Send gull mailing list submissions to
[email protected]
To subscribe or unsubscribe via the World Wide Web, visit
https://forum.linux-gull.ch/mailman/listinfo/gull
or, via email, send a message with subject or body 'help' to
[email protected]
You can reach the person managing the list at
[email protected]
When replying, please edit your Subject line so it is more specific
than "Re: Contents of gull digest..."
Today's Topics:
1. Custom ROMs Android & BCN CrontoSign (Marc SCHAEFER)
2. Re: Custom ROMs Android & BCN CrontoSign (Sebseb01)
3. Re: Custom ROMs Android & BCN CrontoSign (Marc SCHAEFER)
4. Re: Custom ROMs Android & BCN CrontoSign (Laurent Franceschetti)
----------------------------------------------------------------------
Message: 1
Date: Tue, 19 May 2020 19:54:34 +0200
From: Marc SCHAEFER <[email protected]>
To: "Gull, liste de discussion" <[email protected]>
Subject: [gull] Custom ROMs Android & BCN CrontoSign
Message-ID: <[email protected]>
Content-Type: text/plain; charset=iso-8859-1
Bonjour,
Jusqu'il y a quelques temps, la BCN permettait un login via ZTIC(*).
C'était
assez simple, mais pas très sécurisé par la faute de la BCN: seul le
numéro de
contrat était nécessaire, pas de mot de passe, pour activer ensuite un
login
ZTIC. Un ami a montré qu'on pouvait se logguer depuis une autre adresse
IP via
social engineering (la personne croit valider un paiement et elle
valide, sur
la ZTIC, un login tiers). De mémoire il a informé la banque qui a dit
`vous
utilisez mal la clé BCN'. Mais passons, ce n'est plus exploité.
Aujourd'hui, on se loggue avec une application mobile: CrontoSign. Les
commentaires sur le Google Play sont plutôt négatifs, on parle
d'application
bricolée. Par contre, ce qui est bien mieux est qu'il faut un login, un
mot de
passe, puis on confirme le login via le CrontoSign.
Il y a deux modes de confirmation CrontoSign: scanner une image-code
sur
l'écran de l'ordinateur qui se loggue (challenge de la banque), taper à
la main
le code retourné; ou scanner l'image-code et c'est le smartphone qui
parle
directement avec la banque, pas d'interaction au clavier (mode `push').
Mon problème: je ne veux pas acheter un smartphone tous les 3 ans.
Tous les 4 à 8 ans me convient. D'un autre côté, les fabricants ne
supportent
l'OS de base que 2 à 3 ans. Donc j'ai installé LineageOS du 15 mai
2020,
et bien sûr mis à jour tous les logiciels du Google Play.
Problème avec CrontoSign:
- sur un téléphone ancien non supporté NON MIS A JOUR, CrontoSign
fonctionne (en mode avec interaction, pas en mode push -- erreur)
- sur un téléphone ancien non supporté MIS A JOUR, CrontoSign
fonctionne, mais la banque fait une erreur de `téléphone rooté'
(alors
que ce n'est pas le cas, c'est juste une custom ROM)
Donc, j'ai informé la banque que j'utiliserai un téléphone ancien non
supporté
et non mis à jour pour me logguer. Comme mon mot de passe est assez
long, que
mon ordinateur est à jour, je doute que cela soit exploitable. On verra
leur
réaction.
Ma question: savez-vous s'il est possible avec LineageOS de faire
croire
à une application comme CrontoSign que c'est une installation
`standard'
de Android, ou ils fonctionnent avec des signatures et il faudrait
tricher
en montrant un faux contenu de flash, grâce au MMU, comme certains
virus
de BIOS PC?
PS: pour être complet, il est toujours possible de se logguer avec un
équipement tout-en-un, une scanneuse à 50.-, mais je n'ai pas
essayé.
PS/2: je préfère quand même la calculette de Postfinance ou les listes
de code à biffer de SwissQuote ... simple, sûr, efficace -- si
associé à un login et mot de passe, ce qui est le cas.
(*) clé USB développée par IBM qui crée un relais sécurisé via le PC;
le logiciel est propriétaire mais fonctionne aussi sur OS standard
Linux.
------------------------------
Message: 2
Date: Tue, 19 May 2020 20:55:34 +0200 (CEST)
From: Sebseb01 <[email protected]>
To: "Gull, liste de discussion" <[email protected]>
Cc: "Gull, liste de discussion" <[email protected]>
Subject: Re: [gull] Custom ROMs Android & BCN CrontoSign
Message-ID: <[email protected]>
Content-Type: text/plain; charset=UTF-8
Bonsoir,
Je ne comprend pas pourquoi le millieu bancaire a autant de peine a
utiliser les standart de l'authentification tel que l'U2F. Il me
semble que postfinance est entraint de supprimer la calculette pour
passer au smartphone :-/
J'ai fait le choix de prendre un smartphone certifier AndroidOne
d'entrée de gamme pour cette tache. En effet Android One est sensé
guarantir 2ans de mise a jour sur la dernière stable et encore 2 ans
de mise a jour de sécurité (ce qui devrait durer plus que mon
Fairphone, [/troll])
si quelqu'un a une meilleures solutions je suis intéressé--
Sebseb01
19 mai 2020 à 19:54 de [email protected]:
Bonjour,
Jusqu'il y a quelques temps, la BCN permettait un login via ZTIC(*).
C'était
assez simple, mais pas très sécurisé par la faute de la BCN: seul le
numéro de
contrat était nécessaire, pas de mot de passe, pour activer ensuite un
login
ZTIC. Un ami a montré qu'on pouvait se logguer depuis une autre
adresse IP via
social engineering (la personne croit valider un paiement et elle
valide, sur
la ZTIC, un login tiers). De mémoire il a informé la banque qui a dit
`vous
utilisez mal la clé BCN'. Mais passons, ce n'est plus exploité.
Aujourd'hui, on se loggue avec une application mobile: CrontoSign. Les
commentaires sur le Google Play sont plutôt négatifs, on parle
d'application
bricolée. Par contre, ce qui est bien mieux est qu'il faut un login,
un mot de
passe, puis on confirme le login via le CrontoSign.
Il y a deux modes de confirmation CrontoSign: scanner une image-code
sur
l'écran de l'ordinateur qui se loggue (challenge de la banque), taper
à la main
le code retourné; ou scanner l'image-code et c'est le smartphone qui
parle
directement avec la banque, pas d'interaction au clavier (mode
`push').
Mon problème: je ne veux pas acheter un smartphone tous les 3 ans.
Tous les 4 à 8 ans me convient. D'un autre côté, les fabricants ne
supportent
l'OS de base que 2 à 3 ans. Donc j'ai installé LineageOS du 15 mai
2020,
et bien sûr mis à jour tous les logiciels du Google Play.
Problème avec CrontoSign:
- sur un téléphone ancien non supporté NON MIS A JOUR, CrontoSign
fonctionne (en mode avec interaction, pas en mode push -- erreur)
- sur un téléphone ancien non supporté MIS A JOUR, CrontoSign
fonctionne, mais la banque fait une erreur de `téléphone rooté'
(alors
que ce n'est pas le cas, c'est juste une custom ROM)
Donc, j'ai informé la banque que j'utiliserai un téléphone ancien non
supporté
et non mis à jour pour me logguer. Comme mon mot de passe est assez
long, que
mon ordinateur est à jour, je doute que cela soit exploitable. On
verra leur
réaction.
Ma question: savez-vous s'il est possible avec LineageOS de faire
croire
à une application comme CrontoSign que c'est une installation
`standard'
de Android, ou ils fonctionnent avec des signatures et il faudrait
tricher
en montrant un faux contenu de flash, grâce au MMU, comme certains
virus
de BIOS PC?
PS: pour être complet, il est toujours possible de se logguer avec un
équipement tout-en-un, une scanneuse à 50.-, mais je n'ai pas essayé.
PS/2: je préfère quand même la calculette de Postfinance ou les listes
de code à biffer de SwissQuote ... simple, sûr, efficace -- si
associé à un login et mot de passe, ce qui est le cas.
(*) clé USB développée par IBM qui crée un relais sécurisé via le PC;
le logiciel est propriétaire mais fonctionne aussi sur OS standard
Linux.
_______________________________________________
gull mailing list
[email protected]
https://forum.linux-gull.ch/mailman/listinfo/gull
------------------------------
Message: 3
Date: Wed, 20 May 2020 08:32:36 +0200
From: Marc SCHAEFER <[email protected]>
To: "Gull, liste de discussion" <[email protected]>
Subject: Re: [gull] Custom ROMs Android & BCN CrontoSign
Message-ID: <[email protected]>
Content-Type: text/plain; charset=iso-8859-1
On Tue, May 19, 2020 at 08:55:34PM +0200, Sebseb01 wrote:
Je ne comprend pas pourquoi le millieu bancaire a autant de peine a
utiliser les standart de l'authentification tel que l'U2F. Il me
semble que postfinance est entraint de supprimer la calculette pour
passer au smartphone :-/
La réponse de la BCN: aucun OS libre n'est supporté avec CrontoSign,
même s'il est mieux à jour que l'image du fabricant, il faut
réinstaller l'image de base.
J'ai écrit
J'ai suivi votre recommandation: j'ai donc maintenant un téléphone
dont l'OS de
base est vulnérable à toutes les attaques corrigées depuis 2 ans
dans l'OS
libre que j'avais installé.
Vous confirmez que vous acceptez cette situation ?
Je doute qu'ils tombent dans mon piège.
J'ai fait le choix de prendre un smartphone certifier AndroidOne
d'entrée de gamme pour cette tache. En effet Android One est sensé
guarantir 2ans de mise a jour sur la dernière stable et encore 2 ans
de mise a jour de sécurité (ce qui devrait durer plus que mon
Fairphone, [/troll])
Intéressant. Mais 4 ans c'est peu: typiquement mon ordinateur principal
a
maintenant plus de 9 ans et fonctionne à satisfaction.
------------------------------
Message: 4
Date: Wed, 20 May 2020 08:40:12 +0200
From: Laurent Franceschetti <[email protected]>
To: "Gull, liste de discussion" <[email protected]>
Subject: Re: [gull] Custom ROMs Android & BCN CrontoSign
Message-ID: <[email protected]>
Content-Type: text/plain; charset=utf-8
Je veux pas être cynique, mais la technologie dans ce domaine souffre
d’un tendance générale de l’industrie bancaire vers la médiocrité.
Tout ça pour vous dire qu’il ne sont pas du tout méchants; mais que si
ça ne paraît pas avoir de sens, c’est surtout parce que ça n’en a pas.
Tout ça c’est complètement au-dessus de leur tête.
Le 20 mai 2020 à 08:32, Marc SCHAEFER <[email protected]> a écrit :
On Tue, May 19, 2020 at 08:55:34PM +0200, Sebseb01 wrote:
Je ne comprend pas pourquoi le millieu bancaire a autant de peine a
utiliser les standart de l'authentification tel que l'U2F. Il me
semble que postfinance est entraint de supprimer la calculette pour
passer au smartphone :-/
La réponse de la BCN: aucun OS libre n'est supporté avec CrontoSign,
même s'il est mieux à jour que l'image du fabricant, il faut
réinstaller l'image de base.
J'ai écrit
J'ai suivi votre recommandation: j'ai donc maintenant un téléphone
dont l'OS de
base est vulnérable à toutes les attaques corrigées depuis 2 ans
dans l'OS
libre que j'avais installé.
Vous confirmez que vous acceptez cette situation ?
Je doute qu'ils tombent dans mon piège.
J'ai fait le choix de prendre un smartphone certifier AndroidOne
d'entrée de gamme pour cette tache. En effet Android One est sensé
guarantir 2ans de mise a jour sur la dernière stable et encore 2 ans
de mise a jour de sécurité (ce qui devrait durer plus que mon
Fairphone, [/troll])
Intéressant. Mais 4 ans c'est peu: typiquement mon ordinateur
principal a
maintenant plus de 9 ans et fonctionne à satisfaction.
_______________________________________________
gull mailing list
[email protected]
https://forum.linux-gull.ch/mailman/listinfo/gull
------------------------------
Subject: Digest Footer
_______________________________________________
gull mailing list
[email protected]
https://forum.linux-gull.ch/mailman/listinfo/gull
------------------------------
End of gull Digest, Vol 141, Issue 9
************************************
