t’inquiète ils vont revendre tes habitude de consommation.
Les banques ne le font pas sans ton accord (j’en sais qqch, je travaille à la sécurité info d’une banque). De plus ça ne change rien d’une carte classique : la banque a déjà toutes tes habitudes de conso (mais ne les revends pas). 2) Pour info, comme indiqué, le montant max est bien 300 EUR pour la carte SG.
N26, Monzo, etc. ont justement tout à prouver et sont basées sur des archi modernes, ça craint certainement moins que certaines banques utilisant des serveurs qui font tourner du Cobol depuis 30 ans.
Le Cobol, ça tourne pas sur des serveurs mais sur du mainframe, et depuis plus de 40 ans. Et c’est plus dur à pirater vu que plus personne connaît comment ça marche.
Et désolé, côté banque la sécurité n’est pas laissée “à leur discrétion”. Y a 3 tonnes de règlements et de lois à respecter.
Ce qui est intéressant, c’est que les règles des “fintechs” sont différentes, mais il y a quand même une base. Les affaires N26 et Morning montrent que la qualité ça se paye, notamment en expérience.
C’est une administration entreprise qui applique bêtement des principes est tenue d’appliquer les lois qui sont parfois idiotes et inadaptées. A ne pas étudier cas par as on se retrouve avec des tpe/pme qui meurent parce qu’un banque leur coupe les vivres.
Oui je suis d’accord et c’est un gros problème. Autrefois c’est le banquier qui décidait (et là tu pouvais dire que c’est un con parce qu’il pouvait décider), maintenant ce sont les lois/règlements.
Le
05/12/2016 à
16h
01
boogieplayer a écrit :
Comme d’hab, les banques ne comprennent rien et ne veulent pas comprendre. Y’a un mec qui rale, on coupe. Point.
" />
Pfff… En gros la banque a toujours tort :
Si elle s’en va, c’est qu’elle comprend rien ;
Si elle reste, c’est qu’elle s’en fout de la loi et qu’elle ne cherche qu’à engranger du pognon.
Question : Ça attaque aussi les disques réseaux montés sur le système ?
Autant mon système… bof mais tous mes documents sur le NAS… :5
Celui-là, de rancodjscnsggiciel (dur à écrire), je ne sais pas, mais certains chiffrent tous les lecteurs connectés. Y compris les NAS, les serveurs réseaux, etc.
C’est pas simplement la config par defaut sous MongoDB ? Je me suis amuse un peu avec recement avec Docker et par defaut il n’y avait pas de mot de passe. Je sais pas si c’est une config particuliere de l’image mongo sous Docker ou le comportement par defaut ?
Environ 1⁄3 des images Docker comportent au moins une faille critique. Faire une image Docker c’est simple, faire une image sûre en est une autre.
Par ailleurs, quand j’ai commencé l’article, je me suis dit : tiens, encore une erreur de config mongoDB. Bingo ! En gros (si je me rappelle bien), la config par défaut permet l’accès à la base depuis tout internet, avec un mot de passe par défaut.
Donc :
L’erreur de config mongoDB est sûrement la base de ça (elle a peut-être été reprise dans une image Docker, pourquoi pas)
Ca montre le niveau de cette société qui vend de la sécurité sans en avoir un échantillon sur elle
Juste pour info : j’avais regardé ça il y a quelques mois pour le boulot. C’est pas plutôt PayPal qui était moteur/initiateur ?
J’avais noté : Cette alliance a créée durant l’été 2012 par PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon, and Agnitio, mais sous l’impulsion directe de PayPal et de Validity Sensors.
des boites qui ont des millions de clients sur le net on en compte 1000 dans le monde entier à tout casser, et je doute que les seniors chargés de la sécu informatique postent des comms sur NXi … " />
Donc non, mon commentaire ne se destinait pas aux sys admins de Amazon, Paypal, Google, Apple, etc … " />
T’en as au moins un… " />
Et puis c’est juste pour mettre en perspective : les GAFA et autres grosses boîtes vont quand même avoir pas mal de boulot avec ces failles à répétition, surtout quand on ne peut pas utiliser la solution “idéale”.
Le
20/05/2015 à
14h
18
Courbes elliptiques : façon ANSSI ou façon NSA ?
Et c’est facile de dire qu’il n’y a qu’à passer aux navigateurs modernes et récents ; quand tu as des millions de clients, tu es prêt à accepter que 20 ou 30 % de tes clients ne puissent plus accéder à tes services ?
— Y a des pirates en Chine ?
— Oui : y a des internautes qui vont sur des sites non censurés ! Pirates !
Ceux qui disent c’est la faute de Microsoft, vous pariez combien qu’avec une adresse [email protected] ou autre équivalent avec une légère différence, ça serait passé ?
Je ne parie pas : je sais (j’ai même testé). Avec une légère différence dans l’adresse mail, ça ne passe pas. Ca n’est pas parce que Comodo a pu faire des erreurs dans le passé que c’est le cas ici. Comodo n’a fait que respecter son contrat.
D’autres éditeurs proposent également des systèmes équivalents de vérification pour des certificats “bas de gamme”.
Pour être précis, la vérification ne se base pas sur une RFC, mais sur des adresses mails “standard” proposées par cette RFC. C’est assez grave de la part de Microsoft de laisser des adresses ce genre d’adresse accessible par n’importe qui : ça ne pose pas de problème que pour l’obtention d’un certificat ! Imaginez que l’internaute finlandais ait demandé [email protected] : il aurait reçu une grande partie des mails concernant les problèmes (notamment de sécurité) sur le nom de domaine (et le site web associé, s’il y en a un), car c’est justement une adresse habituelle pour contacter le service en charge de ce type de problème !
Le
20/03/2015 à
08h
24
GentooUser a écrit :
Exact, c’est entièrement la faute de Microsoft ! Ces adresses font parties de la gestion technique d’un domaine et ne doivent pas être attribuées (RFC2142)
J’ai jamais été choqué qu’on me proposes hostmaster pour la validation d’un certificat ou un transfert d’un nom de domaine.
Tout à fait d’accord. L’erreur ne vient pas de Comodo mais de Microsoft. De plus, le niveau de vérification dépend aussi du type de certificat, le type DV (domain validation, le moins cher) n’est vérifié qu’avec une adresse mail.
Pour récupérer l’empreinte, c’est vrai qu’on peut aussi aller se servir sur le téléphone. ‘sont tellement brillants maintenant qu’on les voit très bien. Très bonne idée d’avoir la source à côté du capteur. Au cas où vous oublieriez votre mot de passe empreinte.
Une bonne ferme de GPU n’arrivera pas à bruteforcer un bon mot de passe avant des siècles. Le vrai problème est qu’avec le temps faut rallonger/complexifier son mot de passe. C’est emmernuyeux à la fin.
Apple interdit aux développeurs de stocker les données HealthKit dans iCloud.
C’est vrai qu’iCloud, comme tous les clouds, est extrêmement bien sécurisé " /> Aucun risque de fuite. D’ailleurs il n’y avait pas urgence à rajouter cette clause.
Vous ne pouvez pas mettre de freins au progrès
Je me demande en quoi Uber faire progresser quoi que ce soit. A mon avis, c’est pas le bon axe de défense…
326 commentaires
La Société Générale propose le paiement mobile sans contact sur Android
Le 26/01/2017Le 27/01/2017 à 09h 39
N26 corrige plusieurs failles, la sécurité des « néo-banques » en question
Le 29/12/2016Le 29/12/2016 à 09h 52
Paiement en ligne : 1fichier.com poursuit son bras de fer avec la Société Générale
Le 05/12/2016Le 05/12/2016 à 16h 14
Le 05/12/2016 à 16h 01
35 520 euros pour la refonte du site Internet de l’Élysée
Le 28/11/2016Le 28/11/2016 à 14h 59
Un accord entre Microsoft et FireEye crée des remous sur le partage de la télémétrie
Le 28/11/2016Le 28/11/2016 à 14h 56
Relisez bien avant bricoler vos Rasp ou bidouiller vos réglages : cet outil ne concerne que le marché PRO.
Après ça n’enlève rien avec vrais problèmes liés à la télémétrie de Windows, toutes versions.
Ukraine : l’institut SANS confirme la piste d’une cyberattaque organisée
Le 11/01/2016Le 11/01/2016 à 14h 24
Moi je dis : ça sent le gaz.
Ransom32, premier rançongiciel à être codé en JavaScript
Le 05/01/2016Le 05/01/2016 à 16h 15
Une mystérieuse BDD laisserait accessibles des données sur 191 millions d’Américains
Le 31/12/2015Le 04/01/2016 à 09h 23
Kromtech (MacKeeper) laissait 13 millions de comptes clients exposés aux quatre vents
Le 16/12/2015Le 16/12/2015 à 10h 27
U2F : la double authentification par clef USB se répand et débarque dans Dropbox
Le 13/08/2015Le 14/08/2015 à 07h 28
Juste pour info : j’avais regardé ça il y a quelques mois pour le boulot. C’est pas plutôt PayPal qui était moteur/initiateur ?
J’avais noté : Cette alliance a créée durant l’été 2012 par PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon, and Agnitio, mais sous l’impulsion directe de PayPal et de Validity Sensors.
Logjam : après FREAK, une nouvelle faille dans le chiffrement des connexions
Le 20/05/2015Le 20/05/2015 à 14h 37
Le 20/05/2015 à 14h 18
Courbes elliptiques : façon ANSSI ou façon NSA ?
Et c’est facile de dire qu’il n’y a qu’à passer aux navigateurs modernes et récents ; quand tu as des millions de clients, tu es prêt à accepter que 20 ou 30 % de tes clients ne puissent plus accéder à tes services ?
Blocage administratif des sites : le PS, roi de la girouette
Le 31/03/2015Le 31/03/2015 à 07h 55
Ca n’est pas la girouette qui change : c’est le sens du vent.
La Chine reconnaît enfin l’existence de ses hackers
Le 20/03/2015Le 20/03/2015 à 15h 50
— Y a des pirates en Chine ?
— Oui : y a des internautes qui vont sur des sites non censurés ! Pirates !
Certificats : quand Comodo se fait berner par un alias Outlook.com
Le 19/03/2015Le 20/03/2015 à 11h 18
Le 20/03/2015 à 08h 24
Il est possible de reconstituer une empreinte digitale depuis des photos
Le 06/01/2015Le 06/01/2015 à 17h 14
http://blog.kaspersky.com/password-check/
Activision : le grand bluff autour des ventes de Call of Duty
Le 15/12/2014Le 15/12/2014 à 16h 36
Plus les prix montent, plus les ventes baissent. Bizarre.
Apple interdit aux développeurs de stocker les données HealthKit dans iCloud
Le 03/09/2014Le 03/09/2014 à 12h 20
Apple interdit aux développeurs de stocker les données HealthKit dans iCloud.
C’est vrai qu’iCloud, comme tous les clouds, est extrêmement bien sécurisé " /> Aucun risque de fuite. D’ailleurs il n’y avait pas urgence à rajouter cette clause.
Menacé d’interdiction en Allemagne, Uber fait appel
Le 02/09/2014Le 02/09/2014 à 14h 32
Vous ne pouvez pas mettre de freins au progrès
Je me demande en quoi Uber faire progresser quoi que ce soit. A mon avis, c’est pas le bon axe de défense…
[MàJ] Feedly se relève de sa seconde attaque DDoS en deux jours
Le 12/06/2014Le 11/06/2014 à 13h 39
Cloudflare est votre ami.
Contre les injures sur Twitter, Jean-Vincent Placé veut aiguiser la loi
Le 12/05/2014Le 12/05/2014 à 14h 56
L’Italie bloque l’hébergeur de fichiers Rapidgator et « vK », le Facebook russe
Le 20/11/2013Le 20/11/2013 à 14h 25
Chez Free, le passage au VDSL2 est automatique pour les clients éligibles
Le 01/10/2013Le 02/10/2013 à 20h 37
a197 = ADSL2. Confirmé pour moi.
D’importantes failles détectées sur des sites gouvernementaux
Le 06/09/2012Le 06/09/2012 à 09h 59