Commentaires : Une arnaque au faux banquier a encore fait 400 victimes près de Lyon, voici comment ne pas se faire avoir

max6 · Mai 26, 2024, 8:02

ça par contre c’est vrai j’ai eu aussi affaire à eux et il sont très très avenants de belle personne d’une politesse exquise et tellement prévenantes pour notre plus grand bien (ou plutôt pour nos plus grands biens)

PPano · Mai 26, 2024, 8:40

Ce sont surtout les clients de banque en ligne le plus ciblés.
Pas de conseillé attitré
Banque régulièrement injoignable

MattS32 · Mai 26, 2024, 9:50

Tout a fait, et on peut avoir des logiciels qui sont affectés indirectement par une faille d’une lib sans forcément qu’on soit au courant que le logiciel utilise la lib en question, à fortiori quand il a été linké dessus statiquement.

Petit à petit, il y a des choses qui se mettent en place (la législation européenne imposera notamment bientôt à tous les éditeurs de logiciels de fournir la SBOM de leurs logiciels, soit en gros une liste de toutes les composants utilisés, avec leur version), mais pour l’instant ça reste compliqué, surtout pour les petites entreprises qui n’ont pas forcément une personne qualifiée et avec suffisamment de temps pour gérer tout ça.

Et y a aussi des problèmes avec les différences de cycle de vie d’un logiciel à l’autre. Par exemple, y a encore plein de grands comptes qui utilisent Python 3.6.8, parce que c’est la version standard sous Red Hat 8. Python 3.6 n’est plus supporté par la PSF depuis 3 ans, mais c’est pas grave, Red Hat assure le support et backporte les patchs de sécurité plus récents dans son Python 3.6.8.

Sauf que c’est valable que pour le Python de base. Quand tu fais une appli qui a des dépendances, tu te retrouves à tirer des versions de ces dépendances qui ne sont plus supportées, parce que les versions encore supportées nécessitent par exemple au moins Python 3.8 ou 3.9. Ben oui, forcément, tous ceux qui créent des libs Python, ils ne se callent pas sur les cycles de vie de Red Hat, mais plutôt sur ceux de la PSF.

Et sur ces versions plus supportées, il peut donc y avoir des failles déjà connues, et pas forcément non plus d’alerte en cas de nouvelle faille, parce que plus personne ne s’occupe de les suivre… Du coup t’as beau avoir un OS encore supporté, un Python sécurisé avec des backports des tous derniers patchs, au final tu laisses quand même des trous béants, sans forcément t’en rendre compte (parce que même ceux qui font l’effort de vérifier un minimum leurs dépendances, ils vont souvent se limiter aux dépendances directes et négliger les dépendances indirectes…).

TNZ · Mai 26, 2024, 10:39

Confiance en l’OS … mouhahaha : la grosse réflexion café du commerce !

Le mieux qu’on puisse faire est d’avoir un OS à jour vis à vis des CVE (du coup, on évite Windows et les distribs molles des genoux) et surtout de rester attentif face aux contacts douteux. Même les antivirus ne peuvent pas mieux faire par rapport à leur base de signature (qui souvent se mettent à jour APRES la publication des correctifs des OS les plus réactifs).

Ce n’est pas imparable, mais c’est toujours le moins pire.

Pour tout ce qui est librairies, dépendances etc … il n’y a pas beaucoup de solutions :

Montée de version en urgence pour boucher les trous (et des fois ça veut dire réécriture partielle ou complète de l’appli)
Mise en DMZ avec un monitoring des flux confié à un EDR en mode hardcore.

Face à ces situations où les recommandations / conseils ne sont que des actions en réaction, il convient de passer à l’étape suivante CàD l’anticipation. On monte les versions avec TOUTES les corrections de sécurité par défaut, même si cela doit avoir un impact sur les applis. Cela coûtera moins cher de monter de version que rattraper dans l’urgence des données ou des applis par les cheveux.

Mieux vaut choisir (les montées de version) que subir.

codeartemis37 · Mai 26, 2024, 2:33

ou mais un vpn aussi y’a aucun lien

MattS32 · Mai 26, 2024, 5:27

Tout a fait. Et à fortiori quand c’est une faille 0 day. Par définition aucune anticipation n’est possible dans ce cas : au moment où la faille est rendue publique, elle est déjà exploitée.

Blackalf · Mai 26, 2024, 5:45

Pernel:

Il y a beaucoup de gens qui font confiance, c’est ça le problème. Ma mère a failli se faire avoir il y a quelques mois, pourtant je lui dis régulièrement de faire attention, la tient au courant des nouvelles arnaques etc. Mais des fois, t’es pressé, mal réveillé, fatigué, ou juste la tête ailleurs et tu te fais avoir.
Ma mère est passée à 2 doigts, elle m’a appelée juste avant de faire la boulette, un moment de lucidité, elle m’a dit « mais la dame très sympa m’a dit qu’il y avait un souci sur mon compte, elle connaissait mon nom, mon adresse… il fallait faire vite » de quoi donner confiance à la victime, donc elle a eu le réflexe de dire qu’elle n’avait pas le temps, de rappeler plus tard (le temps de vérifier avec mon avis).
Mais une personne isolée, sénile, avec une maladie psy ou autre est une cible parfaite, c’est manipulable. Il y a quelques années c’était ma grand-tante, 96 ou 97 ans, pas toute sa tête, un gars sonne à sa porte, il demande un truc (surement un peu d’argent, elle ne se rappelait plus quand elle nous l’a dit), et il lui a tiré (sans violence, heureusement) tout le liquide qu’elle avait (près de 600 ou 800€), parce qu’il a vu que c’était une dame très âgée, vivant seule, la cible parfaite. Ça m’a valu de me faire engueuler par des gens de la famille d’ailleurs, parce que j’avais eu l’audace de dire « heureusement qu’il a fait ça sans violence, ça aurait pu être pire » sans pour autant minimiser le truc, faut dire que certains de la famille mettent l’argent avant l’humain (mais c’est moi qui dois être bizarre…).

On peut tous se faire avoir, j’ai failli il y a quelques années, je vendais un truc avec paiement paypal, je reçois un mail de paypal pour me dire que j’ai reçu l’argent, même présentation que les vrais mails, tout identique, et là je lève les yeux, pas la bonne adresse d’expéditeur. Il aurait fallu que je sois fatigué ou mal réveillé, je me faisais avoir. Tout le monde le peut, pas forcément de la même façon, pas forcément aussi facilement, mais certains sont moins « éduqués » que nous. Ma mère me dit qu’à la TV ils en parlent mais qui ne donnent pas vraiment de conseils, ils disent de faire attention, merci du conseil. Si je ne lui disais pas de faire attention au SMS de MAJ de Carte Vitale, d’assurance, de PV, et compte SVOD à renouveler etc, elle se serait fait avoir plein de fois, elle n’a pas été formée pour çà et la TV ne fait pas grand-chose (radio non plus d’après elle).

Oui, mais de ce que je lis dans la presse, il ne s’agit pas toujours ni forcément de personnes âgées, il y a des personnes de tous âges et milieu social.

papy6 · Mai 26, 2024, 6:02

Il faut rester humble devant ce type de problème, tout le monde sera concerné un jour ou l’autre et dans ce cas ce n’est pas un problème technique mais humain. C’est comme les tests d’évacuation incendie on les prend à la rigolade mais le jour ou cela arrive on se marche dessus .

Pernel · Mai 26, 2024, 7:31

Pas vu ^^

Pernel · Mai 26, 2024, 7:33

Heureusement que j’ai pas dit que c’était toujours des personnes âgés d’un seul milieu social.

Blackalf · Mai 26, 2024, 9:24

Alors il fallait ratisser plus large au niveau des exemples.

bneben · Mai 27, 2024, 6:07

Il serait bien de diffuser à la place de nos spots publicitaires des messages informatifs sur ce genre d’arnaque, ça aurait déjà UN PEU PLUS d’utilité…
On a déjà moultes façons d’être informé (mail, message lors de la connexion au compte etc…), mais à priori ça ne suffit pas.

Pernel · Mai 27, 2024, 4:55

C’est exactement ce que j’ai fait, ça tombe bien…