Protection de la carte bancaire : et si le problème n'était pas que dans le monde numérique ?

Protection de la carte bancaire : et si le problème n’était pas que dans le monde numérique ?

Vers des formulaires papier over TLS ?

Avatar de l'auteur
David Legrand

Publié dans

Internet

20/11/2017 6 minutes
171

Protection de la carte bancaire : et si le problème n'était pas que dans le monde numérique ?

Si certains ont encore parfois peur de se faire pirater leurs informations de paiement lors d'un achat en ligne, il est plus rare de voir des utilisateurs se méfier lorsqu'un commerçant ou un téléconseiller leur demande la transmission d'une telle information. C'est pourtant bien plus risqué.

Avec la montée en puissance de la vente en ligne à coup de « 1-click » et des services de paiement ou de transfert d'argent nouvelle génération, un élément devient de plus en plus crucial à protéger : les informations relatives à votre carte bancaire.

Les dispositifs en place sont plutôt bons en la matière, et la fraude à un niveau assez bas. Ainsi, ce ne sont le plus souvent pas les informations de votre carte qui sont stockées par les sites, mais un simple « jeton » (ou token) lié à une autorisation qui peut être révoquée. Et ceux qui utilisent ce genre d'outils sont soumis aux normes PCI-DSS.

En ligne, des règles claires

 

De son côté, la CNIL dispose depuis des années de recommandations claires sur ce qu'il est possible de faire ou non. La semaine dernière, elle a publié un rappel sur le sujet suite à une délibération intervenue cet été. Elle y précise que le numéro de la carte, la date d'expiration et le cryptogramme visuel ne doivent être conservés au-delà de la transaction.

Il y a bien sûr des exceptions possibles, comme en cas d'abonnement à tacite reconduction, ou la facilitation des achats ultérieurs si le client a exprimé son consentement qui « doit prendre la forme d'un acte de volonté explicite, par exemple au moyen d'une case à cocher et non pré-cochée par défaut ». Dans tous les cas « la conservation du cryptogramme est interdite après la réalisation de la première transaction ».

La Commission nous a confirmé qu'elle ne reconnaissait pas les données bancaires comme des données dites sensibles. Il s'agit néanmoins d'une donnée à caractère personnelle puisque la loi informatique et libertés dispose dans son article 2 que cela concerne « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ». 

Un guide datant de fin 2016 est également disponible : Commerce et données personnelles.

CNIL Achat en ligne

IRL, vos données de carte bancaire en mode YOLO

Contrairement à ce que l'on pense, c'est dans le monde physique que les choses se gâtent. Si une fuite en ligne peut rapidement être massive, une attaque « In Real Life » (IRL) est plus limitée, mais aussi bien plus simple.

L'un des dangers identifiés est celui du paiement sans contact, à travers une carte bancaire ou un smartphone. Très bavard au départ, ce dispositif a été largement renforcé ces dernières années. Mais comme l'a encore montré récemment le blogueur Numendil, c'est loin d'être parfait.

Avec un bon équipement, ou même une simple application Android, on peut encore récolter quelques informations qui peuvent être utiles depuis une carte de paiement qui est constamment accessible, contrairement à une application de paiement sur smartphone qui doit être activée.

Mais il y a encore bien pire que cela, et l'on rencontre encore couramment des pratiques qui n'ont pas lieu d'être en 2017. Il fût un temps où l'on passait les cartes bancaires dans des « presses » afin d'en effectuer une empreinte carbone. Une période révolue ? Pas tant que cela.

Hôtels, achat par correspondance, centres d'appel : CB partout, protection nulle part

Ceux qui vont couramment dans des hôtels en dehors des grandes chaînes savent qu'il est souvent demandé de fournir une carte au moment du « Check-in ». Et là, les informations de la cartes sont parfois stockées directement dans la base de données client ou même simplement écrites sur une fiche papier.

Ce, alors que les TPE prennent parfaitement en charge l'empreinte bancaire permettant aux commerçants de se couvrir en cas de problème. Et sur le sujet, il est bien plus difficile de trouver la trace de recommandations de la CNIL, ou même de savoir si elle effectue concrètement des vérifications sur les procédures de paiement des commerçants.

Un conseil, donc, si vous allez souvent d'un hôtel à un autre : pensez à utiliser une carte de paiement secondaire à autorisation systématique, sur laquelle vous laissez assez peu de fonds. En cas de problème, le risque sera ainsi limité.

Cette pratique se retrouve d'ailleurs dans d'autres secteurs que l'hôtellerie. Pour l'abonnement à la presse papier, ou l'achats de produits par catalogue, on retrouve encore souvent des formulaires proposant au client d'inscrire les informations de sa carte bancaire. Des informations qui seront protégées par une simple enveloppe lors du transport.

Abonnement Magazine CB

Parfois, c'est au téléphone que l'employé du centre d'appel d'un organisme de crédit ou d'une société vous proposera de lui donner les informations de votre carte bancaire. Qui vous assurera qu'il ne le met pas de côté pour une utilisation ultérieure ? Rien, si ce n'est le risque de se faire prendre par son employeur.

On se demande alors à quoi cela peut bien servir de mettre en place des solutions de chiffrement comme TLS si c'est pour au final transmettre ce genre de données dans un simple courrier ou au téléphone. Surtout qu'en cas de problème, il sera bien compliqué d'identifier la fuite de manière certaine.

La protection des données de paiement doit être assurée partout

Bref, s'il est important de sécuriser le partage des données bancaires en ligne et de renforcer le niveau de sécurité dans le domaine du paiement, notamment à l'heure où le smartphone devient un outil de plus en plus utilisé, il faut aussi ne pas oublier de regarder plus près de nous, dans notre quotidien.

Car tant que la sécurité de l'utilisateur reposera sur quelques chiffres présents sur une carte plastique, qu'on lui demande de partager parfois sans assurer le moindre niveau de protection, toutes ces mesures deviendront inutiles. C'est toujours sur le maillon le plus faible de la chaîne que les attaquants portent leurs coups. 

Certes, en cas de fuite, l'utilisateur est protégé par la législation et peut de plus en plus facilement faire renouveler sa carte. Des mesures comme 3D Secure sont également parfois mises en place par les commerçants. Mais celle-ci n'est pas systématique et pose encore trop souvent des problèmes. Surtout lors des périodes commerciales intenses comme le Black Friday ou les les soldes.

Mais il s'agit là d'une autre histoire, que nous aurons sans doute l'occasion d'évoquer dans un prochain édito.

171

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

En ligne, des règles claires

IRL, vos données de carte bancaire en mode YOLO

Hôtels, achat par correspondance, centres d'appel : CB partout, protection nulle part

La protection des données de paiement doit être assurée partout

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (171)


C’est clair que les sites comme booking qui filent les numéros de CB en clair avec le CVV c’est franchement nul.



D’autant qu’ils peuvent simplement donner les dernier chiffres pour être sur de la CB utilisée.



Bon après ma boite me paye une Gold, c’est pas mon assurance, mais c’est vraiment YOLO la gestion des CB…


sinon pour les hôtels, il y a la réservation en ligne


Oui, mais quand tu arrives on te demande une trace CB quand même ;) Cela peut se faire avec le TPE mais comme dit il y a encore pas mal de cas où ça se fait “à l’ancienne”


Pour les paiements en ligne, il est fortement conseillé d’utiliser des moyens temporaires de type eCarte Bleue.

Au moins, même s’il y perte ou vol les informations de la eCB sont soient expirées soient le plafond est atteint.

Par contre, il y a des sites qui bloquent le paiement par eCB, dans ce cas je passe mon chemin.








David_L a écrit :



Oui, mais quand tu arrives on te demande une trace CB quand même ;) Cela peut se faire avec le TPE mais comme dit il y a encore pas mal de cas où ça se fait “à l’ancienne”







autant pour moi, je pensait que ce genre de pratique c’était comme le rail à carte bleue, finit depuis longtemps



pour le sans contact, étui blindé <img data-src=" />



(bon c’est plus histoire d’avoir un étui résistant pour ma part, le simple machin fourni par la banque ne la protège que très mal, et je transporte souvent juste la carte dans ma poche <img data-src=" /> )








StephaneGames a écrit :



Pour les paiements en ligne, il est fortement conseillé d’utiliser des moyens temporaires de type eCarte Bleue.&nbsp;







Ou utiliser cartes type N26, y’a moyen de bloquer le paiement en ligne et de l’activer qu’au besoin.



Tu peux aussi demander à ta banque de désactiver le sans-contact, c’est plus efficace (voir trop pour certain·e·s).








piwi82 a écrit :



Tu peux aussi demander à ta banque de désactiver le sans-contact, c’est plus efficace (voir trop pour certain·e·s).





j’ai fini par m’en servir en fait <img data-src=" />



essayez de recharger une carte prépayé sfr par téléphone, si votre voisin n’a pas vu tous les chiffres que vous avez tapé sur votre clavier car vous êtes parano, le serveur vocal vous redonne lentement et distinctement toute votre saisi… sympa quand on sait la discrétion des hauts parleurs de téléphones…



&nbsp;


Et les loueurs de véhicules, les hôtels low-cost, les sites de crowdfunding qui :





  • utilisent le numéro de CB comme identifiant&nbsp;

  • ponctionnent éventuellement des sommes à leur convenance comme un dépôt de garantie ou un dédommagement suite à la constatation arbitraire d’une dégradation



    Personnellement, n’ayant pas de gros revenus, les paiements se font avec&nbsp;contact et après négociation du débit de la CB avec le commerçant, par carte à autorisation systématique (Electron/Maestro). Par ailleurs, je recherche une CB prépayée rechargeable qui permette les retraits d’espèces à moindre frais. J’aime calculer a priori ce que je dépense et je n’aime pas laisser le commerçant décider unilatéralement de ce qu’il souhaite me prélevé.&nbsp;



    &nbsp;(j’ai tout de même un abonnement récurrent chez Netflix, mais je sais que le paiement ne passera pas si la somme dépasse mon solde bancaire)



    NB: mobile.free.fr n’accepte pas les cartes à autorisation systématique (je dis ça, je dis rien…)


“Avec un bon équipement, ou même une simple application Android, on peut

encore récolter quelques informations qui peuvent être utiles depuis une

carte de paiement qui est constamment accessible”



Récemment Youtube (Google play?) m’a demandé mon numéro de carte pour payer, et a sû lire le numéro de la carte grâce au NFC, c’est pratique mais en effet pas très rassurant.








joma74fr a écrit :









avec l’accent parisien : j’dis ça, j’dis rien&nbsp;<img data-src=" />



Je pense que la banque ne désactive pas le «sans contact», elle désactive le paiement de ce «sans contact».

La nuance est que les informations sont lisibles tout de même.



En France, les banques ont réussi à l’imposer en disant que c’était comme ça, «mais ont peut le désactiver».



Monéo a été un échec mais cette fois-ci, ils sont bien partit pour gagner.








joma74fr a écrit :



avec l’accent parisien :https://youtu.be/wYFQJSrIo88?t=47] j’dis ça, j’dis rien <img data-src=" />[/url]





:oui2:



Si quelqu’un connaît une banque qui propose encore une carte de paiement dépourvue de NFC je suis preneur; merci.


De mon expérience personnelle, Caisse d’Epargne et Crédit Agricole ne proposent pas dans leur catalogue des cartes sans NFC, mais en demandant une telle carte au RDV avec le conseiller, ils peuvent encore en fournir. En gros, ils ne les vendent pas, n’en parlent pas, mais à la demande il en existe encore :)


Petit correctif :

« la conservation du cryptogramme est interdite après la réalisation de la première transaction ».

Non, la conservation du cryptogramme est interdite même lors de la 1ère transaction. Le cryptogramme est transmis à l’émetteur de la carte lors de la 1ère transaction ET NE DOIT PAS ETRE CONSERVE.

Lorsque vous faites vos achats sur un site marchand où vous n’êtes débité qu’au moment de l’envoie, ce que font la plupart des sites est d’envoyer une pré-autorisation (montant à 0 ou 1€) vers l’émetteur de la carte lros de la toute 1ère fois où vous utilisez la carte sur le site puis lors de l’envoie de la commande, ils effectuent ce qu’on appelle un paiement récurrent.


Demander les infos de la CB par mail ou par téléphone se fait encore beaucoup aux USA. Ça fait tout bizarre…


Si tu n’en trouve pas, tu peux toujours percer la carte pour couper l’antenne…








piwi82 a écrit :



Tu peux aussi demander à ta banque de désactiver le sans-contact, c’est plus efficace (voir trop pour certain·e·s).





Pourquoi, “trop” ?



(Pliz : “voire” et puis l’écriture dite inclusive, beurk <img data-src=" /> )







Jeanprofite a écrit :



Je pense que la banque ne désactive pas le «sans contact», elle désactive le paiement de ce «sans contact».

La nuance est que les informations sont lisibles tout de même.





Comment désactiver le paiement sans désactiver la puce complètement ? Tu es sûr de toi ?







Jeanprofite a écrit :



Monéo a été un échec mais cette fois-ci, ils sont bien partit pour gagner.





Ce qui se comprend, d’une part Monéo était avec contact (et code ?) et était facturé à tout le monde, et d’autre part là c’est gratuit à l’utilisation et sans contact (perso j’aime bien car bien pratique).

On a prédit des catastrophes (sécurité) quand le NFC est arrivé sur les cartes de crédit, mais finalement on n’a rien vu de tel.



Pour les paranoïas du sans contact, il est vrai que les 1ères cartes permettaient d’accéder à un peu trop de donnée en clair, ce qui n’est plus vrai maintenant.



Pour information, seul le sans contact “puce” est acceptée en France (enfin au Crédit Agricole :-) ), c’est à dire avec des données cryptographiques calculées en temps réel lors de la transaction.

Au US , ils utilisent le sans contact piste , c’est pratiquement identique à une transaction piste sauf qu’une partie de la piste est recalculée en temps réel et de toute façon dans ce cas c’est une demande d’autorisation systématique.( pas forcément en sans contact puce, comme pour les paiements en mode contact)


Et les cartes bleues reçues par la poste lors du renouvellement ? <img data-src=" />


Pour travailler dans le monde de la monétique, je confirme, la désactivation du sans contact ne désactive pas la puce … :-).

Pour les initiés, c’est un script qui est envoyé sur la puce pour le désactiver lors d’une transaction on line : blocage du sans contact


Autre info, sur le sans contact, l’Italie et l’Espagne s’amusent maintenant à faire des transactions sans contact avec saisie du code conf pour les montants supérieurs à 30€ (plus sûr du montant)


J’ajoute à ce que propose Nozalys : Banque populaire, agences de rives de Paris au minimum mais je ne vois pas pourquoi ce ne serait pas pareil pour les autres entités du groupe, il faut demander un contrat carte sans NFC.


et le code CVV écris au dos de la carte:&nbsp; login et mdp au même endroit <img data-src=" />








Jeanprofite a écrit :



Je pense que la banque ne désactive pas le «sans contact», elle désactive le paiement de ce «sans contact».

La nuance est que les informations sont lisibles tout de même.



En France, les banques ont réussi à l’imposer en disant que c’était comme ça, «mais ont peut le désactiver».



Monéo a été un échec mais cette fois-ci, ils sont bien partit pour gagner.





Effectivement, seul le paiement est désactivé, la lecture des informations sur la carte est totalement indépendante. Toutefois on a désormais moins d’infos accessibles “en clair” qu’avant où on avait tout ce qu’il faut pour effectuer une opération.



En ce qui concerne la possibilité d’avoir une carte sans NFC, vous pouvez l’exiger à n’importe quelle banque. Faut juste savoir comment, et çà dépend d’une banque à l’autre (et encore, faut que les chargés de gestion sachent comment faire, ce qui est rarement le cas).



C’est d’autant plus vrai à l’étranger. Perso, j’ai opté pour une banque en ligne avec une carte qui ne me sert qu’à cet effet justement pour limiter les risques :)








Rickyblue a écrit :



Pour travailler dans le monde de la monétique, je confirme, la désactivation du sans contact ne désactive pas la puce … :-).

Pour les initiés, c’est un script qui est envoyé sur la puce pour le désactiver lors d’une transaction on line : blocage du sans contact





Ce n’est pas clair pour moi : qu’est-ce qui est désactivé exactement ?



(j’ai eu travaillé dans le monde de la monétique, quand ça s’appelait Schlumberger, avant que ça donne naissance à Axalto puis Gemalto, je m’occupais des terminaux de paiement et des serveurs).









StephaneGames a écrit :



Pour les paiements en ligne, il est fortement conseillé d’utiliser des moyens temporaires de type eCarte Bleue.

Au moins, même s’il y perte ou vol les informations de la eCB sont soient expirées soient le plafond est atteint.

Par contre, il y a des sites qui bloquent le paiement par eCB, dans ce cas je passe mon chemin.





Lcl a arrêté son eCB cette année… Sniff !

par contre l’histoire quand tu arrives à l’hôtel et que on te demande ta carte qui a servi au paiement….



Mouai, moi, c’est toujours la piste magnétique qui est une plaie de sécurité, dans certain pays, au USA entre autre, c’est encore pas mal utilisé, pas besoin de code, il te demande juste une petite signature pour payer. Et ça, à copier, c’est très simple.











OlivierJ a écrit :



Ce n’est pas clair pour moi : qu’est-ce qui est désactivé exactement ?



(j’ai eu travaillé dans le monde de la monétique, quand ça s’appelait Schlumberger, avant que ça donne naissance à Axalto puis Gemalto, je m’occupais des terminaux de paiement et des serveurs).





De ce que j’ai compris de ses explication, ça demande juste à la puce d’interdire les transaction en sans contact.



En effet, toutefois la carte insérée dans un courrier dans une enveloppe banalisée. On ne remarque rien (sauf si on plie l’enveloppe).


Hélas, un article de bon sens qui manque cruellement dans l’actualité.



Et après on nous fait peur au milieu de tous les « risques cyber » qui tirent des rayons lasers et mangent des bébés.


Perso quand je vais a l’hôtel / resto je paye avec un chèque.&nbsp; Ils demandent la CNI ou PDC généralement&nbsp; pour vérifier l’identité et pis c’est tout.

&nbsp;




Parfois, c’est au téléphone que l’employé du centre d’appel d’un organisme de crédit ou d’une société où vous êtes client pourra vous proposer de vous proposera de lui donner les informations de votre carte bancaire.





On m’a déjà demandé ça au téléphone. J’ai écourté l’appel après avoir dit que c’était n’importe quoi.


moi je demande le numéro de leur carte en contrepartie, car il n’y a aucun risque <img data-src=" />


La Banque Postale (LBP) propose encore de ne pas vouloir de sans contact, c’est ce que je fais (malgré l’insistance de ma conseillère, qui prenait à la légère la question de la sécurité quand je lui en ai parlé).








Etre_Libre a écrit :



La Banque Postale (LBP) propose encore de ne pas vouloir de sans contact, c’est ce que je fais (malgré l’insistance de ma conseillère, qui prenait à la légère la question de la sécurité quand je lui en ai parlé).





Il y a vraiment un problème de sécurité ?

On en prédisait à la pelle, et on n’a rien vu venir, sauf erreur de ma part. Du coup je m’en sers autant que je peux et c’est pratique.



C’est la différence entre un risque et un dommage. Chacun prend le risque qu’il souhaite. Bien malin celui qui passe entre les gouttes des probabilités.



C’est comme les conflits d’intérêts : il n’y a rien à craindre tant que rien ne se produit. C’est quand ça se produit, qu’il y avait quelque chose à prévoir.


À La Banque postale (comme dans d’autres réseaux bancaires français), les conseillers ne connaissent rien à ce qu’ils vendent. J’espère que tu t’es bien renseigné ailleurs qu’auprès d’un conseiller commercial de La Banque postale pour être certain de ton coup.


Perso j’ai été étonné de voir ma Freebox arriver à la maison avec les identifiant sur un papier volant avec la boite.

Identifiant qui donnent accès a l’espace perso, qui donne accès à l’IBAN complet.

Suffirait qu’un tiers ouvre et referme bien le colis pour que mon IBAN soit dans la nature, je trouve cela plus que limite.

&nbsp;





OlivierJ a écrit :



Il y a vraiment un problème de sécurité ?

On en prédisait à la pelle, et on n’a rien vu venir, sauf erreur de ma part. Du coup je m’en sers autant que je peux et c’est pratique.





Oui il y a vraiment un problème de sécurité, et tu n’entendra jamais parler de ça car :




  1. tu n’entend jamais parler des fraudes à la carte bleu dans la média .. tu erst assuré et rembourser alors tout le monde s’en fout.

  2. pour les banques c’est un tel avantage (moins d’argent liquide non maîtrisé, moins de guichet, moins de DAB a entretenir, …) qu’il n’en feraon jamais état.



    Libre a chacun d’utiliser ce système, comme les banques en ligne pour le moment moins cher et qui atteindrons le prix des banques normales quand il n’y aura plus d’autre choix que de passer par la et que toutes la agences aurons sauté.









OlivierJ a écrit :



Il y a vraiment un problème de sécurité ? On en prédisait à la pelle, et on n’a rien vu venir, sauf erreur de ma part. Du coup je m’en sers autant que je peux et c’est pratique.





Si tu te fait voler ta carte le mec peu utiliser ta carte, dans l’absolu une carte est aussi copiable à une distance de moins de 10 cm. Par contre j’ai lu que le sans contact est limité a 2 fois 20€ par jours, pas terrible donc.









jaguar_fr a écrit :



et le code CVV écris au dos de la carte:&nbsp; login et mdp au même endroit <img data-src=" />





Apprendre le CVV par coeur à réception et le gratter au cutter…









OlivierJ a écrit :



Comment désactiver le paiement sans désactiver la puce complètement ? Tu es sûr de toi ?





Le paiement sans contact ne concerne que des montants limités, pas possible de payer cash une Ferrari avec le “sans contact”. Il est donc fortement probable que la banque arrive à reconnaitre si c’est un paiement sans contact ou un achat par code secret, il suffit donc à la banque de refurer toute transaction bancaire par le système “sans contact” sans gêner le paiement classique.

Le paiement est bien “désactivé” mais la carte reste toujours aussi bavarde par NFC. <img data-src=" />



Jusqu’à maintenant il y a surtout eu des cas de cartes perdues ou volées dont le nfc fonctionnait toujours après la révocation de la carte. Mais les banques ont dû vite y remédier. <img data-src=" /> Reste entre la perte de la carte et sa révocation en attendant des avancées technologiques côté fraudeurs : du coup les chercheurs essayent de prendre de l’avance avec les techniques de Distance-bounding.



Pour avoir quelques chiffres, dans le rapport de sécurité des moyens de paiement de la Banque de France :



L’Observatoire a collecté, pour la troisième année consécutive, les données permettant de mesurer le taux de fraude sur les paiements sans contact. Ainsi, sur l’ensemble de l’année 2016, 628,5 millions de paiements sans contact ont été enregistrés pour un montant total de 6 450,7 millions d’euros, représentant respectivement 6,5 % en volume et 1,6 % en valeur des paiements de proximité, pour un montant moyen de 12,5 euros par opération.

Par ailleurs, environ 119 000 paiements frauduleux ont été recensés sur la même période pour un montant total de 1,298 million d’euros.

Le taux de fraude sur les transactions sans contact s’élève par conséquent

à 0,020 % sur cette période. Il se maintient, comme en 2015 où il s’établissait à 0,019 %, à un niveau intermédiaire entre le taux de fraude des paiements de proximité tous modes confondus (0,008 %) et celui des retraits (0,029 %), et se situe par conséquent à un niveau très inférieur à celui des paiements à distance (0,199 %).








skankhunt42 a écrit :



Si tu te fait voler ta carte le mec peu utiliser ta carte, dans l’absolu une carte est aussi copiable à une distance de moins de 10 cm. Par contre j’ai lu que le sans contact est limité a 2 fois 20€ par jours, pas terrible donc.





C’est toujours 40€/jours et si ça dure un mois ça peu faire 1200€, rien de terrible comme tu dis… <img data-src=" />



Tout le monde le consulte pas son compte bancaire quotidiennement. <img data-src=" />









yl a écrit :



Apprendre le CVV par coeur à réception et le gratter au cutter…





+1 <img data-src=" />









youri_1er a écrit :



Perso j’ai été étonné de voir ma Freebox arriver à la maison avec les identifiant sur un papier volant avec la boite.



       Identifiant qui donnent accès a l'espace perso, qui donne accès à l'IBAN complet.             

Suffirait qu'un tiers ouvre et referme bien le colis pour que mon IBAN soit dans la nature, je trouve cela plus que limite.





On peut effectivement s’inquiéter d’identifiants dans la nature. En revanche, l’IBAN seul ne sert pas à grand chose.



      Il servait encore moins avant le 1er août 2014, date d'arrivée des mandats de prélèvement SEPA qui n'imposent plus une autorisation expresse fournie à la banque, mais le problème est moins lié à l'IBAN qu'aux pressions ayant mené à ce genre de norme/loi dangereuse par "simplification" au détriment de la sécurité.            

Bref : si l'IBAN ou un RIB est volé, il faut redoubler de vigilance quant aux communications de sa/ses banque(s) relative à l'établissement d'un prélèvement.








      De retour à l'article :            

Même en cas de paiement en ligne sécurisé, quand par exemple le service 3-D Secure tombe en rade (vous vous souvenez de l'indisponibilité de wlp-acs.com ? NextInpact en avait d'ailleurs rédigé un article), et que vos tentatives de paiement en ligne échouent... vous vous retrouvez parfois avec comme seule solution la communication orale au téléphone. C'est le cas chez Air France par exemple.






      Cela pose toute la question des attaques par dégradation : ce qu'il était possible de réaliser avec TLS en demandant à un client de revenir à une version trouée de SSL est corrigé avec les normes récentes.            

Avec l'être humain, la mise à jour n'est toujours pas faite, et quand un composant du système de paiement est en rade, il faut soit accepter de prendre le risque de payer par téléphone, soit faire une croix sur un produit/service si quelqu'un passe avant, sans responsabilité aucune de l'entreprise. Pratiques d'un autre temps...






      Quant au paiement sans contact, c'est un procédé décrié dès le départ et démonté/démontable dès qu'il est analysé un tant soit peu à la lumière de la sécurité.            

Qu'il existe est déjà un problème en soi puisque des personnes peu informées l'utilisent par "simplicité" sans forcément prendre conscience des risques à posséder un tel moyen de paiement, mais le problème devient ubuesque lorsque certains endroits comme des gares imposent ce système de paiement sur tous les équipements de vente d'un certain type.






      Rien n'oblige en effet un commerçant à garantir la possibilité d'utiliser un équipement sécurisé. Tiens, ça reboucle avec cette histoire d'hôtel/boui-boui qui note le numéro de carte ou prend l'empreinte de la carte via la bande magnétique.            

Il y a un terrain pour l'action législative à ce niveau, non ? Sachant qu'un endroit qui, en 2017, n'est pas capable d'assurer un paiement sécurisé tout en réclamant de la carte bancaire, n'est probablement pas capable d'offrir une prestation d'aplomb et encore moins rigoureuse...


J’avais déjà fait mon choix avant de voir ma conseillère, je ne la vois que rarement (1 fois toutes les x années, avec “x” le plus grand possible), mais “au passage” elle proposait fortement la CB avec paiement sans contact NFC, et j’ai refusé.


D’après des echos importants, le NFC mis dans les CB est une passoire, mais j’aimerais vérifier moi-même, avec un compte secondaire que j’aurais bientôt chez Orange Bank, histoire de tester tout ça (si j’y arrive).


Il y a environ 10 ans, j’ai réglé par carte dans une boutique d’un grand opérateur téléphonique. Le vendeur a ouvert une page sur un poste, et a rentré les informations de la carte + ccv dans un formulaire pour effectuer le paiement…


Je touche du bois, je n’ai eu des emmerdes qu’avec un chèque et Paypal depuis que j’ai une CB, soit la fin des années 1980…



Ça va faire un peu chapeau d’alu ce que je vais dire mais, par précaution, j’ai acheté un étui spécial anti-lecture RFID pour ma CB. J’ai la flemme de demander à désactiver le paiement sans contact, en plus de m’en servir de temps à autre…


Tant que le remboursement des transactions frauduleuses coûtera moins cher aux banques que de sécuriser leurs moyens de paiement, rien ne changera. La piste magnétique est toujours présente sur les cartes bleues par exemple…

Mais c’est assez surprenant quand on sait la complexité des processus de mise en œuvre des systèmes informatiques bancaires. C’est comme si la loi obligeait à construire un bunker avec porte blindée, mais sans interdire de laisser la clé à portée de main. <img data-src=" />


J’ai la carte simple de La Banque Postale.

Il n’y a pas de puce ou alors elle est désactivée de base.

Boursorama permet la désactivation et activation en ligne dans l’espace compte bancaire. Jamais fait car NFC est désactivé de base.



J’utilise la e-carte bleue de la Banque Postale. Oui, une service payant pour compenser le manque de sécurité des cartes 😠

Il y a Hello Bank ou Fortuneo je crois qui proposent la e-carte bleue gratuitement….mais pas assez riche pour ouvrir un compte chez eux 🤔








skankhunt42 a écrit :



Si tu te fait voler ta carte le mec peu utiliser ta carte, dans l’absolu une carte est aussi copiable à une distance de moins de 10 cm. Par contre j’ai lu que le sans contact est limité a 2 fois 20€ par jours, pas terrible donc.





Ce n’est pas à la porté de tout le monde de cloner une CB. Tu as plus de chance de te faire voler ton porte feuille que te faire cloner ta carte…. Et un petit étui contre le NFC et c’est règlé (Au passage, je conseil les étuis SECVEL).



&nbsp;



choukky a écrit :



C’est toujours 40€/jours et si ça dure un mois ça peu faire 1200€, rien de terrible comme tu dis… <img data-src=" />



Tout le monde le consulte pas son compte bancaire quotidiennement. <img data-src=" />





C’est pour ca que malgré tout ce qu’on raconte, je trouve que payer en paylib avec mon portable est plus fiable que ma CB. Si on me vole mon portable, je m’en rendrai compte tout de suite ! Et le NFC n’est pas activé en permanence, il faut donc déverrouiller le tel, et il faut un code pour payer… Au final, si je pouvais même supprimer ma CB pour uniquement mon smartphone je le ferais… Mais faudrait faire des smartphone plus fin pour qu’on puisse les enfiler dans les TPE&nbsp;<img data-src=" />&nbsp;ET bien sur, faut pas faire n’importe quoi avec son smartphone aussi…

&nbsp;









Nicoletti27 a écrit :



Tu veux trouver sur une fille pour une nuit? Venez sur [….]





Forcément quand ça parle carte bancaire et argent faut bien ça <img data-src=" />.





Sinon je crois qu’en France sur la fraude c’est la “banque” présumée responsable, enfin je ne sais pas si ça a changé depuis



C’est vrai uniquement si tu n’as pas besoin d’une vraie carte bleue pour retirer ton achat (réservation de billets de train par exemple…)








jelus a écrit :



J’utilise la e-carte bleue de la Banque Postale. Oui, une service payant pour compenser le manque de sécurité des cartes 😠





Moi aussi j’utilise eCB, mais c’est pour me protéger des attaques des crackers sur les sites où je paie en ligne.



LaBanquePostale propose par défaut des CB sans le paiement sans contact. Il faut le demander expressément pour l’avoir.


Oui c’est par défaut sans contact avec LBP mais ils poussent de plus en plus à le prendre…


Je suis passé à un bureau de La banque postale : le gars m’a répondu un peu n’importe quoi et a finalement conclu que j’étais un «spécialiste».

J’en ai retenu que les nouvelles cartes comporte une puce nfc, reconnaissable par ce logo.








Demilitarized Zone a écrit :



En effet, toutefois la carte insérée dans un courrier dans une enveloppe banalisée. On ne remarque rien (sauf si on plie l’enveloppe).





Et du coup ils font quoi ?

Ils inscrivent la mention “ne pas plier” ?&nbsp;

&nbsp;



Il y a bien la Société Générale qui propose une carte avec CVV dynamique au dos via un petit écran LCD. Mais ils rendent cette option payante. C’est assez inadmissible, sachant qu’il est de la responsabilité de la banque de supporter les coûts liés à la sécurité des moyens de paiement qu’ils fournissent.








youri_1er a écrit :



Oui il y a vraiment un problème de sécurité, et tu n’entendra jamais parler de ça car :




  1. tu n’entend jamais parler des fraudes à la carte bleu dans la média .. tu erst assuré et rembourser alors tout le monde s’en fout.

  2. pour les banques c’est un tel avantage (moins d’argent liquide non maîtrisé, moins de guichet, moins de DAB a entretenir, …) qu’il n’en feraon jamais état.





    Tu racontes des bêtises sur tes 2 réponses.

    Pour le 1) tu auras vu le commentaire #47 qui rappelle les montants des fraudes, qui sont publiés depuis si longtemps que je ne sais même pas s’il a existé une époque sans publication.

    Pour le 2) en effet c’est aussi un avantage pour les banques pour les raisons que tu cites, qui n’ont rien de secret. Et moi ça m’arrange aussi de ne pas avoir à gérer des pièces de monnaie pour payer 1,35 E.







    skankhunt42 a écrit :



    Si tu te fait voler ta carte le mec peu utiliser ta carte, dans l’absolu une carte est aussi copiable à une distance de moins de 10 cm. Par contre j’ai lu que le sans contact est limité a 2 fois 20€ par jours, pas terrible donc.





    En fin de compte c’est moins gênant pour le côté sans contact que pour le côté carte de crédit, quand on te la vole et qu’on s’en sert.







    choukky a écrit :



    Le paiement sans contact ne concerne que des montants limités, pas possible de payer cash une Ferrari avec le “sans contact”. Il est donc fortement probable que la banque arrive à reconnaitre si c’est un paiement sans contact ou un achat par code secret, il suffit donc à la banque de refurer toute transaction bancaire par le système “sans contact” sans gêner le paiement classique.

    Le paiement est bien “désactivé” mais la carte reste toujours aussi bavarde par NFC. <img data-src=" />





    Le paiement sans contact pour moi est souvent instantané, ça ne passe pas par la banque ; si on utilise une carte NFC désactivée, c’est refusé directement par le terminal qui voit que c’est le cas (étant donné ce qui est lu sur la carte). Je pensais qu’on avait le moyen de “griller” la mémoire de la partie NFC, comme ça elle aurait répondu au niveau radio mais sans données autres que du bruit ou des zéros.







    choukky a écrit :



    C’est toujours 40€/jours et si ça dure un mois ça peu faire 1200€, rien de terrible comme tu dis… <img data-src=" />

    Tout le monde le consulte pas son compte bancaire quotidiennement. <img data-src=" />





    Si je perds ma carte bancaire, je m’en rends compte dans la journée (ou avant 24 h), je m’en sers quasiment tous les jours (et sinon elle est dans mon porte-carte avec d’autres).

    Je suis prêt à courir le risque de perdre 40 E.









    Berbe a écrit :



    Quant au paiement sans contact, c’est un procédé décrié dès le départ et démonté/démontable dès qu’il est analysé un tant soit peu à la lumière de la sécurité.

    Qu’il existe est déjà un problème en soi puisque des personnes peu informées l’utilisent par “simplicité” sans forcément prendre conscience des risques à posséder un tel moyen de paiement





    Manifestement, les risques au quotidien, concrètement, sont faibles.

    Je comprends qu’on s’en soit inquiété au tout début, mais avec le recul qui peut dire que c’est risqué ?









OlivierJ a écrit :



Comment désactiver le paiement sans désactiver la puce complètement ? Tu es sûr de toi ?







Les banques en lignes permettent de désactiver et d’activer la fonction à distance.

Qu’est-ce que l’ingénieur, en toi, en conclut ?







OlivierJ a écrit :



Ce qui se comprend, d’une part Monéo était avec contact (et code ?) et était facturé à tout le monde, et d’autre part là c’est gratuit à l’utilisation et sans contact (perso j’aime bien car bien pratique).







Effectivement.

Pour être exact, j’aurai dû la comparer à sa nouvelle tentative visant les jeunes baptisée Izly (plus pratique car sans contact).



Je suis légèrement étonné de te savoir te comporter comme un utilisateur PIP (définition en page 18 de ce document.



Édit correction de lien.



Concrètement c’est quoi le risque pour l’usager si on pirate son numéro CB + cryptogramme ?

Les fraudeurs ne vont pas pouvoir retirer d’argent aux distributeurs.

En revanche ils vont pouvoir acheter et se faire livrer des biens (quitte à les revendre pour faire de l’argent)

Mais si l’usager indique que telle transaction est frauduleuse il va être automatiquement remboursé par sa banque, non ?

A moins que celle-ci prouve que vous avez communiqué le code secret elle est tenue de rembourser.

Après la banque va se retourner vers le commerçant qui a accepté la commande avec légèreté qui se retournera contre le transporteur qui n’a pas vérifié l’identité etc etc&nbsp;&nbsp;

Au final il y aura un dépôt de plainte et sans doute que l’adresse de livraison sera black listée .&nbsp;

&nbsp;

Il n’y a pas vraiment de risque individuel, mais plutôt un risque collectif qui est intégré dans le coût du dispositif.&nbsp;








heret a écrit :



Moi aussi j’utilise eCB, mais c’est pour me protéger des attaques des crackers sur les sites où je paie en ligne.





Sérieusement ?

De quoi parles-tu concrètement ?







jelus a écrit :



J’utilise la e-carte bleue de la Banque Postale. Oui, une service payant pour compenser le manque de sécurité des cartes 😠

Il y a Hello Bank ou Fortuneo je crois qui proposent la e-carte bleue gratuitement….mais pas assez riche pour ouvrir un compte chez eux 🤔









CounterFragger a écrit :



Il y a bien la Société Générale qui propose une carte avec CVV dynamique au dos via un petit écran LCD. Mais ils rendent cette option payante. C’est assez inadmissible, sachant qu’il est de la responsabilité de la banque de supporter les coûts liés à la sécurité des moyens de paiement qu’ils fournissent.





Je connais ces possibilité de e-carte Bleue (ça fait des années que ça existe) et autres CVV dynamique, mais n’ayant personne autour de moi qui a eu des problèmes avec sa carte bleue, je n’ai jamais trouvé de justification à ces systèmes. Et j’ai voyagé ces dernières années, Espagne, Croatie, Grèce, Italie (certes ça reste l’UE), et Maroc il y a 9 ans.



je pense qu’il faut activer une nouvelle carte avec un achat par code avant de le faire via d’autres type de paiement, ce serait pour cela qu’ils l’expédient par simple lettre

&nbsp;








OlivierJ a écrit :



Si je perds ma carte bancaire, je m’en rends compte dans la journée (ou avant 24 h), je m’en sers quasiment tous les jours (et sinon elle est dans mon porte-carte avec d’autres).

Je suis prêt à courir le risque de perdre 40 E.





Dans les faits, tu ne perdras absolument rien : s’il y a paiement frauduleux, c’est à la banque de prouver que ce n’était pas le cas, et comme le code secret n’est pas utilisé, tu es remboursé à partir du premier centime.









OlivierJ a écrit :



Manifestement, les risques au quotidien, concrètement, sont faibles.

Je comprends qu’on s’en soit inquiété au tout début, mais avec le recul qui peut dire que c’est risqué ?





Au pire, seuls le numéro de CB et la date d’expiration peuvent être récupérés en clair via NFC. C’est insuffisant pour 99% des sites de commerce en ligne, sachant que le CVV ne peut être lu. Même si idéalement, la puce pourrait bien se garder de transmettre ce type d’infos…



En fait, le paiement mobile NFC via Apple Pay, Paylib ou Android Pay est bien plus sûr : le numéro de CB transmis n’est qu’un token à usage unique.









Jeanprofite a écrit :



Les banques en lignes permettent de désactiver et d’activer la fonction à distance.

Qu’est-ce que l’ingénieur, en toi, en conclut ?





L’hypothèse que certaines puces NFC comportent l’information de crédit en local, ou du moins l’indication qu’il n’y a pas besoin d’autorisation en ligne (cas de ma puce manifestement), et que d’autres puces NFC doivent passer par un serveur d’autorisation à chaque transaction (cas de certaines banques en ligne semble-t-il).







Jeanprofite a écrit :



Je suis légèrement étonné de te savoir te comporter comme un utilisateur PIP (définition en page 18 de ce document.





Arf, je note l’acronyme (pour moi c’était Picture In Picture).

J’ai juste une attitude rationnelle, au vu de la faiblesse du risque (cf mes commentaires précédents du jour).









v1nce a écrit :



Concrètement c’est quoi le risque pour l’usager si on pirate son numéro CB + cryptogramme ?

Les fraudeurs ne vont pas pouvoir retirer d’argent aux distributeurs.

En revanche ils vont pouvoir acheter et se faire livrer des biens (quitte à les revendre pour faire de l’argent)

Mais si l’usager indique que telle transaction est frauduleuse il va être automatiquement remboursé par sa banque, non ?



&nbsp;

… plusieurs mois plus tard. Entre temps, il faudra supporter les emmerdes, comme devenir interdit bancaire parce que le compte aura été à découvert, payer les aggios (je ne sais pas s’il sont remboursés dans des cas comme ça), etc…



En octobre j’ai vu un retrait bizarre via ma CB, alors qu’elle n’a pas de NFC.



C’est un retrait à l’étranger (hors zone euro, car 5 euros de frais à côté), alors que ma CB et moi n’avons pas bougé de la France.



La piste pour moi : un vol des numéros sur un site marchand ou piratage d’un serveur de banque, et création d’une CB “double”, une copie identique de l’originale, pour retirer des espèces dans un distributeur à l’étranger.








CounterFragger a écrit :



Dans les faits, tu ne perdras absolument rien : s’il y a paiement frauduleux, c’est à la banque de prouver que ce n’était pas le cas, et comme le code secret n’est pas utilisé, tu es remboursé à partir du premier centime.





C’est fort possible, et de toutes façons je paie une sorte d’assurance multi-trucs liée à ma carte bancaire (et même un peu au-delà), ça doit aider à ce que ma banque soit “gentille” en cas de souci.







CounterFragger a écrit :



En fait, le paiement mobile NFC via Apple Pay, Paylib ou Android Pay est bien plus sûr : le numéro de CB transmis n’est qu’un token à usage unique.





Ça semble être l’avenir (on a son mobile tout le temps avec soi), mais pour l’instant avoir une carte de paiement distincte de mon mobile me semble une bonne idée. Je crains le jour où le mobile est perdu/volé ou ne fonctionne plus, on aura TOUT dessus, ça va être chaud (je suppose qu’on va établir des moyens dégradés ou manuels de s’en sortir).



Suite à une transaction bizarre (piratage) sur ma CB, j’ai renouvelé en octobre 2017 ma Visa Classic et elle est toujours sans NFC (pas de logo avec les vagues).








heret a écrit :



… plusieurs mois plus tard. Entre temps, il faudra supporter les emmerdes, comme devenir interdit bancaire parce que le compte aura été à découvert, payer les aggios (je ne sais pas s’il sont remboursés dans des cas comme ça), etc…





Il faut être sérieux, tu ne deviens pas interdit bancaire pour un découvert, et encore moins pour une transaction lié à un vol de carte bancaire ; et la banque rembourse les agios, c’est le minimum (déjà vécu).



Article L133-18 du Code Monétaire et Financier :





En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24,

le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le

cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu



Immédiatement, ce n’est pas plusieurs mois plus tard. Et si la banque tarde, ne pas hésiter à les harceler ou à porter plainte.

&nbsp;


immédiatement après que la preuve de la fraude a été apportée, ce qui peut prendre plusieurs mois.


La seule piste plausible : copie à ton insu de la piste magnétique (qui, elle, est bien une vraie passoire en terme de sécurité). Les informations affichées sur la CB ou récupérées via NFC ne permettent en aucun cas d’en créer un clone utilisable dans un DAB.


interdit bancaire, c’est peut être un peu fort effectivement mais pas si déconnant. Et il n’empêche que les emmerdes tu les auras, à commencer par prouver qu’il y a eu fraude et que la banque accepte tes preuves.


Immédiatement, c’est immédiatement, la loi est claire. La charge de la preuve est inversée, c’est à la banque que revient la charge de la preuve qu’il n’y a pas eu fraude. Et si la banque est récalcitrante, ne pas hésiter à faire appel à une association de consommateurs et à utiliser tous les moyens légaux possibles.



Ce genre de mésaventure m’est déjà arrivée, et le remboursement n’a même pas dû prendre 2 semaines.








OlivierJ a écrit :



C’est fort possible, et de toutes façons je paie une sorte d’assurance multi-trucs liée à ma carte bancaire (et même un peu au-delà), ça doit aider à ce que ma banque soit “gentille” en cas de souci.





Ça doit aider, mais ça ne sert pas à grand chose. Tout au plus tu n’auras pas à payer la franchise de 150€ si le code secret est utilisé, franchise qui n’est de toute façon pas due si le code secret t’a été subtilisé par des moyens détournés.



Je ne pense pas, car ma CB ne bouge jamais, toujours à portée de main, et je ne la laisse pas accessible comme ça…



Enfin, quoi qu’il en soit, j’ai fait opposition dès le lendemain à la CB et j’ai demandé à ma banque un remboursement, avec le formulaire qui va bien sur leur site.


Il te faudra une carte de type “Electron” (ou équivalent). Pour l’instant du moins.








Etre_Libre a écrit :



En octobre j’ai vu un retrait bizarre via ma CB, alors qu’elle n’a pas de NFC.



C’est un retrait à l’étranger (hors zone euro, car 5 euros de frais à côté), alors que ma CB et moi n’avons pas bougé de la France.



La piste pour moi : un vol des numéros sur un site marchand ou piratage d’un serveur de banque, et création d’une CB “double”, une copie identique de l’originale, pour retirer des espèces dans un distributeur à l’étranger.



Ou plus simplement, un générateur de CB aléatoire pour créer la nouvelle carte. Ils ne se font plus chier à casser le chiffrement depuis longtemps.







Gilbert_Gosseyn a écrit :



Il te faudra une carte de type “Electron” (ou équivalent). Pour l’instant du moins.



Electron et ses équivalents sont quand même assez limités… Il y a des automates (péages autoroute…) et des TPE qui les refusent.



Oui ça paraît bien possible…



Au fait, un jour les CB pourront avoir un nombre de chiffres plus important ?



Parce que là, c’est court…








Etre_Libre a écrit :



Oui ça paraît bien possible…



Au fait, un jour les CB pourront avoir un nombre de chiffres plus important ?



Parce que là, c’est court…



Ca impliquerait trop de travail de mise à jour de centaines de milliers de terminaux de paiement (virtuels ou physiques), donc très peu probable. Aujourd’hui on est plutôt sur le CVV aléatoire qui change régulièrement.



J’ai oublié une précision :

Je souhaite (par confort) une carte permettant de payer à l’étranger, Visa ou bien Mastercard.

Quelle est le type de ta carte bleue ?


Certains DAB sont “piratés” pour justement cloner les cartes. Un lecteur de bande magnétique est inséré à l’endroit où tu insères ta carte dans le distributeur, puis récupéré plus tard par l’escroc.



Hormis cette méthode, il n’existe pas d’autre moyen pour cloner la bande magnétique : le cryptogramme présent au dos de la carte et celui mémorisé dans la bande sont par exemple différents. Même en générant aléatoirement un numéro de CB, la piste ne sera pas reproductible sans lecture physique.


A LBP c’est la CB “Visa Classic”, qui est une carte internationale et qui n’est pas à autorisation systématique.



Je m’en suis déjà servi aux USA et en Egypte, ainsi qu’en Europe.


Oui bien vu, ça peut être un appareil piraté comme un DAB, un péage ou similaire…


C’est une simple enveloppe blanche C6 à fenêtre avec ton adresse. Au premier coup d’œil il n’y a aucun moyen de savoir qu’il s’agit d’une carte bancaire même si tu t’amuses à plier toutes les enveloppes qui te passent entre les mains – ça pourrait être une carte de fidélité, de la publicité ou n’importe quoi d’autre.









Feunoir a écrit :



je pense qu’il faut activer une nouvelle carte avec un achat par code avant de le faire via d’autres type de paiement, ce serait pour cela qu’ils l’expédient par simple lettre





Exactement.



Depuis presque 1 an j’utilise une pochette anti NFC pour ma CB. Récement, j’ai voulu faire un paiement NFC avec et le terminal m’a avertic que ma carte n’était pas valable ! Est-ce que ces pochettes anti-NFC corrompent les données de la puce inside?

Je précise que je l’utilise encore avec contact sans problème.




Il y a bien sur des exceptions possibles, comme en cas d’abonnement à tacite reconduction, ou la facilitation des achats ultérieurs si le client a exprimé son consentement qui « doit prendre la forme d’un acte de volonté explicite, par exemple au moyen d’une case à cocher et non pré-cochée par défaut ».



Gros carton rouge à amazon là dessus. À chaque commande, je dois me fader les options pour retirer ma carte (et en plus, sans être sûr qu’elle n’est pas conservée quand même).


et ça pourrait pas venir d’une “yes card” ?

à partir du moment où ce genre de carte existe, il faut bien que l’argent sorte d’un compte (pas de chance si c’est tombé sur toi)


Dans le cas d’Amazon, ce ne sont pas ces informations qui sont gardées mais un token qui permet de payer plus tard avec ta carte uniquement depuis chez Amazon. Seuls quelques chiffres du numéro sont gardés pour que tu puisses reconnaître de quelle carte il s’agit. Tu es donc protégé contre un vol des infos de ta carte sur leur site.



Ils sont donc dans les clous, même si effectivement, ils pourraient te demander ton autorisation pour cela.




Parfois, c’est au téléphone que l’employé du centre d’appel d’un

organisme de crédit ou d’une société vous proposera de lui donner les

informations de votre carte bancaire.





Sosh fait ça. Leur site d’inscription était en carafe, impossible de valider. Déjà il faut redonner toutes les infos qu’on a saisies, et le gars demande le numéro CB, la date d’expiration, et le CVV. J’ai refusé, j’ai attendu 3 jours que le site refonctionne. Mais combien de gens onr refilé ses infos à un inconnu, juste parce qu’il bosse chez Sosh ?



Sinon, on en est où sur la sécurité du sans contact ? Je refuse systématiquement, et je l’ai désactivé car parfois on ne me demande même pas si je veux ce système. Mais c’est peut-être juste de la parano, mais j’aime bien avoir l’appareil dans les mains, pour vérifier le montant débité (le commerçant le garde souvent dans ses mains et propose juste qu’on pose la CB dessus, écran caché).


Moi c’est l’inverse, il faut régulièrement que je revalide ma CB, qui est toujours valable, et que j’ai déjà utilisé chez eux. Je ne sais pas si c’est aléatoire, ou si cela dépend de l’achat (montant, vendeur tiers).








v1nce a écrit :



Concrètement c’est quoi le risque pour l’usager si on pirate son numéro CB + cryptogramme ?

Les fraudeurs ne vont pas pouvoir retirer d’argent aux distributeurs.

En revanche ils vont pouvoir acheter et se faire livrer des biens (quitte à les revendre pour faire de l’argent)

Mais si l’usager indique que telle transaction est frauduleuse il va être automatiquement remboursé par sa banque, non ?







Oui. Vécu dans mon cas (50 € de Macdo commandés à Paris alors que j’habite Grenoble, payé sur ma carte via Paypal).



Par contre, j’ai pas traîné. Avertissement de la transaction sur ma CB via Paypal à 17h30, reçue sur mon portable. Alerte de ma banque à 18h dès que je suis rentré chez moi, effectif immédiatement (carte bloquée et remplacée sur le champ). Transaction annulée dans la semaine



J’ai bien fait parce que le gusse qui a tenté de me piquer ma CB a essayé de se commander des meubles de cuisine à mon nom chez Leroy-Merlin…







OlivierJ a écrit :



Sérieusement ?

Je connais ces possibilité de e-carte Bleue (ça fait des années que ça existe) et autres CVV dynamique, mais n’ayant personne autour de moi qui a eu des problèmes avec sa carte bleue, je n’ai jamais trouvé de justification à ces systèmes. Et j’ai voyagé ces dernières années, Espagne, Croatie, Grèce, Italie (certes ça reste l’UE), et Maroc il y a 9 ans.







Mieux : paiement CB en Pologne et en Ukraine. À chaque fois, terminaux EMV avec code à saisir (oui, oui, même en Ukraine !). Aucun problème.



Les seuls emmerdements que j’ai eu, c’est avec un chèque et un compte Paypal. Je fais systématiquement des photos des premiers avant de les envoyer quand il s’agit de ma copropriété (ce sont eux qui ont tenté de m’enfumer) et je n’utilise plus le second (ouvert pour un site de modélisme ferroviaire où il fallait payer les frais de port à part par Paypal).



L’article ne donne même pas le moyen le plus simple une petite caméra sous le comptoir ou au plafond qui filme la carte dans les deux sens.



Le cryptogramme ne devrait plus être sur la carte…



Pour la fin de l’article le “3d secure” même s’il n’est pas parfait reste une excellente protection et je vois encore trop de personnes le refuser / ne pas l’activer. Mon dernier piratage de carte (par caméra + skimming) était via un distributeur d’essence. Les gars ont tenté de faire un achat sur le net sur un site avec 3d secure et vlan j’ai pu bloqué ma carte de suite. Bien sur les mecs “intelligents” feront des achats aux usa / chine ou le 3d secure n’existe pas ou peu.



&nbsp;


Le sujet est un peu léger sur la partie Call-center.

&nbsp;Il existe des normes de sécurisation pour les centres d’appels sérieux (PCI-DSS) qui exige entre autre des plateaux d’appels zéro papiers pour rendre impossible la captation du numéro de carte avec le bloc note et le stylo. Les téléphones mobiles sont aussi interdits.

&nbsp;Les moyens de communications des postes informatiques sont limités pour empêcher que des données saisies dans un logiciel tiers soient transmise à l’extérieur.&nbsp;

Après il existe encore des centres d’appels qui n’emploie pas ces normes mais un call-center type Sosh est certifié PCI-DSS.

Pour aller plus loin on propose même des SVI qui prennent une partie du numéro (les 4 derniers chiffres et ou le CVV )à la place du conseiller, ces numéros sont ensuite reportés sous formes d’étoiles dans le logiciel de paiement sans que le conseillers ne puissent les voir.



Côté Call-center le risque est de plus en plus limité. par contre l’utilisation physique de la carte (en magasin, ou distributeurs ) reste le point de fragilité. Les caméras de surveillance de ces lieux permettent facilement de captés les numéros de cart et non du titulaire (pour le CVV, une micro-caméra bien placé et le tour est joué)

Comme quoi, on se méfie des téléconseillers qui sont ultra-surveillés sur ces sujets, mais on oublie que sortir sa carte de son portefeuille l’expose au regard de tout ces appareils électroniques qui nous entoure. (caméra, sniffeurs NFC , Etc… )








Patch a écrit :



Ou plus simplement, un générateur de CB aléatoire pour créer la nouvelle carte. Ils ne se font plus chier à casser le chiffrement depuis longtemps.





Qu’est-ce que tu appelles générateur aléatoire ?

Parce que tu peux générer tous les codes aléatoires que tu veux, je ne vois pas comment tu peux transformer cela en argent.

A moins que dans des pays sous-développés (USA) tu puisses retirer de l’argent d’un DAB qui lirait juste la piste magnétique.&nbsp;<img data-src=" />&nbsp;



Ouh là ! Monéo, c’était encore autre chose. Et ça n’a jamais pris parce que va expliquer à quelqu’un qui a un peu de mal que c’est un porte-monnaie électronique présent sur la carte mais pas lié au compte de la carte, et qu’il faut recharger manuellement… je ne sais même plus où (les bureaux de tabac il me semble). C’était censé être accepté par les commerçants pour les petites sommes parce que les frais étaient bien moindres que pour les cartes bancaires (“mais c’est la même carte !” te diront les commerçants incrédules), mais les petits commerçants l’ont quand même boudée parce qu’il y avait toujours des frais (notamment sur l’équipement il me semble).



Au moins, le sans contact, c’est beucoup plus simple et plus clair : les frais sont moindres que pour un paiement via la puce, et c’est prélevé sur le compte de la carte.


Et en plus, le paiement sans contact c’est un jeu pour adultes. La plupart des gens n’ont aucune idée de comment ça marche, c’est magique.








skankhunt42 a écrit :



Si tu te fait voler ta carte le mec peu utiliser ta carte, dans l’absolu une carte est aussi copiable à une distance de moins de 10 cm. Par contre j’ai lu que le sans contact est limité a 2 fois 20€ par jours, pas terrible donc.





je suis plus inquiet qu’il utilise la carte pour acheter en ligne que par NFC…







Graphico a écrit :



Depuis presque 1 an j’utilise une pochette anti NFC pour ma CB. Récement, j’ai voulu faire un paiement NFC avec et le terminal m’a avertic que ma carte n’était pas valable ! Est-ce que ces pochettes anti-NFC corrompent les données de la puce inside?

Je précise que je l’utilise encore avec contact sans problème.





pochette anti-NFC depuis 23 ans et aucun soucis (efficace d’ailleurs, j’ai tenté le payement sans la sortir et ça ne marchait pas, obligé de la sortir de l’étui ^^)









CounterFragger a écrit :



Immédiatement, c’est immédiatement, la loi est claire. La charge de la preuve est inversée, c’est à la banque que revient la charge de la preuve qu’il n’y a pas eu fraude. Et si la banque est récalcitrante, ne pas hésiter à faire appel à une association de consommateurs et à utiliser tous les moyens légaux possibles.



Ce genre de mésaventure m’est déjà arrivée, et le remboursement n’a même pas dû prendre 2 semaines.



La banque t’as t’elle obligé de déposer une plainte alors que légalement c’est à elle de s’en démerder ?



Oh, je savais pas ça :) C’est bien mieux.



C’est donc ma banque ou visa/mastercard qui fournit ce token et qui gère sa validité ?

Question subsidiaire : existe-t-il un moyen de l’invalider ?









Commentaire_supprime a écrit :



… et je n’utilise plus le second (ouvert pour un site de modélisme ferroviaire où il fallait payer les frais de port à part par Paypal).





Je n’ai jamais eu de problème avec mes paiements via Paypal mais si par aventure je tombe comme toi sur un site qui me demande de faire un paiement différent pour les frais de port je le fui direct.

C’est pas moi, client, qui vais me faire emmerder parce que le vendeur a un comptable en carton, ça sent pas le professionnalisme du tout. <img data-src=" />









Graphico a écrit :



Depuis presque 1 an j’utilise une pochette anti NFC pour ma CB. Récement, j’ai voulu faire un paiement NFC avec et le terminal m’a avertic que ma carte n’était pas valable ! Est-ce que ces pochettes anti-NFC corrompent les données de la puce inside?





Une pochette anti-NFC c’est juste du métal pour faire cage de Faraday, ça ne peut rien corrompre.







Jarodd a écrit :



Sinon, on en est où sur la sécurité du sans contact ?





Heu… Tu as la réponse dans quelques commentaires sur le sujet ici.

En pratique, le sans contact marche bien et ne pose pas plus de problèmes de sécurité que la CB de base, voire moins.







Jarodd a écrit :



Mais c’est peut-être juste de la parano, mais j’aime bien avoir l’appareil dans les mains, pour vérifier le montant débité (le commerçant le garde souvent dans ses mains et propose juste qu’on pose la CB dessus, écran caché).





Je m’en sers tous les jours et les commerçants / restaurateurs rentrent toujours le montant sans rien cacher, et me demande s’ils peuvent mettre la carte sur le capteur sans contact (ou me laissent la mettre).









kallyx a écrit :



Le sujet est un peu léger sur la partie Call-center.

Il existe des normes de sécurisation pour les centres d’appels sérieux (PCI-DSS) qui exige entre autre des plateaux d’appels zéro papiers pour rendre impossible la captation du numéro de carte avec le bloc note et le stylo. Les téléphones mobiles sont aussi interdits. […]



Comme quoi, on se méfie des téléconseillers qui sont ultra-surveillés sur ces sujets, mais on oublie que sortir sa carte de son portefeuille l’expose au regard de tout ces appareils électroniques qui nous entoure. (caméra, sniffeurs NFC , Etc… )





BIen vu (ton dernier paragraphe), et merci pour les précisions sur PCI-DSS et centre d’appel.

<img data-src=" />



Oui, mais c’était en 2007, donc avant que la loi soit modifiée en 2009, ça a peut être changé.

&nbsp;

Je me souviens encore du gendarme qui avait écrit dans ma plainte que “je reconnais réaliser régulièrement des achats sur Internet”. Il aurait voulu m’accuser de négligence qu’il n’aurait pas fait mieux.


Il faut croire qu’il y a une différence de comportement des commerçants (j’y inclus les banquiers) envers les clients à hauts revenus et ceux à bas revenus <img data-src=" />


Je crois avoir lu l’ensemble des commentaires et je n’ai pas trouvé de réflexion sur l’évident pistage que permet le «paiement par sans contact» comparé à la monnaie.



Pas de réflexion non plus sur l’endormissement des neurones de chacun, qui sont pourtant sollicités par le calcul mental lors de rendu de monnaie.








Jeanprofite a écrit :



Il faut croire qu’il y a une différence de comportement des commerçants (j’y inclus les banquiers) envers les clients à hauts revenus et ceux à bas revenus <img data-src=" />





Selon quelle logique ? Le client à haut revenu on lui demande son avis, ou l’inverse ?







Jeanprofite a écrit :



Je crois avoir lu l’ensemble des commentaires et je n’ai pas trouvé de réflexion sur l’évident pistage que permet le «paiement par sans contact» comparé à la monnaie.





Déjà que ta banque sait pas mal de choses sur toi du fait de tes dépenses par carte bancaire, chèque ou même les virements automatiques, finalement le sans contact c’est un détail :-) .







Jeanprofite a écrit :



Pas de réflexion non plus sur l’endormissement des neurones de chacun, qui sont pourtant sollicités par le calcul mental lors de rendu de monnaie.





Parfois (depuis avant le sans contact) on voit des personnes derrière la caisse avoir besoin de calculer les additions et ensuite la soustraction pour le rendu. <img data-src=" />

Cela dit, le calcul mental du niveau du rendu de la monnaie, ça fait depuis l’école primaire qu’on est censé être rodé <img data-src=" /> et puis nous les geeks on s’entraine tout le temps, on additionne des Mo de RAM et des Go de disque, on calcule que le nouveau CPU à 4,2 GHz fait seulement 5 % de plus que le dernier à 4 GHz <img data-src=" />



Ben ouais, mais malheureusement c’est comme ça, les gens veulent que quand ils appuient sur le bouton, leur Carte Bleue fasse le café… Pour venir pleurer après parce qu’un péquenaud à l’autre bout du monde boit leur café.



Soit dit en passant, la plupart des gens ne comprennent pas comment leur puce ou leur bande magnétique fonctionne non-plus !


La dernière fois qu’on m’a demandé par téléphone mon numéro de carte, j’ai dit non…

Au final, ils m’ont envoyé un mail qui allait vers leur site pour payer ! Je me demande pourquoi ils ont gardé ce mode de fonctionnement quand on a aussi la version sécurisée.



Le sans contact, j’ai continué à le saboter, ma banque (la SG pour ne pas la nommer) ne m’ayant pas laissé le choix d’avoir une carte qui ne disposait pas de l’antenne pour le sans contact.

Du coup, j’en ai vraiment rien à faire de bousiller la carte, en plus ils savent bien que mes cartes sont toujours cassées avant d’atteindre les 3 ans pour lesquels elles sont prévues (globalement, parce que mon porte feuille se tord dans ma poche) !








Graphico a écrit :



Depuis presque 1 an j’utilise une pochette anti NFC pour ma CB. Récement, j’ai voulu faire un paiement NFC avec et le terminal m’a avertic que ma carte n’était pas valable ! Est-ce que ces pochettes anti-NFC corrompent les données de la puce inside?

Je précise que je l’utilise encore avec contact sans problème.



Pas possible, vu que la puce est passive (elle n’est alimentée que par l’émetteur NFC), et ta pochette ne fait que brouiller le signal. Ca peut être lié à un terminal défectueux, un pb avec la puce ou un signal merdique au moment de la transation (ca arrive parfois).







v1nce a écrit :



Qu’est-ce que tu appelles générateur aléatoire ?

Parce que tu peux générer tous les codes aléatoires que tu veux, je ne vois pas comment tu peux transformer cela en argent.

A moins que dans des pays sous-développés (USA) tu puisses retirer de l’argent d’un DAB qui lirait juste la piste magnétique. <img data-src=" />



J’appelle générateur de carte aléatoire, un générateur de carte aléatoire. Ca te sort un n° de carte potentiellement valide, avec date d’expiration. Tu l’enregistres sur une yes-card, et tu peux acheter ce que tu veux avec.









Patch a écrit :



J’appelle générateur de carte aléatoire, un générateur de carte aléatoire. Ca te sort un n° de carte potentiellement valide, avec date d’expiration. Tu l’enregistres sur une yes-card, et tu peux acheter ce que tu veux avec.





Un numéro de CB, même syntaxiquement valide, et une date d’expiration sont loin de suffire pour créer une carte à puce ou à bande magnétique.









OlivierJ a écrit :



Selon quelle logique ? Le client à haut revenu on lui demande son avis, ou l’inverse ?







Je ne suis pas commerçant, mais en observant la nature, j’ai souvent constaté que les plus faibles sont les plus attaqués, sans doute par facilité <img data-src=" />



Un haut revenu connait mieux ses droits et à les moyens de porter plainte.

Un bas revenu doit d’abord faire avec la «honte» d’être un bas revenu, l’accès à la connaissances de ses droits est possible mais moins évidente et l’engagement financier qu’implique de porter plainte est beaucoup plus difficile à assumer.







OlivierJ a écrit :



Déjà que ta banque sait pas mal de choses sur toi du fait de tes dépenses par carte bancaire, chèque ou même les virements automatiques, finalement le sans contact c’est un détail :-) .







Un peu plus un peu moins. Étrange comme réflexion, ça me fait penser à plein de situations comiques.

Doit-on en conclure que la bataille pour la vie privée est perdue et que c’est «juste une attitude rationnelle» que de l’accepter ?







OlivierJ a écrit :



Parfois (depuis avant le sans contact) on voit des personnes derrière la caisse avoir besoin de calculer les additions et ensuite la soustraction pour le rendu. <img data-src=" />

Cela dit, le calcul mental du niveau du rendu de la monnaie, ça fait depuis l’école primaire qu’on est censé être rodé <img data-src=" /> et puis nous les geeks on s’entraine tout le temps, on additionne des Mo de RAM et des Go de disque, on calcule que le nouveau CPU à 4,2 GHz fait seulement 5 % de plus que le dernier à 4 GHz <img data-src=" />







Sans entraînement la faculté faiblit, et tous ne sont pas geek parmi les utilisateur de CB, loin de là…









Patch a écrit :



Pas possible, vu que la puce est passive (elle n’est alimentée que par l’émetteur NFC), et ta pochette ne fait que brouiller le signal. Ca peut être lié à un terminal défectueux, un pb avec la puce ou un signal merdique au moment de la transation (ca arrive parfois).





Pour être précis, le signal n’est pas brouillé, mais bloqué (cage de Faraday).



Son problème peut être lié aussi à de l’électricité statique.



Encore faut-il que le service E Carte-Bleue soit pas en panne, ça fait trois mois que j’essai de faire bouger ma banque, sauf que rien ne se résout.


J’aimerais bien savoir quel call-center est certifié PCI-DSS (ou ne l’est pas).



D’ailleurs, il faudrait d’abord call-center ? Parce que les services sont peut-être cloisonnés, et n’ont pas tous les mêmes règles de sécurité entre ceux qui gèrent les inscriptions, les appels niveau 1, niveau 2, …



Et est-ce que cette norme est appliquée dans des payés hors UE ? (pour les call-centers au Maghreb par exemple)


petite question, comment as tu fait pour saboter ? un coup de perceuse ? De mon coté je suis tenté mais comment savoir ou taper exactement ?








choukky a écrit :



Je n’ai jamais eu de problème avec mes paiements via Paypal mais si par aventure je tombe comme toi sur un site qui me demande de faire un paiement différent pour les frais de port je le fui direct.

C’est pas moi, client, qui vais me faire emmerder parce que le vendeur a un comptable en carton, ça sent pas le professionnalisme du tout. <img data-src=" />







Je fais comme ça désormais. Pour ce qui m’intéressait avec celui-là (achat de trains miniatures anglais), il y a tellement de concurrence sur le net en nettement plus sérieux (petites boutiques incluses) que je ne vais pas encourager les comiques dans ce genre à persévérer dans leur incompétence…



Pour répondre à Jarod.

&nbsp;Les call-centers en eux même ne sont pas certifiés, c’est chaque activité en fonction du donneur d’ordre.

A titre d’exemple tous les plateaux d’un vendeur de café en capsule le sont.

Il me semble que pour les téléphonistes, le vendeur d’agrume l’ai aussi, y compris pour ces centres au Maghreb.

Travaillant dans les calls centers j’ai déjà mis en place du PCI DSS au Maroc. La norme est international, elle est normalement obligatoire si l’on collecte les numéros de carte.

&nbsp;

&nbsp;








Jeanprofite a écrit :



Je ne suis pas commerçant, mais en observant la nature, j’ai souvent constaté que les plus faibles sont les plus attaqués, sans doute par facilité <img data-src=" />





Pour un commerçant lambda qui passe ta carte sans contact, je pense qu’il ne se pose pas ces questions. S’il est malhonnête, il le sera avec quasiment tout le monde (sauf Stallone et Chuck Norris).







Jeanprofite a écrit :



Un bas revenu doit d’abord faire avec la «honte» d’être un bas revenu, l’accès à la connaissances de ses droits est possible mais moins évidente et l’engagement financier qu’implique de porter plainte est beaucoup plus difficile à assumer.





Théorie originale (en plus, pourquoi on aurait honte d’avoir un revenu bas), je pense plutôt que plus on est serré financièrement, moins on laisse passer. Dans les personnes à l’aise que je connais, il y a un qui ne laisserait rien passer, mais d’autres qui ne vont pas s’embêter pour des sommes jugées faibles (en fonction du temps à passer dessus).







Jeanprofite a écrit :



Doit-on en conclure que la bataille pour la vie privée est perdue et que c’est «juste une attitude rationnelle» que de l’accepter ?





Que proposes-tu pour que ta banque ignore la façon dont tu dépenses ton argent ? A part tout retirer en cash au cours du mois et de tout payer comme ça.

Mais perso je préfère établir des virements automatiques pour tous les trucs réguliers (loyers etc.), et payer en électronique. Ma banque n’a pas l’air de revendre ces données à d’autres, et puis Google et FB doivent en savoir plus sur moi, même si je poste peu (et rien de très perso hormis parfois un peu d’opinion socio-politique), via des recherches ou des like occasionnels. Pour le coup on peut agir sur le sujet (et ne pas se servir de ces sites/sociétés).



Les banques n’ont tout simplement pas le droit de revendre les données personnnelles dans nos contrées, le régulateur leur interdit.








Z-os a écrit :



Les banques n’ont tout simplement pas le droit de revendre les données personnelles dans nos contrées, le régulateur leur interdit.





Pour le moment…



Non, d’ailleurs la RGPD/GDPR entrera en vigueur en mai 2018 :

https://fr.m.wikipedia.org/wiki/R%C3%A8glement_g%C3%A9n%C3%A9ral_sur_la_protecti…



Edit : elle sera obligatoire dans toutes les entreprises ou entités, quelque soit leur terrirorialité ,qui traitent des données sur les ressortissants européens.


Il faut trouver le bon éclairage et visualiser les pistes, la netteté en fonction de la face est variable pour ce que tu vois des pistes, ça te donne la distance à la piste du côté le plus net.

Tu évites de couper la bande magnétique et les inscriptions utiles, et c’est bon. En général, il y a 3-4 pistes parallèles qui font le tour de la carte, les couper, ça désactive le système, ça revient aussi sur la puce en 2-3 côtés, mais il faut vraiment éviter de l’abîmer.

Et au final, pas besoin de faire un trou, tu peux faire une petite tranchée avec un cutter ou un bon couteau jusqu’à séparer nettement les pistes.








Z-os a écrit :



Les banques n’ont tout simplement pas le droit de revendre les données personnnelles dans nos contrées, le régulateur leur interdit.





Ah oui, je n’avais pas regardé ce point. <img data-src=" />



Ça me fait penser (car on a vu un commentaire/troll en ce sens aujourd’hui sur une autre nouvelle, qui devrait en prendre de la graine) que les banques sont assez encadrées, malgré leur capacité de lobbying, et soumises à beaucoup de réglementations. Si ça pouvait faire fermer leur clapet à déconne à un certain nombre de gens, ça serait pas mal.









ArchangeBlandin a écrit :



Il faut trouver le bon éclairage et visualiser les pistes





J’ai tenté sur ma carte Visa avec sans contact, je n’ai rien vu qui ressemble à des pistes. C’est de quel côté de la carte ? Aurais-tu une photo ou un schéma ?









OlivierJ a écrit :



Pour un commerçant lambda qui passe ta carte sans contact, je pense qu’il ne se pose pas ces questions. S’il est malhonnête, il le sera avec quasiment tout le monde (sauf Stallone et Chuck Norris).







Cela prouve juste que tu es dans un environnement protégé. Un escroc «sait» d’un coup d’oeil à qui il a affaire.

Un haut revenu qui a toutes sa tête est généralement un danger pour quelqu’un de malhonnête (car il peut se défendre).





OlivierJ a écrit :



Théorie originale (en plus, pourquoi on aurait honte d’avoir un revenu bas), je pense plutôt que plus on est serré financièrement, moins on laisse passer. Dans les personnes à l’aise que je connais, il y a un qui ne laisserait rien passer, mais d’autres qui ne vont pas s’embêter pour des sommes jugées faibles (en fonction du temps à passer dessus).





Pourquoi ? Admettons que tu poses sincèrement la question, voici ma réponse :

Avoir de bas revenus veut dire «faire partie du clan des perdants». Je ne pense pas comme ça mais je croise beaucoup de personnes qui «pensent» comme ça.

Tout étant relatif, il faut s’entendre sur ce qu’est un haut et un bas revenu.

J’aime bien rappeler l’existence de cetteoutil de l’observatoire des inégalités..



Si tu es partant pour vivre une expérience :

Fais une journée ou mieux une semaine de boulot dans un secteur qui ne demande pas de compétences savantes, et dans un quartier dit «difficile». Il y a des choses que l’intellect ne perçois pas vraiment, il faut les vivre. <img data-src=" />







OlivierJ a écrit :



Que proposes-tu pour que ta banque ignore la façon dont tu dépenses ton argent ? A part tout retirer en cash au cours du mois et de tout payer comme ça.€

Mais perso je préfère établir des virements automatiques pour tous les trucs réguliers (loyers etc.), et payer en électronique. Ma banque n’a pas l’air de revendre ces données à d’autres, et puis Google et FB doivent en savoir plus sur moi, même si je poste peu (et rien de très perso hormis parfois un peu d’opinion socio-politique), via des recherches ou des like occasionnels. Pour le coup on peut agir sur le sujet (et ne pas se servir de ces sites/sociétés).







Pas de solution miracle.

Pour le coup, il me semble que rationnellement, il faut mitigé et sans retirer son salaire, il faut continuer à payer en espèces pour les sommes faibles (moins de 30 €).



Concernant le seuil des 20€ il est déjà porté à 30€ et un jour ce sera probablement plus.









OlivierJ a écrit :



J’ai tenté sur ma carte Visa avec sans contact, je n’ai rien vu qui ressemble à des pistes. C’est de quel côté de la carte ? Aurais-tu une photo ou un schéma ?





Voici un lien avec photo mais attention à ne pas percer la puce/bande magnétique au risque de rendre hs la carte. <img data-src=" />

Et il faut aussi avoir une putain de torche puissante car pour le moment je n’ais pas réussi à voir au travers avec celles dont je dispose. <img data-src=" />



La limite technique du NFC est juste sous le milliard, et une faille (bouché depuis) sur la plupart des banques permettaient de bypass la limite en modifiant la devise.



Donc si to, TPE était en ¥, c’était freestyle (ne concernait pas toutes les banques et rapidement corrigés, mais quand même).



C’est une vrai passoire le truc, ils corrigent seulement quand ils (les banques) risquent suffisamment gros. J’ai 3 CB sans contact :




  • Ma toute première CB qui me sert de secours, le truc sans chiffre en relief et à autorisation.

  • Ma CB à rechargement, mastercard normal mais qui fonctionne uniquement avec les fonds chargés dessus (pour les paiements internets par exemple)

  • Ma CB usuel pour les restaurants et compagnie.



    Le problème c’est qu’ils me renouvellent la dernière avec une “à contact” et qu’il n’est plus possible de casser l’antenne pour couper totalement le NFC (l’antenne fait maintenant tout le tour de la carte). Heureusement NextInpact m’a filé en goodies une protection anti-NFC <img data-src=" />


J’aurais dû préciser que c’est par transparence qu’on les voit, on peut passer 15 minutes à chercher avec différentes lumières et avoir du mal à les identifier… Une lampe torche, un laser ou une lampe puissante que tu peux mettre derrière la carte sans t’éblouir toi-même est en général la solution. Et mettre la carte perpendiculaire à la lumière ne donne pas toujours le meilleur résultat.

Sur une carte société générale standard, comme le dessin n’est ni trop foncé, ni métallisé, ça se trouve assez bien, d’ailleurs, sous certains éclairages, on peut les voir dans les reflets au lieu de jouer de la transparence.



J’ai coupé en deux points : le premier est en plein milieu de la carte, les pistes passent dans le sens de la longueur (parallèles à la ligne de chiffres), j’ai donc une coupure verticale un peu au dessus des chiffres. La hauteur se situe entre les chiffres et la puce. Il y a 3 pistes là.

L’autre point que j’ai coupé, c’est dans le coin en haut à droite au dessus du symbole CB, les pistes passent en longeant pas loin le bord de la carte. Cette coupure là est moins bien, j’aurais pas dû la faire si près du coin, ça a vraiment fragilisé la carte. Il y a 4 pistes qui passent là.


Comment ça non, t’es devin ? <img data-src=" />








Jeanprofite a écrit :



Je crois avoir lu l’ensemble des commentaires et je n’ai pas trouvé de réflexion sur l’évident pistage que permet le «paiement par sans contact» comparé à la monnaie.







Une antenne et tu captes en clair&nbsp;&nbsp;les nom et prénom, le numéro de carte, sa date d’expiration, et la liste des 20 dernières transactions sur la carte avec leur montant…









v1nce a écrit :



Une antenne et tu captes en clair&nbsp;&nbsp;les nom et prénom, le numéro de carte, sa date d’expiration, et la liste des 20 dernières transactions sur la carte avec leur montant…





Il y a longtemps, et seulement sur certaines cartes particulières.

Ca n’existe plus désormais.

&nbsp;&nbsp;









Faith a écrit :



Il y a longtemps, et seulement sur certaines cartes particulières.

Ca n’existe plus désormais.

&nbsp;&nbsp;





Certes, mais le N° en lui même la donnée la plus sensible.

&nbsp;

Le “sans contact” est pratique, mais dangereux. Surtout si celui-ci est fait dans un smartphone car, dans ce cas, le support de stockage des informations n’est plus à la main de ta banque censée te garantir le niveau de sécurité que tu finances au travers des frais d’abonnement.

Ce n ‘est pas les actualités sur les failles Android/iOS qui vont contredire cela.



Sources ?



C’est un peu léger de dire que par le passé c’était vrai dans des cas particuliers.



Concrètement les données sont chiffrées ou lisibles en clair ?








TNZfr a écrit :



Certes, mais le N° en lui même la donnée la plus sensible.





Non.

Qu’est qu’on peut en faire du numéro ?&nbsp;

N’importe qui peut obtenir ton numéro, juste en te suivant au magasin.





Le “sans contact” est pratique, mais dangereux



“dangereux”… pitié…

Il faut vraiment revoir vos ordres de priorité dans la vie.



Le sans contact pourrait, tout au plus occasionner rarement une petite gène. Rien de plus.

&nbsp;

&nbsp;





Jeanprofite a écrit :



Sources ?



C’est un peu léger de dire que par le passé c’était vrai dans des cas particuliers.



Concrètement les données sont chiffrées ou lisibles en clair ?





Tu m’excuseras, mais c’est à celui qui fait des annonces extraordinaires d’apporter des sources.

Et pas une source datant de 2012, la naissance des cartes NFC.



&nbsp;Merci&nbsp;



Monéo n’a pas pris parce que tous les acteurs derrière ont voulu se sucrer sur le dos des commerçants et des clients. Il y avait trop de frais en regard de l’apport fonctionnel.


Je ne vois pas de raison de t’excuser.



Tu n’apportes pas de source et ne répond pas à la question.



De rien.


Et tu as vérifié et sourcé ce que tu affirmais, toi ?



En fait, il a raison :

Impossible en revanche de récupérer avec cette méthode le cryptogramme ou encore le nom et le prénom de la victime, ceux-ci n’étant plus lisibles dans toutes les cartes bancaires depuis 2012.


Généralement, je source.



J’ai affirmé que le seuil passait à 30€ ce que ton lien corrobore.

Extrait de ton lien :



Les cartes NFC sont-elles moins “sûres” que les cartes qui ne disposent pas de cette technologie ?

Si l’on parle de chiffrement des transactions, la réponse est non.



Du même :

Là encore, en employant l’équipement nécessaire comme une simple application pour smartphone capable de lire les puces NFC, il est possible d’aspirer des données : le type de carte, le nom de la banque, le numéro de carte ou encore sa date d’expiration.



Déjà que TA source est une journaliste «pour Mashable avec France 24. Après plusieurs années de service chez Glamour.fr»…



Édit : mise en forme et ajout.


Les noms et prénoms ne sont plus transmis. Il a donc bien raison.


C’est clair, mais d’un point de vue utilisateur, c’était loin d’être gagné. Mon entourage a eu du mal à comprendre que l’argent de Monéo n’était pas celui du compte de la carte en question. Après, je te rejoins dans le sens où ce qui a surtout achevé le projet c’est le fait que le boulanger ne l’acceptait pas, donc ça n’avait aucun intérêt.


Je réagis par rapport à la tendance actuelle qui va dans le sens d’amélioration de la protection des données. Et ce n’est que la première pierre.



Les amendes vont être salées pour ceux qui ne respecteront pas les règles : d’un montant correspondant au maximum entre 4% du CA mondial et 20 millions d’euros d’amendes (hormis peut-être les GAFA).








Jonath a écrit :



C’est clair, mais d’un point de vue utilisateur, c’était loin d’être gagné. Mon entourage a eu du mal à comprendre que l’argent de Monéo n’était pas celui du compte de la carte en question. Après, je te rejoins dans le sens où ce qui a surtout achevé le projet c’est le fait que le boulanger ne l’acceptait pas, donc ça n’avait aucun intérêt.







Ce qui a tué Moneo, c’était son aspect usine à gaz inutilement compliqué. J’avais étudié à l’époque pour l’adopter, mais l’histoire du porte-monnaie électronique à part de la CB m’a vite rebuté. Pas pratique et contre-intuitif pour moi.









Jeanprofite a écrit :



Généralement, je source.





Et bien tu devrais.





Là encore, en employant l’équipement nécessaire comme une simple application pour smartphone capable de lire les puces NFC, il est possible d’aspirer des données : le type de carte, le nom de la banque, le numéro de carte ou encore sa date d’expiration.



Donc tout ce qui est visible sur le verso de la carte, sauf les noms et prénoms.

Pas d’historique de trnasaction, pas de noms, etc

&nbsp;



Déjà que TA source est une journaliste «pour Mashable avec France 24. Après plusieurs années de service chez Glamour.fr»…



Wouah, tu tapes dans les arguments haut de gamme, là !

&nbsp;

Si tu as des sources récentes, vas-y, n’hésite pas.









Faith a écrit :



Et bien tu devrais.



Si tu as des sources récentes, vas-y, n’hésite pas.







Mais bien sûr, à toi les approximations débonnaires et à moi de sourcer.



Enfin un rapide tour sur la toile francophone nous montre des journalistes qui s’intéressent aux chiffres des transactions mais pas du tout à ce que contient ou fait la puce.

Une sorte de publi-information. Voici celle de la tribune.



Je te laisse le soin de demander à la CNIL d’actualiser ses pages pour aller dans ton sens.









Faith a écrit :



Wouah, tu tapes dans les arguments haut de gamme, là !

 

Si tu as des sources récentes, vas-y, n’hésite pas.







Oui et en plus, il a ajouté cela en éditant ce que je trouve mesquin. Comme j’avais déjà répondu, j’ai eu la flemme d’éditer ma réponse.



J’ai ensuite trouvé d’autres sources, mais celle-là était la première que j’ai trouvé en limitant aux 12 derniers mois pour être sûr d’avoir une info récente.









fred42 a écrit :



Oui et en plus, il a ajouté cela en éditant ce que je trouve mesquin. Comme j’avais déjà répondu, j’ai eu la flemme d’éditer ma réponse.







Tu t’adresse à ton petit copain ?



Parce que dans le genre mesquin à éditer son commentaire sans spécifier pourquoi il se pose .



Sinon lelien donné dans l’article de NextInpact mérite lecture.









Jeanprofite a écrit :



Sinon lelien donné dans l’article de NextInpact mérite lecture.





Lien qui confirme ce que j’ai dit.&nbsp;



Donc tu as répondu :

«il n’y a pas de phase d’authentification ni de chiffrement total des données

En clair, cela signifie que des informations relativement sensibles se promènent, en clair, sur un morceau de plastique.»








Jeanprofite a écrit :



«il n’y a pas de phase d’authentification ni de chiffrement total des données

En clair, cela signifie que des informations relativement sensibles se promènent, en clair, sur un morceau de plastique.»





Oh, une phrase bull-shit de journaliste !&nbsp;

Le truc vide de sens, maniant les évidences, mais qui fait vendre du papier.&nbsp;



“informations relativement sensibles” =&gt; impossible de contredire une phrase aussi creuse. Aucune précision sur ce que “relativement sensible” veut dire, ni sur quelles “informations”.&nbsp;

&nbsp;

Et si tu lis un peu ton propre lien tu trouves:&nbsp;

“En 2017… il est toujours possible de récupérer le numéro de la carte, la

date d’expiration de cette dernière et, parfois, l’historique des

transactions, mais nous y reviendrons.”&nbsp;

Sauf que pour “nous y reviendrons”, il se contente de dire que sur une seule vieille carte de 2014 (donc périmée), il a accès aux transactions.&nbsp;



Bref, en 2017, il y a 2 informations en clair: numéro + expiration.&nbsp;

Ceci est donc qualifié de “relativement sensible”.&nbsp;&nbsp;

Reste à expliquer en quoi ceci est sensible et ce que quelqu’un peu faire avec ces informations cruciales.&nbsp;



Ce qui t’échappes n’est pas forcément «vide de sens», de même que ce qui te semble évident ne l’est pas pour tous.



Ces informations ne devraient pas transiter en clair.



Pour beaucoup de gens, un nom et un prénom ne sont pas des informations sensibles (chacun ayant sa propre sensibilité, par ailleurs). C’est l’accumulation de données qui finit par rendre celles-ci sensibles.



De plus, la banque n’a pas à savoir dans le détail quotidien, ce que font ses clients.








Jeanprofite a écrit :



Ces informations ne devraient pas transiter en clair.&nbsp;&nbsp;&nbsp;



&nbsp;&nbsp;

Pourquoi ?&nbsp;









Faith a écrit :



Bref, en 2017, il y a 2 informations en clair: numéro + expiration. 

Ceci est donc qualifié de “relativement sensible”.  

Reste à expliquer en quoi ceci est sensible et ce que quelqu’un peu faire avec ces informations cruciales.





Voilà ce que l’on peut faire avec un numéro de carte sur le réseau VISA.

C’est quand même assez énorme. Ne pas limiter le nombre d’essais sur le cryptogramme visuel est une faille importante.



D’où l’importance de demander aussi le nom prénom pour les sites de paiement, puisque cette info n’est plus transmise par NFC,.



Parce que c’est récupérable facilement et par un peu d’ingénierie sociale ont retrouve le nom du porteur ainsi que son prénom.

Même sans ingénierie sociale : des gens se baladent avec leur badge pro autour du coup dans le métro, ou bien le pass Navigo à la main, ou encore les étiquettes SNCF sur les bagages…








fred42 a écrit :



Voilà ce que l’on peut faire avec un numéro de carte sur le réseau VISA.



&nbsp;

Ton lien signale que justement, il n’y a même pas besoin d’avoir le numéro de la carte pour mener cette attaque.

&nbsp;

&nbsp;





Jeanprofite a écrit :



Parce que c’est récupérable facilement et par un peu d’ingénierie sociale ont retrouve le nom du porteur ainsi que son prénom.

Même sans ingénierie sociale : des gens se baladent avec leur badge pro autour du coup dans le métro, ou bien le pass Navigo à la main, ou encore les étiquettes SNCF sur les bagages…





Ce que tu décris, c’est bien de l’ingénierie sociale, ça nécessite une présence physique sur place, ce qui limite la vitesse de récupération des infos.

Résultat: l’enquête que tu décris est aussi complexe que n’importe quel autre moyen de récupérer des numéros de carte, mais beaucoup moins efficace qu’une simple caméra bien placée.



Tu décris donc un risque inférieur à ce qui existe déjà.



Je décris un risque supplémentaire à ce qui existe déjà.








Faith a écrit :



Ton lien signale que justement, il n’y a même pas besoin d’avoir le numéro de la carte pour mener cette attaque.







Il indique 2 choses :




  • que l’on n’a pas besoin de tous les chiffres du numéro pour reconstituer un numéro complet, ce dont tu parles

  • que si on a tous les numéros, cela va encore plus vite pour retrouver le cryptogramme visuel (1000 possibilités), ce dont je parlais.



    En fait, il y en a une troisième : on peut aussi deviner la date d’expiration (en fait, avec des durées de validité de 5 ans, ça fait 60 possibilités maximum).



    Mais tu as raison, 6 secondes ou beaucoup moins, cela ne fait pas une très grande différence et récupérer le numéro de la carte par NFC ou en le lisant avec ses yeux ou une caméra ne change pas grand chose.



Ça n’empêche pas de récupérer l’empreinte et de refermer la lettre.








Jeanprofite a écrit :



Je décris un risque supplémentaire à ce qui existe déjà.





Sauf que ce genre de risques ne s’additionnent pas.

La fin de l’arnaque sera toujours la même: payer par carte sur des sites peu regardant, tellement peu regardant qu’il ne demandent pas le cryptogramme (jamais vu, perso).



Est-ce qu’il y aura plus de malfrats à se lancer dans cette arnaque grâce au NFC ?

A mon avis, non, car c’est une méthode qui nécessite en plus une présence physique.

Si tu es d’un avis différent, pourquoi pas, mais il faut m’expliquer quel type de personne préférera obtenir le nom d’une personne via un système différent de celui de captation du n° de carte.

&nbsp;Ca multiplie le travail alors qu’une captation visuelle de la carte suffit à avoir toutes les informations en une fois.

&nbsp;

Et on en profite pour rappeler à nouveau qu’en cas de fraude à la carte (en particulier sans utilisation de 3D secure et encore beaucoup plus en l’absence de saisie de cryptogramme), c’est le commerçant qui est perdant. Pas le possesseur de la carte.

&nbsp;





fred42 a écrit :



Il indique 2 choses :




  • que l’on n’a pas besoin de tous les chiffres du numéro pour reconstituer un numéro complet, ce dont tu parles

  • que si on a tous les numéros, cela va encore plus vite pour retrouver le cryptogramme visuel (1000 possibilités), ce dont je parlais.



    En fait, il y en a une troisième : on peut aussi deviner la date d’expiration (en fait, avec des durées de validité de 5 ans, ça fait 60 possibilités maximum).





    Il existait déjà des contrôles chez VISA, mais l’attaque via différents sites de réplication de par le monde (si j’ai compris la stratégie) a permis de passer suffisamment de tentatives avant que les sites n’aient le temps de communiquer entre eux.

    Je présume que la faille chez VISA a été patchée depuis (d’autant plus que Mastercard a déjà un système suffisant).



    En tout cas, ce lien est vraiment intéressant !



Je ne suis pas contre le fait de pinailler; mais le sujet ici est celui du risque supplémentaire qui est de porter une puce rfid transmettant des informations en clair, en plus de la puce principale et de la bande magnétique.



Mes réponses faisaient suite à ton commentaire dans lequel tu disais que puisque certaines critiques dont faisait partle commentaire de v1nce n’était plus d’actualité, tout son commentaire était faux et que tout allait bien, circulez y a rien à voir.



Tu as ou moins un admirateur, fred42 et toi êtes êtes mignon à cous envoyer des fleurs <img data-src=" />



Édit : juste pour le plaisir de la précision.