système DES puis autoriser ou non la transaction. Une fois contacté, le centre renvoie un nombre aléatoire X que le lecteur renvoie à la carte. Cette dernière calcule le DES de ce nombre avec sa clé secrète et renvoie le résultat. Le centre bancaire fait le même calcul (le centre connait la clé secrète puisque c est lui qui l a choisit lors de la création de la carte). Si les résultats coïncident la carte est alors authentifiée auprès de la banque. Celle-ci décide ensuite si elle autorise ou non la transaction en fonction du client (interdit bancaire, découvert trop élevé ). Figure 2: 3ème protection à base de DES SRS Day Page 5

7 d. DEROULEMENT DE LA TRANSACTION (UNE FOIS AUTORISEE) Le lecteur de carte mémorise toutes les transactions effectuées pendants la journée (étape 1 sur le schéma). Chaque soir il se connecte au centre bancaire du commerçant et lui envoie la liste des transactions de la journée (étape 2). Ce dernier contacte la banque de chacun des acheteurs pour réclamer la somme due (étape 3). Une fois que la banque du commerçant a reçu l argent des autres banques (étape 4), elle prélève ses taxes et retourne le reste au commerçant (étape 5). Figure 3: Déroulement de la transaction SRS Day Page 6

8 III. PETIT RAPPEL LEGISLATIF Les sanctions concernant les fraudes de cartes bancaires sont décrites par l article 67-1 de la loi n du 30 décembre 1991 issue du décret-loi du 30 octobre Cette loi condamne toute personne ayant falsifiée une carte de paiement, ayant utilisé une carte de paiement falsifiée, ou ayant accepté un paiement d une carte falsifiée. La peine encourue est une amende allant de 550 { ainsi qu un emprisonnement d un { sept ans. Les outils ayant servi à contrefaire les cartes de paiement sont confisqués, ainsi que les cartes en question qui seront détruites. Les seuls risques liés à l'utilisation d'une carte de crédit ne sont pas physiques. Le développement des plates-formes de paiement en ligne en font des cibles de choix. Plusieurs articles de lois précisent les obligations commerciales des vendeurs (obligation d'afficher les prix, droit de rétractation légal, etc...), mais aucune loi ne protège actuellement l'acheteur spécifiquement au moment du paiement. Le principal problème relatif au paiement en ligne réside dans la responsabilité : d'une manière générale, la plate-forme de paiement est fournie directement par la banque du revendeur. Ce dernier n'a qu'à rediriger l'acheteur sur le site de sa banque, qui procède à la transaction et renvoie l'utilisateur sur le site du vendeur une fois celle-ci confirmée. Dans ce contexte, en cas de fraude ou de tromperie, qui peut être mis en cause? Le banque, pour ne pas respecter son engagement de fournir un service sécurisé, ou alors le vendeur, qui, en travaillant avec sa banque doit assumer la responsabilité de tout incident vis à vis de son client? En dehors des attaques et fraudes directes, plusieurs techniques existent pour tenter de tromper l'utilisateur. Ici encore, la loi reste embryonnaire, et bien souvent ce sont les décisions de justice qui font jurisprudence et servent de référence. SRS Day Page 7

9 IV. CONTOURNEMENT PAR DUPLICATION: LE CARD SKIMMING 3. TECHNIQUE Le skimming, aussi appelé White Card, est pratiqué surtout dans les bars, restaurants, stations services, et hôtels. Un employé malveillant glisse la carte de paiement du client dans un boîtier électronique permettant de copier les données de celle-ci. Il restitue ensuite sa carte au client et revend la copie à un réseau de fabricants de fausses cartes de crédit. Le client ne se rendra compte de la fraude qu { la réception de son relevé bancaire. Le skimming est appliqué également dans certains cas directement sur des distributeurs automatiques. Les fraudeurs apposent sur la fente d insertion de la carte un cache contenant le matériel électronique permettant de copier le numéro à partir de la bande magnétique de celleci. Le boîtier permettant la copie se compose en fait de trois circuits. Le premier copie les données avant qu elles ne soient chiffrées par le lecteur. Le second sauvegarde ces informations et les chiffre afin qu elles ne puissent pas être lues par une source extérieur. Enfin, le troisième et dernier circuit envoie ces données à un serveur distant où elles sont récupérées et déchiffrées pour la fabrication de White Cards. Figure 4: Application d un cache La copie de la bande magnétique de la carte n étant pas suffisante { la falsification, il est nécessaire de récupérer le code secret. Pour ce faire, les fraudeurs utilisent un second cache sur le clavier qui enregistrera le code PIN tapé par l utilisateur, ou une caméra dissimulée dans le distributeur. SRS Day Page 8

10 Figure 5: Une caméra est dissimulée dans le porte-prospectus Le matériel nécessaire au skimming est très coûteux : environ 8000 pour un cache pouvant transmettre à un pc, via sms ou wifi, les informations de 1856 cartes. 4. PROTECTION La falsification d une carte bancaire nécessite de posséder deux éléments : le numéro de carte (contenu sur la bande magnétique) et le code PIN. La protection d un seul de ces deux éléments est donc suffisante pour empêcher le skimming. La protection du code PIN s avère difficile car il existe trop de moyen de le voler. En revanche, la seule façon d acquérir le numéro de carte est de le copier { partir de la bande magnétique. C est donc cet élément qu il faut protéger. La meilleure solution existant { ce jour consiste { mesurer l épaisseur des éléments du distributeur grâce à un système de laser haute-précision afin de détecter le skimmer. Le laser effectue des mesures sur le lecteur de carte en plusieurs points et stocke les mesures obtenues comme références. D autres mesures sont effectuées régulièrement et sont comparées aux mesures de référence. Si ces nouvelles mesures dépassent un certain seuil, un signal d alarme est envoyé à un module de contrôle qui envoie alors des signaux et messages de prévention alertant le personnel concerné en temps réel (par sms par exemple). L installation du laser n est pas fixe, il peut se trouver entre 0,05 et 30 mètres du distributeur de billets. De plus, son rayon d action étant assez large, il n est pas affecté par des problèmes environnementaux comme la lumière. Les fausses alertes sont donc rares et peuvent être facilement résolues. SRS Day Page 9

11 5. SENSIBILISATION La meilleure défense contre le skimming reste la sensibilisation. Il est recommandé d adopter une attitude vigilante. - Chercher un éventuel cache placé sur le lecteur de carte Les caches dissimulant le boîtier malveillant ressemblent beaucoup aux véritables lecteurs de cartes. Une façon de vérifier que le lecteur de carte n est pas recouvert d un cache est d essayer de le faire bouger avec les mains. - Cacher son code PIN Une des méthodes permettant aux fraudeurs de récupérer le code secret est de dissimuler une caméra dans le distributeur de billets. Bien cacher son code PIN lors de la composition, même en étant seul, est une bonne habitude à prendre pour se protéger du skimming. - Eviter les personnes trop serviables Une autre technique d un fraudeur pour obtenir le code PIN est de rester aux alentours du distributeur de billets et d offrir son aide { l utilisateur lorsque le distributeur présente un dysfonctionnement. Le fraudeur demande { l utilisateur de réessayer de taper son code et regarde alors par-dessus l épaule de celui-ci pour mémoriser le code. Parfois le fraudeur demande directement son code PIN { l utilisateur. - Vérifier ses comptes régulièrement En étant victime du skimming, le meilleur réflexe est de détecter la fraude le plus tôt possible afin de la reporter rapidement et d augmenter ses chances de récupérer l argent volé. Figure 6: Zones privilégiées pour le placement d'un équipement de skimming SRS Day Page 10

12 V. CONTOURNEMENT DE L'AUTHENTIFICATION: LA YESCARD Comme on a pu le constater, lors d'une transaction bancaire avec un terminal de paiement (TP), plusieurs contrôles sont effectués. Des contrôles pour vérifier à la fois la légitimité de la carte par authentification de la carte avec la valeur de signature VS d'une part. Celle de son porteur par sa connaissance du code confidentiel d'autre part. Ces deux méthodes sont réalisées de façon totalement autonome par la carte de crédit et le TP. Nous savons aussi que la troisième et dernière vérification, réalisée cette fois en ligne avec un centre de contrôle bancaire, n'est pas systématique et souvent réservée aux retraits de grosses sommes d'argents. L'authentification de la carte se fait du coté du TP, la vérification du code PIN se fait lui du coté de la carte de crédit, c'est cette particularité qui a permis l'apparition des YesCard. 1. TECHNIQUE Une YesCard, ou encore simulacre de carte bancaire, est une carte répondant toujours oui, quel que soit le code secret tapé par le titulaire. Elle est réalisée avec une carte à puce, vierge à l'origine, dans laquelle on insère un programme visant à émuler parfaitement le fonctionnement d'une carte bancaire. La seule différence est qu'elle donne systématiquement une autorisation de transfert au terminal de paiement lorsque celui-ci réalise la demande de vérification du code confidentiel. On constate aisément le point limitant de cette méthode: il reste à tromper l'authentification de la carte. Pour cela il y a deux méthodes: Cloner une carte bancaire existante et légitime. Pour cela, il suffit de calquer les méthodes des skimmeurs et récupérer les informations de la carte, pour cela, un simple lecteur de carte à puce suffit, ce genre de lecteur se trouve facilement dans le commerce même pour un particulier. Du fait que les données proviennent d'une carte valide, la valeur de signature à bien été générée avec la clef secrète du groupement des cartes bancaires (le GIE) et l'authentification se réalisera donc avec succès. Ce sera bien entendu le compte du possesseur de la carte originelle qui sera débité. Confectionner des informations de cartes bancaires factices et réussir à générer la bonne valeur de signature VS. Pour cela, il faut réussir à casser le chiffrement et découvrir la clef secrète du GIE. C'est ce qu'a réussi Serge Humpich, informaticien et électronicien français en 1998, et qui à donné le nom de "Yescard Humpich" aux cartes bancaires confectionnées par cette méthode. Ce qui peut sembler un exploit n'en était pas vraiment un. En effet la clef secrète faisait 320 bits, taille suffisante car considérée comme incassable en 1990, mais plus en Serge Humpich n'aura fait qu'utiliser des programmes de factorisation de grands nombres premiers de son époque pour parvenir à ses fins. Voici la procédure permettant de confectionner les informations d'une Yescard méthode Humpich: SRS Day Page 11

13 a. On génère aléatoirement un numéro de carte à 16 chiffres correspondant à une banque française. Elle vérifie le format de clé de Luhn. b. On choisit une date d'expiration dans le futur c. On choisit arbitrairement un nom de porteur d. On encode ces informations au format hexadécimal e. Cela donne un numéro de 48 chiffres décimaux (160 bits) appelé identifiant (Id) f. On multiplie ce chiffre par , cela donne un numéro de 96 chiffres décimaux (320 bits) g. On élève ce numéro de 96 chiffres à la puissance exposant privé modulo le produit public (ces deux chiffres ont été publiés sur Internet). Cela donne un numéro de 96 chiffres (320 bits) appelé valeur d'authentification (VA). h. On programme une carte à puce blanche pour dialoguer avec un terminal de paiement, cela ressemble à la programmation d'une carte à puce pirate pour les décodeurs de télévision satellite ou Canal +. i. On stocke alors ces 2 numéros de 48 (Id) et 96 chiffres (VA) sur la carte à puce blanche programmable. Figure 7: gezeroleebox, un des premiers logiciels de clonage de carte bancairecomme les numéros utilisés seraient mis normalement en opposition le soir, il faut changer le numéro de carte à 16 chiffres après chaque jour d'utilisation. SRS Day Page 12

14 2. PROTECTION Afin de contrer ce type d'attaque, le GIE a rajouté sur nos cartes bancaire une valeur d'authentification rallongée de 768 bits. Cette valeur d'authentification, appelée VA est le résultat d'un chiffrement RSA, entre diverses informations de la carte comme le code banque, le code pays, le code service ou encore le numéro à 16 chiffres. Grâce à cette clé de 768 bits, impossible de modifier les informations sur la carte, autrement dit impossible de modifier cette valeur d'authentification. L'authentification en ligne est également passée du DES au TripleDES. Bien entendu, cette modification des cartes bancaires a aussi impliqué la modification des lecteurs. Et si le changement des quelques distributeurs automatiques (DAB) peut sembler périlleux, c'est sans compter le million de terminaux de paiement que possèdent par ailleurs les commerçants. C'est pour cette raison que les "YesCard Humpich" sont restées valables jusqu'au premier juillet 2004, date de fin d'acceptation des cartes bancaire au format B0' (on considère qu'actuellement plus de 99% des DAB et TP ont été renouvelés). Mais comme toute méthode de chiffrement se basant sur la solidité d'une clef unique, les capacités de calculs de nos ordinateurs ne cessent d'augmenter, et nous arrivons à casser des clefs RSA de plus en plus grandes. Le dernier record dans le domaine date du 12 janvier 2010 par l'inria qui à réussi à casser une clef RSA de bits. Certes les capacités de calculs de l'inria ne sont pas à la disposition de tous et il a fallu pas moins de 2 ans et demi pour arriver au bout de cette clef, mais cela permet de se donner une idée de la pérennité de cette nouvelle protection. Figure 8: Preuve du fonctionnement des YesCard Humpich via l'achat de tickets de métro SRS Day Page 13

15 Enfin, on notera l'arrivée des spécifications EMV (EuroCard Mastercard Visa), qui ont commencé à être utilisées dès 2001 et sont toujours utilisées sur nos cartes de crédits de 2010, devant apporter plusieurs protections annihilant toute chance de retour des YesCards. On se permettra de rester dubitatif cela dit, étant donné que l'adjonction d'un processeur chargé de faire des calculs RSA dans les cartes à puce émises n'est pas obligée par cette spécification. Par conséquent, certains terminaux de paiement se contenteront de lire les informations de la puce, ce qui signifie se limiter à la méthode d'authentification statique offline comme c'était déjà le cas dans le précédent format. Avec une telle méthode d'authentification, la réalisation de YesCards par clonage d'une carte existante reste tout à fait réalisable. 3. SENSIBILISATION Les banques ont pour obligation de rembourser les pertes d'argents dues à ce type d'attaque, cependant il faut bien entendu réussir à prouver votre bonne foi, ce qui n'est pas toujours simple. Pour l'utilisateur final, tout comme il y a deux types de YesCard, il y a deux façons de se retrouver impacté: La YesCard a été façonnée de toute pièce avec un générateur de numéros de cartes valides, pas de chance, ce numéro de carte est bien attribué à une véritable carte qui n'est autre que la votre! Réjouissez vous pourtant car c'est cette situation dont il est le plus facile de se sortir. En effet si vous remarquez des transactions dont vous n'êtes pas l'auteur, il vous suffit de demander des précisions à votre banque sur cette transaction. Comme le nom du porteur est fourni lors de la transaction, celui de la YesCard sera évidemment faux et ne correspondra pas à votre identité. De plus lors d'une transaction, la carte génère un certificat de 8 octets via chiffrement DES. Or les cartes à puces utilisées lors de la confection des YesCard possèdent une puissance de calcul totalement insuffisante pour réaliser ce type de calcul, il en résultera un certificat erroné facilement vérifiable par la banque. Votre carte a été clonée, dans ce cas il va falloir réussir à prouver que ce n'est pas vous qui avez réalisé la dite transaction. Vous pouvez pour cela essayer de vous baser sur les enregistrements vidéo des DAB si jamais le retrait a été réalisé par cet intermédiaire. Mais même dans ce cas de figure, il faudra réussir à prouver que vous n'avez pas tout simplement donné votre carte et votre code confidentiel à un tiers. D'ailleurs, selon un arrêt de la Cour de cassation, "le fait que la carte ait été utilisée par un tiers avec composition du code confidentiel est, à elle seule, non susceptible de constituer la preuve d'une faute lourde". Autant dire qu'espérer obtenir un remboursement est souvent perdu d'avance. On recense encore des cas de ce genre dans la presse en Il n'existe malheureusement pas de méthode miracle pour éviter de se faire cloner sa carte, à part rester suspicieux lorsqu'on ne vous laisse pas placer vous même la carte dans le terminal de paiement. Mais même dans ce cas de figure, nous sommes arrivés à des degrés de miniaturisation tels qu'il est désormais possible d'avoir des terminaux de paiement ou distributeurs automatiques semblant parfaitement intact, mais disposant d'un clavier trafiqué retenant le code pin, d'un dispositif de copie du contenu de votre carte entièrement dissimulé dans la fente, le tout accompagné d'une puce GSM envoyant vos précieuses informations bancaires dans un serveur caché au Pakistan. SRS Day Page 14

16 VI. VOL D'IDENTITE: PEUR JUSTIFIEE DU PAIEMENT EN LIGNE Le paiement en ligne a explosé ces 5 dernières années, il est désormais possible de vivre sans manquer de rien sans jamais sortir de chez soi: alimentation, mobilier, cosmétique, divertissement... tout est disponible et payable en ligne. Pourtant le paiement en ligne classique possède une particularité inquiétante: le code PIN n'est pas demandé, seul les informations marquées clairement sur la carte bancaire le sont, plus d'authentification forte! Nous verrons dans cette partie les menaces potentielles et comment s'en protéger. 1. TECHNIQUE Du fait de l'absence de la demande du code PIN, un simple vol de votre carte de crédit peut suffire pour que le malfrat commande en ligne à vos frais, il n'y a pas vraiment besoin d'explication dans ce cas de figure, nous nous concentrerons donc sur une deuxième méthode: le vol de vos informations bancaires lorsque vous les utilisez. Il y a 3 endroits où vos informations bancaires peuvent être capturées: Directement sur votre ordinateur: Ceci se réalise avec ce qu'on appelle un Trojan, ou Cheval de Troie. Installé à votre insu sur votre ordinateur, ces programmes n'ont qu'un seul but: espionner ce que vous faites et transmettre les informations à la personne ayant commandité son installation. Cela peut aller d un simple enregistrement de tout ce que vous tapez sur votre clavier à des captures d'écran régulières, le tout envoyé le plus souvent par mail au responsable du Trojan. Entre votre ordinateur et le serveur: De base, les communications entre votre ordinateur et les sites distants avec lesquels vous communiquez ne sont absolument pas protégées. N'importe quelle personne située sur le même réseau que vous, avec les outils adéquats à l'analyse des flux IP, peut en clair regarder les informations qui transitent. Il suffit donc au fraudeur d'analyser les paquets échangés entre votre ordinateur et d'y retrouver les informations l'intéressant. Sans forcément se concentrer uniquement sur les informations bancaires, on peut par exemple s'intéresser à Firesheep, petit plugin Firefox disponible au téléchargement pour tous permettant à n'importe quel quidam de réaliser du sidejacking, autrement dit le vol de vos sessions sur un large panel de sites populaires tels que Facebook, Twitter ou Amazon. Il lui faut simplement avoir lancé le plugin en écoute sur le réseau ou vous vous trouvez et attendre que vous vous authentifiez sur les dits-sites. Quand on sait qu'amazon enregistre vos informations bancaire pour vous éviter d'avoir à les taper à chaque fois que vous commandez chez eux, cela laisse songeur. Directement sur le serveur: Dans ce cas, soit le responsable du serveur est lui même la personne malveillante, mais nous traiterons ce cas plus général dans la section suivante de ce rapport, soit le site est vulnérable et se retrouve attaqué par un tiers. Ce cas de figure est cependant assez minime dans le cas des informations bancaires, il en effet anormal que le site marchand conserve vos informations bancaire, ou même ne les vois transiter en clair à un moment (Amazon est un cas particulier bénéficiant de sa notoriété). SRS Day Page 15

17 2. PROTECTION Comme nous avons pu le constater, le problème majeur est la possibilité pour l'attaquant de réutiliser les informations communiquées pour faire un autre paiement, on peut faire une analogie avec les "attaques par rejeu" (replay attack), très utilisées dans les man-in-the-middle de vol d'information d'authentification. Rajouter la demande du Code PIN ne serait ici d'aucune aide, en effet rien n'empêcherait la personne malveillante de le voler dans la foulée. Reprenons donc la méthode utilisée le plus souvent pour le contrer: l'utilisation des One-Time-Passwords (OTP), ou mot de passe à usage unique. Comme son nom l'indique, un OTP est un mot de passe ne pouvant être utilisé qu'une fois. Nous ne détaillerons pas les principes algorithmiques derrière cette méthode, sachez juste que le partage d'un secret entre le générateur d'otp et la banque permet à celle ci de s'assurer que l'otp provient bien de vous et qu'il n'a pas déjà été utilisé. La seule façon pour un pirate d'utiliser vos informations bancaires est donc de voler la source de ces OTP en plus des informations de votre compte. Très souvent le générateur est un objet électronique physique (appelé token), ou un programme utilisé de préférence sur un autre terminal que celui effectuant le paiement (par exemple votre smartphone), ce qui évite que la compromission de votre ordinateur ne ruine l'efficacité de l'otp. Figure 9: Carte de crédit nouvelle génération, contenant un générateur d'otp protégé par code PIN Une variante plus courante dans les banques françaises pour le particulier est l'utilisation d'informations de cartes bancaires jetables. C'est un moyen de paiement rattaché à votre carte bancaire permettant de payer sans donner son numéro de carte. Ces "e-numéros" sont valables temporairement, soit par rapport à une contrainte de temps, soit au nombre d'utilisations. Ils sont la plupart du temps utilisables qu'une fois. On retrouve deux types de numéros jetables en France: l'e-carte bleue disponibles à la Société générale, Banque Postale, LCL, Banque Populaire, Caisse d Epargne ou encore Axa banque; et Virtualis, service offert par le Crédit Mutuel. SRS Day Page 16

18 En plus de ces méthodes généralistes, il existe des moyens de contrer chaque attaque spécifique: Directement sur votre ordinateur: Ici les mêmes règles que pour tout vol d'information s'applique, à savoir utiliser un ordinateur de confiance (éviter les cybercafés ou l'ordinateur d'un tiers) et se protéger des attaques malwares avec une solution logicielle adaptée. Entre votre ordinateur et le serveur: C'est cette fois-ci dans le réseau local ou vous vous situez qu'il faut avoir confiance. Par conséquent éviter au maximum l'utilisation de Wifi non sécurisés (voir: Rogue AccessPoint) ou disponible à un large panel de personnes (Wifi de restaurant, d'université, etc...). Une autre protection, disponible dans l'extrême majorité des paiements en ligne, est le chiffrement de la connexion. Pour cela on utilise le protocole de chiffrement SSL/TLS. Enfin, l'utilisation de solutions VPN (réseau privé virtuels) peut aussi permettre d'éviter une écoute de ses communications réseau. Figure 10: Capture d identifiant/pass d'un site non protégé par Wireshark, célèbre outil d'analyse réseau Directement sur le serveur: Ici il n'y a pas de méthode miracle, il y a deux types de paiement en ligne. Ceux dont la transaction se fait via redirection sur un site bancaire. Il est majoritairement utilisé pour les petites e-boutiques. En effet, bien que les banques prennent une commission plus importante en offrant ce type de service, cela permet au vendeur de totalement se décharger des problématiques de sécurité des transactions bancaires, aucune des informations bancaire ne transite sur son serveur, seule la banque lui confirme si le paiement s'est bien déroulé ou non à la fin de la transaction. Ceux dont la transaction se fait chez eux. Principalement utilisé par les grands noms de la vente en ligne tel qu'amazon, ceux-ci se sont dotés d'un Terminal de Paiement Electronique (TPE) personnel. Plus économique pour eux du fait du très grand volume de transactions qu'ils reçoivent, ils ont pour mission de s'assurer de la confidentialité de vos données. Seule la confiance en leur service permet de se rassurer. SRS Day Page 17

19 3. SENSIBILISATION Concernant le vol de votre carte, inutile de préciser qu'il est important d'appeler votre banque et de faire opposition le plus vite possible. Pour ce qui est du chiffrement de votre communication avec le serveur distant lors de votre transaction bancaire, il est facile de s'assurer de sa présence. En effet dans la totalité des navigateurs grands publics, elle est symbolisée par l'affichage d'un cadenas à gauche de l'adresse, et de "https://" au lieu de "http://" dans l'adresse. Figure 11: Mise en évidence d'une connexion SSL sur Google Chrome, Firefox, Safari et Internet Explorer 7 Evitez de réaliser vos commandes en ligne autre part que sur votre ordinateur personnel, et sur des réseaux de confiance. Préférez les géants de la vente en ligne aux e-boutiques sur des sites peu connus. Dans le cas de doute sur la légitimité d'un site commerçant, vérifiez si celui-ci vous permet de réaliser votre paiement par tiers de confiance tel que Paypal ou Google Checkout. Ces services permettant de relayer la transaction bancaire par leurs propres comptes, cela vous évite de taper votre numéro de carte et vous permet de bloquer l'utilisation de ce compte intermédiaire à tout moment sans avoir à changer de carte bancaire et supporter toutes les complications administratives que cela entrainerait. SRS Day Page 18

20 VII. TROMPER L'UTILISATEUR: PHISHING, PHARMING ET SCAMS 1. TECHNIQUE La technique la plus répandue pour tromper l'utilisateur est celle dite du phishing (ou hameçonnage). Cette pratique consiste à récupérer, d'une manière ou d'une autre des données personnelles (comme par exemple des données bancaires ou des mots de passe). Le plus souvent, il s'agit d'une escroquerie basée sur la contrefaçon d'un site internet : en se faisant passer pour un site de confiance (le site d'une banque, ou d'un commerçant), on pousse l'utilisateur à fournir les informations recherchées. Une autre approche, appelée pharming, consiste à rediriger l'internaute vers un site frauduleux à son insu : ainsi, on peut attirer la victime vers un site web présentant exactement le même aspect graphique qu'un site de confiance tout en gardant le même nom de domaine. Afin de bien comprendre le mode de fonctionnement du pharming, il est nécessaire de comprendre comment fonctionne la résolution DNS, c'est à dire de quelle manière un internaute accède à un serveur web en tapant sur adresse dans la barre d'url. Le DNS (Domain Name System) a été mis en place afin de faciliter l'accès aux ressources internet, en établissant une correspondance entre un nom de domaine et une adresse IP. Organisé en hiérarchie, le DNS est composé de domaines et sous-domaines qui contiennent des informations sur les serveurs qu'ils recensent. Ainsi, lorsqu'on entre une adresse internet, le nom de domaine est résolu en interrogeant successivement les domaines composant la hiérarchie. Figure 12: Résolution DNS de srs.epita.fr SRS Day Page 19

21 Les pirates disposent de plusieurs modes d'attaques, parmi lesquels : 1. La modification du cache DNS de l'internaute : en effet, afin d'accélérer les requêtes, la plupart des navigateurs web stockent les résolutions de noms de domaine dans un cache interne. Lorsqu'une requête similaire est renvoyée, le navigateur se contente de renvoyer l'ancienne réponse plutôt que de résoudre à nouveau le DNS. La vulnérabilité des ordinateurs personnels étant ce qu'elle est, il est souvent très facile de modifier ce cache, par un virus ou un cheval de Troie par exemple. 2. Afin de cibler un public plus large, il est possible d'attaquer directement les serveurs DNS des FAI, en y insérant un enregistrement falsifié. Plus difficile à mettre en œuvre, du fait de la protection accrue de ces serveurs, cette technique est très efficace : une fois l'enregistrement frauduleux enregistré, tous les abonnés du FAI concernés seront redirigés vers le site contrefait. 3. La technique la plus dangereuse consiste cette fois à attaquer directement le serveur DNS autoritaire du nom de domaine ciblé. Chaque internaute désirant accéder au site sera ainsi redirigé vers le site contrefait. Figure 13: Résolution DNS standard SRS Day Page 20

22 Figure 14: Résolution DNS avec un serveur compromis 2. PROTECTION Certaines mesures techniques destinées à la protection contre le phishing existent. Certaines peuvent être déployées par les éditeurs de sites web pour permettre à l'utilisateur de s'assurer qu'il est bien sûr le bon site, alors que d'autres peuvent être installées par l'utilisateur lui-même. Ainsi, il est possible pour les éditeurs de mettre en place des certificats signés numériquement par des autorités de confiance. L'apparition d'un symbole dans la plupart des navigateurs et la lecture des détails du certificat permettent à l'utilisateur de s'assurer qu'il est bien sur le bon site : en effet, même si le serveur DNS est compromis et l'utilisateur redirigé vers un site contrefait en apparence identique, le certificat sera invalidé et l'utilisateur saura immédiatement qu'il a été trompé. Figure 15: Alerte Internet Explorer SRS Day Page 21

23 De plus, de nombreux navigateurs internet proposent des outils de vérification d'url et référencent les sites considérés comme dangereux. La bonne configuration et l'utilisation de ces outils simples permettent de se prémunir contre de nombreuses tentatives de phishing. Par exemple, sous Internet Explorer 8, l'url est grisé et seul le nom de domaine est laissé en noir. La vérification de domaine est donc simplifiée. Figure 16: Avertissement de sécurité sous Firefox 3. SENSIBILISATION Bien que quelques mesures techniques existent, l'intervention de l'utilisateur est pratiquement indispensable pour assurer sa sécurité. Le meilleur moyen de se protéger contre le phishing est donc de sensibiliser la population afin de la rendre moins vulnérable à ces attaques. Plusieurs techniques sont ainsi enseignées, parmi lesquelles : La vérification d'url dans les mails : il est en effet très facile de cacher un lien sous un autre dans un mail «commercial». Ainsi, en cliquant sur un lien en apparence sûr et valide, une page frauduleuse est en fait chargée. Lecture critique : il est bien souvent facile de repérer un mail ou un site web frauduleux en ayant un œil critique sur sa forme. Les principaux symptômes sont des fautes orthographiques et/ou grammaticales grossières, des erreurs sur les accents (en raison de problèmes d'encodage), par exemple. Vérification de l'expéditeur : même s'il est facile de cacher un lien dans un mail, il est plus difficile de masquer la réelle identité de l'expéditeur. En vérifiant l'identité de celui-ci, et notamment le nom de domaine utilisé dans l'adress , on peut souvent s'apercevoir de la supercherie. SRS Day Page 22

24 Utilisation des logiciels de protection : Comme expliquées précédemment, des solutions techniques existent pour se protéger contre le phishing. Certains antivirus proposent également des vérifications systématiques des mails et pages internet, et des logiciels dédiés commencent à apparaître. Mais ces solutions sont inefficaces si les utilisateurs ignorent leurs existences, leurs fonctionnements, et leurs utilités. Le principal danger du phishing réside dans le manque de formation du public qu'il vise : l'adage «un homme averti en vaut deux» prend dans ce cas toute son ampleur : en sensibilisant la population, c'est-à-dire en lui présentant l'existence de cette méthode, les risques qui y sont liés et les techniques pour s'en protéger, elle perd une grande partie de sa dangerosité. Malheureusement, les internautes sont encore trop peu informés, et ne connaissant ni ne maîtrisant ces outils, sont des proies faciles et vulnérables pour les adeptes de l'escroquerie par hameçonnage. SRS Day Page 23

25 VIII. UNE ATTAQUE ATYPIQUE : PIRATAGE DU DAB Initialement prévue pour la Black Hat 2009, la présentation de Barnaby Jack intitulée : «Jackpotting Automated Teller Machines» fut repoussée sous ordre de Juniper. Juniper étant l'employeur de Barnaby en 2009, cette dernière a subi des pressions de la part des fabricants de DAB estimant qu'ils ne disposaient pas de suffisamment de temps pour corriger les failles avant leurs révélations au grand public. Cette conférence a finalement eu lieu lors de la Black Hat 2010 de Las Vegas après que Barnaby soit devenu directeur de la recherche en sécurité chez IOActive. Loin d'être une présentation visant à donner toutes les clefs pour pirater un distributeur de billets, Barnaby Jack tenait à attirer l'attention sur la faillibilité d'un système considéré comme sécurisé par le grand public. 1. REVERSE ENGINEERING SUR BORNE ATM Les bornes actuelles sont équipées de processeur ARM/XSCALE et fonctionnent avec Windows CE. Avant de pouvoir développer des Malwares pour distributeur, il est nécessaire d'avoir un accès administrateur sur la machine afin de pouvoir effectuer des actions de reverseengineering. Les DAB démarrent automatiquement sur une application propriétaire, ce qui ne laisse aucun moyen à l'utilisateur d'accéder au système de fichiers du distributeur ou de brancher un clavier directement sur la carte mère. Une des premières choses à faire est donc de trouver un moyen de rajouter l'explorateur Windows dans la liste de démarrage afin d'obtenir un accès direct au cœur du système d'exploitation. Le noyau Windows CE exécute FILESYS.exe au démarrage de la machine. FILESYS.exe va ensuite initialiser les registres et le système de fichiers, puis lancer les applications listées dans HKLM\Init. La solution à ce problème est le branchement d'une carte JTAG 1 sur la carte mère pour ensuite pouvoir injecter «explorer.exe». L'injection consiste à placer un Breakpoint sur la fonction CreateProcess() se trouvant dans l'espace d'adressage de FILESYS.EXE; puis de remplacer la chaine de caractères correspondant à l'exécutable initialement prévu, par la chaine de caractères «explorer.exe». Une fois la séquence de démarrage terminée, l'attaquant dispose de l'explorateur Windows et peut : - Brancher une clef USB ou un clavier - Récupérer n'importe quel fichier pour une analyse plus poussée - Créer un environnement de debug plus agréable pour tester le développement des malwares sur le distributeur. 1 La norme JTAG est utilisée pour remplacer les émulateurs de microprocesseurs (systèmes de debug sur carte remplaçant physiquement le composant), en donnant un accès direct à l'intérieur du processeur (points d'arrêt, lecture et écriture des registres internes, des mémoires internes et externes ) sans perturber ses interactions avec l'extérieur. SRS Day Page 24

26 Figure 17: Carte JTAG connectée à la carte mère 2. ATTAQUE MATERIELLE Il faut savoir que malgré les moyens de protection mis en place pour sécuriser l'argent lui-même (coffre blindé, cartouche de peinture explosive pour marquer les billets...), le manque de sécurité concernant l'accès à la carte mère est évident. Cette dernière est simplement protégée par une petite serrure de type Bezel. Barnaby précise qu'il est possible de récupérer un passe-partout pour ce type de serrure sur des sites de ventes en ligne comme ebay. Ce passe-partout permet d'avoir accès à la carte mère et d'y brancher une clef USB contenant les fichiers nécessaires à la corruption de la machine. Les distributeurs vérifient automatiquement la présence de firmware sur les périphériques externes et se mettent à jour automatiquement. Il est donc relativement simple pour un attaquant de créer un firmware personnalisé à partir de l'original et de remplacer celui de la borne ciblée. Ce type d'attaque est bien plus rapide que d'installer un dispositif de skimming. Lors de sa démonstration, Barnaby branche sa clef USB et referme le distributeur en moins de 10 secondes. Le firmware original est ensuite écrasé et le distributeur vide entièrement son coffre. Figure 18: Serrure de type Bezel SRS Day Page 25

27 3. ATTAQUE A DISTANCE Les distributeurs ATM autorisent l'administration de leurs systèmes à distance, ce qui permet à la maintenance de changer les fonds d'écran, de récupérer les statistiques du distributeur, mais aussi de mettre à jour le firmware. Il faut savoir que l'administration à distance est activée par défaut. Le premier programme présenté par Barnaby Jack se nomme Dillinger. Il exploite une vulnérabilité dans le système d'authentification de l'administration à distance. Cette attaque est efficace à 100% et permet d'accéder au distributeur branché sur un réseau local ou sur le réseau téléphonique. Dillinger permet l'administration d'un nombre illimité de distributeurs. Il vérifie la présence de la vulnérabilité dans le système d'authentification et peut ensuite : - Récupérer les informations du distributeur (nom du magasin, mot de passe administrateur, etc.) - Uploader un rootkit nommé Scrooge sur le distributeur - Récupérer les données des cartes de crédit - Déclencher le mode jackpot qui vide entièrement le distributeur. Scrooge est un rootkit développé spécialement pour les DAB fonctionnant avec un processeur ARM/XSCALE, il est invisible sur la machine et permet l'activation de menus cachés par pression d'une série de touches ou l'insertion d'une carte de crédit spéciale. Scrooge récupère aussi les données de toutes les pistes magnétiques des cartes insérées dans le lecteur ainsi que les codes pin correspondant. Ces informations sont ensuite accessibles via Dillinger. 4. MOYEN DE PROTECTION À la suite de cette présentation, Barnaby Jack conseille différents moyens de protection concernant les deux types d'attaques Pour l'attaque physique, il est évident qu'il faut renforcer la sécurité des serrures permettant l'accès a la carte mère et d'installer une serrure unique par distributeur afin de restreindre l'accès avec une clef passe-partout. Il est ensuite nécessaire d'implémenter les fonctionnalités «Trusted environment» de Windows CE pour pouvoir vérifier les signatures des exécutables au niveau du noyau afin de limiter l'exécution d'application tierce. Concernant l'attaque à distance, il serait bon de désactiver l'administration à distance dans un premier temps. Dans un deuxième temps, il est nécessaire de mettre en place des vérifications de code régulières et des batteries de tests de type Black-Box afin de surveiller le comportement des distributeurs lors d'une connexion à distance. SRS Day Page 26

28 IX. CARTES DE CREDIT NOUVELLES GENERATION : FORMAT EMV 1. INTRODUCTION EMV (Europay Mastercard Visa) est le protocole actuel de communication entre la carte bancaire et le terminal de paiement. Il succède au protocole B0 développé par BULL. À la différence de ce dernier, il est possible de modifier les données contenues sur la puce par la banque. Par exemple, il est possible de changer dynamiquement les montants maximums autorisés des transactions. Les raisons de la migration sont: - volonté d une plus grande sécurité (les coûts induits par les fraudes, lecteur ou terminal, étant pris en charge par les banques). - Volonté de normalisation des systèmes de paiements internationaux. 2. FONCTIONNEMENT GENERAL Le protocole EMV est assez similaire dans son fonctionnement au protocole B0 dans la mesure où il possède les trois mêmes phases : authentification de la carte, du porteur de la carte et autorisation de la transaction. Les spécifications de EMV sont basées sur la norme ISO/IEC 7816 et doivent être lues conjointement avec la norme ISO. Cependant, les définitions d EMV ne sont pas toutes identiques { celles d ISO. Dans ces cas, les définitions EMV prévalent. Ces spécifications doivent être suivies par les fabricants de terminaux de paiement, de carte bancaire, des systèmes de paiement et des institutions financières qui implantent des applications financières sur circuits intégrés. Lorsque l on insère une carte bancaire dans un terminal de paiement, celui-ci récupère le fichier 1PAY.SYS.DDF01 qui contient l ensemble des applications autorisées par la carte. C est ainsi qu une carte bancaire sans autorisation de découvert se voit systématiquement refusée de paiement au péage d une autoroute ou encore { la sortie d un parking même si le compte est suffisamment approvisionné. Une fois cette étape réalisée, le terminal sélectionne l application lui permettant de lire des valeurs de la carte pour procéder à son authentification. Le protocole EMV définit trois modes d authentification de la carte: - Static Data Authentication (SDA) Cette méthode d authentification de la carte consiste { vérifier une donnée signée mise dans carte lors de sa création. - Dynamic Data Authentication (DDA) En plus d une authentification statique, le terminal vérifie que la carte possède un secret fourni par la banque émettrice de la carte. - Combined Data Authentication (CDA) Ce système est une variante du DDA qui assure que la carte utilisée pour la transaction est la même que celle utilisée pour l authentification par le lecteur. SRS Day Page 27

29 Une fois l authentification de la carte faite, on procède comme avec le système B0 { l authentification du porteur grâce { un code PIN puis { l autorisation de la transaction auprès de la banque. 3. AUTHENTIFICATION a. STATIC DATA AUTHENTICATION (SDA) Personnification de la carte Pendant la phase de personnalisation, la carte reçoit les informations suivantes : - Le nom du porteur, le numéro de la carte, la date limite de validité qu on notera Informations - Une valeur d authentification notée VA qui n est autre que la signature RSA d informations générée avec la clé privée de l émetteur (VA = Sig E priv(information)) - Le certificat de l émetteur (E cert ) contenant sa clé publique signée par une autorité de certification - Le code PIN transmis au porteur de la carte. Authentification de la carte Pour authentifier la carte, le terminal récupère trois informations : le certificat Ecert de la banque émettrice, la valeur d authentification VA ainsi qu Informations. Il vérifie ensuite Ecert avec la clé publique de l autorité de certification CA pub et VA avec la clé publique de la banque émettrice. Le terminal demande alors le code PIN { l utilisateur et le transmet en clair { la carte. Limite de l authentification par SDA Le système d authentification SDA ne permet pas de se protéger du «yescarding» puisqu il est possible de faire valider une carte contrefaite par «rejeu». En effet, en interceptant les données envoyées par une carte originale, on peut créer de toutes pièces une carte contrefaite qui renverra ces mêmes données lors de la phase d authentification de la carte. Pour obtenir ces informations, il suffit de se prémunir d un lecteur de carte pour un coût d une dizaine d euros. On passera alors à la phase «authentification du porteur». Pour cette étape, il s agit de la carte qui répond elle-même si oui ou non le code entré est valide. Il suffira alors de créer une carte répondant oui pour n importe quel code dans laquelle on injectera les données obtenues avec un lecteur de carte et une carte originale pour obtenir une yescard. Cette faiblesse est la principale raison de l existence de l authentification DDA. b. DYNAMIC DATA AUTHENTICATION (DDA) Personnification de la carte Pendant la phase de personnalisation, la carte reçoit les informations suivantes: - Le nom du porteur, le numéro de la carte ou encore la date limite de validité de celle-ci (notés Informations). - Une paire de clés RSA (C pub, C priv ) - Un certificat (C cert ) contenant C pub signée par l émetteur SRS Day Page 28

30 - Le certificat de l émetteur (E cert ) contenant sa clé publique E pub signée par une autorité de certification, - le code PIN transmis au porteur de cette carte. Authentification de la carte L authentification s opère comme suit : 1. Le terminal demande à la carte de lui fournir le certificat E cert de la banque émettrice, et son certificat C cert. 2. Le terminal génère une valeur aléatoire T alea et l envoie { la carte. 3. La carte génère une valeur aléatoire C alea. 4. La carte signe T alea et C alea avec sa clé privée C priv et renvoie le résultat de la signature et C alea au terminal. 5. Le terminal vérifie E cert avec CA pub et vérifie C cert avec E pub. 6. Le terminal vérifie la signature des aléas avec C pub. Ensuite le terminal demande le code PIN { l utilisateur, mais contrairement { SDA, l envoie du code PIN à la carte pour vérification se fait de façon chiffrée. Protection face au yescarding Avec l authentification SDA, les données envoyées par la carte au terminal de paiement étaient toujours les mêmes. Aussi ils suffisait d obtenir une fois ces données et de les injecter dans une carte pour déjouer l authentification de la carte. Avec l authentification DDA, les données envoyées par la carte sont fonction d un nombre aléatoire choisi par le terminal. Par conséquent, on ne peut plus renvoyer les mêmes données pour s authentifier il faut être en mesure de les calculer. Pour calculer ces données, il est impératif de connaitre la clé privée de la banque émettrice. On ne peut donc plus déjouer l authentification de la carte qui a lieu avant de demander le code PIN de l utilisateur et donc fabriquer des yescards. Figure 19: Création d'une carte SDA à gauche et DDA à droite SRS Day Page 29

31 4. GESTION DES TRANSACTIONS La transaction est finalisée en ligne ou hors-ligne. Ce choix est fait selon une politique de gestion de risque soit par le terminal, soit par la carte. Par exemple, une carte bancaire n acceptant pas les découverts obligera à finaliser la transaction en ligne pour éviter de réaliser un achat qui ne pourrait être assuré. Parmi les différentes politiques qui définissent quand la transaction se fait en ligne on trouve : - Sélection aléatoire - Validation en ligne pour n validations hors ligne - En fonction du montant de la transaction - En fonction du montant cumulé des transactions déjà effectuées hors ligne - Un plancher fixé par le marchand. a. FONCTIONNEMENT HORS LIGNE ET EN LIGNE Pour la transaction, une clé secrète 3DES est utilisée. Celle-ci est unique pour chaque transaction. Elle est dérivée d un compteur incrémenté { chaque transaction et d une clé maitre contenue dans la carte, elle-même générée { partir d une clé maître de la banque et d information bancaire. Figure 20: Signature 3DES b. FONCTIONNEMENT HORS LIGNE UNIQUEMENT Le terminal envoie à la carte les détails de la transaction. Elle produit alors un certificat de transaction en signant { l aide de l algorithme DES CBC-MAC avec la clé généré (C trans ). Le terminal mémorise alors ce certificat de transaction pour validation ultérieure auprès de la banque. SRS Day Page 30

32 X. EMV RESTE FAILLIBLE: LE PIN AUTHENTICATION SPOOFING Mis en place depuis maintenant plus de 5 ans, le format EMV est désormais la règle en termes de carte de crédit. Pas seulement en France, mais dans toute l'europe et bientôt aux États-Unis. Amenées à la hâte sur le marché suite aux exploitations des faiblesses du format B0', les spécifications EMV étaient déjà très critiquées et déclarées obsolètes dès Pourtant, plus un framework qu'un réel format de carte bancaire, elles offrent un large choix de combinaison méthodes d'authentification et de chiffrement, ce qui pourrait faire penser à une grande évolutivité du modèle afin de contrer d'éventuelles failles découvertes. Il n'en est rien, en effet des chercheurs de l'université de Cambridge ont publié { l «IEEE Security and Privacy Symposium» de 2010 l'analyse d'une faille logique dans la méthode d'authentification de nos nouvelles cartes de crédit. 1. TECHNIQUE Lors d'une transaction classique, le client entre son code PIN dans le terminal de paiement, le terminal envoie le PIN à la carte afin qu'elle vérifie sa validité. La carte envoie le résultat au terminal, qui continue la transaction si le code PIN était le bon. Nous avons avant cela une authentification de la carte, faite de façon statique (offline) ou dynamique (en connexion avec la banque), et enfin à la fin de la transaction la production d'une signature. Le principe de l'attaque est un man-in-the-middle trompant la carte et le TP. On a besoin pour cela: 1. d'une carte légitime volée dont nous n'avons pas besoin de connaitre le code PIN 2. D'une carte à puce programmable vierge. Cette carte doit posséder de fins câbles intégrés dans la carte permettant de l'interfacer avec une puce FPGA. 3. D'une puce FPGA, permettant de piloter la carte factice et de faire interface entre la puce et l'ordinateur, relié à la puce par un port série 4. D'un ordinateur responsable du man-in-the-middle. Il suffit d un simple script en python renvoyant toutes les données reçues par la carte factice à la véritable carte à l'exception de la demande de code PIN auquel il répond directement 5. D'un lecteur de carte, permettant de communiquer avec la véritable carte bancaire Figure 21: Coeur du man-in-the-middle SRS Day Page 31

33 Figure 22: Matériel nécessaire au PIN spoofing Bien que tout cet attirail semble compliqué à cacher à un vendeur lors de la fraude, il n'en est rien. En effet, la présence du PC est la uniquement pour des raisons de confort, une puce FPGA programmée pour parser les données de la carte factice et répondre d'elle-même lors de la demande de code PIN serait tout à fait possible et réduirait considérablement la taille du dispositif, qui pourrait alors être intégralement caché dans la manche du fraudeur. Pire, connaissant les prouesses de miniaturisation réalisées par les skimmeurs dans les lecteurs de carte des distributeurs, on peut aisément imaginer une carte à puce programmable contenant un microcontrôleur se chargeant l'intégralité du mécanisme de man in the middle. Ce genre d'équipement a déjà été réalisé pour la création de cartes SIM se chargeant de débloquer votre téléphone. Figure 23: Détail du «Chip & PIN protocol» SRS Day Page 32

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking. Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking. Face à la recrudescence des actes de malveillance et des opérations frauduleuses liés à l utilisation d Internet,

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Atelier : Mail Threats Formateurs:

Plus en détail

Politique de gestion des mots de passe

Politique de gestion des mots de passe Centre de Ressources Informatique Politique de gestion des mots de passe Préparé pour: CRI Préparé par: Laurent PEQUIN 15 février 2010 15, avenue René Cassin 97474 Saint Denis Cedex 9 Réunion T 02 62 93

Plus en détail

«Obad.a» : le malware Android le plus perfectionné à ce jour

«Obad.a» : le malware Android le plus perfectionné à ce jour «Obad.a» : le malware Android le plus perfectionné à ce jour Table des matières I. Le sujet de l article... 2 II. Réflexion sur les nouvelles menaces technologiques d aujourd hui... 2 A. Android, victime

Plus en détail

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès )

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Sommaire 1. Protection de son matériel et de ses données Création d'un utilisateur avec mot de passe compliqué

Plus en détail

Projet Magistère: SSL

Projet Magistère: SSL Université Joseph Fourier, IMA Janvier 2010 Table des matières 1 Introduction 2 Qu est ce que SSL? 3 Historique de SSL/TLS 4 Théorie à propos du fonctionnement de SSL 5 Structure d un certificat 6 SSL

Plus en détail

Sécuriser les achats en ligne par Carte d achat

Sécuriser les achats en ligne par Carte d achat Projet Sécurité Date : 09/02/09 Version : V 1.0 Etat : travail / vérifié / validé Rédacteur : JBO Réf. : CNRS/DSI/Expertise/ sécuriser la carte achat-v1.doc Annexes : Sécuriser les achats en ligne par

Plus en détail

Particuliers, la Banque de France vous informe

Particuliers, la Banque de France vous informe Particuliers, la Banque de France vous informe Identifiants bancaires : Être vigilant, c est important Être responsable VOTRE CARTE BANCAIRE Votre carte bancaire est strictement personnelle. Vous devez

Plus en détail

Particuliers, la Banque de France vous informe

Particuliers, la Banque de France vous informe Particuliers, la Banque de France vous informe Identifiants bancaires Être vigilant, c est important Être responsable VOTRE CARTE BANCAIRE Votre carte bancaire est strictement personnelle. Vous devez vérifier

Plus en détail

Les protocoles cryptographiques: comment sécuriser nos communications?

Les protocoles cryptographiques: comment sécuriser nos communications? Les protocoles cryptographiques: comment sécuriser nos communications? Stéphanie Delaune Chargée de recherche CNRS au LSV, INRIA projet SecSI & ENS Cachan 21 Mars 2014 S. Delaune (LSV Projet SecSI) Les

Plus en détail

Payement électronique. Sommaire. 1. Les systèmes de paiement électroniques. 1.1 E-banking

Payement électronique. Sommaire. 1. Les systèmes de paiement électroniques. 1.1 E-banking Payement électronique Sommaire 1. Les systèmes de paiement électroniques... 1 1.1 E-banking... 1 1.2 Porte-monnaie électronique et porte-monnaie virtuel... 2 1.2.1 Le porte monnaie électronique (e-cash)...

Plus en détail

Plateforme Systempay. Intégration du module de paiement pour la plateforme VIRTUEMART 2.0 et supérieur PAIEMENT UNITAIRE Version 1.

Plateforme Systempay. Intégration du module de paiement pour la plateforme VIRTUEMART 2.0 et supérieur PAIEMENT UNITAIRE Version 1. Plateforme Systempay Intégration du module de paiement pour la plateforme VIRTUEMART 2.0 et supérieur PAIEMENT UNITAIRE Version 1.2a Rédaction, Vérification, Approbation Rédaction Vérification Approbation

Plus en détail

Manuel d utilisation du terminal de paiement électronique virtuel

Manuel d utilisation du terminal de paiement électronique virtuel TPEV Manuel d utilisation du terminal de paiement électronique virtuel Version: 1.C Payline PROPRIETAIRE Page 1-1/29 Page des évolutions Le tableau ci-dessous liste les dernières modifications effectuées

Plus en détail

Protégez votre entreprise contre la fraude.

Protégez votre entreprise contre la fraude. Protégez votre entreprise contre la fraude. 1 La fraude aux entreprises Qu est-ce qu il y a dans ce document? 1 La fraude aux entreprises 3 Qu est-ce qu il y a dans ce document? Comment utiliser ce document?

Plus en détail

Antonio DA CUNHA. Caisse d Épargne Aquitaine Poitou Charente. CCI de Bordeaux Echangeur 28 janvier 2010 Vendre en ligne en toute sécurité.

Antonio DA CUNHA. Caisse d Épargne Aquitaine Poitou Charente. CCI de Bordeaux Echangeur 28 janvier 2010 Vendre en ligne en toute sécurité. Antonio DA CUNHA Caisse d Épargne Aquitaine Poitou Charente CCI de Bordeaux Echangeur 28 janvier 2010 Vendre en ligne en toute sécurité Bien comprendre Objectifs Le contexte technique d une transaction

Plus en détail

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche?

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche? Présentation du problème La banque Boursorama propose un logiciel de protection supplémentaire pour les transactions sur Internet. Ce logiciel est téléchargeable à l adresse suivante : http://www.trusteer.com/webform/download-rapport

Plus en détail

A VOUS, CHER CLIENT, CE MESSAGE CONCERNE VOTRE SECURITE

A VOUS, CHER CLIENT, CE MESSAGE CONCERNE VOTRE SECURITE A VOUS, CHER CLIENT, CE MESSAGE CONCERNE VOTRE SECURITE Sécurité Page 1 de 5 A la BANQUE DES MASCAREIGNES, nous accordons une extrême importance à la sécurité de vos informations. Nos systèmes et les procédures

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

Signature et chiffrement de messages

Signature et chiffrement de messages 1 sur 5 Signature et chiffrement de messages Dans cette section : À propos des signatures numériques et du chiffrement Obtenir des certificats d'autres personnes Configurer les réglages de sécurité Signer

Plus en détail

Présentation générale

Présentation générale SHERLOCK S GESTION La Gestion de la caisse Présentation générale Version 01/2009 1/11 1-LES OUTILS DE GESTION DE CAISSE... 3 2-SHERLOCK S GESTION... 3 3-SHERLOCK S OFFICE SERVER... 4 4-LES OPÉRATIONS DE

Plus en détail

Bien utiliser votre carte

Bien utiliser votre carte LES MINI-GUIDES BANCAIRES Repère n 16 Bien utiliser votre carte Ce mini-guide a été conçu par le Centre d Information Bancaire 18 rue La Fayette 75440 Paris CEDEX 9 cles@fbf.fr FEDERATION BANCAIRE FRANCAISE

Plus en détail

Certificats «CREDIT LYONNAIS Authentys Entreprise» Manuel utilisateur du support cryptographique

Certificats «CREDIT LYONNAIS Authentys Entreprise» Manuel utilisateur du support cryptographique Certificats «CREDIT LYONNAIS Authentys Entreprise» Manuel utilisateur du support cryptographique Page 2 sur 21 1 INTRODUCTION Pour toute question complémentaire ou demande d information : pour les clients

Plus en détail

ESET NOD32 Antivirus 4 pour Linux Desktop. Guide de démarrage rapide

ESET NOD32 Antivirus 4 pour Linux Desktop. Guide de démarrage rapide ESET NOD32 Antivirus 4 pour Linux Desktop Guide de démarrage rapide ESET NOD32 Antivirus 4 assure une protection de pointe de votre ordinateur contre les codes malveillants. Basé sur le moteur d'analyse

Plus en détail

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.fr KASPERSKY FRAUD PREVENTION 1. Techniques d attaque du système bancaire en ligne L'appât du gain constitue la principale motivation de la cyber-criminalité.

Plus en détail

Evaluer les risques liés aux défauts de sécurité

Evaluer les risques liés aux défauts de sécurité C2I Métiers de la Santé SECURITE INFORMATIQUE Evaluer les risques liés aux défauts de sécurité Eric Boissinot Université François Rabelais Tours 13/02/2007 Pourquoi la sécurité? Le bon fonctionnement d

Plus en détail

Comment choisir une suite de sécurité?

Comment choisir une suite de sécurité? Comment choisir une suite de sécurité? Alors que les menaces sur le web sont toujours bien présentes, un antivirus ou une suite de sécurité peuvent vous aider à surfer ou échanger plus tranquillement.

Plus en détail

Conseils pour prévention de la fraude financière Ce que vous devez savoir

Conseils pour prévention de la fraude financière Ce que vous devez savoir 04 Conseils pour prévention de la fraude financière Ce que vous devez savoir Les banques ont recours à des systèmes de sécurité très perfectionnés et à des équipes de spécialistes des fraudes en vue d

Plus en détail

Secure Socket Layer (SSL) Appareils concernés : Sommaire 1: Généralités

Secure Socket Layer (SSL) Appareils concernés : Sommaire 1: Généralités Secure Socket Layer (SSL) Appareils concernés : HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Sommaire 1) Généralités 2) Bref historique 3) Avantage de l utilisation de

Plus en détail

Acheter sur Internet

Acheter sur Internet Acheter sur Internet Jadis, la vente par correspondance ou VPC ; aujourd'hui le e-commerce! Jadis, quelques entreprises spécialisées dans ce type de commerce (VPC) ; aujourd'hui, des milliers pour le e_commerce!

Plus en détail

Initiation à la sécurité avec Malwarebytes 1/ 6. Installation. Télécharger Malwarebytes anti-malware

Initiation à la sécurité avec Malwarebytes 1/ 6. Installation. Télécharger Malwarebytes anti-malware Initiation à la sécurité avec Malwarebytes 1/ 6 Malwarebytes Anti-malware est un logiciel anti-spywares proposé par le même éditeur que le logiciel RogueRemover qui aujourd'hui n'existe plus et est inclu

Plus en détail

TEPZZ 579_99A_T EP 2 579 199 A1 (19) (11) EP 2 579 199 A1 (12) DEMANDE DE BREVET EUROPEEN

TEPZZ 579_99A_T EP 2 579 199 A1 (19) (11) EP 2 579 199 A1 (12) DEMANDE DE BREVET EUROPEEN (19) TEPZZ 79_99A_T (11) EP 2 79 199 A1 (12) DEMANDE DE BREVET EUROPEEN (43) Date de publication: 10.04.2013 Bulletin 2013/1 (21) Numéro de dépôt: 11306297.0 (1) Int Cl.: G06Q 20/32 (2012.01) G06Q 20/12

Plus en détail

Réaliser des achats en ligne

Réaliser des achats en ligne 2 décembre 2013 p 1 Réaliser des achats en ligne La période de Noël approche. Vous avez peut-être envie d effectuer des achats sur internet, mais vous n osez pas, de peur qu on vous vole vos informations

Plus en détail

Mise en place d'un réseau

Mise en place d'un réseau M 1-IN FO Rése aux année 2011/2012 TP Infrastructure réseaux et sécurité Le but de ce TP est de mettre un place un réseau de machines et d'expérimenter des cas concrets de problèmes liés à la sécurité

Plus en détail

LE RPV DE NIVEAU RÉSEAU AVEC TINC

LE RPV DE NIVEAU RÉSEAU AVEC TINC LE RPV DE NIVEAU RÉSEAU AVEC TINC L entreprise Ilog est une petite entreprise de services informatiques située à La Défense. Les chefs de projet de l entreprise sont souvent en déplacement à travers toute

Plus en détail

CARTE BANCAIRE RECHARGEABLE

CARTE BANCAIRE RECHARGEABLE Guide pratique CARTE BANCAIRE RECHARGEABLE La Carte Bancaire Rechargeable permet d apprendre à devenir progressivement autonome dans la gestion de l argent en toute sécurité. Dans ce guide, découvrez les

Plus en détail

Services de banque en ligne de la BADR BADRnet/ GUIDE UTILISATEURS

Services de banque en ligne de la BADR BADRnet/ GUIDE UTILISATEURS Services de banque en ligne de la BADR BADRnet/ GUIDE UTILISATEURS Sommaire 1. Présentation du document... 3 2. Présentation de la plateforme BADRnet... 3 3. Accès au service BADRnet... 3 4. Connexion

Plus en détail

Comment utiliser mon compte alumni?

Comment utiliser mon compte alumni? Ce document dispose d une version PDF sur le site public du CI Comment utiliser mon compte alumni? Elena Fascilla, le 23/06/2010 Sommaire 1. Introduction... 2 2. Avant de commencer... 2 2.1 Connexion...

Plus en détail

e)services - Guide de l utilisateur e)carpa

e)services - Guide de l utilisateur e)carpa e)services - Guide de l utilisateur e)carpa 2 Sommaire 1 Introduction 3 2 - Accès au site e)carpa 4 2.1 Identification et authentification 4 2.2 Consultation du site e)carpa 6 2.3 Mode de navigation sur

Plus en détail

14.1. Paiements et achats en ligne

14.1. Paiements et achats en ligne Chapitre 14 Sécurité et Internet Si Internet vous permet de vous connecter et d accéder à des services et des sites du monde entier, il est important aussi de comprendre qu une fois connecté au Web votre

Plus en détail

Firewall : Pourquoi et comment?

Firewall : Pourquoi et comment? Firewall : Pourquoi et comment? En ai-je besoin? Internet, bien que très utile et pratique, est parsemé d'embuches. Parmi elles : les virus et les troyens. Un virus est un programme créé pour modifier

Plus en détail

Carte bancaire - 9 re flexes se curite

Carte bancaire - 9 re flexes se curite Carte bancaire - 9 re flexes se curite Attention : Même si l amélioration de la sécurité des paiements par carte est constante, un certain nombre de précautions s impose pour contribuer à éviter les fraudes

Plus en détail

GUIDE D'UTILISATION DU PORTAIL IAM

GUIDE D'UTILISATION DU PORTAIL IAM GUIDE D'UTILISATION DU PORTAIL IAM CONNEXION ET UTILISATION IAM Table des matières Généralités... 3 Objectifs du document... 3 Évolutions du portail... 3 Signaler un INCIDENT demander du support Contacter

Plus en détail

Les conseils & les astuces de RSA Pour être tranquille sur Internet

Les conseils & les astuces de RSA Pour être tranquille sur Internet Les conseils & les astuces de RSA Pour être tranquille sur Internet Comment utiliser Internet à son gré tout en étant protégé en permanence de ces menaces? Avec un peu de curiosité, on découvre qu il est

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

BASE DE DONNEES CENTRALISEE PI-M

BASE DE DONNEES CENTRALISEE PI-M BASE DE DONNEES CENTRALISEE PI-M MANUEL D UTILISATION POUR LE CONSULTANT EN INTERIM WWW.PI-M.BE VERSION 2015 Prévention et Intérim info@pi-m.be www.pi-m.be Service Central de Prévention pour le Secteur

Plus en détail

PFE. Gestion de portefeuille électronique par carte à puce. Equipe N 16 Projet N 98. «Sujet non industriel proposé par les élèves»

PFE. Gestion de portefeuille électronique par carte à puce. Equipe N 16 Projet N 98. «Sujet non industriel proposé par les élèves» PFE Gestion de portefeuille électronique par carte à puce Equipe N 16 Projet N 98 «Sujet non industriel proposé par les élèves» Sommaire Introduction... 4 Le contexte financier... 4 Le contexte technologique...

Plus en détail

GUICHET ONEGATE. Notice d installation d un certificat BdF d'authentification simple COLLECTE DAF

GUICHET ONEGATE. Notice d installation d un certificat BdF d'authentification simple COLLECTE DAF GUICHET ONEGATE Notice d installation d un certificat BdF d'authentification simple COLLECTE DAF CORRESPONDANTS BANQUE DE FRANCE Pour les questions techniques et d administration des utilisateurs : (Certificats,

Plus en détail

Windows XP. Microsoft. Sommaire :

Windows XP. Microsoft. Sommaire : Microsoft Windows XP Sommaire : OUVERTURE DE SESSION...2 LE BUREAU...3 CHANGER D ENVIRRONEMENT...4 NOUVEAU RACCOURCI...7 LE MENU DEMARRER...9 LES PROGRAMMES AU DEMARRAGE...11 LA GESTION DES FICHIERS...12

Plus en détail

Té lé chargér lé galémént dé la musiqué

Té lé chargér lé galémént dé la musiqué Té lé chargér lé galémént dé la musiqué Par Clément JOATHON Dernière mise à jour : 27/01/2015 Vous souhaitez télécharger légalement de la musique à écouter sur votre ordinateur ou à transférer sur votre

Plus en détail

Tendances en matière de fraude

Tendances en matière de fraude Tendances en matière de fraude Contrôles de sécurité en ligne HSBCnet Table des matières Types de fraudes Attaques de logiciels malveillants Piratage de messageries professionnelles Phishing vocal («vishing»)

Plus en détail

Utilisation du DSQ. 2. Principales fonctions associées au DSQ

Utilisation du DSQ. 2. Principales fonctions associées au DSQ Utilisation du DSQ 1. Général Dans la phase initiale de déploiement, seuls les centres médicaux faisant partie du projet pilote auront accès au module SQIM. Les professionnels se verront attribuer une

Plus en détail

Aide pour configurer un ordinateur sur le Wi-Fi de l'université avec Windows XP

Aide pour configurer un ordinateur sur le Wi-Fi de l'université avec Windows XP Aide pour configurer un ordinateur sur le Wi-Fi de l'université avec Windows XP I. Notes 1. Rappel des règles à respecter Conditions d utilisation du réseau sans-fil de l université: L'accès au réseau

Plus en détail

Informations Sécurité

Informations Sécurité Bonnes pratiques Informations Sécurité La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour protéger vos ordinateurs et vos intérêts dans l usage des moyens informatiques,

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Installation de Bâtiment en version réseau

Installation de Bâtiment en version réseau Installation de Bâtiment en version réseau 1. CONFIGURATION LOGICIEL ET MATERIELS Version du logiciel : Systèmes validés : Protocoles validés : Bâtiment 2009 V10.0.0 et supérieure Sur le serveur : Windows

Plus en détail

Procédure de connexion SITE WEB DU RCS

Procédure de connexion SITE WEB DU RCS SITE WEB DU RCS Mars 2011 SITE WEB DU RCS SOMMAIRE 1. A propos de ce guide 3 1.1. Symboles utilisés 3 1.2. Terminologie 3 2. Fonctionnement général du site 4 2.1. La commande d un service en 7 étapes 4

Plus en détail

Le paiement sans contact

Le paiement sans contact Le paiement sans contact La carte bancaire est le moyen de paiement le plus utilisé en France. Parmi les cartes en circulation, plus de 31 millions sont aujourd hui sans contact. Le paiement sans contact

Plus en détail

Chaque étudiant démarre son serveur Windows2003 virtuel. Les deux machines sont sur le même réseau (en host-only).

Chaque étudiant démarre son serveur Windows2003 virtuel. Les deux machines sont sur le même réseau (en host-only). TP DNS OBJECTIFS Mettre en place un serveur DNS principal. MATÉRIELS ET LOGICIELS NÉCESSAIRES Chaque étudiant démarre son serveur Windows2003 virtuel. Les deux machines sont sur le même réseau (en host-only).

Plus en détail

Les vols via les mobiles

Les vols via les mobiles 1 Les vols via les mobiles Android est le système d exploitation le plus populaire parmi les utilisateurs des appareils mobiles et malheureusement aussi parmi les cybercriminels puisque c est l OS le plus

Plus en détail

Achats en ligne - 10 re flexes se curite

Achats en ligne - 10 re flexes se curite Achats en ligne - 10 re flexes se curite Attention : Donner ses coordonnées de compte bancaire sans vérification vous expose à des risques. Soyez vigilant! 1. Je vérifie que le site du commerçant est sûr

Plus en détail

DOSSIER : LES ARNAQUES SUR INTERNET

DOSSIER : LES ARNAQUES SUR INTERNET DOSSIER : LES ARNAQUES SUR INTERNET 1. Les arnaques les plus fréquentes 2. Les arnaques les plus courantes dans l hôtellerie 3. Comment déceler une arnaque? 4. Comment se protéger? 5. Comment réagir si

Plus en détail

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Sécurisation des paiements en lignes et méthodes alternatives de paiement Comment sécuriser vos paiements en ligne? Entre 2010 et 2013, les chiffres démontrent que c est sur internet que la fraude à la carte bancaire a montré sa plus forte progression. Même si le taux de fraude

Plus en détail

PRISME. Installation sur un poste windows

PRISME. Installation sur un poste windows PRISME Installation sur un poste windows Décembre 2012 Table des matières 1 Introduction... 3 2 La configuration requise... 3 3 Paramétrage du module JAVA... 4 3.1 Vérifier la présence de java et sa version...

Plus en détail

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP Microsoft Dynamics Installation de Management Reporter for Microsoft Dynamics ERP Date : mai 2010 Table des matières Introduction... 3 Présentation... 3 Configuration requise... 3 Installation de Management

Plus en détail

V.P.N. ou un ordinateur et un réseau de l'ufc, de façon confidentielle, et ceci en utilisant le média d'internet.

V.P.N. ou un ordinateur et un réseau de l'ufc, de façon confidentielle, et ceci en utilisant le média d'internet. V.P.N. Table des matières V.P.N...1 Royaume : «realm»...2 Qui fait une demande de «realm»?...2 Quels sont les «realms» actifs?...2 Obtenir un certificat, des droits...3 Rencontrer son correspondant réseau/wifi...3

Plus en détail

Guide d installation et d utilisation

Guide d installation et d utilisation Guide d installation et d utilisation A lire avant toute installation de certificat (Mandataire de Certification et Porteur) Décembre 2011 Vous avez choisi le certificat Net-Identity de BNP Paribas et

Plus en détail

TP01: Installation de Windows Server 2012

TP01: Installation de Windows Server 2012 TP0: Installation de Windows Server 202 Rappel : nous utiliserons le terme «WS202» pour désigner Windows Server 202et le terme «VM» pour Machine Virtuelle. - Installation d une VM Windows Server 202 de

Plus en détail

Sécurité : les principaux risques et les moyens de protection associés

Sécurité : les principaux risques et les moyens de protection associés Sécurité : les principaux risques et les moyens de protection associés Les dangers sont très nombreux et divers. De plus, ils évoluent rapidement dans le temps. Néanmoins, les principaux risques pour les

Plus en détail

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre HTTPS Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre Définition HTTPS (HyperText Transfer Protocol Secure) C'est

Plus en détail

Réseau ISO-Raisin. Surveillance des. Infections du Site Opératoire. (Surveillance des interventions prioritaires)

Réseau ISO-Raisin. Surveillance des. Infections du Site Opératoire. (Surveillance des interventions prioritaires) Réseau ISO-Raisin Surveillance des Infections du Site Opératoire (Surveillance des interventions prioritaires) Guide d utilisation de l application WEBISO Année 2015 Sommaire Guide utilisateur - Application

Plus en détail

BIEN PROTÉGER. Mes données bancaires et mes moyens de paiement

BIEN PROTÉGER. Mes données bancaires et mes moyens de paiement BIEN PROTÉGER Mes données bancaires et mes moyens de paiement 2 En matière bancaire comme dans tous les domaines, la sécurité et la vigilance sont primordiales. Des systèmes de protection sont mis en place

Plus en détail

Initiation au mail. Sommaire : 1. Qu'est-ce qu'un mail?...3 2. Deux types d'outils pour consulter ses mails...4

Initiation au mail. Sommaire : 1. Qu'est-ce qu'un mail?...3 2. Deux types d'outils pour consulter ses mails...4 Initiation au mail Sommaire : 1. Qu'est-ce qu'un mail?...3 2. Deux types d'outils pour consulter ses mails...4 2.1. Les logiciels de gestion de mail...4 2.2. Les webmails...5 3. Se connecter au webmail...6

Plus en détail

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+ Guide de formation avec exercices pratiques Configuration et dépannage de PC Préparation à la certification A+ Sophie Lange Troisième édition : couvre Windows 2000, Windows XP et Windows Vista Les Guides

Plus en détail

DNSSEC. Que signifie DNSSEC? Pourquoi a-t-on besoin de DNSSEC? Pour la sécurité sur Internet

DNSSEC. Que signifie DNSSEC? Pourquoi a-t-on besoin de DNSSEC? Pour la sécurité sur Internet DNSSEC Pour la sécurité sur Internet Que signifie DNSSEC? DNSSEC est une extension du système de noms de domaine (DNS) servant à garantir l authenticité et l intégrité des données de réponses DNS. Par

Plus en détail

SECURITE DU COMMERCE SUR INTERNET

SECURITE DU COMMERCE SUR INTERNET SECURITE DU COMMERCE SUR INTERNET Murielle Cahen. «Sécurité du commerce sur internet». In : Avocat on line [En ligne]. http://www.murielle-cahen.com/publications/p_1securite.asp (consulté le 7/10/2013)

Plus en détail

Liste de contrôle pour: «e-banking en toute sécurité» Les points qui suivent sont expliqués pas à pas aux pages suivantes.

Liste de contrôle pour: «e-banking en toute sécurité» Les points qui suivent sont expliqués pas à pas aux pages suivantes. e-banking en toute sécurité (lliiste de contrôlle et iinstructiions) documentt ttél lécharrgeabl le sous:: www..mel lani..admi in..ch Version 1.0 14.04.2005 Liste de contrôle pour: «e-banking en toute

Plus en détail

Sommaire CONNEXION WEBMAIL... 2 1. Comment se connecter au Webmail?... 2

Sommaire CONNEXION WEBMAIL... 2 1. Comment se connecter au Webmail?... 2 Sommaire CONNEXION WEBMAIL... 2 1. Comment se connecter au Webmail?... 2 LE COURRIER... 4 CREER UN NOUVEAU MESSAGE... 4 1. Comment envoyer un mail?... 4 2. Envoi avec une pièce jointe?... 7 REPONDRE A

Plus en détail

Notice d installation

Notice d installation Notice d installation Page 1 sur 27 Sommaire I. Avant-Propos... 3 II. Lancement de l installation... 3 III. Installation Monoposte... 5 IV. Installation Réseau Serveur... 7 1. Le serveur Contient l application

Plus en détail

(Third-Man Attack) PASCAL BONHEUR PASCAL BONHEUR@YAHOO.FR 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

(Third-Man Attack) PASCAL BONHEUR PASCAL BONHEUR@YAHOO.FR 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS Détournement de serveur DNS (Third-Man Attack) PASCAL BONHEUR PASCAL BONHEUR@YAHOO.FR 4/07/2001 Introduction Ce document traite de la possibilité d exploiter le serveur DNS pour pirater certains sites

Plus en détail

UserLock Quoi de neuf dans UserLock? Version 8.5

UserLock Quoi de neuf dans UserLock? Version 8.5 UserLock Quoi de neuf dans UserLock? Version 8.5 Table des Matières 1. UserLock Version 8... 3 1.1. Le Statut utilisateur, un nouvel indicateur de risque... 3 1.2. Des alertes en temps réel contre les

Plus en détail

TP RPV de niveau application EXTRANET

TP RPV de niveau application EXTRANET TP RPV de niveau application EXTRANET L entreprise MAROQ a décidé d ouvrir une partie de son SI (Système d information) à ses partenaires. Cette ouverture s effectue par la création d un site web privé

Plus en détail

Démarrer avec la Toutou Linux

Démarrer avec la Toutou Linux Démarrer avec la Toutou Linux 1.Comment démarrer sur le CD de Toutou Linux? Pour pouvoir démarrer avec le CD Toutou Linux, suivez les étapes suivantes : Allumer votre ordinateur. Ne cherchez pas à insérer

Plus en détail

SOMMAIRE. 1 Installation du certificat sur le système... 3 1.1 Configuration de Windows 8 avant installation... 3. 1.2 Procédure d installation...

SOMMAIRE. 1 Installation du certificat sur le système... 3 1.1 Configuration de Windows 8 avant installation... 3. 1.2 Procédure d installation... 1 2 SOMMAIRE 1 Installation du certificat sur le système... 3 1.1 Configuration de Windows 8 avant installation... 3 1.2 Procédure d installation... 8 1.3 Activation de la clé... 10 2 Installation du certificat

Plus en détail

CERTIFICATS ELECTRONIQUES SUR CLE USB

CERTIFICATS ELECTRONIQUES SUR CLE USB CERTIFICATS ELECTRONIQUES SUR CLE USB Autorité de Certification : AC Avocats Classe 3Plus MANUEL D INSTALLATION MAC OS X : Versions 10.5.5 à 10.5.9* / 10.6 / 10.7 et 10.7.4 MOZILLA FIREFOX *Uniquement

Plus en détail

STATISTICA - Version 10

STATISTICA - Version 10 STATISTICA - Version 10 Instructions d'installation de STATISTICA Entreprise pour une Utilisation sous Terminal Server et Citrix Remarques : 1. Ces instructions s'appliquent à une installation sous Terminal

Plus en détail

CARTE BANCAIRE RECHARGEABLE

CARTE BANCAIRE RECHARGEABLE Guide pratique CARTE BANCAIRE RECHARGEABLE La Carte Bancaire Rechargeable permet d apprendre à devenir progressivement autonome dans la gestion de l argent en toute sécurité. Dans ce guide, découvrez les

Plus en détail

Manuel utilisateur. CLEO CPS Commande de certificat serveur

Manuel utilisateur. CLEO CPS Commande de certificat serveur Manuel utilisateur CLEO CPS Commande de certificat serveur Sommaire 1 Objet du document... 3 2 Certificats serveurs... 4 2.1 A quoi sert un certificat serveur de l ASIP Santé?... 4 2.2 Les types de certificats

Plus en détail

Tél. : (241) 74 32 46 / 79 63 88 Fax : (241)74 44 56 E-mail : eqc@bgfi.com. www.bgfi.com

Tél. : (241) 74 32 46 / 79 63 88 Fax : (241)74 44 56 E-mail : eqc@bgfi.com. www.bgfi.com Tél. : (241) 74 32 46 / 79 63 88 Fax : (241)74 44 56 E-mail : eqc@bgfi.com www.bgfi.com 1 Cher client, chère cliente, Bienvenue sur www.bgfionline.com! Pour que vous puissiez accéder à vos comptes à toute

Plus en détail

guide pratique d utilisation d un terminal de paiement électronique EMV, à destination des commerçants CB

guide pratique d utilisation d un terminal de paiement électronique EMV, à destination des commerçants CB guide pratique d utilisation d un terminal de paiement électronique EMV, à destination des commerçants CB L Europe passe à la carte bancaire à puce, au standard international EMV. Une évolution pour la

Plus en détail

Qu est-ce qu une boîte mail

Qu est-ce qu une boîte mail Qu est-ce qu une boîte mail Sur Internet, la messagerie électronique (ou e-mail en anglais) demeure l application la plus utilisée. La messagerie permet à un utilisateur d envoyer des messages à d autres

Plus en détail

La hiérarchie du système DNS

La hiérarchie du système DNS LA RÉSOLUTION DE NOMS 1. PRÉSENTATION DU SYSTÈME DNS 1.1 INTRODUCTION À LA RÉSOLUTION DE NOMS Pour pouvoir communiquer, chaque machine présente sur un réseau doit avoir un identifiant unique. Avec le protocole

Plus en détail

Avast! 5 : installation et enregistrement

Avast! 5 : installation et enregistrement Initiation à la sécurité avec Avast 5 1/ 7 Avast! 5 est la dernière version du célèbre antivirus gratuit aux 100 millions d'utilisateurs. S'il est configurable à souhait pour les utilisateurs avancés,

Plus en détail

Manuel du logiciel PrestaTest.

Manuel du logiciel PrestaTest. Manuel du logiciel. Ce document décrit les différents tests que permet le logiciel, il liste également les informations nécessaires à chacun d entre eux. Table des matières Prérequis de PrestaConnect :...2

Plus en détail

MORPHEO. 1 - Serveur de rechargement MIFARE. 2 - Web service sécurisé. 3 - Couche de sécurité intégrée au lecteur sans contact

MORPHEO. 1 - Serveur de rechargement MIFARE. 2 - Web service sécurisé. 3 - Couche de sécurité intégrée au lecteur sans contact MORPHEO Solution sécurisée de rechargement en ligne de supports 1 - Serveur de rechargement 2 - Web service sécurisé 3 - Couche de sécurité intégrée au lecteur sans contact 4 - Lecteur sans contact personnalisé

Plus en détail

Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet -

Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet - Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet - Marc Tremsal Alexandre Languillat Table des matières INTRODUCTION... 3 DEFI-REPONSE... 4 CRYPTOGRAPHIE SYMETRIQUE...

Plus en détail

Politique Cookies. Qu est-ce qu un cookie? A quoi servent les cookies émis sur notre site?

Politique Cookies. Qu est-ce qu un cookie? A quoi servent les cookies émis sur notre site? Politique Cookies Qu est-ce qu un cookie? Un cookie est un fichier texte déposé, sous réserve de vos choix, sur votre ordinateur lors de la visite d'un site ou de la consultation d'une publicité. Il a

Plus en détail

La signature électronique et les réseaux de confiance

La signature électronique et les réseaux de confiance La signature électronique et les réseaux de confiance Marc.Schaefer@he-arc.ch HE-Arc Ingénierie Institut des systèmes d'information et de communication (ISIC) Laboratoire de téléinformatique (TINF) Plan

Plus en détail

PASSEPORT DE CONSEILS AUX VOYAGEURS. Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable

PASSEPORT DE CONSEILS AUX VOYAGEURS. Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable PASSEPORT DE CONSEILS AUX VOYAGEURS Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable Ce passeport de conseils aux voyageurs a été initialement réalisé par l Agence nationale

Plus en détail

La communication entre le groupe SCCP et ses prestataires, transporteurs des céréales était traditionnellement basée sur un serveur de fax.

La communication entre le groupe SCCP et ses prestataires, transporteurs des céréales était traditionnellement basée sur un serveur de fax. EXERCICE 1 La communication entre le groupe SCCP et ses prestataires, transporteurs des céréales était traditionnellement basée sur un serveur de fax. La multiplication des modes de communication entre

Plus en détail