NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
36 visiteur(s) et 0 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 108 409 046
- Nb. de membres 8 693
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» crédit agricole et SSL
Modérateur(s)
Poster une réponse dans le sujet
Aperçu des sujets :
developpeur
Posté : 25 sept. 2005 à 21:38
Ceci étant sa réponse est juste ... comme pour l'ensemble des site internet des grandes banques (au moins les françaises).
Ensuite l'on pourrait discuter de la longueur Minimum des MDP utilisateur car là, certains doivent faire des progrès (4 munériques par exemple pour une grande banque coopérative ...)
:-)
Ensuite l'on pourrait discuter de la longueur Minimum des MDP utilisateur car là, certains doivent faire des progrès (4 munériques par exemple pour une grande banque coopérative ...)
:-)
urbain
Posté : 25 sept. 2005 à 10:54
lol oui :))
zoheir
Posté : 24 sept. 2005 à 17:32
Il a mis du temps à répondre le public-relation du Crédit Agricole :-)lol
Anonyme
Posté : 24 sept. 2005 à 16:51
Bonjour,
Juste un apport complémentaire à la discussion qui devrait rassurer l'internaute à l'origine de ce post sur la sécurité de l'accès à ses comptes.
Il ne faut pas oublier qu'un formulaire d'authentification est composé de deux parties distinctes d'une part la page qui présente le formulaire et d'autre part l'adresse, au sens URL, à laquelle le formulaire est envoyé. Contrairement à une idée trop souvent reçue le fait que la page présentant le formulaire soit fournie par une transaction sécurisée (SSL) symbolisée par le cadenas n'est pas pour autant gage de sécurité de l'envoi des données du formulaire l'inverse est aussi vrai.
Lorsque le doute existe comme dans le cas présent il est préférable de s'assurer de l'adresse de destination du formulaire qui est le vrai gage de sécurité. En effet c'est lors de la seconde transaction, envoi du formulaire, qu'il est important que les données soient cryptées. En regardant le code source de la page on s'apperçoit que le formulaire d'authentification est envoyé à l'adresse suivante https://www.cmds-enligne.credit-agricole.fr c'est donc du HTTPS il n'y a pas de risque.
Il est certain qu'il serait plus lisible pour l'internaute que la page d'accueil soit aussi sécurisée mais cela ne changerait rien à la transaction d'authentification.
Juste un apport complémentaire à la discussion qui devrait rassurer l'internaute à l'origine de ce post sur la sécurité de l'accès à ses comptes.
Il ne faut pas oublier qu'un formulaire d'authentification est composé de deux parties distinctes d'une part la page qui présente le formulaire et d'autre part l'adresse, au sens URL, à laquelle le formulaire est envoyé. Contrairement à une idée trop souvent reçue le fait que la page présentant le formulaire soit fournie par une transaction sécurisée (SSL) symbolisée par le cadenas n'est pas pour autant gage de sécurité de l'envoi des données du formulaire l'inverse est aussi vrai.
Lorsque le doute existe comme dans le cas présent il est préférable de s'assurer de l'adresse de destination du formulaire qui est le vrai gage de sécurité. En effet c'est lors de la seconde transaction, envoi du formulaire, qu'il est important que les données soient cryptées. En regardant le code source de la page on s'apperçoit que le formulaire d'authentification est envoyé à l'adresse suivante https://www.cmds-enligne.credit-agricole.fr c'est donc du HTTPS il n'y a pas de risque.
Il est certain qu'il serait plus lisible pour l'internaute que la page d'accueil soit aussi sécurisée mais cela ne changerait rien à la transaction d'authentification.
Anonyme
Posté : 27 juil. 2005 à 15:24
Merci GiamDoc et Jonhatan pour votre curiosité et informations.
Je vous laisse un peu entre expert, pour finallement savoir si il y a cryptage ou pas au départ.
Par contre je pense que vous pouvez me confirmer que l'envoie ne se fait pas sous SSL, et là je ne comprends pas la démarche du Crédit Agricole qui pourrait bénéficier d'un tube afin de protéger les données de façon optimum et qui ne le fait pas ?
PS: GiamDoc, la guichetière est un guichetier qui se trouve à 500 km de chez moi. J'aime le vèlo, mais il y a des limites. 8-)
Je vous laisse un peu entre expert, pour finallement savoir si il y a cryptage ou pas au départ.
Par contre je pense que vous pouvez me confirmer que l'envoie ne se fait pas sous SSL, et là je ne comprends pas la démarche du Crédit Agricole qui pourrait bénéficier d'un tube afin de protéger les données de façon optimum et qui ne le fait pas ?
PS: GiamDoc, la guichetière est un guichetier qui se trouve à 500 km de chez moi. J'aime le vèlo, mais il y a des limites. 8-)
Jonathan
Posté : 27 juil. 2005 à 14:57
au risque de te decevoir giamdoc, je crois qu'il a raison.
J'ai utilisé une extension firefox qui permet de voir ce qu'on envoi dans les formulaires, et il semblerait que le numéro de compte et pass sont envoyés en non crypté.
Enfin, j'ai fait ca a la va vite, je me trompe peut etre
J'ai utilisé une extension firefox qui permet de voir ce qu'on envoi dans les formulaires, et il semblerait que le numéro de compte et pass sont envoyés en non crypté.
Enfin, j'ai fait ca a la va vite, je me trompe peut etre
GiamDoc
Posté : 27 juil. 2005 à 14:05
ben voilà! prends ton vélo et va voir la guichetière, c'est plus convivial.
tiens, je viens d'essayer d'envoyer mon n° de compte avec un pass pourri :-P voilàa ce que mon browser envoyait:
$1$ao0XogLW$v2p5RV.5BL4j4fV7ikV2X.
vas-y décryptes le et reviens nous voir dés que tu auras déchiffré
tiens, je viens d'essayer d'envoyer mon n° de compte avec un pass pourri :-P voilàa ce que mon browser envoyait:
$1$ao0XogLW$v2p5RV.5BL4j4fV7ikV2X.
vas-y décryptes le et reviens nous voir dés que tu auras déchiffré
Anonyme
Posté : 27 juil. 2005 à 13:51
Si je suis parano alors les concepteurs et utilisateurs du SSL le sont aussi ?
A quoi bon créer un systéme "tunnel" avec encryptage performant pour ne pas l'utiliser ?
De plus, sur tout les sites de transactions, ou sur les sites où sont saisie des informations sensibles, les conseil de sécurité précise bien de s'assurer que vous êtes sous SSL. Je ne suis pas parano.
Va sur amazon, le Crédit Lyonnias, la Société Générale etc etc .
Les identifiants et mdp sont saisies sous SSL.
Tu m'expliqueras alors comment le numèro de compte se balade entre leur page d'accueil et leur serveur. Il est peut-être ( et surement) crypté à l'arrivée, mais pas dans le tube. Ou quelque chpose m'échappe.
J'ajoute, qu'il existe d'autre site du crédit agricole ou la saisie se fait sous SSL. Crédit agricole du nord est par exemple. Je suis sincérement désolé, mais j'ai du mal à envoyer mon numèro de compte bancaire ( parce qu'en plus il sert d'identifiant chez eux, on pourra parler là aussi sécurité) dans le web comme ça.
Cordialement
A quoi bon créer un systéme "tunnel" avec encryptage performant pour ne pas l'utiliser ?
De plus, sur tout les sites de transactions, ou sur les sites où sont saisie des informations sensibles, les conseil de sécurité précise bien de s'assurer que vous êtes sous SSL. Je ne suis pas parano.
Va sur amazon, le Crédit Lyonnias, la Société Générale etc etc .
Les identifiants et mdp sont saisies sous SSL.
Tu m'expliqueras alors comment le numèro de compte se balade entre leur page d'accueil et leur serveur. Il est peut-être ( et surement) crypté à l'arrivée, mais pas dans le tube. Ou quelque chpose m'échappe.
J'ajoute, qu'il existe d'autre site du crédit agricole ou la saisie se fait sous SSL. Crédit agricole du nord est par exemple. Je suis sincérement désolé, mais j'ai du mal à envoyer mon numèro de compte bancaire ( parce qu'en plus il sert d'identifiant chez eux, on pourra parler là aussi sécurité) dans le web comme ça.
Cordialement
GiamDoc
Posté : 27 juil. 2005 à 13:41
Les identifiants personnels que vous avez saisis dans les deux zones prévues à cet effet, numéro et code, sont transmis sous forme cryptée ==> donc pas en clair (faut pas être parano)
nota bene : y a pas besoin d'être en https pour envoyer des données cryptées
nota bene : y a pas besoin d'être en https pour envoyer des données cryptées
Message édité par : GiamDoc
Anonyme
Posté : 27 juil. 2005 à 08:12
Merci pour vos réponses. Je m'excuse pour le hors sujet. Je pensais sincerement etre sur un site dédié à la sécurité informatique.
Pour GiamDoc. J'ai bien vu ce message, mais si j'ai bien compris, le protocole SSL permet de transmetttre en sécurité les donnée. Hors, lorsque l'on saisie on n'est pas sous SSL. Les données vont être acheminées sur un espace SSL. Ce qui m'inquiète c'est l'acheminement. Je ne comprends pas très bien comment les données saisies peuvent être cryptées alors que je ne suis pas encore sous SSL.
PS Le webmaster peut effacer à terme mes messages car étant hors sujet. Si vous ne souhaitez pas répondre ce n'est pas trop grave. Pardon encore pour mon hors sujet.
Merci pour vos réponses. Je m'excuse pour le hors sujet. Je pensais sincerement etre sur un site dédié à la sécurité informatique.
Pour GiamDoc. J'ai bien vu ce message, mais si j'ai bien compris, le protocole SSL permet de transmetttre en sécurité les donnée. Hors, lorsque l'on saisie on n'est pas sous SSL. Les données vont être acheminées sur un espace SSL. Ce qui m'inquiète c'est l'acheminement. Je ne comprends pas très bien comment les données saisies peuvent être cryptées alors que je ne suis pas encore sous SSL.
PS Le webmaster peut effacer à terme mes messages car étant hors sujet. Si vous ne souhaitez pas répondre ce n'est pas trop grave. Pardon encore pour mon hors sujet.