Next - Carbanak : cyberattaque contre des banques, préjudice estimé à un milliard de dollars

Kasperky Labs, une société spécialisée dans la sécurité informatique, vient de dévoiler les détails de ce qu'elle présente comme étant une « cyberattaque géante » contre des banques et des institutions financières. Le montant du préjudice serait proche du milliard de dollars.

Il ne se passe pas une semaine sans qu'une nouvelle faille de sécurité ou une fuite de données ne fasse parler d'elle, quitte parfois à réchauffer une problématique vieille de plus d'un an. Relativement actif dans ce domaine, Kaspersky Labs vient de dévoiler les détails d'une « campagne de cybercriminalité internationale » : Carbanak. La société indique que l'enquête a été menée avec Interpol, Europol ainsi que les autorités de plusieurs pays. Les banques et les établissements financiers sont les principales victimes de cette attaque.

Une campagne de phishing ciblée et c'est le drame

Selon Kaspersky Labs, elle aurait débuté dans le courant de l'année 2013 et serait toujours en cours. Dans ce document, la société explique que les pirates auraient utilisé une technique vieille comme Internet, ou presque : l'envoi d'emails piégés afin de mettre en place des portes dérobées. Selon le rapport, il serait question d'exploiter des failles de Microsoft Office (CVE-2012-0158, CVE-2013-3906 et CVE-2014-1761 par exemple). Comme c'est la coutume depuis quelque temps, un petit nom lui a été donné : Carbanak, en hommage à Carberp sur lequel il se serait basé au début (le code serait désormais totalement différent)

Le but est non seulement de prendre possession de la machine distante, mais également de partir à la découverte du réseau sur lequel elle se trouve, en vue d'infiltrer des serveurs plus importants. Une fois ces derniers atteints, les pirates s'attaquent à différents services comme les distributeurs de billets, comptes financiers, etc. Ils tentent également d'accéder aux systèmes de vidéosurveillance ainsi qu'aux webcams des machines infectées, afin de surveiller les mouvements et les agissements du personnel. Entre deux et trois mois seraient ensuite nécessaires afin d'appréhender pleinement le fonctionnement du réseau interne de la banque. Une fois la caverne d'Alibaba sous contrôle, il ne reste plus qu'à l'ouvrir et se servir dans les caisses.

Kaspersky Labs

Des distributeurs qui donnent de l'argent sans qu'on leur demande

Toujours selon le rapport de Kaspersky Labs, plusieurs moyens sont utilisés afin de dérober des fonds : des transferts d'une banque à une autre via le réseau SWIFT (Society for Worldwide Interbank Financial Telecommunication), des manipulations de bases de données afin d'autoriser des cartes bleues ou bien transférer des fonds d'un compte à un autre, ou bien récupérer de l'argent à des distributeurs automatiques.

Ce dernier cas est d'ailleurs intéressant puisqu'il s'agit de l'un des éléments qui a déclenché l'enquête de Kaspersky Labs : « Durant l'été 2014, Kaspersky Labs était impliqué dans une analyse des distributeurs de billets (ATM) qui délivraient des espèces à des personnes situées à proximité, mais ne réalisant aucune interaction physique selon les caméras de vidéosurveillance ». Problème, aucun logiciel malveillant ne se trouvait dans les ATM, mais « une variante du virus Carberp a été trouvée sur un ordinateur relié aux distributeurs par un VPN ». Aujourd'hui la suite et la fin de l'enquête sont donc mises en ligne.

Un rappel intéressant : personne ne « peut s'estimer à l'abri »

Ces attaques ont touché de nombreuses banques à travers le monde, principalement en Russie, aux États-Unis et en Allemagne. La France serait pour sa part dans le top 10. Interrogé par Kaspersky Labs, Sanjay Virmani, directeur d'Interpol sur les crimes numériques, annonce que « ces attaques soulignent, à nouveau, le fait que les pirates exploiteront toutes les vulnérabilités dans tous les systèmes. Elles soulignent également le fait qu'aucun secteur ne peut s'estimer à l'abri ».

Commentaires (125)

Gilbert_Gosseyn Abonné

Il y a 9 ans

Etonnant que cela soit resté sous un relatif silence … C’est quand même sérieux comme attaque. Et, qui au final devrai payer l’incurie des banques à sécuriser leur réseau ? Probablement les usagers …

tsyr2ko

#BankArnac aurait été plus judicieux que Carbanak " />

uzak

Pas trop étonnant.. C’est la version moderne du pétage de coffre à l’explosif. Et les banques ne raffolent pas de publicité qui sapent la confiance des dépositaires.

jb18v

Gilbert_Gosseyn a écrit :

Etonnant que cela soit resté sous un relatif silence … C’est quand même sérieux comme attaque. Et, qui au final devrai payer l’incurie des banques à sécuriser leur réseau ? Probablement les usagers …

ils ont pas trop intérêt à ce que ça se sache, même si Kasperky les a prévenus (je hais ce nom, j’arrive jamais à le taper comme il faut " />)

HCoverd

J’ai trouvé la variante du Québec : Tabernacle " />

k43l

Bah moi je suis un peu triste de pas avoir d’ami(e) dans le milieu. Un distributeur qui donne des sous sans manipulation c’est tout bon…" />

127.0.0.1

“ces attaques soulignent, à nouveau, le fait que les pirates exploiteront toutes les vulnérabilités dans tous les systèmes.”

En l’occurrence, tous les systèmes avec un fichier svchost.exe dans le répertoire Windows\system32\com\catalogue.

" />

Inny Abonné

C’est surtout que la plupart des banques vont très loin pour se rendre vulnérables.
En 2009, le gouvernement belge a imposé l’usage exclusif d’IE 6 dans ses institutions. Ce qui implique XP.
Le résultat, aujourd’hui, c’est que le ssl utilisé par ces banques est très vulnérable.

Anonyme_f7d8f7f164fgnbw67p

La les banques se sont fait carna

jinge

Pour le coup on comprend pourquoi il ne faut pas divulguer les failles trop tôt… :)

Takoon

L’arroseur arrosé.

Khalev

jinge a écrit :

Pour le coup on comprend pourquoi il ne faut pas divulguer les failles trop tôt… :)

Sauf que la c’est MS qui a publié les failles.

D’ailleurs MS ne devrait pas publier les patchs puisqu’en faisant du reverse engineering sur les patch on peut remonter aux vulnérabilités… Et pour tous ceux qui ne mettent pas à jour c’est la catastrophe.

Tant qu’un bug n’est pas exploité il ne devrait n’y avoir ni patch ni disclosure.

Soriatane Abonné

Tient Avril 2014, après l’arrêt du support de windows XP système sous lequel tourne beaucoup d’ATM. Comme c’est bizarre…

Iceksy

“préjudice estimé à un milliard de dollars” => Ils ont artificiellement gonflé des comptes avant de transférer le surplus sur leurs propres comptes.

Y a pas de préjudice ici, puisqu’il n’y a pas de vol.
Par contre, y a de la création de fausse monnaie, illégale mais intracable.

Les seuls responsables qui devraient être jugés sont les banques qui permettent de créer de la monnaie à partir de rien…

DHKold

Sauf que les banques sont des entreprises privées et n’ont donc pas à se soumettre aux règles d’applications décidées pour les institutions publiques.

canti

potentiellement les assurances… puis les réassurances….

puis les usagés probablement " />

anonyme_751eb151a3e6ce065481d43bf0d18298

Un milliard pour des banques, c’est peanuts. Encore un coup de script-kiddies " />

pyrignis Abonné

Khalev a écrit :

Tant qu’un bug n’est pas exploité il ne devrait n’y avoir ni patch ni disclosure. 

Et on demande aux pirates de bien signaler quelles failles ils utilisent à l’éditeur pour qu’il puisse lancer sa mise à jour? Et même s’ils le font on a toujours le même problème avec ceux qui ne mettent pas à jour.

Une banque ou un établissement sérieux à propos de sa sécurité informatique dois savoir quels sont ses problèmes de sécurité et quelles conséquences ils peuvent avoir.

Les magouilles, ça m’étonnerait pas.
Par contre, la création de monnaie, j’en seras pas si sûr..

thinkerone

Le plus surprenant c’est que ca fait 2 mois que les banques ukrainiennes ont soulevé le probleme avec un joli petit nom (anunak). Aujourd’hui on recycle le truc qui a priori serait exactement le meme pcq finalement ca touche plus de monde que les banque de l’europe de l’est… et cette fois breaking news en le criant bien fort…

pour ceux que ca intéresse (avec  moins de marketing, et plus de contenuhttps://www.fox-it.com/en/files/2014/12/Anunak_APT-against-financial-institution… )

uzak a écrit :

Par contre, la création de monnaie, j’en seras pas si sûr..

Seules les banques centrales sont habilitées à créer de la monnaie.

Ce serait trop le bordel sinon pour contrôler les taux de change et les prix.

Wikus

si les banques faisaient faillite à chaque fois qu’elles perdent 5 milliards du jour au lendemain… " />

FrenchPig a écrit :

si les banques faisaient faillite à chaque fois qu’elles perdent 5 milliards du jour au lendemain… " />

Il y aura toujours des vive-la-joie pour tout dépenser dans les hôtels Carlon " />

FrenchPig a écrit :

si les banques faisaient faillite à chaque fois qu’elles perdent 5 milliards du jour au lendemain… " />

Y en aurait du trader en prison " />

pyrignis a écrit :

Et on demande aux pirates de bien signaler quelles failles ils utilisent à l’éditeur pour qu’il puisse lancer sa mise à jour? Et même s’ils le font on a toujours le même problème avec ceux qui ne mettent pas à jour.

Bah quand l’éditeur commence à avoir des remontés d’exploitation de faille, il propose son patch. Comme ça pas de 0-day.

Faut just espérer que les pirates ne conservent pas leur failles dans un coin pour mener des attaques de masse, ciblées. Mais bon ils sont trop désorganisés pour ça.

RaoulC

pyrignis a écrit :

Une banque ou un établissement sérieux à propos de sa sécurité informatique dois savoir quels sont ses problèmes de sécurité et quelles conséquences ils peuvent avoir.

Pour ce que j’ai vu du sérieux du SI de certaines banques….
Des serveurs sous dimensionnés pour faire des économies de bouts de chandelles par exemple…
Des offres d’emploi pour des gens qui font du COBOL, en 2015…

J’admet que cela ne présage en rien de l’aspect sécurité (d’autant plus concernant une 0day)mais cela ne donne pas une image de compétence ou de sérieux .. (je ne prétend en aucun cas que j’aurais fait mieux, hein ;p)
 

Aloyse57

HCoverd a écrit :

J’ai trouvé la variante du Québec : Tabernacle " />

Et non, voir le sous-titre : c’est Tabarnak en québécois " />

bah justement, quand ils commencent a exploiter des failles, ce sont par définition des failles 0-day.

Toutes les failles deviennent alors des zero day, et sont exploitables en masse le temps que microsoft soit averti  ( ce qui peut laisser un temps confortable si tu es suffisamment discret)

hycday

le coup de l’ATM qui file les billets…je comprends même pas comment cela soit possible.
le système devrait être concu pour que l’argent ne sorte pas à moins d’avoir le droit d’en avoir.
c’est la base du truc :O
je ne comprends même pas comment il peut y avoir une faille la dedans!
et disons qu’il y en ait une (enfin, plus que ‘disons’), cela devrait se detecter ultra facilement !
on a une malette de 1000eur, fin de la journée, on en a moins que ce qu’on devrait avoir = il y a un problème

j’avou avoir du mal là

Khalev a écrit :

Sauf que la c’est MS qui a publié les failles.

D’ailleurs MS ne devrait pas publier les patchs puisqu’en faisant du reverse engineering sur les patch on peut remonter aux vulnérabilités… Et pour tous ceux qui ne mettent pas à jour c’est la catastrophe.

Tant qu’un bug n’est pas exploité il ne devrait n’y avoir ni patch ni disclosure.

Une fois le patch publié via le canal officiel, la responsabilité revient à l’utilisateur de l’installer ou non " />
 

tmtisfree

ActionFighter a écrit :

Seules les banques centrales sont habilitées à créer de la monnaie.

Ce serait trop le bordel sinon pour contrôler les taux de change et les prix.

Toutes les banques commerciales créent de la monnaie chaque fois que tu leur empruntes, elles sont d’ailleurs le principal vecteur de création monétaire. Les BCs n’affectent que le montant total nouvellement émis/créé par l’intermédiaire des différents taux directeurs, et quand le brin-brin leur prennent, à coup de QEs (mais c’est temporaire). Il n’y a pas de contrôle des changes, puisqu’ils sont flottant, ni de contrôle de prix, puisqu’ils sont libres à peu près partout, à part en RBF (république bananière française) où les glorieux leaders font ce qu’ils peuvent pour l’imposer encore à quelques secteurs pour y semer la ruine.

ZcommeDodo

On a beau dire, mais quand je vois un mec braquer une banque, je me demande tout de même qui est le plus voleur des deux…

Voir là par exemple pour l’explication.

ZcommeDodo a écrit :

On a beau dire, mais quand je vois un mec braquer une banque, je me demande tout de même qui est le plus voleur des deux…

Y’en a pourtant un des deux qui agit en toute légalité…

J’avais juste pas vu le sous-titre comme un con " />

Dellara

HCoverd a écrit :

J’ai trouvé la variante du Québec : Tabernacle " /> 

Non, c’est tarbarnak

:)

levhieu

Dans un ATM, il y a quelques moteurs qui servent à faire sortir les billets. À partir du moment où on prend le contrôle de la bécane en y mettant ce qu’on veut comme logiciel, ça devient possible que les moteurs se mettent en marche sans que qui que ce soit ait tapé au clavier.

Après, ça a bien dû être détecté par comparaison entre les retraits enregistrés et le nombre de billets distribués: Je suppose que c’est pour ça que des gens se sont penchés sur la vidéo-surveillance (cf. la news)

tmtisfree a écrit :

Toutes les banques commerciales créent de la monnaie chaque fois que tu leur empruntes, elles sont d’ailleurs le principal vecteur de création monétaire. Les BCs n’affectent que le montant total nouvellement émis/créé par l’intermédiaire des différents taux directeurs, et quand le brin-brin leur prennent, à coup de QEs (mais c’est temporaire). Il n’y a pas de contrôle des changes, puisqu’ils sont flottant, ni de contrôle de prix, puisqu’ils sont libres à peu près partout, à part en RBF (république bananière française) où les glorieux leaders font ce qu’ils peuvent pour l’imposer encore à quelques secteurs pour y semer la ruine.

C’était schématique, parce que pas envie de me lancer dans des explications qui seraient très longues.

Mais c’est bien les banques centrales qui contrôlent l’émission de monnaie. Si la BCE met son taux directeur à 50%, il ne va plus y en avoir beaucoup des emprunts " />

C’est ce que les pirates ont pourtant fait.

 Exemple simple:
Un gars a 1000 € sur son compte.
Un pirate gonfle le compte à 10000€.
Le pirate transfère 9000€ sur son compte.
Le pirate tire l’argent à un distributeur.

Le type du départ a toujours ses 1000€.
Le pirate a 9000€ dans la poche, créé à partir de rien.

Les banques vont nous dire que c’est inhabituel, que ça devrait pas se produire, qu’ils vont rembourser, etc …

N’empêche qu’elles ont la possibilité de le faire, et que ça à l’air, en plus, HYPER facile à faire …

Cedrix

Enquête interpol, tu n’as pas le droit de divulguer les informations pendant ce temps la.

De plus, avertir ton ennemi que tu le traques, c’est pas vraiment efficace pour le prendre sur le fait.

Toutes les banques ont pris des actions pour vérifier si elles étaient touchées et mettre en place des mécanismes de protection.

Ben ouais, mais il manque 9000e dans la caisse du distributeur..
Faut bien les compter quelque part

ActionFighter a écrit :

C’était schématique, parce que pas envie de me lancer dans des explications qui seraient très longues.

Mais c’est bien les banques centrales qui contrôlent l’émission de monnaie. Si la BCE met son taux directeur à 50%, il ne va plus y en avoir beaucoup des emprunts " />

Schématique et faux. Les BCs ne créent pas (ou très peu) de monnaie, ce qui est l’apanage des banques commerciales. Tu vois, c’est tout autant schématique mais correct.

Mais on dirait que tu as décidé de faire tien l’adage selon lequel chaque problème complexe a une solution claire, simple et fausse.

tmtisfree a écrit :

Schématique et faux. Les BCs ne créent pas (ou très peu) de monnaie, ce qui est l’apanage des banques commerciales. Tu vois, c’est tout autant schématique mais correct.

Mais on dirait que tu as décidé de faire tien l’adage selon lequel chaque problème complexe a une solution claire, simple et fausse.

Bon, tu veux me casser les couilles parce que je fais des raccourcis, certes simplistes (chose que tu passes ton temps à faire pour promouvoir des contes de fées libéraux) ?

Tu parles de quelle monnaie ? La monnaie fiduciaire ? Parce que c’est à ça qu’était lié le commentaire à la base. Et ça, c’est strictement l’apanage des BC.

jinge a écrit :

Une fois le patch publié via le canal officiel, la responsabilité revient à l’utilisateur de l’installer ou non " />

Comme si tous les utilisateurs avaient la capacités de suivre toutes les sorties de patch et de décider s’il doit les installer ou non…

Je suis sûr que je prends n’importe quel PC dans mon taff je trouve des programmes non patchés et vulnérables. Et idem sur les PCs des gens chez eux.

bah c’est assez simple, c’est un automate (vétuste avec des mecanismes de sécurités moisis en plus) tu as des ptites conf marrante comme à la black hat ou le mec avait transformé un ATM en machine a sous qui fait jackpot tout le temps avec musique et tout ^^
en version longue avec la démohttps://www.youtube.com/watch?v=v-dS4UFomv0

en version plus courte juste pour la distribution de billets:https://www.youtube.com/watch?v=fS3Z8Xv-vUc

eliumnick Abonné

ActionFighter a écrit :

Bon, tu veux me casser les couilles parce que je fais des raccourcis, certes simplistes (chose que tu passes ton temps à faire pour promouvoir des contes de fées libéraux) ?

Tu parles de quelle monnaie ? La monnaie fiduciaire ? Parce que c’est à ça qu’était lié le commentaire à la base. Et ça, c’est strictement l’apanage des BC.

Dont feed the troll :x

ActionFighter a écrit :

Bon, tu veux me casser les couilles parce que je fais des raccourcis, certes simplistes (chose que tu passes ton temps à faire pour promouvoir des contes de fées libéraux) ?

Tu parles de quelle monnaie ? La monnaie fiduciaire ? Parce que c’est à ça qu’était lié le commentaire à la base. Et ça, c’est strictement l’apanage des BC.

Simpliste et faux. Autant parler de choses que l’on maîtrise.

Le commentaire de départ parle de “fausse monnaie illégale mais intracable (sic)”, ce qu’il faut comprendre par fausse monnaie virtuelle (puisque la fausse monnaie physique est traçable, elle). L’auteur enfonce le clou en concluant par “Les seuls responsables qui devraient être jugés sont les banques qui permettent de créer de la monnaie à partir de rien… “, ce qui était mon point, évidemment.

thinkerone a écrit :

bah c’est assez simple, c’est un automate (vétuste avec des mecanismes de sécurités moisis en plus) tu as des ptites conf marrante comme à la black hat ou le mec avait transformé un ATM en machine a sous qui fait jackpot tout le temps avec musique et tout ^^
en version longue avec la démohttps://www.youtube.com/watch?v=v-dS4UFomv0

en version plus courte juste pour la distribution de billets:https://www.youtube.com/watch?v=fS3Z8Xv-vUc

ah qd même !

 

levhieu a écrit :

Dans un ATM, il y a quelques moteurs qui servent à faire sortir les billets. À partir du moment où on prend le contrôle de la bécane en y mettant ce qu’on veut comme logiciel, ça devient possible que les moteurs se mettent en marche sans que qui que ce soit ait tapé au clavier.

Après, ça a bien dû être détecté par comparaison entre les retraits enregistrés et le nombre de billets distribués: Je suppose que c’est pour ça que des gens se sont penchés sur la vidéo-surveillance (cf. la news)

oui j’avais vu le passage sur la vidéo-surveillance mais je pensais à un controle en amont. Avant que ca arrive. Pas après.

en fait, je pensais pas que les machines étaient aussi ‘simple’…
limite j’ai maintenant l’impression qu’elles sont connectés en wifi…

sur ce type de machine, j’aurais fait un controle de firmware avec systeme de mise en HS si le firmware est incorrect avec le soft du controle dans une box sécurisé qui s’autodétruit si tronquée comme sur quelques serveurs AWS (jai oublié le nom de ces box)…le tout dans un reseau interne sécurisé et vachement controlé.
rien que le fait de pouvoir avoir accès à la machine, ca en fait un point de risque énorme.

tmtisfree a écrit :

Simpliste et faux. Autant parler de choses que l’on maîtrise.

Simpliste et faux, et je te renvoi l’argument : autant parler de choses que l’on maîtrise.

Il y a quelques temps déjà que la monnaie fiduciaire ne concerne plus uniquement les billets et les pièces. Les comptes courants, c’est également de la monnaie fiduciaire.

Khalev a écrit :

Comme si tous les utilisateurs avaient la capacités de suivre toutes les sorties de patch et de décider s’il doit les installer ou non…

Je suis sûr que je prends n’importe quel PC dans mon taff je trouve des programmes non patchés et vulnérables. Et idem sur les PCs des gens chez eux.

Un utilisateur, s’il n’y connait rien, a ses install windows updates en automatique par défaut, et c’est très bien comme ça :)
Un utilisateur avancé a le choix d’installer ou non les MAJ, c’est son problème :) 

Pour les navigateurs, ils sont quasiment tous en automatique maintenant, les autres programmes ayant que très peu d’intéraction avec le WEB et étant installés sur un sous-parc de machines, c’est beaucoup moins grave!

Dans un vrai monde libéral, on devrait être tous libres de créer de la monnaie. " />

jinge a écrit :

Un utilisateur, s’il n’y connait rien, a ses install windows updates en automatique par défaut, et c’est très bien comme ça :)
Un utilisateur avancé a le choix d’installer ou non les MAJ, c’est son problème :) 

Pour les navigateurs, ils sont quasiment tous en automatique maintenant, les autres programmes ayant que très peu d’intéraction avec le WEB et étant installés sur un sous-parc de machines, c’est beaucoup moins grave!

Résumer la sécurité en informatique au MAJ windows et aux navigateurs………………………………………………………

mais TU PEUX!  

Lançons le NextCoin, pour payer nos nextiNpot !

uzak a écrit :

Dans un vrai monde libéral, on devrait être tous libres de créer de la monnaie. " />

Du coup plus rien n’a de valeur et retour au troc " />

hycday a écrit :

sur ce type de machine, j’aurais fait un controle de firmware avec systeme de mise en HS si le firmware est incorrect avec le soft du controle dans une box sécurisé qui s’autodétruit si tronquée comme sur quelques serveurs AWS (jai oublié le nom de ces box)…le tout dans un reseau interne sécurisé et vachement controlé.
rien que le fait de pouvoir avoir accès à la machine, ca en fait un point de risque énorme.

Bah en fait pour revenir à la triste réalité je connais des banques où depuis n’importe quelle prise réseau en agence tu ping le DAB que tu veux partout en france, la sécurité info est très variable dans les banques suivant les filliales/ les métiers (high speed trading vs trading vs assurance vs banque de particulier) tu as pas les mêmes considérations et pas les mêmes budgets sécurisation.
 Si a ca tu ajoutes l’historique (bon nombre de banques ont des réseau ne respectant pas la RFC1918 par exemple) la désillusion est au pas de la porte

Tout n’est pas libre alors dans le libéralisme " />

ActionFighter a écrit :

Simpliste et faux, et je te renvoi l’argument : autant parler de choses que l’on maîtrise.

Il y a quelques temps déjà que la monnaie fiduciaire ne concerne plus uniquement les billets et les pièces. Les comptes courants, c’est également de la monnaie fiduciaire.

Même si c’était vrai, qui a dit le contraire ? Cela n’a rien à voir avec le sujet du commentaire originel. On a le droit de se fourvoyer, et le reconnaitre n’a rien de déshonorant, au contraire. Je suis même prête à admettre que tu as fait des efforts sur l’orthographe ces derniers temps, juste un peu trop grossier à mon goût. " />

Zerdligham Abonné

J’ai toujours tendance à me dire que sur les systèmes ultra-sensibles, il devrait y avoir une sorte de pare-feu ultra-basique mais au code formellement démontré qui ne laisse passer vers la machine sensible que des trames répondant à une syntaxe ultra-limitée.
Genre pour un DAB, si tu n’autorise que deux commandes, une dans un sens type “check compte xxx contient xx€” et l’autre dans l’autre sens type “compte xxx contient xx€ oui/non”, j’ai beaucoup de mal à voir par quel biais on pourrait l’attaquer.
Il doit y avoir une subtilité qui m’échappe.

FunnyD

canti a écrit :

mais TU PEUX!

Lançons le NextCoin, pour payer nos nextiNpot !

Coooooolllll

Je vais créer la HyogaCoin!!!!! Elle vaudra 10 ShyriuCoin!

C’est pas ce qu’il a dit : tu es libre de créer ta monnaie, mais les autres sont libres de ne lui accorder aucune valeur " />

Je vais pas créer une monnaie alors que je peux créer des euros " />

jinge a écrit :

Un utilisateur, s’il n’y connait rien, a ses install windows updates en automatique par défaut, et c’est très bien comme ça :)
Un utilisateur avancé a le choix d’installer ou non les MAJ, c’est son problème :)

Bah je sais pas trop comment se passent les màj chez MS mais ce week-end j’ai démarré mon PC, j’ai fait les màj, j’ai redémarrer. Je me suis dit que c’était bon.
En fait je me suis rendu compte à la fin de la journée au moment d’éteindre le PC qu’il restait encore des màj à installer, malgré le redémarrage. En gros j’ai passé une journée sur le net à bosser sur mes sites en étant confiant que j’avais fait toutes les màj alors que c’était pas le cas.
J’ai aussi eu un bug (?) avec Flash où quand je vérifiais les màj il me disait que j’étais sur la dernière version mais quand je passais par FF il bloquait flash car pas à jour. Il a fallut que je passe par le site de Flash pour vraiment avoir la dernière version.
Pour FF je suis sous Developper edition donc j’ai des màj tous les jours mais la dernière fois que j’ai testé la stable il me semblait qu’il fallait aller dans “about” pour faire les màj.
Je connais pas mal de users qui auraient fait : “pff ça me saoule, always allow et basta”.

Si je regarde ma copine sur son Mac pour lancer FF ou Skype elle les lance depuis le lecteur virtuel créé pour l’installation (là où ils te disent de glisser le truc vers le répertoire “applications”). Du coup à chaque redémarrage elle se retrouve avec la version à laquelle elle a téléchargé le .dmg. (La dernière fois que j’ai regardé elle était en version 32, du coup je lui ai bien installé le truc proprement). La même pour Skype par exemple.

Mes parents ont arrêté de faire les màj de leur Mac pendant 6 mois car ils avaient perdu le mdp du compte, c’est seulement quand je suis parti chez eux que j’ai découvert le truc et que j’ai fait les màj.

Donc non ce n’est pas “très bien comme ça”. Même en laissant les trucs par défaut (je n’ai pas changé la config par défaut sur mon PC non plus) les màj ne se font pas forcément, et surtout pas sous Windows où il faut parfois redémarrer plusieurs fois.

sebfourmis

Tiens je pensais que seul les places d’échanges de BitCoin était vulnérable!
 
On m’aurais menti?

FrenchPig a écrit :

Du coup plus rien n’a de valeur et retour au troc " />

En fait, historiquement, c’est tout le contraire qui s’est passé. Pendant les périodes où les banques avaient encore la possibilité d’émettre leurs propres banknotes, la compétition entre elles faisait qu’aucune n’avait intérêt à dévaluer sa propre monnaie, parce que sinon, c’était la ruine assurée lors des compensations. Le système fonctionnait très bien (ie sans crashs ou TBTF) avec des niveaux de réserves très souvent inférieurs à 2% (une chose impensable de nos jours). Voir l’œuvre de White et Selgin, pour l’historique.

pour te répondre vite fait, y’a effectivement une vuln ultra critique flash et adobe a toujours pas publié de correctif donc oui tu as la dernière version et oui tu es quand même vulnérable :)

Ensuite pour MS, j’ai constaté ca aussi mais y’a des patchs sortis en urgence pour des trucs un peu violents genre ca:http://breakingmalware.com/vulnerabilities/one-bit-rule-bypassing-windows-10-pro…

 

Même réponse. Tu peux créer des euros (bon, pour que ce soit toléré, il doit falloir aller chercher des libéraux bien extrêmes), libre aux autres de ne leur accorder aucune valeur.
De toute façon, l’argent c’est avant tout une question de confiance. Quand ta banque te dit que tu as 1000€ sur ton compte, c’est du vent. Mais tu as confiance dans le fait qu’elle fera ce qu’il faut pour que tu puisses les dépenser comme si c’était pas du vent.
Dans un monde 100% libre où tu as le droit d’inventer des euros, la question sera de savoir qui te fera suffisamment confiance pour accorder autant de valeur à 1€uzak qu’à 1€BCE.

Zerdligham a écrit :

J’ai toujours tendance à me dire que sur les systèmes ultra-sensibles, il devrait y avoir une sorte de pare-feu ultra-basique mais au code formellement démontré qui ne laisse passer vers la machine sensible que des trames répondant à une syntaxe ultra-limitée.
Genre pour un DAB, si tu n’autorise que deux commandes, une dans un sens type “check compte xxx contient xx€” et l’autre dans l’autre sens type “compte xxx contient xx€ oui/non”, j’ai beaucoup de mal à voir par quel biais on pourrait l’attaquer.
Il doit y avoir une subtilité qui m’échappe.

Ton système formellement démontré il faut bien l’implémenter et il faut bien le faire tourner sur un OS qui tournera aussi sur du matériel spécifique. Il faut aussi garantir l’implémentation, l’OS et prendre en compte la fiabilité du matériel utilisé.

Les méthodes formelles c’est bien dans un environnement controllé et controlâble, mais il y a toujours des risques liés à l’environnement (suffit de voir là où on utilise des méthodes formelles, les trains, avions & co, au final au niveau système on ne peut que garantir un taux d’évenements redoutés, rien de sûr à 100%).

Alors clairement on pourrait faire un pare-feu séparé qui filtrerai les entrées sorties. Mais ça veut dire que le machin est soit limité aux parties non chiffrées (donc à part les @IP et les ports, il ne filtrera pas grand chose). Soit est capable de déchiffrer les trucs mais du coup on s’éloigne du concept du truc simple et basique. Et la partie preuve formelle risque de s’alourdir un peu.
Ou alors faut rajouter un module de déchiffrement en amont du parfeu.

Évidemment on ne tourne pas sur un OS complexe. Javais écrit ultra-basique " />
J’avais pensé au chiffrement qui rend la chose plus complexe, mais je pense que ça reste accessible à la preuve formelle, ou au pire on met en série chiffrement - parefeu - DAB.

Un DAB est un environnement infiniment plus contrôlé qu’un avion, et je ne parle même pas de contrôler le DAB dans son ensemble, seulement ses communications avec l’extérieur.

thinkerone a écrit :

pour te répondre vite fait, y’a effectivement une vuln ultra critique flash et adobe a toujours pas publié de correctif donc oui tu as la dernière version et oui tu es quand même vulnérable :)

Ensuite pour MS, j’ai constaté ca aussi mais y’a des patchs sortis en urgence pour des trucs un peu violents genre ca:http://breakingmalware.com/vulnerabilities/one-bit-rule-bypassing-windows-10-pro…

Pour Flash c’était il y a quelques temps déjà (genre 3-4 semaines).
Pour MS je ne vois toujours pas pourquoi la màj doit se faire en plusieurs redémarrage. C’est déjà suffisamment pénible un redémarrage (je suis en double boot et Win n’est pas mon premier choix donc je dois surveiller le passage de Grub pour éviter de me retrouver sous Lin) mais alors si je dois en faire plusieurs…

sanscrit

hum ! je disconviens, il n’y a aucun windows XP dans les avions, et il n i a aucune certification pour les créateur de DAB contrairement a l’aviation.

si tu parle d’envirronement, dans un avion la cabine est pressurisé, et permet d’etre a 10 000 pieds sans avoir besoin de masque :). il y a pas mal de BSOD de DAB qui traine sur la toile, meme pas un chien de garde hard pour ce genre de pb, ou de fall-back.

JohnDeuf

Hello !

Aurait-on une liste de toutes les banques touchées ?

duvielbourg

Des ATM sous XP !!! ca leur pendait au nez…
Ils attendent quoi pour migrer les ATM et autre poste sensible sous LINUX ??? un autre milliard partie dans la nature ??

eliumnick a écrit :

Résumer la sécurité en informatique au MAJ windows et aux navigateurs………………………………………………………

Bah on a bien essayé de patcher les humains, mais ça ne marche pas trop… Mais ces deux softs (+ office) font quand même bien 90% du temps d’utilisation d’un user lambda, donc c’est pas résumé, mais c’est un minimum :)

Ah… un posteur qui poste sous XP " />

Sinon si tu savais, malheureux, le nombre de systèmes critiques qui tournent encore sous XP dans l’industrie, en général…..
Machines “standalone” souvent, donc rarement sur le net voire jamais, MS ne les voit pas, je me demande vraiment si elles apparaissent dans les stats d’utilisation des OS…

duvielbourg a écrit :

Des ATM sous XP !!! ca leur pendait au nez… Ils attendent quoi pour migrer les ATM et autre poste sensible sous LINUX ??? un autre milliard partie dans la nature ??

linux c’est comme XP,  il faut faire les MAJ pour que ça ne soit pas vulnérable!

Z-os Abonné

l’individu qui écoute entre le DAB et le central pourrait anticiper la réponse en envoyant lui même un message sur le réseau qui répond “oui” à la question par exemple (dans un système ultra-simple). Pour contrer cela, le DAB devrait contrôler qu’il n’a pas deux fois la trame de réponse pour une question posée.

jinge a écrit :

linux c’est comme XP,  il faut faire les MAJ pour que ça ne soit pas vulnérable!

Techniquement parlant, même mis à jour, les deux risquent d’être vulnérables quand même…
On ne m’enlèvera pas de l’esprit que l’un plus que l’autre, mais bon…

donutboy63 Abonné

à mettre des windows faut pas s’étonner
 

wormidable

Pas etonnant du tout. Les banques ont toujours maintenu le silence le plus complet possible sur leurs failles et vulnerabilites. (Voir ce qui arrive a ceux qui denoncent les failles de securite des cartes bancaires.)

psn00ps Abonné

RaoulC a écrit :

Pour ce que j’ai vu du sérieux du SI de certaines banques….
Des serveurs sous dimensionnés pour faire des économies de bouts de chandelles par exemple...      
Des offres d’emploi pour des gens qui font du COBOL, en 2015…  

Tu veux leur mettre du .NET, pour que ça plante sous la charge ?
(Je dev en C#)

anonyme_f168d692f50618cb9f3fd8cadce4e6bc

Dans ma prochaine vie je serai gangster mondialement connu et on écrira des livres et des films sur ma vie, car en fait sans hésitation je peux dire que la droiture ne paie pas. Bien au contraire.

Illuminati

Y’a un truc que la news ne dit pas.
C’est que l’attaque des hackers se poursuit en ce moment même.
Des millions de dollars continuent de disparaître chaque jour.

psn00ps a écrit :

Tu veux leur mettre du .NET, pour que ça plante sous la charge ?
(Je dev en C#)

Aucune idée mais quand même, c’est pas un peu obsolète ca, COBOL?
A tel point qu’ils ont surement du mal a trouver des gens qui en font encore…
Cela n’est surement même plus enseigné.
 
(Dit celui qui bidouille parfois en ASM #fauxcul)

tmtisfree a écrit :

Même si c’était vrai, qui a dit le contraire ? Cela n’a rien à voir avec le sujet du commentaire originel. On a le droit de se fourvoyer, et le reconnaitre n’a rien de déshonorant, au contraire. Je suis même prête à admettre que tu as fait des efforts sur l’orthographe ces derniers temps, juste un peu trop grossier à mon goût. " />

Bien sûr qu’on a le droit de se tromper, mais en l’occurrence, si tu reprends le commentaire originel de IceSky, il parle de création illégale de monnaie grâce à un remboursement du préjudice, ce qui serait une création de monnaie fiduciaire, ce qui est totalement proscris.

Et donc personne ne remboursera cet argent à partir de rien.

FunnyD a écrit :

Coooooolllll

Je vais créer la HyogaCoin!!!!! Elle vaudra 10 ShyriuCoin!

Et 10 HyogaCoin vaudront 1 ShiryuCoin " /> " />

Non mais laisse le. Il pense que des transactions bancaires, c’est trivial et ce n’est rien d’autre qu’une simple addition. Il pense aussi que le marché en façade n’evolue pas et que l’historique peut etre écrasé sans peine.

Les cartes de crédit n’appartiennent pas aux banques.

Un des grands avantages du cobol c’est que c’est lisible par tout le monde justement.
Il y a tous les outils pour gérer du DB2, des flux XML.. On fait même de l’UML (euh, oui bon, enfin, faut le dire vite. On utilise Rational.. plutôt )
Une formation cobol/mainframe, tu en as pour 4 à 6 semaines, cela coute un peu cher pour les ENS ma ce n’est pas la mort, c’est vite rentabilisé.

Et que, ma fois, on n’a pas encore fait mieux qu’IBM pour faire du transactionnel. " /> (quoi mon pseudo ?)

Kayno

Expérience inside, j’y bosse dans une banque ;). Vous pouvez sécuriser les réseaux autant que vous voulez, la faille ne vient jamais du technique. C’est toujours l’humain qui ouvre la brèche.

La clé usb trouvé sur le parking, l’appel d’un soit disant responsable énervé qui demande les accès de la secrétaire, le mail.. le fax…

Pas besoin de cracker un réseau, le personnel est bien plus facile a cracker. Il existe toute une génération de travailleurs non sensibilisés aux problèmes de sécurité informatique, imaginez Monsieur X qui a commencé a travailler a la banque avec le petit cahier du livret A du client !

Le personnel se renouvelle et la sensibilisation aux problèmes de sécurité est omniprésente, mais il y aura encore qques belles années pour les pirates ;)

ActionFighter a écrit :

Bien sûr qu’on a le droit de se tromper, mais en l’occurrence, si tu reprends le commentaire originel de IceSky, il parle de création illégale de monnaie grâce à un remboursement du préjudice, ce qui serait une création de monnaie fiduciaire, ce qui est totalement proscris.

Et donc personne ne remboursera cet argent à partir de rien.

1/ La définition de monnaie fiduciaire est “Monnaie circulant sous la forme de billets de banque et de pièces.”, quoique tu en penses. Tu confonds avec monnaie scripturale (compte, chèque, virement, CB, etc).
2/ Tu n’as manifestement pas lu/compris son commentaire qui est en réponse à “artificiellement gonflé des comptes” (donc sous forme de monnaie scripturale, cf définition en 1/). Il dit spécifiquement et correctement qu’il n’y a “pas de préjudice ici, puisqu’il n’y a pas de vol”, et donc pas de remboursement. Enfin il écrit “Les seuls responsables qui devraient être jugés sont les banques qui permettent de créer de la monnaie à partir de rien… ” : là aussi, il parle bien évidemment de monnaie scripturale, puisque comme tu le dit toi-même les banques commerciales ne peuvent pas créer de monnaie physique, et encore moins à partir de rien.

Bref pour conclure, ce sont réellement les banques commerciales qui créent la grande majorité de la monnaie (sous forme scripturale), et pas les BCs.

Bobmoutarde

Ca me rappelle cette histoire où des gamins avaient trouver la notice d’un DAB sur internet. En lisant cette notice, tu trouvais des commandes pour accéder au DAB et faire sortir les billets.
Sympa les gamins ont averti la banque dans la foulée.

anonyme_97254becd5c5b064755d6772703ed968

Le si mondial va s’écrouler , ce n’est pas les technologies qui doivent changer : mais nos comportements !

ActionFighter a écrit :

Et 10 HyogaCoin vaudront 1 ShiryuCoin " /> " />

J’étais sûr d’écrire une connerie " /> mais je n’ai pas pris le temps de vérifier " />

Rappel :

Eduquez-vous (si les écoles diffusaient cette vidéos le monde serait bien entendu … différent !)

https://www.youtube.com/watch?v=syAkdb_TDyo
 

Winderly Abonné

Je cite ce qui est écrit à l’arrière de ma carte bancaire :
“IMPORTANT : Carte strictement personnelle, propriété de la banque émettrice qui peut…blah blah blah”

Donc soit j’ai raté un truc, soit les cartes appartiennent bien aux banques.

ledufakademy a écrit :

Rappel :

Eduquez-vous (si les écoles diffusaient cette vidéos le monde serait bien entendu … différent !)

https://www.youtube.com/watch?v=syAkdb_TDyo

Documentaire déjà vu et discuté précédemment et qui ne dit pas autre chose : l’argent (la monnaie scripturale) est créé par les banques commerciales par nécessité.

je suis pas sur qu’un code en cobol aurait mieux supporté la charge …

mykoD

Inny a écrit :

C’est surtout que la plupart des banques vont très loin pour se rendre vulnérables.
En 2009, le gouvernement belge a imposé l’usage exclusif d’IE 6 dans ses institutions. Ce qui implique XP.
Le résultat, aujourd’hui, c’est que le ssl utilisé par ces banques est très vulnérable.

Petite correction: il ne s’agit pas du gouvernement belge, mais du gouvernement wallon (approximativement la partie francophone du pays). 
Et il n’y a pas vraiment de lien entre le fait que les banques belges soient trouées niveau sécurité et le fait que le gouvernement wallon le soit également… C’est juste qu’ils sont aussi dirigés par des incompétents ;-)

sscrit a écrit :

hum ! je disconviens, il n’y a aucun windows XP dans les avions, et il n i a aucune certification pour les créateur de DAB contrairement a l’aviation.

si tu parle d’envirronement, dans un avion la cabine est pressurisé, et permet d’etre a 10 000 pieds sans avoir besoin de masque :). il y a pas mal de BSOD de DAB qui traine sur la toile, meme pas un chien de garde hard pour ce genre de pb, ou de fall-back.

Quand je parle d’environnement, je parle de l’environnement du logiciel considéré et qui pourrait en influencer le comportement, pas de savoir s’il fait froid, humide ou s’il y a beaucoup d’oxygène dans l’air :

pour un logiciel de DAB, c’est les entrées-sorties réseau et les touches clavier entrées par l’utilisateur

pour un logiciel d’avion, c’est les actions du pilote, les 10000 paramètres météos importants, les pannes mécaniques…
Je persiste et je signe, la complexité de l’environnement d’un DAB est très très réduite par rapport à celle d’un avion. Ça veut pas dire que ce soit trivial, loin de là, mais il est probablement plus réaliste d’espérer tous les prendre en compte.

L’idée de contrôler de façon précise l’environnement est justement de limiter le besoin de contrôler l’intérieur lui-même. On sait bien que sécuriser parfaitement un OS est illusoire (que ce soit XP ou n’importe quoi d’autre), une autre méthode pour éviter de se faire hacker est de sécuriser l’environnement. Si tu ne peux atteindre la machine sous XP qu’avec quelques messages bien définis, il sera largement plus difficile de la hacker.

Z-os a écrit :

l’individu qui écoute entre le DAB et le central pourrait anticiper la réponse en envoyant lui même un message sur le réseau qui répond “oui” à la question par exemple (dans un système ultra-simple). Pour contrer cela, le DAB devrait contrôler qu’il n’a pas deux fois la trame de réponse pour une question posée.

Oui, mais ça c’est un piratage du protocole de communication, pas du DAB lui-même.
On peut imaginer que les communications soient chiffrées (j’espère que c’est déjà le cas), ce qui signifie que casser le protocole revient à pirater le serveur qui répond. Et à ce moment-là, je pense que le vidage du DAB est le dernier des soucis de la banque " />

Z-os a écrit :

Un des grands avantages du cobol c’est que c’est lisible par tout le monde justement.
Il y a tous les outils pour gérer du DB2, des flux XML.. On fait même de l’UML (euh, oui bon, enfin, faut le dire vite. On utilise Rational.. plutôt )
Une formation cobol/mainframe, tu en as pour 4 à 6 semaines, cela coute un peu cher pour les ENS ma ce n’est pas la mort, c’est vite rentabilisé.

Et que, ma fois, on n’a pas encore fait mieux qu’IBM pour faire du transactionnel. " /> (quoi mon pseudo ?)

Merci d’avoir éclairé ma lanterne. Comme quoi, je fais bien d’employer le conditionnel moi " />
Cette info risque en plus de m’être utile !

tmtisfree a écrit :

1/ La définition de monnaie fiduciaire est “Monnaie circulant sous la forme de billets de banque et de pièces.”, quoique tu en penses. Tu confonds avec monnaie scripturale (compte, chèque, virement, CB, etc).
2/ Tu n’as manifestement pas lu/compris son commentaire qui est en réponse à “artificiellement gonflé des comptes” (donc sous forme de monnaie scripturale, cf définition en 1/). Il dit spécifiquement et correctement qu’il n’y a “pas de préjudice ici, puisqu’il n’y a pas de vol”, et donc pas de remboursement. Enfin il écrit “Les seuls responsables qui devraient être jugés sont les banques qui permettent de créer de la monnaie à partir de rien… ” : là aussi, il parle bien évidemment de monnaie scripturale, puisque comme tu le dit toi-même les banques commerciales ne peuvent pas créer de monnaie physique, et encore moins à partir de rien.

Bref pour conclure, ce sont réellement les banques commerciales qui créent la grande majorité de la monnaie (sous forme scripturale), et pas les BCs.

La vraie définition de monnaie fiduciaire est : monnaie dont la valeur est basée sur la confiance accordée à l’émetteur. Et en ce sens, les comptes de dépôts peuvent être considérés comme de la monnaie fiduciaire.

Il n’y a pas de création monétaire scripturale, ou alors une création tout de suite détruite par le jeu des écritures comptables.
Le seul moyen qu’il y ait une réelle création monétaire, qu’elle soit fiduciaire ou scripturale, ce serait qu’il y ait un remboursement effectif, ce qui n’arrivera pas.

Par contre, en effet, j’ai lu trop vite la dernière phrase, que je pensais liée avec le début, mais qui n’a en fait rien à voir.

edit : par contre, “créée à partir de rien”, ça c’est inexact. Sans réserves, personne n’accorde de confiance à des titres.

thinkerone a écrit :

Bah en fait pour revenir à la triste réalité je connais des banques où depuis n’importe quelle prise réseau en agence tu ping le DAB que tu veux partout en france, la sécurité info est très variable dans les banques suivant les filliales/ les métiers (high speed trading vs trading vs assurance vs banque de particulier) tu as pas les mêmes considérations et pas les mêmes budgets sécurisation.
Si a ca tu ajoutes l’historique (bon nombre de banques ont des réseau ne respectant pas la RFC1918 par exemple) la désillusion est au pas de la porte

Je pourrais ajouter un exemple assez savoureux à ce sujet : ça fait pas loin de 10 ans (heureusement corrigé depuis), je pouvais rentrer sans mot de passe (!) dans le réseau d’une agence bancaire à coté de chez moi en WiFi et explorer/pinger les machines sur ce subnet … Si je me suis bien gardé de tenter quoi que ce soit, certaines personnes ont peut être fait des dégâts ? Je précise que le réseau (erreur à ne pas faire) était bien déclaré/nommé comme était celui de l’agence en question …

Le souci n’a duré que deux à trois semaines de mémoire, mais ça reste (bien trop) long et laisse toute latitude à une eprsonne mal intentionnée pour faire pas mal de dégâts …

ActionFighter a écrit :

La vraie définition de monnaie fiduciaire est : monnaie dont la valeur est basée sur la confiance accordée à l’émetteur. Et en ce sens, les comptes de dépôts peuvent être considérés comme de la monnaie fiduciaire.

Il n’y a pas de création monétaire scripturale, ou alors une création tout de suite détruite par le jeu des écritures comptables.
Le seul moyen qu’il y ait une réelle création monétaire, qu’elle soit fiduciaire ou scripturale, ce serait qu’il y ait un remboursement effectif, ce qui n’arrivera pas.

Par contre, en effet, j’ai lu trop vite la dernière phrase, que je pensais liée avec le début, mais qui n’a en fait rien à voir.

1/ C’est une interprétation possible de la monnaie en générale, pas de la monnaie scripturale, ni de la monnaie fiduciaire, ni de la monnaie divisionnaire (cf là encore). Je ne sais pas où tu pèches tes définitions mais elles ne sont pas correctes et encore moins précises (du travail de boucherie collectif type Wikipedia sans doute).
2/ Si c’était le cas (pas de création monétaire scripturale), aucune banque ne pourrait fonctionner puisque les prêts et l’existence de réserves fractionnaires inférieures à 100% impliquent logiquement la création de monnaie sur compte (courant ou sur livre), ce qui n’est, par définition pas la monnaie physique (personne ne repart avec une valise de chez son banquier après avoir obtenu un prêt).

Donc non, les BCs ne sont ni les seules à créer de la monnaie scripturale et encore moins les principales. La BC english l’explique très bien (pdf). Mais que vaut l’expertise de professionnels quand on peut modeler sa pseudo-réalité interne à son envie.

Lochnar

L’avantage du COBOL c’est qu’il y a  une énorme base d’appli codé dans ce langage (par exemple dans les banques) et qu’il faut les maintenir, puisque pas de budget pour les migrer vers un autre langage (on ne change pas ce qui marche) … Avec très peu de formations qui l’enseigne, c’est devenu depuis 5-10 ans un enjeu de trouver des développeurs cobol :)

RaoulC a écrit :

Aucune idée mais quand même, c’est pas un peu obsolète ca, COBOL?
A tel point qu’ils ont surement du mal a trouver des gens qui en font encore…
Cela n’est surement même plus enseigné.

(Dit celui qui bidouille parfois en ASM #fauxcul)

Le problème du COBOL est que c’est infâme à programmer (pas plus de 80 colonnes par ligne). Sinon, ça doit toujours être enseigné …

tmtisfree a écrit :

1/ C’est une interprétation possible de la monnaie en générale, pas de la monnaie scripturale, ni de la monnaie fiduciaire, ni de la monnaie divisionnaire (cf là encore). Je ne sais pas où tu pèches tes définitions mais elles ne sont pas correctes et encore moins précises (du travail de boucherie collectif type Wikipedia sans doute).
2/ Si c’était le cas (pas de création monétaire scripturale), aucune banque ne pourrait fonctionner puisque les prêts et l’existence de réserves fractionnaires inférieures à 100% impliquent logiquement la création de monnaie sur compte (courant ou sur livre), ce qui n’est, par définition pas la monnaie physique (personne ne repart avec une valise de chez son banquier après avoir obtenu un prêt).

Donc non, les BCs ne sont ni les seules à créer de la monnaie scripturale et encore moins les principales. La BC english l’explique très bien (pdf). Mais que vaut l’expertise de professionnels quand on peut modeler sa pseudo-réalité interne à son envie.

Non, je me réfère à l’étymologie du mot fiduciaire, qui vient de confiance.

Et tu ne m’as pas compris, je ne contredis pas ta conclusion précédente, qui est exacte, je parle du cas spécifique de la news.

Il est évident que l’émission d’un titre scriptural est une création monétaire (qui sera détruite par remboursement ou par retrait).

Dans les migrations sur lesquelles j’ai travaillé, le cobol est remplacé par … du cobol. " />
D’accord, l’IHM devient plus sexy, on passe du 3270 à quelque chose utilisable dans un navigateur internet.

ActionFighter a écrit :

Non, je me réfère à l’étymologie du mot fiduciaire, qui vient de confiance.

Et tu ne m’as pas compris, je ne contredis pas ta conclusion précédente, qui est exacte, je parle du cas spécifique de la news.

Il est évident que l’émission d’un titre scriptural est une création monétaire (qui sera détruite par remboursement ou par retrait).

1/ Ce n’est pas une définition, donc. La définition actuelle et en usage par tout le monde est telle que celle que j’ai donnée plus haut.
2/ La news parle de DAB, de comptes, etc , soit de monnaie au sens large. De part le contexte, le commentaire originel discutait de monnaie au sens scripturale. “Seules les banques centrales sont habilitées à créer de la monnaie” est donc faux, ce que tu reconnais maintenant. Soit, on en reste là alors.
3/ L’inverse n’est pas vrai, ce qui était notre différent.

tmtisfree a écrit :

1/ Ce n’est pas une définition, donc. La définition actuelle et en usage par tout le monde est telle que celle que j’ai donnée plus haut.
2/ La news parle de DAB, de comptes, etc , soit de monnaie au sens large. De part le contexte, le commentaire originel discutait de monnaie au sens scripturale. “Seules les banques centrales sont habilitées à créer de la monnaie” est donc faux, ce que tu reconnais maintenant. Soit, on en reste là alors.
3/ L’inverse n’est pas vrai, ce qui était notre différent.

J’ai effectivement uniquement pensé aux comptes de dépôts et DAB, donc monnaie fiduciaire, d’où la confusion.

Oui, mais peu de gens savent exactement ce minima concernant l’argent !
Ce n’est pas parce que toi tu sais, que tout le monde sais …

Carte de crédit est différent d’une carte bancaire.

Sources comme quoi les banques seraient trouées au niveau sécurité?

Oui, mais bon légalité et honnêteté ne font plus bon ménage…

Cedrix a écrit :

Sources comme quoi les banques seraient trouées au niveau sécurité?

Oh pour te donner un exemple, même pas besoin de remonter très loin (quelques jours):
https://yeri.be/belgian-banks-ssl

Il y a eu quelques articles dans les journaux mais pas énormément.

Cedrix a écrit :

Carte de crédit est différent d’une carte bancaire.

Ah oui, j’ai pris l’habitude (en imitant d’autres) d’appeler ça à tort carte de crédit.

panda09

“Carbanak : cyberattaque contre des banques, préjudice estimé à un milliard de dollars”
 
Pas de souci, ce sont les clients qui, une fois de plus paieront, d’une façon ou d’une autre, la note…

ungars

DHKold a écrit :

Sauf que les banques sont des entreprises privées et n’ont donc pas à se soumettre aux règles d’applications décidées pour les institutions publiques.

Les lois votées par la représentation nationale ne s’appliquent pas aux banques privées ?
MAIS C’EST QUOI CETTE BOUFFONNERIE ??? 

Iceksy a écrit :

“préjudice estimé à un milliard de dollars” => Ils ont artificiellement gonflé des comptes avant de transférer le surplus sur leurs propres comptes.

Y a pas de préjudice ici, puisqu’il n’y a pas de vol.
Par contre, y a de la création de fausse monnaie, illégale mais intracable.

Les seuls responsables qui devraient être jugés sont les banques qui permettent de créer de la monnaie à partir de rien…

J’avais plutôt compris le vol d’argent pur et simple aux DAB, et le transfert illicite d’argent de compte à compte…

canti a écrit :

je suis pas sur qu’un code en cobol aurait mieux supporté la charge …

Mais un serveur z/OS avec un SYSPLEX IMS, oui…
COBOL est un langage performant : en moyenne 1,5 instruction machine pour une instruction symbolique…

Pour le cas de mon employeur, je te démonte tous les arguments un par un.

Désolé mais ce qui est paru ces derniers jours dans la presse était de la pure desinformation.

Cedrix a écrit :

Pour le cas de mon employeur, je te démonte tous les arguments un par un.

Désolé mais ce qui est paru ces derniers jours dans la presse était de la pure desinformation.

Je ne sais pas où tu travailles exactement mais chez la banque au lion par exemple, ça ne l’était pas ;-)

Non, je ne suis pas à la banque au lion. Mais encore une fois, il faut avoir la photo globale. Tu peux très bien imaginer avoir le SSLv3 activé mais que cela ne fasse que rediriger vers une page d’information et aucun site transactionnel (qui est d’ailleurs protégé par UCR).

Le point d’entrée d’une banque n’est pas la seule considération. La seule véritable vulnérabilité pouvait etre le TLSv1 padding… Et encore on peut tout autant imaginer s’en passer aussi.

Les banques ne sont pas des institutions publiques, donc non, elles n’ont pas à appliquer une directive qui est “destinée aux administrations et institutions publiques”…

Et je passe sur le fait que tu me sors “représentation nationale” alors qu’on parle d’un gouvernement régional…

Carbanak : cyberattaque contre des banques, préjudice estimé à un milliard de dollars

De Carbanak à Tabarnak, il n'y a qu'un pas

Une campagne de phishing ciblée et c'est le drame

Des distributeurs qui donnent de l'argent sans qu'on leur demande

Un rappel intéressant : personne ne « peut s'estimer à l'abri »

Tiens, en parlant de ça :

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

Toxique de répétition

Devenir expert en sécurité informatique en 3 clics

Ou comment briller en société (de service)

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Dangereuse, mais spécifique ?

Sommaire de l'article

Introduction

Une campagne de phishing ciblée et c'est le drame

Des distributeurs qui donnent de l'argent sans qu'on leur demande

Un rappel intéressant : personne ne « peut s'estimer à l'abri »

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

Devenir expert en sécurité informatique en 3 clics

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

Plainte contre l’alternative paiement ou publicité comportementale de Meta

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

La Commission européenne et Google proposent deux bases de données de fact-checks

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Usages et frugalité : quelle place pour les IA dans la société de demain ?

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Semi-conducteurs : un important accord entre l’Europe et l’Inde

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

651e édition des LIDD : Liens Intelligents Du Dimanche

#Flock, le grand remplacement par les intelligences artificielles

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Encapsulation de clés et chiffrement d’enveloppes

Empreintes digitales : les capteurs Windows Hello loin d’être exemplaires

#LeBrief : succès du test d’Ariane 6, réparer plutôt que remplacer, Broadcom finalise le rachat de VMware

Commentaires (125)