LA CARTE DE CREDIT : PROTECTIONS ET

Dimension: px
Commencer à balayer dès la page:

Download "LA CARTE DE CREDIT : PROTECTIONS ET"

Transcription

1 LA CARTE DE CREDIT : PROTECTIONS ET METHODES DE CONTOURNEMENT Julien Birène, Samuel Da Mota, Myriam Goupil, Xavier Guerraz, Morgan Hotonnier 31/10/2010 Ce rapport cherche { éclairer l utilisateur de la carte de crédit, de la première carte { puce française au format international EMV utilisé de nos jours. Nous étudierons les mécanismes d authentification et d habilitation des cartes de crédit et différentes méthodes les contournant.

2 SOMMAIRE I. Introduction... 3 II. Le système des cartes bancaires B0 (avant 2003) Fabrication de la carte bancaire Autorisation de la transaction... 4 a. Authentification de la carte... 4 b. Authentification du porteur de la carte... 5 c. Authentification en ligne (optionnel)... 5 d. Déroulement de la transaction (une fois autorisée)... 6 III. Petit rappel législatif... 7 IV. Contournement par duplication: Le card skimming Technique Protection Sensibilisation V. Contournement de l'authentification: La YesCard Technique Protection Sensibilisation VI. Vol d'identité: Peur justifiée du paiement en ligne Technique Protection Sensibilisation VII. Tromper l'utilisateur: Phishing, Pharming et Scams Technique Protection Sensibilisation VIII. Une attaque atypique : Piratage du DAB Reverse engineering sur borne ATM Attaque matérielle Attaque à distance Moyen de protection IX. Cartes de crédit nouvelle génération : format EMV SRS Day Page 1

3 1. Introduction Fonctionnement général Authentification a. Static Data Authentication (SDA) b. Dynamic Data Authentication (DDA) Gestion des transactions a. Fonctionnement hors ligne et en ligne b. Fonctionnement hors ligne uniquement X. EMV reste faillible: le PIN Authentication Spoofing Technique Protection Sensibilisation XI. Conclusion XII. Bibliographie SRS Day Page 2

4 I. INTRODUCTION Le besoin de pouvoir transporter son argent sans risquer de se faire voler n est pas nouveau : dès le XIIIème siècle les Templiers ont inventé un système de lettre de change, à base de cryptologie symétrique, très similaire au système de chèques et banques aujourd hui. Ce système permettait de voyager sans argent. Les voyageurs remettaient leurs biens aux Templiers avant un pèlerinage, en échange d une lettre de change. En arrivant à destination, d autres Templiers restituaient au voyageur la somme inscrite sur la lettre en monnaie locale. En 1914, Western Union met un système de carte en métal { disposition de ses clients. Mais c est en 1950 qu apparaît la première carte de crédit : le Diner s Club propose { ses membres un système permettant de dîner à crédit grâce à une carte de paiement sous forme de petit carnet. En 1958, Bank of America est la première banque à proposer une carte de crédit bancaire suivie par la Mastercard en Quelques années plus tard, l apparition de la carte { puce permet un paiement sécurisé sur un réseau mondial. La carte de crédit bancaire est aujourd hui un moyen de paiement très répandu et principalement utilisé pour des paiements chez des commerçants ou des retraits aux distributeurs automatiques. Au travers de ce rapport, nous chercherons à éclairer l utilisateur de la carte de crédit, de la première carte à puce française au format international EMV utilisée de nos jours. Nous étudierons les mécanismes d authentification et d habilitation des cartes de crédit et différentes méthodes les contournant. SRS Day Page 3

5 II. LE SYSTEME DES CARTES BANCAIRES B0 (AVANT 2003) 1. FABRICATION DE LA CARTE BANCAIRE Seul le groupement des cartes bancaires (le GIE carte bancaire) peut délivrer une carte bancaire. Lors de la fabrication d une carte bancaire, l organisme bancaire y intègre des données comme le nom du porteur, le numéro de la carte, la date de validité, un chiffré du code confidentiel à quatre chiffres, un code secret utilisé pour du DES ainsi qu une valeur de signature. La valeur de signature est un nombre calculé en fonction d un hash des autres informations présentes sur la carte et d une clé secrète appartenant au groupement des cartes bancaires. Le système cryptographique utilisé est le système RSA. 2. AUTORISATION DE LA TRANSACTION Lorsque l on introduit une carte bancaire dans un lecteur, l autorisation de la transaction se fait en plusieurs étapes : 1. Authentification hors ligne (ou authentification de la carte) 2. Authentification du porteur de la carte 3. Authentification en ligne (par le centre bancaire) a. AUTHENTIFICATION DE LA CARTE La première étape réalisée par le lecteur de carte bancaire lorsque l on y introduit une carte est de vérifier la validité de la carte i.e. que la carte a été émise par un centre bancaire. Pour ce faire, il procède à une vérification basée sur des données enregistrées dans la mémoire de la carte lors de sa création. Lorsque l on introduit la carte, celle-ci envoie au lecteur sa valeur de signature ainsi que les autres données qu elle contient. Pour vérifier que la carte est correcte, le lecteur utilise la clé publique du groupement bancaire pour déchiffrer la valeur de signature et vérifie que le nombre trouvé coïncide parfaitement avec le hashé fourni par la carte. Le fonctionnement se schématise comme suit : Figure 1: Transaction entre la carte et le lecteur SRS Day Page 4

6 1. Insertion de la carte dans le lecteur 2. La carte envoie ses informations et la valeur de signature 3. Le lecteur calcule le hash des informations 4. Le lecteur déchiffre la valeur de signature avec une clé publique 5. La carte est valide si et seulement les résultats obtenus aux étapes 3 et 4 sont identiques b. AUTHENTIFICATION DU PORTEUR DE LA CARTE Une fois que la carte a été authentifiée par le lecteur i.e. que la première étape s est déroulée correctement, le lecteur demande { l utilisateur d entrer un code { quatre chiffre qu il retransmet de suite à la carte pour validation. Cette dernière contient le code confidentiel chiffré, aussi pour vérifier que le code entré est correct. La carte chiffre le code reçu et le compare ensuite { la valeur qu elle contient. Le porteur de la carte est authentifié si et seulement les deux chiffrés coïncident, et la transaction pourra avoir lieu. c. AUTHENTIFICATION EN LIGNE (OPTIONNEL) Si le montant de la transaction dépasse un certain seuil ou que la carte utilisée interdit les découverts le lecteur procèdera à une autorisation auprès du centre bancaire. Pour ce faire, le centre bancaire va authentifier la carte bancaire avec un système DES puis autoriser ou non la transaction. Une fois contacté, le centre renvoie un nombre aléatoire X que le lecteur renvoie à la carte. Cette dernière calcule le DES de ce nombre avec sa clé secrète et renvoie le résultat. Le centre bancaire fait le même calcul (le centre connait la clé secrète puisque c est lui qui l a choisit lors de la création de la carte). Si les résultats coïncident la carte est alors authentifiée auprès de la banque. Celle-ci décide ensuite si elle autorise ou non la transaction en fonction du client (interdit bancaire, découvert trop élevé ). Figure 2: 3ème protection à base de DES SRS Day Page 5

7 d. DEROULEMENT DE LA TRANSACTION (UNE FOIS AUTORISEE) Le lecteur de carte mémorise toutes les transactions effectuées pendants la journée (étape 1 sur le schéma). Chaque soir il se connecte au centre bancaire du commerçant et lui envoie la liste des transactions de la journée (étape 2). Ce dernier contacte la banque de chacun des acheteurs pour réclamer la somme due (étape 3). Une fois que la banque du commerçant a reçu l argent des autres banques (étape 4), elle prélève ses taxes et retourne le reste au commerçant (étape 5). Figure 3: Déroulement de la transaction SRS Day Page 6

8 III. PETIT RAPPEL LEGISLATIF Les sanctions concernant les fraudes de cartes bancaires sont décrites par l article 67-1 de la loi n du 30 décembre 1991 issue du décret-loi du 30 octobre Cette loi condamne toute personne ayant falsifiée une carte de paiement, ayant utilisé une carte de paiement falsifiée, ou ayant accepté un paiement d une carte falsifiée. La peine encourue est une amende allant de 550 { ainsi qu un emprisonnement d un { sept ans. Les outils ayant servi à contrefaire les cartes de paiement sont confisqués, ainsi que les cartes en question qui seront détruites. Les seuls risques liés à l'utilisation d'une carte de crédit ne sont pas physiques. Le développement des plates-formes de paiement en ligne en font des cibles de choix. Plusieurs articles de lois précisent les obligations commerciales des vendeurs (obligation d'afficher les prix, droit de rétractation légal, etc...), mais aucune loi ne protège actuellement l'acheteur spécifiquement au moment du paiement. Le principal problème relatif au paiement en ligne réside dans la responsabilité : d'une manière générale, la plate-forme de paiement est fournie directement par la banque du revendeur. Ce dernier n'a qu'à rediriger l'acheteur sur le site de sa banque, qui procède à la transaction et renvoie l'utilisateur sur le site du vendeur une fois celle-ci confirmée. Dans ce contexte, en cas de fraude ou de tromperie, qui peut être mis en cause? Le banque, pour ne pas respecter son engagement de fournir un service sécurisé, ou alors le vendeur, qui, en travaillant avec sa banque doit assumer la responsabilité de tout incident vis à vis de son client? En dehors des attaques et fraudes directes, plusieurs techniques existent pour tenter de tromper l'utilisateur. Ici encore, la loi reste embryonnaire, et bien souvent ce sont les décisions de justice qui font jurisprudence et servent de référence. SRS Day Page 7

9 IV. CONTOURNEMENT PAR DUPLICATION: LE CARD SKIMMING 3. TECHNIQUE Le skimming, aussi appelé White Card, est pratiqué surtout dans les bars, restaurants, stations services, et hôtels. Un employé malveillant glisse la carte de paiement du client dans un boîtier électronique permettant de copier les données de celle-ci. Il restitue ensuite sa carte au client et revend la copie à un réseau de fabricants de fausses cartes de crédit. Le client ne se rendra compte de la fraude qu { la réception de son relevé bancaire. Le skimming est appliqué également dans certains cas directement sur des distributeurs automatiques. Les fraudeurs apposent sur la fente d insertion de la carte un cache contenant le matériel électronique permettant de copier le numéro à partir de la bande magnétique de celleci. Le boîtier permettant la copie se compose en fait de trois circuits. Le premier copie les données avant qu elles ne soient chiffrées par le lecteur. Le second sauvegarde ces informations et les chiffre afin qu elles ne puissent pas être lues par une source extérieur. Enfin, le troisième et dernier circuit envoie ces données à un serveur distant où elles sont récupérées et déchiffrées pour la fabrication de White Cards. Figure 4: Application d un cache La copie de la bande magnétique de la carte n étant pas suffisante { la falsification, il est nécessaire de récupérer le code secret. Pour ce faire, les fraudeurs utilisent un second cache sur le clavier qui enregistrera le code PIN tapé par l utilisateur, ou une caméra dissimulée dans le distributeur. SRS Day Page 8

10 Figure 5: Une caméra est dissimulée dans le porte-prospectus Le matériel nécessaire au skimming est très coûteux : environ 8000 pour un cache pouvant transmettre à un pc, via sms ou wifi, les informations de 1856 cartes. 4. PROTECTION La falsification d une carte bancaire nécessite de posséder deux éléments : le numéro de carte (contenu sur la bande magnétique) et le code PIN. La protection d un seul de ces deux éléments est donc suffisante pour empêcher le skimming. La protection du code PIN s avère difficile car il existe trop de moyen de le voler. En revanche, la seule façon d acquérir le numéro de carte est de le copier { partir de la bande magnétique. C est donc cet élément qu il faut protéger. La meilleure solution existant { ce jour consiste { mesurer l épaisseur des éléments du distributeur grâce à un système de laser haute-précision afin de détecter le skimmer. Le laser effectue des mesures sur le lecteur de carte en plusieurs points et stocke les mesures obtenues comme références. D autres mesures sont effectuées régulièrement et sont comparées aux mesures de référence. Si ces nouvelles mesures dépassent un certain seuil, un signal d alarme est envoyé à un module de contrôle qui envoie alors des signaux et messages de prévention alertant le personnel concerné en temps réel (par sms par exemple). L installation du laser n est pas fixe, il peut se trouver entre 0,05 et 30 mètres du distributeur de billets. De plus, son rayon d action étant assez large, il n est pas affecté par des problèmes environnementaux comme la lumière. Les fausses alertes sont donc rares et peuvent être facilement résolues. SRS Day Page 9

11 5. SENSIBILISATION La meilleure défense contre le skimming reste la sensibilisation. Il est recommandé d adopter une attitude vigilante. - Chercher un éventuel cache placé sur le lecteur de carte Les caches dissimulant le boîtier malveillant ressemblent beaucoup aux véritables lecteurs de cartes. Une façon de vérifier que le lecteur de carte n est pas recouvert d un cache est d essayer de le faire bouger avec les mains. - Cacher son code PIN Une des méthodes permettant aux fraudeurs de récupérer le code secret est de dissimuler une caméra dans le distributeur de billets. Bien cacher son code PIN lors de la composition, même en étant seul, est une bonne habitude à prendre pour se protéger du skimming. - Eviter les personnes trop serviables Une autre technique d un fraudeur pour obtenir le code PIN est de rester aux alentours du distributeur de billets et d offrir son aide { l utilisateur lorsque le distributeur présente un dysfonctionnement. Le fraudeur demande { l utilisateur de réessayer de taper son code et regarde alors par-dessus l épaule de celui-ci pour mémoriser le code. Parfois le fraudeur demande directement son code PIN { l utilisateur. - Vérifier ses comptes régulièrement En étant victime du skimming, le meilleur réflexe est de détecter la fraude le plus tôt possible afin de la reporter rapidement et d augmenter ses chances de récupérer l argent volé. Figure 6: Zones privilégiées pour le placement d'un équipement de skimming SRS Day Page 10

12 V. CONTOURNEMENT DE L'AUTHENTIFICATION: LA YESCARD Comme on a pu le constater, lors d'une transaction bancaire avec un terminal de paiement (TP), plusieurs contrôles sont effectués. Des contrôles pour vérifier à la fois la légitimité de la carte par authentification de la carte avec la valeur de signature VS d'une part. Celle de son porteur par sa connaissance du code confidentiel d'autre part. Ces deux méthodes sont réalisées de façon totalement autonome par la carte de crédit et le TP. Nous savons aussi que la troisième et dernière vérification, réalisée cette fois en ligne avec un centre de contrôle bancaire, n'est pas systématique et souvent réservée aux retraits de grosses sommes d'argents. L'authentification de la carte se fait du coté du TP, la vérification du code PIN se fait lui du coté de la carte de crédit, c'est cette particularité qui a permis l'apparition des YesCard. 1. TECHNIQUE Une YesCard, ou encore simulacre de carte bancaire, est une carte répondant toujours oui, quel que soit le code secret tapé par le titulaire. Elle est réalisée avec une carte à puce, vierge à l'origine, dans laquelle on insère un programme visant à émuler parfaitement le fonctionnement d'une carte bancaire. La seule différence est qu'elle donne systématiquement une autorisation de transfert au terminal de paiement lorsque celui-ci réalise la demande de vérification du code confidentiel. On constate aisément le point limitant de cette méthode: il reste à tromper l'authentification de la carte. Pour cela il y a deux méthodes: Cloner une carte bancaire existante et légitime. Pour cela, il suffit de calquer les méthodes des skimmeurs et récupérer les informations de la carte, pour cela, un simple lecteur de carte à puce suffit, ce genre de lecteur se trouve facilement dans le commerce même pour un particulier. Du fait que les données proviennent d'une carte valide, la valeur de signature à bien été générée avec la clef secrète du groupement des cartes bancaires (le GIE) et l'authentification se réalisera donc avec succès. Ce sera bien entendu le compte du possesseur de la carte originelle qui sera débité. Confectionner des informations de cartes bancaires factices et réussir à générer la bonne valeur de signature VS. Pour cela, il faut réussir à casser le chiffrement et découvrir la clef secrète du GIE. C'est ce qu'a réussi Serge Humpich, informaticien et électronicien français en 1998, et qui à donné le nom de "Yescard Humpich" aux cartes bancaires confectionnées par cette méthode. Ce qui peut sembler un exploit n'en était pas vraiment un. En effet la clef secrète faisait 320 bits, taille suffisante car considérée comme incassable en 1990, mais plus en Serge Humpich n'aura fait qu'utiliser des programmes de factorisation de grands nombres premiers de son époque pour parvenir à ses fins. Voici la procédure permettant de confectionner les informations d'une Yescard méthode Humpich: SRS Day Page 11

13 a. On génère aléatoirement un numéro de carte à 16 chiffres correspondant à une banque française. Elle vérifie le format de clé de Luhn. b. On choisit une date d'expiration dans le futur c. On choisit arbitrairement un nom de porteur d. On encode ces informations au format hexadécimal e. Cela donne un numéro de 48 chiffres décimaux (160 bits) appelé identifiant (Id) f. On multiplie ce chiffre par , cela donne un numéro de 96 chiffres décimaux (320 bits) g. On élève ce numéro de 96 chiffres à la puissance exposant privé modulo le produit public (ces deux chiffres ont été publiés sur Internet). Cela donne un numéro de 96 chiffres (320 bits) appelé valeur d'authentification (VA). h. On programme une carte à puce blanche pour dialoguer avec un terminal de paiement, cela ressemble à la programmation d'une carte à puce pirate pour les décodeurs de télévision satellite ou Canal +. i. On stocke alors ces 2 numéros de 48 (Id) et 96 chiffres (VA) sur la carte à puce blanche programmable. Figure 7: gezeroleebox, un des premiers logiciels de clonage de carte bancairecomme les numéros utilisés seraient mis normalement en opposition le soir, il faut changer le numéro de carte à 16 chiffres après chaque jour d'utilisation. SRS Day Page 12

14 2. PROTECTION Afin de contrer ce type d'attaque, le GIE a rajouté sur nos cartes bancaire une valeur d'authentification rallongée de 768 bits. Cette valeur d'authentification, appelée VA est le résultat d'un chiffrement RSA, entre diverses informations de la carte comme le code banque, le code pays, le code service ou encore le numéro à 16 chiffres. Grâce à cette clé de 768 bits, impossible de modifier les informations sur la carte, autrement dit impossible de modifier cette valeur d'authentification. L'authentification en ligne est également passée du DES au TripleDES. Bien entendu, cette modification des cartes bancaires a aussi impliqué la modification des lecteurs. Et si le changement des quelques distributeurs automatiques (DAB) peut sembler périlleux, c'est sans compter le million de terminaux de paiement que possèdent par ailleurs les commerçants. C'est pour cette raison que les "YesCard Humpich" sont restées valables jusqu'au premier juillet 2004, date de fin d'acceptation des cartes bancaire au format B0' (on considère qu'actuellement plus de 99% des DAB et TP ont été renouvelés). Mais comme toute méthode de chiffrement se basant sur la solidité d'une clef unique, les capacités de calculs de nos ordinateurs ne cessent d'augmenter, et nous arrivons à casser des clefs RSA de plus en plus grandes. Le dernier record dans le domaine date du 12 janvier 2010 par l'inria qui à réussi à casser une clef RSA de bits. Certes les capacités de calculs de l'inria ne sont pas à la disposition de tous et il a fallu pas moins de 2 ans et demi pour arriver au bout de cette clef, mais cela permet de se donner une idée de la pérennité de cette nouvelle protection. Figure 8: Preuve du fonctionnement des YesCard Humpich via l'achat de tickets de métro SRS Day Page 13

15 Enfin, on notera l'arrivée des spécifications EMV (EuroCard Mastercard Visa), qui ont commencé à être utilisées dès 2001 et sont toujours utilisées sur nos cartes de crédits de 2010, devant apporter plusieurs protections annihilant toute chance de retour des YesCards. On se permettra de rester dubitatif cela dit, étant donné que l'adjonction d'un processeur chargé de faire des calculs RSA dans les cartes à puce émises n'est pas obligée par cette spécification. Par conséquent, certains terminaux de paiement se contenteront de lire les informations de la puce, ce qui signifie se limiter à la méthode d'authentification statique offline comme c'était déjà le cas dans le précédent format. Avec une telle méthode d'authentification, la réalisation de YesCards par clonage d'une carte existante reste tout à fait réalisable. 3. SENSIBILISATION Les banques ont pour obligation de rembourser les pertes d'argents dues à ce type d'attaque, cependant il faut bien entendu réussir à prouver votre bonne foi, ce qui n'est pas toujours simple. Pour l'utilisateur final, tout comme il y a deux types de YesCard, il y a deux façons de se retrouver impacté: La YesCard a été façonnée de toute pièce avec un générateur de numéros de cartes valides, pas de chance, ce numéro de carte est bien attribué à une véritable carte qui n'est autre que la votre! Réjouissez vous pourtant car c'est cette situation dont il est le plus facile de se sortir. En effet si vous remarquez des transactions dont vous n'êtes pas l'auteur, il vous suffit de demander des précisions à votre banque sur cette transaction. Comme le nom du porteur est fourni lors de la transaction, celui de la YesCard sera évidemment faux et ne correspondra pas à votre identité. De plus lors d'une transaction, la carte génère un certificat de 8 octets via chiffrement DES. Or les cartes à puces utilisées lors de la confection des YesCard possèdent une puissance de calcul totalement insuffisante pour réaliser ce type de calcul, il en résultera un certificat erroné facilement vérifiable par la banque. Votre carte a été clonée, dans ce cas il va falloir réussir à prouver que ce n'est pas vous qui avez réalisé la dite transaction. Vous pouvez pour cela essayer de vous baser sur les enregistrements vidéo des DAB si jamais le retrait a été réalisé par cet intermédiaire. Mais même dans ce cas de figure, il faudra réussir à prouver que vous n'avez pas tout simplement donné votre carte et votre code confidentiel à un tiers. D'ailleurs, selon un arrêt de la Cour de cassation, "le fait que la carte ait été utilisée par un tiers avec composition du code confidentiel est, à elle seule, non susceptible de constituer la preuve d'une faute lourde". Autant dire qu'espérer obtenir un remboursement est souvent perdu d'avance. On recense encore des cas de ce genre dans la presse en Il n'existe malheureusement pas de méthode miracle pour éviter de se faire cloner sa carte, à part rester suspicieux lorsqu'on ne vous laisse pas placer vous même la carte dans le terminal de paiement. Mais même dans ce cas de figure, nous sommes arrivés à des degrés de miniaturisation tels qu'il est désormais possible d'avoir des terminaux de paiement ou distributeurs automatiques semblant parfaitement intact, mais disposant d'un clavier trafiqué retenant le code pin, d'un dispositif de copie du contenu de votre carte entièrement dissimulé dans la fente, le tout accompagné d'une puce GSM envoyant vos précieuses informations bancaires dans un serveur caché au Pakistan. SRS Day Page 14

16 VI. VOL D'IDENTITE: PEUR JUSTIFIEE DU PAIEMENT EN LIGNE Le paiement en ligne a explosé ces 5 dernières années, il est désormais possible de vivre sans manquer de rien sans jamais sortir de chez soi: alimentation, mobilier, cosmétique, divertissement... tout est disponible et payable en ligne. Pourtant le paiement en ligne classique possède une particularité inquiétante: le code PIN n'est pas demandé, seul les informations marquées clairement sur la carte bancaire le sont, plus d'authentification forte! Nous verrons dans cette partie les menaces potentielles et comment s'en protéger. 1. TECHNIQUE Du fait de l'absence de la demande du code PIN, un simple vol de votre carte de crédit peut suffire pour que le malfrat commande en ligne à vos frais, il n'y a pas vraiment besoin d'explication dans ce cas de figure, nous nous concentrerons donc sur une deuxième méthode: le vol de vos informations bancaires lorsque vous les utilisez. Il y a 3 endroits où vos informations bancaires peuvent être capturées: Directement sur votre ordinateur: Ceci se réalise avec ce qu'on appelle un Trojan, ou Cheval de Troie. Installé à votre insu sur votre ordinateur, ces programmes n'ont qu'un seul but: espionner ce que vous faites et transmettre les informations à la personne ayant commandité son installation. Cela peut aller d un simple enregistrement de tout ce que vous tapez sur votre clavier à des captures d'écran régulières, le tout envoyé le plus souvent par mail au responsable du Trojan. Entre votre ordinateur et le serveur: De base, les communications entre votre ordinateur et les sites distants avec lesquels vous communiquez ne sont absolument pas protégées. N'importe quelle personne située sur le même réseau que vous, avec les outils adéquats à l'analyse des flux IP, peut en clair regarder les informations qui transitent. Il suffit donc au fraudeur d'analyser les paquets échangés entre votre ordinateur et d'y retrouver les informations l'intéressant. Sans forcément se concentrer uniquement sur les informations bancaires, on peut par exemple s'intéresser à Firesheep, petit plugin Firefox disponible au téléchargement pour tous permettant à n'importe quel quidam de réaliser du sidejacking, autrement dit le vol de vos sessions sur un large panel de sites populaires tels que Facebook, Twitter ou Amazon. Il lui faut simplement avoir lancé le plugin en écoute sur le réseau ou vous vous trouvez et attendre que vous vous authentifiez sur les dits-sites. Quand on sait qu'amazon enregistre vos informations bancaire pour vous éviter d'avoir à les taper à chaque fois que vous commandez chez eux, cela laisse songeur. Directement sur le serveur: Dans ce cas, soit le responsable du serveur est lui même la personne malveillante, mais nous traiterons ce cas plus général dans la section suivante de ce rapport, soit le site est vulnérable et se retrouve attaqué par un tiers. Ce cas de figure est cependant assez minime dans le cas des informations bancaires, il en effet anormal que le site marchand conserve vos informations bancaire, ou même ne les vois transiter en clair à un moment (Amazon est un cas particulier bénéficiant de sa notoriété). SRS Day Page 15

17 2. PROTECTION Comme nous avons pu le constater, le problème majeur est la possibilité pour l'attaquant de réutiliser les informations communiquées pour faire un autre paiement, on peut faire une analogie avec les "attaques par rejeu" (replay attack), très utilisées dans les man-in-the-middle de vol d'information d'authentification. Rajouter la demande du Code PIN ne serait ici d'aucune aide, en effet rien n'empêcherait la personne malveillante de le voler dans la foulée. Reprenons donc la méthode utilisée le plus souvent pour le contrer: l'utilisation des One-Time-Passwords (OTP), ou mot de passe à usage unique. Comme son nom l'indique, un OTP est un mot de passe ne pouvant être utilisé qu'une fois. Nous ne détaillerons pas les principes algorithmiques derrière cette méthode, sachez juste que le partage d'un secret entre le générateur d'otp et la banque permet à celle ci de s'assurer que l'otp provient bien de vous et qu'il n'a pas déjà été utilisé. La seule façon pour un pirate d'utiliser vos informations bancaires est donc de voler la source de ces OTP en plus des informations de votre compte. Très souvent le générateur est un objet électronique physique (appelé token), ou un programme utilisé de préférence sur un autre terminal que celui effectuant le paiement (par exemple votre smartphone), ce qui évite que la compromission de votre ordinateur ne ruine l'efficacité de l'otp. Figure 9: Carte de crédit nouvelle génération, contenant un générateur d'otp protégé par code PIN Une variante plus courante dans les banques françaises pour le particulier est l'utilisation d'informations de cartes bancaires jetables. C'est un moyen de paiement rattaché à votre carte bancaire permettant de payer sans donner son numéro de carte. Ces "e-numéros" sont valables temporairement, soit par rapport à une contrainte de temps, soit au nombre d'utilisations. Ils sont la plupart du temps utilisables qu'une fois. On retrouve deux types de numéros jetables en France: l'e-carte bleue disponibles à la Société générale, Banque Postale, LCL, Banque Populaire, Caisse d Epargne ou encore Axa banque; et Virtualis, service offert par le Crédit Mutuel. SRS Day Page 16

18 En plus de ces méthodes généralistes, il existe des moyens de contrer chaque attaque spécifique: Directement sur votre ordinateur: Ici les mêmes règles que pour tout vol d'information s'applique, à savoir utiliser un ordinateur de confiance (éviter les cybercafés ou l'ordinateur d'un tiers) et se protéger des attaques malwares avec une solution logicielle adaptée. Entre votre ordinateur et le serveur: C'est cette fois-ci dans le réseau local ou vous vous situez qu'il faut avoir confiance. Par conséquent éviter au maximum l'utilisation de Wifi non sécurisés (voir: Rogue AccessPoint) ou disponible à un large panel de personnes (Wifi de restaurant, d'université, etc...). Une autre protection, disponible dans l'extrême majorité des paiements en ligne, est le chiffrement de la connexion. Pour cela on utilise le protocole de chiffrement SSL/TLS. Enfin, l'utilisation de solutions VPN (réseau privé virtuels) peut aussi permettre d'éviter une écoute de ses communications réseau. Figure 10: Capture d identifiant/pass d'un site non protégé par Wireshark, célèbre outil d'analyse réseau Directement sur le serveur: Ici il n'y a pas de méthode miracle, il y a deux types de paiement en ligne. Ceux dont la transaction se fait via redirection sur un site bancaire. Il est majoritairement utilisé pour les petites e-boutiques. En effet, bien que les banques prennent une commission plus importante en offrant ce type de service, cela permet au vendeur de totalement se décharger des problématiques de sécurité des transactions bancaires, aucune des informations bancaire ne transite sur son serveur, seule la banque lui confirme si le paiement s'est bien déroulé ou non à la fin de la transaction. Ceux dont la transaction se fait chez eux. Principalement utilisé par les grands noms de la vente en ligne tel qu'amazon, ceux-ci se sont dotés d'un Terminal de Paiement Electronique (TPE) personnel. Plus économique pour eux du fait du très grand volume de transactions qu'ils reçoivent, ils ont pour mission de s'assurer de la confidentialité de vos données. Seule la confiance en leur service permet de se rassurer. SRS Day Page 17

19 3. SENSIBILISATION Concernant le vol de votre carte, inutile de préciser qu'il est important d'appeler votre banque et de faire opposition le plus vite possible. Pour ce qui est du chiffrement de votre communication avec le serveur distant lors de votre transaction bancaire, il est facile de s'assurer de sa présence. En effet dans la totalité des navigateurs grands publics, elle est symbolisée par l'affichage d'un cadenas à gauche de l'adresse, et de "https://" au lieu de "http://" dans l'adresse. Figure 11: Mise en évidence d'une connexion SSL sur Google Chrome, Firefox, Safari et Internet Explorer 7 Evitez de réaliser vos commandes en ligne autre part que sur votre ordinateur personnel, et sur des réseaux de confiance. Préférez les géants de la vente en ligne aux e-boutiques sur des sites peu connus. Dans le cas de doute sur la légitimité d'un site commerçant, vérifiez si celui-ci vous permet de réaliser votre paiement par tiers de confiance tel que Paypal ou Google Checkout. Ces services permettant de relayer la transaction bancaire par leurs propres comptes, cela vous évite de taper votre numéro de carte et vous permet de bloquer l'utilisation de ce compte intermédiaire à tout moment sans avoir à changer de carte bancaire et supporter toutes les complications administratives que cela entrainerait. SRS Day Page 18

20 VII. TROMPER L'UTILISATEUR: PHISHING, PHARMING ET SCAMS 1. TECHNIQUE La technique la plus répandue pour tromper l'utilisateur est celle dite du phishing (ou hameçonnage). Cette pratique consiste à récupérer, d'une manière ou d'une autre des données personnelles (comme par exemple des données bancaires ou des mots de passe). Le plus souvent, il s'agit d'une escroquerie basée sur la contrefaçon d'un site internet : en se faisant passer pour un site de confiance (le site d'une banque, ou d'un commerçant), on pousse l'utilisateur à fournir les informations recherchées. Une autre approche, appelée pharming, consiste à rediriger l'internaute vers un site frauduleux à son insu : ainsi, on peut attirer la victime vers un site web présentant exactement le même aspect graphique qu'un site de confiance tout en gardant le même nom de domaine. Afin de bien comprendre le mode de fonctionnement du pharming, il est nécessaire de comprendre comment fonctionne la résolution DNS, c'est à dire de quelle manière un internaute accède à un serveur web en tapant sur adresse dans la barre d'url. Le DNS (Domain Name System) a été mis en place afin de faciliter l'accès aux ressources internet, en établissant une correspondance entre un nom de domaine et une adresse IP. Organisé en hiérarchie, le DNS est composé de domaines et sous-domaines qui contiennent des informations sur les serveurs qu'ils recensent. Ainsi, lorsqu'on entre une adresse internet, le nom de domaine est résolu en interrogeant successivement les domaines composant la hiérarchie. Figure 12: Résolution DNS de srs.epita.fr SRS Day Page 19

21 Les pirates disposent de plusieurs modes d'attaques, parmi lesquels : 1. La modification du cache DNS de l'internaute : en effet, afin d'accélérer les requêtes, la plupart des navigateurs web stockent les résolutions de noms de domaine dans un cache interne. Lorsqu'une requête similaire est renvoyée, le navigateur se contente de renvoyer l'ancienne réponse plutôt que de résoudre à nouveau le DNS. La vulnérabilité des ordinateurs personnels étant ce qu'elle est, il est souvent très facile de modifier ce cache, par un virus ou un cheval de Troie par exemple. 2. Afin de cibler un public plus large, il est possible d'attaquer directement les serveurs DNS des FAI, en y insérant un enregistrement falsifié. Plus difficile à mettre en œuvre, du fait de la protection accrue de ces serveurs, cette technique est très efficace : une fois l'enregistrement frauduleux enregistré, tous les abonnés du FAI concernés seront redirigés vers le site contrefait. 3. La technique la plus dangereuse consiste cette fois à attaquer directement le serveur DNS autoritaire du nom de domaine ciblé. Chaque internaute désirant accéder au site sera ainsi redirigé vers le site contrefait. Figure 13: Résolution DNS standard SRS Day Page 20

22 Figure 14: Résolution DNS avec un serveur compromis 2. PROTECTION Certaines mesures techniques destinées à la protection contre le phishing existent. Certaines peuvent être déployées par les éditeurs de sites web pour permettre à l'utilisateur de s'assurer qu'il est bien sûr le bon site, alors que d'autres peuvent être installées par l'utilisateur lui-même. Ainsi, il est possible pour les éditeurs de mettre en place des certificats signés numériquement par des autorités de confiance. L'apparition d'un symbole dans la plupart des navigateurs et la lecture des détails du certificat permettent à l'utilisateur de s'assurer qu'il est bien sur le bon site : en effet, même si le serveur DNS est compromis et l'utilisateur redirigé vers un site contrefait en apparence identique, le certificat sera invalidé et l'utilisateur saura immédiatement qu'il a été trompé. Figure 15: Alerte Internet Explorer SRS Day Page 21

23 De plus, de nombreux navigateurs internet proposent des outils de vérification d'url et référencent les sites considérés comme dangereux. La bonne configuration et l'utilisation de ces outils simples permettent de se prémunir contre de nombreuses tentatives de phishing. Par exemple, sous Internet Explorer 8, l'url est grisé et seul le nom de domaine est laissé en noir. La vérification de domaine est donc simplifiée. Figure 16: Avertissement de sécurité sous Firefox 3. SENSIBILISATION Bien que quelques mesures techniques existent, l'intervention de l'utilisateur est pratiquement indispensable pour assurer sa sécurité. Le meilleur moyen de se protéger contre le phishing est donc de sensibiliser la population afin de la rendre moins vulnérable à ces attaques. Plusieurs techniques sont ainsi enseignées, parmi lesquelles : La vérification d'url dans les mails : il est en effet très facile de cacher un lien sous un autre dans un mail «commercial». Ainsi, en cliquant sur un lien en apparence sûr et valide, une page frauduleuse est en fait chargée. Lecture critique : il est bien souvent facile de repérer un mail ou un site web frauduleux en ayant un œil critique sur sa forme. Les principaux symptômes sont des fautes orthographiques et/ou grammaticales grossières, des erreurs sur les accents (en raison de problèmes d'encodage), par exemple. Vérification de l'expéditeur : même s'il est facile de cacher un lien dans un mail, il est plus difficile de masquer la réelle identité de l'expéditeur. En vérifiant l'identité de celui-ci, et notamment le nom de domaine utilisé dans l'adress , on peut souvent s'apercevoir de la supercherie. SRS Day Page 22

24 Utilisation des logiciels de protection : Comme expliquées précédemment, des solutions techniques existent pour se protéger contre le phishing. Certains antivirus proposent également des vérifications systématiques des mails et pages internet, et des logiciels dédiés commencent à apparaître. Mais ces solutions sont inefficaces si les utilisateurs ignorent leurs existences, leurs fonctionnements, et leurs utilités. Le principal danger du phishing réside dans le manque de formation du public qu'il vise : l'adage «un homme averti en vaut deux» prend dans ce cas toute son ampleur : en sensibilisant la population, c'est-à-dire en lui présentant l'existence de cette méthode, les risques qui y sont liés et les techniques pour s'en protéger, elle perd une grande partie de sa dangerosité. Malheureusement, les internautes sont encore trop peu informés, et ne connaissant ni ne maîtrisant ces outils, sont des proies faciles et vulnérables pour les adeptes de l'escroquerie par hameçonnage. SRS Day Page 23

25 VIII. UNE ATTAQUE ATYPIQUE : PIRATAGE DU DAB Initialement prévue pour la Black Hat 2009, la présentation de Barnaby Jack intitulée : «Jackpotting Automated Teller Machines» fut repoussée sous ordre de Juniper. Juniper étant l'employeur de Barnaby en 2009, cette dernière a subi des pressions de la part des fabricants de DAB estimant qu'ils ne disposaient pas de suffisamment de temps pour corriger les failles avant leurs révélations au grand public. Cette conférence a finalement eu lieu lors de la Black Hat 2010 de Las Vegas après que Barnaby soit devenu directeur de la recherche en sécurité chez IOActive. Loin d'être une présentation visant à donner toutes les clefs pour pirater un distributeur de billets, Barnaby Jack tenait à attirer l'attention sur la faillibilité d'un système considéré comme sécurisé par le grand public. 1. REVERSE ENGINEERING SUR BORNE ATM Les bornes actuelles sont équipées de processeur ARM/XSCALE et fonctionnent avec Windows CE. Avant de pouvoir développer des Malwares pour distributeur, il est nécessaire d'avoir un accès administrateur sur la machine afin de pouvoir effectuer des actions de reverseengineering. Les DAB démarrent automatiquement sur une application propriétaire, ce qui ne laisse aucun moyen à l'utilisateur d'accéder au système de fichiers du distributeur ou de brancher un clavier directement sur la carte mère. Une des premières choses à faire est donc de trouver un moyen de rajouter l'explorateur Windows dans la liste de démarrage afin d'obtenir un accès direct au cœur du système d'exploitation. Le noyau Windows CE exécute FILESYS.exe au démarrage de la machine. FILESYS.exe va ensuite initialiser les registres et le système de fichiers, puis lancer les applications listées dans HKLM\Init. La solution à ce problème est le branchement d'une carte JTAG 1 sur la carte mère pour ensuite pouvoir injecter «explorer.exe». L'injection consiste à placer un Breakpoint sur la fonction CreateProcess() se trouvant dans l'espace d'adressage de FILESYS.EXE; puis de remplacer la chaine de caractères correspondant à l'exécutable initialement prévu, par la chaine de caractères «explorer.exe». Une fois la séquence de démarrage terminée, l'attaquant dispose de l'explorateur Windows et peut : - Brancher une clef USB ou un clavier - Récupérer n'importe quel fichier pour une analyse plus poussée - Créer un environnement de debug plus agréable pour tester le développement des malwares sur le distributeur. 1 La norme JTAG est utilisée pour remplacer les émulateurs de microprocesseurs (systèmes de debug sur carte remplaçant physiquement le composant), en donnant un accès direct à l'intérieur du processeur (points d'arrêt, lecture et écriture des registres internes, des mémoires internes et externes ) sans perturber ses interactions avec l'extérieur. SRS Day Page 24

26 Figure 17: Carte JTAG connectée à la carte mère 2. ATTAQUE MATERIELLE Il faut savoir que malgré les moyens de protection mis en place pour sécuriser l'argent lui-même (coffre blindé, cartouche de peinture explosive pour marquer les billets...), le manque de sécurité concernant l'accès à la carte mère est évident. Cette dernière est simplement protégée par une petite serrure de type Bezel. Barnaby précise qu'il est possible de récupérer un passe-partout pour ce type de serrure sur des sites de ventes en ligne comme ebay. Ce passe-partout permet d'avoir accès à la carte mère et d'y brancher une clef USB contenant les fichiers nécessaires à la corruption de la machine. Les distributeurs vérifient automatiquement la présence de firmware sur les périphériques externes et se mettent à jour automatiquement. Il est donc relativement simple pour un attaquant de créer un firmware personnalisé à partir de l'original et de remplacer celui de la borne ciblée. Ce type d'attaque est bien plus rapide que d'installer un dispositif de skimming. Lors de sa démonstration, Barnaby branche sa clef USB et referme le distributeur en moins de 10 secondes. Le firmware original est ensuite écrasé et le distributeur vide entièrement son coffre. Figure 18: Serrure de type Bezel SRS Day Page 25

27 3. ATTAQUE A DISTANCE Les distributeurs ATM autorisent l'administration de leurs systèmes à distance, ce qui permet à la maintenance de changer les fonds d'écran, de récupérer les statistiques du distributeur, mais aussi de mettre à jour le firmware. Il faut savoir que l'administration à distance est activée par défaut. Le premier programme présenté par Barnaby Jack se nomme Dillinger. Il exploite une vulnérabilité dans le système d'authentification de l'administration à distance. Cette attaque est efficace à 100% et permet d'accéder au distributeur branché sur un réseau local ou sur le réseau téléphonique. Dillinger permet l'administration d'un nombre illimité de distributeurs. Il vérifie la présence de la vulnérabilité dans le système d'authentification et peut ensuite : - Récupérer les informations du distributeur (nom du magasin, mot de passe administrateur, etc.) - Uploader un rootkit nommé Scrooge sur le distributeur - Récupérer les données des cartes de crédit - Déclencher le mode jackpot qui vide entièrement le distributeur. Scrooge est un rootkit développé spécialement pour les DAB fonctionnant avec un processeur ARM/XSCALE, il est invisible sur la machine et permet l'activation de menus cachés par pression d'une série de touches ou l'insertion d'une carte de crédit spéciale. Scrooge récupère aussi les données de toutes les pistes magnétiques des cartes insérées dans le lecteur ainsi que les codes pin correspondant. Ces informations sont ensuite accessibles via Dillinger. 4. MOYEN DE PROTECTION À la suite de cette présentation, Barnaby Jack conseille différents moyens de protection concernant les deux types d'attaques Pour l'attaque physique, il est évident qu'il faut renforcer la sécurité des serrures permettant l'accès a la carte mère et d'installer une serrure unique par distributeur afin de restreindre l'accès avec une clef passe-partout. Il est ensuite nécessaire d'implémenter les fonctionnalités «Trusted environment» de Windows CE pour pouvoir vérifier les signatures des exécutables au niveau du noyau afin de limiter l'exécution d'application tierce. Concernant l'attaque à distance, il serait bon de désactiver l'administration à distance dans un premier temps. Dans un deuxième temps, il est nécessaire de mettre en place des vérifications de code régulières et des batteries de tests de type Black-Box afin de surveiller le comportement des distributeurs lors d'une connexion à distance. SRS Day Page 26

28 IX. CARTES DE CREDIT NOUVELLES GENERATION : FORMAT EMV 1. INTRODUCTION EMV (Europay Mastercard Visa) est le protocole actuel de communication entre la carte bancaire et le terminal de paiement. Il succède au protocole B0 développé par BULL. À la différence de ce dernier, il est possible de modifier les données contenues sur la puce par la banque. Par exemple, il est possible de changer dynamiquement les montants maximums autorisés des transactions. Les raisons de la migration sont: - volonté d une plus grande sécurité (les coûts induits par les fraudes, lecteur ou terminal, étant pris en charge par les banques). - Volonté de normalisation des systèmes de paiements internationaux. 2. FONCTIONNEMENT GENERAL Le protocole EMV est assez similaire dans son fonctionnement au protocole B0 dans la mesure où il possède les trois mêmes phases : authentification de la carte, du porteur de la carte et autorisation de la transaction. Les spécifications de EMV sont basées sur la norme ISO/IEC 7816 et doivent être lues conjointement avec la norme ISO. Cependant, les définitions d EMV ne sont pas toutes identiques { celles d ISO. Dans ces cas, les définitions EMV prévalent. Ces spécifications doivent être suivies par les fabricants de terminaux de paiement, de carte bancaire, des systèmes de paiement et des institutions financières qui implantent des applications financières sur circuits intégrés. Lorsque l on insère une carte bancaire dans un terminal de paiement, celui-ci récupère le fichier 1PAY.SYS.DDF01 qui contient l ensemble des applications autorisées par la carte. C est ainsi qu une carte bancaire sans autorisation de découvert se voit systématiquement refusée de paiement au péage d une autoroute ou encore { la sortie d un parking même si le compte est suffisamment approvisionné. Une fois cette étape réalisée, le terminal sélectionne l application lui permettant de lire des valeurs de la carte pour procéder à son authentification. Le protocole EMV définit trois modes d authentification de la carte: - Static Data Authentication (SDA) Cette méthode d authentification de la carte consiste { vérifier une donnée signée mise dans carte lors de sa création. - Dynamic Data Authentication (DDA) En plus d une authentification statique, le terminal vérifie que la carte possède un secret fourni par la banque émettrice de la carte. - Combined Data Authentication (CDA) Ce système est une variante du DDA qui assure que la carte utilisée pour la transaction est la même que celle utilisée pour l authentification par le lecteur. SRS Day Page 27

29 Une fois l authentification de la carte faite, on procède comme avec le système B0 { l authentification du porteur grâce { un code PIN puis { l autorisation de la transaction auprès de la banque. 3. AUTHENTIFICATION a. STATIC DATA AUTHENTICATION (SDA) Personnification de la carte Pendant la phase de personnalisation, la carte reçoit les informations suivantes : - Le nom du porteur, le numéro de la carte, la date limite de validité qu on notera Informations - Une valeur d authentification notée VA qui n est autre que la signature RSA d informations générée avec la clé privée de l émetteur (VA = Sig E priv(information)) - Le certificat de l émetteur (E cert ) contenant sa clé publique signée par une autorité de certification - Le code PIN transmis au porteur de la carte. Authentification de la carte Pour authentifier la carte, le terminal récupère trois informations : le certificat Ecert de la banque émettrice, la valeur d authentification VA ainsi qu Informations. Il vérifie ensuite Ecert avec la clé publique de l autorité de certification CA pub et VA avec la clé publique de la banque émettrice. Le terminal demande alors le code PIN { l utilisateur et le transmet en clair { la carte. Limite de l authentification par SDA Le système d authentification SDA ne permet pas de se protéger du «yescarding» puisqu il est possible de faire valider une carte contrefaite par «rejeu». En effet, en interceptant les données envoyées par une carte originale, on peut créer de toutes pièces une carte contrefaite qui renverra ces mêmes données lors de la phase d authentification de la carte. Pour obtenir ces informations, il suffit de se prémunir d un lecteur de carte pour un coût d une dizaine d euros. On passera alors à la phase «authentification du porteur». Pour cette étape, il s agit de la carte qui répond elle-même si oui ou non le code entré est valide. Il suffira alors de créer une carte répondant oui pour n importe quel code dans laquelle on injectera les données obtenues avec un lecteur de carte et une carte originale pour obtenir une yescard. Cette faiblesse est la principale raison de l existence de l authentification DDA. b. DYNAMIC DATA AUTHENTICATION (DDA) Personnification de la carte Pendant la phase de personnalisation, la carte reçoit les informations suivantes: - Le nom du porteur, le numéro de la carte ou encore la date limite de validité de celle-ci (notés Informations). - Une paire de clés RSA (C pub, C priv ) - Un certificat (C cert ) contenant C pub signée par l émetteur SRS Day Page 28

30 - Le certificat de l émetteur (E cert ) contenant sa clé publique E pub signée par une autorité de certification, - le code PIN transmis au porteur de cette carte. Authentification de la carte L authentification s opère comme suit : 1. Le terminal demande à la carte de lui fournir le certificat E cert de la banque émettrice, et son certificat C cert. 2. Le terminal génère une valeur aléatoire T alea et l envoie { la carte. 3. La carte génère une valeur aléatoire C alea. 4. La carte signe T alea et C alea avec sa clé privée C priv et renvoie le résultat de la signature et C alea au terminal. 5. Le terminal vérifie E cert avec CA pub et vérifie C cert avec E pub. 6. Le terminal vérifie la signature des aléas avec C pub. Ensuite le terminal demande le code PIN { l utilisateur, mais contrairement { SDA, l envoie du code PIN à la carte pour vérification se fait de façon chiffrée. Protection face au yescarding Avec l authentification SDA, les données envoyées par la carte au terminal de paiement étaient toujours les mêmes. Aussi ils suffisait d obtenir une fois ces données et de les injecter dans une carte pour déjouer l authentification de la carte. Avec l authentification DDA, les données envoyées par la carte sont fonction d un nombre aléatoire choisi par le terminal. Par conséquent, on ne peut plus renvoyer les mêmes données pour s authentifier il faut être en mesure de les calculer. Pour calculer ces données, il est impératif de connaitre la clé privée de la banque émettrice. On ne peut donc plus déjouer l authentification de la carte qui a lieu avant de demander le code PIN de l utilisateur et donc fabriquer des yescards. Figure 19: Création d'une carte SDA à gauche et DDA à droite SRS Day Page 29

31 4. GESTION DES TRANSACTIONS La transaction est finalisée en ligne ou hors-ligne. Ce choix est fait selon une politique de gestion de risque soit par le terminal, soit par la carte. Par exemple, une carte bancaire n acceptant pas les découverts obligera à finaliser la transaction en ligne pour éviter de réaliser un achat qui ne pourrait être assuré. Parmi les différentes politiques qui définissent quand la transaction se fait en ligne on trouve : - Sélection aléatoire - Validation en ligne pour n validations hors ligne - En fonction du montant de la transaction - En fonction du montant cumulé des transactions déjà effectuées hors ligne - Un plancher fixé par le marchand. a. FONCTIONNEMENT HORS LIGNE ET EN LIGNE Pour la transaction, une clé secrète 3DES est utilisée. Celle-ci est unique pour chaque transaction. Elle est dérivée d un compteur incrémenté { chaque transaction et d une clé maitre contenue dans la carte, elle-même générée { partir d une clé maître de la banque et d information bancaire. Figure 20: Signature 3DES b. FONCTIONNEMENT HORS LIGNE UNIQUEMENT Le terminal envoie à la carte les détails de la transaction. Elle produit alors un certificat de transaction en signant { l aide de l algorithme DES CBC-MAC avec la clé généré (C trans ). Le terminal mémorise alors ce certificat de transaction pour validation ultérieure auprès de la banque. SRS Day Page 30

32 X. EMV RESTE FAILLIBLE: LE PIN AUTHENTICATION SPOOFING Mis en place depuis maintenant plus de 5 ans, le format EMV est désormais la règle en termes de carte de crédit. Pas seulement en France, mais dans toute l'europe et bientôt aux États-Unis. Amenées à la hâte sur le marché suite aux exploitations des faiblesses du format B0', les spécifications EMV étaient déjà très critiquées et déclarées obsolètes dès Pourtant, plus un framework qu'un réel format de carte bancaire, elles offrent un large choix de combinaison méthodes d'authentification et de chiffrement, ce qui pourrait faire penser à une grande évolutivité du modèle afin de contrer d'éventuelles failles découvertes. Il n'en est rien, en effet des chercheurs de l'université de Cambridge ont publié { l «IEEE Security and Privacy Symposium» de 2010 l'analyse d'une faille logique dans la méthode d'authentification de nos nouvelles cartes de crédit. 1. TECHNIQUE Lors d'une transaction classique, le client entre son code PIN dans le terminal de paiement, le terminal envoie le PIN à la carte afin qu'elle vérifie sa validité. La carte envoie le résultat au terminal, qui continue la transaction si le code PIN était le bon. Nous avons avant cela une authentification de la carte, faite de façon statique (offline) ou dynamique (en connexion avec la banque), et enfin à la fin de la transaction la production d'une signature. Le principe de l'attaque est un man-in-the-middle trompant la carte et le TP. On a besoin pour cela: 1. d'une carte légitime volée dont nous n'avons pas besoin de connaitre le code PIN 2. D'une carte à puce programmable vierge. Cette carte doit posséder de fins câbles intégrés dans la carte permettant de l'interfacer avec une puce FPGA. 3. D'une puce FPGA, permettant de piloter la carte factice et de faire interface entre la puce et l'ordinateur, relié à la puce par un port série 4. D'un ordinateur responsable du man-in-the-middle. Il suffit d un simple script en python renvoyant toutes les données reçues par la carte factice à la véritable carte à l'exception de la demande de code PIN auquel il répond directement 5. D'un lecteur de carte, permettant de communiquer avec la véritable carte bancaire Figure 21: Coeur du man-in-the-middle SRS Day Page 31

33 Figure 22: Matériel nécessaire au PIN spoofing Bien que tout cet attirail semble compliqué à cacher à un vendeur lors de la fraude, il n'en est rien. En effet, la présence du PC est la uniquement pour des raisons de confort, une puce FPGA programmée pour parser les données de la carte factice et répondre d'elle-même lors de la demande de code PIN serait tout à fait possible et réduirait considérablement la taille du dispositif, qui pourrait alors être intégralement caché dans la manche du fraudeur. Pire, connaissant les prouesses de miniaturisation réalisées par les skimmeurs dans les lecteurs de carte des distributeurs, on peut aisément imaginer une carte à puce programmable contenant un microcontrôleur se chargeant l'intégralité du mécanisme de man in the middle. Ce genre d'équipement a déjà été réalisé pour la création de cartes SIM se chargeant de débloquer votre téléphone. Figure 23: Détail du «Chip & PIN protocol» SRS Day Page 32

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking. Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking. Face à la recrudescence des actes de malveillance et des opérations frauduleuses liés à l utilisation d Internet,

Plus en détail

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Sécurisation des paiements en lignes et méthodes alternatives de paiement Comment sécuriser vos paiements en ligne? Entre 2010 et 2013, les chiffres démontrent que c est sur internet que la fraude à la carte bancaire a montré sa plus forte progression. Même si le taux de fraude

Plus en détail

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche?

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche? Présentation du problème La banque Boursorama propose un logiciel de protection supplémentaire pour les transactions sur Internet. Ce logiciel est téléchargeable à l adresse suivante : http://www.trusteer.com/webform/download-rapport

Plus en détail

Sécurité des cartes de paiement

Sécurité des cartes de paiement Sécurité des cartes de paiement Université de Montréal mars 2011 Nicolas Guay Directeur de pratique, Monétique Groupe GFI Solutions Au menu Le paiement par carte, les risques et objectifs de sécurité Carte

Plus en détail

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.fr KASPERSKY FRAUD PREVENTION 1. Techniques d attaque du système bancaire en ligne L'appât du gain constitue la principale motivation de la cyber-criminalité.

Plus en détail

Carte bancaire - 9 re flexes se curite

Carte bancaire - 9 re flexes se curite Carte bancaire - 9 re flexes se curite Attention : Même si l amélioration de la sécurité des paiements par carte est constante, un certain nombre de précautions s impose pour contribuer à éviter les fraudes

Plus en détail

www.lesclesdelabanque.com 9 RÉFLEXES SÉCURITÉ

www.lesclesdelabanque.com 9 RÉFLEXES SÉCURITÉ JUIN 2015 Guide élaboré avec CARTE BANCAIRE www.lesclesdelabanque.com Le site pédagogique sur la banque et l argent 9 RÉFLEXES SÉCURITÉ N 5 LES GUIDES SÉCURITÉ BANCAIRE Guide élaboré avec le Groupement

Plus en détail

BIEN PROTÉGER. Mes données bancaires et mes moyens de paiement

BIEN PROTÉGER. Mes données bancaires et mes moyens de paiement BIEN PROTÉGER Mes données bancaires et mes moyens de paiement 2 En matière bancaire comme dans tous les domaines, la sécurité et la vigilance sont primordiales. Des systèmes de protection sont mis en place

Plus en détail

GUIDE DE L'UTILISATEUR AVERTI

GUIDE DE L'UTILISATEUR AVERTI GUIDE DE L'UTILISATEUR AVERTI SOMMAIRE MAILS FRAUDULEUX FRAUDE A LA CARTE BANCAIRE ACHETER SUR INTERNET LES BON REFELEXES Ce que dit la loi 1/ Au titre de l'escroquerie Article L313-1 du Code Pénal «L

Plus en détail

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès )

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Sommaire 1. Protection de son matériel et de ses données Création d'un utilisateur avec mot de passe compliqué

Plus en détail

Antonio DA CUNHA. Caisse d Épargne Aquitaine Poitou Charente. CCI de Bordeaux Echangeur 28 janvier 2010 Vendre en ligne en toute sécurité.

Antonio DA CUNHA. Caisse d Épargne Aquitaine Poitou Charente. CCI de Bordeaux Echangeur 28 janvier 2010 Vendre en ligne en toute sécurité. Antonio DA CUNHA Caisse d Épargne Aquitaine Poitou Charente CCI de Bordeaux Echangeur 28 janvier 2010 Vendre en ligne en toute sécurité Bien comprendre Objectifs Le contexte technique d une transaction

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Atelier : Mail Threats Formateurs:

Plus en détail

VSC-TOOAL. Cible de Sécurité CSPN. 1 Identification du produit. Organisation éditrice. Nom commercial du produit. Numéro de la version évaluée 1.

VSC-TOOAL. Cible de Sécurité CSPN. 1 Identification du produit. Organisation éditrice. Nom commercial du produit. Numéro de la version évaluée 1. VSC-TOOAL 1.1 Cible de Sécurité CSPN 1 Identification du produit Organisation éditrice Lien vers l organisation Nom commercial du produit MEDISCS www.mediscs.com VSC-TOOAL Numéro de la version évaluée

Plus en détail

spam & phishing : comment les éviter?

spam & phishing : comment les éviter? spam & phishing : comment les éviter? Vos enfants et les e-mails en général Il est préférable que les très jeunes enfants partagent l adresse électronique de la famille plutôt que d avoir leur propre compte

Plus en détail

«Obad.a» : le malware Android le plus perfectionné à ce jour

«Obad.a» : le malware Android le plus perfectionné à ce jour «Obad.a» : le malware Android le plus perfectionné à ce jour Table des matières I. Le sujet de l article... 2 II. Réflexion sur les nouvelles menaces technologiques d aujourd hui... 2 A. Android, victime

Plus en détail

Sécuriser les achats en ligne par Carte d achat

Sécuriser les achats en ligne par Carte d achat Projet Sécurité Date : 09/02/09 Version : V 1.0 Etat : travail / vérifié / validé Rédacteur : JBO Réf. : CNRS/DSI/Expertise/ sécuriser la carte achat-v1.doc Annexes : Sécuriser les achats en ligne par

Plus en détail

Particuliers, la Banque de France vous informe

Particuliers, la Banque de France vous informe Particuliers, la Banque de France vous informe Identifiants bancaires : Être vigilant, c est important Être responsable VOTRE CARTE BANCAIRE Votre carte bancaire est strictement personnelle. Vous devez

Plus en détail

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE sommaire MIEUX COMPRENDRE LES CERTIFICATS SSL...1 SSL et certificats SSL : définition...1

Plus en détail

Les vols via les mobiles

Les vols via les mobiles 1 Les vols via les mobiles Android est le système d exploitation le plus populaire parmi les utilisateurs des appareils mobiles et malheureusement aussi parmi les cybercriminels puisque c est l OS le plus

Plus en détail

I INTRODUCTION II LE PHISHING

I INTRODUCTION II LE PHISHING I INTRODUCTION Ce premier chapitre a pour but de donner les différents concepts de base du monde du phishing ainsi que leurs définitions respectives. Nous commençons par les définitions. Le phishing, ou

Plus en détail

Comment votre PC peut-il être piraté sur Internet?

Comment votre PC peut-il être piraté sur Internet? Edited By BIANCHI Lorenzo A.C.S2013SERVICES INFORMATIQUE 2014 Comment votre PC peut-il être piraté sur Internet? Comment votre PC peut-il être piraté sur Internet? Toujours le fait de personnes malveillantes,

Plus en détail

Notions de sécurités en informatique

Notions de sécurités en informatique Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique

Plus en détail

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Guide de démarrage rapide

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Guide de démarrage rapide Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Guide de démarrage rapide ESET NOD32 Antivirus apport à votre ordinateur une excellente protection contre les codes malveillants. Fondé

Plus en détail

Trusteer Pour la prévention de la fraude bancaire en ligne

Trusteer Pour la prévention de la fraude bancaire en ligne Trusteer Pour la prévention de la fraude bancaire en ligne La solution de référence pour la prévention de la fraude bancaire en ligne Des centaines d institutions financières et des dizaines de millions

Plus en détail

Middleware eid v2.6 pour Windows

Middleware eid v2.6 pour Windows Manuel d'utilisation Middleware eid v2.6 page 1 de 19 Table des matières Introduction...3 Installation...4 Les éléments du logiciel eid...6 Module pour la zone de notification dans la barre des tâches...7

Plus en détail

Politique de gestion des mots de passe

Politique de gestion des mots de passe Centre de Ressources Informatique Politique de gestion des mots de passe Préparé pour: CRI Préparé par: Laurent PEQUIN 15 février 2010 15, avenue René Cassin 97474 Saint Denis Cedex 9 Réunion T 02 62 93

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guide de démarrage rapide

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guide de démarrage rapide Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guide de démarrage rapide ESET Smart Security apporte à votre ordinateur une excellente protection contre les codes malveillants. Fondé sur la technologie

Plus en détail

Banque en ligne et sécurité : remarques importantes

Banque en ligne et sécurité : remarques importantes Un système de sécurisation optimal Notre système de transactions en ligne vous permet d effectuer de manière rapide et confortable vos opérations bancaires en ligne. Pour en assurer la sécurité, nous avons

Plus en détail

Firewall : Pourquoi et comment?

Firewall : Pourquoi et comment? Firewall : Pourquoi et comment? En ai-je besoin? Internet, bien que très utile et pratique, est parsemé d'embuches. Parmi elles : les virus et les troyens. Un virus est un programme créé pour modifier

Plus en détail

Présentation générale

Présentation générale SHERLOCK S GESTION La Gestion de la caisse Présentation générale Version 01/2009 1/11 1-LES OUTILS DE GESTION DE CAISSE... 3 2-SHERLOCK S GESTION... 3 3-SHERLOCK S OFFICE SERVER... 4 4-LES OPÉRATIONS DE

Plus en détail

Particuliers, la Banque de France vous informe

Particuliers, la Banque de France vous informe Particuliers, la Banque de France vous informe Identifiants bancaires Être vigilant, c est important Être responsable VOTRE CARTE BANCAIRE Votre carte bancaire est strictement personnelle. Vous devez vérifier

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

Comment choisir une suite de sécurité?

Comment choisir une suite de sécurité? Comment choisir une suite de sécurité? Alors que les menaces sur le web sont toujours bien présentes, un antivirus ou une suite de sécurité peuvent vous aider à surfer ou échanger plus tranquillement.

Plus en détail

SOGEB@SE. Foire aux Questions

SOGEB@SE. Foire aux Questions SOGEB@SE Foire aux Questions Sommaire 1. Présentation... 4 Que pouvez-vous faire avec Sogeb@se?... 4 En tant que professionnel, pouvez-vous accéder à Sogeb@se?... 4 Comment souscrire à Sogeb@se?... 4 2.

Plus en détail

Projet Magistère: SSL

Projet Magistère: SSL Université Joseph Fourier, IMA Janvier 2010 Table des matières 1 Introduction 2 Qu est ce que SSL? 3 Historique de SSL/TLS 4 Théorie à propos du fonctionnement de SSL 5 Structure d un certificat 6 SSL

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle

Plus en détail

Présenté par : Mlle A.DIB

Présenté par : Mlle A.DIB Présenté par : Mlle A.DIB 2 3 Demeure populaire Prend plus d ampleur Combinée avec le phishing 4 Extirper des informations à des personnes sans qu'elles ne s'en rendent compte Technique rencontrée dans

Plus en détail

POUR MAC Guide de démarrage rapide. Cliquez ici pour télécharger la version la plus récente de ce document

POUR MAC Guide de démarrage rapide. Cliquez ici pour télécharger la version la plus récente de ce document POUR MAC Guide de démarrage rapide Cliquez ici pour télécharger la version la plus récente de ce document ESET Cyber Security apporte à votre ordinateur une excellente protection contre les codes malveillants.

Plus en détail

Les protocoles cryptographiques: comment sécuriser nos communications?

Les protocoles cryptographiques: comment sécuriser nos communications? Les protocoles cryptographiques: comment sécuriser nos communications? Stéphanie Delaune Chargée de recherche CNRS au LSV, INRIA projet SecSI & ENS Cachan 21 Mars 2014 S. Delaune (LSV Projet SecSI) Les

Plus en détail

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre HTTPS Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre Définition HTTPS (HyperText Transfer Protocol Secure) C'est

Plus en détail

Présentation générale

Présentation générale SHERLOCK'S Office Server Présentation générale Version 01/2009 1/8 1 OBJET DE SHERLOCK S OFFICE SERVER 3 2 PRÉ REQUIS TECHNIQUE 3 3 LA SÉCURITÉ DES ÉCHANGES ENTRE LE COMMERÇANT ET SHERLOCK S 4 4 LE FONCTIONNEMENT

Plus en détail

TEPZZ 579_99A_T EP 2 579 199 A1 (19) (11) EP 2 579 199 A1 (12) DEMANDE DE BREVET EUROPEEN

TEPZZ 579_99A_T EP 2 579 199 A1 (19) (11) EP 2 579 199 A1 (12) DEMANDE DE BREVET EUROPEEN (19) TEPZZ 79_99A_T (11) EP 2 79 199 A1 (12) DEMANDE DE BREVET EUROPEEN (43) Date de publication: 10.04.2013 Bulletin 2013/1 (21) Numéro de dépôt: 11306297.0 (1) Int Cl.: G06Q 20/32 (2012.01) G06Q 20/12

Plus en détail

Solution de déploiement de certificats à grande échelle. En savoir plus...

Solution de déploiement de certificats à grande échelle. En savoir plus... Solution de déploiement de certificats à grande échelle permet un déploiement des certificats numériques à grande échelle en toute sécurité sans avoir à fournir un support physique (token, carte à puce

Plus en détail

Démarrer avec la Toutou Linux

Démarrer avec la Toutou Linux Démarrer avec la Toutou Linux 1.Comment démarrer sur le CD de Toutou Linux? Pour pouvoir démarrer avec le CD Toutou Linux, suivez les étapes suivantes : Allumer votre ordinateur. Ne cherchez pas à insérer

Plus en détail

Google Chrome. La barre de favoris: Une petit barre (Ctrl+B) qui fait tout la largeur du navigateur juste en dessous de la barre de recherche.

Google Chrome. La barre de favoris: Une petit barre (Ctrl+B) qui fait tout la largeur du navigateur juste en dessous de la barre de recherche. Google Chrome Résumé rapide: Lien de téléchargement: http://www.google.fr/chrome La barre de favoris: Une petit barre (Ctrl+B) qui fait tout la largeur du navigateur juste en dessous de la barre de recherche.

Plus en détail

UIA - Enjeux européens et mondiaux de la protection des données personnelles 19-20 Septembre 2014

UIA - Enjeux européens et mondiaux de la protection des données personnelles 19-20 Septembre 2014 1. Sécurisation des paiements en ligne (via carte de paiement) Pourquoi parler de la sécurité des paiements en ligne, et plus particulièrement des paiements effectués via une carte de paiement sur internet,

Plus en détail

Sage CRM. 7.2 Guide de Portail Client

Sage CRM. 7.2 Guide de Portail Client Sage CRM 7.2 Guide de Portail Client Copyright 2013 Sage Technologies Limited, éditeur de ce produit. Tous droits réservés. Il est interdit de copier, photocopier, reproduire, traduire, copier sur microfilm,

Plus en détail

ESET NOD32 Antivirus 4 pour Linux Desktop. Guide de démarrage rapide

ESET NOD32 Antivirus 4 pour Linux Desktop. Guide de démarrage rapide ESET NOD32 Antivirus 4 pour Linux Desktop Guide de démarrage rapide ESET NOD32 Antivirus 4 assure une protection de pointe de votre ordinateur contre les codes malveillants. Basé sur le moteur d'analyse

Plus en détail

Coupez la ligne des courriels hameçons

Coupez la ligne des courriels hameçons Coupez la ligne des courriels hameçons Les fraudeurs qui cherchent à mettre la main sur des renseignements personnels ont élaboré un nouveau moyen d attirer des victimes sans méfiance. Ils lancent un «hameçon».

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

Sécurisation avancée des données de cartes bancaires Guide Hôtel v1.0 SECURISATION AVANCEE DES DONNEES BANCAIRES. Guide Hôtel

Sécurisation avancée des données de cartes bancaires Guide Hôtel v1.0 SECURISATION AVANCEE DES DONNEES BANCAIRES. Guide Hôtel SECURISATION AVANCEE DES DONNEES BANCAIRES Guide Hôtel Février 2011 1 Table des Matières 1. PRESENTATION GENERALE 2. PRESENTATION TECHNIQUE 3. GENERER VOTRE CODE D ACCES 4. CONSULTER LES COORDONNEES BANCAIRES

Plus en détail

Inconvénient les micro paiements (très faibles montants) ne sont pas toujours possibles.

Inconvénient les micro paiements (très faibles montants) ne sont pas toujours possibles. Payer sur Internet en toute sécurité On peut tout acheter dans l immense galerie marchande planétaire qu est Internet. 2 français sur 5 achètent désormais en ligne. Mais qu en est-il des moyens de paiement

Plus en détail

Evaluer les risques liés aux défauts de sécurité

Evaluer les risques liés aux défauts de sécurité C2I Métiers de la Santé SECURITE INFORMATIQUE Evaluer les risques liés aux défauts de sécurité Eric Boissinot Université François Rabelais Tours 13/02/2007 Pourquoi la sécurité? Le bon fonctionnement d

Plus en détail

Sécuriser le e-commerce avec la technologie XCA. «Une sécurité qui inspire la confiance»

Sécuriser le e-commerce avec la technologie XCA. «Une sécurité qui inspire la confiance» Sécuriser le e-commerce avec la technologie XCA Les enjeux du e-commerce mondial Dès 2006, la barre des 100 millions d acheteurs européens en ligne a été dépassée. Avec un montant moyen d achats de 1000

Plus en détail

Atelier 2. Étape 1 : Installation de Active Directory, installation du service DNS et installation du service WINS Durée approximative : 40 minutes

Atelier 2. Étape 1 : Installation de Active Directory, installation du service DNS et installation du service WINS Durée approximative : 40 minutes Atelier 2 Installation d Active Directory Installation du service DNS Installation du Service WINS Création d'un compte d'ordinateur Jonction d'un ordinateur à un domaine Création d usagers. Étape 1 :

Plus en détail

KeePass - Mise en œuvre et utilisation

KeePass - Mise en œuvre et utilisation www.rakforgeron.fr 08/04/2015 KeePass - Mise en œuvre et utilisation L'usage de mots de passe est nécessaire pour de nombreux accès ou pour la protection de données personnelles. Il convient d'en utiliser

Plus en détail

Applications de la cryptographie à clé publique

Applications de la cryptographie à clé publique pplications de la cryptographie à clé publique Crypter un message M revient à appliquer à celui-ci une fonction bijective f de sorte de former le message chiffré M = f ( M ). Déchiffrer ce dernier consiste

Plus en détail

JetClouding Installation

JetClouding Installation JetClouding Installation Lancez le programme Setup JetClouding.exe et suivez les étapes d installation : Cliquez sur «J accepte le contrat de licence» puis sur continuer. Un message apparait and vous demande

Plus en détail

Quelles sont les menaces contre le poste de travail informatisé et comment s en prémunir?

Quelles sont les menaces contre le poste de travail informatisé et comment s en prémunir? Quelles sont les menaces contre le poste de travail informatisé et comment s en prémunir? Michel Futtersack, Faculté de Droit, Université Paris Descartes, Sorbonne Paris Cité Tout système informatique

Plus en détail

LCL LE CREDIT LYONNAIS

LCL LE CREDIT LYONNAIS LCL LE CREDIT LYONNAIS Guide utilisateur pour l'installation du certificat «CA LCL Certificat RGS» Bienvenue dans le Guide utilisateur pour l'installation du certificat «CA LCL Certificat RGS». Nous vous

Plus en détail

(Third-Man Attack) PASCAL BONHEUR PASCAL BONHEUR@YAHOO.FR 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

(Third-Man Attack) PASCAL BONHEUR PASCAL BONHEUR@YAHOO.FR 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS Détournement de serveur DNS (Third-Man Attack) PASCAL BONHEUR PASCAL BONHEUR@YAHOO.FR 4/07/2001 Introduction Ce document traite de la possibilité d exploiter le serveur DNS pour pirater certains sites

Plus en détail

Sensibilisation à la sécurité

Sensibilisation à la sécurité Sensibilisation à la sécurité informatique Sébastien Delcroix Copyright CRI74 GNU Free Documentation License 1 Attentes de son système Disponibilité d'information Intégrité de ses données

Plus en détail

Initiation à la sécurité avec Malwarebytes 1/ 6. Installation. Télécharger Malwarebytes anti-malware

Initiation à la sécurité avec Malwarebytes 1/ 6. Installation. Télécharger Malwarebytes anti-malware Initiation à la sécurité avec Malwarebytes 1/ 6 Malwarebytes Anti-malware est un logiciel anti-spywares proposé par le même éditeur que le logiciel RogueRemover qui aujourd'hui n'existe plus et est inclu

Plus en détail

La payement par Carte Bancaire sur Internet

La payement par Carte Bancaire sur Internet Une documentation Côtière Informatique Mise à jour du 06/11/2012 Sommaire : La payement par Carte Bancaire sur Internet 1) Préambule page 1 2) Historique page 1 3) Une situation actuelle anormale page

Plus en détail

PC Check & Tuning 2010 Optimisez et accélérez rapidement et simplement les performances de votre PC!

PC Check & Tuning 2010 Optimisez et accélérez rapidement et simplement les performances de votre PC! PC Check & Tuning 2010 Optimisez et accélérez rapidement et simplement les performances de votre PC! MAGIX PC Check & Tuning 2010 est la solution logicielle complète pour l'analyse, la maintenance et l'accélération

Plus en détail

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guide de démarrage rapide

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guide de démarrage rapide Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guide de démarrage rapide ESET Smart Security assure une protection de pointe de votre ordinateur contre les codes malveillants. Basé sur le moteur

Plus en détail

L affaire. Humpich et juridique de la carte bancaire

L affaire. Humpich et juridique de la carte bancaire L affaire Humpich et le régime r juridique de la carte bancaire Introduction Introduction Le mode de paiement privilégi gié des Français ais Introduction 6 milliards de transactions en 2004 en France Plan

Plus en détail

ESET SMART SECURITY 7

ESET SMART SECURITY 7 ESET SMART SECURITY 7 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guide de démarrage rapide Cliquez ici pour télécharger la dernière version de ce document. ESET Smart

Plus en détail

Glossaire. Acces Denied

Glossaire. Acces Denied Glossaire Acces Denied Littéralement, Accès refusé. Procédure en vigueur sur les espaces de discussion et permettant aux administrateurs d'interdire l'accès à une personne, en général repérée par son adresse

Plus en détail

Paiements, les paiements échelonnés, le calcul des intérêts et la facturation mensuelle

Paiements, les paiements échelonnés, le calcul des intérêts et la facturation mensuelle Questions & réponses fréquentes Questions générales La Cumulus-MasterCard est gratuite: Qu est-ce que cela signifie exactement? Où puis-je collecter des points Cumulus dans le monde avec ma Cumulus-MasterCard?

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

Détecter et supprimer les logiciels espions

Détecter et supprimer les logiciels espions Détecter et supprimer les logiciels espions Détecter et supprimer les logiciels espions Le problème des logiciels espions Non-respect de la vie privée Comportement agressif Failles de sécurité Eviter les

Plus en détail

V.P.N. ou un ordinateur et un réseau de l'ufc, de façon confidentielle, et ceci en utilisant le média d'internet.

V.P.N. ou un ordinateur et un réseau de l'ufc, de façon confidentielle, et ceci en utilisant le média d'internet. V.P.N. Table des matières V.P.N...1 Royaume : «realm»...2 Qui fait une demande de «realm»?...2 Quels sont les «realms» actifs?...2 Obtenir un certificat, des droits...3 Rencontrer son correspondant réseau/wifi...3

Plus en détail

PAYBOX MANUEL UTILISATEUR BACK-OFFICE COMMERÇANT VENTE A DISTANCE

PAYBOX MANUEL UTILISATEUR BACK-OFFICE COMMERÇANT VENTE A DISTANCE PAYBOX MANUEL UTILISATEUR BACK-OFFICE COMMERÇANT VENTE A DISTANCE VERSION 1.4 01/06/2014 AVERTISSEMENT Ce document est la propriété exclusive de Paybox/Point Transaction Systems. Toute reproduction intégrale

Plus en détail

RSA ADAPTIVE AUTHENTICATION

RSA ADAPTIVE AUTHENTICATION RSA ADAPTIVE AUTHENTICATION Plate-forme complète d authentification et de détection des fraudes D UN COUP D ŒIL Mesure du risque associé aux activités de connexion et de postconnexion via l évaluation

Plus en détail

Achats en ligne - 10 re flexes se curite

Achats en ligne - 10 re flexes se curite Achats en ligne - 10 re flexes se curite Attention : Donner ses coordonnées de compte bancaire sans vérification vous expose à des risques. Soyez vigilant! 1. Je vérifie que le site du commerçant est sûr

Plus en détail

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique Document technique : Guide d'initiation aux certificats ssl Document technique Guide d'initiation aux certificats SSL Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en

Plus en détail

Fiche conseils sur la cybersécurité destinée aux consommateurs Navigation sécuritaire

Fiche conseils sur la cybersécurité destinée aux consommateurs Navigation sécuritaire Fiche conseils sur la cybersécurité destinée aux consommateurs Navigation sécuritaire Visiter des sites Web est l activité la plus élémentaire sur Internet. Ce faisant, selon qu'on soit prudent et bien

Plus en détail

Guide de l'utilisateur d'avigilon Control Center Gateway. Version 5.6

Guide de l'utilisateur d'avigilon Control Center Gateway. Version 5.6 Guide de l'utilisateur d'avigilon Control Center Gateway Version 5.6 2006-2015 Avigilon Corporation. Tous droits réservés. Sauf stipulation expresse écrite à cet effet, aucune licence n'est octroyée vis-à-vis

Plus en détail

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI Chapitre 2 Vulnérabilités protocolaires et attaques réseaux 1 Définitions Vulnérabilité: Défaut ou faiblesse d un système dans sa conception, sa mise en œuvre ou son contrôle interne pouvant mener à une

Plus en détail

BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE

BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE VIRUS SPAM PHISH NG INTERNET WIFI Les risques informatiques aujourd hui L environnement de la cybercriminalité est toujours en forte progression

Plus en détail

Certificats «CREDIT LYONNAIS Authentys Entreprise» Manuel utilisateur du support cryptographique

Certificats «CREDIT LYONNAIS Authentys Entreprise» Manuel utilisateur du support cryptographique Certificats «CREDIT LYONNAIS Authentys Entreprise» Manuel utilisateur du support cryptographique Page 2 sur 21 1 INTRODUCTION Pour toute question complémentaire ou demande d information : pour les clients

Plus en détail

Table des matières 18/12/2009 10:13:21

Table des matières 18/12/2009 10:13:21 V.P.N. sous Win XP Table des matières V.P.N. sous Win XP...1 Introduction aux Réseaux Privés Virtuels...1 Royaume : «realm»...3 Qui fait une demande de «realm»?...3 Quels sont les «realms» actifs?...3

Plus en détail

Déjouer la fraude aux «faux» virements. MEDEF Lyon Rhône Mardi 28 avril 2015

Déjouer la fraude aux «faux» virements. MEDEF Lyon Rhône Mardi 28 avril 2015 Déjouer la fraude aux «faux» virements MEDEF Lyon Rhône Mardi 28 avril 2015 Typologie de la fraude sur les moyens de paiements Source BDF Données fraude sur les moyens de paiements en France Source BDF

Plus en détail

Secure Socket Layer (SSL) Appareils concernés : Sommaire 1: Généralités

Secure Socket Layer (SSL) Appareils concernés : Sommaire 1: Généralités Secure Socket Layer (SSL) Appareils concernés : HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Sommaire 1) Généralités 2) Bref historique 3) Avantage de l utilisation de

Plus en détail

[ Sécurisation des canaux de communication

[ Sécurisation des canaux de communication 2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies

Plus en détail

Informations Sécurité

Informations Sécurité Bonnes pratiques Informations Sécurité La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour protéger vos ordinateurs et vos intérêts dans l usage des moyens informatiques,

Plus en détail

Architecture de join.me

Architecture de join.me Présentation technique de l architecture sécurisée et fiable de join.me 1 Introduction 2 Présentation de l architecture 3 Sécurité des données 4 Sécurité des sessions et du site web 5 Présentation de l

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

Liste de contrôle pour: «e-banking en toute sécurité» Les points qui suivent sont expliqués pas à pas aux pages suivantes.

Liste de contrôle pour: «e-banking en toute sécurité» Les points qui suivent sont expliqués pas à pas aux pages suivantes. e-banking en toute sécurité (lliiste de contrôlle et iinstructiions) documentt ttél lécharrgeabl le sous:: www..mel lani..admi in..ch Version 1.0 14.04.2005 Liste de contrôle pour: «e-banking en toute

Plus en détail

TD n o 8 - Domain Name System (DNS)

TD n o 8 - Domain Name System (DNS) IUT Montpellier - Architecture (DU) V. Poupet TD n o 8 - Domain Name System (DNS) Dans ce TD nous allons nous intéresser au fonctionnement du Domain Name System (DNS), puis pour illustrer son fonctionnement,

Plus en détail

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale

Plus en détail

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif C TLS Objectif Cette annexe présente les notions de cryptage asymétrique, de certificats et de signatures électroniques, et décrit brièvement les protocoles SSL (Secure Sockets Layer) et TLS (Transport

Plus en détail

Conseil économique et social

Conseil économique et social NATIONS UNIES E Conseil économique et social Distr. GÉNÉRALE ECE/TRANS/WP.30/AC.2/2008/2 21 novembre 2007 FRANÇAIS Original: ANGLAIS COMMISSION ÉCONOMIQUE POUR L EUROPE Comité de gestion de la Convention

Plus en détail