@aeris
Une application selon toi ça ne serait pas valide non plus (sauf si les banques sont capables de faire ce que tu dis, ce dont je doute pas mal). Faut arrêter les paiements sur internet en fait 😂
En attendant j’espère que les banques vont continuer a interpréter ces textes de manière souple avec SMS OTP et cie, parce que ton attaque a base de IMSI catcher, même si c'est possible c'est complexe et coûteux a mettre en œuvre juste pour faire un vol sur internet ..
@oz @modesmax @mmu_man

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 08:59

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 08:59

10 fév. 2021, 08:59

Thomas Lemarchand @thomas@mastodon.lemarchand.io

@aeris
Je ne confond rien, je sais bien que le SIM swap et le cloning c'est pas la même chose. Tu viens de dire que le cloning est impossible (ce que je découvre, tant mieux !), c'est quoi la difficulté d’empêcher le SIM swap ? Aucune. Tu renforces les procédures des opérateurs (via legislation) pour vérification en physique d'un document d’identité par exemple lors du remplacement d'une carte.
@oz @modesmax @mmu_man

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 01:34

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 01:34

10 fév. 2021, 01:34

Thomas Lemarchand @thomas@mastodon.lemarchand.io

@aeris
J'ai un pote qui travaille dans un labo de sécu. Il a pas mal joue avec NFC ... Je vais le brancher la dessus pour voir si il a des infos et si y'a moyen de tester.
@oz @modesmax @mmu_man

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 01:31

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 01:31

10 fév. 2021, 01:31

Thomas Lemarchand @thomas@mastodon.lemarchand.io

@aeris
L’interprétation que tu fais du texte n'est pas celle qui est faite par (au moins) deux groupes bancaires français. Si c’était si évident que tu le dis, c'est pas vraiment compréhensible de la part de l'EBA de ne pas l'avoir écrit explicitement, sachant que c'est le moyen utilise ... partout en fait, avant ces saloperies d'apps.
@oz @modesmax @mmu_man

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 01:29

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 01:29

10 fév. 2021, 01:29

Thomas Lemarchand @thomas@mastodon.lemarchand.io

@aeris
J'ai bien relu EBA2018_4039, je ne comprend pas pourquoi ils n’écrivent pas que la SIM n'est pas un facteur valable si ce n'en est pas un.
Après recherches, il semble que les SIM card actuelles ne sont pas clonables en remote (il y a une private key écrite dans la SIM). Possible de la cloner si tu y accèdes physiquement peut être, mais j'ai plutôt trouve des infos contradictoires la dessus (ça semble techniquement beaucoup plus complique que de cloner les SIM v1)
@oz @modesmax @mmu_man

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 01:24

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 01:24

10 fév. 2021, 01:24

Thomas Lemarchand @thomas@mastodon.lemarchand.io

@aeris
Certes, mais une nouvelle SIM c'est exactement la même chose qu'un enroll d'un nouveau token RSA par social engineering.
Aucun des deux n'est protégé contre ça.
@oz @modesmax @mmu_man

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 01:04

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 01:04

10 fév. 2021, 01:04

Thomas Lemarchand @thomas@mastodon.lemarchand.io

@aeris
Pareil avec le token RSA. Rien n’empêche de faire du social engineering pour faire remplacer mon token RSA par un autre, si les procédures de la boite sont insuffisantes ...
@oz @striker @modesmax @mmu_man

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:59

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:59

10 fév. 2021, 00:59

Thomas Lemarchand @thomas@mastodon.lemarchand.io

@aeris
Mais a ce compte la TOUT est clonable. J'ai un token RSA SecurID sur mon bureau actuellement. Il est clonable également. Et pourtant c'est un facteur 2FA valide pour l'authent VPN de ma boite (je travaille a la DSI d'une des 10 plus grosse boite financière du monde justement).
@oz @striker @modesmax @mmu_man

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:55

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:55

10 fév. 2021, 00:55

Thomas Lemarchand @thomas@mastodon.lemarchand.io

@aeris
Tu as lu la dernière phrase ?
C'est écrit que la SIM est considérée comme un facteur de possession valide. Ce n'est pas le SMS en soit le facteur, c'est la SIM.
@oz @striker @modesmax @mmu_man

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:54

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:54

10 fév. 2021, 00:54

Thomas Lemarchand @thomas@mastodon.lemarchand.io

@aeris
D'accord, peux tu me montrer un texte juridique contraignant qui écrit que le SMS OTP ne peux pas être considéré comme un facteur de possession ?
@oz @striker @modesmax @mmu_man

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:51

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:51

10 fév. 2021, 00:51

Thomas Lemarchand @thomas@mastodon.lemarchand.io

@aeris
Mais NULLE PART l'article ne du site BPCE ne parle de clonage !!!!
Ils donnent la liste des authent 2FA valide DSP2, la première :
"Le mot de passe (ou code confidentiel) à la Banque à Distance (facteur de connaissance) + OTP reçu par SMS ."
@oz @striker @modesmax @mmu_man

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:47

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:47

10 fév. 2021, 00:47

Thomas Lemarchand @thomas@mastodon.lemarchand.io

@aeris
Un problème ? Je l'utilise depuis des années (comme des millions de clients en fait), c'est juste magique. Jamais eu de soucis.
C'est juste que les autres banques sont trop branques pour développer ce genre de solutions justement.
@oz @striker @modesmax @mmu_man

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:44

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:44

10 fév. 2021, 00:44

Thomas Lemarchand @thomas@mastodon.lemarchand.io

@aeris
Paypal en mode prélèvement. Problem solved.
@oz @striker @modesmax @mmu_man

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:41

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:41

10 fév. 2021, 00:41

Thomas Lemarchand @thomas@mastodon.lemarchand.io

@aeris
Récurrent ? Prélèvement.
@oz @striker @modesmax @mmu_man

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:40

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:40

10 fév. 2021, 00:40

Thomas Lemarchand @thomas@mastodon.lemarchand.io

@aeris
Le téléphone n'a pas besoin de connectivité web. Bien sur pour un paiement en ligne il faut ... être en ligne 🙄
Mais avec un PC et un bon vieux navigateur c'est bon aussi.
@oz @striker @modesmax @mmu_man

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:39

**Thomas Lemarchand** @thomas@mastodon.lemarchand.io · 10 fév. 2021, 00:39

10 fév. 2021, 00:39

Thomas Lemarchand @thomas@mastodon.lemarchand.io

@aeris
Oui mais en quoi ça pose problème exactement ?
Si tu veux l'appli, tu utilises l'appli, si tu veux pas, tu l'utilise pas. Tu es libre. Et c'est exactement ce que je veux. Et c'est compatible DSP2.
@oz @striker @modesmax @mmu_man

Déplier

Admin

#geek #foss #selfhoster
Owner of https://mastodon.lemarchand.io/

Inscrit·e en avr. 2017

Thomas Lemarchand @thomas@mastodon.lemarchand.io

Ressources

Développeurs

Qu’est-ce que Mastodon ?

mastodon.lemarchand.io

Davantage…

Thomas Lemarchand @thomas@mastodon.lemarchand.io

Ressources

Développeurs

Qu’est-ce que Mastodon ?

mastodon.lemarchand.io

Davantage…

Qu’est-ce que Mastodon ?