Bienvenue sur PEBKAC.fr, le site qui recense les anecdotes où l’on se moque des utilisateurs ne maîtrisant pas l’outil informatique. PEBKAC est un acronyme signifiant « Problem Exists Between Keyboard And Chair ».
Le problème se situe entre la chaise et le clavier : soumettez vos histoires, donnez votre avis !
Ce site n'est pas le site original pebkac.fr. Je publie ici la liste des PEBKAC que j'ai pu sauvegarder avant que le site original ne soit mis hors ligne.
Il y a tout juste un an, j'ai postulé pour un stage sur le site d'une assurance, nouvellement aussi une banque, dont la mascotte est une certaine « Cerise ». J'ai donc tout naturellement reçu ce soir un e-mail, m'annonçant que si je souhaite conserver mon dossier de candidature sur le site, je dois me reconnecter d'ici à 30 jours. Normal jusque là…

En plus de cela, ils me rappellent mon identifiant. Sympa… Sauf qu'il y a aussi dans l'e-mail, mon mot de passe, en clair. Au moins, je sais dans quelle banque & assurance il ne faut pas que j'aille, avec des failles de sécurité comme celles-ci. PEBKAC.
PEBKAC #9237 proposé par Bjorn le 09/01/2014 | 14 commentaires | 👍🏽 👎🏽 +136
J'aime bien le concept de payer le tiers de confiance pour une connexion https et d'envoyer les identifiants par mail ;)
Commentaire #124875 écrit par but2ene le 09/01/2014 à 12h54 | 👍🏽 👎🏽
Il faudrait que Clem crée un nouveau tag : J'ai reçu mon mot de passe en clair. PEBKAC.

Je sais pas si c'est dans le /dev/null/, mais ça commence à faire du déjà vu et revu.
Commentaire #124884 écrit par Link le 09/01/2014 à 13h23 | 👍🏽 👎🏽
Tu as raison, mais pour une banque il faut avouer que le PEBKAC gagne en puissance !
Commentaire #124890 écrit par Belore le 09/01/2014 à 13h32 | 👍🏽 👎🏽
Oui enfin hein la securite pour un depot de candidature et celle de gestion des droits d'acces a la banque n'a rien a voir
Commentaire #124893 écrit par Vincent le 09/01/2014 à 13h43 | 👍🏽 👎🏽
Il me semble avoir lu quelque part (dans les commentaires d'un autre pebkac du genre), que le mot de passe peut avoir été envoyé en clair, puis crypté ensuite pour stockage en BDD, je me trompe ?
Commentaire #124896 écrit par Aran le 09/01/2014 à 13h51 | 👍🏽 👎🏽
Oui mais non... En pratique, ce que font les banques est l'exact contre-exemple de ce qu'il faut faire en sécurité !

Ce sont elles par exemple qui ont inventé le concept des questions d'insécurité, en pensant faire une authentification à double facteur à moindre coût. Et depuis, étant donné que les banques le font et que forcément elles savent ce qu'elles font, on voit se propager ce genre d'inepties.
Commentaire #124898 écrit par Acné le 09/01/2014 à 13h57 | 👍🏽 👎🏽
Crypté ? Je ne connais pas ce mot...

Sinon, on parle d'envoyer le mot de passe en clair un an après. Il a donc été conservé tout ce temps d'une manière réversible, ce qui est une erreur grave quel que soit le système.
Commentaire #124902 écrit par Acné le 09/01/2014 à 14h08 | 👍🏽 👎🏽
+10, les banques et la securité, toute une histoire.

Dans le même registre, j'ai toujours trouve risible que les banques envoient les code de carte de creduit sur des documents "sécurisés" avec case à gratter, mais les codes d'accès à l'espace client ou ceux autorisant un virement arrivent sur un simple papier. Pourtant, les 2 derniers sont au moins aussi sensibles.

Sachant que dans certains endroits, le courrier postal est loin d'être aussi "sécurisé" que les banques veullent bien le croire. Rien n'est plus facile que de se procurer un passe ptt et d'intercepter ce genre de courriers.
Commentaire #124916 écrit par lionnel le 09/01/2014 à 15h00 | 👍🏽 👎🏽
@lionnel : "les codes d'accès à l'espace client ou ceux autorisant un virement arrivent sur un simple papier. Pourtant, les 2 derniers sont au moins aussi sensibles"
Même si quelqu'un intercepte mes codes d'accès à mon espace personnel sur le site de ma banque, tout ce qu'il pourra faire c'est voir combien j'ai et transférer de l'argent d'un de mes comptes sur un autre de mes comptes. S'il veut ajouter un nouveau compte bénéficiaire pour virer de l'argent dessus il lui faudra le code de vérification envoyé sur mon téléphone portable et patienter le temps que ma banque fasse des vérification (un truc ajouté récemment, ça peut prendre jusqu'à 48 heures mais je n'en sais pas plus sur le fonctionnement pour l'instant). Donc ces codes d'accès ne sont pas si sensibles que ça (même si bien évidemment il est préférable que persone n'en ai connaissance).
Commentaire #124918 écrit par Acorah le 09/01/2014 à 16h06 | 👍🏽 👎🏽
Acné a apporté LA précision qui fait tout le PEBKAC.
Mais reste que l'opération que tu cites (création du mdp par l'utilisateur - envoi par mail à l'utilisateur - stockage d'une version cryptée du mdp dans la BDD - suppression du mdp en clair) est tout à fait valable.
Commentaire #124928 écrit par Voynich le 09/01/2014 à 18h05 | 👍🏽 👎🏽
Je ne vois pas le problème, ils conservent juste une version papier des mots de passe dans la crypte. C'est pas ça, un mot de passe crypté?
Commentaire #124931 écrit par Morrock le 09/01/2014 à 18h59 | 👍🏽 👎🏽
Nan. Un mot de passe crypté, c'est un mot de passe sauvegardé sous forme de crypte. Il y a des implémentations particulières pour chaque support : le marbre est ultra-classique, tout comme le granit en Bretagne, le microfilm ets plus high-tech mais faut pas éternuer en visitant.
Commentaire #124952 écrit par Geist le 09/01/2014 à 21h44 | 👍🏽 👎🏽
Et en Alsace on le fait avec du grès rose.
Commentaire #125210 écrit par Kadcom le 12/01/2014 à 09h46 | 👍🏽 👎🏽
@Kadcom : et les pirates attaquent les mots de passe au burin, de grès ou de force ? :-D
Commentaire #125213 écrit par Acné le 12/01/2014 à 10h55 | 👍🏽 👎🏽