Nos Partenaires

Auteur Sujet: Trip improvement  (Lu 20524 fois)

06 octobre 2016 à 09:34:18
Réponse #25

Troll


Hello,

Il a fait une sorte de cage de Faraday.

Quand tu dis qu'il a testé : il a trouvé l'appli sur son téléphone et a essayé ainsi ? Il a voulu faire un paiement sans contact avec la carte dans l'étui ?

En tout cas intéressant retour.

Bien cordialement,

Troll
Semper potest proficio

06 octobre 2016 à 09:55:16
Réponse #26

Frax


Concernant la possibilité de désactiver l'option sans contact, je peux témoigner qu'un simple coup de fil auprès de ma banque avait suffit. D'après ce que j'ai compris, il s'agissait d'une simple manipulation informatique réalisée à distance (l'info date d'environ un an et demi). Le tout était gratuit.
Avoir une carte estampillée sans contact sans qu'il fonctionne pour autant est une expérience sociale subtilement intéressante, surtout en ville. Je me demande quand cette "avancée" technologique ne sera plus une option..

Concernant la possibilité de vol, au moment où j'avais reçu ma carte, j'avais entendu dire qu'un appareil de lecture de carte à distance coutait environ 30/50€ sur le net et pouvait lire les infos de la puce à 1m ou 2. J'avoue que je n'ai pas vérifié car l'info semblait se recouper avec celle que j'avais lue dans l'intéressant livre Sous l'oeil des puces: la RFID et la démocratie de Michel Alberganti. De mémoire, l'auteur y fait mention d'un test de piratage à distance de passeports biométriques qui avait l'air relativement accessible pour un geek intéressé. Bref, autant couper physiquement la possibilité de lecture.


 

06 octobre 2016 à 10:12:31
Réponse #27

Patapon


Yo,

Je n'ai pas encore reçu l'étui commercial.

Pour ce qui est du test avec l'emballage anti-electrostatique, ça ne fonctionne pas. Par ailleurs, j'ai testé avec un étui à carte de visites en féraille et lui bloque bien :)

Enfin, concernant les test NFC, il n'y a qu'un moyen: un lecteur usb ou un tel portable. Tester si le paiement sans contact fonctionne dans un commerce ne prouvera pas que les données sont accessibles ou non; juste que l'option est active ou pas....

Tcho

Hugo
« Modifié: 06 octobre 2016 à 10:21:04 par Hurgoz »
"Prenez soin de la méthode avec laquelle vous vous mettez des choses dans le crâne."

06 octobre 2016 à 10:21:07
Réponse #28

Troll


Hello,

As-tu acheté un étui spécifique ? Exemple, ceux proposés par Protegor ?

Bien à cordialement,

Pierre-Michel
Semper potest proficio

06 octobre 2016 à 10:44:35
Réponse #29

Tompouss


Dans mon cas la nouvelle carte que je vais avoir a été commandée le jour même de l'opposition et avec le chip RFID. Ma banque m'envoie par contre gratuitement un étui anti-RFID (pour ceux qui veulent un étui demandez à votre banque avant d'acheter) et si encore non satisfait ils me fourniront une carte sans le CHIP.

Autre truc intéressant, ils m'ont proposé un service de carte à usage unique pour les commandes sur le net, pour éviter de se faire voler ses infos de CB. J'attend d'avoir la doc mais ça peut être pertinent. Par contre c'est payant mais 7e/an ça reste raisonnable.
Everybody swears that they are solid, but ice is solid too... until you put some heat on it.

06 octobre 2016 à 11:03:05
Réponse #30

spica


Vu que je travaille dans le domaine mobile et bancaire depuis quelque mois, je me permets d'ajouter mon grain de sel, en particulier par rapport à tes posts Tompouss.

Et puis un crypto c'est trois chiffre, à mon avis un mec un peu doué peut faire tester toutes les combinaisons avec un BOT sans trop d'efforts...

Faux : au bout de quelques essais erronés, la carte est bloquée, comme quand tu te trompes plusieurs fois en tapant ton pin pour un paiement ou un retrait. Du coup, tester toutes les combinaisons est impossible.

Autre truc intéressant, ils m'ont proposé un service de carte à usage unique pour les commandes sur le net, pour éviter de se faire voler ses infos de CB. J'attend d'avoir la doc mais ça peut être pertinent. Par contre c'est payant mais 7e/an ça reste raisonnable.

Le service de e-carte bleue, c'est en fait une moyenne bonne idée. En théorie, ça évite effectivement de se faire piquer les informations de sa carte bancaire lors d'un achat : même si ça arrive, c'est à usage unique, le pirate (ou le commerçant véreux) ne pourra pas faire de nouveau paiement en plus du tien. Par contre, dans la pratique, le service en question a ouvert la voie à de nombreuses fraudes parce que pour accéder au service, il faut un simple couple login/mot de passe. Du coup, les pirates arrivaient facilement à se procurer les identifiants d'utilisateurs légitimes (phishing classique ou autre technique) et à générer des numéros de cartes bancaires valides associés aux comptes des clients. Donc on a bien verrouillé une porte, mais on a ouvert une fenêtre ailleurs. Donc je ne dis pas de ne pas utiliser le service, mais il faut être conscient de la nature réelle du risque (dans la pratique, au final, si tu as déjà les "bonnes habitudes" et la prudence de ne pas taper tes données bancaires n'importe où, tu es déjà autant en sécurité).

Enfin concernant le fait de faire désactiver l'option NFC par votre banque, comme dit Hurgoz, il ne faut pas se contenter d'essayer de faire un paiement en NFC pour vérifier ça. Il se peut que la banque ne désactive l'option que dans son système informatique, ce qui fait que le paiement sera refusé, mais que la carte sera toujours prête à divulguer les infos à qui les lui demande. Mais je n'ai pas de garantie sur ce que fait chaque banque. J'ai fait le test avec la carte d'une collègue qui avait demandé à la banque de désactiver le NFC de sa carte, et malgré le logo NFC affiché dessus, sa carte était bien muette lorsqu'on essayait de la scanner, donc la banque avait bien fait le boulot. Bref à vérifier par chacun. Y'a plein de petites apps sur le Play Store, pour ceux qui ont un téléphone sous Android qui supporte le paiement NFC, qui permettent de tester la lecture d'une carte. Voilà un exemple que j'ai déjà utilisé pour essayer (avant de coder mes propres applis de test) : https://play.google.com/store/apps/details?id=com.github.devnied.emvnfccard

06 octobre 2016 à 11:07:34
Réponse #31

Troll


Hello,

Est-ce que de telles applis existent sur Windows phone ? (on ne se moque pas  ;#)

niveau téléphone je suis un peu palmé (pc ça va encore ^^). Est-ce que cela fonctionne ?

Bien à vous,

Troll
Semper potest proficio

06 octobre 2016 à 11:31:23
Réponse #32

Tumiza



Encore plus simple: une lampe forte pour localiser l'antenne, un petit trou avec une epingle, et Hop! puce RFID désactivée.
il y a plein de didacticiel sur youtube ;)
BAVU ba pris

06 octobre 2016 à 11:39:45
Réponse #33

Tompouss


Merci pour l'intervention Spica, je savais pas qu'on pouvait bloquer avec le mauvais cryptogramme j'ai appris un truc  :up:

Merci aussi pour ton retour sur l'e-carte bleue, j'attendais la doc pour voir un peu comment ça fonctionne, du coup c'est vrai que ça ne paraît pas si safe. Bon le couple login/mdp c'est déjà aussi pour sa consultation et actions en ligne sur le compte, si possibilité de les choisir soi même en mettant truc robuste la seule problématique qui reste c'est celle du phishing non ?

J'avais rebalayé mes utilisations de cette CB pour paiement en ligne et elle ne m'a servi que trois fois sur coutellerie tourangelle, azimut nature et boulanger donc des sites de confiance. Je suis donc quasi certain de m'être fait sniffer mes infos via le RFID.
Everybody swears that they are solid, but ice is solid too... until you put some heat on it.

06 octobre 2016 à 13:23:30
Réponse #34

Patapon


Yo,

Merci aussi pour ton retour sur l'e-carte bleue, j'attendais la doc pour voir un peu comment ça fonctionne, du coup c'est vrai que ça ne paraît pas si safe. Bon le couple login/mdp c'est déjà aussi pour sa consultation et actions en ligne sur le compte, si possibilité de les choisir soi même en mettant truc robuste la seule problématique qui reste c'est celle du phishing non ?

Nan, pas que: le bon vieux keylogger des familles marche toujours ^^ Sinon il y a aussi les distributeurs trafiqués, les salopards qui bossent au guichets des boutiques qui reprennent les infos, les lecteurs de bande à l'étranger, les vols de portefeuilles.....et je crois que c'est tout ^^

Citer
J'avais rebalayé mes utilisations de cette CB pour paiement en ligne et elle ne m'a servi que trois fois sur coutellerie tourangelle, azimut nature et boulanger donc des sites de confiance. Je suis donc quasi certain de m'être fait sniffer mes infos via le RFID.

Et tu oublis récemment Microsoft  :closedeyes:  :lol: :lol: :lol:

Tcho

Hugo
"Prenez soin de la méthode avec laquelle vous vous mettez des choses dans le crâne."

06 octobre 2016 à 13:55:22
Réponse #35

Tompouss


Et tu oublis récemment Microsoft  :closedeyes:  :lol: :lol: :lol:

Salopiaud  :lol: entre cette histoire et mon Wiggy's j'ai pas fini de prendre cher, heureusement que j'ai pas de Mora 2000  ;#
Everybody swears that they are solid, but ice is solid too... until you put some heat on it.

06 octobre 2016 à 16:23:35
Réponse #36

Draven


Salopiaud  :lol: entre cette histoire et mon Wiggy's j'ai pas fini de prendre cher, heureusement que j'ai pas de Mora 2000  ;#

Et heureusement que tu n'as pas les même raquettes qu'Hurgoz !
Version humaine de l'Ursus arctos middendorffi
FlickR

06 octobre 2016 à 16:34:43
Réponse #37

spica


Non mais t'as un Ultimate Survival BG, donc je sais pas si c'est mieux...

Après Hurgoz' a répondu pour les vecteurs de vol d'identifiants (enfin tout ce qu'il a mis après keylogger, c'est plutôt pour voler les infos de ta CB, pas des identifiants). Le phishing me semble être le plus probable/répandu, mais certains virus/trojan font du keylogging et peuvent te piquer tes identifiants comme ça, donc c'est pas aussi rare que ça. Bref quelqu'un qui a déjà une bonne perception des risques et qui prend les précautions recommandées classiquement évite déjà beaucoup de risques vis-à-vis du vol d'identifiants.

Après, il me semble que pour l'utilisation de ta CB, il y a d'autres possibilités que le NFC. Cf. la liste d'Hurgoz. Au final, tout ce dont ils ont besoin, c'est de voir une face de la carte (voire les deux, et c'est jackpot). Donc en planquant une petite caméra dans un distributeur, une borne de paiement automatique (station service...) ou ailleurs, ils peuvent facilement enregistrer l'image de la carte. Imagine même quelqu'un avec des Google glass (ok, y'en a pas beaucoup et le projet a fait un flop, mais ça montre que c'est réalisable en pratique) pas loin de toi quand tu règles tes achats au supermarché : s'il arrive à jeter un oeil discrètement en direction de ta carte, il suffit qu'il regarde la vidéo tranquillement sur son pc plus tard pour trouver l'image où on voit le mieux ta carte, qu'il zoome bien pour lire les chiffres et hop, il commande chez Microsoft. Ou pour le commerçant véreux, il peut avoir mis une petite caméra au-dessus du comptoir tout ce qui se passe en-dessous. Et il lui suffit d'un petit geste discret pour exposer les deux faces de ta carte à la caméra au-dessus de lui. Combien de commerçants te prennent la carte des mains pour la mettre eux-mêmes dans leur terminal de paiement ?

En enfin aussi il y a aussi le cas où personne ne t'a en réalité piqué ta carte. Ils l'ont eu par hasard. En fait, les numéros de carte répondent à certaines règles mathématiques, et si un pirate ne peut pas deviner le numéro de carte d'une personne, ils peuvent par contre générer pleins de numéros de manière plus ou moins aléatoire qui respectent certaines des règles de vérification. Et suivant les vérifications faites derrière, ça peut passer plus ou moins facilement quand ils l'utilisent (en plus, comme Hurgoz' l'a souligné, le cryptogramme visuel n'est pas exigé partout), et il se peut parfois qu'ils tombent sur des vrais numéros de clients.

Bref on s'imagine que les contrôles bancaires sont difficiles à contourner, et c'est le cas tant qu'on reste au niveau purement informatique. Mais ajoute le maillon humain et t'as plein de petites failles qui apparaissent d'un coup parce que c'est toujours le plus facilement exploitable.

PS : mais moi aussi j'en ai un, donc je devrais pas me moquer ;-)

06 octobre 2016 à 18:48:18
Réponse #38

Tompouss


Il est bien mon BG depuis que j'ai reprofilé le tranchant c'est un sabre laser, juste cette partie à serrations de m*rde là  et cet étui lourd merdique avec son affûteur useless ::)

Le crypto je le grave dans ma mémoire et je le gratte dès réception de la carte en générale  :) en tout cas j'aurai appris plein de choses grâce à cette mésaventure c'est au moins ça de pris
Everybody swears that they are solid, but ice is solid too... until you put some heat on it.

06 octobre 2016 à 20:33:50
Réponse #39

Patapon


Non mais t'as un Ultimate Survival BG, donc je sais pas si c'est mieux...

Ah.....je ne me souvenais pas de se détail.... ;# (note qu'en plus des pb de Wiggy's de BG Ultimate, et de Microsoft, il y a aussi les problème de geek vegan et gluten free......  ;# ;# :lol:

Citer
Bref on s'imagine que les contrôles bancaires sont difficiles à contourner, et c'est le cas tant qu'on reste au niveau purement informatique. Mais ajoute le maillon humain et t'as plein de petites failles qui apparaissent d'un coup parce que c'est toujours le plus facilement exploitable.

L'humain c'est pas le maillon faible. Le penser c'est oublier que tout ce bordel doit servir l'humain et pas n'être utilisé que par des humains compatibles. C'est toute cette stratégie là qui est à l'origine des emmerdes: un système de protection n'est JAMAIS fiable à 100%....et quand on touche les 70% on est pas mal....

Tcho

Hugo
"Prenez soin de la méthode avec laquelle vous vous mettez des choses dans le crâne."

06 octobre 2016 à 23:18:30
Réponse #40

Panz


En lisant tes mésaventures en sans contact, j'ai tout de suite pensé à cramer la puce avec un Zapper RFID maison
(en gros, un bobine et un condo... Appareil photo jetable avec un peu de cuivre qui pendouille du flash...  ;# ;#)
A la réflexion, je pense que, si ça reste une piste à creuser, le zapper pourrait cramer ta CB complète non ? (Avis aux spécialistes... )

Panz
"Les cons ça ose tout c'est même a ça qu'on les reconnait"
Michel Audiard

07 octobre 2016 à 00:42:25
Réponse #41

Patapon


A la réflexion, je pense que, si ça reste une piste à creuser, le zapper pourrait cramer ta CB complète non ? (Avis aux spécialistes... )

Moi je dis que c'est une piste à creuser.....mais avec ta CB et pas la mienne! ;# ;#

(à mon avis, tu la crame complet....ceci dit, il est vrai que plus personne ne pourra la lire du coup.... ::) )

Tcho

Hugo
« Modifié: 08 octobre 2016 à 00:16:14 par Hurgoz »
"Prenez soin de la méthode avec laquelle vous vous mettez des choses dans le crâne."

07 octobre 2016 à 10:33:45
Réponse #42

spica


Au pire, même si tu la crames, tu pourras toujours l'utiliser pour tes achats sur internet. Bon par contre, en magasin... :)

07 octobre 2016 à 11:04:28
Réponse #43

Troll


Hello,

Dans l'absolu, plusieurs cartes avec plusieurs comptes  ;#

Exp: un compte alimenté "au coup par coup" pour les achats sur le net, un compte pour les courses et achats courants (potentiellement alimenté de façon plus conséquente) et enfin un autre compte avec le reste de l'épargne, etc...

Bien cordialement,

Troll
Semper potest proficio

07 octobre 2016 à 14:36:17
Réponse #44

laflap


Hello,

Il a fait une sorte de cage de Faraday.

Quand tu dis qu'il a testé : il a trouvé l'appli sur son téléphone et a essayé ainsi ? Il a voulu faire un paiement sans contact avec la carte dans l'étui ?

En tout cas intéressant retour.

Bien cordialement,

Troll

Les deux mon général. Même au contact mon tel ne voyait pas la carte alors qu'à 10cm sans il le voyait. Il a testé aussi le paiement avec étui et rien n'est lu

07 octobre 2016 à 15:57:47
Réponse #45

Ascanio


J'ai testé : une boîte métallique quelconque bloque la réception du téléphone. Les RFID ne sont que des dispositifs radio-éléctriques, auxquels s'appliquent les mêmes règles qu'aux autres.
Mes deux demi-ondes,
Ascanio.
" Celui qui sait s'orienter n'a pas besoin de GPS. " (pcc Lao-Zi.)

07 octobre 2016 à 16:22:56
Réponse #46

Kilbith


J'ai testé : une boîte métallique quelconque bloque la réception du téléphone. Les RFID ne sont que des dispositifs radio-éléctriques, auxquels s'appliquent les mêmes règles qu'aux autres.
Mes deux demi-ondes,
Ascanio.

Comme noté plus haut : principe de la cage de Faraday. Les inquiets stockent le matériel de transmission/réception dans des boites de Faraday pour pouvoir se servir de l'électronique après une éventuelle impulsion EMP.  :D
"Vim vi repellere omnia jura legesque permittunt"

08 octobre 2016 à 01:02:05
Réponse #47

Panz


Les inquiets stockent le matériel de transmission/réception dans des boites de Faraday ...

Les inquiets, c'est comme ça que t'appelles l'armée francaise ?  :lol: :lol: ;#

Contre L'impulsion electromagnétique :
- Debrancher les materiels non indispensables
- Mettre sous abri métallique les materiels réservés - ne s'applique pas aux PR4G
  [PR4G : Poste Radio de 4ème Génération]


Source: Dossier Materiel ESAT, AF 2005 (Je crois... )

A+  ;)

"Les cons ça ose tout c'est même a ça qu'on les reconnait"
Michel Audiard

08 octobre 2016 à 23:21:28
Réponse #48

Tompouss


Les inquiets, c'est comme ça que t'appelles l'armée francaise ?  :lol: :lol: ;#

Bah s'ils étaient pas inquiets ils seraient pas "alarmés" (je sors...)

C'est totalement hors sujet mais quelle est le risque d'une attaque de ce genre ?  :blink:
Everybody swears that they are solid, but ice is solid too... until you put some heat on it.

08 octobre 2016 à 23:30:24
Réponse #49

Patapon


C'est totalement hors sujet mais quelle est le risque d'une attaque de ce genre ?  :blink:

T'entends quoi par "risque"?

La probabilité ou les conséquences?

Dans le 1er cas, c'est très difficile à dire, dans le deuxième imagine ton chez toi sans fée électricité de façon prolongée....après ça dépend aussi des zones, de l'étendue, de la saison, etc

Tcho

Hugo
« Modifié: 08 octobre 2016 à 23:37:55 par Hurgoz »
"Prenez soin de la méthode avec laquelle vous vous mettez des choses dans le crâne."

 


Keep in mind

Bienveillance, n.f. : disposition affective d'une volonté qui vise le bien et le bonheur d'autrui. (Wikipedia).

« [...] ce qui devrait toujours nous éveiller quant à l'obligation de s'adresser à l'autre comme l'on voudrait que l'on s'adresse à nous :
avec bienveillance, curiosité et un appétit pour le dialogue et la réflexion que l'interlocuteur peut susciter. »


Soutenez le Forum

Les dons se font sur une base totalement libre. Les infos du forum sont, ont toujours été, et resteront toujours accessibles gratuitement.
Discussion relative au financement du forum ici.


Publicité

// // //