Comments on Comment se battre contre les programmeurs imbéciles de chez LCL

Il y a belle lurette que le Crédit Lyonnais, racheté par l'Agricole et rebaptisé à grands frais, n'a pratiquement plus d'informaticiens, tout au plus des prestatataires qu'on jette après usage, lesquels sont trop occupés à se battre afin de tenir les délais impossibles des choses souvent absurdes qu'on leur demande de programmer, pour parvenir à lutter contre l'absurdité elle-même et les choix techniques foireux qui leur sont imposés.

Ensuite là comme dans la plupart des grandes entreprises, une génération de cadres supérieurs souvent issus du terrain et "montés" à l'expérience, lesquels savaient qu'en informatique ils connaissaient peu et donc déléguaient naturellement à des ingénieurs qu'ils savaient plus compétents, a peu à peu été remplacés par de plus jeunes très diplômés, sûrs d'eux et persuadés parce qu'ils tripotent access, excel et power point sur leur PC qu'ils sont des cadors en informatique. Du coup ils n'écoutent pas ce que quelques fous (1) sérieux osent encore leur suggérer en terme de bon sens technique parfois élémentaire.
(personnellement après m'être longtemps battue, j'ai renoncé et suis allée vivre tout autre chose ailleurs, et qui le méritait)

(1) L'entreprise étant devenue tellement totalitaire qu'il est devenu très hasardeux d'oser objecter à quoi que ce soit.

Ca me rassure. Je croyais que ce genre de choses n'arrivaient qu'à moi.

Bon, je n'ai pas les compétences pour décortiquer pourquoi mon Firefox bien protégé tout partout (adblock, Keyscrambler, Noscript, etc) ne fonctionne pas. J'utilise alors un vieux MS-Internet Explorer moins protégé pendant les dix minutes nécessaires. C'est ce genre de chose qui me retient de diffuser Linux au bureau.

En tout cas, pour les banques, j'ai résolu le problème à coup de bazooka. Je suis monté en compétences pour utiliser la réglementation qui les oblige à ouvrir un compte aux interdits bancaires. C'est lourd, faut être vindicatif, mais ça a le mérite de contrebalancer une bonne fois mes (nos) micro-démissions qui enrichissent les bancadministrations.

@yang : en théorie oui. Sauf que Linxo ne sait pas comment la SocGen chiffre le couple (compte / pass). En arrivant à se connecter, Linxo prouve qu'il sait chiffrer comme la SocGen : c'est à dire que ce n'est pas chiffré. Le Keylogger peut dès lors devenir un tout petit peu plus évolué : espionner les trames qui partent pour https://socgen.com/ …. ou faire du screenCast. (mais oui, en pur keylogger, comme on ne passe plus directement par le clavier, ce n'est pas le bon mot).

#Ruxor : c'est le nième commentaire (qui s'adresse à moi) que je rattrape vraiment par hasard parce que j'ai l'idée de regarder si certains billets sont re commentés derrière moi. (Ceci est l'expression d'un besoin, pas d'un mécontentement).

@Vicnent, je ne comprends pas votre argument concernant la sécurité sur le keylogger et Linxo : si on fournit le code à Linxo, il peut évidemment se connecter. Mais taper visuellement le code empêche quelqu'un de trouver le code à l'aide d'un keylogger mais si on fournit le code à la personne (ou à Linxo), il est évident que la personne va pouvoir se connecter.

J'ai peut-être mal compris quelque chose néanmoins, je suis demandeur de plus d'explications :)

petit note technique : concernant la partie "maintenant pour saisir son code d'accès on ne peut plus le taper au clavier, il faut cliquer sur des petites images de chiffres", c'est bien évidemment totalement pipeau puisque une société comme Linxo n'a besoin que de votre identifiant et password pour se connecter à votre compte, sans taper aucunement des chiffres dans la boite à chiffre UNIQUEMENT à la souris. (je les connais / la SocGen utilise aussi ce genre de leurre / la SocGen n'a pas d'API / C'est en plus "innovant / disruptif" puisque totalement interdit par les CGV/CGU… :-) ).

Cet pipeau ne doit être là que pour la psychologie de l'utilisateur qui se croit donc sauvé face à un éventuel keylogger. Et c'est assez amusant de constater que c'est 100% inutile (la preuve, Linxo le fait), et que ça atteint 0% de sa cible : soit les clients ne savent pas ce que c'est q'un keylogger et donc se foutent éperduement et par méconnaissance de cet élément de sécurité supplémentaire qui les emmerde, soit les clients sont des geeks et ça les fait marrer… (pourtant, ce ne serait pas très dur de générer un petit process qui fasse bien le boulot. => resterait à déjouer le screenlogger :-)

@ 1loup

Témoignage sur la procédure de modification du numéro de mobile, chez Fortuneo (plus précisément, me concernant, l'insertion initiale d'un numéro de mobile faite plusieurs années après l'ouverture du compte).

* On se connecte sur le site web, mot de passe habituel ;

* On essaie de remplir la case "téléphone mobile". Sans surprise, on est averti que l'opération est sensible en termes de sécurité, et qu'il est nécessaire de téléphoner au service client ;

* On téléphone donc au service client, en s'identifiant avec le même mot de passe que sur le site web ;

* On communique son numéro de mobile à un sympathique opérateur, qui le prend en note sans poser davantage de questions ;

* Il est désormais possible de recevoir sur ce numéro par texto des codes confidentiels permettant des opérations sensibles.

Oui je sais, c'est complètement absurde, mais c'est comme ça.

Passe à la banque populaire….

J'ai un petit appareil envoyé chez moi par la poste qui me sert pour toutes les opérations sensibles en ligne.
Ils me donne un code, j'insère ma carte bancaire dans l'appareil, je tappe mon code de carte (si 3 erreurs=>carte bloquée) puis s'il est bon je tappe le code qu'ils m'ont donné et je récupère un autre code que je dois leur indiquer sur le site.
< 1 minute à chaque fois

J'imagine, le code a redonner étant différent à chaque fois, que cela fonctionne un peu sur le principe des token rsa "physiques" que j'ai eu l'occasion d'utiliser aux US.

Dans le principe je trouve ça bien plus pratique et sur que le courrier/texto.
Bien sur faut le boitier, si tu es à l'étranger et que tu l'as oublié…

Je n'ai pas très bien compris ce que tu voudrais (dans cette entrée par ailleurs amusante), mais clairement l'étape 1 est d'exploiter concrètement la faille de sécurité, si possible en siphonnant le compte du directeur de ton agence.

Avec les "cons" (tout est relatif) : ne jamais rechercher le rapport de forces.
Je ne suis qu'ingénieur et j'ai bien du mal alors pour un Normalien Génial, c'est presque avec 7.000.000.000 de personnes qu'il faudrait lutter au quotidien !
Je vous plaint, professeur.
Le pardon, le vent…

"Je pourrais aussi écrire une lettre à LCL en disant écoutez, je suis chercheur en crypto dans une grande école de télécommunications, et mon avis technique détaillé en tant que spécialiste de sécurité informatique est que vous êtes des quiches"

Le problème des arguments d'autorité, c'est qu'ils peuvent donnent lieu à des surenchères: LCL peut répondre que leurs informaticiens sont des experts en crypto dans une grande banque qui est encore plus grande que votre grande école.

C'est vrai, ça, qu'est-ce que tu as contre les quiches ?

Moi je vote pour la lettre d'insulte, ça aura au moins l'avantage de te défouler.

Et on sait jamais, tu auras peut-être une réponse utile. Ma banque a récemment remplacé la page de login en Javascript par une page de login en Java [ce qui est complètement stupide], et je n'ai pas réussi à le faire marcher sous Linux, peut-être a cause d'un problème de librairies comme le tien. J'ai envoyé un message pour me plaindre par l'interface du site, plus pour me défouler qu'en espérant une amélioration. Et on m'a répondu que la page de login en Javascript était toujours accessible en refusant le message qui propose d'installer Java. En fait il faut commencer par désactiver le plugin Java, mais le point positif c'est qu'il y a eu quelqu'un pour faire une réponse pertinente, et que je peux accéder au site :-)

Transfert d'argent depuis les autres comptes: pourquoi ne pas recourir aux cheques?

Au sujet du clavier visuel, la Banque Postale m'avait répondu que c'était contre les gens qui peuvent récupérer les codes tapés au clavier, simplement en écoutant les ondes émises par un clavier lors de leur saisie. Ca m'avait semblé convaincant, d'autant qu'ils m'ont assuré que les aveugles avaient leur propre moyen de gérer leur compte. (Mais je n'ai pas creusé le dossier.)

:-)

Ce que j'ai toujours du mal à comprendre, dans ce genre de process, c'est quels sont les hypothèses choisies et les raisonnements effectués pour arriver à ce que telles ou telles étapes soient présentes dans le résultat final (là, par exemple, le fait qu'il faille attendre un bout de papier me parait ubuesque).

A la SocGen, pour insérer un RIB, je fais un clic pour dire "insérer un RIB", je dois rentrer mon code à nouveau, je dois rentrer (dans la minute ?) un code envoyé par texto, rentrer le RIB, rentrer le nom du propriétaire, rentrer un éventuel libellé, cliquer sur OK. Si le RIB est bon, je peux ensuite cliquer sur faire un virement. Je mets mon code, un nouveau code à nouveau reçu par sms, le montant et OK. Le virement est définitif au bout de 4h (ie j'ai 4h pour modifier / annuler sans conséquence ce virement)

Faire un virement enregistré prend en gros 1 minute, après enregistrement, 4 minutes max.

Sans arrogance aucune, certaines de tes questions (et ce n'est pas la première fois) montre qu'il ne faudrait pas trop que tu ailles bosser dans du pur privé : tu idéalises beaucoup trop de situations, probablement justement par méconnaissance… et souvent, dans un monde parfait, tu aurais raison. (alors qu'il y a parfois beaucoup d'irrationnel… et beaucoup de situation que tu estimes débiles sont en fait des maximas locaux mais des minima globaux… Tes récents problèmes de locations d'amphi ne sont que le pouillième des situations aberrantes que les entrepreneurs peuvent rencontrer tout au long de l'année, entre les administrations (MESR, Impots, Commerce, …), Les institutions (Ursaaf, CIPAV, RSI, …), les organismes de gestion, les instituts, des règles et des règlements, la loi, la complexité juridique en général, les problèmes d'égo (mais aussi l'arrogance, les mensonges, …), de fric, de ressources humaines, de trésorerie, sans compter certaines décisions ubuesques encore, de certains tribunaux : la première instance d'un tribunal de commerce n'est pas composée de professionnels : ils peuvent donc rendre n'importe quelle décision (même avec de grosses fautes de droit !) sans avoir aucunement de compte à rendre à qui que ce soit. Quand bien même c'est du référé, quand bien même beaucoup d'argent est en jeu…) etc etc… . L'expérience permet de les gérer et de ne pas devenir fou mais on ne s'habitue pas…

pitié pour les plats régionaux!

Et ton rendez-vous de samedi alors?

Entièrement d'accord avec l'ensemble de l'article, sauf sur le point "on peut tout faire en javascript" : le lien que tu mentionnes précise bien que "the features mentioned in this article are proprietary Mozilla extensions, and are not supported in any other browser."

Les impôts aussi utilisent java pour générer le certificat et il me semble que c'est vraiment la seule solution portable. (Par contre, on n'a évidemment pas besoin de dictao.con).

J'aimerais beaucoup que tu utilises le mot quiche dans une lettre officielle à la LCL. Allez, s'il te plaît…

Je ne suis pas certain que ce que je subis dans mes banques soit mieux :

- La Banque Postale : le rajout d'un RIB est validé par l'envoi d'un code sur mon téléphone mobile qui a été déclaré lors de l'ouverture de mon compte, il faut taper en ligne le code reçu sur le mobile. J'avoue que si je change de numéro de mobile, je ne sais pas ce qu'il faut faire pour valider ce nouveau numéro, se déplacer en agence sans doute.

- CMB : Presque identique, avec la possibilité de recevoir le code sur le mail déclaré. Comme je n'ai pas donné mon mobile, cela m'arrange. Mais est-ce vraiment "sécurisé", hein… ?

- Axa Banque : Code sur mobile aussi (que je ne peux pas utiliser vu que je n'ai pas donné mon numéro) ou appel d'un robot sur mon téléphone fixe (mais qui ne reconnait jamais lorsque je tape le signe # comme il me le demande donc la procédure échoue à chaque fois)

Le coup des claviers visuels, c'est soit-disant pour contrer les Keylogger mais comme toi, je n'aime pas du tout, impossible d'utiliser une machine en public et bonjour l'accessibilité comme tu dis (encore que certaines proposent du coup de passer en vocal).

Tu avais vu ça ? :)))
http://korben.info/une-faille-sur-le-site-du-credit-lyonnais.html

Ca pourrait aussi intéresser une grande école de Télécom/Info, d'avoir des chercheurs en sociologie des organisations pour comprendre pourquoi une grande boîte est incapable d'avoir un site web utilisable - le maillon faible en sécurité des systèmes d'informations, c'est le plus souvent l'organisation…