|
Anonyme
 19853
|  Posté : 26-07-2005 11:53
Bonjour, sur la plupart des sites bancaires la saisie des données se fait par une page SSl (httpS plus cadenas).
Sur le site du crédit agricole ( http://www.ca-cmds.fr/ ) la saisie se fait sur une page normale.Si je comprends bien les codes d'accés aux comptes sont donc transmis hors SSL ?!
La seul r&éponse du crédit agricole et de préciser que j'arrive ensuite dans un environnement sécurisé. Qu'en pensez-vous ?  |
 Citation
|
|
Jonathan
347 
| Posté : 26-07-2005 15:29
est tu sûr que c'est bien le site du crédit agricole ?
il y a des petits malins qui s'amusent à créer des faux sites de banque pour piquer les mots de passes des utilisateurs.
Ces faux site ont des URL prochent des originaux, et redirigent vers ceux ci.
Verifie ton url.
PS : ici tu es sur un forum dédié à NPDS, et ton post n'a rien a voir avec ca, donc.... |
 Profil  www Citation
|
|
GiamDoc
7063
|  Posté : 26-07-2005 15:41
je clique sur le lien que tu as donné, j'explore....2secondes...et
Les identifiants personnels que vous avez saisis dans les deux zones prévues à cet effet, numéro et code, sont transmis sous forme cryptée donc protégée à l’espace sécurisé de consultation de vos comptes.
Par mesure de sécurité, aucune de ces informations n'est conservée.
A partir de ce moment, vous entrez dans un service de consultation sécurisé par le procédé SSL (Secure Sockets Layer).
Un petit cadenas apparaît alors en bas de page pour signifier cette sécurisation.
|
Profil  E-mail www Citation
|
|
Anonyme
19853
| Posté : 27-07-2005 08:12
Merci pour vos réponses. Je m'excuse pour le hors sujet. Je pensais sincerement etre sur un site dédié à la sécurité informatique.
Pour GiamDoc. J'ai bien vu ce message, mais si j'ai bien compris, le protocole SSL permet de transmetttre en sécurité les donnée. Hors, lorsque l'on saisie on n'est pas sous SSL. Les données vont être acheminées sur un espace SSL. Ce qui m'inquiète c'est l'acheminement. Je ne comprends pas très bien comment les données saisies peuvent être cryptées alors que je ne suis pas encore sous SSL.
PS Le webmaster peut effacer à terme mes messages car étant hors sujet. Si vous ne souhaitez pas répondre ce n'est pas trop grave. Pardon encore pour mon hors sujet. |
Citation
|
|
GiamDoc
7063
| |
Anonyme
19853
| Posté : 27-07-2005 13:51
Si je suis parano alors les concepteurs et utilisateurs du SSL le sont aussi ?
A quoi bon créer un systéme "tunnel" avec encryptage performant pour ne pas l'utiliser ?
De plus, sur tout les sites de transactions, ou sur les sites où sont saisie des informations sensibles, les conseil de sécurité précise bien de s'assurer que vous êtes sous SSL. Je ne suis pas parano.
Va sur amazon, le Crédit Lyonnias, la Société Générale etc etc .
Les identifiants et mdp sont saisies sous SSL.
Tu m'expliqueras alors comment le numèro de compte se balade entre leur page d'accueil et leur serveur. Il est peut-être ( et surement) crypté à l'arrivée, mais pas dans le tube. Ou quelque chpose m'échappe.
J'ajoute, qu'il existe d'autre site du crédit agricole ou la saisie se fait sous SSL. Crédit agricole du nord est par exemple. Je suis sincérement désolé, mais j'ai du mal à envoyer mon numèro de compte bancaire ( parce qu'en plus il sert d'identifiant chez eux, on pourra parler là aussi sécurité) dans le web comme ça.
Cordialement |
Citation
|
|
GiamDoc
7063
| Posté : 27-07-2005 14:05
ben voilà! prends ton vélo et va voir la guichetière, c'est plus convivial.
tiens, je viens d'essayer d'envoyer mon n° de compte avec un pass pourri  voilàa ce que mon browser envoyait:
$1$ao0XogLW$v2p5RV.5BL4j4fV7ikV2X.
vas-y décryptes le et reviens nous voir dés que tu auras déchiffré
|
Profil E-mail www Citation
|
|
Jonathan
347
| Posté : 27-07-2005 14:57
au risque de te decevoir giamdoc, je crois qu'il a raison.
J'ai utilisé une extension firefox qui permet de voir ce qu'on envoi dans les formulaires, et il semblerait que le numéro de compte et pass sont envoyés en non crypté.
Enfin, j'ai fait ca a la va vite, je me trompe peut etre |
Profil www Citation
|
|
Anonyme
19853
| Posté : 27-07-2005 15:24
Merci GiamDoc et Jonhatan pour votre curiosité et informations.
Je vous laisse un peu entre expert, pour finallement savoir si il y a cryptage ou pas au départ.
Par contre je pense que vous pouvez me confirmer que l'envoie ne se fait pas sous SSL, et là je ne comprends pas la démarche du Crédit Agricole qui pourrait bénéficier d'un tube afin de protéger les données de façon optimum et qui ne le fait pas ?
PS: GiamDoc, la guichetière est un guichetier qui se trouve à 500 km de chez moi. J'aime le vèlo, mais il y a des limites. 
|
Citation
|
|
Anonyme
19853
| Posté : 24-09-2005 16:51
Bonjour,
Juste un apport complémentaire à la discussion qui devrait rassurer l'internaute à l'origine de ce post sur la sécurité de l'accès à ses comptes.
Il ne faut pas oublier qu'un formulaire d'authentification est composé de deux parties distinctes d'une part la page qui présente le formulaire et d'autre part l'adresse, au sens URL, à laquelle le formulaire est envoyé. Contrairement à une idée trop souvent reçue le fait que la page présentant le formulaire soit fournie par une transaction sécurisée (SSL) symbolisée par le cadenas n'est pas pour autant gage de sécurité de l'envoi des données du formulaire l'inverse est aussi vrai.
Lorsque le doute existe comme dans le cas présent il est préférable de s'assurer de l'adresse de destination du formulaire qui est le vrai gage de sécurité. En effet c'est lors de la seconde transaction, envoi du formulaire, qu'il est important que les données soient cryptées. En regardant le code source de la page on s'apperçoit que le formulaire d'authentification est envoyé à l'adresse suivante https://www.cmds-enligne.credit-agricole.fr c'est donc du HTTPS il n'y a pas de risque.
Il est certain qu'il serait plus lisible pour l'internaute que la page d'accueil soit aussi sécurisée mais cela ne changerait rien à la transaction d'authentification. |
Citation
|
|
zoheir
1637
| Posté : 24-09-2005 17:32
Il a mis du temps à répondre le public-relation du Crédit Agricole  lol |
Profil E-mail www Citation
|
|
urbain
960
| |
developpeur
24581
| Posté : 25-09-2005 21:38
Ceci étant sa réponse est juste ... comme pour l'ensemble des site internet des grandes banques (au moins les françaises).
Ensuite l'on pourrait discuter de la longueur Minimum des MDP utilisateur car là, certains doivent faire des progrès (4 munériques par exemple pour une grande banque coopérative ...)
|
Profil E-mail www Citation
|
|
Dev 
|
Charte|
Nous contacter|CNIL : 873057|Logiciel sous licence GNU/GPL|
.:Page >> Super-Cache:.