Maintenant que la poussière est tombée;Ont peut plus en parler maintenant!
Ne jamais divulgué des infos par téléphone,a n'importe qui ! Cette info est a titre d'information pour éviter les arnaques. "Arnaque sur les cartes de crédits":Tel était le titre de l'article dernièrement dans le journal de mtl de cette semaine,ont parle de 146,310 cartes utilisées frauduleusement pour un montant de 139 Millions$.La tactique des Black hats consistait a se faire passer pour un employé du département de la fraude de Master card et annonce a sa victime que des achats anormaux sur sa carte se sont enregistrés.Ils demande a leurs victimes les 4 derniers chiffres a l'endos de leurs cartes.Ça permet aux fraudeurs tout simplement de pouvoir faire des prélèvements fantomes sur leurs cartes. Julie Brassard de Master cards Canada a expliqué que sa revenait a donner votre signature aux fraudeurs,car les 4 derniers chiffres sont un code de sécurité,donc qui permet de débarrer la carte ou d'obtenir le numéro de celle-ci . **********************************************************8 Mais ,depuis un an déja il y a eut pire,et ceci est répertorier sur le site de l'Université de Cambridge : http://www.cl.cam.ac.uk/TechReports/ Decimalisation table attacks for PIN cracking par Mike Bond, Piotr Zielinski,fichier en PDF (0.2 MB) Ça dit que plusieurs personnes se sont fait vidées partiellement leurs comptes de cartes de crédits ou débits(ATM). Les Banques ont rejettées la faute au laisser-aller des utilisateurs et dit que même si un criminel réussissait a copier le contenu de la bande magnétique d'la carte par un POS piraté sans avoir le code secret ont ne peut utiliser la carte de façon frauduleuse. Ces victimes en Angleterre, sont aller en justice contre Diner/Citybank pour démontrer que ce n'est pas impossible d'obtenir le code secret d'une carte ATM .Ils ont demander aux département de sécurité informatique et de cryptographie du "Computer Laboratory de l'University of Cambridge", de pondre un rapport sur la vulnérabilité du code pin secret d'une carte de crédit et ce en seulement 10 essais. C'est que la technologie utilisée était un système IBM 3624 implémenté par la Citybank,datant de 1980.Le problême est la!!! Ses vulnérabilités sont mises en évidence par 3 algorithmes dont le meilleur est capable de trouver un code secret au bout d'une dizaines d'essais ,face aux 5000 essais par attaque a force brute. Le code secret ,appelé aussi PIN , des cartes ATM et de crédits est de 4 chiffres. Les caractères numériques prévus sont de 10 chiffres (0 a 9)pour 10 exposant 4 : soit 10,000 combinaisons pour en avoir une de valide.Il faut detenir la moitié des combinaisons c.a.d. 5000 pour avoir 50% de probabilité de le trouver.En exécutant l'encrypted_pin_verify ,Mike Bond Étudiant de Cambridge , exploita la vulnérabilité des 4 premier chiffres cryptés d'une carte de crédit.
Ex. :
Pour un numéro fictif de carte 4556 2385 7753 2239
il sera crypté avec l'algorithme DES en 3F7C 2201 00CA 8AB3
si les 4 premier chiffres cryptés sont: 3F7C
Selon le tableau de conversion décimale: 0-1-2-3-4-5-6-7-8-9-A-B-C-D-E-F 0-1-2-3-4-5-6-7-8-9-0-1-2-3-4-5
le numéro 3F7C peut être aussi valable que le le numéro 3F72 ou le 3572
Donc,en envoyant un code PIN de valeur (****censuré)au HSM (Hardware security module),en seulement 10 essais il a pu trouver si les 10 chiffres décimaux a l'intérieur du code PIN de la carte sont présents. La Citybank s'est trouvée prise au dépourvu et réclama a la haute cours anglaise que les documents de M.Bond de Cambridge ne soient pas divulgués.Et que son système inadapté remontant au années 1980 soit révisé tout simplement. http://www.ftp.cl.cam.ac.uk/ftp/users/r ... _order.pdf La haute cours n'a pas pensé aux citoyens anglais qui confient leurs épargnes a la Citybank?Puisque les criminels connaissent déja probablement leur vulnérabilité,ceux qui resteraient dans l'obscurité du problême seraient seulement les citoyens fraudés incapables de démontrer devant une cours comment leur code PIN jalousement gardé a été utilisé. Source: H-magazine Solution: Devener un Human Firewall,en attendant que les systèmes de sécurité des Cartes Bancaire deviennent plus sécure !
Oui,et qui qui payera les $ 139 Millions.......C'est nous $$
La collecte d'info personnel va plus loin dans le cas des Taupes de la SAAQ,Raymond Turgeon écope cinq ans de pénitencier alors que sa complice, Ginette Martineau, est condamnée à trois ans de réclusion. Ils ont plaidé coupable à 25 accusations d'utilisation frauduleuse de renseignements confidentiels, alors qu'ils étaient à l'emploi d'un mandataire de la SAAQ dans l'est de Montréal. Et aussi ,le vol d'ordinateurs de l'Agence des douanes et du revenu du Canada (ADRC). Un des ordinateurs contenait des renseignements qui ont trait à des particuliers et des entreprises du domaine de la construction; il s'agit de noms, d'adresses et de numéros d'entreprise d'entrepreneurs et de sous-traitants. Certains dossiers contenaient aussi des numéros d'assurance sociale de particuliers. Et aux USA ;Ainsi, on apprend qu'au moins 595 ordinateurs portables et de bureau, appartenant au Navy's Pacific Command à Hawaï étaient potentiellement perdus ou compromis. Le rapport fait état de l'inaptitude du service à comptabiliser des centaines d'ordinateurs, dont certains contiennent des documents classifiés. Ainsi, on apprend qu'au moins 595 ordinateurs portables et de bureau, appartenant au Navy's Pacific Command à Hawaï étaient potentiellement perdus ou compromis. Le rapport fait état de l'inaptitude du service à comptabiliser des centaines d'ordinateurs, dont certains contiennent des documents classifiés. Deux ordinateurs portables, contenant des informations «top secret» sont disparus d'un site compartimenté d'informations classifiées (Sensitive Compartmented Information Facility) opéré par le U.S. Central Command à la base aérienne MacDill, à Tampa, en Floride. Ironiquement, la seule raison pour laquelle on a découvert la disparition de ces deux ordinateurs est que le secrétaire à la défense Donald Rumsfeld a ordonné aux enquêteurs de découvrir comment il y avait eu fuite de renseignements concernant des plans d'invasion de l'Iraq! le ministère de la justice à reconnu ne pas pouvoir retracer 400 ordinateurs portables et 775 armes appartenant au FBI et au Drug Enforcement Agency. De plus, il était alors impossible d'établir le niveau de classification de 317 ordinateurs appartenant au FBI. Comme quoi le gouvernement américain semble plus en mesure de déterminer les équipements que possède l'Iraq que ses propres forces sur le territoire américain…
Bientôt,les cartes de débits et crédits avec puces.................Wow,j'espère que ça va être plus sécure, pour nous!
Aucun commentaire:
Publier un commentaire