Empreinte digitale et cryptogramme dynamique : la carte bancaire cherche à se réinventer

Empreinte digitale et cryptogramme dynamique : la carte bancaire cherche à se réinventer

Deux approches, mais un but commun

Avatar de l'auteur
Sébastien Gavois

Publié dans

Économie

21/05/2015 3 minutes
112

Empreinte digitale et cryptogramme dynamique : la carte bancaire cherche à se réinventer

Attaquée par le mobile, la carte bancaire physique explore de nouvelles pistes afin de renforcer sa sécurité, tout en gardant sa simplicité d'utilisation. Après la carte biométrique de MasterCard, c'est au tour de la BPCE d'entrer dans la danse avec un cryptogramme dynamique.

Depuis plusieurs mois maintenant, les fabricants de cartes bancaires explorent de nouvelles pistes afin de renforcer leur sécurité et limiter au maximum les fraudes. Cela pourrait avoir à la fois des avantages pour les utilisateurs évidemment, mais aussi pour les revendeurs qui doivent souvent en supporter les conséquences. Il en va de leur survie dans un monde ou le paiement sur mobile s'étend de plus en plus (voir notre analyse).

Une carte bancaire avec capteur biométrique chez MasterCard

Ainsi, MasterCard et Zwipe annonçaient l'année dernière le lancement de « la première carte de paiement sans contact biométrique au monde, avec un capteur d'empreintes digitales intégré ». Ce dernier enregistre et stocke l'empreinte du propriétaire, et il faudra donc qu'il pose son doigt à l'endroit idoine afin de valider le paiement. De plus, l'authentification biométrique remplace le code PIN si celui-ci était demandé.

Dans son communiqué de presse qui date de la fin de l'année dernière, MasterCard précise que « Zwipe travaille actuellement sur la prochaine génération de sa carte qui sera le même format qu'une carte standard, conçue pour fonctionner avec tous les terminaux de paiement, et qu'elle arrivera courant 2015. Cette nouvelle carte sera capable de s'alimenter depuis les terminaux de paiement et ne nécessitera pas de batterie ».

La BPCE dévoile sa carte bancaire avec un cryptogramme dynamique

Ce n'est pas tout car d'autres initiatives voient le jour. La BPCE (Banque Populaire et Caisse d’Epargne) et Oberthur Technologies viennent eux aussi d'annoncer une première mondiale, mais d'un autre genre : « la première carte bancaire à cryptogramme dynamique ». Elle exploite une technologie baptisée Motion Code : le code de sécurité à trois chiffres imprimé au dos (CVV) est remplacé par un « mini écran affichant un code, automatiquement modifié périodiquement ». Pour la banque, « cette technologie innovante permet ainsi de mieux sécuriser les transactions en ligne, sans aucun changement pour le titulaire de la carte et pour le commerçant ».

La BPCE précise que « pour le porteur de cette nouvelle génération de carte, la solution est totalement transparente et ne modifie pas son parcours d’achat habituel. La seule différence réside dans l’affichage sur un mini écran du cryptogramme à trois chiffres au verso de la carte ». Cela ne change rien non plus pour les e-commerçants : « la solution ne requiert pas d’évolution de leur système d’acceptation de paiement en ligne (aucun plug-in ni de nouveau bouton de paiement) ».

Une promesse intéressante et qui pourrait rassurer certains adeptes du paiement en ligne. Didier Lamouche, président directeur général d'Oberthur Technologies, était justement ce matin l'invité de Good Morning Business pour évoquer sa nouvelle carte bancaire. Il donne quelques détails sur son contenu et son principe de fonctionnement : « vous avez un microprocesseur et une batterie solid state qui permet de faire changer ce code de 15 minutes à deux heures ». L'autonomie est de trois ans environ, soit plus que la durée de vie d'une carte bancaire (deux ans).

La mise en place à grande échelle n'est par contre pas prévue pour tout de suite puisqu'il faudra attendre septembre prochain pour que la Banque Populaire et Caisse d’Epargne testent cette solution sur un millier de clients.

BPCE

112

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une carte bancaire avec capteur biométrique chez MasterCard

La BPCE dévoile sa carte bancaire avec un cryptogramme dynamique

Commentaires (112)


Heu.. pour le deuxième type de carte à cryptogramme dynamique.



Comment vont faire les plateformes qui conservent les numéros de carte en vue d’un paiement prochain.

Je pense à des services comme google adword (paiement périodique d’un montant variable sans confirmation par le client)?

Ou de plateformes comme Tipeee (paiement périodique d’un montant variable sans confirmation par le client)?


Ainsi que les sites d’achat (amazon et son programme d’abonnement), les MMO (Abo WOW), …

Bref, cette solution est sympathique mais va vite être casse bonbons pour le client…


l’authentification est “optionnelle”, c’est une sécurité proposée par défaut, mais tu peux t’en passer (si tu assumes les risques)

par ex : les autoroutes, tu payes avec ta cb sans jamais donner ton code pin :)


C’est tout de suite ce que je me suis dit, l’idée reste néanmoins plutôt bonne mais pour les paiements récurrent c’est un peu lourd.


Je ne suis pas un grand expert de la carte bancaire, mais ce ne serait pas la bande magnétique qui est utilisé pour les autoroutes ?

 








Gu0sur20 a écrit :



Je ne suis pas un grand expert de la carte bancaire, mais ce ne serait pas la bande magnétique qui est utilisé pour les autoroutes ?







Non, plus du tout. La bande magnétique est gardée pour la compatibilité avec les pays qui n’exploitent pas encore la puce, comme les USA et le Canada.



Par contre, le coup du CVV variable, c’est tout con mais sacrément efficace ! Vivement ça sur ma carte !









Commentaire_supprime a écrit :



Par contre, le coup du CVV variable, c’est tout con mais sacrément efficace ! Vivement ça sur ma carte !



Je t’en donne une autre: le CVV effaçable.

Moi et ma femme nous grattons le CVV sur nos carte bleues (après les avoir communiqués oralement à l’autre).

De même, nous échangeons nos carte: comme cela si on nous vole un porte-feuille, le prénom et la date de naissance ne correspondent pas avec les autres papiers.



La e-carte bleue a quand même réglé bien des problèmes de paiement en ligne depuis un bon paquet d’années. Le plus gros problème maintenant c’est qu’on est obligé d’avoir Flash sur sa machine pour générer un numéro.








brice.wernet a écrit :



Je t’en donne une autre: le CVV effaçable.

Moi et ma femme nous grattons le CVV sur nos carte bleues (après les avoir communiqués oralement à l’autre).

De même, nous échangeons nos carte: comme cela si on nous vole un porte-feuille, le prénom et la date de naissance ne correspondent pas avec les autres papiers.







Problème: je vis seul.



Je le transmet à qui le CVV de ma CB ?



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />










bogomips a écrit :



La e-carte bleue a quand même réglé bien des problèmes de paiement en ligne depuis un bon paquet d’années. Le plus gros problème maintenant c’est qu’on est obligé d’avoir Flash sur sa machine pour générer un numéro.







Sachant que Gnash ne passe pas chez eux, et que même l’appli de ma banque dédiée aux numéros de e-CB ne fonctionne pas sous Win7 avec le dernier flash (pas la bonne version qu’il me dit…)



A moi, et ta carte bleue aussi, sait-on jamais.



A la place, je peux te confier ma carte à puce<img data-src=" />


Mais comment ça fonctionne ? Comment la banque sait réellement le code que j’ai sur la carte ? J’ai le code 132, une heure après 145, comment la banque est au courant de se changement ?&nbsp;


Et que c’est pas dispo partout. Certaines banques font même payer l’option…


L’algo de génération est pseudo aléatoire, et basé sur une clé “commune” initialisée lors de la fabrication. Le serveur comme la carte sont donc synchronisés.



Beaucoup d’entreprises utilisaient ce mécanisme (avec une carte un peu plus grosse) pour gérer l’authentification par token sur leurs portails d’entreprise.


Bonjour, cela ne changera rien: le stockage du CVV/CVV2 est déjà interdit par le standard PCI ( page 2 sur ce document:https://www.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf ).



&nbsp;Il existe un procédure spécifique pour qu’une plateforme de paiement puisse exécuter un débit récurrent. La saisie initiale des données permet d’obtenir une autorisation.


L’intégration de la biométrie sur la carte, c’est tellement marketing.

Il n’y a que dans la tête des gens qui n’y connaissent rien que c’est une bonne idée et que ça fait “cool”.



En vrai le jour ou ça débarque sur toutes les cartes et qu’un type arrive à copier facilement une empreinte, toute la sécurité s’effondre.








ErGo_404 a écrit :



Et que c’est pas dispo partout. Certaines banques font même payer l’option…





Oui, ça me coûte assez cher, mais vu mon utilisation je ne pourrai plus m’en passer. Même en réservation d’hôtel à l’étranger ça passe avec la ecb imprimée sur un joli papier :)









Manu114 a écrit :



Mais comment ça fonctionne ? Comment la banque sait réellement le code que j’ai sur la carte ? J’ai le code 132, une heure après 145, comment la banque est au courant de se changement ?





C’est le même principe que les authenticators. Une seed que seule la banque et la carte connaissent qui permet de calculer le CVV à un instant t via un algo commun.



L’autoroute est différent puisqu’il ne vérifie pas le compte bancaire pour plus de fluidité, tu pourrais passer une CB encodé toi même avec que des 0 pour infos dans la puce et tu passerais sans soucis (déjà vu en vidéo).



Mais bon de toute façon la meilleur sécurité c’est le cerveau humain. Faire en sorte que les cons ne stockent plus leur numéro de CB avec la CB, faire un CCV qui se détache de la CB et se jettent (même gratter tu peu encore réussir à le récupérer dans pas mal de cas), …

Mais bon, du d’inventer un générateur anti-connerie humaine.








Kikilancelot a écrit :



L’autoroute est différent puisqu’il ne vérifie pas le compte bancaire pour plus de fluidité, tu pourrais passer une CB encodé toi même avec que des 0 pour infos dans la puce et tu passerais sans soucis (déjà vu en vidéo).





<img data-src=" />

&nbsp;La vérification de la carte&nbsp; : utilise la clef privée que contient la carte et les clefs publiques qui sont dans le lecteur. C’est un contrôle local.

Autorisation bancaire =&nbsp; vérification que la carte n’est pas bloquée et que le compte est suffisamment approvisionné.

Le autoroutes désactivent les autorisation en cas de fort trafic.



Pour faire du paiement récurrent, les sociétés de paiement utilisent une emprunte de ta carte bleu composée en général du nom du porteur avec le numéro de la carte et la date d’expiration. Après, il suffit de comparer le hash SHA256 ou autre et le tour est joué.








ErGo_404 a écrit :



L’intégration de la biométrie sur la carte, c’est tellement marketing.

Il n’y a que dans la tête des gens qui n’y connaissent rien que c’est une bonne idée et que ça fait “cool”.





En vrai le jour ou ça débarque sur toutes les cartes et qu’un type

arrive à copier facilement une empreinte, toute la sécurité s’effondre.





Il me semble qu’on peut facilement imiter une empreinte digitale, on voit ça déjà dans un James Bond des années 60 (sur un film plastique semi-mou) et sûrement dans d’autres films, je me demande ce qu’il en est vraiment ; j’ai déjà lu que certains capteurs vérifient par exemple que le doigt est vivant (chaleur ou circulation sanguine, je ne sais pas bien).



Il existe des capteurs qui cartographie le réseau veineux du doigt ou de la main ou autre (impossible à reproduire actuellement à ma connaissance).


Génial… après nous avoir couté pls dizaines de milliards d’euros en 2008 et après nous avoir arnaqué depuis 500 ans, les banques en veulent toujours plus…

En fait, le domaine bancaire n’a pas beaucoup évolué depuis 500 ans : c’est toujours la banque qui détient notre argent et qui sert d’intermédiaire (en s’en mettant plein les poches en passant)…

N’y a t-il pas d’autres solutions?








BTCKnight a écrit :



Génial… après nous avoir couté pls dizaines de milliards d’euros en 2008 et après nous avoir arnaqué depuis 500 ans, les banques en veulent toujours plus…





Ah oui carrément ? Des informations précises, des références chiffrées à ce sujet (en 2008) ?







BTCKnight a écrit :



En fait, le domaine bancaire n’a pas beaucoup évolué

depuis 500 ans : c’est toujours la banque qui détient notre argent et

qui sert d’intermédiaire (en s’en mettant plein les poches en

passant)…

N’y a t-il pas d’autres solutions?





Ma banque ne s’en met pas plein les poches (sauf quand je suis dans le rouge, je ferais mieux de faire un emprunt), elle te fait quoi à toi ?









Rush a écrit :



Il existe des capteurs qui cartographie le réseau veineux du doigt ou de la main ou autre (impossible à reproduire actuellement à ma connaissance).





Intéressant, et sais-tu si c’est réalisable sur une simple carte bancaire ? (j’imagine qu’il faut un capteur particulier et un peu précis et sophistiqué).



Ça a l’air un peu plus gros qu’une carte bancaire. Sur un terminal de paiement c’est peut-être plus crédible.








OlivierJ a écrit :



Ah oui carrément ? Des informations précises, des références chiffrées à ce sujet (en 2008) ?





Ma banque ne s’en met pas plein les poches (sauf quand je suis dans le rouge, je ferais mieux de faire un emprunt), elle te fait quoi à toi ?







C’est une blague?

http://fr.wikipedia.org/wiki/Crise_bancaire_et_financi%C3%A8re_de_l%27automne_20…

http://fr.wikipedia.org/wiki/Crise_des_subprimes

http://fr.wikipedia.org/wiki/Crise_financi%C3%A8re_mondiale_d%C3%A9butant_en_200…

http://fr.wikipedia.org/wiki/Crise_%C3%A9conomique_mondiale_des_ann%C3%A9es_2008…



C’est vrai qu’il serait temps de les sécurisés ces cartes bancaires.

Payer avec un simple “numéro” de carte bancaire, c’est tellement facile à frauder…



Je pense que cartes bancaires n’ont pas su s’adapter à internet et les banques ferait bien de trouver une autre solutions sécurisées de base.



Par exemple, avec Bitcoin, on “envoie” de la monnaie, on donne pas un accès “open-bar” à son compte. Ca me parait tellement “évident” comme idée…


Pas trop compris un truc. Trop lu en diagonale peut-être?



Le code à 3 chiffres se modifie… En quoi ça sécurise plus ma carte si je me la fais voler?



Le mec aura le nouveau numéro généré et après ?








Commentaire_supprime a écrit :



Problème: je vis seul.



Je le transmet à qui le CVV de ma CB ?



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



tu peux me le filer avec ton n°, je les garderai précieusement <img data-src=" />



bien quoi, faut bien tenter non? <img data-src=" />



Bah après il s’en sert <img data-src=" />








BTCKnight a écrit :



Génial… après nous avoir couté pls dizaines de milliards d’euros en 2008 et après nous avoir arnaqué depuis 500 ans, les banques en veulent toujours plus…

En fait, le domaine bancaire n’a pas beaucoup évolué depuis 500 ans : c’est toujours la banque qui détient notre argent et qui sert d’intermédiaire (en s’en mettant plein les poches en passant)…

N’y a t-il pas d’autres solutions?





Dans ce genre là, les autres solutions ?



C’est vrai que l’ont voit tout de suite qu’il y a des professionnels de la sécurité des échanges et de la confiance en la monnaie qui ont travaillé à la mort des banques…









Ler van keeg a écrit :



Pas trop compris un truc. Trop lu en diagonale peut-être?



Le code à 3 chiffres se modifie… En quoi ça sécurise plus ma carte si je me la fais voler?



Le mec aura le nouveau numéro généré et après ?



c’est surtout pour éviter les générateurs de CB.



Tu devrais toi aussi faire confiance à un “tiers de confiance” <img data-src=" />


Plus sécurisé que le paiement sans contact ? <img data-src=" />








Patch a écrit :



c’est surtout pour éviter les générateurs de CB.





Là ça se tient.

Et c’est bien ce que j’avais compris : C’est la banque, que ça sécurise. Pas le consommateur…



Faut pas déconner non plus, la banque se sécurise, aux clients de se sécuriser eux-mêmes ^^








Z-os a écrit :



Ça a l’air un peu plus gros qu’une carte bancaire. Sur un terminal de paiement c’est peut-être plus crédible.





Merci.

Ça m’a plu ça, d’ailleurs Axalto a des terminaux de paiement sous Linux depuis 2005 ou 2006 (des collègues y ont travaillé) : « SDK disponible pour intégration sur plateformes Windows, Linux et Android »



Bah empreintes digitales, non car il peut arriver qu’on se prête nos cartes avec ma femme, et on ne doit pas être les seuls à le faire, ça rends le truc un peu trop restrictif.


Le 3DSecure est là pour sécuriser les paiements… Problème, les commerçants le désactivent pour ne pas embêter les clients, sur les petites sommes…


Et plutot que de mettre l’empreinte dans la carte, autant que le lecteur chez les commerçants soit un lecteur d’empreinte / réseau veineux ou autre directement. tu pose ta main et hop, ça pompe direct sur ton compte (ou celui de ton choix si plusieurs sont associés à ton identité)








Railblue a écrit :



Dans ce genre là, les autres solutions ?



C’est vrai que l’ont voit tout de suite qu’il y a des professionnels de la sécurité des échanges et de la confiance en la monnaie qui ont travaillé à la mort des banques…





Ouais, un peu dans ce genre là… mais c’est pas si simple…









DotNerk a écrit :



Tu devrais toi aussi faire confiance à un “tiers de confiance” <img data-src=" />



justement c’est le cas : mes parents <img data-src=" />







Ler van keeg a écrit :



Là ça se tient.

Et c’est bien ce que j’avais compris : C’est la banque, que ça sécurise. Pas le consommateur…



voilà <img data-src=" />

plus les banques ont un système sécurisé, moins elles paieront en assurances…



Non pas possible sur une CB.


Toujours se méfier de la famille, des amis proches… <img data-src=" />








bogomips a écrit :



La e-carte bleue a quand même réglé bien des problèmes de paiement en ligne depuis un bon paquet d’années. Le plus gros problème maintenant c’est qu’on est obligé d’avoir Flash sur sa machine pour générer un numéro.





Pour moi je fais plus simple, j’ai mon compte historique et principal sans moyen de paiement &nbsp;et donc gratuit que j’utilise comme simple dépôt ,

et plusieurs comptes annexes &nbsp;avec CB que j’alimente qu’en fonction des besoins - SOON ( CB gratuite) / Compte nickel (20e/an) / Fortuneo (CB gratuite ).

Pour catégoriser les dépenses et sécuriser les paiements c’est pas mal je trouve, tout en ayant accès à la proximité (guichet) de ma banque traditionnelle gratuitement.









DotNerk a écrit :



Toujours se méfier de la famille, des amis proches… <img data-src=" />



eux ont mon CVV. moi j’ai les codes d’accès à leurs comptes bancaires en ligne… <img data-src=" />



Ils n’en veulent pas aussi car ça coûte un peu plus cher par transaction de mémoire.

Après tout dépend du pourcentage de fraude car l’avantage du 3DSecure, c’est que c’est la banque qui rembourse le commerçant alors qu’en transaction classique, en cas de fraude le commerçant l’a dans le *



Monsieur tout le monde quand il fait opposition, il se fait rembourser mais ça diffère grandement de qui va perdre de l’argent au finale.


Libérez-vous de ce fardeau, je veux bien m’en charger. Vous aurez l’esprit léger <img data-src=" />








Commentaire_supprime a écrit :



Non, plus du tout. La bande magnétique est gardée pour la compatibilité avec les pays qui n’exploitent pas encore la puce, comme les USA et le Canada.



Par contre, le coup du CVV variable, c’est tout con mais sacrément efficace ! Vivement ça sur ma carte !





Ca dépend. J’avais une carte dont la bande magnétique ne fonctionnait plus. La puce fonctionnait à merveille cependant. Et bien, la plupart des terminaux de paiement sur les autoroutes en France refusaient ma carte. Tout comme beaucoup de DAB. Certains récents fonctionnaient avec, les anciens essayent toujours la bande d’abord, n’arrivent pas à la lire et n’essaient même pas la puce…



C’était un peu pareil quand j’ai voyagé à Amsterdam. Impossible de retirer de l’argent, TOUS les distributeurs utilisent la bande magnétique, mais les marchands utilisent tous la puce. Donc la sécurité c’est pour les autres, pas pour les banques !



George Abitbol avait donc raison ^^


Tant que la carte bancaire fonctionne sur la simple communication de coordonnées à 16 chiffres + 4 chiffres (date d’expiration) + 3 chiffres ( “cryptogramme” - quel joli nom ;-) ), les banques devraient récompenser les utilisateurs de CB “parano” férus de la e-carte bancaire, du code 3D-Secure, etc. Mais le cynisme et le pragmatisme de ces entreprises sont sans limite : e-carte bancaire, Moneo, sans contact/sans code secret, systèmes de paiements par CB automatisés, etc = inventions/innovations pour gagner plus sur les dépenses/pouvoir d’achat des consommateurs/clients des banques.


J’ai pas cette référence en tête&nbsp; <img data-src=" />


C’est faux, cela dépend du pays et de la banque. Tout dépend du taux de fraude, au-dessus de 23%, c’est plus rentable pour les banques de passer par la puce.



Comme tout dans le monde, tout est une question de fric ! (c’est pareil pour le 3DSecure)



Les USA qui n’utilisent que la bande magnétique sont en train de passer à la puce à cause de la fraude qui augmente. Tout est une histoire de gros sous.








Rush a écrit :



C’est faux, cela dépend du pays et de la banque. Tout dépend du taux de fraude, au-dessus de 23%, c’est plus rentable pour les banques de passer par la puce.



Comme tout dans le monde, tout est une question de fric ! (c’est pareil pour le 3DSecure)



Les USA qui n’utilisent que la bande magnétique sont en train de passer à la puce à cause de la fraude qui augmente. Tout est une histoire de gros sous.







Je peux te confirmer que dans certains pays d’Europe de l’est (République Tchèque, Pologne) et en Ukraine, la puce est omniprésente pour les paiements par CB. Expérience vécue.



Peut importe les pays, je ne connais pas ce qui se fait en Europe de l’est mais tout ce que je voulais dire c’est que la CB puce coute plus cher avec la puce (avec les brevets qui vont avec) que sans ; donc elle n’est pas utilisé partout.

Ce n’est pas étonnant qu’elle soit utilisé là-haut vu le taux de fraude (je présume).

Il n’est pas étonnant que l’on passe au fur et à mesure au 3DSecure vu la fraude en France http://www.lepoint.fr/societe/la-france-numero-un-de-la-fraude-a-la-carte-bancai…


Un petit commentaire pour signaler que depuis un an et demi la banque postale (oui la banque des pauvres comme le diront les trolls) est assez dynamique dans ce domaine :&nbsp;

je teste une carte visa avec génération du code CCV par empreinte vocale ! Lorsque vous saisissez votre numéro de cb sur un site marchand un robot vous appelle, vous devez répéter une phrase prédéfinie et ensuite vous recevez le code ccv à renseigner sur le site marchand. En cas de non reconnaissance de votre voix le service vous préviernt par sms/mail/appel pour vous signaler une tentative de fraude.

&nbsp;Apparemment le service sortirait en fin d’année mais avec un autre type de reconnaissance biométrique que la voix

Si ca vous intéresse de jeter un oeil&nbsphttps://www.labanquepostale.fr/groupe/Actualites/20121/Talkt-to-pay_LBP.html


En effet

Les infos de la carte sont envoyées au service de paiement qui donne un numéro d’autorisation de &nbsp;prélèvement.

Ce numéro est stocké, ainsi qu’une partie des infos de la carte (souvent les 4 derniers chiffres, et la date d’expiration) uniquement pour l’identifier plus aisément (permettre au client de la reconnaitre/choisir/supprimer)

Le numéro complet ainsi que le CVC n’ont pas à être stockés (même si je crois que certains peuvent le faire au prix de grosses contraintes de sécurité)

Si le numéro d’autorisation de prélèvement etait volé par des hackers, ces derniers pourraient s’en servir… mais pas en tirer profit, puisqu’il ne pourraient prélever des comptes clients que vers le compte du marchand ayant obtenu l’autorisation. Bref aucun intérêt pour le hacker.



(J’ai déjà travaillé pour un cybermachand sur l’implémentation de ce système)


Comme d’habitude, la caisse d’épargne tire 50 km à côté de la cible : leur CVV variable n’emmerde que l’utilisateur, car il suffit de se faire voler la carte pour que quelqu’un d’autre puisse l’utiliser. En revanche, cela oblige à sortir sa carte inutilement et repetitivement, ce qui incite à outrepasser le système.



Bref, comme à l’habitude pour Caisse D’épargne et les banques françaises en général, comme avec l’histoire du clavier “anti keylogger” alors qu’on est sur écran tactile, ou des codes de sécurité à 4 chiffres max ne devant pas contenir de lettres ou caractère spéciaux, ou encore les transactions qui apparaissent 4jours après alors que c’est immédiat dans de nombreux pays.


Je me souviens d’une affaire où un vendeurs avait hacké un terminal de paiement, dont la mémoire était entièrement copiée.



Il a récupéré ainsi une quantité monstrueuse de cartes, avec le code à 4 chiffres. Puis il attendait quelques mois pour s’en servir sur des web marchands des pays de l’Est.



Il s’est fait chopé en utilisant des cartes rapidement copiée, et dans des commerces FR carrément.


Ca doit être vachement long du coup une commande non ?

Déjà rien que 3DSecure, le temps du SMS tu perd un temps fou alors si en plus tu doit redire une phrase…


Sans parler du cas où y’a un réseau pourri, des interférences, où t’es malade…


Donc aucun souci avec les paiements récurrents ?



Bon je ne pense pas que c’est près d’arriver en Suisse… déjà que mes codes pour la double-authentification de ma banque sont imprimés sur une carte en carton, alors un CVV dynamique <img data-src=" />


Très intéressant. Il existe de la documentation à ce sujet ?








maestro321 a écrit :



Heu.. pour le deuxième type de carte à cryptogramme dynamique.



Comment vont faire les plateformes qui conservent les numéros de carte en vue d’un paiement prochain.

Je pense à des services comme google adword (paiement périodique d’un montant variable sans confirmation par le client)?

Ou de plateformes comme Tipeee (paiement périodique d’un montant variable sans confirmation par le client)?







Les magasins en ligne n’ont normalement pas le droit de stoquer le CVC2, seul numéro de carte + date d’expiration. S’ils le font ils violent les contraintes PCI



Bien sur que si … Il y a encore des peages qui ne lisent que les bandes magnétique …


Je n’ai pas lu tous les commentaires mais j’ai deux remarques :

la première solution est sympa mais comment prêter &nbsp;sa CB à un pote?

Pour la deuxième il y a un gros problème … la durée de vie des CB sont de 3 ans maintenant ….

&nbsp;


D’après mon banquier, ce sont les informations en relief qui sont utilisées sur les autoroutes.



Pour info, il est possible de copier une empreinte digitale, ça avait même été montré par un hacker à partir d’une photo (d’Angela Merkel je crois).


Mais qu’est ce qui est faux dans ce qui j’ai dit ? J’ai indiqué mon expérience et des faits réels : la bande magnétique est parfois utilisée à la place de la puce dans certains terminaux plus anciens.








maestro321 a écrit :



Heu.. pour le deuxième type de carte à cryptogramme dynamique.



Comment vont faire les plateformes qui conservent les numéros de carte en vue d’un paiement prochain.

Je pense à des services comme google adword (paiement périodique d’un montant variable sans confirmation par le client)?

Ou de plateformes comme Tipeee (paiement périodique d’un montant variable sans confirmation par le client)?





C’est interdit par la réglementation de stocker le CVV.

Pour les paiements suivants, le commerçant effectue un paiement sans CVV, qui lui coûtent donc potentiellement plus cher.



beaucoup de jeux vidéo utilise ce genre de code via des système nommé authenticator

Google propose un système analogue je t’invite a regarder la page Wikipédia&nbsp;pour mieux comprendre le fonctionnement

Mais grosso modo le principe est une clé privé qui génère un code cette clé privé et stocké coté serveur et sur ta carte et ensuite une vérification et faite entre le hash de ta clé et celui de la date&nbsp;








DotNerk a écrit :



Libérez-vous de ce fardeau, je veux bien m’en charger. Vous aurez l’esprit léger <img data-src=" />



pas besoin, j’ai une totale liberté de pensée cosmique vers un nouvel âge reminiscent… <img data-src=" />









Orphis a écrit :



Ca dépend. J’avais une carte dont la bande magnétique ne fonctionnait plus. La puce fonctionnait à merveille cependant. Et bien, la plupart des terminaux de paiement sur les autoroutes en France refusaient ma carte. Tout comme beaucoup de DAB. Certains récents fonctionnaient avec, les anciens essayent toujours la bande d’abord, n’arrivent pas à la lire et n’essaient même pas la puce…



C’était un peu pareil quand j’ai voyagé à Amsterdam. Impossible de retirer de l’argent, TOUS les distributeurs utilisent la bande magnétique, mais les marchands utilisent tous la puce. Donc la sécurité c’est pour les autres, pas pour les banques !





Idem, il y a encore 2 ans j’avais une carte plié qui s’était retrouvé plié en 2 que j’avais su redresser mais la bande avait du prendre un coup et j’ai eu l’air con quand au péage je me suis engagé sur une barrière CB only et que ça passait pas. Obligé de faire marche arrière au milieu de tout le monde pour aller sur un portique avec un gus dans sa cahute. Et par la suite du coup obligé de retiter de la monnaie à l’avance pour payer les péages, je tentais régulièrement sur les bornes mixtes et non ça passait jamais.

La puce elle fonctionnait parfaitement vu que partout ailleurs je pouvais payer.









Patch a écrit :



pas besoin, j’ai une totale liberté de pensée cosmique vers un nouvel âge reminiscent… <img data-src=" />





Skipi t’a enlevé tout tes soucis ?



Pour ceux qui s’inquiètent du changement regulier de CVV pour les abonnements, il faut savoir que celui-ci n’est pas obligatoire pour une transaction par carte et qu’il ne peut pas être sauvegarder en base même de manière crypté par les cybercommerçants. cf; norme PCI-DSS v3 en FR et V3.1 (UK only)



&nbsp;Quand vous changer d’opérateur ou d’equippement Amazon qui ne veut pas prendre de risque, vous re-demande le CVV de la carte pour valider l’achat avec votre banque de façon plus sécurisé qu’avec les seules information qu’il peut conserver en base. Ensuite il ajoute votre couple IP / équipement et lors des prochaine transaction le CVV ne vous est plus demandé.

&nbsp;

&nbsp;La techno proposé par BPCE est très intéressante, jusqu’a present les cartes bancaire avec LCD étaient hors de prix pour les banques, si ils ont réussi à réduire le cout c’est l’avenir de ce moyen de paiement.








xamoon a écrit :



La techno proposé par BPCE est très intéressante, jusqu’a present les cartes bancaire avec LCD étaient hors de prix pour les banques, si ils ont réussi à réduire le cout c’est l’avenir de ce moyen de paiement.





Merci NagraID au passage :http://www.oberthur.com/presse/ot-finalise-lacquisition-de-nagraid-security-le-s…



Les systèmes payants de sécurité, mis en place par les banques, servent surtout à les protéger elles-mêmes :

L’arnaque la plus flagrante est la e-carte bleue, système que certaines banques font payer aux clients.



&nbsp;Non contents d’être lourds à l’utilisation, ces systèmes sont tout simplement inutiles aux utilisateurs.

En effet, le client est protégé par la loi :

en cas de fraude sur son système de paiement, la banque est tenue de rembourser le préjudice…



Alors plus de sécurité ok mais sans faire porter le coût par le client.


Pour avoir bossé, 2008 donc cela a pu changer, sur une migration de client monétique (client et commerçantphysique) le contrôle d’autorisation était basé sur une convention entre le commerçant, et sa banque.



En effet, cette convention définissait les seuils d’autorisation ( exemple 15e pour un artisant, 100€ par exemple pour un grds magasin, 400€ pour un bijoutier ), la fréquence de remontée des télécollectes de CB : à chaque paiement, x fois par jour, 1 fois par jour, à la demande (exemple d’un paiement dans un avion où la télécollecte se fait à l’atterrissage voire au retour du personnel embarqué).



Bien sûr tout ceci implique une facturation spécifique, d’où la notion de seuil chez les commerçants pour un paiement carte: exemple cas personnels 30€ pour mon pressing, 1€ à intermarché



Concernant le renouvellement des boitiers CB avec le NFC, mon caviste m’a indiqué que lui il payé moins cher avec le NFC et que s’il avait pas dû renouveller son matos.&nbsp;Je pense que c’est une pratique de sa banque et pas forcément généralisée mais cela peut expliquer aussi la lenteur au renouvellement du parc de boitier CB chez les petits commerçants.

&nbsp;


On renseignera nos clés BIC ou IBAN ^^



Bon, ça posera le problème de stockage de données bancaires. Un pirate qui vole ton numéro de CB, sans les 3 chiffres clés qui ne sont normalement pas enregistrés, ça va. Par contre si on vole la totalité de ton n° IBAN, il peut faire tout et n’importe quoi.


C’est tout à fait ça, cela n’a pas changé depuis.


Ce que je voulais dire par faux, c’est que ce n’est pas tous les DAB mais que celui dépend de la banque et du pays ou tu te trouves.








maestro321 a écrit :



Heu.. pour le deuxième type de carte à cryptogramme dynamique.



Comment vont faire les plateformes qui conservent les numéros de carte en vue d’un paiement prochain.





Cela va tomber dans la poubelle dont cela n’aurait jamais dû sortir: Ils se font pêter leur BDD utilkisateurs ou tout ceci est stocké et ce sont des milliers/millions d’utilisateurs qui sont mal. Tant que des sites (type FNAC) ne donnaient pas le choix sur l’enregistrement ou pas, je fuyais comme la peste ceux qui enregistraient.









xamoon a écrit :





C’est en effet une bonne solution car le risque n’était pas présent que sur les transactions en ligne: N’importe quel commerçant a qui tu donnais ta carte pouvait mémoriser ou la passer devant une caméra discrète derrière le comptoir et piper toutes les infos.



D’ailleurs une solution fréquente était de mémoriser les 3 chiffres de ce cryptogramme et de le gratter sur la carte.



Je pense qu’ils auraient même dû aller plus loin et les générer par pression sur une zone de la carte avec validité à 1 ou 2mn maxi: En 15mn ca laisse du temps, 2h00 n’en parlons pas. Ceci dit, on ne fait pas 36 paiements dans ce laps de temps et remonter à la source d’une fraude devant alors intervenir rapidement devrait être beaucoup plus aisé.



&nbsp;Le paiement par mobile, personnellement, je pense que l’on va au devant de vastes fraudes qui risquent de bien calmer. Les OS mobiles sont déjà une cible de choix, si on y ajoute l’accès direct au compte en banque cela va attirer du monde.



Bha en fait on m’a répondu plein de fois déjà. <img data-src=" />

Je me suis renseigné un peu et ma question n’a pas lieu d’être.

Le stockage des numéros de carte (en particulier le CVV) semble interdit depuis 2008 (https://www.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf ).

Techniquement, les plateformes qui “conservent” la carte pour un paiement ne conservent pas réellement les données.

Ils font une “empreinte” via le service bancaire, c’est à ce moment là que transite le numéro et seulement à ce moment là.

Ensuite ils n’ont qu’a stocker et réutiliser cette empreinte pour de futures transactions.



L’avantage c’est qu’ils n’ont pas a stocker le numéro de carte et comme l’empreinte est associée à l’e-commerçant même si elles étaient volées elle seraient quasiment inutilisable (en tout cas ça limite drastiquement la fraude).



Donc si je ne dit pas de bêtises la FNAC ne stock pas les numéros de carte, seulement l’“empreinte” de celle-ci (inutilisable en cas de vol de BDD)


Ahhhhhhh merci <img data-src=" />


A la lecture des commentaires, je remarque un truc… Personne n’utilise les numéros de carte virtuels ?



Ma banque (Crédit Mutuel de Bretagne) (et surement plein d’autres) me propose ça depuis presque 10 ans et avec ça le risque est nettement diminué.

Je génère un numéro utilisable sur une durée et pour un montant&nbsp;défini&nbsp;(je mets toujours le montant exact de l’achat) en 30 secondes, avec même une appli sur smartphone.

Et mon numéro de carte physique n’est pas utilisable sur Internet, du coup si je me fais voler ma carte ils ne peuvent rien en faire (sauf à avoir aussi chopé le code mais ça c’est à moi de faire gaffe).



(dans certains cas comme la SNCF où il faut utiliser la carte physique pour retirer le billet, je peux débloquer temporairement et sans délai l’utilisation de la carte physique sur Internet et la revérouiller dès que j’ai fini).








DotNerk a écrit :



Libérez-vous de ce fardeau, je veux bien m’en charger. Vous aurez l’esprit léger <img data-src=" />

&nbsp;



C’est toi, Skippy?









unnamedboy a écrit :



A la lecture des commentaires, je remarque un truc… Personne n’utilise les numéros de carte virtuels ?



Ma banque (Crédit Mutuel de Bretagne) (et surement plein d’autres) me propose ça depuis presque 10 ans et avec ça le risque est nettement diminué.

Je génère un numéro utilisable sur une durée et pour un montant&nbsp;défini&nbsp;(je mets toujours le montant exact de l’achat) en 30 secondes, avec même une appli sur smartphone.

Et mon numéro de carte physique n’est pas utilisable sur Internet, du coup si je me fais voler ma carte ils ne peuvent rien en faire (sauf à avoir aussi chopé le code mais ça c’est à moi de faire gaffe).



(dans certains cas comme la SNCF où il faut utiliser la carte physique pour retirer le billet, je peux débloquer temporairement et sans délai l’utilisation de la carte physique sur Internet et la revérouiller dès que j’ai fini).





Comme je l’ai déjà dis, je trouve plus simple de prendre un compte avec CB gratuite pour ma part ^^.

Ce n’est plus ça qui manque maintenant.



<img data-src=" />

&nbsp;Raël était déjà pris comme nom <img data-src=" />








maestro321 a écrit :



Donc si je ne dit pas de bêtises la FNAC ne stock pas les numéros de carte, seulement l’“empreinte” de celle-ci (inutilisable en cas de vol de BDD)





Ca a peut-être changé… Mais a une époque ils te ressortaient numéro/date/titulaire gardé de la précédente transaction afin de confirmer que tu voulais bien réutiliser cette carte (les plus aventureux devaient pouvoir en enregistrer plusieurs!). Le cryptogramme je ne suis pas certain mais il me semble que la fin d’achat était vraiment en 1 clic.



Y’avait pas de possibilité offerte de ne pas enregistrer (de fut ajouté ensuite) =&gt; Clôture immédiate du compte et j’ai fais mes courses ailleurs pendant au moins 2 ans avant de revenir voir.









unnamedboy a écrit :



A la lecture des commentaires, je remarque un truc… Personne n’utilise les numéros de carte virtuels ?







Personnellement, cette eCarte-Bleue qomme on l’eu appelé, c’était payant: Inclus dans les conventions de comptes vendues avec assurance etc, mais quand tu ne veux pas payer pour cela.



Disons qu’il y a 6/8ans cela pouvait avoir un intérêt car la charge de la preuve d’une fraude revenait à l’utilisateur de la CB (l’utilisateur censé pouvoir tracer dans les réseaux bancaires une transaction? Vaste blague). Ensuite la loi a changé et la charge de la preuve a été inversée: La banque doit rembourser sans conditions une transaction que l’utilisateur déclare frauduleuse et a elle d’enquêter pour récupérer ses billes.



L’assurance paiement en ligne n’est donc plus utile, mais les banquiers continuent à en vendre aux client pas informés à travers ces conventions de compte.



L’eCB serait gratuite, pourquoi pas… Mais comme ce n’est pas le cas et qu’une fraude constatée est logiquement devenu le pb de la banque, j’utilises ma CB.



Et pour le prix de la convention de compte on se paye largement une gold avec des assurances voyage/ski/loc de bagnole… incluses et potentiellement plus utiles.



Oui, le numéro carte (partiellement masqué), titulaire, expiration peuvent être conservés en base. Théoriquement les données qu’ils conservent permettent au client d’identifier facilement sa carte, mais ne permet pas d’effectuer un paiement avec.



Après, pour ce qui est du paiement en 1 clic l’“empreinte” sert justement à ça.

Pas de nouvelle saisie par l’utilisateur, donc pas nouveau transite des infos de la carte.


J’ai déjà eu une fraude sur une carte bancaire:

plus de 400 euros en plein de transactions étalées sur environ un mois… je m’en suis aperçu qu’a la réception de mon relevé de compte PASS (papier).

Ce n’était pas sur ma carte principale mais sur ma carte PASS (Carrefour) que moi perso je n’utilise que à Carrefour…

La banque PASS m’a intégralement remboursé car en effet les transactions était des recharges SFR-VAD et des achats sur le Play Store de Google… ce qui ne correspondait pas à mon utilisation et qu’il n’y avais pas eu utilisation du code PIN associé à la carte.



Ce n’est que plusieurs mois plus tard que j’ai compris ce qui s’était passé: j’avais hébergé un “ami” pendant une semaine et c’est en fait lui qui avais pris en photo ma carte bancaire recto-verso (surement pendant que je prenais ma douche), malin il n’avais pas fais sur ma carte principale car je m’en serait aperçu très rapidement; mais sur ma carte secondaire à débit différé…



Cette personne ma depuis avoué son crime…



Depuis j’ai changé mes deux cartes bancaires, mémorisé les codes CCV (cryptogramme du verso) et vraiment gratté à fond leurs marquages: en cas de perte, de commerçants fraudeurs ou de faux amis impossible d’utilisé mes cartes!



Au final c’est vraiment très simple de mémorisé les PIN et les cryptos.



J’ai l’habitude de commandé sur le site ventesprivées.com qui mémorise l’empreinte carte mais qui demande à chaque nouvel achat de composé uniquement le crypto de 3 chiffres pour validé la transaction: très pratique et sécurisant.



Bref en 15 ans jamais eu de souci à payé sur internet pourtant je fais de nombreux achats. En revanche, comme souvent ce sont les proches la faille!!

&nbsp;

Les gens qui communiquent le code PIN de leur Carte Bancaire à leur femme/mari ou amis sont de vrais inconscient car 1 mariage sur deux fini en divorce…



&nbsp;

&nbsp;

&nbsp;


Perso, pour commencer à chaque nouvelle CB que je reçois, j’apprends par coeur le petit chiffre au dos puis je le gratte pour qu’il ne soit plus visible <img data-src=" />








wrongillusion a écrit :



Cette personne ma depuis avoué son crime…





Rien que ça..









Rush a écrit :



Peut importe les pays, je ne connais pas ce qui se fait en Europe de l’est mais tout ce que je voulais dire c’est que la CB puce coute plus cher avec la puce (avec les brevets qui vont avec) que sans ; donc elle n’est pas utilisé partout.





Les brevets sur la carte à puce sont vieux et ne sont plus valables, il me semble. Pour ceux de Roland Moreno c’est certain.



La fin des espèces petit à petit et tant mieux pour les gens honnêtes!

&nbsp;

&nbsphttp://www.express.be/business/fr/economy/au-danemark-il-ne-sera-bientot-plus-po…


Il existe au moins des docs techniques, mais je ne crois pas qu’elles soient publiques (tout le monde n’a pas accès à ce système)

Sinon j’en sais rien ^^


FNAC ne stocke pas ton numéro de CB. C’est un alias qui est stocké et le numéro n’est accessible que chez son prestataire de paiement.&nbsp;Donc s’il y a piratage de la BDD client FNAC, les PAN (numéros de carte) ne seront pas dans la nature. Par contre, si le prestataire se fait pirater, ça peut faire mal (mais les données sont certainement chiffrées avec un HSM).








nirgal76 a écrit :



Et plutot que de mettre l’empreinte dans la carte, autant que le lecteur chez les commerçants soit un lecteur d’empreinte / réseau veineux ou autre directement. tu pose ta main et hop, ça pompe direct sur ton compte (ou celui de ton choix si plusieurs sont associés à ton identité)






 C'est très une mauvaise idée : &nbsp;ton emprunte digitale est unique, personnelle et non modifiable. Tu ne dois jamais la donner à des inconnus. Il suffit qu'un seul commerçant soit véreux et utilise un terminal modifié qui mémorise l'emprunte digitale, et la revende sur internet et tu est foutu.      

&nbsp;

Un numéro de carte, un code PIN, ça peut se changer... mais pas tes doigts.

Tes données biométriques ne doivent être confiées qu'à des tiers de très haute confiance, et ne doit être utilisées que &nbsp;rarement : tu n'as pas le droit à l'erreur.






Avec le lecteur intégré à la carte, tu ne donnes ton emprunte qu'à ta banque lors de la création de la carte. Je ne connais pas l'implémentation utilisée mais il doit très probablement être possible de faire sans, en envoyant une carte non initialisée qui mémorise l'emprunte de référence lors de sa 1ère activation.   





&nbsp;Et ce petit lecteur n’a pas besoin d’être très perfectionné.

Le but du lecteur d’emprunte sur la carte n’est pas d’avoir une clé infaillible, c’est d’améliorer significativement la sécurité par rapport à l’existant code PIN tout en restant dans des coûts et des efforts de mise en place faibles :



- 4 chiffres c'est pas sûr, mais&nbsp;un vrai mot de passe c'est trop complexe à mémoriser, et trop long à taper      

- pianoter sur un clavier = le code peut trop facilement être volé par quelqu'un qui regarde par dessus ton épaule

- le clavier peut être piégé (faux distri-banque avaleur de carte avec une caméra, ou terminal espion chez un marchant véreux)






Il ne faut pas oublier ensuite la dernière sécurité pour le consommateur qui est l'assurance de la réversibilité de la transaction en aval.      






Aucun vérrou n'est inviolable, aucune CB ne sera jamais infaillible. Le but de tout ce bouzin est surtout de résister aux attaques les plus simples qu'on peut rencontrer au quotidien.


La marche arrière est interdite sur autoroutes. Dans ces cas là, il faut appuyer sur le bouton d’assistance et tu auras un bonhomme qui vient à ta voiture à qui tu peux payer directement. Et n’oublie pas de mettre le warning la prochaine fois pour que personne ne se mette derrière toi, en général, ça prend un peu de temps !


Tu as VRAIMENT mal lu mon message. “La plupart” et “certains DAB” et surtout le “Ca dépend” au début du message c’est bien pour dire qu’il y a pas de vérité absolue à ce sujet là. Ca dépend vraiment de l’endroit, de l’âge de l’équipement, du type d’équipement, d’où mon message qui situait le contexte sur les autoroutes et dans d’autres pays.



Donc ne commence pas un message par “Faux” la prochaine fois, c’est irrespectueux et tu as parfaitement illustré le fait que tu n’avais pas lu mon message. Surtout, qu’au fond, tu voulais dire la même chose que moi.








Kako78 a écrit :



FNAC ne stocke pas plus ton numéro de CB.





Je n’ai pas rêvé, le site de la FNAC m’avait ressorti toutes les infos. Mais il y a des années…



Je pense plutôt aux brevets que Gemalto doivent détienir.








Rush a écrit :



Je pense plutôt aux brevets que Gemalto doivent détienir.





À ce sujet, un truc que je n’ai jamais compris. On a accusé la CIA, via un de ses fonds d’investissement, d’avoir voulu racheter discrètement les brevets. Mais s’ils l’ont vraiment fait, manifestement ça n’a rien changé au fait qu’en France on utilise toujours et plus que jamais des cartes à puce. En plus, posséder des brevets ne’empêche pas les autres sociétés de fabriquer, c’est même le but qu’elle paie des royalties.









unnamedboy a écrit :



A la lecture des commentaires, je remarque un truc… Personne n’utilise les numéros de carte virtuels ?



Ma banque (Crédit Mutuel de Bretagne) (et surement plein d’autres) me propose ça depuis presque 10 ans et avec ça le risque est nettement diminué.

Je génère un numéro utilisable sur une durée et pour un montant défini (je mets toujours le montant exact de l’achat) en 30 secondes, avec même une appli sur smartphone.

Et mon numéro de carte physique n’est pas utilisable sur Internet, du coup si je me fais voler ma carte ils ne peuvent rien en faire (sauf à avoir aussi chopé le code mais ça c’est à moi de faire gaffe).



(dans certains cas comme la SNCF où il faut utiliser la carte physique pour retirer le billet, je peux débloquer temporairement et sans délai l’utilisation de la carte physique sur Internet et la revérouiller dès que j’ai fini).







J’utilise depuis peu une e-CB avec ma banque, et j’en suis globalement content.



Pour : ne pas être emmerdé si quelqu’un pirate votre numéro de CB sur le net (la déclaration de fraude, c’est à vous de la faire, et schnell !) vu qu’il est à usage unique. Et pouvoir aussi éviter que le commerçant se sucre plusieurs fois sur votre carte sans vous demander votre avis.



Contre : payant + flash obligatoire pour l’appli de ma banque (BFM-SG)



Cela dit en passant, la seule merde que j’ai eue en neuf ans d’achats sur le net et IRL avec emploi à 100% ou presque d’une CB (y compris à l’étranger, USA, Ukraine, Pologne, République Tchèque…), c’était avec Paypal il y a deux mois : un débit non autorisé sur mon compte…



Il y a deux soucis. Le premier, c’est souvent payant (1 € et quelques pour ma part par mois, Caisse d’Epargne) ce qui est cher paié pour quelques commandes par an…



Le second et pas des moindres, c’est le développement des “marketplaces” (Amazon, Rueducommerce, CDiscount, FNAC…) qui fait qu’une commande peut venir de plusieurs entreprises en même temps et donc plusieurs paiements sur plusieurs jours, alors que l’e-carte bleue expire juste après un seul usage. Il y a d’ailleurs souvent une explication à ce sujet sur le site concerné.



Du coup on est contraint d’aller voir ailleurs ou d’utiliser une carte classique.



C’est dommage, car ce serait pratique… Notamment, ça empêcherait ces marchants d’enregistrer mes coordonnées banquaires sans faire cocher une option pour ça (Amazon notamment). Après chaque commande, je dois aller les retirer de suite et c’est pénible, je ne devrais pas avoir à faire ça.








TheKillerOfComputer a écrit :



Il y a deux soucis. Le premier, c’est souvent payant (1 € et quelques pour ma part par mois, Caisse d’Epargne) ce qui est cher paié pour quelques commandes par an…



Le second et pas des moindres, c’est le développement des “marketplaces” (Amazon, Rueducommerce, CDiscount, FNAC…) qui fait qu’une commande peut venir de plusieurs entreprises en même temps et donc plusieurs paiements sur plusieurs jours, alors que l’e-carte bleue expire juste après un seul usage. Il y a d’ailleurs souvent une explication à ce sujet sur le site concerné.



Du coup on est contraint d’aller voir ailleurs ou d’utiliser une carte classique.



C’est dommage, car ce serait pratique… Notamment, ça empêcherait ces marchants d’enregistrer mes coordonnées banquaires sans faire cocher une option pour ça (Amazon notamment). Après chaque commande, je dois aller les retirer de suite et c’est pénible, je ne devrais pas avoir à faire ça.







La mienne me coûte 10 €/an, et compte tenu que j’achète tout sur Internet ou presque, c’est vite amorti. C’est devenu exceptionnel les mois où je ne fais aucun achat sur le net.



Pour Amazon, j’ai fait des achats avec le Marketplace en payant par e-CB. Mais en faisant mes commandes à l’unité, ce qui n’est pas gênant pour moi.