@framasky
C'est une implem sans SQL Server ? Dans mes souvenirs la version officielle est basée sur SQL Server ..
@aeris

Can we please stop using Discord for Free software and open source projects, thanks!

À ne pas manquer chez #SFR !

Allez sur le site sfr.fr et scrollez vers le haut pour découvrir le message caché !

N'hésitez pas à partager cette astuce pour que tout le monde soit bien au courant !
#Streisand

@aeris
Une application selon toi ça ne serait pas valide non plus (sauf si les banques sont capables de faire ce que tu dis, ce dont je doute pas mal). Faut arrêter les paiements sur internet en fait 😂
En attendant j’espère que les banques vont continuer a interpréter ces textes de manière souple avec SMS OTP et cie, parce que ton attaque a base de IMSI catcher, même si c'est possible c'est complexe et coûteux a mettre en œuvre juste pour faire un vol sur internet ..
@oz @modesmax @mmu_man

@aeris
Je ne confond rien, je sais bien que le SIM swap et le cloning c'est pas la même chose. Tu viens de dire que le cloning est impossible (ce que je découvre, tant mieux !), c'est quoi la difficulté d’empêcher le SIM swap ? Aucune. Tu renforces les procédures des opérateurs (via legislation) pour vérification en physique d'un document d’identité par exemple lors du remplacement d'une carte.
@oz @modesmax @mmu_man

@aeris
J'ai un pote qui travaille dans un labo de sécu. Il a pas mal joue avec NFC ... Je vais le brancher la dessus pour voir si il a des infos et si y'a moyen de tester.
@oz @modesmax @mmu_man

@aeris
L’interprétation que tu fais du texte n'est pas celle qui est faite par (au moins) deux groupes bancaires français. Si c’était si évident que tu le dis, c'est pas vraiment compréhensible de la part de l'EBA de ne pas l'avoir écrit explicitement, sachant que c'est le moyen utilise ... partout en fait, avant ces saloperies d'apps.
@oz @modesmax @mmu_man

@aeris
J'ai bien relu EBA2018_4039, je ne comprend pas pourquoi ils n’écrivent pas que la SIM n'est pas un facteur valable si ce n'en est pas un.
Après recherches, il semble que les SIM card actuelles ne sont pas clonables en remote (il y a une private key écrite dans la SIM). Possible de la cloner si tu y accèdes physiquement peut être, mais j'ai plutôt trouve des infos contradictoires la dessus (ça semble techniquement beaucoup plus complique que de cloner les SIM v1)
@oz @modesmax @mmu_man

@aeris
Certes, mais une nouvelle SIM c'est exactement la même chose qu'un enroll d'un nouveau token RSA par social engineering.
Aucun des deux n'est protégé contre ça.
@oz @modesmax @mmu_man

@aeris
Pareil avec le token RSA. Rien n’empêche de faire du social engineering pour faire remplacer mon token RSA par un autre, si les procédures de la boite sont insuffisantes ...
@oz @striker @modesmax @mmu_man

@aeris
Mais a ce compte la TOUT est clonable. J'ai un token RSA SecurID sur mon bureau actuellement. Il est clonable également. Et pourtant c'est un facteur 2FA valide pour l'authent VPN de ma boite (je travaille a la DSI d'une des 10 plus grosse boite financière du monde justement).
@oz @striker @modesmax @mmu_man

@aeris
Tu as lu la dernière phrase ?
C'est écrit que la SIM est considérée comme un facteur de possession valide. Ce n'est pas le SMS en soit le facteur, c'est la SIM.
@oz @striker @modesmax @mmu_man

@aeris
D'accord, peux tu me montrer un texte juridique contraignant qui écrit que le SMS OTP ne peux pas être considéré comme un facteur de possession ?
@oz @striker @modesmax @mmu_man

@aeris
Mais NULLE PART l'article ne du site BPCE ne parle de clonage !!!!
Ils donnent la liste des authent 2FA valide DSP2, la première :
"Le mot de passe (ou code confidentiel) à la Banque à Distance (facteur de connaissance) + OTP reçu par SMS ."
@oz @striker @modesmax @mmu_man

@aeris
Un problème ? Je l'utilise depuis des années (comme des millions de clients en fait), c'est juste magique. Jamais eu de soucis.
C'est juste que les autres banques sont trop branques pour développer ce genre de solutions justement.
@oz @striker @modesmax @mmu_man

@aeris
Le téléphone n'a pas besoin de connectivité web. Bien sur pour un paiement en ligne il faut ... être en ligne 🙄
Mais avec un PC et un bon vieux navigateur c'est bon aussi.
@oz @striker @modesmax @mmu_man

@aeris
Oui mais en quoi ça pose problème exactement ?
Si tu veux l'appli, tu utilises l'appli, si tu veux pas, tu l'utilise pas. Tu es libre. Et c'est exactement ce que je veux. Et c'est compatible DSP2.
@oz @striker @modesmax @mmu_man

Déplier
Mastodon

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !