[gull] e-banking

magnus anderssen magnus at magooweb.com
Wed Aug 8 12:07:29 CEST 2007 

l'illustre azubi at acm.org a dit un jour,
> Daniel Cordey wrote:
>> [...]
>>
>> Oui, dans le vas de l'UBS, je dois me balader avec cette "calculatrice"; ce
>> qui n'est pas pratique et represente donc un danger de perte ou de vol ! A
>> contrario, les cartes matrices des BCs se glissent facilement dans un
>> porte-monnaie, mais le domaine "aleatoire" est sans doute moins grand.
>
> Juste pour ma curiosité personnelle, comment fonctionne le système de
> l'UBS ? J'ai vu que le crédit suisse propose soit des listes à biffer,
> soit un petit "porte-clé" SecureID (qui semble être un produit de RSA).
> Ce petit appareil génère un nombre aléatoire sur 6 chiffres toute les
> minutes environ (un million de possibilité c'est pas énorme,
> heureusement que le compte se bloque après 3 ou 4 introduction erronées).

on a donc 4 essais pour trouver un code parmi un million. Le tout en partant du
principe qu'on a les "connaissances" de l'utilisateur à disposition.
D'ailleurs, le nombre généré n'est pas du tout aléatoire. Il doit correspondre à
celui que génère la boite installée (ACE Server(tm)(r)(c), il me semble) chez CS.

> Pour la poste il semble que ce soit différent. Ils remplacent la liste
> de numéro à biffer par une calculatrice dans laquelle il faut introduire
> sa carte à puce. Ensuite, le site propose un challenge (? calculer  une
> puissance modulo p, p étant dépendant d'un code de la carte à puce ?)
> que la calculette doit résoudre. Les nombres utilisés sont sur 8
> chiffres ce qui un petit peu mieux que les 6 chiffres du Crédit Suisse.

J'ai vu jusqu'à neuf chiffres à la poste. Finalement, qu'ajoute d'augmenter le
nombre de chiffres à partir du moment ou on dépasse le nombre acceptable (et quel
est-il) et que d'autres mesures sont en place pour diminuer le risque (blocage de
compte par exemple)?

Selon moi, le lecteur de carte n'est pas une calculatrice. pour les cartes à puce,
le principe est généralement un calcul avec une valeur secrète qui est "protégée"
par une "barrière physique" et un code PIN. Le calcul a lieu dans la puce, sinon
cela expose la clé secrète à l'extérieur de la puce. Le GSM fonctionne sur ce
principe.

Dans le cas de la poste, on a peut-être un nombre aléatoire: le challenge.

> Et pour l'UBS ? est-ce une des méthodes décrites ci-dessus ? ou encore
> différente ?

More information about the gull mailing list