Sécurité informatique selon Google

[Cath]

Dans le genre "je vous raconte ma vie", je ne résiste pas à vous faire part de mes aventures de la journée sur la sécurité informatique version Google.<br /><br />
J'ai un smartphone android personnel, et j'utilise dessus Google Calendar pour mes rendez-vous (professionnels et personnels).<br /><br />
Ce matin, je pars au boulot en oubliant ce smartphone. Pas très grave, mais à un moment, j'ai besoin de consulter mon agenda pour fixer un rendez-vous. Pas de problème, il suffit que je me connecte sur Google Calendar sur mon ordinateur de bureau. J'entre mon adresse mail @gmail.com, mon mot de passe et Google me répond : "machine non reconnue, je ne suis pas sûr que c'est bien vous". Je pense m'être trompée de mot de passe, j'en essaie un autre, mais là, Google me répond "mot de passe incorrect", donc le premier mot de passe était le bon. Je remets le premier mot de passe et je vois que Google me propose d'envoyer un code de confirmation sur mon téléphone portable. Oui, mais justement, si je me connecte sur Google via cette machine, c'est parce que j'ai oublié mon téléphone.<br /><br />
Je clique sur un bouton d'aide, et apparemment, il y a une procédure qui permet de contourner ce problème de téléphone. Il suffit de répondre à quelques questions.<br /><br />
Quel est le nom de votre premier instituteur ? Je réponds.<br />
De quand date votre compte gmail ? Je ne me rappelle plus (j'hésite entre 2 ou 3 mois, et deux années) : je tape "question suivante".<br />
Quel mail avez-vous fourni quand vous avez créé votre compte gmail ? Là je me rappelle, je fournis le mail. Google m'envoie un code de confirmation sur ce mail, que j'entre à nouveau.<br />
Réponse : "Désolé, je ne suis pas sûr que c'est bien vous".<br /><br />
A ce moment là, j'ai une autre idée (c'est ça l'informatique, il faut toujours chercher à contourner les problèmes) : j'ai fait une ré-installation de mon PC de bureau la semaine précédente, donc si je prends mon ordinateur portable, cela va peut-être marcher. Bingo, je peux me connecter et accéder à mon agenda. Je peux ainsi fixer mon rendez-vous.<br /><br />
Là, je remarque que j'ai reçu un mail de Google : "Attention ! quelqu'un a essayé d'usurper votre identité". Toujours sur mon ordinateur portable, j'ouvre la fenêtre, clique sur la machine suspecte et clique sur "C'était bien moi". Là, je m'imagine naïvement que tout a du rentrer dans l'ordre.<br /><br />
Mais rien à faire, je ne peux toujours pas me connecter à mon compte Google depuis mon ordinateur de bureau. Google n'est toujours pas sûr que c'est bien moi. Bon je ré-essaierai demain, avec mon téléphone en main...<br /><br />
Je pensais changer de téléphone prochainement, du coup, j'hésite...  <img src="smileys/biggrin.gif" alt=":D" class="smiley" /><br />

[stef38]

[Homerdusud]

Perso j'utilise deux comptes google sur la meme machine meme navigateur, quand je switche de l'un a l'autre pour google docs, le truc te propose l'autre comptre, tu le choisis, puis il te dis tu dois te deco avant dde l'utiliser, ce que tu fais, mais quand tu reviens sur le login, il se remet par defaut sur le premier...


Des fois c'est d'une lourdeur................

[Le_Touriste]

Le pire, mais c'est pas Google, c'est le code de confirmation des banques lors d'un achat. Tu fais ton achat jusqu'au moment de payer, tu rentres les infos de ta carte bleue et là on t'envoie sur une page qui attend un code qu'on vient de t'envoyer par SMS... sur le numéro de tél. que tu n'as plus...

[Homerdusud]

Encore pour les banques le sms je trouve ca bien. Le pognon faut pas rigoler avec ca

[stef38]

Clair perso ça me rassure cette sécurité avec le SMS.

[Lomic]

ahah des gens qui râlent parce qu'ils ont un code à saisir pour confirmer leurs paiements   je préfère ça que d'avoir à courir après un indélicat qui aura choppé les numéros de ma CB (il reste beaucoup de commerces où tu donnes ta carte au comptoir) et qui se fait plaisir sur le net à mes frais


de plus j'ai activé la double authentification partout où c'est possible, ça me parait hyper important, surtout à l'heure où même les grands groupes se font régulièrement pirater leur base utilisateurs et les mots de passe et identifiants se baladent dans la nature  


je me balade rarement sans mon portable, pour confirmer une connexion, une transaction, l'ajout d'un RIB ou autre

[RaoulG]

stef38 @ 31/05/2017 - 08h59 a dit:

Clair perso ça me rassure cette sécurité avec le SMS.

Y'a quand même une énorme faille avec ce système.

C'est surtout les clients freemobile qui sont touchés à cause du mode de distribution de la carte sim (on peut récupérer une carte sim sur des bornes dans les bureaux de tabac par exemple.)


En gros, le pirate, via un sms frauduleux, va désactiver ta sim et il va s'empresser de faire une nouvelle demande de sim qu'il va récupérer sur une borne. Du coup, il va pouvoir intercepter les sms de confirmation de la banque.


Plus de détails ici

http://www.cbanque.com/actu/58893/le-code-sms-point-faible-de-la-securite-des-paiements-en-ligne

http://www.cbanque.com/actu/52713/piratage-de-compte-bancaire-attention-aux-arnaques-a-la-carte-sim

[Le_Touriste]

Lomic @ 31/05/2017 - 09h50 a dit:

ahah des gens qui râlent parce qu'ils ont un code à saisir pour confirmer leurs paiements   je préfère ça que d'avoir à courir après un indélicat qui aura choppé les numéros de ma CB (il reste beaucoup de commerces où tu donnes ta carte au comptoir) et qui se fait plaisir sur le net à mes frais


de plus j'ai activé la double authentification partout où c'est possible, ça me parait hyper important, surtout à l'heure où même les grands groupes se font régulièrement pirater leur base utilisateurs et les mots de passe et identifiants se baladent dans la nature  


je me balade rarement sans mon portable, pour confirmer une connexion, une transaction, l'ajout d'un RIB ou autre

Je râle pas, j'ai juste été confronté au problème. Changement de numéro, pour des raisons diverses, info à la banque pour le changer. La banque dit OK, mais en réalité pas fait. Impossible de payer. Longs échanges pénible avec la banque etc. etc. (la banque qui ne maîtrise pas son système info ou qui traine les pieds...)

[stef38]

RaoulG @ 31/05/2017 - 10h35 a dit:

stef38 @ 31/05/2017 - 08h59 a dit:

Clair perso ça me rassure cette sécurité avec le SMS.

Y'a quand même une énorme faille avec ce système.

C'est surtout les clients freemobile qui sont touchés à cause du mode de distribution de la carte sim (on peut récupérer une carte sim sur des bornes dans les bureaux de tabac par exemple.)


En gros, le pirate, via un sms frauduleux, va désactiver ta sim et il va s'empresser de faire une nouvelle demande de sim qu'il va récupérer sur une borne. Du coup, il va pouvoir intercepter les sms de confirmation de la banque.


Plus de détails ici

http://www.cbanque.com/actu/58893/le-code-sms-point-faible-de-la-securite-des-paiements-en-ligne

http://www.cbanque.com/actu/52713/piratage-de-compte-bancaire-attention-aux-arnaques-a-la-carte-sim

Euh je ne sais pas, mais perso quand ça fait ça il faut aussi que sur le site de ma banque je fasse le code secret donc bon...

[Lomic]

stef38 @ 31/05/2017 - 11h52 a dit:

Euh je ne sais pas, mais perso quand ça fait ça il faut aussi que sur le site de ma banque je fasse le code secret donc bon...

oui j'ai du mal à saisir, pour que la banque envoie les codes à ce nouveau numéro choppé avec la SIM détournée, faut au préalable changer le numéro auprès de la banque, donc faut aussi avoir récupéré identifiant et code secret pour se connecter à l'interface de la banque pour modifier le numéro, ça fait beaucoup de conditions très complexes à réaliser pour réussir à réaliser des transactions sur le net avec ta carte.

[stef38]

Il me semble qu'à un moment, ça envoyait juste un code SMS, qu'il fallait taper sur l'ordi, mais c'est fini depuis longtemps il me semble, pour ma banque en tout cas, maintenant c'est une confirmation à faire dans l'appli de ma banque avec mon code secret.

[Homerdusud]

Lomic @ 31/05/2017 - 12h15 a dit:

stef38 @ 31/05/2017 - 11h52 a dit:

Euh je ne sais pas, mais perso quand ça fait ça il faut aussi que sur le site de ma banque je fasse le code secret donc bon...

oui j'ai du mal à saisir, pour que la banque envoie les codes à ce nouveau numéro choppé avec la SIM détournée, faut au préalable changer le numéro auprès de la banque, donc faut aussi avoir récupéré identifiant et code secret pour se connecter à l'interface de la banque pour modifier le numéro, ça fait beaucoup de conditions très complexes à réaliser pour réussir à réaliser des transactions sur le net avec ta carte.

C'est pas un nouveau numéro, c'est une nouvelle carte SIM. Donc la banque envoie au numero habituel mais ta carte SIM est HS tandis que celle du ptit enfoiré qui te pirate est toute neuve et fonctionne......


D'ailleurs dans ces cas précis on est encore sur des failles dues aux humains et pas au systeme lui meme, tu appelles free tu fais croire que tu es le detenteur de la ligne et paf tu as une sim toute neuve....


Le jour ou on aura soit un certificat SSL portatif, soit une reconnaissance biométrique, ca sera terminé ce genre de soucis (je ne dis pas que c'est bien, mais 'est en tout cas le genre de solutions qui mettraient fin a quasi tous les piratages)

[RaoulG]

C'est bien ça, le numero de téléphone ne change pas.


Homerdusud a tout dit.

[stef38]

Ouais sauf que comme je le disais Ok ça envoie peut être sur un autre téléphone, mais ma banque demande mon code secret donc bon, y a encore du boulot!