J'ai une amie qui s'est fait pirater son adresse e-mail qui a été utilisée pour envoyer un mail a tous ses contacts (dont moi) pour demander de l'argent
l'arnaque classique quoi
la question c'est que peut-elle faire pour que cela ne se reproduise pas autrement que changer d'adresse e-mail ?
doit-elle agir au niveau de son fournisseur d'accès ?
Faudrait voir comment elle s'est fait pirater son compte...
Beaucoup se font en brute force/dictionnaire par un "bot", le mot de passe n'étant pas assez difficile.
Si c'est le cas, elle peut garder la même adresse suivant son fournisseur, et mettre un mot de passe "sécurisé", i.e. assez long, avec au moins une majuscule, une minuscule et un numérique, voir un caractère spécial....
Dans le cas contraire, avec un autre fournisseur, celà pourra aussi arriver.
La première chose à faire est de chnager son mot de passe de messagerie..
Ensuite, il faut changer ses autres mots de passe...par exemple, si elle utilise le même mot de passe ailleurs, et si elle utilise son adresse mail comme référence sur les site de vente en ligne...chnager tous ces mots de passe est une obligation! (paypal, ebay, fnac, amazon...et même facebook et autres sites communautaires)
L'étape suivante est d'envoyer un mail à tous ses contacts, pour s'excuser, pour leur dire ce qui se passe et leur dire de chnager également leur mot de passe, le "bot" ayant connaissance de leur email, ils sont des cibles potentielles.
Pour éviter le piratage, le minima est d'avoir un mot de passe renforcé (généré par keypass par exemple) ou de nature difficle à trouver.
L'autre solution est de passer par un fournisseur présentant 2 facteurs d'authentification (ou double authentification), ce qui se fait de plus en plus, au quel cas, trouver le mot de passe n'est pas suffisant pour accéder à un compte (mail, bancaire...)
C'est une bonne occasion pour utiliser PGP et crypter ses mails.
Un jour, les gens comprendront que le mail n'est pas sécurisé, par essence.
PGP protège letransfert, donc sécurise l'interception du contenu...
Il ne protège en rien contre une usurpation d'authentification
Il faut posséder la clef privée.
quand je vois les clients qui débarquent avec leur date de naissance come mot de passe...
forcement, déjà un mot de passe sérieux (il peut être très simple pour son utilisateur, mais doit être par définition introuvable pour autrui) réduit une bonne partie des risques.
ensuite un pc sans saloperie style keylog, à jour, c'est mieux ^^
merci de ces précisions
"L'autre solution est de passer par un fournisseur présentant 2 facteurs d'authentification (ou double authentification), ce qui se fait de plus en plus, au quel cas, trouver le mot de passe n'est pas suffisant pour accéder à un compte (mail, bancaire...)
peut-on me confirmer que K-net utilise bien 2 facteurs d'authentification ?
Gmail par exemple le propose (et c'ets vachement bien foutu, quand je veux me connecter sur un pc ailleurs, je dois saisir le code fourni par l'appli sur mon tel par exemple)
Citation de: TontonRobert le 07 Juin 2014 à 22:38:02
Il faut posséder la clef privée.
Oui, pour pouvoir lire le mail, vu qu'il est crypté.
Mais avoir PGP n'empêche pas de se faire pirater son compte mail, il n'agit pas sur l'authentification à la connexion à sa messagerie..
Citation de: corteg le 07 Juin 2014 à 23:32:54
peut-on me confirmer que K-net utilise bien 2 facteurs d'authentification ?
Login+mot de passe, donc 1 seul facteurs...
Mais c'est rare chez les FAI (free et autres ne le font pas non plus) ;D
outlook.com et yahoo, ou gmail -comme signalé par Daweb- le propose par exemple.
Y a meme une offre en allemagne (lavaboom) qui offre une authentification à 2 facteurs, et une authentification payante à 3 facteurs!! :o
CitationOui, pour pouvoir lire le mail, vu qu'il est crypté.
Mais avoir PGP n'empêche pas de se faire pirater son compte mail, il n'agit pas sur l'authentification à la connexion à sa messagerie..
Tu n'as pas besoin d'être authentifié pour envoyer un mail.
Tout le monde peut envoyer un mail depuis toaof999@k-net.fr. Ou depuis fhollande@elysee.fr.
Il suffit d'écrire sur l'enveloppe "je suis toaof999@k-net.fr".
D'où le PGP: si tu reçoit un mail d'une personne que tu sais qu'elle chiffre les messages, et que ce message n'est pas chiffré, tu peux le jeter tout de suite.
La "population" des utilisateurs n'est pas prête d'utiliser PGP, tout comme la double auth avec code SMS par exemple.
Citation de: TontonRobert le 08 Juin 2014 à 11:01:22
CitationOui, pour pouvoir lire le mail, vu qu'il est crypté.
Mais avoir PGP n'empêche pas de se faire pirater son compte mail, il n'agit pas sur l'authentification à la connexion à sa messagerie..
Tu n'as pas besoin d'être authentifié pour envoyer un mail.
Tout le monde peut envoyer un mail depuis toaof999@k-net.fr. Ou depuis fhollande@elysee.fr.
Il suffit d'écrire sur l'enveloppe "je suis toaof999@k-net.fr".
D'où le PGP: si tu reçoit un mail d'une personne que tu sais qu'elle chiffre les messages, et que ce message n'est pas chiffré, tu peux le jeter tout de suite.
Mais là, c'est de l'usurpation d'identité, et si tu regardes l'en-tête ou le lien d'envoi, ça ne tient pas.
Et comme le dit Damien, quand déjà les gens ne savent pas utiliser la double authentification au niveau bancaire...pour le mail, PGP c'est mal parti...d'autant plus qu'il faut que tu préviennes tous tes contacts et qu'ils fonctionnes avec.
Au niveau professionnel, quand tu vois déjà que les utilisateurs ne changent pas ou peu leur mot de passe...on galère pour essayer d'imposer un changement tous les 6 mois a minima... et les quelques utilisateurs de la double authentification (par SMS ou mail)...on doit les tenir par la main...
Bawé
Cyniquement, je conclurais de la façon suivante : les pigeons sont fait pour être plumé.
Sont pas tous des pigeons...mais bon, Mme Michu n'est pas forcément prête à ça!!
Et j'en ai vu , des "calés" en informatique, qui faisaient pas les fiers quand ils ont eu des problèmes...et il y en a!! ;-)
Citation de: toaof999 le 08 Juin 2014 à 19:40:52
Sont pas tous des pigeons...mais bon, Mme Michu n'est pas forcément prête à ça!!
Et j'en ai vu , des "calés" en informatique, qui faisaient pas les fiers quand ils ont eu des problèmes...et il y en a!! ;-)
Évidement.
Pour faire un peu de logique :
- utiliser PGP ne garantit pas ta sécurité
- ne pas utiliser PGP garantit ta non-sécurité
Pour l'utilisateur lamba, la première sécurité reste d'avoir un mot de passe compliqué. Pas de date de naissance ou pas le nom du chien.
Après dans un environnement pro, d'autres précautions peuvent être prises. Mais le choix du mot de passe est pertinent. Et il est bien entendu préférable de différencier les mots de passe selon les sites. Pas le même sur Google et Facebook par exemple.
Et encore, le même sur google et FB, passerai encore...
le même sur FB ou google, mais aussi sur un site d'achat en ligne, là, y en a qui cherche les problèmes... :o
sur les sites d'achat en ligne, l'essentiel n'est-il pas de ne pas laisser en mémoire les détails de sa carte de crédit?
Bof, Amazon propose (ou impose je ne sais plus) de sauvegarder les infos de la carte bleue. Etant fénéant, ça m'arrange quand je suis au 2ème étage et que le porte-feuilles est au RDC.
Si demain Amazon annonce s'être fait pirater, je ferais le nécessaire auprès de ma banque.
Maintenant rien ne prouve que d'autres sites marchands ne gardent pas les infos de CB sans le dire à l'utilisateur. Là c'est + grave car l'utilisateur ne s'inquiète pas.
A l'arrivée, un petit site marchand reste le plus fiable, car le paiement se fait directement sur le site de la banque et le site marchand n'a aucune info sur la CB utilisée.
Oui je suis pas sûr qu'en piratant Amazon tu peux avoir les cartes bancaire.
Il me semble que c'est bien à part.
Après moi Amazon je fais confiance, donc ils ont ma carte. Mais sur la plupart des sites je passe par Paypal.
Le système de CB d'Amazon n'est pas infaillible à partir du moment où les données de CB sont restituables en clair.
Moi je paye par e-carte bleue comme ça je l'ai toujours sous la main (logiciel sur PC) et ils n'ont jamais mon numéro de carte physique. Je suis tranquille, personne ne peux retirer plus que le montant mis au départ.
Citation de: Damien le 09 Juin 2014 à 14:40:49
Le système de CB d'Amazon n'est pas infaillible à partir du moment où les données de CB sont restituables en clair.
D'autant plus qu'effectivement, même il s'agit de système séparé, donc l'accès aux données bancaire n'est pas possible, mais le piratage du compte suffit pour effectuer des achats avec la carte....
Sauf qu'Amazon ne permet pas d'utiliser la carte pré-enregistrée si la livraison s'effectue à une nouvelle adresse. Simple mais intelligent.
Effectivement, mais c'est assez récent il me semble...non?
Mais bon, le plus sur reste quand même l'e-cb....
Au passage il ne faut jamais donner ta carte à un vendeur (IRL) pour payer par carte bancaire, c'est à toi de l'insérer et le retirer du lecteur.
Car il leur suffit de regarder le code au dos, de ta carte, et avec le reçu qu'ils ont, ils peuvent payer sur internet.
Citation de: TiTi le 09 Juin 2014 à 19:35:49
Car il leur suffit de regarder le code au dos, de ta carte, et avec le reçu qu'ils ont, ils peuvent payer sur internet.
Me semble que ça a tjs été une légende urbaine ça. Et d'ailleurs je ne vois pas l'intérêt d'imprimer sur le ticket toutes les informations nécessaires à une utilisation frauduleuse.
Non pas le code secret, mais pour payer sur internet il suffit d'avoir le numéro, le code secret (inscrit au dos), et la date d'expiration.
A confirmer, si quelqu'un à un bar ou autre, il y a quoi d'afficher sur le ticket.
Je parle pas du code secret. Je dis que je ne vois pas l'intérêt d'afficher sur le ticket le numéro à 16 chiffres + la date d'expiration. Donc je pense tout simplement qu'ils ne sont pas inscrits, et donc que c'est une légende urbaine.
pour info il n'y a qu'une partie du numéro qui est affiché depuis pas mal de temps , car il y était en toute lisibilité il y a quelques années ...mais je n'ai jamais vu y figurer le fameux code arrière car il me semble qu'il est apparu justement pour parfaire la sécurité de celui de devant ...
Oui le code arrière n'est pas affiché, mais justement c'est la raison pour laquelle il ne fallait pas donner sa carte, sinon il jette un coup d'oeil.
non car avant il y avait le code complet et pas besoin de l'arrière et maintenant tout n'est pas affiché donc l'arrière ne sert à rien , sauf à dire qu'il regarde ta propre carte et pas le ticket résultant d'une transaction avec cette dernière ...et là tu peux l'avoir dans l'os , mais comme en général les gens qui peuvent voir ta carte assez longtemps pour noter tous les numéros sont forcement des proches , si jamais tu vois une transaction bizarre ,elle ne sera pas faites forcement au bout du monde et plus facile à trouver parmi les contacts potentiels...enfin j'imagine et j'extrapole un peu n'ayant à ce jour jamais eu cette mésaventure... ;)
Ca m'est déjà arrivé d'avoir le ticket commerçant au lieu du ticket client et je confirme qu'il y a tous les chiffres de la CB + date d'expiration. Maintenant, ça dépend peut-être du terminal et des maj de celui-ci.
Enfin dans tous les cas, la banque est obligée de nous rembourser toute transaction frauduleuse par internet sans nous demander de preuves : http://vosdroits.service-public.fr/particuliers/F31324.xhtml (http://vosdroits.service-public.fr/particuliers/F31324.xhtml)
Oui mais tout le monde ne vérifie pas ses comptes. Parfois des petites sommes peuvent passer inaperçues.
Citation de: Grégory le 09 Juin 2014 à 23:15:16
Ca m'est déjà arrivé d'avoir le ticket commerçant au lieu du ticket client et je confirme qu'il y a tous les chiffres de la CB + date d'expiration.
alors ça je n'avais jamais remarqué :o ..Cela veut dire que même en prenant des précautions , il y a un ticket avec tous les chiffres de ta CB qui traine chez le commerçant avec les inconvénients indélicats qui peuvent en découler ???