Journal «Votre avis nous intéresse !» − Cette fois, je crame mon banquier…

Posté par  . Licence CC By‑SA.
93
11
avr.
2018

Coucou tout le monde

Contraint de changer de véhicule motorisé pour des raisons de santé (et un peu contraint d'en avoir un), je me suis trouvé fort dépourvu avec mes seules économies et j'ai donc du faire appel à ma banque pour disposer d'un crédit m'apportant les fonds… Ça arrive à tout le monde me direz-vous…

Et le printemps arrivant, me voilà pourvu d'un léger excédent que je décide de mettre à profit pour rembourser immédiatement une petite part de ce crédit (astuce : n'offrez pas de cadeaux de Noël). Chose dite fut faite, et tout allait bien. Mais v'la-t-y-pas que je reçois un joli courriel intitulé «Votre avis nous intéresse», se présentant comme provenant de mon écureuil préféré… Qu'ouïs-je, qu'est-ce ?

La société de financement, organe séparé de ma banque, sollicitait mon avis pour «mieux répondre à mes attentes». Pourquoi pas, me dis-je. Puis je regardais avec effroi les différents éléments du mail, et le doute m'assaillit, je tremblai de rage… Cet en-tête, «976f8134551e5d1f9e0a4a1db.472673.list-id.mcsv.net»… c'est une mailing-list de l'opérateur MailChimp, une société états-unienne…
Ce lien vers le formulaire, http://mfb.li/ect?d:email=ray@dact.ed&d:naissance=01/02/2003&d:age=73&d:sexe=U&d:montant_commande=12345,67&d:code_reseau=CE&d:no_doss=42400000000000&d:remboursement_total_ou_partiel=Partiel&d:montant_du_pp=4
Cornegidouille ! Mon adresse email, mon âge, mon sexe (qui ne regarde personne, c'est très intime tout de même), le montant de mon crédit… le tout dans un lien en HTTP ?? mfb.li appartient heureusement à une société française, une fuite trans-atlantique de moins… mais le formulaire est hébergé à travers un CDN de la société KeyCDN, société états-unienne également, avec du contenu vers notre ami Google !

Récapitulons… Je souscris un crédit consommation auprès d'une banque française. Elle fournit l'argent à travers son organisme de financement, français lui aussi. Et choisit derrière de me spammer en passant par 4 sociétés tierces, dont 3 américaines, en leur confiant plus ou moins directement le kit du parfait phishing…

This is not a method, this is provocation.

Vous pensez qu'avec le GPDR on aura des outils pour attaquer formellement ce genre de comportement d'une désinvolture crasse avec nos données ?

Je vous laisse, j'ai un banquier à incendier…

  • # inutile de cramer le banquier

    Posté par  . Évalué à 10.

    Ce genre de choses est certainement géré dans un siège très loin et très au-dessus de ton banquier ou même du directeur de l'agence. Même son retour à lui finira dans une corbeille.
    Bienvenue dans le monde des grandes entreprises pleines de décideurs tous beaucoup plus intelligents que toi et ton banquier.

    • [^] # Re: inutile de cramer le banquier

      Posté par  . Évalué à 10.

      Bien sûr, je ne vais pas le cramer. Ça serait idiot, je serai dans le même bâtiment que lui. Par contre je ferai un retour, et je me pose sérieusement la question de dénoncer ce comportement à la CNIL.

      • [^] # Re: inutile de cramer le banquier

        Posté par  . Évalué à 9.

        Ce serait intéressant aussi de voir ce que donnerait une plainte contre la banque pour atteinte à l'intimité de la vie privée, puisqu'elle diffuse sur la voie publique des informations privées.

        • [^] # Re: inutile de cramer le banquier

          Posté par  . Évalué à 3.

          Non, ce n'est pas public. Le mail n'a pas été publié sur le web (à part sur LinuxFR).

          • [^] # Re: inutile de cramer le banquier

            Posté par  . Évalué à 6.

            Je t'assure, ce n'est pas le vrai contenu, mon adresse mail n'est pas ray@dact.ed et je n'ai pas 73 ans :)

            Mais c'est bien la difficulté à mes yeux, c'est attaquable pour non respect du contrat, pour non respect du secret bancaire peut-être, et pour imprudence vis-à-vis de la sécurité des données. Mais y a-t-il une violation franche de la loi avec la diffusion à des tiers de mes données privées ?
            J'ai contacté la CNIL pour avoir leur avis, s'ils ne répondent pas à mon courriel je les appellerai.

            • [^] # Re: inutile de cramer le banquier

              Posté par  . Évalué à 3.

               Je t'assure, ce n'est pas le vrai contenu, mon adresse mail n'est pas ray@dact.ed et je n'ai pas 73 ans :)
              

              c'est con on as tous répondu des conneries à la place d'un mec qui existe pas !!

          • [^] # Re: inutile de cramer le banquier

            Posté par  (site web personnel) . Évalué à 6.

            Non, ce n'est pas public

            Le lien est en HTTP, pas mal de gens on des réseaux partagés (coloc, bars…), donc à un moment les données sont filées à "tous" ceux dans le coin.
            De ce que j'ai compris des gens regardant le GDPR, il est de la responsabilité de l'hébergeur de faire attention à ne pas filer des choses à tous, et à mon avis ça peut être jouable de dire que l’hébergeur a par incompétence (pas de HTTPS) participé à diffuser les données privées.

            Et ça mériterai un bon gros procès pour faire comprendre à ceux qui ont des données privées que les données sont privées et qu'il faut pas diffuser n'importe comment.

            • [^] # Re: inutile de cramer le banquier

              Posté par  (site web personnel) . Évalué à 8.

              Même sans les histoires de HTTPS / HTTP, dans les courriels "institutionnels" tu peux avoir :

              • Des factures, avec nom, coordonnées physiques complètes, valeur de la facture (de l'eau, l'électricité, etc.) ;
              • Des rappels avec trop d'info dedans, genre Boursorama qui envoie un courriel pour me dire "attention il ne reste que XX euros sur votre compte, n'oubliez pas de vous renflouer en cas de dépenses", que l'alerte soit envoyée pourquoi pas mais pourquoi y foutre le montant exact du compte ?
              • Quand tu as oublié le mot de passe, ils te renvoient l'ancien en clair et là tu as peur.

              Bref, il y a beaucoup à faire pour que les bonnes pratiques de sécurité et de confidentialité soient correctement respectés. Même si je trouve que depuis quelques années cela s'améliore grandement.

              • [^] # Re: inutile de cramer le banquier

                Posté par  . Évalué à 10.

                Le soucis dans mon cas, c'est que le lien que j'ai mis dans ce journal avec des données bidon est parfaitement fonctionnel. Je parie sur une restitution sous forme d'un tableur ou équivalent des résultats du sondage qu'ils font à leurs clients. Et plutôt que de créer un identifiant obscur pour chaque client (hash de l'email par exemple) et devoir recroiser avec leurs données internes, ils ont choisi de tout faire transiter à travers le lien pour que ça soit restitué dans l'outil final.
                Ça ressemble à un bricolage amateur, et pour des données confidentielles de nos jours, de la part d'une banque qui brasse donc des sommes folles… ça me parait inacceptable.

                • [^] # Re: inutile de cramer le banquier

                  Posté par  (site web personnel) . Évalué à 0.

                  "Ça ressemble à un bricolage amateur, et pour des données confidentielles de nos jours, de la part d'une banque qui brasse donc des sommes folles… ça me parait inacceptable."

                  J'ai bossé en informatique bancaire: le niveau de sécurité est très loin de ce qu'on pourrait espérer/imaginer et ça fait peur…

              • [^] # Re: inutile de cramer le banquier

                Posté par  . Évalué à 3.

                Quand tu as oublié le mot de passe, ils te renvoient l'ancien en clair et là tu as peur.

                Il y en a d'autres que pole emploi qui font ça?

            • [^] # Re: inutile de cramer le banquier

              Posté par  . Évalué à -5.

              Le lien est en HTTP, pas mal de gens on des réseaux partagés (coloc, bars…), donc à un moment les données sont filées à "tous" ceux dans le coin.

              C'est pas la banque qui suit le lien en http, mais le client. C'est donc le client qui offre les infos a qui écoute sur le réseau.

              Linuxfr, le portail francais du logiciel libre et du neo nazisme.

              • [^] # Re: inutile de cramer le banquier

                Posté par  (site web personnel) . Évalué à 10.

                Oui enfin la quasi totalité des clients ne sont pas des experts en sécurité et confidentialité (j'espère que les banques en ont quand même). C'est à la banque de ne pas tendre des pièges à ses utilisateurs mais de justement proposer de bout en bout la solution la plus sécurisée.

              • [^] # Re: inutile de cramer le banquier

                Posté par  (site web personnel) . Évalué à 4. Dernière modification le 13 avril 2018 à 07:26.

                Faut peut-être pas prendre les juges (et législateurs) pour des cons : si il faut faire attention à ces données (c'est ça qui est à débattre), il est clair qu'on considère l'utilisateur comme "non connaisseur" et le fournisseur comme "dont c'est le métier", c'est un peu la base de pas mal de lois ("professionnel" connaisseur contre "particulier" néophyte se retrouve noir sur blanc dans les lois sur la consommation par exemple).

                Tu cautionnes les sites web qui laisseraient du HTTP ("mais tu as le choix, tu peux taper https dans la barre URL, l'utilisateur est nul et c'est sa faute", "ha oui et on accepte les clés Debian SSH connues, pas notre faute si l'utilisateur n'a pas changé sa clé" etc) avec des données de CB ou santé par exemple, sérieusement?

                • [^] # Re: inutile de cramer le banquier

                  Posté par  . Évalué à -4.

                  Tu cautionnes les sites web qui laisseraient du HTTP avec des données de CB ou santé par exemple, sérieusement?

                  Je vois pas le rapport avec la choucroute. Sinon, non, je cautionne pas.
                  Les services sur lesquels je bosse sont https only et ssl pinned depuis des annees (on répond meme pas sur le port 80. Mais c'est plus facile a faire quand t'as pas a gérer des browsers), donc tu vas avoir du mal a me coincer la dessus. Mais je répète, je vois pas le rapport avec la choucroute. Tu dit "la banque transmet des infos a des tiers en clair sur le reseau", je te répond que non, la banque n'a pas transmit grand chose. C'est le client qui clique dessus qui le transmet. Qu'il soit neophyte ou le plus hax0r des l33ters ne change rien a ce fait. Sans compter que mon petit doigt me dit qu'il avait des mentions légales en bas de l'email.

                  Tu doutes que ca passe devant un juge, et moi je doute qu'un juge condamne pour ca.

                  Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                  • [^] # Re: inutile de cramer le banquier

                    Posté par  (site web personnel) . Évalué à 4.

                    Les services sur lesquels je bosse sont https only et ssl pinned depuis des annees (on répond meme pas sur le port 80. Mais c'est plus facile a faire quand t'as pas a gérer des browsers), donc tu vas avoir du mal a me coincer la dessus.

                    Je remarque juste la contradiction entre ton discours culpabilisant l'usager qui n'aurait pas du utiliser http (par exemple) et ta pratique protégeant l'usager qui pourrait faire des bêtises en bloquant http par exemple (généralement les gens ont un beau discours et de mauvaises pratiques, tu te différencies en ayant un mauvais discours et de bonnes pratiques :) )

                    Mais je répète, je vois pas le rapport avec la choucroute.

                    La, je peux rien faire ou dire…

                  • [^] # Re: inutile de cramer le banquier

                    Posté par  . Évalué à 8.

                    Tu dit "la banque transmet des infos a des tiers en clair sur le reseau", je te répond que non, la banque n'a pas transmit grand chose.

                    Car heureusement, le lien avec les données privées en clair est envoyé dans un courriel chiffré avec la clé PGP du client de la banque ! C’est donc bien le client et non la banque transmet en clair des infos personnelles. Tu es sûr de ton coup, là ?

              • [^] # Re: inutile de cramer le banquier

                Posté par  (site web personnel) . Évalué à 3.

                C'est pas la banque qui suit le lien en http, mais le client. C'est donc le client qui offre les infos a qui écoute sur le réseau.

                Et avant ça c’est la banque qui envoie le mail en clair…

                (De plus en plus de fournisseurs de messagerie prennent en charge le TLS opportuniste sur SMTP, donc ça devient de moins en moins vrai que les mails circulent toujours en clair sur le réseau… sauf que d’expérience tous ceux dont le mail n’est pas le métier — comme les banques, les compagnies d’assurance… et malheureusement leurs prestataires — s’en contrecarrent. Et ça a bien l’air d’être le cas de MailChimp …)

                • [^] # Re: inutile de cramer le banquier

                  Posté par  . Évalué à 10.

                  Et avant ça c’est la banque qui envoie le mail en clair…

                  Et après ça, tu te rends compte que même si tu as reçu le mail chiffré de proche en proche, ta gateway antivirus machin de messagerie a vu qu'il y avait un lien dans le mail et a été voir ce qu'il y avait derrière ; et que du coup, même si t'as vu le truc pas super safe et que t'as pas cliqué, la gateway, elle, l'a "fait".

          • [^] # Re: inutile de cramer le banquier

            Posté par  . Évalué à 3.

            Comme c'est du http, c'est autant public que si c'était envoyé par carte postale.

    • [^] # Re: inutile de cramer le banquier

      Posté par  . Évalué à 10.

      En même temps, s'il a la motivation, faire du bruit sur cet incident sur des plates-formes plus peuplées qu'ici est un bon moyen de «cramer le banquier».

  • # a̶vi ̶s̶e nous intéresse

    Posté par  . Évalué à 4.

    Je propose un titre alternatif (j'arrive pas à faire en sorte que le i ne soit pas barré, mais vous avez compris l'idée) :
    a̶vi ̶s̶e nous intéresse

  • # sexe=U

    Posté par  . Évalué à 10.

    Un sexe en U ?
    Des photos, des photos !

    BeOS le faisait il y a 20 ans !

    • [^] # Re: sexe=U

      Posté par  . Évalué à 10.

      C'est parce que j'ai un charme magnétique fou :)

  • # en public ?

    Posté par  (site web personnel) . Évalué à 10.

    L'Interpellation de la banque sur tweeter, parfois, cela marche.

    "La première sécurité est la liberté"

    • [^] # Re: en public ?

      Posté par  . Évalué à 7.

      Pour SFR je n’ai même pas eu le choix.

      Une personne a oublié son code PIN, son portable est éteint et il n’a pas d’adresse électronique : il est donc impossible de se faire renvoyer un mot de passe pour accéder au compte sur le site SFR. Ce qui m’a surpris c’est qu’il ne soit pas non plus possible de joindre un service client par téléphone ou mail.

      J’ai dû passer par twitter, j’ai dû me plaindre auprès de leur bot pour enfin avoir quelqu’un qui me communique le code PUK…

      J’aurais pu, je pense, créer une adresse mail pour la personne en question mais enfin voilà quoi… pour une personne comme moi, assez âgée pour avoir connu le 100% papier, assister à l’émergence du 100% numérique ça donne un coup de vieux :)

  • # et le contrat ?

    Posté par  . Évalué à 3.

    Surtout, qu'est-ce u'il y a dans le contrat entre toi et ta banque ? mais si tu râles, c'est certainement parce que c'est explicitement mentionné qu'il n'y aura pas de transfert de données à des tiers.

    • [^] # Re: et le contrat ?

      Posté par  . Évalué à 10.

      Hoo, un amoureux de blabla juridique ! <3

      Citons…

      Ces données pourront être adressées à des tiers pour satisfaire aux obligations légales et réglementaires. Le prêteur est tenu au secret professionnel à l'égard de ces données. Toutefois, le prêteur est autorisé par l'emprunteur à communiquer les données le concernant - à des tiers (prestataires, sous-traitants…) en vue de leur confier des fonctions opérationnelles ou dans le cadre d'opérations de cessions ou transferts de créances ou de contrats – aux entreprises qui assurent ou garantissent le crédit – aux entités appartenant au même groupe que le prêteur lors de l'étude ou l'élaboration de tous types de contrats ou d'opérations concernant l'emprunteur.

      Je ne vois pas en quoi il y a une fonction opérationnelle ou une obligation légale à transmettre ce paquet de données privées à ces tiers. À mes yeux il y a donc violation du contrat du prêt de la part de l'organisme de financement.

    • [^] # Re: et le contrat ?

      Posté par  (site web personnel) . Évalué à 4.

      Peut-on explicitement stipuler dans un contrat qu'on se torche avec le secret bancaire (inscrit dans la loi) ? Pas sûr.

      • [^] # Re: et le contrat ?

        Posté par  . Évalué à 6.

        On peut. Mais dans ce cas, la clause en question du contrat est invalide, il me semble.

    • [^] # Re: et le contrat ?

      Posté par  . Évalué à 3.

      Si je suis bien : les données ont été publiées par la banque lorsque le mail a transité sur le réseau ouvert sans cryptage—et ça, il est déjà possible de lui reprocher.

      Par contre ensuite, c'est le client qui clique sur le lien qui diffuse ses données via la requête : la banque a armé la tapette et l'a mise dans les mains du client, mais c'est le client qui met les doigts dedans et déclenche… Du coup pour cette pollution-là, ils peuvent dire qu'ils sont innocents.

      Non?

      • [^] # Re: et le contrat ?

        Posté par  (site web personnel) . Évalué à 1.

        La tapette, bien que armée, a déjà transité en clair sur les différent noeuds IMAP/SMTP du réseau, c'est déjà capté et revendu par les GAFAM, pas besoin d'appuyer sur la détente pour qu'il y ait fuite des données, c'est déjà fait.

        • [^] # Re: et le contrat ?

          Posté par  . Évalué à 2.

          C'est un peu ce que je dis dans mon premier paragraphe, non?

        • [^] # Re: et le contrat ?

          Posté par  . Évalué à 7.

          La tapette, bien que armée

          Monsieur est commissaire de police !

  • # ça va encore faire débat.

    Posté par  . Évalué à 6.

    Il y en a qui ont essayé récemment, et ils ont eu beaucoup de critiques.

    Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

  • # Tracking par ML

    Posté par  (site web personnel) . Évalué à 9.

    On ne parle pas assez de MailChimp je trouve. C'est une boite qui doit avoir beaucoup de données sur beaucoup de monde.

    NextInpact a fait la chasse aux traqueurs sur leur site web, et communique souvent sur le sujet. Mais à côté de ça leur mailing-list utilise MailChimp. Tous les liens dans leurs mails passent par des redirections qui signalent à MailChimp qui clique sur quoi…

    Ça ne semble gêner personne.

    • [^] # Re: Tracking par ML

      Posté par  . Évalué à 6.

      Ho oui c'est vrai, j'avais pas remarqué…
      En fait je lis les mails en texte brut, et mailchimp n'altère que le contenu HTML. Donc les liens en texte brut sont «purs»…

  • # Spam ?

    Posté par  . Évalué à 5.

    Tu dis que le lien dans le journal fonctionne (j'ai essayé c'est vrai !), est-ce que faire un petit peu de spam pour fausser leurs données ne pourrait pas avoir un impact ? C'est peut être une mauvaise idée, je demande juste.

  • # histoire similaire

    Posté par  . Évalué à 8.

    Même banque, je dois utiliser leur site pour faire un virement.
    Passons outre les règles de gestion débiles qui font qu'il faut attendre 72h pour faire un virement à un nouveau bénéficiaire (c'est immédiat dans ma banque en ligne) ; qu'est-ce que ça apporte de plus qu'une validation par SMS.

    Je constate que µblock voit rouge.
    Et la liste des sites tiers bloqués est pas piquée des vers (xiti, adserver et 15 autres du même style).
    Donc je me décide à ouvrir un ticket pour leur dire que tous ces mouchards ne sont peut-être pas nécessaire au service à rendre au client.
    Finalement le lien "contact technique" abouti à la "prise de rdv avec mon conseiller" ; oui oui, vous avez bien lu : pas de possibilité d'ouvrir un ticket il faut contacter son conseiller.

    Qu'à cela ne tienne, je prends un rendez-vous téléphonique pour 3 jours ouvrés plus tard et je remplis le champ commentaire pour exposer mon problème. Problème un peu trop long pour le formulaire (140c max) dont je modifie la source pour augmenter sa maxlength :P

    La veille, j'ai un call de mon conseiller (que je ne connais pas par ailleurs) qui me dit qu'il ne peut pas vraiment m'aider car il ne voit rien de tel le site quand il le consulte. Je devine qu'il n'a pas de bloqueur de mouchards et renonce à en débattre avec lui. Pour débattre, il faut un minimum de niveau de chaque côté, sinon c'est juste barbant…

    • [^] # Re: histoire similaire

      Posté par  . Évalué à 4.

      Ta banque te pique pas encore assez de pognon, elle va essayer d'exploiter tout ce que tu laisses traîner.

      Je constate que µblock voit rouge.

      https://linuxfr.org/users/glandos/journaux/boursorama-n-aime-pas-qu-on-bloque-des-choses

    • [^] # Re: histoire similaire

      Posté par  . Évalué à 3.

      Ctrl-u Ctrl-f xiti
      

      Je pense que c'est des commandes que l'on peut donner facilement par téléphone juste pour lui montrer que, même si ce n'est pas visible sur la page, il y a des références dans les sources de la page.

      • [^] # Re: histoire similaire

        Posté par  . Évalué à 8.

        Quand le conseiller va faire ctrl-u et qu'il va se retrouver avec des balises html dans tous les sens, il va juste te dire qu'il ne faut pas essayer de pirater le site de la banque et que lui de toutes les façons n'y connaît rien, ne connaît pas Xiti, et n'est pas en contact avec les équipes de dev.
        Comme disait un commentaire plus haut, il n'y a guère qu'avec le bad buzz sur les réseaux sociaux qu'on peut espérer les faire réagir.

        • [^] # Re: histoire similaire

          Posté par  . Évalué à 2.

          il va juste te dire qu'il ne faut pas essayer de pirater le site de la banque […]

          exactement !

      • [^] # Re: histoire similaire

        Posté par  . Évalué à 10.

        Ctrl-u Ctrl-f xiti

        Je viens juste de taper cette commande sur la présente page.
        3 occurrences ! Je ne pensais pas que Linuxfr était tombé si bas.
        Déçu, déçu, déçu.

    • [^] # Re: histoire similaire

      Posté par  (site web personnel) . Évalué à 2.

      qu'est-ce que ça apporte de plus qu'une validation par SMS.

      Te plains pas, tu pourrais avoir une validation par SMS ET un délais de 72h comme … moi ^

      pas de possibilité d'ouvrir un ticket

      Oui enfin bon c'est un truc très particulier de vouloir "ouvrir un ticket" sur la façon de fonctionner du site de sa banque quand même …

      Problème un peu trop long pour le formulaire (140c max) dont je modifie la source pour augmenter sa maxlength :P

      Mouais, si de toute façon le champ DB utilisé est lui aussi limité à 140c c'est un peu pisser dans un violon, pas forcement bien efficace.

      Pour débattre, il faut un minimum de niveau de chaque côté, sinon c'est juste barbant

      J'ai connu, sur cette même banque j'ai essayé de leur faire comprendre qu'ils avaient un problème avec IPv6 il y a plusieurs années et malgrés de bon contacts avec le conseiller qui était aussi directeur d'agence ça n'a jamais rien donné. Même en interne ils n'ont pas vraiment de façon de communiquer avec les équipes techniques ou uniquement dans des cadres très limités.

      Très grosses boites => trop de procédures …

      • [^] # Re: histoire similaire

        Posté par  . Évalué à 4.

        c'est un truc très particulier de vouloir "ouvrir un ticket"

        La rubrique "assistance technique" existe bien. C'est juste qu'elle débouche sur rien de particulier. Et puis de nombreux sites grand public le proposent.

        Mouais, si de toute façon le champ DB utilisé est lui aussi limité à 140c c'est un peu pisser dans un violon, pas forcement bien efficace.

        Petite imprécision dans mon post ; si, si le commentaire, dans son intégralité s'est bien retrouvé dans le résumé du rendez-vous. Et le conseillé semble bien en avoir pris connaissance et avoué son impuissance ; il ne dit pas avoir reçu un message incomplet.

  • # Lien

    Posté par  . Évalué à 3.

    Cornegidouille ! Mon adresse email, mon âge, mon sexe (qui ne regarde personne, c'est très intime tout de même), le montant de mon crédit… le tout dans un lien en HTTP ??

    C'est juste pour que tu puisses le bookmarker, ne t'inquiète pas. :)

  • # Clavier virtuel connexion banque

    Posté par  . Évalué à 1.

    Il y a aussi le clavier virtuel pour se connecter à son compte bancaire qui est pas du tout sécurisé, c'est autorisé par la CNIL juste pour les sites bancaires. Ce n'est géré par les gestionnaires de mot de passe, un keylogger qui prendrait des captures d'écran peut avoir le mot de passe, un coup d'oeil au-dessus de l'épaule on peut facilement retenir le mot de passe tapé ou en filmant avec un smartphone discrètement au-dessus de l'épaule

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.