Des chercheurs pointent du doigt un problème concernant les cartes bancaires Visa : il est possible de récupérer la date de fin de validité, le cryptogramme visuel (CVV) et le code postal du propriétaire à partir du numéro de la carte. Interrogé, Visa explique être au courant de cette publication et donne sa version des faits.
Pour payer avec sa carte bancaire sur Internet, il faut généralement saisir trois informations (c'est du moins le cas en France) : son numéro, sa date de fin de validité et le code CVV (aussi appelé cryptogramme visuel), composé de trois chiffres au dos de la carte. Problème : d'après une étude publiée par des chercheurs de l'université de Newcastle en Angleterre, certaines informations peuvent facilement et rapidement être récupérées via une attaque par force brute.
Pour cela, les chercheurs (Mohammed Aamir Ali, Budi Arief, Martin Emms et Aad van Moorsel) expliquent qu'il faut au moins disposer du numéro d'une carte bancaire, ce qui peut être facilité par certaines fuites de données qui font la une de la presse ces derniers temps.
Le numéro de CB suffit pour obtenir date de fin de validité et code CVV
Partant de cette seule information, ils ont trouvé un moyen d'obtenir la date de fin de validité. Pour cela, ils interrogent les systèmes de paiement de différents revendeurs en ligne qui ne demandent que ces deux informations afin de valider une transaction. Ils testent alors toutes les combinaisons : décembre 2016 (12/16), janvier 2017 (01/17), février 2017 (02/17), etc. Si le système retourne une erreur, c'est que la date est mauvaise. Dans le cas contraire, c'est gagné.
Il est alors possible d'obtenir rapidement la bonne combinaison (le mois et l'année) en moins de 60 essais. L'équipe de chercheurs a pris comme limite haute une durée de validité de 5 ans pour les cartes bancaires, soit 60 mois et donc autant (ou aussi peu selon comment on regarde les choses) d'essais. Une fois la date de validité connue, ils peuvent passer à la seconde étape : récupérer de la même manière le cryptogramme visuel ou code CVV.
Pour cela, ils interrogent d'autres revendeurs qui demandent cette fois-ci le numéro de carte, la date de fin de validité ainsi que le code CVV pour valider une transaction. Ils passent alors en revue toutes les possibilités pour ce dernier, sachant qu'il n'y en a finalement qu'un millier : de 000 à 999. Cette opération peut donc être relativement rapide si elle n'est pas bloquée par les serveurs. Par une technique similaire, il est ensuite possible de récupérer le code postal du propriétaire de la carte.
Dans la vidéo ci-dessus, l'outil mis au point par les chercheurs n'a eu besoin que d'une poignée de secondes pour trouver le code CVV d'une carte bancaire à partir de son numéro et de sa date de fin de validité. Nous sommes par contre obligés de les croire sur parole sur la rapidité et sur la véracité de la solution trouvée.
Contrairement à MasterCard, Visa ne bloque pas ce genre d'attaque
Cette technique d'attaque par force brute est possible car, toujours selon les chercheurs, de nombreux sites – y compris de très gros revendeurs – n'imposent aucune limite sur le nombre d'essais, laissant ainsi d'éventuels pirates tester toutes les combinaisons possibles (et il y en a finalement assez peu).
Par exemple, une personne ne disposant que du numéro de la carte bancaire peut obtenir la date de fin de validité, puis le code CVV et enfin le code postal de son propriétaire. Pour les deux premières opérations, seules 1 060 combinaisons sont possibles car il est possible de chercher l'un puis l'autre, alors que ce nombre grimpe à 60 000 (60 x 1 000) s'il fallait trouver en même temps la date et le code CVV.
Toujours selon le constat des chercheurs, Visa ne bloque pas non plus ce genre d'attaque, ce qui est d'autant plus problématique. Une parade relativement simple à implémenter serait donc d'ajouter un nombre de tentatives maximum pour éviter une attaque par force brute. Une solution d'autant plus viable que le principal concurrent de Visa l'aurait mise en place.
L'étude indique en effet que « lorsque l'attaque est appliquée à une carte MasterCard, elle est détectée » et bloquée, y compris si les tentatives sont réparties sur plusieurs revendeurs différents. Pour l'équipe, cela signifie que « les réseaux de paiement ont la capacité de détecter et de prévenir » ce genre de tentative de piratage, au moins chez MasterCard.
Les chercheurs ajoutent avoir contacté 36 boutiques en ligne afin de leur faire part de leur découverte. 12 d'entre elles ne demandaient qu'un numéro de carte bancaire, 12 autres qui nécessitaient en plus de saisir la date de fin de validité de la carte et enfin les 12 dernières obligeaient le client à entrer le code CVV.
Seuls huit d'entre elles ont apporté des modifications suite à ce contact. Suivant les cas, la méthode utilisée est différente : ajouter un champ pour saisir le code postal en plus des autres informations, instaurer des limites pour bloquer les attaques par force brute ou un captcha, par exemple. Il n'en reste pas moins que dans la grande majorité (78 %) rien n'a changé.
Interrogé, Visa botte en touche
De notre côté, nous avons évidemment contacté Visa afin d'avoir le point de vue de la société sur la question ainsi que sur les actions qu'elle pourrait rapidement mettre en place. Si l'entreprise reconnait évidemment avoir connaissance de cette étude, ses explications restent relativement évasives :
« Cette recherche ne tient pas compte des multiples niveaux de prévention de la fraude qui existent au sein du système de paiements, chacun d'entre eux devant être respecté pour rendre une transaction possible dans le monde réel.
Visa s'engage à maintenir la fraude à un niveau bas et travaille en étroite collaboration avec les émetteurs de cartes et les acquéreurs pour rendre très difficile l'obtention et l'utilisation illégale des données des titulaires de carte. Nous fournissons aux émetteurs les données nécessaires pour prendre des décisions éclairées sur le risque des transactions. Il existe aussi des mesures que les commerçants et les émetteurs peuvent prendre pour contrecarrer les tentatives d'attaques en force.
Pour les consommateurs, la chose la plus importante à retenir est que si leur numéro de carte de paiement est utilisé frauduleusement, ils sont protégés de toute responsabilité.
Visa propose également une sécurité accrue avec Verified by Visa (basé sur la norme 3DSecure) qui offre une meilleure sécurité pour les transactions relatives au commerce électronique. Nous travaillons actuellement pour y intégrer les nouvelles spécifications 3DSecure 2.0, annoncées récemment. Lorsqu'un commerçant choisit de ne pas utiliser Verified by Visa pour une transaction sans carte, il assume le risque de fraude.
Visa se félicite des efforts déployés par l'industrie et les universités pour identifier et traiter les éventuelles vulnérabilités dans le système de paiements. Parallèlement à nos propres contrôles internes et à nos tests, cela permet à Visa et à l'industrie des paiements de rendre les paiements toujours plus sûrs »
Un rappel des protections et des risques, mais pas de plan d'action précis
Nous n'avons donc aucune réponse précise concernant d'éventuelles mesures que Visa pourrait mettre en place pour éviter ce genre d'attaque par force brute, comme le propose notamment MasterCard. S'il existe visiblement des protections permettant de « contrecarrer les tentatives d'attaques en force », elles ne sont pas détaillées et, semble-t-il, trop peu efficaces et /ou mises en place, puisque les chercheurs ont pu les contourner facilement.
Le groupe vante également son service « Verified by Visa », une protection basée sur 3D Secure qui ajoute une étape supplémentaire lors de la validation du paiement, dont la prochaine mouture 2.0 est sur les rails. Pour Visa, si un commerçant en ligne décide de ne pas utiliser cette protection pour une transaction, « il assume le risque de fraude ». Au moins, les choses sont claires pour les boutiques en ligne.
Côté utilisateur, le discours est différent puisque Visa nous explique que ses clients sont protégés contre une utilisation frauduleuse du numéro de leur carte bancaire. Dans tous les cas, activer par défaut une protection qui empêche une attaque par force brute ne pourrait être qu'une bonne chose pour Visa.
En effet, tout renforcement de la sécurité est bon à prendre, aussi bien pour les commerçants que pour les clients, mais rien n'est précisé sur ce point dans la réponse officielle de Visa. Dommage.
Commentaires (117)
#1
Les systèmes bancaires ne communiques jamais sur les protections mises en place; ils estiment que ça facilite les attaques. La réponse de VISA n’est pas étonnante.
#2
ils peuvent tester plusieurs centaines de cvv sans être bloqué, ça fait envie
#3
La réponse de Visa certifié AOP 100% pur bullshit 
" />
#4
Ce que je vais dire va peut-être paraître idiot, mais il faut disposer des chiffres d’une carte VISA pour pouvoir faire cette attaque, ce qui limite quand même l’ampleur. Bon après j’imagine que ça peut servir dans le cas des piratages, même si les attaquants ne récupèrent que les chiffres, ils sont alors en mesure de générer des informations manquantes.
#5
“C’est pas grave on rembourse”.
" />
Le monde actuel est vraiment génial… Entre ça et la norme SEPA permettant le prélèvement de base si la banque ne met pas en place une liste blanche (c’est au choix de la banque… Black list ou autre ou rien… ).
#6
Pour résumer :
Et la réponse de VISA, du bon gros “la sécurité par le secret et à la dissimulation des protections”. Faut arrêter les gens, le seul critère qui vaille c’est le coût annuel de la fraude.
Tant qu’il n’est pas trop important, rien ne changera.
Bref, il ne reste que le 3D secure et l’association avec un numéro de téléphone. De l’authentification en deux étapes en somme.
#7
Il faudrait aussi préciser que pour la plupart des paiements en ligne il y a un système de code envoyé par SMS. C’est ce que j’ai lorsque je réalise un paiement avec ma carte Visa. Donc la personne a beau disposé du CVV, la finalisation du paiement est impossible.
#8
La confirmation par SMS, c’est comme les antibiotiques : c’est pas automatique.
#9
J’ai jamais vraiment compris l’intérêt de cette histoire de 3D secure… C’est bien au choix du site marchand non ? Y’a plein de sites ou on peut payer sans … Du coup l’intérêt est super limité
#10
Ça conforte bien l’idée qu’ils s’en foutent royalement de la sécurité. C’était déjà les mêmes réponses avec les puces sans contact.
Et ce ne sont pas les banques qui vont demander quoi que ce soit, déjà quand tu demandes une carte sans puce sans contact, ils te prennent clairement pour un paranoïaque, avec les mêmes réponses que Visa “mais il y a des assurances monsieur”.
#11
#12
90% des sites sur lesquels je paie n’utilisent PAS le 3D Secure. Il s’agit d’une protection uniquement en France, rencontré sur deux-trois sites en ce qui me concerne : la cantine du boulot (lol), Darty et un site d’e-cig. Amazon, y’a pas, ebay non plus, Airbnb encore moins, etc.
#13
#14
Pour la banque postale, les paiement en ligne doivent être validé par une application spécialement prévu si on à opter pour cela au lieu du sms, protégé par un mots de passe de 5 chiffres (peut mieux faire, je pense, mais déjà un bon début).
#15
C’est exactement ça….
ça n’est pas vraiment une sécurité, tant qu’il existera des sites ou on peut payer sans….
Reste l-e-carte bleue mais qui n’est pas supportée partout (et reste à voir si réellement c’est sécurisé?)….
#16
Pour tout ceux reprenant mon commentaire de la validation par SMS (3D secure). Oui je sais bien que ce n’est pas disponible de partout. Mais justement mon commentaire était la pour souligné qu’il existait une solution peu complexe pour contrer les attaques détaillées dans l’article. Sion avait une meilleure législation pour sécurisé les paiements en ligne ça serait pas mal.
Et contrairement à certains commentaires précédents la 3D secure est disponible sur des sites autres que français. J’en ai fait l’expérience il y a 10 jours pour acheter des billets d’avions sur un site anglophone.
#17
ben c’est le top du top la ecard.
tu limites à ta guise le montant dispo dessus, la durée de validité de la carte…
ceci dit ça dépend des banques.
visiblement certaines préfèrent s’assurer, on se demande pourquoi…
#18
Les systèmes bancaires ne communiquent pas sur leurs protections vu qu’ils n’en ont que très peu et préfèrent rembourser les clients car ca “coute moins cher”.
3D secure l’implémentation actuelle est catastrophique certaines banques utilisent flash pour ça (lol ?). Et bizarrement lorsque que le deuxième facteur est abordé avec les banques elles fuyent le dialogue.
#19
Ça, je confirme, j’aimerais tellement avoir cette ‘option’ qui ne devrait même pas en être une…
J’ai demandé à ma banque si je pouvais en bénéficier (ils en font la pub sur leur site principal) et la réponse est extraordinaire : “Non, ce n’est pas possible, notre filiale régionale n’a pas mis en œuvre un tel système. Et puis avec la vérification en 2 étapes, vous êtes tranquille.”.
Ça me donne juste envie de cramer ma conseillère. En même temps, la pauvre, elle tourne sous windows XP. Donc je ne peux pas trop lui en vouloir.
Et effectivement, est-ce que 3D Secure est mis en place au bon vouloir des sites? Car il y en a un paquet qui ne l’implémente pas…
#20
#21
Je ne sais pas si ça a changé, mais à une époque, si le commerçant voulait le 3D secure, c’était un peu plus cher.
Ce que je ne sais pas, c’est si ça protégeait le commerçant en cas d’achat frauduleux, car ce n’est pas le cas sans 3D secure (achat frauduleux en vente à distance, c’est le commerçant qui rembourse).
#22
Les chargés de communication des entreprises doivent être payés pour répondre spécifiquement à côté de la plaque…
" /> Y’a pas un seul élément de réponse pertinent à la question posée dans ce pavé dithyrambique !
#23
Il existe des sites ou ça ne passe pas, chez kobo à moment donné ça ne passait pas/plus, je n’ai pas retesté depuis, mais la dernière fois ça ne passait pas.
Il faut que je vérifie si c’était juste un pb temporaire ou si c’est suite à leur mise à jour de site internet.
Sur la fnac idem, si tu choisis plusieurs vendeurs, ou si tu prends des vendeurs tiers ça peut ne pas passer (e-carte bleue disparait).
Bref ça existe toujours.
#24
Vivement le E-coin
" />
#25
Le Bullshit de Visa, on s’en contrefout…
" />
Ça ne m’étonne pas d’eux, ils sont là pour faire du fric point barre. Quand la fraude coutera plus cher que ce que leur rapporte les assurances obligatoires et autres, ils se bougeront les fesses. Dans l’immédiat, les gagnants c’est eux et nous somme encore les dindons de la farce qui raquons à leur place.
#26
Au-delà de la possible récupération de numéros via BDD piratées, il est très simple de recréer un numéro de carte VIsa en utilisant les algorithmes de vérification de numéro de carte. Ça te fait un numéro aléatoire, c’est sûr, mais tu peux ensuite le tester via les systèmes présentés ci-dessus. Ensuite, par ici la monnaie ;) Pensée spéciale au mec qui verra son compte débité même en n’ayant jamais acheté quoique ce soit sur Internet !
Donc pour moi ça reste une faille très regrettable..
#27
J’ai un code à valider avec ma Visa pour finaliste un paiement en ligne.
#28
#29
Bien content de payer par PayPal quand c’est possible :)
#30
Ca m’étonnerait que qqun réserve ou paye un séjour AirBnB avec un numéro volé…pas très discret ;)
Par contre l’autre jour j’ai passé 2 commandes sur price minister.
La 1ere avec 3D Secure avec ma carte mastercard, j’ai reçu le code immédiatement.
La 2ieme avec 3D secure verified By Visa et de 22h à minuit pas moyen d’obtenir le code…
Un pauvre SMS est tombé à 1h12 quand j’étais dans les bras de morphée…
Le lendemain vers 8h ça a remarché normalement.
#31
Pourquoi répéter cette affirmation erronée ?
Cela protège les commerçants qui l’utilisent. Les autres préfèrent la facilité de paiement à la sécurité, c’est leur choix.
Le client est de toute façon protégé en France que Verified by Visa soit utilisé ou non.
#32
Depuis pas mal de temps j’utilise une solution qui semble plutot bien secure (si le site ne prend pas la e-carte bleu)
Je suis à la banque postale et en plus de ma CB liée à mon compte bancaire, j’ai pris un CB rechargeable.
Je peux rechargée cette carte instantanément depuis mon compte bancaire en ligne.
Pour mes achat en ligne en ligne:
- je regarde de quel montant j’ai besoin
- je recharge la CB rechargeable avec ce montant
- je fais mon achat en ligne.
Je ne l’utilise que pour ça et en dehors des achats il ne reste pas plus de 2 ou 3 eur sur cette carte.
Il n’est pas possible de faire des achat supérieur à la somme qu’il y a sur la carte
Donc si elle vient à être piratée je ne risque pas grand chose
#33
Visa nous explique que ses clients sont protégés contre une utilisation frauduleuse du numéro de leur carte bancaire
Ce qui n’empêche pas certaines banques (la banque postale par exemple) de vendre des assurances pour protéger ce risque… les voleurs en cols blanc agissent en toute impunité en France
#34
#35
“Pour les consommateurs, la chose la plus importante à retenir est que si leur numéro de carte de paiement est utilisé frauduleusement, ils sont protégés de toute responsabilité.”
Oui oui, sans doute.
Après, pour avoir vu mon compte courant vidé deux fois par utilisation frauduleuse de ma CB, je vous jure, c’est pas rigolo et bien la galère.
Déclaration à la cellule fraude de la banque, il faut montrer patte blanche. Inutile de porter plainte, “c’est à la banque que l’argent a été volé Monsieur, ce n’est pas le votre”. Ah ok, alors crédite mon compte : “ah non non, on verra”.
Puis, un petit matin, vous recevez un courrier de la banque indiquant qu’elle veut bien croire à votre petite histoire et vous rembourse alors… quelques semaines après.
Il faut se battre pour se voir rembourser les frais de gestion (paiement réalisé à l’étranger) et le coût de la nouvelle CB, c’est pour notre pomme.
Tout ça côté caisse d’épargne. Je passe quelques détails croustillant.
#36
Pour Visa, si un commerçant en ligne décide de ne pas utiliser cette protection pour une transaction, « il assume le risque de fraude ».
Comment ça? Il s’en fout le commerçant, il est payé, et c’est les banques qui remboursent le titulaire de la carte piratée.
#37
il est possible de récupérer la date de fin de validité, le cryptogramme visuel (CVV) et l’adresse du propriétaire à partir du numéro de la carte.
C’est le code postal que vous appelez “l’adresse du propriétaire” ?
#38
#39
Ma banque propose liste blanche et liste noire mais ma conseillère est inpacable de me dire comment on y accède
#40
J’ai le ressenti que Visa n’a pas pris en compte l’attaque par force brute car cela coûte.
Et la réponse de Visa pour les commerçant c’est vraiment bas: si vous payez pour le service premium vous étés tout nul. C’est limite une menace.
Les pouvoirs publics devrait imposer à Visa de protéger contre l’attaque par force sans surfrait pour les commerçants.
#41
Avec 3D Secure, je ne sais pas, mais avant que ça existe, dans le cas d’une vente à distance, si le client déclarait sa carte bancaire volée, le commerçant remboursait la banque…enfin le possesseur de la carte.
#42
Tu ne peux pas avoir les deux….
C’est l’un ou l’autre.
En gros, soit la banque fonctionne par “liste blanche”, c’est la meilleure méthode, c’est à dire qu’il faut rajouter la banque qui pourra te prélever. Sans ça tout est refusé. (si tu enlèves une personnes de la liste blanche elle ne peut plus prélever)
Soit elle fonctionne par liste noire, et dans ce cas, c’est à l’nverse, tu ne peux que préciser ceux que tu ne veux pas voir prélever, et par défaut c’est oui… Donc tu dois passer ton temps à regarder quels vont être les prélèvement, et les refuser….
C’est la superbe idée du SEPA, aucune obligation de liste blanche, c’est au bon vouloir de la banque….
#43
Oui c’est bien ce qui m’énerve le plus dans leur réponse à base de : “Ouais mais le client, il s’en fout il est assuré” c’est que après il faut se les taper ces “assureurs” (Je mettrais bien des gros mots, mais bon…) et on sait tous comment ça se passe.
#44
Avant 3D Secure: Non. C’est la banque qui paye. Le commerçant n’y est pour rien, si le prestataire a autorisé le paiement, ce n’est plus son problème. Je ne sais pas si la banque se retournait ensuite contre le prestataire.
Après: je ne sais pas. Il y a peut-être une clause dans le contrat entre le prestataire et le commerçant qui dit que si ce dernier ne met pas en place les prestations existantes, il est tenu de rembourser en cas de fraude. C’est ça que je demandais.
#45
#46
“le seul critère qui vaille c’est le coût annuel de la fraude.
" />
Tant qu’il n’est pas trop important, rien ne changera.”
As tu accès à cette donnée ?
Moi pas.
Mais je suis maintenant intimement sure que nous assistons (en aveugle pour 99% des citoyens du monde) à la plus grosse escroquerie et arnaque de tout les temps au niveau des mouvements et de la création de la richesse via des capitaux informatisés … avec lesquelles ont achète des châteaux , des aéroports … des pays entier (Grèce) !
Le système fiancier est devenu virtuel, encore un peu d’IA et d’algo. totalement créer par les robots et nous ne saurons même plus qui fait quoi , ou vont les sommes … virtuelles etc.
Le saviez-vous :
http://www.musee-chateau-fontainebleau.fr/Le-theatre-de-Napoleon-III
devenu :
Le théâtre Impérial - Théâtre Cheikh Khalifa bin Zayed Al Nahyan
L’équipe de foot des Girondins de Bordeaux, depuis qu’elle a quitté le parc Lescure (ou stade Jacques Chaban-Delmas), joue désormais au … Stade Matmut-Atlantique…
Palais omnisport PAris Bercy ….
http://www.telerama.fr/monde/l-accorhotels-arena-ex-bercy-un-cas-d-ecole-du-nami…
http://www.liberation.fr/debats/2016/11/30/quand-les-multinationales-forcent-la-…
… bientôt notre pays sera à vendre !!!! si ce n’est déjà pas le cas !!!
… racheté par des masses financière virtuelles … dont rien nous prouve qu’elles ont été créée par le labeur … la valeur travail !
#47
+1
#48
#49
Visa fait de la bonne pub pour le chèque au final
" />
#50
Gaffe à la “non responsabilité” en cas de fraude VISA. J’explicitement refusé de passer ma VISA de mon ancienne banque en 3D Secure, les CGV mentionnants que je devenais responsable SAUF SI je démontrais la fraude (qui n’avait donc pas eu lieu depuis mon ordi). Les CGV ont été re modifié qqs années plus tard, mais lisez vos CGV, même si elles sont hors la loi, en cas de pépin ca va pas être le moment d’aller voir le juge.
#51
#52
#53
Coût de la carte de crédit, frais de fonctionnement des banques, …
Il est possible de ne pas payer les cartes de crédit en fonction des banques mais c’est quand même de plus en plus difficile de nos jours.
#54
Dans le cas d’un abonnement par exemple.
Je crois que pour tout ce qui est prélèvement mensuel, la e-carte ça marche pas.
#55
#56
#57
#58
#59
Bah non je suis désolé mais ce n’est pas logique!
Que le prélèvement soit mis en attente de validation, te soit notifié c’est normal, mais qu’en cas de non réponse au delà de X j (la durée convenable étant à choisir), il devrait être refusé par défaut.
Si tu pars en vacance à l’étranger sans connexion ni téléphone tu fais comment pour refuser ce qui arrive???? Super pratique…. c’est justement le principe de la blacklist tout est autorisé de base, et faut refuser, c’est juste honteux!
Avec une telle logique on en arrive à avoir des associations dont le trésorier passe sa vie à refuser des demandes de prélèvement provenant de l’étranger.
bah oui pour faire des dons faut donner ses infos pour une assos, et du coup ben certains s’en servent pour faire des demandes de prélèvement….
Par défaut ça devrait être interdit et à toi de valider, comme c’était “normalement” le cas avant, sauf que tu allais donner ton papier d’autorisation de prélèvement à la banque…. (certaines banques acceptaient le prélèvement sans autorisation déjà d’ailleurs… )
Mais bon c’est le monde actuel, faut que ça soit facile et pas sécurisé, c’est tellement génial… (comme le paiement sans contact and co tien… )
#60
3D Secure… Comment dire… Peu de sites l’utilisent, et si on ne reçoit pas le SMS il suffit d’entrer sa date de naissance
" />
#61
#62
Je pense que le coût de fonctionnement est largement payé par la commission que les banques prennent sur chaque transaction. Sans parler du fait que ça leur coute bien moins cher que le traitement des chèques…qui sont gratuits en contrepartie d’avoir 0% d’intérêt sur les comptes courants.
#63
#64
#65
#66
?? Désolé, je comprend encore moins..
#67
J’utilise le terme carte de crédit au lieu de carte bleue, carte de débit.
C’est normal bien sûr que l’on paye un service mais il ne faut pas se leurrer et les banques intègrent le coût des fraudes dans leur frais de fonctionnement (perte et profit).
C’est surtout l’attitude de Visa qui est anormale dans cette histoire…
#68
#69
#70
#71
#72
Euh … Sérieux encore XP ?
#73
C’est valable à la SoGen aussi (souci d’une collègues qui s’est fait avoir de la même manière). Ce n’est pas spécifique à la CE ça.
A propos de la CE, ils sont passés sur le système de liste blanche depuis un petit moment pour les virement SEPA.
#74
Peut-être bien, j’imagine que ce n’est pas spécifique à une enseigne.
J’ai simplement voulu préciser l’organisme bancaire pour anticiper les éventuelles questions.
#75
#76
C’est marrant, on m’a toujours dit que sur les questions de sécurité, il faut avoir une réponse en cas d’erreur qui n’indique pas quel est le problème mais juste que ça ne passe pas !
Bon, ça ferait 60k possibilités à peu près, mais c’est mieux comme test pour se donner de la marge quand ça y va à la force brute en face.
Un humain fera peut-être 100 essais s’il est très persévérant, mais au delà, on se doute bien que c’est une machine. Passer de 60 et 1000 à 60000, c’est mieux.
Mais une autre base de sécurité contre la force brute, c’est d’avoir un délai avant d’avoir le droit de réessayer !
Limiter la vitesse de la force brute c’est toujours une bonne idée.
Avec tout ça, on passerait de quelques secondes à 600000 (un délai de 10 secondes entre chaque, ça fait une semaine) secondes pour tester toutes les combinaisons ! C’est ridiculement simple comme fonctionnement et ça donne le temps de réagir à une attaque.
Et au pire, on peut faire cette limitation en la liant à la zone géographique, histoire que s’ils détectent de la force brute à l’autre bout du monde, tu puisses encore passer ton paiement valide en étant chez toi. Tant que le délai de réussite est toujours de quelques heures, ça donne le temps de réagir.
#77
J’aimerais te dire que je blague, mais non… Oui je suis tombé sur le cul aussi quand j’ai vu ça. Bon je suppose que la mise à niveau est dans les tubes, mais quand même…
#78
#79
#80
il suffirait de demander le nom du propriétaire de la carte, c’ est déjà cas sur certains sites.
#81
#82
Woaw ! Quelle banque ?
" />
#83
Tenez si ça intéresse : sur Amazon le cryptogramme visuel n’était pas obligatoire la dernière fois que j’ai essayé, le mois dernier.
" />
Passez commande, et mettez un cryptogramme au pif, et ça passe.
EDIT : avec une MasterCard.
#84
#85
Les banques font de sacrées marges sur les transactions CB (et Visa/MasterCard aussi), pas d’inquiétude pour elles ! C’est d’ailleurs comme ça que se rémunèrent les banques en ligne avec CB gratuite, sur les transactions, car sinon, comment feraient-elles pour subsister ?
Donc oui, ce que rapportent les cotisations annuelles des CB est dérisoire comparé à la commission sur les transactions. Les rendre gratuites n’a donc rien de déconnant, et ça fonctionne déjà !
#86
#87
ok , je vois.
#88
#89
#90
J’ai bien lu oui (mais peut être pas compris
" />)
Je pense que lorsque Floutchito déclare “c’est exactement ça”, il parle bien du fait que tant que la fraude ne pèse pas plus, rien ne sera fait (c’est schématique là, un peu plus complexe que ça, on est d’accord).
D’où mon interrogation au sujet de ton retour où tu indiques que “pas du tout”.
#91
Alors oui en gros suis d’accord avec ta citation à 19 h ; après, si la minorité de clients qui doivent faire des démarches (de remboursement suite aux fraudes) se mettent à se plaindre plus fort, les banques et les émetteurs (Visa, Mastercard, etc.) évolueront peut-être plus.
#92
#93
Le 3D Secure est payé par le commerçant dans son abonnement.
" />
Tu en paies une partie à chacun de tes achats.
Visa: On est vulnérable à une brute force,
prenez donc notre protection.
Ca ressemble étrangement au racket de la Mafia.
#94
#95
De toutes façons, ces attaques vont devenir obsolètes avec les nouvelles cartes: http://www.rtl.fr/culture/futur/une-cryptogramme-qui-change-toutes-les-heures-su…
" />
Ils trouveront bien autre chose
#96
Concernant Amazon ou d’autres sites de ce type, la carte bancaire lorsqu’elle est mémorisée ne permet de ne faire livrer qu’à une adresse enregistrée… en ajoutant une adresse, il faut se reconnecter et donc il est vivement conseillé d’activer la connexion en 2 étapes sur Amazon (par SMS ou Google Authenticator). Le risque est donc tout de même pas mal réduit. Pour PayPal, c’est la même chose concernant l’authentification en 2 étapes (sauf qu’ils ne supportent pas G. Authenticator mais une autre solution de chez … Norton).
Pour l’activer sur Amazon :
http://www.nextinpact.com/news/97389-amazon-propose-double-authentification-comment-activer-en-france.htm
#97
#98
#99
Le site web parle des 2:https://www.caisse-epargne.fr/particuliers/au-quotidien/conseil-prelevement-sepa
Mais je le répète dans les faits les conseillers sont incapables de te dire comme l’activer l’une ou l’autre.
#100
Je partage ton ressenti: nommer des stades ou autres lieu public avec des noms de marque me laisse nauséeux.
#101
Chez la caisse d’epargne pas d’alerte mail quand on a un nouveau préléveur. Par contre on peut l’annuler en un clic, mais ma conseillère ‘a appelé pour savoir pourquoi et elle a insisté pour que je revienne sur ma décision.
#102
Le TAFTA et autres conneries (créés et voulus par on sait qui …) sont la pour marchandiser l’humain , un pur produit markéting … un marché … planétaire le rêve des commerciaux NO LIMITS !
Enfin moi j’ai compris le plan qui se trime au niveau planétaire.
Libre à celui qui veut de s’informer et comprendre de réfléchir !
#103
Pas besoin de force brute, un peu d’astuce suffit.
Arrivé à un ami en Allemagne cet été:
le garçon de café disparaît quelques instant et réapparaît avec la CB
Quelques jours après, mon ami voit un débit sur son compte, après enquête de la banque, un beau téléphone a été acheté avec sa carte ! En Allemagne! Surprise….. opposition, demande de nouvelle carte etc etc
Et des vacances sans carte bancaire: pas pratique :-((
La banque à payé le débit, mais ça fait ch…..
On suppose que deux photos prises discrètement ont suffit pour acheter ensuite.
NE JAMAIS perdre sa CB de vue !
#104
AH tu dois avoir le choix du mode dans ce cas….
MAis bon perso je ne vois pas qui pourrait vouloir le mode liste noire….
#105
Alors 3D Secure, ça dépend de la banque. Au Royaume-Uni, on n’envoie pas un code par SMS (ça fait trop an 2000), mais on demande de mettre en place un mot de passe lors du premier paiement, et on demande 3 caractères au hasard de ce mot de passe lors des paiements suivants. Donc si la carte volée n’a jamais été utilisée avec 3D Secure, elle est vulnérable.
" />). Malheureusement, ces solutions ne sont pas encore complètement dispo (Plastc ne fonctionne pas encore avec la puce et les données sont stockées aux US ; Curve est encore officiellement limitée aux autoentrepreneurs, même s’ils ne vérifient pas), et ne règlent pas le problème des paiements sur Internet. Mais c’est prometteur.
Mieux encore, j’ai récemment changé de banque, et maintenant même quand je vois l’encart 3D Secure, on ne m’a encore jamais demandé de mot de passe (en fait, la banque peut décider de demander une authentification du porteur ou pas, en fonction du degré de suspicion de la transaction). Par contre, je me suis déjà retrouvé avec ma carte de crédit bloquée à cause de mes paiements sur Internet en France et au Japon. Mais bon service, je les ai appelés un dimanche matin, et ma carte a été débloquée en moins de 5 minutes.
Quant à ne jamais perdre de vue ma carte, il-y-a des endroits où c’est très difficile. Le première fois que j’ai payé le resto à Hong Kong, ma belle famille m’a pris pour un fou parce que je commençais à paniquer de voir le serveur se barrer avec ma carte pour le paiement (bande magnétique). Il est revenu 2 minutes plus tard avec le reçu à signer (bon, après, j’ai pas eu de problème non plus). Au bout de quelques années, ils ne me prennent plus pour un fou et comprennent ma réaction, mais c’est pas toujours évident.
C’est pour ça que les projets comme Platc et Curve me plaisent pas mal. Tu pars en voyage avec tes cartes originales, mais elles restent dans le coffre fort de la chambre d’hôtel, et tu ne sors qu’avec la carte Plastc ou Curve. Comme ça, tu la perds ou tu te la fais voler : pas de problème, les originales sont encore là, et l’autre carte est désactivée immédiatement via l’app du téléphone (au prochain point d’accès
#106
En fonction du niveau de services souscrit par la banque, l’abonnement est possible avec e-carte bleue.
#107
de quoi redonner encore plus d’intérêt à @NeedAdebitCard
" /> !!
#108
Article intéressant, réponse de Visa édifiante mais quand même un petit malaise : décrire de manière aussi détaillée ce mécanisme pourrait donner des idées à quelque malfaisant. Liberté et responsabilité, toujours ce vieux débat… mais vieux ne veut pas dire con. Pas toujours.
#109
et ne jamais donner sa carte à un commerçant.
#110
tiens j’ai raté cette news hier.. Pas rassurant.
" /> mais bon ça garantit pas grand chose.
En changeant de banque je suis passé de MasterCard à Visa, et inconsciemment j’ai toujours préféré MasterCard
#111
#112
#113
#114
A ce niveau la tout est contourné par social engineering.
#115
Si je ne cite pas l’ensemble du commentaire, on ne peut pas comprendre que je fais référence au commentaire de @linkin623 lorsque je dis “C’est exactement ça.”.
" />
Quand on lit le commentaire complet (le dispositif des Mastercard et Visa pour se rémunérer) il me semble qu’on comprend assez bien l’esprit du com’, a savoir que j’appuie les propos de @linkin623, et non pas ceux de @ledufakademy.
Mais je me suis peut-être mal exprimé.
Bref….
#116
Avant 3D secure, les commerces en ligne étaient déjà paranos parce que justement les fraudes comptaient en perte sèche. Je me rappelle avoir dû envoyer une photocopie de carte d’identité et un chèque barré à une société de vérification alors que j’étais un client régulier.
Alors dans ma boîte une opposition CB (sans 3D secure) ça se passe comme ça : la banque qui gère nos comptes traite l’opposition et restitue l’argent (à la banque de la CB probablement), puis on reçoit un courrier disant la carte no xxxx a été opposée et que le montant de la transaction nous a été débité. A partir de là, on peut porter plainte contre l’auteur de la fraude s’il est identifiable pour récupérer l’argent. Pour de petits montants, ça ne vaut pas le coup. Dans le cas d’un prestataire qui valide les transactions, leur rôle le plus probable, si fraude il y a, est de porter plainte et envoyer les huissiers pour recouvrir la somme. (vu qu’en amont le prestataire a demandé les papiers d’identité etc.)
#117