Re: SSL fiabilité

Page principale

Répondre à ce message
Auteur: Yves Martin
Date:  
À: guilde
Sujet: Re: SSL fiabilité
En réponse à Olivier_Allard-Jacquin@???:

>
>
>       C'est pour accéder à un site de type compte banquaire, non ?
>       Du moment que la trame https aura été "cassée", le login et le
> password devront
> apparaître en clair, et l'on pourra accéder aux informations à ta place



>       40 bits, c'est quand même leger pour du https ... Mais comme le
> dit Patrice, si l'information
> n'est pertinente que pendant une durée inferieur à celle nécéssaire à
> casser la protection, une
> telle encodage est suffisant ...


  C'est pour cette raison que le groupement 'Carte-Bleu' va bien fournir
  le service de "carte VISA de session", carte virtuelle à usage unique
  dont vous donnez les coordonnées à un site marchand.
    [insérer le logo "Vu à la TV" - au JT TF1 ]
  Cette carte de session est bien sûr négociée entre votre navigateur
  (ou une application client propriétaire comme j'ai cru le voir
   - aïe, évidemment cela ne fonctionnera pas sous Linux)
  et le serveur du groupement CB.


  Le but est avoué:
  - faire disparaître les réticenses des utilisateurs français vis-à-vis
    des achats en ligne
    (à cause des histoires de vol des données d'identité banquaire ici ou là)


Mais voilà, comment faire confiance au serveur tiers (CB) plus qu'à
n'importe quel site marchand ?
En effet, le problème reste poser dans le sens où écouter et casser les
connexions des clients avec le serveur CB permet ensuite de se créer une
carte virtuelle qui débitera sur le compte de la personne "cassée".

Une solution surement, bien plus coûteuse:
éviter tout échange d'information en utilisant un générateur local
non connecté (exemple: carte SecurID).
Mais là, on aboutit au problème de l'accès au matériel,
qui implique nécessairement perte ou effraction
donc autrement pris en compte au niveau pénal.

  Exemple de eBanking (en Suisse), tout en https:
  - login (généré) + password (6 à 8 alpha)
     [invalidation du login après 3 échecs de mot de passe]
  - défi: saisir le code à 4 chiffres correspondant à la case demandée
    dans une grille A-I, 0-9 (81 combinaisons)
     [idem invalidation si 3 échecs]
  - la grille est renouvellée tous les ans par envoi postal
  (ensuite le site permet de TOUT faire, jusqu'au virement à l'étranger)


J'ai confiance dans ce système car il ne repose pas uniquement sur
le cryptage https. Je crois (pas sur) que le serveur ne demandera
jamais deux fois la même case de la grille, donc un "intercepteur" ne
pourra pas profiter des informations déjà échangées.
[A moins de voler la grille ou d'intercepter le courrier de
renouvellement de la grille]

Cette expérience m'a convaincu que les sites français que j'utilise
ne sont pas assez sécurisés, surtout pour faire du 'eBanking'.

--
Yves Martin