Communauté des investisseurs heureux (depuis 2010)
Echanges courtois, réfléchis, sans jugement moral, sur l’investissement patrimonial pour devenir rentier, s'enrichir et l’optimisation de patrimoine
Vous n'êtes pas identifié : inscrivez-vous pour échanger et participer aux discussions de notre communauté !
Prosper Conseil (partenariat) : optimisation patrimoniale et fiscale sans rétro-commission en cliquant ici.
#1 02/07/2018 23h30
- zedbum
- Membre (2018)
- Réputation : 39
Bonjour,
J’aimerais savoir les courtiers actuels sont sécurisés quand on s’y connecte ?
A part un identifiant ou mot de passe à écrire, ont ils des systèmes assez simple pour sécuriser le compte de leur client.
Par exemple, la plupart des banques fonctionnent en ligne avec un mot de passe que l’on n’écrit pas mais où l’on clique sur une pavé numérique virtuel pour rentrer notre mot de passe.
D’autres envoie un code sms pour renseigner un code supplémentaire.
Dans un autre domaine où les hacks de comptes sont fréquent, comme les jeux en réseau style World of Warcraft et Star Wars Old Republics, il existe des authentiticators. Un petit boitier qui a un instant T génère un code qui ne fonctionnera que pour la période où il est utilisé.
Le but est d’éviter qu’un keylogger déniche vos codes.
Cordialement
Zedbum
Hors ligne
#2 02/07/2018 23h36
- Neo45
- Membre (2016)
Top 20 Portefeuille
Top 50 Invest. Exotiques - Réputation : 534
Bonsoir Zedbum,
Chez Bourse Direct la connections se fait via identifiant / mot de passe.
Par contre lors d’une première connections via un navigateur, il vous est demandé de renseigner un nom de profil ainsi qu’une phrase de sécurité. Le tout est à valider ensuite via un code envoyé par SMS.
Il n’est donc pas possible de se connecter via un navigateur sur lequel vous n’avez pas activé votre profil.
De plus, la phrase de sécurité, affichée lors de chaque connections, vous permet de vous assurer que vous êtes bien sur le site Bourse Direct.
le Petit Actionnaire - Suivi de mes investissements dans les dividendes et Éducation financière.
Hors ligne
#3 02/07/2018 23h46
- DeadBull
- Membre (2016)
- Réputation : 57
Il le propose tous je pense. Enfin j’espère.
Comme Neo45, j’aime bien la façon de Bourse Direct. Mon navigateur efface ses traces après chaque fermeture, ce qui fait que j’ai le droit a un SMS a chaque connexion. Sécurisant.
Sinon j’ai IG qui a créé sa propre application de double authentification. Un genre de Google auhenticator. Sympa aussi, mais un peu contraignante je trouve, au vu de mon utilisation.
Ce qui me permet de rajouter une question a la votre, qui est ma réflexion du moment. Vaut il mieux un mot de passe fort, ou bien un faible combiné d’un double facteur.
Hors ligne
#4 03/07/2018 07h50
Bonjour,
effectivement les banques ne sont pas toujours en avance sur le plan de la sécurité informatique des moyens de connexion. Le deux-facteurs est rare et quand il existe il est parfois mal fait, les immondes claviers virtuels à cliquer prolifèrent alors qu’ils n’apportent qu’un affaiblissement du mot de passe (contrairement à ce qu’on pourrait croire ça ne protège pas vraiment d’un vol du mot de passe), etc.
La raison est que les clients ne sont pas prêts à supporter les contraintes d’une vraie authentification à deux facteurs. Chez Boursorama on peut activer l’envoi d’un SMS à chaque fois, c’est déjà un bon début.
DeadBull, il vaut mieux un mot de passe fort avec un double facteur. La taille du mot de passe est sans lien avec la présence ou non du double facteur donc la bonne réponse est bien "mot de passe fort" + double facteur.
zedbum, je ne connais pas de banque qui utilise un one-time-password pour la connexion au site. Par contre, c’est utilisé pour valider les virements au moins à la Banque Populaire (par signature avec la carte bleue).
Hors ligne
#5 03/07/2018 08h17
- Faith
- Membre (2014)
Top 50 Année 2024
Top 50 Année 2022
Top 20 Dvpt perso.
Top 10 Vivre rentier
Top 10 Crypto-actifs
Top 10 Finance/Économie
Top 50 Banque/Fiscalité
Top 50 Immobilier locatif - Réputation : 690
Hall of Fame
sven337 a écrit :
La raison est que les clients ne sont pas prêts à supporter les contraintes d’une vraie authentification à deux facteurs.
C’est surtout que le double facteur est en général bien inutile pour un accès à son interface bancaire.
Une attaque brute-force ne se fait pas au travers de l’interface web: l’attaque se bloque en 3 lignes de code (ou presque)
Quant aux keyloggers, ils permettent certes d’accéder à l’interface bancaire, mais tant que c’est ça, le mal est bien restreint: les ajouts de RIB inconnus sont en général sujets au double facteur.
Seul attaque vraisemblable: pour les banques qui ne sécurisent pas davantage l’accès au CTO, il est possible (et ça a déjà été fait) de manipuler massivement le cours de petites capitalisations en achetant en masse en provenance de milliers de comptes piratés, puis en vendant cette valeur (dans le bon ordre…)
Mais l’attaque nécessite des ressources importantes et ne me semble pas arriver bien souvent (comme quoi la sécurité n’est pas si défaillante que ça).
les immondes claviers virtuels à cliquer prolifèrent alors qu’ils n’apportent qu’un affaiblissement du mot de passe
Paradoxalement, la simplicité des mots de passe d’accès aux banques (seulement 6/8 chiffres) est plutôt une amélioration de la sécurité: cela garantit que l’utilisateur n’utilise pas le même mot de passe que celui de devenir-rentier, de facebook ou d’un obscur blog.
je ne connais pas de banque qui utilise un one-time-password pour la connexion au site
Ma banque avait mis ça en place pendant quelques temps… et a du revenir en arrière face à l’insatisfaction des clients.
La vie d'un pessimiste est pavée de bonnes nouvelles…
Hors ligne
#6 03/07/2018 08h47
Faith a écrit :
C’est surtout que le double facteur est en général bien inutile pour un accès à son interface bancaire.
C’est exagéré. Je ne vais pas en faire un roman parce que je pense que vous pourrez vous documenter mieux que je ne peux expliquer, mais votre affirmation ne tient pas debout, et sa justification non plus.
Faith a écrit :
Une attaque brute-force ne se fait pas au travers de l’interface web: l’attaque se bloque en 3 lignes de code (ou presque)
Un des buts, pas le premier, du double facteur est de protéger du brute-force en cas de vol de le base de données, pas en ligne. L’attaque brute-force fonctionne très bien hors ligne surtout sur des mots de passes un peu faibles. Ce que vous indiquez n’est "même pas faux", mais complètement sans lien avec la question du double facteur.
L’autre utilité est de protéger du vol de mot de passe par un keylogger ou par phishing, choses qui arrivent souvent.
Votre "threat model" n’est pas très sérieux, normal que vous ne voyiez pas l’intérêt du double facteur.
Faith a écrit :
Quant aux keyloggers, ils permettent certes d’accéder à l’interface bancaire, mais tant que c’est ça, le mal est bien restreint: les ajouts de RIB inconnus sont en général sujets au double facteur.
Dans une optique de pure nuisance vous pouvez aussi passer des ordres de bourse (liquider un CTO pour acheter BX4 à la place !), espionner discrètement votre cible pendant des mois, désactiver un virement permanent, passer un virement externe auprès d’un compte déjà référencé, etc.
Faith a écrit :
Paradoxalement, la simplicité des mots de passe d’accès aux banques (seulement 6/8 chiffres) est plutôt une amélioration de la sécurité: cela garantit que l’utilisateur n’utilise pas le même mot de passe que celui de devenir-rentier, de facebook ou d’un obscur blog.
Ça ne garantit absolument pas cela, je pourrais très bien utiliser le même mot de passe à 6/8 chiffres sur plein de sites. Encore que ces sites le refuseraient car il est trop faible…
Le seul cas où vous avez cette garantie, c’est si c’est la banque qui génère le mot de passe pour vous mais
1) ça ne requiert pas un clavier virtuel, on pourrait très bien le faire sur un mot de passe classique à 20 caractères ou plus
2) vous vous retrouvez avec la banque qui, à un moment, connaît votre mot de passe en clair, et donc avec tous les risques ça implique en cas d’acteur malveillant à la banque ou de vol de leur base
(Si vous vous posez la question, il y a encore certains sites non bancaires très connus qui stockent les mots de passe en clair de nos jours…)
Ce qui est vrai, par contre, c’est que le risque reste limité tant que les virements externes sont protégés par du multifacteur, et que le mieux est l’ennemi du bien. Si un système est tellement "sécurisé" qu’il en devient inconfortable à utiliser, les utilisateurs vont le contourner (ou s’enfuir). C’est pour cela que c’est bien que le multi-facteur au login soit désactivable pour les clients, comme vous, qui n’en voient pas l’intérêt. De là à dire que c’est inutile… j’ai une part importante de mon patrimoine chez un seul courtier qui ne propose que l’authentification par mot de passe limitée à 16 caractères, et je ne suis pas du tout à l’aise avec cette situation sur le plan de la sécurité. Vu mon usage de ce courtier (qui n’est pas ma banque principale), un login à 2 facteurs ne serait pas du luxe.
Hors ligne
#7 03/07/2018 08h58
- DeadBull
- Membre (2016)
- Réputation : 57
@sven337 Avant que vous ne partiez, pouvez vous nous partager le nom de votre courtier qui n’offre pas de double facteur. C’etait Le but du sujet .
Hors ligne
#8 03/07/2018 09h06
Je ne "pars" pas, c’est juste que je ne veux pas passer des heures à expliquer l’intérêt du double-facteur alors que c’est largement documenté.
Le courtier dont je parle est Binck.
De mémoire:
Binck - pas de 2FA (2-factor authentication)
Boursorama - 2FA quand l’appareil de connexion est inconnu et pour référencer un compte externe
Fortunéo - 2FA pour référencer un compte externe (+ délai de 24h)
Et pas vraiment de sécurité supplémentaire sur la partie bourse. On pourrait imaginer un 2FA sur les gros ordres.
Hors ligne
#9 03/07/2018 09h37
- ZeBonder
- Membre (2012)
Top 5 Expatriation
Top 5 Obligs/Fonds EUR
Top 50 Monétaire
Top 20 Invest. Exotiques
Top 20 Entreprendre
Top 20 Banque/Fiscalité - Réputation : 417
La France est très en retard dans ce domaine, voici des courtiers/banques qui utilisent un système de sécurité via un petit boitier qui génère un code unique ( OTP ) et ce depuis plus de 10 ans :
- Oblis.be ( courtier Belge en actions/obligations )
- les banques Belges, chacune fournissant son propre boitier
- les banques/courtiers Luxembourgeois
- plusieurs banques Anglaises comme Barclays,via un générateur OTP
- Interactive Brokers via sa Digital Security Card+
…
Hors ligne
#10 03/07/2018 09h45
- Faith
- Membre (2014)
Top 50 Année 2024
Top 50 Année 2022
Top 20 Dvpt perso.
Top 10 Vivre rentier
Top 10 Crypto-actifs
Top 10 Finance/Économie
Top 50 Banque/Fiscalité
Top 50 Immobilier locatif - Réputation : 690
Hall of Fame
sven337 a écrit :
mais votre affirmation ne tient pas debout, et sa justification non plus.
Disons que vous avez suffisamment déformé mon propos pour qu’il ne tienne plus debout.
Dans une optique de pure nuisance
Et ce que vous décrivez arrive… jamais ?
Ça ne garantit absolument pas cela, je pourrais très bien utiliser le même mot de passe à 6/8 chiffres sur plein de sites. Encore que ces sites le refuseraient car il est trop faible…
Vous me contredisez en première phrase pour me donner raison en seconde.
De là à dire que c’est inutile… j’ai une part importante de mon patrimoine chez un seul courtier qui ne propose que l’authentification par mot de passe limitée à 16 caractères, et je ne suis pas du tout à l’aise avec cette situation sur le plan de la sécurité. Vu mon usage de ce courtier (qui n’est pas ma banque principale), un login à 2 facteurs ne serait pas du luxe.
J’aime cette conclusion: vous écrivez un post assez argumenté pour décrire les nombreux risques et dangers, à quel point je suis inconscient de le négliger et… vous gardez une part importante de votre patrimoine aussi "peu" protégée, alors que l’offre en 2FA est abondante (au passage, Degiro le propose).
Pardon, mais vos actes montrent que vous jugez en réalité ce risque très faible.
La vie d'un pessimiste est pavée de bonnes nouvelles…
Hors ligne
#11 03/07/2018 10h42
- bifidus
- Membre (2011)
Top 50 Portefeuille
Top 50 Expatriation
Top 20 Actions/Bourse
Top 50 Invest. Exotiques
Top 20 Finance/Économie
Top 50 Banque/Fiscalité - Réputation : 538
Le risque d’un piratage par force brute est nul. Par contre en obligeant les utilisateurs à avoir des mots de passes soit disant fort avec des tas de contraintes ou en demandant de les modifier périodiquement on les pousse à les laisser enregistrés dans le navigateur.
Le risque de piratage c’est un cheval de Troie qui permet de récupérer tous les identifiants et mots de passe stockés dans les navigateurs puis les teste automatiquement. Pour les sites n’ayant que l’identifiant de stocké le programme peur essayer les mots de passes stockés pour d’autres sites.
Est faille de sécurité tout ce qui reste enregistré dans votre ordinateur. Bien sur on peut récupérer ce que fait un utilisateur à distance, mais pour regarder ce qu’il tape sur un portier il faut quand même un gros travail manuel… Il est infiniment plus simple d’envoyer des millions de mail avec un cheval de Troie qui siphonne tout ce qui est enregistré.
A partir du moment où la connexion oblige à retaper identifiant et mdp la sécurité est suffisante. Mais il faut effectivement mieux avoir des mots de passes uniques pour les sites sensibles.
Qui n’a pas vécu dans les années voisines de 1780 n’a pas connu le plaisir de vivre
Hors ligne
#12 03/07/2018 10h59
- InvestisseurHeureux
- Admin (2009)
Top 5 Année 2024
Top 5 Année 2023
Top 5 Année 2022
Top 10 Portefeuille
Top 5 Dvpt perso.
Top 10 Expatriation
Top 5 Vivre rentier
Top 5 Actions/Bourse
Top 50 Obligs/Fonds EUR
Top 5 Monétaire
Top 5 Invest. Exotiques
Top 10 Crypto-actifs
Top 5 Entreprendre
Top 5 Finance/Économie
Top 5 Banque/Fiscalité
Top 5 SIIC/REIT
Top 20 SCPI/OPCI
Top 50 Immobilier locatif - Réputation : 3978
Hall of Fame
“INTJ”
Chez HBSC ou Banque Populaire il y a effectivement un petit boîtier pour recevoir des codes et s’authentifier ou confirmer une opération "importante".
C’est pénible au possible : ça prend des plombes, vous devez emmener les boîtiers en déplacement et ponctuellement il n’a plus de pile et il faut redemander un boîtier à la banque.
Hors ligne
#13 03/07/2018 11h17
- carignan99
- Membre (2016)
Top 50 Année 2024
Top 20 Année 2023
Top 50 Année 2022
Top 10 Dvpt perso.
Top 50 Vivre rentier
Top 5 Entreprendre
Top 50 Finance/Économie
Top 20 Banque/Fiscalité
Top 20 Immobilier locatif - Réputation : 603
Pour la banque populaire, vous n’êtes pas obligé d’utiliser le boitier pour les virements (il vous suffit de demander de recevoir le code par sms) mais uniquement pour activer de nouveaux bénéficiaires. A moins qu’il n’existe des seuils de virement à partir duquel on doive utiliser le boitier?
En ligne
#14 03/07/2018 11h22
- ZeBonder
- Membre (2012)
Top 5 Expatriation
Top 5 Obligs/Fonds EUR
Top 50 Monétaire
Top 20 Invest. Exotiques
Top 20 Entreprendre
Top 20 Banque/Fiscalité - Réputation : 417
Les boitiers physiques sont de plus en plus remplacés par des e-tokens ou des applications qui génèrent le mot de passe temporaire.
Hors ligne
#16 03/07/2018 12h30
- ZeBonder
- Membre (2012)
Top 5 Expatriation
Top 5 Obligs/Fonds EUR
Top 50 Monétaire
Top 20 Invest. Exotiques
Top 20 Entreprendre
Top 20 Banque/Fiscalité - Réputation : 417
En dessous c’est des cartes en papier avec des codes à utiliser, comme c’était le cas avec le crédit mutuel.
Hors ligne
#17 03/07/2018 12h35
- Surin
- Membre (2015)
Top 10 Année 2024
Top 10 Année 2023
Top 20 Année 2022
Top 50 Dvpt perso.
Top 50 Expatriation
Top 20 Vivre rentier
Top 10 Monétaire
Top 20 Invest. Exotiques
Top 20 Crypto-actifs
Top 50 Finance/Économie
Top 50 SIIC/REIT
Top 5 SCPI/OPCI
Top 10 Immobilier locatif - Réputation : 1431
Hall of Fame
A la Banque Populaire, si l’on n’a pas de boitier, les virements se font avec confirmation d’un code envoyé par sms et l’ajout de bénéficiaire nécessite d’appeler la banque avec son numéro de mobile enregistré pour qu’ils le voient ou sinon ce sont eux qui rappellent le numéro pour valider, pas de validation en ligne sans boitier.
Le plafond quotidien est de 15000€ pour les virements, parfois en 3 fois selon les caisses régionales.
Parrainage BOURSORAMA code : LIKA0507 - BforBank YYXC - TOTAL ENERGIE : 112210350
Hors ligne
#18 04/07/2018 06h26
- goldex
- Membre (2014)
Top 50 Banque/Fiscalité - Réputation : 150
ZeBonder a écrit :
En dessous c’est des cartes en papier avec des codes à utiliser, comme c’était le cas avec le crédit mutuel.
Ou l’application IBKR Mobile quand même bien plus pratique que la carte papier.
Stay away from negative people. They have a problem for every solution.
Hors ligne
#20 04/07/2018 12h06
- ZeBonder
- Membre (2012)
Top 5 Expatriation
Top 5 Obligs/Fonds EUR
Top 50 Monétaire
Top 20 Invest. Exotiques
Top 20 Entreprendre
Top 20 Banque/Fiscalité - Réputation : 417
Je suis un vieux client old school, j’ai mes cartes en papier que j’utilise encore pour me connecter à IB
Hors ligne
#22 04/07/2018 13h26
- M07
- Membre (2015)
Top 10 Dvpt perso.
Top 50 Expatriation
Top 20 Vivre rentier
Top 50 Actions/Bourse
Top 20 Obligs/Fonds EUR
Top 50 Crypto-actifs
Top 20 Finance/Économie
Top 10 Banque/Fiscalité
Top 50 SIIC/REIT - Réputation : 501
Bonjour !
Moi aussi, j’ai la carte recto-verso, avec le captcha qui demande deux des codes de la carte.
Perso, j’ai numérisé la carte, converti le tout en caractères, et programmé une moulinette pour simplifier le truc : quand le captcha s’affiche, je n’ai qu’à retaper les deux numéros, mon script retrouve les codes, les colle dans le champ de saisie et valide.
M07
Hors ligne
#23 04/07/2018 13h37
- Bargeo
- Membre (2014)
Top 50 Obligs/Fonds EUR - Réputation : 67
Ou sinon vous avez le protocole sécurisé IB Key, bien plus pratique pour s’authentifier de manière sécurisé.
Hors ligne
#24 04/07/2018 13h47
- banyuls
- Membre (2015)
- Réputation : 31
ZeBonder a écrit :
La France est très en retard dans ce domaine, voici des courtiers/banques qui utilisent un système de sécurité via un petit boitier qui génère un code unique ( OTP ) et ce depuis plus de 10 ans
Ne pas avoir ce boitier n’est pas vraiment un retard car sa gestion est très lourde.
Entre les pertes par les clients, les boitiers à changer car ils se désynchronisent et le fait qu’il faille l’avoir avec soi, il est largement préférable d’avoir des OTP envoyés par SMS
bifidus a écrit :
Le risque de piratage c’est un cheval de Troie qui permet de récupérer tous les identifiants et mots de passe stockés dans les navigateurs puis les teste automatiquement.
Oui pour tout ce qui utilise une authentification à 1 facteur (ie : compte/mot de passe) mais l’aspiration des données d’un ordinateur ne permettra pas l’accès à tout ce qui nécessite une authentification à 2 facteurs (ie : compte/mot de passe ET otp).
Dans ce second cas le virus/cheval de Troie est beaucoup plus complexe et simule l’interface bancaire via le navigateur au moment où l’utilisateur souhaite accéder à sa banque en ligne. Il peut donc modifier les actions de l’utilisateur avant de les transmettre à la banque et aussi les valider (dans le cas d’ajout de RIB par ex) avec l’OTP que l’utilisateur va saisir, ce dernier ne sachant bien évidement pas que ses actions sont modifiées.
Le but de ces virus est essentiellement d’effectuer des virements sur des comptes à l’étranger et les cibles privilégiées sont les TPE. Les particuliers n’ont généralement pas des capacités de virement très élevés et les grandes entreprises utilisent les logiciels pour les virements et non les interfaces bancaires en ligne.
Hors ligne
#25 30/03/2024 13h08
- PyT25VC
- Membre (2021)
- Réputation : 53
Bonjour, une petite information qui est peut être déjà connue et débattue sur une autre file de ce forum, mais pour ma part je l’ignorais.
J’ai reçu cette semaine un mail de la plateforme BITPANDA pour m’avertir que Google a introduit dans une des dernières mises à jour de Google Authenticator la fonctionnalité « Cloud Sync », qui permet à un utilisateur de synchroniser ses codes 2FA sur toutes ses machines. De ce fait, si quelqu’un parvient à accéder à son compte Google, cet utilisateur peut voir ses fonds mis en danger.
L’avertissement avait pour but de conseiller de désactiver cette fonctionnalité sur l’application ou de se servir d’une autre méthode d’authentification.
En cherchant un peu sur le web j’ai vu que l’année dernière les chercheurs en sécurité de Mysk avaient signalé que, sur cette application, les données n’étaient pas chiffrées de bout en bout, ce qui peut évidemment poser des problèmes de sécurité informatique puisque Google pourrait stocker des seeds 2FA sur ses serveurs sans sécurisation totale.
Voilà, il n’est pas impossible que depuis il y ait eu des correctifs, mais n’en sachant rien, pour ma part j’ai modifié mon système d’authentification sur BITPANDA.
Aide toi, le ciel t'aidera
Hors ligne
Discussions peut-être similaires à “courtiers en ligne avec une authentification vraiment sécurisée ?”
Discussion | Réponses | Vues | Dernier message |
---|---|---|---|
5 | 3 329 | 17/01/2015 19h39 par Fructif | |
183 | 74 366 | 27/04/2020 15h24 par sikevin | |
1 | 1 403 | 19/08/2016 08h43 par Tahure | |
128 | 41 842 | 14/05/2022 12h13 par misteronline | |
51 | 69 697 | 28/12/2016 14h02 par Solidi | |
130 | 51 676 | 16/01/2024 14h17 par jctrader | |
25 | 11 808 | 17/02/2021 21h39 par NextGen |