Perte de téléphone : comment protéger ses comptes bancaires ?

J’ai aussi eu des mésaventures dont j’ai tiré ces quelques pistes qui marchent pour android et iphone:

- on peut localiser son téléphone en ligne
- on peut aussi détruire toutes les données de son téléphone à distance avec un "remote wipe"
- en cas d’urgence, entrer soi-même les mauvais mots de passe 3 fois dans tous ses comptes pour bloquer leur accès. Appeler tous les services clients
- il faut avoir une sauvegarde chez soi des codes de récuperation pour tous les comptes qui dépendent du 2FA (ou/et un 2eme téléphone de secours avec l’appli de 2FA par exemple)
- avoir une adresse email / compte cloud séparés pour les comptes et documents importants (banque, passeport, etc). Ne jamais sauvegarder les mots de passe de ces comptes. Encore mieux sans doute: ne pas avoir ces sites Web dans l’historique navigateur PC et téléphone
- protéger son compte client chez son opérateur mobile avec un bon mot de passe et 2FA pour éviter les SIM swap

Pareil, Mot de passe sous Keepas, Un Mdp différent par site, @ mail, banque ou autre, 20 voire 30 caractères aléatoires pour les Mdp générés par Keepass.

Ordinateur portable crypté donc même si on extrait le DD on ne peut pas lire les données.

Personnellement:

- J’essaie d’utiliser que des services qui supportent 2FA
- J’utilise un service de gestion des mots de passe qui genere et sauvegarde des mots de passe uniques pour chaque service
- En cas de décès, ma femme pourra faire une demande de deblocage et acceder a tous les mots de passe et instructions
- J’utilise uniquement des cartes de paiement virtuelles pour les paiements en ligne mais aussi pour les paiements physiques (apple pay)
- Je possède mon propre nom de domaine et n’utilise pas mon email personnel pour mes identifiants de comptes en ligne

EDIT: Le service que j’utilise s’appelle 1password si ça peut interesser.

Dernière modification par JemappelleArnaud (22/02/2023 01h13)

Ma liste à la Prévert :
- La meilleure protection informatique passe avant tout par une compréhension des menaces et dispositifs de sécurité. La meilleure formation gratuite, en français et de qualité est très certainement le MOOC de l’ANSSI qui aborde entre autre choses les thématiques de la mobilité et de la sécurité des terminaux mobiles.
- Pour les identifiants, l’option la plus robuste est effectivement d’utiliser un gestionnaire de mots de passe. KeeperXC est une solide option, Open Source et multiplateforme. Si vous êtes sur Mac, le trousseau natif est une excellente alternative.
- Je ne cherche pas à faire de la publicité, mais les outils de sauvegarde natifs d’Apple sont excellents. En cas de perte/vol d’un iPhone, un iCloud correctement configuré permet de retrouver une copie en l’état d’un appareil perdu/volé.
- L’activation du MFA est un must, mais passe très mal à l’échelle (bon courage pour parcourir vingt pages de code sur Authy). La sécurité biométrique permet de gagner un peu de temps mais n’est pas encore extrêmement courante.
- L’activation du code PIN sur la carte SIM apporte une couche de sécurité non-négligeable et peut faire gagner un temps précieux s’il faut demander la désactivation de la ligne.

Bonjour,

Pour les identifiants et mots de passe les plus sensibles, je ne stocke rien sur l’ordinateur ni sur le smartphone. Des feuilles de papier rangées parmi d’autres feuilles de papier permettent, une fois réunies et après application mentale d’un algorithme assez simple, de reconstituer les codes. Même si des cambrioleurs récupèrent toutes les feuilles et comprennent de quoi il s’agit, il y a très peu de chances qu’ils devinent l’algorithme à appliquer (tout court, ou au moins avant d’avoir bloqué les accès avec leurs tentatives infructeuses).

Évidemment, cela ne protège pas contre un piratage de l’ordi avec installation de keylogger. Il faut bien entrer les codes pour se connecter aux sites et ce moment présente une vulnérabilité difficile à éliminer. Mais à long terme, j’ai plus peur des banques en ligne qui bloquent les virements importants vers l’extérieur « pour des raisons de sécurité » et forcent leurs clients à les refaire par téléphone en répondant à des « questions secrètes » dont les réponses risquent petit à petit d’être de plus en plus connues des individus malveillants.

Perso je stocke mes mots de passe sur VeraCrypt sur mon PC, et j’ai imprimé des papiers du même type que @Mollusqueattentif pour mon épouse si il devait m’arriver quelque chose, papiers dans différents endroits et inutilisables si quelqu’un d’autre tombait dessus.

Après je n’ouvre que rarement mon fichier des mots de passe, une bonne partie est rangée dans mon cerveau, mais sait-on jamais…

Autant ce qui est sur mon PC est sauvegardé ailleurs en cas de vol ou d’incendie, autant je serais beaucoup plus inquiet de la perte ou du vol de mon téléphone, étant donné qu’il me sert beaucoup comme outil de confirmation de transactions quand je fais des mouvements de comptes sur mon ordinateur. D’autant plus que ma messagerie Gmail est installée également dessus, quelqu’un de mal intentionné disposerait si il peut ouvrir mon téléphone de cette messagerie avant que je n’aie le temps de changer mes mots de passe.

Etant du genre très (trop ?) méfiant, je ne pense pas pouvoir perdre mon téléphone à moins d’une agression, mais tout peut arriver…

Le plus important je pense en cas de perte ou de vol est de bloquer au plus vite la carte SIM sur le site de l’opérateur et/ou par téléphone avec le code IMEI.

Pour le reste je pense que dans la vie il vaut mieux être trop méfiant que trop naif.

Bonjour,

L’actualité très récente nous montre que les communications sont insuffisamment protégées et les socles des téléphones insuffisamment durcis : Ce que l’on sait de l’arnaque à l’IMSI-catcher qui a visé 16 000 smartphones - Les Numériques

Peu importe les applicatifs que nous utilisons si les couches sous jacentes (OS ou protocole réseaux) ne sont pas suffisamment protégées. Par exemple, sans durcissement des OS, tous types d’applicatifs peuvent être installés, modifiés ou détournés.

La meilleur référence sur le durcissement reste les guides du CIS (CIS Google Android Benchmarks).
Vous y trouverez l’ensemble des paramètre permettant de réduire la surface d’attaque d’un composant. Si vous souhaitez protéger un actif SI, je vous encourage à suivre ce type de guide.

L’ANSSI publie également quelques guides essentiellement sur les OS.

Bonne journée.

Ca s’appelle aussi "vivre avec son temps" 😀

Par moment IH, on vous donne 20 ans de plus à vous lire.

Bonjour à toutes et à tous

Je rajouterai aussi une contrainte sécuritaire
Vous connaissez beaucoup de personnes avec un Antivirus et une panoplie protectrice sur un smartphone. Alors oui le point faible c’est l’être humain mais quand on vous laisse  60 secondes pour valider je trouve ça limite alors que depuis la généralisation de l’informatique on dit bien "réflechir avant de cliquer"

Non j’avoue penser un peu comme IH  cela a été vendu comme une facilité pratique etc etc  je vois surtout des  contraintes et obligations. 
D’ailleurs on voit cette façon de faire dans les administrations ou pendant des années le message était: les collègues ne touchent pas les pc standard et toutes les manipulations doivent être réalisées par les équipes informatiques et de plus en plus on leur demande de faire des mises à jour réseaux et installation de certificats (en touchant le niveau de sécurité de logiciels ou navigateurs)

Après on va s’étonner de décrochage d’une catégorie de gens ou une hausse de la cyber criminalité…

Ça me fait penser qu’un investissement dans ce thème doit être un bon point sur le long terme

Bon week end à tous

Connaissez vous une banque en ligne qui utilise correctement les clé physique en 2FA ?

Chez Boursorama c’est une vraie blague; il suffit de cliquer sur "je ne l’ai pas" et la connexion repasse sur un PIN… Ils l’utilisent au mieux comme une méthode de connexion secondaire, ce qui n’a que peu de sens.

Sernin, le 23/02/2023 a écrit :

Les autres fraudes étaient rendues toutes simples à cause d’un paramètre par défaut des systèmes d’applications mobiles qui n’est pas assez restrictif: l’affichage du contenu des notifications, pendant quelques secondes, sur l’écran du mobile, même lorsque celui-ci est verrouillé. Cette "fonctionnalité", facile à désactiver dans les paramètre des notifications, permet en effet de lire tous les "one time password" et autres codes nécessaires à la validation de certains paiements (HSBC utilise ce système, par exemple, pour les paiements en ligne par carte bancaire - au moins dans certains pays) et au déblocage de certains comptes.

J’ai depuis désactivé l’affichage des contenus de notification sur mon portable.

Sur Android 12, il faut aller dans Paramètres, Notifications, Notifications sensibles (Afficher les contenus sensibles lorsque l’écran est verrouillé) = non.

Par défaut effectivement c’est sur oui ! :’-(

J’ai donc franchi le pas du smartphone vu que c’est devenu obligé.

Je me rends compte à quel point toutes ces doubles ou triples authentifications ne servent strictement à rien dès lors que vous avez pu franchir l’étape d’ouverture du smartphone : puisque depuis le smartphone, vous avez accès aux SMS et aux mails !

Au moins avec mon vieux téléphone portable, l’accès à internet + la double-authentification par SMS étaient deux choses distinctes, sur des appareils distincts.

Mais bon, je ne changerai pas ce monde à moi tout seul, dont acte. Vive la technodébilité !