bilbonsacquet a écrit :



Ça serait déjà bien qu’ils permettent l’utilisation des coffres forts de mots de passe, plutôt que leur système de pseudo clavier tout pourri avec un mot de passe au final super faible… (idem pour Boursorama du même groupe).





Je travaille pour la sécurité informatique d’une banque, et si tu crois que la sécurité de ton compte repose uniquement sur un code PIN ou un mot de passe, tu es bien ignorant de comment ça se passe dans le vrai monde. Quand à la biométrie sur les smartphones, ça relève du gadget, et j’en parle là aussi en connaissance de cause : il vaut mieux un code PIN sur 4 caractères !







Cumbalero a écrit :



Boursorama faisant partie du groupe SG, il utilise les outils et infras de la SG. Ça veut dire des dates de valeur délirantes qui ajoutées à une actualisation du solde par batch nocturne rendent impossible de connaître la réalité de tes avoirs.





Quelles sont tes sources ? Je sais que je n’arriverai pas à te faire changer d’avis, mais sache que Boursorama n’utilise pas les mêmes outils ni même la même infra que la banque Société Générale. Donc rien à voir. Quant au hoax sur la date de valeur, idem : quelles sont tes sources ? Je suis client et il n’y a pas de dates de valeur (en tout cas pour les particuliers, pour les pros, je ne sais pas).

Ok, je comprends. Sur le token MFA, ça devrait arriver sur plusieurs banques avec la directive DSP2 (bien que cette directive soit une grosse #\(^ selon moi). Quant au changement de mot de passe à intervalle régulier, c'est aussi une #\\)^ sans nom que même l’auteur de cette recommandation (du NIST) regrette.



Pour ce qui est du gestionnaire de mot de passe, je suis circonspect : mettre un mot de passe super balèze, c’est bien, mais les troyens bancaires s’en fichent pas mal, ils l’interceptent très bien. Le problème est de sécuriser la saisie du mot de passe afin qu’il ne soit pas intercepté sur le poste du client (c’est le rôle du clavier virtuel, pénible mais utile).



Pour les achats CB, il y a deux volets : la banque ne peut les comptabiliser que quand le commerçant envoie les opérations ! Il y a d’ailleurs toujours la date de l’opération dans le libellé carte bleue (en général la date où on a fait la transaction), mais rien n’empêche le commerçant de transmettre les opérations plusieurs jours plus tard. C’est vrai pour toutes les banques : elles dépendent de la rapidité du commerçant.



Bon, je réponds que sur les points que je connais, pour les autres : " />

Cumbalero a écrit :



3/ un exemple parmi tant d’autres pour te contredire







Désolé, un obscur message de 2009 qui parle d’opérations sur compte-titres ne renseigne en rien sur les dates de valeurs d’un compte courant en 2020 (en plus, en 2009, Bourso n’était pas dans le groupe Société Générale, cf wikipedia).



Par ailleurs il n’existe pas de “GIE”, Bourso n’est même pas sur le même réseau informatique que le reste, ça fait au moins 10 ans qu’ils sont chez NTT, ils viennent même de renouveler leur partenariat. Enfin, si tu avais vraiment bossé pour ce groupe ou même dans n’importe quelle grande banque, tu saurais que les applications sont TRES loin d’être unifiées, notamment en raison des fusions ou des rachats.







Cumbalero a écrit :



Ah.

Eh ben on voudrait savoir laquelle vu le niveau des bêtises proférées.





Désolé, c’est moi qui ne te recruterait certainement pas au vu de ta méconnaissance du sujet, des méthodes des attaquants et des moyens de s’en prémunir. Le clavier virtuel n’est pas LA solution, il a des défauts, mais il complique la tâche des attaquants. Pour la temporisation des IBAN, chez moi c’est instantané, je peux faire un virement dans la foulée (je l’ai fait il y a quelques jours). Tu es sûr de parler d’une banque française ?

joma74fr a écrit :



Pour ma part, je peux citer La Banque Postale. Ca sert à temporiser et à vérifier dans l’éventualité d’un piratage/phishing.





D’un point de vue sécurité, c’est une très bonne chose…