Support de smfgratuit
05 Décembre 2019 à 21:44:42 *
avatar Bienvenue, Invité. Veuillez vous connecter ou vous inscrire.
Avez-vous perdu votre courriel d'activation?

Connexion avec identifiant, mot de passe et durée de la session
Nouvelles: Nouvelle administration remaniée pour plus d'ergonomie et plus de lisibilité, adopter smfgratuit Version 13.06
 
  Accueil siteweb   Forum   Aide Identifiez-vous Inscrivez-vous  
Pages: [1]   Bas de page
  Imprimer  
Auteur Fil de discussion: Enquête sur swekey.com  (Lu 6155 fois)
Marc
Dr TeiGnEuX
Administrateur
*

Populaire: +113/-0
Hors ligne Hors ligne

Sexe: Homme
Version: SMFGRATUIT
Thème: smfgratuit
Messages: 6003


Posteur à 46%


Chrome 78.0.3904.70
Win 64

WWW
« le: 14 Juillet 2009 à 19:59:48 »

Bonjour,

Il y a quelques temps je tombe sur un double message d'un professionnel de la sécurité (en tout cas il se décrit comme tel) ventant les mérites d'une clé et surtout mettant en avant que grâce à se procédé, vos données étaient sécurisées et qu'il n'y avait plus de nécessiter de choisir des mots de passe compliqués et différents pour chaque site.

Ce post a été écrit sur le site simplemachines-fr qui n'a remis en cause que le prix de la clé usb, vu la fiabilité de ce site je me permet de recopier (post d'origine: http://www.simplemachines-fr.org/Forum-topic-2610-start-msg12025.html#msg12025) . Voici donc le post d'origine
Citation
La swekey est une clé USB d'authentifcation (http://www.swekey.com).

Un MOD a été réalisé pour supporter SMF 1.x

Grace à ce MOD vous pouvez maintenant sécuriser votre compte SMF et même si quelqu'un connait votre mot de passe il ne pourra pas se connecter à votre compte.

Le MOD est déjà installé sur notre site de démo http://smf1.swekey.com  
Vous pouvez essayer de vous connecter avec utilisateur 'demo' et mot de passe 'demo123'...

Toute question est la bienvenue.

Luc


Ma réponse après avoir fait le tour du site de l'annonceur et analysé ce qu'il propose:
Citation
Bonjour,

Toutes mes excuses à l'équipe pour mon intervention, ce post m'a interpellé lorsque j'ai vu Forte authentification.
La sécurité étant le soucis de tous, j'ai bien compris que la clé visiblement stocke un id unique (32c), ce qui me pose problème quand on parle d'authentification Forte c'est de voir cet id stocké. Pour le mod il sera à revoir, il compromet à lui seul la sécurité d'un forum smf.

Le concept bien qu'intéressant, déjà largement éprouvé dans les logiciels industriels de dessin, me semble à mon sens inapproprié pour des sites web. De plus, indiqué sur la page d'accueil de ne pas choisir de mot de passe complexe, va à l'encontre des principes de bases de sécurité.
Il serait plus judicieux d'indiquer qu'il renforce l'identification plutôt que d'indiquer qu'il remplace l'identification à lui seul. Enfin rien n'est expliqué sur le principe de fonctionnement de cette clé (bien que le code m'en dit plus).

Quelles sont les certifications de cette clé en matière de sécurité?
Il serait intéressant de préciser comment vous vérifiez l'id de la clé (connexion à un serveur sécurisé par ssl ou javascript directement sur les fichiers), autant de point qui à mon sens font partie de la sécurité logique et dont chaque admin devrait se préoccuper.

Cordialement

Malheureusement la réponse de ce professionnel n'est pas du tout à la hauteur de ce qu'est censé proposé l'outil, puisque celui ci affirme:
Citation
C'est pourtant pour l'instant le seul moyen efficace et convivial de lutter contre le phishing et le vol d'identité.
Citation
Oui, car les utilisateurs utilisent souvent le meme mot de passe...
Avec le mot de passe d'un utilisateur de forum on peut souvent accéder à sa boite mail.

Il faudra donc que j'explique clairement à un spécialiste de la protection numérique comment se pratique le fishing, pour que celui ci rectifie sa publicité sur le site en question et accessoirement n'en rajoute pas trop sur les fonctions qu'offrent la solution de cette clé usb.
Citation
Récupération d'information:
Alors si je veux faire du phising, première chose je vais m'inscrire sur le même forum que lui, et je consulte bêtement son profil, comme ici, avec de la chance j'aurais sa date de naissance et sa région, et si je fais une recherche sur google avec son pseudo ou ces références, je verrais sur quasiment tous les forums, le référencement de ces profils. Je vais choisir par exemple les forums de voyages, d'animaux ou de puériculture, j'ai plus de chance de trouver des novices.
Ensuite j'utilise les posts avec de la chance 95% des forums ne masquent pas l'email, j'aurais donc son email, sinon je prétexte lui donner une info super intéressante qui l'intéresse mais par email.
Conception de l'action de phising:
Je suis pas trop bête, je pompe l'interface d'un site comme le crédit mutuel/bnp ou la poste, juste la présentation de la page d'accueil, ou encore si je vois qu'il découvre internet je lui envois simplement un rappel par mail en lui demandant de vérifier ces infos bancaires.
Je fais ça sur un domaine proche, en rajoutant un s par exemple ou encore un .tw ou un truc dans le genre, et j'attends qu'il se connecte. J'aurais pris soin de router la page de connexion sur le site officiel pour que ça soit transparent.

Voilà je viens de faire du phising, avec la présence ou non de votre module et à aucun moment le membre n'a été protégé. Y'a d'autres techniques, je vous passe le faite d'implanter un détournement de login sur la page de formulaire d'un forum ou encore l'utilisation de troyen. Sachant que la cible n'est pas un passe de mail mais plutôt les coordonnées bancaire.

Sécurisation simple et gratuite
Par contre si les admins étaient moins préoccupé par leur référencement et leur gain de pub, ils mettraient un point d'honneur sur leur forum à ce que ceux ci ne servent pas à récolter ce genre d'informations.

Pour information avec le module Netcraft disponible là http://toolbar.netcraft.com/ gratuitement, l'utilisateur aurait vu tout de suite qu'il y avait un risque potentiel sur ma fausse page web.
Avec en plus un filtre anti-spam gratuit sous thunderdbird (lui aussi gratuit), il aurait vu que ce mail était frauduleux.
Et si en dernier recours il a été attentif au recommandation de son banquier, il a un mot de passe différent pour son compte et le reste des sites internet qu'il consulte.

Votre technique est intéressante pour renforcer l'identification, c'est moins couteux qu'un certificat verisign, mais à mon sens ça s'arrête là.

Cordialement

Le plus drôle est la naïveté vis à vis du site officiel smf : http://www.simplemachines.org , quand je l'ai informé que le mod mis en ligne par ses soins présentaient des failles de type SQL injection à cause des variables non vérifiées:
Voici sa réponse:
Citation
Ce MOD a déjà été revu par le team SMF qui n'a pas trouvé de problème de sécurité.

A laquelle j'ai répondu:
Citation
Mouaaaaaaaaaaaaaaaa, personne vous a informé qu'il n'y a aucune vérification, elle se limite à regarder la langue du mod. Préconisations en terme de formulaire et variables dans les scripts php.....

Pour résumer le tout, swekey propose une clé usb, qui permet uniquement de renforcer l'authentification sur le site web utilisant le système, il ne faut en aucun cas garder le même mot de passe pour chaque site, en aucun cas vous devez prendre des mots de passe simple, gardez à l'esprit que vous ne connaissez pas la personne qui tient le site web et vous ne pouvez pas savoir à l'avance quel gage de sécurité sera donné à l'intégrité de vos données. Cette clé ne vous assure aucune protection quand à vos comptes mails ou bancaires, rester toujours vigilant sur l'utilisation que l'on peut faire de vos données et principalement celles qui concernent vos comptes bancaires.

Bon surf

MkC
« Dernière édition: 14 Juillet 2009 à 21:12:21 par MkC » Journalisée

Documentation smf / smfgratuit: http://docs.smfgratuit.fr
Pas de support par Mp ou MSN.
smfgratuit,hébergement,créer son forum, créer votre forum, création, hébergeur,  illimité, créer, smf, forum, gratuit, forum gratuit, smf fr, smf-fr, clé, main, mod, modification, implémentation, développement, créer, php, mysql, code, copyright, licence, pfv, picture, view, mkc, topic, post, exemple, communauté, discussion, message, simple, machine, simplemachine smfgratuit,hébergement,créer son forum, créer votre forum, création, hébergeur,  illimité, créer, smf, forum, gratuit, forum gratuit, smf fr, smf-fr, clé, main, mod, modification, implémentation, développement, créer, php, mysql, code, copyright, licence, pfv, picture, view, mkc, topic, post, exemple, communauté, discussion, message, simple, machine, simplemachine
ClicAnimaux.com - Cliquer pour Donner





Pages: [1]   Haut de page
  Imprimer  
 
Aller à:  

Le contenu de ce forum est sous license Site déposé chez copyrightFrance Créer son forum gratuitement
Propulsé par MySQL Propulsé par PHP Ce forum protège les données personnelles en interdisant le référencement et la diffusion de ceux-ci. Ce forum protège les droits d'auteur en permettant à tout moment à un membre de signaler un contenu illicite auprès de l'hébergeur de fichier. Ce forum est accessible à tous  XHTML 1.0 Transitionnel valide ! CSS valide !
Page générée en 0.21 secondes avec 35 requêtes. Google a visité dernièrement cette page 26 Octobre 2018 à 08:27:53
Créer son Forum ~ Abus ~ © smfgratuit
Basé sur: SMF © Simple Machines LLC
   Réalisé par MkC   CopyrightFrance: ZN3J2B3   Team: smfgratuit  
PR:0 PageRank #0 Plus haut que 10
  
Créer son Forum ~ Abus ~ © smfgratuit