Piratage de Home Depot : 56 millions de cartes bancaires compromises

Piratage de Home Depot : 56 millions de cartes bancaires compromises

16 millions de plus que Target

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

22/09/2014 3 minutes
45

Piratage de Home Depot : 56 millions de cartes bancaires compromises

Au début du mois, Home Depot confirmait avoir été victime d'une cyberattaque et que son système de paiement par carte bancaire avait été atteint. Via un nouveau communiqué, la société dévoile des détails sur l'ampleur des dégâts, en indiquant notamment que pas moins de 56 millions de cartes bancaires ont été compromises.

Dans le petit monde de la sécurité informatique, il y a certains vols de données plus importants que d'autres. Le cas de Target outre-Atlantique a fait couler beaucoup d'encre par exemple, il faut dire qu'il était question de pas moins de 40 millions de cartes bancaires piratées. Au début du mois, Home Depot indiquait à son tour avoir été victime d'une cyberattaque, et on vient d'apprendre qu'elle était finalement très importante puisqu'il est cette fois-ci question de 56 millions de cartes bancaires compromises.

 

Dans son communiqué de presse, la chaine de magasins indique que le logiciel malveillant utilisé a été spécialement développé pour cette attaque et qu'il n'avait pas été vu auparavant. La société confirme au passage que l'attaque s'est déroulée entre avril et septembre de cette année, soit sur une période d'environ six mois, ce qui explique surement l'étendue des dégâts. Cette fois encore, Home Depot précise qu'il n'y a « aucune preuve indiquant que les codes PIN ont été compromis », mais il faut rappeler que ce dernier n'est pas toujours utilisé outre-Atlantique.

 

Selon nos confrères de Mashable, Home Depot a envoyé un email à ses clients afin de les informer de la situation. La société précise avoir renforcé sa sécurité, notamment avec « un système de chiffrement des données de paiement amélioré ». Si l'ensemble des magasins des États-Unis est concerné, il faudra attendre l'année prochaine pour ceux du Canada, pourtant également touché par cette faille. De son côté, le Wall Street Journal se serait entretenu avec d'anciens employés de Home Depot, et ces derniers ne sont pas tendres avec la société. En effet, selon eux, la société aurait été lente à réagir et aurait utilisé des « logiciels obsolètes ».

 

Quoi qu'il en soit, le piratage de Home Depot reste probablement l'un des plus importants avec pas moins de 56 millions de numéros de carte bancaire compromis. Comme toujours en pareille situation, il est important de suivre d'encore plus près ses relevés de comptes. Pour rappel, Home Depot propose une assistante gratuite d'un an à ses clients qui en auraient besoin.

 

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Fermer

Commentaires (45)


pyro-700
Le 22/09/2014 à 07h 18

je suis rassuré et madame michu aussi.


ayaredone
Le 22/09/2014 à 07h 26

Tant qu’une loi n’interdira pas aux e-commerçants de stocker les CB…


Mastah
Le 22/09/2014 à 07h 27

Ah ba, si c’est que 56M ça va.


Commentaire_supprime
Le 22/09/2014 à 07h 29

Par chance, je ne suis pas client chez eux…



N’empêche, c’est quand même de la négligence sévère de ne pas mieux sécuriser une chaîne de paiement. Surtout si, comme ce qui est rapporté par des anciens employés, des logiciels obsolètes sont employés en prod…


XMalek
Le 22/09/2014 à 07h 33







ayaredone a écrit :



Tant qu’une loi n’interdira pas aux e-commerçants de stocker les CB…







En france ce nest qu’une “recommandation” de la cnil, et l loi punit le stockage de plus du temps de remboursement (13 mois si je dis pas de conneries).



Potentiellement s’il y avait un moyen simple de rembourser les gens via carte de crédit (genre via le numéro de transaction qui lui est unique par système) il n’y aurait plus à stocker les cartes de crédits.









XMalek a écrit :



En france ce nest qu’une “recommandation” de la cnil, et l loi punit le stockage de plus du temps de remboursement (13 mois si je dis pas de conneries).



Potentiellement s’il y avait un moyen simple de rembourser les gens via carte de crédit (genre via le numéro de transaction qui lui est unique par système) il n’y aurait plus à stocker les cartes de crédits.





Ce serait pas mal, même s’il y aura toujours des feignasses pour enregistrer le numéro de carte pour ne pas avoir à le ressaisir à chaque achat….



canti
Le 22/09/2014 à 07h 37







ayaredone a écrit :



Tant qu’une loi n’interdira pas aux e-commerçants de stocker les CB…







En même temps, si tu as un malware dans les bornes de payement ( comme il est plus ou moins question dans ces affaires), stocker ou pas les infos de CB n’est pas la question



La question, c’est le fait que les US ont toujours ce système de bande magnétique pourrie…



RaYz
Le 22/09/2014 à 07h 37







ayaredone a écrit :



Tant qu’une loi n’interdira pas aux e-commerçants de stocker les CB…





Paypal perdrait de son intérêt.



Perso moi je vois pas le problème. D’autant plus que dans le pire des cas tu es couvert si y’a un problème donc bon…



tAran
Le 22/09/2014 à 07h 38







Commentaire_supprime a écrit :



Par chance, je ne suis pas client chez eux…



N’empêche, c’est quand même de la négligence sévère de ne pas mieux sécuriser une chaîne de paiement. Surtout si, comme ce qui est rapporté par des anciens employés, des logiciels obsolètes sont employés en prod…





Tu ne confondrais pas avec Office Depot par hasard ? Home Depot c’est le Castorama américano canadien <img data-src=" />



ayaredone
Le 22/09/2014 à 07h 39







ActionFighter a écrit :



Ce serait pas mal, même s’il y aura toujours des feignasses pour enregistrer le numéro de carte pour ne pas avoir à le ressaisir à chaque achat….







Heureusement en France, tant que le code confidentiel n’a pas été utilisé pour valider l’achat, c’est la banque qui est responsable.



Rappelons à tout hasard que le dépôt de plainte qu’elle réclame n’est absolument pas obligatoire, de plus en plus de poste de police refusant même de les prendre.



Folgore
Le 22/09/2014 à 07h 45

ca va, ma cb expire a la fin du mois, pourront se gratter le <img data-src=" /> avec <img data-src=" />


Commentaire_supprime
Le 22/09/2014 à 07h 50







tAran a écrit :



Tu ne confondrais pas avec Office Depot par hasard ? Home Depot c’est le Castorama américano canadien <img data-src=" />







Non. C’est un nom que je connais, et je sais qu’ils vendent aussi en VPC.



Je crois qu’ils ont même des magasins au Royaume-Uni.



XMalek
Le 22/09/2014 à 07h 52







ActionFighter a écrit :



Ce serait pas mal, même s’il y aura toujours des feignasses pour enregistrer le numéro de carte pour ne pas avoir à le ressaisir à chaque achat….







Le problème (et je l’ai évoqué plusieurs fois à notre fournisseur de logiciel de caisse) c’est qu’il y a au minimum trois acteurs :




  • La/les banques

  • Le fournisseur de logiciel de payement (genre ingenico)

  • Le logiciel de caisse ou d’e-commerce

  • Le commercant



    Ingenico demande de toute façon les cartes de crédits en clair (même si c’est censé être de façon temporaire il faut quand même l’envoyer au logiciel de payement en clair) , donc les deux derniers acteurs sont dépendants du bon vouloir du fournisseur de payement, s’il y avait moyen de crypter dès le départ la carte avec un cryptage “sain” (avec table de cryptage qui change toutes les trentes secondes et cryptage via time stamp ?) il n’y aurait pas de problèmes à stocker les numéros.



    Mais bon le jour ou cela arrivera n’est pas là. Quand on voit ce que les grandes surfaes belges ont faites pour la “catastrophe de noel” on se dit que le stockage des cbs va être de plus en plus fréquent.



tAran
Le 22/09/2014 à 07h 53







Commentaire_supprime a écrit :



Non. C’est un nom que je connais, et je sais qu’ils vendent aussi en VPC.



Je crois qu’ils ont même des magasins au Royaume-Uni.





Au temps pour moi alors <img data-src=" />



Commentaire_supprime
Le 22/09/2014 à 07h 55







tAran a écrit :



Au temps pour moi alors <img data-src=" />







J’en ai entendu parler par les bouquins de trains miniatures anglais que j’achète, certains citent en exemple Home Depot comme chaîne pour acheter des matériaux de construction et de l’outillage.



flamwolf
Le 22/09/2014 à 07h 57

Tant qu’il n’y aura pas la possibilité de class actions avec de gros dommages intérêts à la clé cela ne changera pas.



C’est un peu comme le débat il y quelques années sur les garanties d’accès au service. C’était pas possible ça demandait trop de puissance, la technologie était pas mûr etc… Une décision de justice et quelques millions de dommages et intérêts plus tard, un miracle a eu lieu avec une rapidité telle que le fournisseur d’accès ciblé n’a quasiment pas payé d’astreinte. Magie!!








XMalek a écrit :



Le problème (et je l’ai évoqué plusieurs fois à notre fournisseur de logiciel de caisse) c’est qu’il y a au minimum trois acteurs :




  • La/les banques

  • Le fournisseur de logiciel de payement (genre ingenico)

  • Le logiciel de caisse ou d’e-commerce

  • Le commercant



    Ingenico demande de toute façon les cartes de crédits en clair (même si c’est censé être de façon temporaire il faut quand même l’envoyer au logiciel de payement en clair) , donc les deux derniers acteurs sont dépendants du bon vouloir du fournisseur de payement, s’il y avait moyen de crypter dès le départ la carte avec un cryptage “sain” (avec table de cryptage qui change toutes les trentes secondes et cryptage via time stamp ?) il n’y aurait pas de problèmes à stocker les numéros.



    <img data-src=" /> <img data-src=" />



    Ils sont à la pointe de la technologie chez Ingenico <img data-src=" />



    En effet, les multiples intermédiaires font qu’il est dangereux de stocker les n° de CB. Et comme on ne va pas vérifier les intermédiaires pour chaque paiement, autant ne pas les enregistrer du tout.







    XMalek a écrit :



    Mais bon le jour ou cela arrivera n’est pas là. Quand on voit ce que les grandes surfaes belges ont faites pour la “catastrophe de noel” on se dit que le stockage des cbs va être de plus en plus fréquent.



    C’est quoi cette affaire ?



Héphaïstos
Le 22/09/2014 à 08h 17

Ce que j’aime bien dans l’article :



La société précise avoir renforcé sa sécurité, notamment avec « un système de chiffrement des données de paiement amélioré ».



Le système “amélioré” consiste à chiffrer les données chiffrées ?


Charly32
Le 22/09/2014 à 08h 23







XMalek a écrit :



En france ce nest qu’une “recommandation” de la cnil, et l loi punit le stockage de plus du temps de remboursement (13 mois si je dis pas de conneries)..





Ne serait-ce que que laisser la case “stocker mes information de paiement” en opt-out…<img data-src=" />







RaYz a écrit :



Perso moi je vois pas le problème. D’autant plus que dans le pire des cas tu es couvert si y’a un problème donc bon…









ayaredone a écrit :



Heureusement en France, tant que le code confidentiel n’a pas été utilisé pour valider l’achat, c’est la banque qui est responsable.







Oui mais si pour une poignée de client, le fait que la banque paye est “invisible”, si des millions de clients se font pirater ne serait-ce que 10$, ça va forcement se répercuter sur les clients finaux (nous) : augmentation des frais bancaires, diminution des rémunérations etc…

A moins que les banques puissent annuler les transactions frauduleuses, bien entendu.



XMalek
Le 22/09/2014 à 08h 34







ActionFighter a écrit :



C’est quoi cette affaire ?







Noel dernier (enfin le 2312 si je ne dis pas de conneries), les terminaux de payement en belgique sont tombés en rade et il était impossible de payer en Carte de crédit. On a pas eu les détails mais els grandes surfaces ont mis en place un stockage temporaire d’autorisations des transactions ce qui signifie stockage temporaire des carte de crédit.



tic tac
Le 22/09/2014 à 08h 36



C’est quoi cette affaire ?



Suite à une panne générale du système de paiement électronique la veille de Noël (un des plus gros jour pour le paiement par carte de l’ année) certaines grandes surfaces ont stocké et enregistré localement toute les transactions et toutes les infos de transactions pour les retransmettre par la suite au banque dès que le système à été retabli.



Je suppose du moins que c’ est à celà dont il fait allusion.



EDIT: grilled ^^


tazvld Abonné
Le 22/09/2014 à 08h 39

Bon, le problème en soit n’est pas le stockage de la CB, c’est surtout qu’elle soit en clair. Soyons claire, c’est trop avantageux pour les marchand d’enregister notre carte, ça facilite l’achat impulsif. De l’autre coté, les banques sont assez archaïques là dessus, les seul services de payement en ligne un tant soit peu sécurisé sont les codes de CB temporaire pour le “e-payement”, mais ce service est souvent payant…



Personnellement imaginons que pour qu’un achat sur des sites nécessite 3 information : l’ID de la carte, l’autorisation du client crypté (confidentiel entre le client et la banque) et un code de la carte crypté/hashé par une clé lié au certification du marchand (permettant ainsi de valider la carte et le marchand à la banque).

Il suffit d’aller un peu plus loin et d’avoir la possibilité de générer des code d’autorisation codant entre autre des limites de montant ou de validité de nombre de retrait…. Je vois encore trop de personnes frileuse de faire des achats sur internet à cause de la sécurité. Ici, tout le monde a à y gagner.









XMalek a écrit :



[…] Quand on voit ce que les grandes surfaes belges ont faites pour la “catastrophe de noel” on se dit que le stockage des cbs va être de plus en plus fréquent.





Même question qu’ActionFighter, c’est quoi cette histoire ?



grilled



picatrix
Le 22/09/2014 à 08h 40







Charly32 a écrit :



Oui mais si pour une poignée de client, le fait que la banque paye est “invisible”, si des millions de clients se font pirater ne serait-ce que 10$, ça va forcement se répercuter sur les clients finaux (nous) : augmentation des frais bancaires, diminution des rémunérations etc…

A moins que les banques puissent annuler les transactions frauduleuses, bien entendu.







il suffit d’obliger les consommateurs à utiliser exclusivement des e-cb sur le net par exemple en interdisant l’usage sur le net des cb physiques. La e-cb n’étant valable que pour une seule transaction, il ne servira plus à rien aux pirates de s’emparer des numéros. La génération du numéro se faisant entre le client et sa banque en amont de la transaction.

Il faudrait que les pirates attaquent les banques, mais elles sont sensées savoir se protéger contre ça <img data-src=" />









XMalek a écrit :









tic tac a écrit :





<img data-src=" />



Après, si les données sont envoyées en clair, ils peuvent les stocker, ça changera pas grand chose au final si un attaquant à accès au SI….









tazvld a écrit :



Bon, le problème en soit n’est pas le stockage de la CB, c’est surtout qu’elle soit en clair.





Ou mal chiffrées….



Dans les deux cas, impossible de savoir.



tazvld Abonné
Le 22/09/2014 à 08h 48







XMalek a écrit :



Noel dernier (enfin le 2312 si je ne dis pas de conneries), les terminaux de payement en belgique sont tombés en rade et il était impossible de payer en Carte de crédit. On a pas eu les détails mais els grandes surfaces ont mis en place un stockage temporaire d’autorisations des transactions ce qui signifie stockage temporaire des carte de crédit.









tic tac a écrit :



Suite à une panne générale du système de paiement électronique la veille de Noël (un des plus gros jour pour le paiement par carte de l’ année) certaines grandes surfaces ont stocké et enregistré localement toute les transactions et toutes les infos de transactions pour les retransmettre par la suite au banque dès que le système à été retabli.

Je suppose du moins que c’ est à celà dont il fait allusion.



EDIT: grilled ^^







N’est ce pas déjà le cas ? Je sais que sociétés d’autoroutes, les pompes à essence ou les grandes surfaces font un retrait asynchrone. Justement, certaine cartes “jeunes” sont dépourvue de cette option, les empêchant d’utiliser de tels système (et donc ne permettant pas de remplir le réservoir). Pour les grandes surfaces, tu regarderas ton relevé de compte, le retrait est effectué généralement le lendemain (sûrement plus exactement durant la nuit).



Commentaire_supprime
Le 22/09/2014 à 08h 53







tazvld a écrit :



N’est ce pas déjà le cas ? Je sais que sociétés d’autoroutes, les pompes à essence ou les grandes surfaces font un retrait asynchrone. Justement, certaine cartes “jeunes” sont dépourvue de cette option, les empêchant d’utiliser de tels système (et donc ne permettant pas de remplir le réservoir). Pour les grandes surfaces, tu regarderas ton relevé de compte, le retrait est effectué généralement le lendemain (sûrement plus exactement durant la nuit).







Je confirme pour les grandes surfaces, l’opération m’est comptée a minima à J+1, quand c’est pas le mardi suivant pour un achat effectué le samedi.



XMalek
Le 22/09/2014 à 09h 01







picatrix a écrit :



il suffit d’obliger les consommateurs à utiliser exclusivement des e-cb sur le net par exemple en interdisant l’usage sur le net des cb physiques. La e-cb n’étant valable que pour une seule transaction, il ne servira plus à rien aux pirates de s’emparer des numéros. La génération du numéro se faisant entre le client et sa banque en amont de la transaction.

Il faudrait que les pirates attaquent les banques, mais elles sont sensées savoir se protéger contre ça <img data-src=" />







sigh, l’e-cb est une impasse qu’il faut arréter (problème de validité, d’internationalisation, et aussi de “sécurité” si ton mot de passe bancaire fuite sachant que pour “m’amuser” j’ai déjà fait changer le mot de passe de quelqu’un d’autre par un simple appel téléphonique), la solution c’est le mini tpe à côté de ton ordinateur qui génère un numéro de transaction lorsque tu veux faire un payement mais pour cela il faut :




  • des avancées niveau navigateur

  • des avancées niveau payement

  • des avancées niveau banques

  • des avancées niveau sites

    Bref ça n’arrivera jamais sauf s’il y a vraiment un gros crash international.



    La seule solution actuelle un minimum sécurisé c’est la double authentification paypal (mot de passe + clé physique de sécurité avec identification variable selon le timestamp) mais c’est interdit en France. pour la e-cb il faudrait au minimum la même chose.



tazvld Abonné
Le 22/09/2014 à 09h 02







ActionFighter a écrit :



Ou mal chiffrées….



Dans les deux cas, impossible de savoir.





Le problème d’un chiffrage, c’est que dès lors que la clé privé est obtenu, le système est compromis. Là, la clé, l’algo, la CB, tout donc, se trouvent chez le marchand dont justement vient de se faire pirater,



tic tac
Le 22/09/2014 à 09h 11

@ tazvld



Le problème si il y en a un c’ est que la relative sécurité des paiements par transaction bancaire dans les grandes surfaces belges est du en autre par le fait que les données du client et les données de transaction ne sont pas mêlées et sont bien cloisonnées (la plupart des grandes enseignes belges utilisent les services de société comme Ogone comme vérification en fin de chaîne du paiement de manière indépendante du moyen de paiement ou de l’ organisme financier qui a émit la carte).



Suite à la panne du réseau Atos, techniquement, cette sécurité a été compromise avec le stockage en local de toutes les infos sur le même serveur le temps que le service de transaction électronique se rétablisse (la panne n’ ayant duré que une heure je pense, les grandes surfaces ont fait face au problème avec une solution à l’ arrache au détriment des solutions de sécurité qu’ elles ont déployés habituellement).








tazvld a écrit :



N’est ce pas déjà le cas ? Je sais que sociétés d’autoroutes, les pompes à essence ou les grandes surfaces font un retrait asynchrone. Justement, certaine cartes “jeunes” sont dépourvue de cette option, les empêchant d’utiliser de tels système (et donc ne permettant pas de remplir le réservoir). Pour les grandes surfaces, tu regarderas ton relevé de compte, le retrait est effectué généralement le lendemain (sûrement plus exactement durant la nuit).



Exact, j’avais ce genre de carte il y a quelque temps, et impossible de prendre l’autoroute ou de prendre de l’essence aux pompes 24h/24h….







tazvld a écrit :



Le problème d’un chiffrage, c’est que dès lors que la clé privé est obtenu, le système est compromis. Là, la clé, l’algo, la CB, tout donc, se trouvent chez le marchand dont justement vient de se faire pirater,





Il y a des techniques pour éviter ça, comme déjà cloisonner les infos, mais dans tout les cas, il faut faire confiance aveuglément au vendeur…



Héphaïstos
Le 22/09/2014 à 09h 32







ActionFighter a écrit :



mais dans tout les cas, il faut faire confiance aveuglément au vendeur…





Comme chez Darty, au moment d’acheter un PC ou un LadyShave ?



the_mei
Le 22/09/2014 à 09h 36

Non mais il n’y a pas de loi, car c’est de la responsabilité des organisme de gestion des cartes de crédits de s’assurer que la transaction est lissite. Autrement dit, c’est VISA et MasterCard qui engagent leur responsabilité quand une transaction est validé.



En d’autres termes, une transaction illégitime sera toujours remboursée.



Après il y a des recommandations comme PCI-DSS afin de garantie une sécurité élevée.



Mais rien n’étant infaillible, VISA prefere parfois payer via leur assurance que de sécurisé un cran de plus le système. Typiquement voir le payement sans contact. C’est tout sauf vraiment fiable, mais c’est pas grave vu le risque engagé par VISA.


the_mei
Le 22/09/2014 à 09h 38







ActionFighter a écrit :



Exact, j’avais ce genre de carte il y a quelque temps, et impossible de prendre l’autoroute ou de prendre de l’essence aux pompes 24h/24h….





Il y a des techniques pour éviter ça, comme déjà cloisonner les infos, mais dans tout les cas, il faut faire confiance aveuglément au vendeur…





C’est très simple, tu stocke une partie de la CB en local (ce qui permet de faire les ticket CB avec des XXXX genre) et t’as un conteneur crypté ailleurs non visible sur internet qui t’envoie le reste en loguant tout ce qu’il se passe.



Au pire si jamais il y a fuite, on remonte la trace.



tazvld Abonné
Le 22/09/2014 à 09h 39







tic tac a écrit :



@ tazvld



Le problème si il y en a un c’ est que la relative sécurité des paiements par transaction bancaire dans les grandes surfaces belges est du en autre par le fait que les données du client et les données de transaction ne sont pas mêlées et sont bien cloisonnées (la plupart des grandes enseignes belges utilisent les services de société comme Ogone comme vérification en fin de chaîne du paiement de manière indépendante du moyen de paiement ou de l’ organisme financier qui a émit la carte).



Suite à la panne du réseau Atos, techniquement, cette sécurité a été compromise avec le stockage en local de toutes les infos sur le même serveur le temps que le service de transaction électronique se rétablisse (la panne n’ ayant duré que une heure je pense, les grandes surfaces ont fait face au problème avec une solution à l’ arrache au détriment des solutions de sécurité qu’ elles ont déployés habituellement).







Ok, je ne connais pas assez le fonctionnement en France pour te dire ce qu’il en est.







ActionFighter a écrit :



Exact, j’avais ce genre de carte il y a quelque temps, et impossible de prendre l’autoroute ou de prendre de l’essence aux pompes 24h/24h….





Il y a des techniques pour éviter ça, comme déjà cloisonner les infos, mais dans tout les cas, il faut faire confiance aveuglément au vendeur…







Cependant, à un moment donné les info banquaire et la clé devront être réunie coté marchand.



C’est pour ça que je suis assez d’accord avec XMalek pour dire que le système actuel est archaïque et nécessite une refonte pour coller au besoin.





XMalek a écrit :



[…]







J’avais proposé ainsi quelque chose un peu différent basé sur 3 informations que la banques aurait besoin. La première est l’id de la carte (qui peut être en clair), la seconde est un code d’autorisation du client crypté autorisant le marchand de faire le retrait (avec impossibilité pour le marchand de la décrypter et lié à la 3ième information) et un code/hash permettant de valider clairement que les informations données correspondent bien au site/marchand (par exemple sa certification tss/ssh).

Ainsi même si un “pirate” arrive à avoir les codes, il ne peut pas faire de transaction car l’autorisation n’est donné qu’au marchand et à son certificat authentification.

De plus, un tel système peut être plus riche que les systèmes actuels avec par exemple la possibilité de coder des informations dans l’autorisation de retrait comme les dates de validité, une limite de retrait, une limite de nombre de retrait…




tic tac
Le 22/09/2014 à 09h 51



J’avais proposé ainsi quelque chose un peu différent basé sur 3 informations que la banques aurait besoin.

(…)



Un lien intéressant sur le système déploié par les grandes surfaces belges



Ce qui explique pourquoi toute cette chaîne de protection a pu théoriquement (en fait, honnêtement, on n’ en sait rien puisque on a aucune autre info complémentaires pour en tirer de manière catégorique la conclusion suivante ^^) être compromise lors de la panne de Noel en Belgique par la solution de dépannage de garder en local toutes les infos sur un même serveur, celui du magasin.


Commentaire_supprime
Le 22/09/2014 à 10h 02

Au passage, je viens de vérifier chez un de mes fournisseurs US : ils demandent le CCV pour une transaction par Visa.



Par contre, mes fournisseurs en Grande-Bretagne et mon fournisseur au Japon passent systématiquement par 3D secure en plus.


felicienfrancois Abonné
Le 22/09/2014 à 10h 17







Folgore a écrit :



ca va, ma cb expire a la fin du mois, pourront se gratter le <img data-src=" /> avec <img data-src=" />





Merci de l’indiquer, ça permet de prioriser les cartes à débiter en premier <img data-src=" />



Débit de 99999€ effectué !

En vous remerciant <img data-src=" />



douda_wak Abonné
Le 22/09/2014 à 10h 47







ayaredone a écrit :



Heureusement en France, tant que le code confidentiel n’a pas été utilisé pour valider l’achat, c’est la banque qui est responsable.



Rappelons à tout hasard que le dépôt de plainte qu’elle réclame n’est absolument pas obligatoire, de plus en plus de poste de police refusant même de les prendre.







on pourrait avoir une source la dessus ? non aps que je prévois de me faire dépouiller bientot, mais par curiosité dirais-je.









felicienfrancois a écrit :



Merci de l’indiquer, ça permet de prioriser les cartes à débiter en premier <img data-src=" />



Débit de 99999€ effectué !

En vous remerciant <img data-src=" />





si tu pouvais en mettre une partie sur ma carte, ce serait sympa. Elle est à découvert pour le moment.<img data-src=" />



WereWindle
Le 22/09/2014 à 11h 10







douda_wak a écrit :



on pourrait avoir une source la dessus ? non aps que je prévois de me faire dépouiller bientot, mais par curiosité dirais-je.





point n°3 : un courrier à la banque sous 70j suffit et elle a l’obligation de recréditer ton compte.



AlbertSY
Le 22/09/2014 à 12h 02

Dire qu’à la Fnac il y a encore quelques temps demandait la carte CB + le code criptogramme au guichet pour retirer son billet commande sur internet.

La femme du guichet m’avait refusé de me donner mes tickets car je ne voulais pas lui fournir le criptogramme de ma CB (mon ticket a été payé sur internet).

J’ai du lui donner mon numéro de CB + le criptogramme (les 3 chiffres du dos de la carte), car elle m’a dit que c’est la procédure. Elle a donc noter ma CB + le criptogramme.

Conclusion, la guichetiere a votre CB + le criptogramme et elle pourra faire ce qu’elle veut….. <img data-src=" />



J’espère que cela a changé à la fnac. En tout cas j’ai dit à la vendeuse que j’allais suivailler de près mon compte puisque maintenant elle a connaissance de ma CB + le criptogramme. <img data-src=" />








AlbertSY a écrit :



Dire qu’à la Fnac il y a encore quelques temps demandait la carte CB + le code criptogramme au guichet pour retirer son billet commande sur internet.

La femme du guichet m’avait refusé de me donner mes tickets car je ne voulais pas lui fournir le criptogramme de ma CB (mon ticket a été payé sur internet).

J’ai du lui donner mon numéro de CB + le criptogramme (les 3 chiffres du dos de la carte), car elle m’a dit que c’est la procédure. Elle a donc noter ma CB + le criptogramme.

Conclusion, la guichetiere a votre CB + le criptogramme et elle pourra faire ce qu’elle veut….. <img data-src=" />



J’espère que cela a changé à la fnac. En tout cas j’ai dit à la vendeuse que j’allais suivailler de près mon compte puisque maintenant elle a connaissance de ma CB + le criptogramme. <img data-src=" />





Elle a probablement dû se demander pendant un long moment ce que tu voulais dire par “suivailler”.



Héphaïstos
Le 22/09/2014 à 12h 56







gokudomatic a écrit :



Elle a probablement dû se demander pendant un long moment ce que tu voulais dire par “suivailler”.





“Suivaillance” : suivre vaillamment une personne, un animal, avec bienveillance.



douda_wak Abonné
Le 23/09/2014 à 09h 18







WereWindle a écrit :



point n°3 : un courrier à la banque sous 70j suffit et elle a l’obligation de recréditer ton compte.







Merci beaucoup WereWindle ! Je garde ça sous le coude ! Faut que je vérifie si ca s’applique à toute l’Europe car je suis dans le pays de la Guiness la ;)