Le 03/09/2022 à 12h 03

Flock fait poète-poète…

Le 26/08/2022 à 07h 24

Point 1 : un gestionnaire de mot de passe en ligne, c’est une cible de choix pour un méchant pirate.
Point 2 : effectivement LastPass (tout comme DashLane) a eu des soucis assez sérieux avec la qualité de son code, pointée par Tavis Ormandy.
[taquin]
J’espère que les pirates en auront profité pour améliorer le code existant…
[/taquin]

Le 18/08/2022 à 14h 23

Mon petit grain de sel : je m’étonne que David Jao s’étonne. Je ne suis pas un docteur en crypto (j’en connais ), mais dans ce petit monde on s’accorde sur le fait que les premières versions d’algos se font en général plomber au moins une fois au début : c’est l’éternel problème en sécurité informatique où le défenseur n’a pas le droit à la moindre erreur, alors qu’il suffit d’une erreur à l’attaquant.

Certes les algos sont créés avec l’idée qu’ils vont être attaqués (hélas on vit dans un monde plein de méchants), mais il est impossible de faire le tour des attaques imaginables “en chambre”. La publication fait office de top départ pour toutes les équipes s’intéressant à la crypto pour tenter de casser le nouveau venu. Cela permet d’évaluer la robustesse du nouvel algo, de corriger les faiblesses, ou d’abandonner si le défaut est trop critique.

En résumé : ça n’était pas souhaité, mais prévisible !

Le 04/07/2022 à 14h 19

Après faut pas oublier la future Grande Guerre de 2077…

Le 23/06/2022 à 12h 21

(reply:2078717:xouboudou) C’est prévu dès que je sors la tête de l’eau

Le 20/06/2022 à 10h 24

(reply:2077863:gathor) Presque…

Le 20/06/2022 à 08h 08

Très bonne semaine Flock, c’est un sans-faute ! Et t’inquiète pas pour les sous, il reste les arnaques sur les crypto-actifs (ou les escroqueries amoureuses).

Le 17/06/2022 à 06h 50

Magie de la mécanique quantique : à chaque fois que tu “lis” l’état d’une particule, tu le modifies. Donc un contrôle d’intégrité montrera le problème à l’arrivée. Mais bon c’est dit de façon très simplifiée…

Le 16/06/2022 à 15h 49

Oui, contrairement aux ordinateurs quantiques qui ne sont pas encore au point (d’un point de vue industriel), on sait déjà transmettre (sur qqs centaines de km) une clé secrète par un mécanisme quantique. Et en effet quand on essaye de lire le signal, on le modifie, ce qui se voit avec un “simple” contrôle d’intégrité.

Le 04/06/2022 à 16h 10

Flock nous montre son vrai visage…

Le 04/05/2022 à 08h 54

Encore un coup de David L…

Le 05/04/2022 à 12h 45

Les apéros en visio, c’est quand même moins marrant. Mais bienvenue Ilda !

Et sinon il aura un petit nom marrant, le TADPF (Trans-Atlantic Data Privacy Framework), genre Safe Harbor/Privacy Shield : Data Shell ? Sinking Armor ? On lance un concours ?

Le 02/04/2022 à 17h 23

En effet. Quand il s’agit de gérer la sécurité de l’OS, les constructeurs considèrent que le code PIN reste supérieur à la biométrie. De là à dire qu’ils n’ont pas confiance…

Pour les combinaisons, un code PIN sur 4 c’est 10 000 possibilités, alors que le touchID donne 1 erreur sur 50 000 (c’est à peu près pareil sur Android). Mais le code PIN, on peut le révoquer et le changer en cas de problème. Et surtout 5x plus de combinaisons, en sécurité informatique, c’est légèrement mieux et non beaucoup mieux (ça dépend des scenarios d’attaques et de plein d’autres choses, mais on raisonne surtout en pallier de x10). Et avec un code PIN sur 6 on dépasse le faceID.

A titre de comparaison, un mot de passe de 8 caractères composé uniquement de lettres (maj/min) et de chiffres donne 218 340 105 584 896 combinaisons.

Le 31/03/2022 à 16h 48

De plus, en cas de compromission, il est en général impossible de changer la source d’authentification (l’empreinte, la voix, la forme de la main…). En conséquence :

• Une fois compromise, une source d’authentification biométrique l’est pour toujours (elle est >permanente !)


• La compromission permettra l’authentification sur le système d’origine (de la compromission), >mais aussi sur tous les systèmes utilisant la même biométrie (elle est unique !)


• La seule parade consisterait en une détection du vivant mais c’est une tâche très complexe, >hors de portée d’un capteur qui ne mesure qu’une seule caractéristique (ou deux).


• Pour achever le tout, la biométrie n’est pas révocable : je ne peux pas changer mes caractéristiques.

Le 01/04/2022 à 12h 06

Et moi pour réduire le stockage, je supprimerai toutes les voyelles dans mes articles.

J cmmnc mntnnt.

Le 11/03/2022 à 09h 15

Celui qui détermine (= choisit) les contenus mis à la disposition du public sur un service qu’il a créé, c’est un éditeur, non ? Pas un simple hébergeur…

Le 07/03/2022 à 10h 13

Exactement. Vois avec Flock pour les modalités.

Le 03/03/2022 à 22h 25

“Sur le plan de l’arnaque, les coups les plus tordus ne sont rien, vous entendez, rien à côté de la peinture abstraite” dit Tonton à Alphonse, dans le film “la Métamorphose des Cloportes”. Aujourd’hui on pourrait dire : “Sur le plan de l’arnaque, la peinture abstraite n’est rien, vous entendez, rien à côté des NFT.”

Les œuvres numériques sont un cas d’usage parmi d’autres en effet, mais cet exemple a l’avantage d’être assez parlant et de bien montrer la faiblesse actuelle des NFT, à savoir le difficile lien entre la partie technologique et la partie juridique : on aurait exactement les mêmes problèmes avec l’authentification d’un diplôme, le suivi logistique, la vente de tickets ou autre, les NFT actuels n’apportant aucune avancée sur le cadre juridique.

En ce qui concerne le Web 3.0, il n’existe pas vraiment de définition aujourd’hui mais ce concept est souvent vendu avec l’idée de décentralisation, les NFT étant censés y aider. Or, au vu des mécanismes décrits dans l’article, on voit que seule une toute petite partie est véritablement “décentralisée”, et que les tiers de confiance (les “notaires”) qu’on est censé éliminer sont remplacés par des acteurs privés qui de facto sont les seuls dépositaires des actifs.

Le 06/03/2022 à 13h 44

La consécration : Flock qui illustre une de mes actus. J’écrase une larme.

Le 09/02/2022 à 14h 01

C’est une très bonne chose que le Cigref et l’ANSSI s’intéressent au sujet. Sur le concept de Zero Trust, c’est une idée apatride et surtout un mode d’architecture de sécurité qui n’est pas lié à des outils, on peut donc penser que les réflexions issues des discussions avec des entreprises anglo-saxonnes restent globalement pertinentes.

Mais cela reste un objectif difficile à atteindre car la tentation sera souvent de remplacer les sécurités existantes par les nouvelles, issues de cette architecture, avant que ces nouvelles protections ne soient suffisamment déployées et éprouvées. Exemple : on enlève les firewall périmétriques parce qu’on fait du Zero Trust. Selon moi, le Zero Trust devrait compléter les architectures existantes, devenues insuffisantes face à la professionnalisation des attaquants et la sophistication des attaques.

Un mot sur la biométrie : les puces de sécurité sont efficaces, mais la biométrie c’est plus du confort que de la sécurité

Le 01/02/2022 à 14h 33

Pas possible : je viens encore de recevoir un mail qui me dit qu’il faut investir dans Libra. C’est une fake news.

Le 28/01/2022 à 16h 08

(reply:1927104:eglyn) Ici non le système n’a que l’apparence d’un vrai site, pas comme dans d’autres systèmes utilisant les pyramides de Ponzi, par exemple. Le but du premier virement réel est de mettre en confiance l’utilisateur.

(reply:1927102:darkweizer) Zut je me rappelle plus mais c’était un message normal (genre est-ce que je peux changer de 2FA) pour voir s’ils poussaient le bouchon jusqu’à répondre, mais sans éveiller l’attention si jamais c’était vraiment lu.

(reply:1927100:alex.d.) C’est une question d’éthique. Bien que ça ne soit pas compliqué, je préfère ne pas diffuser largement le procédé, car CloudFlare permet entre autres de cacher les adresses IP réelles des sites. Ainsi, un pirate peu qualifié qui chercherait à faire un DDoS sur un site web (légitime) utilisant CloudFlare sera arrêté par CloudFlare. Mais s’il dispose de l’adresse réelle, il pourra taper directement. Autant éviter, même si ça n’arrêtera pas quelqu’un ayant quelques connaissances en la matière.

Le 28/01/2022 à 14h 52

Tu ne peux pas : c’est leur fameux mécanisme SaveProTM….

Le 27/01/2022 à 12h 52

Ils vont retirer les coins arrondis des fenêtres et remettre un design avec des fenêtres rectangulaires comme avant ? J’ai installé Win 11 sur mon PC portable mais quand j’avais vu l’apparence du truc, j’ai fait un retour arrière sur Win 10 tellement c’était moche et surtout incohérent. Et on ne peut même pas choisir ça dans un réglage d’apparence. Dommage, il y avait des fonctionnalités qui m’intéressaient.

Le 20/01/2022 à 16h 37

Je rempile Je parlerai de la crise de la cinquantaine, môa.

Le 14/01/2022 à 10h 39

Précisons : un algorithme n’est pas forcément du machine learning (ou de l’IA), loin de là. Par contre du machine learning, c’est toujours de l’algorithme. Pour paraphraser deathscythe0666, il serait beaucoup plus juste d’utiliser le terme “algorithme” pour du ML/IA que les termes ML/IA pour ce qui n’est qu’un algorithme tout ce qu’il y a de plus classique. Or effectivement ça n’est pas vendeur, donc on colle aujourd’hui l’étiquette ML/IA à n’importe quel algorithme, même simplissime, du moment qu’il brasse un grand nombre de données. Sauf que souvent ces données sont elles aussi simples, très structurées, et donc très loin de ce que l’on imagine être de l’intelligence artificielle.

Pour illustrer, quand on va allait dans les salons professionnels, il était devenu inconcevable de ne pas avoir l’un de ces mots (intelligence artificielle ou machine learning) sur son stand, ses plaquettes et ses slogans. Et dès que vous alliez discuter avec les représentants sur le stand, en leur demandant le fonctionnement de leur truc, on s’apercevait qu’il s’agissait la plupart du temps de fonctions basiques relevant d’algos traditionnels.

D’un point de vue personnel, je vois aussi mis en valeur des réussites de programmes de ML/IA. Mais quand on creuse, s’il est indiscutable que ces programmes donnent des résultats corrects, on se rend compte qu’on aurait obtenu les mêmes résultats de façon plus simple et plus efficaces avec des algos traditionnels mais avec un peu de réflexion et de conception au préalable.

J’ai peur qu’on ne s’en remette à des programmes d’IA le plus souvent par effet de mode et par paresse, en laissant le système “deviner” ce qu’on souhaiterait, avec souvent un résultat correct au prix d’un gaspillage formidable de ressources (CPU/RAM/disque/électricité) avec le risque supplémentaire de biais parfois très difficiles à rattraper. S’il est vrai qu’en théorie on peut corriger un algo qui déraille ou qui reproduit les biais humains, je suis pessimiste sur le fait que cela soit si simple que cela.

Le 11/01/2022 à 10h 43

oui, ATOS est une ESN, tu as raison, mais je n’ai pas dit “entreprise du secteur industriel” et on peut lire sur larousse.fr :

industrie nom féminin (latin industria, activité)
…

1. Toute activité économique assimilable à l’industrie : L’industrie du spectacle, des loisirs.


2. Activité organisée de manière précise et sur une grande échelle (souvent péjoratif) : L’industrie du crime.
   …

Avec 105 000 employés on peut se permettre ce genre ce licence…

Le 11/01/2022 à 09h 49

Bon c’est moi qui la fait : “Atos dévisse, hélas, c’est là qu’est l’os”.

Néanmoins c’est toujours assez curieux de voir qu’une entreprise industrielle qui a des difficultés chute en bourse alors que des startups et autres licornes qui n’ont aucune modèle économique et parfois aucun revenu sont valorisées à des sommets. Il y a un paradoxe : on dit que pour les startup c’est le “coût de démarrage” et qu’elles seront profitables dans le futur, ce qui est purement hypothétique (et souvent infondé) alors que des sociétés ayant une activité établie est sanctionnée immédiatement, quelles que soient les perspectives futures.

Le 10/01/2022 à 09h 45

Un tantinet cynique, le Flock. Bonne année bon courage à tous pour 2022 !

Le 04/01/2022 à 09h 28

Effectivement, l’extension de l’usage du multifacteur va générer l’extension de méthodes de contournement par les fraudeurs. J’ai parcouru (en diagonale) le document original, mais il me paraît un peu insuffisant, au sens où il manque certaines précisions ou certaines conditions.

Tout d’abord les MITM ne sont pas les seules formes d’attaques contre les 2FA : des malwares comme TinyNuke utilisent depuis longtemps (hélas) du MITB (Man In the Browser), c’est-à-dire que le “proxy” est localement installé sur le poste de la victime. Mais c’est un détail. Plus important : le papier n’indique pas clairement les vrais enjeux ni les moyens de sécurité impliqués. En effet, je crois comprendre que, du côté des MFA, sont visés les facteurs d’authentification où l’utilisateur doit saisir un code de vérification (SMS, Google Authenticator, etc.). Ces moyens sont en effet sensibles à ces attaques, mais pas d’autres dispositifs comme FIDO où même un attaquant en position intermédiaire ne peut rien faire dans le cas d’une authentification (ça n’est pas la même chose dans le cas de la validation d’une transaction, par exemple, mais c’est assez long à expliquer).

Donc les facteurs visés et attaquables sont ceux où l’utilisateur doit saisir un code de confirmation sur le même canal et non sur un canal distinct (ce qui est plus sûr, bien que plus complexe à mettre en œuvre).

Sinon, le second levier est le vol du cookie. Et là, quelle que soit la méthode d’authentification, même la plus parfaite, celui qui détient le cookie (d’authentification) détient le pouvoir. Donc une attaque MITM qui peut voler le cookie peut donc attaquer quasiment n’importe quel système d’authentification, mais le problème réel ne sera pas forcément dans l’authentification elle-même mais dans cette gestion du cookie qui est le point le plus critique. Et là, ce n’est plus le 2FA qui est en cause, mais le cookie.

Le 25/12/2021 à 12h 45

Ca monte, ça monte…

Le 21/12/2021 à 22h 23

Une librairie est bien une bibliothèque, et les logs sont des journaux.

voui, voui, à une différence près : log est le terme anglais correct, alors que librairie est un anglicisme, d’usage incorrect. Soit on dit library, soit on dit bibliothèque. Je ne suis pas opposé à l’anglais, je suis opposé aux anglicismes. Nuance.

Moi aussi !!

Le 21/12/2021 à 19h 55

(reply:1919139:Sheepux)
J’ai aussi regardé sur mon petit serveur perso et effectivement il y a des traces à partir du 10. Je ne m’inquiétais pas plus que cela car tout est en PHP (comme chez Facebook, qui est une des rares grandes sociétés qui semble ne pas être touchée). Après, mettons-nous à la place d’un attaquant (mafia, état) qui aurait connaissance de la faille avant la divulgation : je n’aurai pas arrosé tout partout pour attaquer avec celle-ci, car elle ne serait pas restée secrète très longtemps. Donc il est possible que des attaques aient eu lieu avant le 9, mais beaucoup plus discrètement. On en apprendra peut-être plus dans quelques temps.

Le 21/12/2021 à 18h 24

Je parlais des signalements publics, je n’ai pas (encore) accès aux logs de ta boîte Sérieusement, je n’ai pas (pour l’instant) vu passer de publications signalant des attaques plus tôt, mais on risque de faire encore pas mal de découvertes, la faille a très bien pu être exploitée par des équipes bien renseignées avant même la publication officielle. Et à partir du 9, c’est devenu open bar… Mais félicitations à la fois pour le filtre et pour avoir vu aussi vite des traces d’attaques !

Le 10/12/2021 à 13h 20

C’est vrai… EKS peut aider (à condition que plusieurs fournisseurs offrent ce service, mais c’est le cas pour AWS/GCP/Azure, donc tout va bien). Quant aux pics d’activité, c’est une justification fréquente. C’est souvent une bonne idée, mais pas systématiquement. Il faut bien calculer son coup (coût), car aller dans le cloud peut aussi imposer des mesures de sécurité supplémentaires, surtout depuis le RGPD (ex : hyperviseurs dédiés, qui coûtent un bras). J’ai déjà vu des “business case positifs” s’avérer de moins bonnes affaires que prévu.

Le 10/12/2021 à 10h 22

Sur l’adhérence avec le fournisseur, le problème est épineux. Aller dans un cloud public n’est avantageux que si les applications utilisent “nativement” les services cloud du fournisseur, comme par exemple les services de provisionnement et de déploiement. Or si vous voulez garder la possibilité de déployer de façon indépendante du fournisseur, il faut en général monter une usine à gaz pour déployer vos applis, ce qui fait perdre en agilité et augmente les coûts, ce qui au final diminue fortement l’intérêt d’aller dans le cloud. En résumé : pour se défaire du “lock-in vendor” (adhérence), il faut perdre une partie du bénéfice d’aller dans le cloud et augmenter les coûts alors que la réduction des coûts est souvent vendu (à tort) comme argument de passage au cloud.

Je n’arrête pas de dire chez moi : la clé, c’est l’interopérabilité. Normalement ça fait partie des objectifs de Gaia-X, mais bon…

Le 09/12/2021 à 14h 48

Côté mémoire, je parlais du côté du stockage, pas du calcul (le fichier décompressé étant plus gros que l’original).

Le 09/12/2021 à 14h 33

Donc a priori beaucoup moins de CPU mais un peu plus de mémoire nécessaires ?

Le 06/12/2021 à 16h 31

Citation en informatique : “Un projet qui commence à l’heure finira en retard. Un projet qui commence en retard finira en retard.”

Le 06/12/2021 à 09h 37

Donc le contrôle de VKontakte passe directement du FSB au Kremlin ?

Le 02/12/2021 à 15h 32

Et les ordinateurs quantiques : on a une idée ? Je serai très curieux de savoir combien ça consomme ces machins.

Le 29/11/2021 à 13h 59

L’idée est intéressante, mais en pratique ça va donner n’importe quoi. Par exemple, un nutriscore est basé sur une recette donnée, avec les connaissances qu’on a sur les ingrédients. Cela bouge assez peu en général, et surtout on n’a besoin d’aucun contexte. En cybersécurité, ça bouge tout le temps, et cela dépend énormément du contexte (composants utilisés, architecture, code, etc.), sans compter qu’il est rare de connaître tous les “ingrédients”. Un audit par un prestataire agréé va coûter cher et ne sera valable que pour un périmètre donné, à un moment donné, sachant qu’une modification très mineure peut parfois entraîner une énorme faille de sécurité. On va vite se retrouver avec sites qui vont se faire trouer avec un score A, ce qui va générer une perte rapide de crédibilité pour ce cyberscore. En plus j’imagine très bien Google se faire auditer par Thalès…

Le 29/11/2021 à 09h 09

En attendant il passe allègrement sous la plupart des radars, en raison de la “relative simplicité de sa configuration”. Comment quoi les plaisirs programmes les plus simples sont les meilleurs…

Le 22/11/2021 à 15h 34

On va mettre un beau E à Facebook et assimilés. Très bien. Qui va changer ses habitudes après ça ? Le foie gras a un nutriscore de E, en général, et je continue à en manger parce que j’aime ça même s’il y a plein d’autres aliments avec un score à A. Et pour FB ? Y a-t-il seulement une alternative crédible ? Même avec un score D ?

Le 16/11/2021 à 10h 33

“En l’état actuel des moyens de communication”

Sans être juriste constitutionnel, il me semble que la Constitution ne devrait pas être “contextuelle”. On ne va pas la changer à chaque “révolution” technologique, la Déclaration des Droits de l’Homme et du Citoyen de 1789 (article 11) devrait suffire. A la rigueur on peut ajouter qqch mais avec une terminologie plus générique.

A côté de cela, la proposition de loi constitutionnelle propose d’autres choses comme le droit de vote aux étrangers pour les élections municipales. Ca va être facile à faire voter, ça… Faut la majorité absolue des 3/5e du Congrès (Assemblée + Sénat). Bon courage.

Le 15/10/2021 à 14h 40

Je pense que le problème est le même quelle que soit l’application sur smartphone, sur PC : comment un utilisateur peut-il estimer la confiance d’une appli ou d’un site web ? Le problème est donc le même avec l’appli Facebook, Waze, ton lecteur de MP3, Twitter, Office, Netflix, Uber, ton appli de running, etc.

Pour ce qui est des applications bancaires, ce sont de très mauvaises candidates pour les trackers car elles ne sont actives que quelques secondes (pour s’authentifier ou valider une opération). Et puis quelle intérêt : savoir quel achat tu es en train de faire ? La banque le sait déjà puisqu’elle traite l’opération de ta carte bleue.

Le 15/10/2021 à 08h 28

(reply:1907747:Tchyo) (reply:1907756:dvr-x)

Le clavier virtuel utilisé par les banques est une contre-mesure visant la principale menace liée au mots de passe : les enregistreurs de frappe clavier (keyloggers, quoi).

Pour le code PIN, il est bien dit dans la note de l’ANSSI, page 18 :

Dans ce cadre opérationnel particulier et pour des besoins de réactivité importants, il peut être justifié de mettre en place une authentification simple (un code PIN), et ce malgré la criticité du service. Dans ces cas particuliers, cet affaiblissement consenti du niveau d’authentification doit être compensé par d’autres mesures de sécurité (par exemple des mesures physiques ou organisationnelles).

On peut accepter une baisse de la complexité à condition qu’il y ait d’autres mesures comme le blocage après un certain nombre de tentatives. Il ne faut pas oublier l’expérience utilisateur : vous imaginez une mamie devant taper une passphrase ou un mot de passe de 20 caractères pour se consulter son compte en ligne ? Pour les banques, il s’agit d’un blocage au bout de 3 ou 5 tentatives, par exemple. Et pour rappel, avec un code PIN, il n’y a pas d’attaque par dictionnaire, on ne peut faire que de la force brute (à partir de l’interface du client). Et enfin, avec la DSP2, l’authentification multifacteur est désormais obligatoire.

Que les claviers virtuels bloquent les gestionnaires de mot de passe est au contraire une bonne mesure de sécurité contre les keyloggers et les malwares capables de rejeu. Sans rentrer dans les détails, cela rend (par exemple) inutile qu’on enregistre vos frappes clavier ou de prendre en vidéo le déplacement de votre souris pour rejouer votre code puisque l’emplacement des chiffres change à chaque fois (ainsi que le nom des zones HTML derrière, etc.).

Donc j’insiste : le clavier virtuel même avec un code PIN est une bonne mesure de sécurité qui augmente la couverture des risques puisqu’elle atténue (sans faire disparaître toutefois) la menace des keyloggers et autres enregistreurs d’interface.

Le 06/10/2021 à 08h 28

Bon, on parle désormais de cloud de confiance parce que le cloud souverain, c’est mort. D’un autre côté, OVH réalise aussi des partenariats avec Google, donc même avec un acteur de ce type on aurait eu du mal. Prenons acte.

Néanmoins, pour avoir discuté avec des personnes de Microsoft et d’AWS, et ayant eu des retours d’expérience sur les discussions avec Google, il s’avère que c’est Google qui, en général, est le moins conciliant et pour lequel il est le plus difficile de faire changer la moindre virgule dans un contrat. Il sera donc intéressant d’avoir plus de détails sur les termes de ce contrat, car même un géant comme Thalès pourrait avoir du mal à imposer certaines exigences. Mais peut-être que Google a mis de l’eau dans son vin depuis.

Le 23/09/2021 à 12h 46

Quelques précisions : ce qui est nouveau dans ce type d’arnaque, c’est leur nombre, car en réalité ce type de manipulation existe depuis plusieurs années, et ça marche malheureusement très bien dans des entreprises qui travaillent avec des dizaines de fournisseurs et où les changements de RIB sont des opérations habituelles : vérifier soigneusement chaque changement de RIB demanderait une grosse charge de travail (des entreprises m’ont indiqué en avoir parfois des centaines par mois).

L’hypothèse du salarié indélicat n’est que marginale, car cela limite l’attaque à une seule entreprise, et les fraudeurs (qui sont souvent des équipes spécialisées) préfèrent de loin n’avoir aucune complicité interne, car le ROI est faible (= une seule arnaque possible) et surtout les enquêteurs risqueraient de faire le lien entre le complice et les fraudeurs. Il peut rester l’hypothèse de la vengeance, mais là aussi ça resterait ponctuel.

En réalité les fraudeurs peuvent :

• Intercepter des mails de l’entreprise cible, récupérer des factures réelles, et en renvoyer une version modifiée avec leur RIB ;


• Prendre le contrôle d’un compte mail du fournisseur (et non de la cible finale), et arroser tous les clients de ce fournisseur avec des factures comportant leur RIB ;


• Tout simplement faire un faux, en récupérant sur internet des informations sur la cible pour laquelle il n’est pas toujours difficile de retrouver les fournisseurs. Ils créent ensuite un compte mail factice mais “ressemblant”, et le tour est joué.

Pour ce qui est du dédommagement, la banque ne peut a priori rien faire : la victime a réalisé le virement de son propre chef, voire même en respectant des procédures de sécurité auprès de la banque pour intégrer le nouveau RIB qui a été ajouté de façon tout à fait légale et officielle. Simplement ce n’est pas le bon. La règlementation bancaire est assez complexe sur les virements, et il est moins facile de faire annuler un virement qu’un paiement par carte bleue. Une fois que le virement est parti, il faut appeler toute la chaîne des banques impliquées (il y a souvent plusieurs virements “rebonds”) pour leur demander d’arrêter les virements, en leur signalant la suspicion de fraude, mais plus le temps passe et plus le retour des fonds est hasardeux.

Le 10/09/2021 à 10h 36

Justement ils embauchent un gars pour mettre en ligne leurs communiqués qui ne sont plus à jour.