Crédit Agricole et SSL

Crédit Agricole et SSL - Sécurité - Windows & Software

Marsh Posté le 27-07-2005 à 08:27:36    

Bonjour, sur la plupart des sites bancaires la saisie des données se font sur une page SSL (httpS plus cadenas).  
Sur le site du crédit agricole ( http://www.ca-cmds.fr/ ) la saisie se fait sur une page normale. Si je comprends bien les codes d'accés aux comptes sont donc transmis hors SSL ?!  
La réponse  actuelle du crédit agricole est :
Les identifiants personnels que vous avez saisis dans les deux zones prévues à cet effet, numéro et code, sont transmis sous forme cryptée  
 Ce qui m'inquiète c'est l'acheminement. Je ne comprends pas très bien comment les données saisies peuvent être cryptées ( quelle forme de cryptage ?) alors que je ne suis pas encore sous SSL.  :??:  
Avez vous une réponse ?
Cordialement

Reply

Marsh Posté le 27-07-2005 à 08:27:36   

Reply

Marsh Posté le 27-07-2005 à 08:50:21    

Même question :)

Reply

Marsh Posté le 27-07-2005 à 09:54:26    

http://www3.sympatico.ca/gtopala/about_siw_pc.html
Installe ce programme et utilise la fonction secrets dans le menu tools.
S'il récupère le pass et le login du site credit agricole c'est clair que le log est pas crypté.
Je suis pas sur de cette technique. C'est un test de base pour voir.


Message édité par wonee le 27-07-2005 à 09:55:03
Reply

Marsh Posté le 27-07-2005 à 15:30:50    

Le formulaire envoie le pass et login vers un lien https donc probablement chiffré. Il n'y a que l'identification qui est chiffrée, ce n'est pas nécessaire pour le reste de la page
 
(https://www.cmds-enligne.credit-agricole.fr/cgi-bin/emcgi?Appl=T3SID7&ret=http://www.ca-cmds.fr/)


Message édité par cpdump le 27-07-2005 à 15:31:13
Reply

Marsh Posté le 27-07-2005 à 15:50:55    

Idem pour http://www.lefil.com (Crédit Agricole Pyrénées Gascogne).
On est redirigé vers https://www.campg-enligne.credit-ag [...] ide1_1.htm avant l'identification, c'est donc securisé...

Reply

Marsh Posté le 27-07-2005 à 17:15:34    

D'abord merci pour vos réponse.  
dd31, lorsque tu vas sur l'adresse que tu nous donne ( lefil.com) on est redirigé vers une page sécurisé pour saisir identifiant et mdp. Donc là je saisie sur une page sécurisée SSL. Là, ça me va.
 
cpdump, tu écris "Le formulaire envoie le pass et login vers un lien https ". C'est bien cela qui m'intrigue. Pendant le voyage jusqu'au serveur qu'en est-il de ma saisie mdp et numèro de cpte ? ( au passage, utiliser le N° de cpte comme identifiant me semble pas le plus judicieux).
Pourquoi ne pas faire effectuer la saisie sur une page https. Comment en fait sort le N° de cpte et le mdp de ma bécane jusqu'au serveur du crédit agricole ?
 
Je suis un peu novice, j'observe pourtant que pour toutes les saisies de données sensibles il est recommandé d'etre sur une page SLL ( httpS plus cadenas). Je ne comprends pas très bien le processus ici.

Reply

Marsh Posté le 27-07-2005 à 19:19:39    

Chiffrer la page d'acceuil prend du temps et n'est pas nécessaire au niveau de la sécurité, seuls les login et mot de passe sont chiffrés par SSL lorsqu'il sont envoyés au script d'identification
 
Je suppose qu'une fois l'identification effectuée, tu passes sur une page chiffrée par SSL puisque toutes les informations affichées sont confidentielles.

Reply

Marsh Posté le 27-07-2005 à 21:06:37    

Merci cpdump, je commence à comprendre. Une partie de la page est crypté.
Le problème est qu'il est impossible de le savoir. Autant l'URL en https et le logo en cadenas sont un signe probant SSL, autant leur absence laisse planer un grand doute. Sur ce site du forum hardware on peux laisser un formulaire avec un commentaire du type 'vos données sont cryptées". Oui peut-être bien que oui , peut-être bien que non.
Au final, même si les formulaire est certainement crypté , je trouve malheureux qu'un site bancaire n'utilise pas la totalité des moyens qui permettrait à l'utilisateur d'être sur d'opèrer en mode crypté. Je ne comprends ce choix dans la conception du site et le protocole de d'identification. Quel est l'intérêt ?
Je pense qu'il y a un problème de sécurité dans l'esprit.
On pourrait posait la question ainsi : si tu es en page https plus cadenas as-tu de meilleur garantie de sécurité que sur une page http normal ?
Qu'en pensez vous ?
Vous copnstruisez un accs par identification sécurisé quelle mèthode utiliseriez-vous ?
 

Reply

Marsh Posté le 28-07-2005 à 16:51:58    

Concernant le ca-cmds.fr,  
quand on clique sur le cadenas à côté de la zone de de connexion, on peut lire ceci :  
 

Citation :

Les identifiants personnels que vous avez saisis dans les deux zones prévues à cet effet, numéro et code, sont transmis sous forme cryptée donc protégée à l’espace sécurisé de consultation de vos comptes.
Par mesure de sécurité, aucune de ces informations n'est conservée.
 
A partir de ce moment, vous entrez dans un service de consultation sécurisé par le procédé SSL (Secure Sockets Layer).
Un petit cadenas apparaît alors en bas de page pour signifier cette sécurisation.


 
et ceci aussi sur cette page  
http://www.ca-cmds.fr/Vitrine/Edit [...] curite.jsp :  
 

Citation :

Votre session Crédit Agricole en ligne est obligatoirement sécurisée. Ceci garantit la confidentialité des informations échangées entre vous et votre banque.
Vous pouvez le constater en regardant l'icône située dans la barre en bas de votre navigateur représentant un cadenas fermé.
Tous les navigateurs détaillent dans leurs pages d'aide les informations sur leur niveau de sécurité. N'hésitez pas à les consulter.


Message édité par dd31 le 28-07-2005 à 16:52:17
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed