Reprise du message précédent :

Changement de SIM chez l'opérateur via usurpation d'identité.

Ce qui n'explique toujours pas comment il accède aux comptes en banque. On tourne en rond, là.

Il ne faisait que répondre à jenrokefort en lui cassant ses idées de sécurité, c'est tout.
On va pas non plus faire un tutoriel sur du piratage bancaire sur HFR...

Mais je ne dis pas que j'accède aux comptes en banque (ou autre) avec ça, je dis que si on pense que si on active une authentification par SMS sur son téléphone, alors il est faux de croire que la seule solution pour contourner cette partie de la protection est de voler le téléphone qui reçoit les SMS.

Je réagissais à ça :
 
« Quand tu appelles un fournisseur (électricité, internet, téléphone, etc.), réfléchis aux infos qu'on te demande pour vérifier ton identité. Voilà.
http://www.ladepeche.fr/article/20 [...] 600-e.html
http://forum-juridique.net-iris.fr [...] e-sim.html
http://forumfreemobile.fr/viewtopi [...] 18&t=10979
http://www.60millions-mag.com/foru [...] t8418.html »

Qui réagissait à  

qui réagissait à  

Faut suivre

OK laisse tomber on ne se comprend pas. Passons à autre chose.

bonjour,
 
dites, c'est quelle Bel qui ne demande pas de versement regulier ?
 
je vois que fortuneo (avec sa carte gold) demande de justifier 1800 € à la souscription et qu'ensuite il n'y plus de dépôt mensuel obligatoire ?
 
c'est toujours le cas ?

Boursorama, ING si tu as plus de 5K€ chez eux. Les autres je ne connais pas

Ing demande 750€/mois sur le cc

ING demande soit 1200 € / mois (ce n'est plus les 750€) soit une épargne de 5K€.
du coup, bourso ne demande rien une fois le compte ouvert ? même pas un mini versement mensuel ?

Ah j'avais oublié que ING avait augmenté le minimum mensuel
Pour Fortuneo et bourso, il n'y a pas de montant mensuel à verser  

 
Non, rien.
 
Tout comme Fortu, HelloBank! et d'autres.
 
Cf First post

ok super !
merci tous les deux

Il y a du parrainage sur N26 ?

Oui, 10 balles pour le parrain.

Quand on ouvre un compte courant chez Bourso, est-ce qu'on se voit proposer des primes pour l'ouverture d'un LDD ou LA par la suite ?

Très très rarement.

Uniquement pour CEFP et AV à ma connaissance chez Bourso

 
 
Pour FORTU si, avec la World Elite je dois verser du POGNON tous les mois ou trimestre.
Je crois 4k€/mois, à vérifier.

Je ne sais pas ça, je ne suis pas hfr compilant  

Oui 4k/mois

Je pense pas, j'ai rien reçu.

Sur le site de la Caisse d'épargne () l'identifiant de connexion passe en en paramètre GET en clair dans l'url du formulaire
Sur la "popup interne" de connexion, faut mettre l'id de compte internet et valider, dans les traces réseau ça donne:

Ensuite tu rentres ton code sur le super clavier virtuel super aléatoire  tu valides et dans les traces réseau:

En gros un malware/virus/cequetuveux sur le pc/navigateur de Mme Michu qui enregistre les requêtes web, http ou https osef à ce niveau là, et tu pompes des comptes d'accès Caisse d'Epargne
Ça a pas l'air de les déranger

édit: notez le auth_mode=ajax et authMode=ajax

Ah ouais quand même  

 
 
C'est quand même limite scandaleux non ? Comment c'est possible un tel manque de bon sens de la part d'une banque, c'est tout de même sensible    et puis bon c'est pas un noob c'te banque, on parle pas de Morning...

Grave... C'est même plus facile de le contester que de réussir faire prélever sur un RIB qui n'est pas à son nom.

En français, en plus accessible ?

Bien sûr qu'on peut avoir un RIB pour un LDD ou Livret A.

Il y a des fonctionnalités de versement qui consistent à lancer des prélèvements SEPA depuis un compte tiers sans contrôle particulier des cohérences des noms (qui peut être compliquée à vérifier)

Bonjour à tous.
 
Je vais devoir transférer par virement des sommes assez importantes d'Euros en Forint (Hongrie).
J'ai d'abord pensé à Transferwise, les frais sont de 0.7% dans ce cas.
Puis j'ai regardé pour comparer avec Boursorama (mon compte principal), et là c'est tour sauf clair...
 

 
Quels frais je dois prendre en compte dans ce tableau?
Pour moi, je suis en "virement en devises" donc 0.1%.
Mais dois-je ajouter les "commissions/marges" de change?
 
Merci  

J'ai cru à une blague au début...

Tant d'incompétence me laisse pantois.

Le contenu de ce message a été effacé par son auteur

 
L'id, ça me choque pas, faut bien passer son id et 0 intérêt de chiffrer ça côté client.
 
Par contre, le clavier virtuel, c'est clairement de la bonne grosse merde.

Ça coûte rien de faire un petit sha1/sha2 de l'id et du mot de passe côté client... aller jvais être gentil même un MD5 mais ça c'est pour le cas où ils continus à faire les cons en passant ça en GET.
Enfin bon ça devrait pas être envoyé en GET mais en POST dans la requête, et laisser le https faire son job.
Là le https concernant ces données n'est d'aucune utilité...
Dans tous les cas c'est pas admissible je trouve
Enfin bon je suis pas là pour faire le boulot des "ingés" de la CE

T'appelles ça des ingés, même entre guillemets je te trouve bien charitable. :-)

Ça sert à rien de hacher les identifiants côté client.
POST ou GET c'est pareil.
 
Un bon malware va te keylogguer de toute manière, plus simple que faire du MitM.

comment tu as eu les traces alors que c'est du https ?

https ne crypte que le contenu, pas la destination de l'échange.
Si y'a des trucs sensibles dans l'url, c'est cuit.

Outils développeur du navigateur. C'est accessible par la touche F12 ou le menu du navigateur.
Et je parle pas d'un truc de barbu là (enfin pas trop ) C'est accessible sur tous les navigateurs ensuite tu as un onglet network/réseau dans lequel tu peux voir passer toutes les requêtes que la page web émet/reçois

http://stackoverflow.com/a/499620/72637
on voit la résolution DNS et l'IP qui est derrière en clair, pas le contenu de la socket, et le GET est dans la la socket. En TLS, le GET arrive après un bon bout de temps, y'a eu la négociation de protocole, l'échange de clefs et l'ouverture de session avant que le client dise ce qu'il veut, c'est pas du tout le premier octet comme en HTTP.  
Tout ce qui est derrière le nom de domaine est secret, et non-cachable par les intermédiaires.
 

tu es déjà dans la zone déchiffrée, c'est pas sujet à protection.
 
En fait la plupart de la pensée derrière les verbes HTTP et les proxies part à la poubelle avec HTTPS, parce que les proxy ne savent même pas quelles requêtes passent par leur serveurs. Donc pas de replay possible comme on pourrait avoir avec un GET HTTP il y a quelques années, pas de réponse cachée, etc.
 
Il peut rester un peu de ces mécanismes côté serveur (par exemple si le fournisseur déwrappe le HTTPS dès l'entrée dans son datacenter, puis a des proxys et reverse proxy derrière, ça peut être la fête à la maison s'il fait pas gaffe entre GET et POST, mais ça reste chez lui), et il peut rester un peu de mécanismes côté client (mais même pour les GET en cache, on a des entêtes spécifiques pour maitriser ça plus intelligemment).
 
 
En GET tout ce qu'il doit rester est du XSS, j'arrive pas à trouver un scénario, pourtant c'est open bar comme target de <img src=> ou de <form>
 
Quand à ces histoires de keyloggers, tout ce qu'il reste c'est le 2FA, et bon courage pour mélanger ça avec madame michu que ce soit l'appli smartphone, le token RSA ou la liste de codes sur papier.

Excusez-moi je croyais qu'on était sur le topic banque

Topic banque, mais sur HFR