Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Carte bancaire Visa : des informations récupérables par force brute, la société nous répond

Avis aux commerçants : débrouillez-vous !

Carte bancaire Visa : des informations récupérables par force brute, la société nous répond

Le 06 décembre 2016 à 09h05

Des chercheurs pointent du doigt un problème concernant les cartes bancaires Visa : il est possible de récupérer la date de fin de validité, le cryptogramme visuel (CVV) et le code postal du propriétaire à partir du numéro de la carte. Interrogé, Visa explique être au courant de cette publication et donne sa version des faits.

Pour payer avec sa carte bancaire sur Internet, il faut généralement saisir trois informations (c'est du moins le cas en France) : son numéro, sa date de fin de validité et le code CVV (aussi appelé cryptogramme visuel), composé de trois chiffres au dos de la carte. Problème : d'après une étude publiée par des chercheurs de l'université de Newcastle en Angleterre, certaines informations peuvent facilement et rapidement être récupérées via une attaque par force brute.

Pour cela, les chercheurs (Mohammed Aamir Ali, Budi Arief, Martin Emms et Aad van Moorsel) expliquent qu'il faut au moins disposer du numéro d'une carte bancaire, ce qui peut être facilité par certaines fuites de données qui font la une de la presse ces derniers temps.

Le numéro de CB suffit pour obtenir date de fin de validité et code CVV

Partant de cette seule information, ils ont trouvé un moyen d'obtenir la date de fin de validité. Pour cela, ils interrogent les systèmes de paiement de différents revendeurs en ligne qui ne demandent que ces deux informations afin de valider une transaction. Ils testent alors toutes les combinaisons : décembre 2016 (12/16), janvier 2017 (01/17), février 2017 (02/17), etc. Si le système retourne une erreur, c'est que la date est mauvaise. Dans le cas contraire, c'est gagné.

Il est alors possible d'obtenir rapidement la bonne combinaison (le mois et l'année) en moins de 60 essais. L'équipe de chercheurs a pris comme limite haute une durée de validité de 5 ans pour les cartes bancaires, soit 60 mois et donc autant (ou aussi peu selon comment on regarde les choses) d'essais. Une fois la date de validité connue, ils peuvent passer à la seconde étape : récupérer de la même manière le cryptogramme visuel ou code CVV.

Pour cela, ils interrogent d'autres revendeurs qui demandent cette fois-ci le numéro de carte, la date de fin de validité ainsi que le code CVV pour valider une transaction. Ils passent alors en revue toutes les possibilités pour ce dernier, sachant qu'il n'y en a finalement qu'un millier : de 000 à 999. Cette opération peut donc être relativement rapide si elle n'est pas bloquée par les serveurs. Par une technique similaire, il est ensuite possible de récupérer le code postal du propriétaire de la carte.

Dans la vidéo ci-dessus, l'outil mis au point par les chercheurs n'a eu besoin que d'une poignée de secondes pour trouver le code CVV d'une carte bancaire à partir de son numéro et de sa date de fin de validité. Nous sommes par contre obligés de les croire sur parole sur la rapidité et sur la véracité de la solution trouvée.

Contrairement à MasterCard, Visa ne bloque pas ce genre d'attaque

Cette technique d'attaque par force brute est possible car, toujours selon les chercheurs, de nombreux sites – y compris de très gros revendeurs – n'imposent aucune limite sur le nombre d'essais, laissant ainsi d'éventuels pirates tester toutes les combinaisons possibles (et il y en a finalement assez peu).

Par exemple, une personne ne disposant que du numéro de la carte bancaire peut obtenir la date de fin de validité, puis le code CVV et enfin le code postal de son propriétaire. Pour les deux premières opérations, seules 1 060 combinaisons sont possibles car il est possible de chercher l'un puis l'autre, alors que ce nombre grimpe à 60 000 (60 x 1 000) s'il fallait trouver en même temps la date et le code CVV.

Toujours selon le constat des chercheurs, Visa ne bloque pas non plus ce genre d'attaque, ce qui est d'autant plus problématique. Une parade relativement simple à implémenter serait donc d'ajouter un nombre de tentatives maximum pour éviter une attaque par force brute. Une solution d'autant plus viable que le principal concurrent de Visa l'aurait mise en place.

L'étude indique en effet que « lorsque l'attaque est appliquée à une carte MasterCard, elle est détectée » et bloquée, y compris si les tentatives sont réparties sur plusieurs revendeurs différents. Pour l'équipe, cela signifie que « les réseaux de paiement ont la capacité de détecter et de prévenir » ce genre de tentative de piratage, au moins chez MasterCard.

Les chercheurs ajoutent avoir contacté 36 boutiques en ligne afin de leur faire part de leur découverte. 12 d'entre elles ne demandaient qu'un numéro de carte bancaire, 12 autres qui nécessitaient en plus de saisir la date de fin de validité de la carte et enfin les 12 dernières obligeaient le client à entrer le code CVV.

Seuls huit d'entre elles ont apporté des modifications suite à ce contact. Suivant les cas, la méthode utilisée est différente : ajouter un champ pour saisir le code postal en plus des autres informations, instaurer des limites pour bloquer les attaques par force brute ou un captcha, par exemple. Il n'en reste pas moins que dans la grande majorité (78 %) rien n'a changé.

VISA CVV Faille

Interrogé, Visa botte en touche

De notre côté, nous avons évidemment contacté Visa afin d'avoir le point de vue de la société sur la question ainsi que sur les actions qu'elle pourrait rapidement mettre en place. Si l'entreprise reconnait évidemment avoir connaissance de cette étude, ses explications restent relativement évasives :

« Cette recherche ne tient pas compte des multiples niveaux de prévention de la fraude qui existent au sein du système de paiements, chacun d'entre eux devant être respecté pour rendre une transaction possible dans le monde réel.

Visa s'engage à maintenir la fraude à un niveau bas et travaille en étroite collaboration avec les émetteurs de cartes et les acquéreurs pour rendre très difficile l'obtention et l'utilisation illégale des données des titulaires de carte. Nous fournissons aux émetteurs les données nécessaires pour prendre des décisions éclairées sur le risque des transactions. Il existe aussi des mesures que les commerçants et les émetteurs peuvent prendre pour contrecarrer les tentatives d'attaques en force.

Pour les consommateurs, la chose la plus importante à retenir est que si leur numéro de carte de paiement est utilisé frauduleusement, ils sont protégés de toute responsabilité.

Visa propose également une sécurité accrue avec Verified by Visa (basé sur la norme 3DSecure) qui offre une meilleure sécurité pour les transactions relatives au commerce électronique. Nous travaillons actuellement pour y intégrer les nouvelles spécifications 3DSecure 2.0, annoncées récemment. Lorsqu'un commerçant choisit de ne pas utiliser Verified by Visa pour une transaction sans carte, il assume le risque de fraude.

Visa se félicite des efforts déployés par l'industrie et les universités pour identifier et traiter les éventuelles vulnérabilités dans le système de paiements. Parallèlement à nos propres contrôles internes et à nos tests, cela permet à Visa et à l'industrie des paiements de rendre les paiements toujours plus sûrs »

Un rappel des protections et des risques, mais pas de plan d'action précis

Nous n'avons donc aucune réponse précise concernant d'éventuelles mesures que Visa pourrait mettre en place pour éviter ce genre d'attaque par force brute, comme le propose notamment MasterCard. S'il existe visiblement des protections permettant de « contrecarrer les tentatives d'attaques en force », elles ne sont pas détaillées et, semble-t-il, trop peu efficaces et /ou mises en place, puisque les chercheurs ont pu les contourner facilement.

Le groupe vante également son service « Verified by Visa », une protection basée sur 3D Secure qui ajoute une étape supplémentaire lors de la validation du paiement, dont la prochaine mouture 2.0 est sur les rails. Pour Visa, si un commerçant en ligne décide de ne pas utiliser cette protection pour une transaction, « il assume le risque de fraude ». Au moins, les choses sont claires pour les boutiques en ligne.

Côté utilisateur, le discours est différent puisque Visa nous explique que ses clients sont protégés contre une utilisation frauduleuse du numéro de leur carte bancaire. Dans tous les cas, activer par défaut une protection qui empêche une attaque par force brute ne pourrait être qu'une bonne chose pour Visa.

En effet, tout renforcement de la sécurité est bon à prendre, aussi bien pour les commerçants que pour les clients, mais rien n'est précisé sur ce point dans la réponse officielle de Visa. Dommage.

Commentaires (117)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







ProFesseur Onizuka a écrit :



Je ne te souhaite pas d’avoir un problème avec un paiement un jour avec PayPal: ils ne répondent pas au email, ils demandent des documents en boucle (ne les prennent pas en compte quant on leur envoie)… une boite à chier <img data-src=" />





Dans mon cas, à chaque fois que j’ai eut un litige avec un commerçant et que le paiement à été effectué via PayPal j’ai toujours été rembourser (par PayPal). J’utilise la plateforme depuis l’épopée eBay, et perso je suis plus rassurer de payer via cette plateforme que par Carte Bleue.

&nbsp;Après chaque cas est différent j’imagine…


votre avatar







ledufakademy a écrit :



“le seul critère qui vaille c’est le coût annuel de la fraude.

Tant qu’il n’est pas trop important, rien ne changera.”



As tu accès à cette donnée ?

Moi pas.







C’est exactement ça. Ils sont assis sur une rente de milliard d’euros en ne faisant qu’encaisser une commission sur l’ensemble des transactions CB (je parle de Mastercard et Visa).

0.6% en général du montant.

C’est indolore pour toi (qui le paie dans ton abonnement bancaire annuel/trimestriel/mensuel), et eux gagnent des millards en ne faisant rien SAUF rembourser si il y a une fraude suspectée/avérée.



L’ensemble du system CB tient sur la confiance en cette garantie.



votre avatar

il suffirait de demander le nom du propriétaire de la carte, c’ est déjà cas sur certains sites.

votre avatar







sirchamallow a écrit :



&nbsp; perso je suis plus rassurer de payer via cette plateforme que par Carte Bleue.





Ta carte est peut-être bleue mais c’est une Carte Bancaire.&nbsp; <img data-src=" />


votre avatar

Woaw ! Quelle banque ? <img data-src=" />

votre avatar

Tenez si ça intéresse : sur Amazon le cryptogramme visuel n’était pas obligatoire la dernière fois que j’ai essayé, le mois dernier.



Passez commande, et mettez un cryptogramme au pif, et ça passe. <img data-src=" />



EDIT : avec une MasterCard.

votre avatar

&nbsp;







floutchito a écrit :



C’est exactement ça.





<img data-src=" />

&nbsp;Pas du tout, lis mon commentaire où je lui ai répondu <img data-src=" /> .


votre avatar

Les banques font de sacrées marges sur les transactions CB (et Visa/MasterCard aussi), pas d’inquiétude pour elles ! C’est d’ailleurs comme ça que se rémunèrent les banques en ligne avec CB gratuite, sur les transactions, car sinon, comment feraient-elles pour subsister ?



Donc oui, ce que rapportent les cotisations annuelles des CB est dérisoire comparé à la commission sur les transactions. Les rendre gratuites n’a donc rien de déconnant, et ça fonctionne déjà !

votre avatar







CounterFragger a écrit :



Les banques font de sacrées marges sur les transactions CB (et Visa/MasterCard aussi), pas d’inquiétude pour elles ! C’est d’ailleurs comme ça que se rémunèrent les banques en ligne avec CB gratuite, sur les transactions, car sinon, comment feraient-elles pour subsister ?



Donc oui, ce que rapportent les cotisations annuelles des CB est dérisoire comparé à la commission sur les transactions. Les rendre gratuites n’a donc rien de déconnant, et ça fonctionne déjà !





Je pense que personne n’a dit ou imaginé que les banques ne gagnaient pas d’argent avec les cartes de crédit (ou débit), le contraire serait insolite. Les banques étant plutôt en concurrence, en tous cas pour tout ce qui est crédit, ça m’étonne qu’elles ne soient pas plus agressives sur les prix des cartes de crédit. Il ne faut pas oublier que le prix que tu paies à ta banque pour une carte dépend aussi des conditions que font Visa et Mastercard, qui sont des sociétés distinctes des banques, sauf erreur de ma part. Je ne sais pas comment marchent les accords entre une banque et un émetteur (Visa, Mastercard) pour les commissions.


votre avatar

ok , je vois.

votre avatar







OlivierJ a écrit :



<img data-src=" />

 Pas du tout (…)







Pas du tout quoi ? Je suis assez d’accord avec cette affirmation (“le seul critère qui vaille c’est le coût annuel de la fraude. Tant qu’il n’est pas trop important, rien ne changera.”).

C’est aussi ce que j’ai retenu de mon expérience dans le domaine.


votre avatar







malock a écrit :



Pas du tout quoi ? Je suis assez d’accord avec cette affirmation (“le seul critère qui vaille c’est le coût annuel de la fraude. Tant qu’il n’est pas trop important, rien ne changera.”).





Tu t’es trompé de destinataire, je répondais à “floutchito” qui répondait à l’autre rigolo.


votre avatar

J’ai bien lu oui (mais peut être pas compris <img data-src=" />)

Je pense que lorsque Floutchito déclare “c’est exactement ça”, il parle bien du fait que tant que la fraude ne pèse pas plus, rien ne sera fait (c’est schématique là, un peu plus complexe que ça, on est d’accord).

D’où mon interrogation au sujet de ton retour où tu indiques que “pas du tout”.

votre avatar

Alors oui en gros suis d’accord avec ta citation à 19 h ; après, si la minorité de clients qui doivent faire des démarches (de remboursement suite aux fraudes) se mettent à se plaindre plus fort, les banques et les émetteurs (Visa, Mastercard, etc.) évolueront peut-être plus.

votre avatar







malock a écrit :



“Pour les consommateurs, la chose la plus importante à retenir est que si leur numéro de carte de paiement est utilisé frauduleusement, ils sont protégés de toute responsabilité.”



Oui oui, sans doute.

Après, pour avoir vu mon compte courant vidé deux fois par utilisation frauduleuse de ma CB, je vous jure, c’est pas rigolo et bien la galère.

Déclaration à la cellule fraude de la banque, il faut montrer patte blanche. Inutile de porter plainte, “c’est à la banque que l’argent a été volé Monsieur, ce n’est pas le votre”. Ah ok, alors crédite mon compte : “ah non non, on verra”.

Puis, un petit matin, vous recevez un courrier de la banque indiquant qu’elle veut bien croire à votre petite histoire et vous rembourse alors… quelques semaines après.

Il faut se battre pour se voir rembourser les frais de gestion (paiement réalisé à l’étranger) et le coût de la nouvelle CB, c’est pour notre pomme.

Tout ça côté caisse d’épargne. Je passe quelques détails croustillant.







mince ca a l’air complique… ma conseillere a la SG a ete top quand ca m est arrive pour la premiere fois, pour deux paiements en Estonie. Elle m avait appele et demande de retirer le necessaire pour une semaine et c’etait tout…



Idem pour ma banque aux usa, un conseiller a passe en revue les transactions une a une avec moi et ensuite c’est envoi d’une nouvelle carte. par contre ils n’envoient aucun message pour prevenir de l’utilisation frauduleuse… a chaque fois que ca m’est arrive aux us, c’etait a coup de ma carte ne passe pas du tout alors que je sais tres bien que j’ai la somme (et on a l’air bien con dans ces moments la…). Je n’ai eu aucun frais a chaque fois.



Mais la frequence a laquelle ca arrive a augmente. Cette annee, 4 fois sur deux cartes differentes et la banque ne veut pas communiquer sur ses decouvertes, peut-etre une station ou un restaurant (je prefere payer en cash dans les lieux que je ne connais pas et qui me semblent un peu louche).


votre avatar

Le 3D Secure est payé par le commerçant dans son abonnement.

Tu en paies une partie à chacun de tes achats.



Visa: On est vulnérable à une brute force,

prenez donc notre protection. <img data-src=" />



Ca ressemble étrangement au racket de la Mafia.

votre avatar

Les systèmes bancaires ne communiques jamais sur les protections mises en place; ils estiment que ça facilite les attaques. La réponse de VISA n’est pas étonnante.

votre avatar

ils peuvent tester plusieurs centaines de cvv sans être bloqué, ça fait envie

votre avatar

La réponse de Visa certifié AOP 100% pur bullshit&nbsp;<img data-src=" />

votre avatar

Ce que je vais dire va peut-être paraître idiot, mais il faut disposer des chiffres d’une carte VISA pour pouvoir faire cette attaque, ce qui limite quand même l’ampleur. Bon après j’imagine que ça peut servir dans le cas des piratages, même si les attaquants ne récupèrent que les chiffres, ils sont alors en mesure de générer des informations manquantes.

votre avatar

“C’est pas grave on rembourse”. <img data-src=" />



Le monde actuel est vraiment génial… Entre ça et la norme SEPA permettant le prélèvement de base si la banque ne met pas en place une liste blanche (c’est au choix de la banque… Black list ou autre ou rien… ).

votre avatar

Pour résumer :




  • d’un numéro de CB volé, on peut déduire la date d’expiration (60 mois)

  • avec ça, on force les 999 possibilités du CVV

  • et là ça fait des chocapic



    Et la réponse de VISA, du bon gros “la sécurité par le secret et à la dissimulation des protections”. Faut arrêter les gens, le seul critère qui vaille c’est le coût annuel de la fraude.

    Tant qu’il n’est pas trop important, rien ne changera.



    Bref, il ne reste que le 3D secure et l’association avec un numéro de téléphone. De l’authentification en deux étapes en somme.

votre avatar

Il faudrait aussi préciser que pour la plupart des paiements en ligne il y a un système de code envoyé par SMS. C’est ce que j’ai lorsque je réalise un paiement avec ma carte Visa. Donc la personne a beau disposé du CVV, la finalisation du paiement est impossible.

votre avatar

La confirmation par SMS, c’est comme les antibiotiques : c’est pas automatique.

votre avatar

J’ai jamais vraiment compris l’intérêt de cette histoire de 3D secure… C’est bien au choix du site marchand non ? Y’a plein de sites ou on peut payer sans … Du coup l’intérêt est super limité&nbsp;

votre avatar

Ça conforte bien l’idée qu’ils s’en foutent royalement de la sécurité. C’était déjà les mêmes réponses avec les puces sans contact.



Et ce ne sont pas les banques qui vont demander quoi que ce soit, déjà quand tu demandes une carte sans puce sans contact, ils te prennent clairement pour un paranoïaque, avec les mêmes réponses que Visa “mais il y a des assurances monsieur”.

votre avatar







Guimareshh a écrit :



Il faudrait aussi préciser que pour la plupart des paiements en ligne il y a un système de code envoyé par SMS. C’est ce que j’ai lorsque je réalise un paiement avec ma carte Visa. Donc la personne a beau disposé du CVV, la finalisation du paiement est impossible.





Tout à fait exact, le 3D secure est maintenant obligatoire en france pour toutes sociétés faisant de la vente en ligne, les propriétaires de cartes banquaires en france devront attendre le SMS pour valider. C’est le principe de la double authentification.



Hélas il existe de nombreux endroit où l’on peut by-passer ce système. Il est particulièrement inquietant de voir que VISA n’a pas, n’aurais pas, implémenté de fail to ban. Mais c’est ce qu’ils disent, c’est peut être un honey pot.


votre avatar

90% des sites sur lesquels je paie n’utilisent PAS le 3D Secure. Il s’agit d’une protection uniquement en France, rencontré sur deux-trois sites en ce qui me concerne : la cantine du boulot (lol), Darty et un site d’e-cig. Amazon, y’a pas, ebay non plus, Airbnb encore moins, etc.

votre avatar







Guimareshh a écrit :



Il faudrait aussi préciser que pour la plupart des paiements en ligne il y a un système de code envoyé par SMS. C’est ce que j’ai lorsque je réalise un paiement avec ma carte Visa. Donc la personne a beau disposé du CVV, la finalisation du paiement est impossible.



Toi t’as pas lu l’article, où le cas du Verified by Visa & 3D Secure est quand même bien abordé…

&nbsp;

Et donc : c’est optionnel. Tant que 100% des boutiques ne l’utilisent pas, ça reste vulnérable.

&nbsp;


votre avatar

“le seul critère qui vaille c’est le coût annuel de la fraude.

Tant qu’il n’est pas trop important, rien ne changera.”



As tu accès à cette donnée ?

Moi pas.



Mais je suis maintenant intimement sure que nous assistons (en aveugle pour 99% des citoyens du monde) à la plus grosse escroquerie et arnaque de tout les temps au niveau des mouvements et de la création de la richesse via des capitaux informatisés … avec lesquelles ont achète des châteaux , des aéroports … des pays entier (Grèce) !



Le système fiancier est devenu virtuel, encore un peu d’IA et d’algo. totalement créer par les robots et nous ne saurons même plus qui fait quoi , ou vont les sommes … virtuelles etc.



Le saviez-vous :

http://www.musee-chateau-fontainebleau.fr/Le-theatre-de-Napoleon-III

devenu :

Le théâtre Impérial - Théâtre Cheikh Khalifa bin Zayed Al Nahyan



L’équipe de foot des Girondins de Bordeaux, depuis qu’elle a quitté le parc Lescure (ou stade Jacques Chaban-Delmas), joue désormais au … Stade Matmut-Atlantique…



Palais omnisport PAris Bercy ….

http://www.telerama.fr/monde/l-accorhotels-arena-ex-bercy-un-cas-d-ecole-du-nami…



http://www.liberation.fr/debats/2016/11/30/quand-les-multinationales-forcent-la-…



… bientôt notre pays sera à vendre !!!! si ce n’est déjà pas le cas !!!

… racheté par des masses financière virtuelles … dont rien nous prouve qu’elles ont été créée par le labeur … la valeur travail !



<img data-src=" />

votre avatar

+1

votre avatar







Burn2 a écrit :



Tu ne peux pas avoir les deux….

C’est l’un ou l’autre.





En gros, soit la banque fonctionne par “liste blanche”, c’est la meilleure méthode, c’est à dire qu’il faut rajouter la banque qui pourra te prélever. Sans ça tout est refusé. (si tu enlèves une personnes de la liste blanche elle ne peut plus prélever)



Soit elle fonctionne par liste noire, et dans ce cas, c’est à l’nverse, tu ne peux que préciser ceux que tu ne veux pas voir prélever, et par défaut c’est oui… Donc tu dois passer ton temps à regarder quels vont être les prélèvement, et les refuser….



C’est la superbe idée du SEPA, aucune obligation de liste blanche, c’est au bon vouloir de la banque….



Le système en soit n’est pas si pourri.



Chez ING Direct, on reçoit un mail dès qu’un nouveau mandat de prélèvement se présente sur le compte, par défaut il est accepté, mais il peut être annulé en un clic, et on peut demander le remboursement des échéances prélevées en un clic aussi.



Interdire par défaut poserait des problèmes avec les commerçants qui te mettent des frais en cas de blocage du prélèvement.


votre avatar

Visa fait de la bonne pub pour le chèque au final <img data-src=" />

votre avatar

Gaffe à la “non responsabilité” en cas de fraude VISA. J’explicitement refusé de passer ma VISA de mon ancienne banque en 3D Secure, les CGV mentionnants que je devenais responsable SAUF SI je démontrais la fraude (qui n’avait donc pas eu lieu depuis mon ordi). &nbsp;Les CGV ont été re modifié qqs années plus tard, mais lisez vos CGV, même si elles sont hors la loi, en cas de pépin ca va pas être le moment d’aller voir le juge.

votre avatar







durthu a écrit :



Quand la fraude coutera plus cher que ce que leur rapporte les assurances obligatoires et autres, ils se bougeront les fesses. Dans l’immédiat, les gagnants c’est eux et nous somme encore les dindons de la farce qui raquons à leur place. <img data-src=" />





Ah, et tu raques à quelle occasion ?


votre avatar







ProFesseur Onizuka a écrit :



Ce qui n’empêche pas certaines banques (la banque postale par exemple) de vendre des assurances pour protéger ce risque… les voleurs en cols blanc agissent en toute impunité en France <img data-src=" />





Je pense qu’il s’agit d’une assurance pour si on te force à retirer sous la menace de l’argent à un distributeur, car pour les achats frauduleux, on est bel et bien remboursés (sans assurance particulière).


votre avatar

Coût de la carte de crédit, frais de fonctionnement des banques, …



Il est possible de ne pas payer les cartes de crédit en fonction des banques mais c’est quand même de plus en plus difficile de nos jours.

votre avatar

Dans le cas d’un abonnement par exemple.

Je crois que pour tout ce qui est prélèvement mensuel, la e-carte ça marche pas.

votre avatar







maestro321 a écrit :



Mais comme ça ajoute une étape au moment du paiement, les “gros” commerçants ne veulent pas prendre le risque que ça freine à l’achat et donc ne l’implémentent que rarement. Il est plus intéressant pour eux de payer le service de paiement au prix fort et supprimer une étape au client final…





En France pour ceux chez qui j’achète, j’ai l’impression que les gros commerçants ont presque tous le système de confirmation par SMS. Je ne trouve pas que ça freine, mais simple avis personnel.







maestro321 a écrit :



De plus (à prendre avec des pincettes) les

commerçants qui implémentent 3D secure ne peuvent pas faire

“d’empreinte” de la carte bancaire pour faire un autre paiement

ultérieur (pour ne pas avoir à ressaisir le numéro de carte sur une

commande ultérieure).





Je pense que tu te trompes car il faut toujours entrer son numéro de carte (+ date et CVV) chez le commerçant avant d’être redirigé vers le système “secure”, qui lui va demander le code envoyé par SMS. En tous cas là où j’achète c’est comme ça.


votre avatar







ledufakademy a écrit :



“le seul critère qui vaille c’est le coût annuel de la fraude.&nbsp; Tant qu’il n’est pas trop important, rien ne changera.”



As tu accès à cette donnée ?

Moi pas.





Bien sûr qu’on a accès à ces données, c’est même publié chaque année.

Par exemple :

-http://www.lesechos.fr/05/07/2016/lesechos.fr/0211099779745_le-recul-de-la-fraud…

-lefigaro.fr Le Figaro (titre qui a l’air de contredire le précédent mais l’information interne est la même)



Le Figaro présente les mêmes chiffres mais pas de la même façon, voici Les Échos :

&nbsp;

Bonne nouvelle&nbsp;: le repli du taux de fraude

sur les opérations réalisées avec une carte bancaire française dans l’hexagone se confirme avec une deuxième baisse consécutive.. Il s’établit en 2015 à 0,040&nbsp;%, contre 0,043&nbsp;% en 2014, selon le rapport annuel de l’Observatoire de la sécurité des cartes de paiement (OSCP). Un taux qui correspond à moins d’un euro de fraude pour 10.000 euros de transactions. Le montant de la fraude sur les transactions domestiques s’élève à 225 millions d’euros, soit dix millions de moins que l’année précédente.



&nbsp;« C’est le taux au plus bas historique depuis la création de l’OSCP » en 2001, observe François Villeroy de Galhau, gouverneur de la Banque de France et président de l’Observatoire. Ces progrès s’expliquent avant tout par la généralisation de mesures d’authentification lors des paiements en ligne, notamment 3D Secure&nbsp;: 96&nbsp;% des porteurs et 66&nbsp;% des commerçants en sont désormais équipés. […]



Seule ombre au tableau, le rapport déplore l’augmentation significative de la fraude sur les transactions transfrontalières, qui concernent les cartes françaises utilisées à l’étranger et les cartes étrangères utilisées en France. Le montant approche les 300 millions d’euros en 2015. Le taux de fraude en zone SEPA reste largement inférieur (0,459&nbsp;%) à celui hors zone SEPA (0,692&nbsp;%) pour les cartes françaises&nbsp;: l’Europe s’efforce de fait depuis plusieurs années de faire migrer l’ensemble des cartes de paiement vers le standard EMV, plus sécurisé.





&nbsp;Le Figaro indique le total des fraudes (internes et transfrontalières) et des transactions :

&nbsp;

La fraude sur les paiements par carte bancaire en France a augmenté de 4,4% en 2015, à 522,7 millions d’euros, malgré de nouveaux progrès sur les paiements en France, selon un rapport publié mardi.



La fraude sur les transactions transfrontalières a ainsi bondi de 12%, pour atteindre 297,9 millions d’euros, quand celle sur les opérations domestiques baissait de 4,1%, à 224,8 millions d’euros, a précisé l’Observatoire de la sécurité des cartes de paiement.



Au total, le montant des transactions s’est lui établi à 636,1 milliards d’euros l’an passé, en hausse de 1,8%.





Et pour finir ici la question des commissions perçues par les Visa et autres Mastercard :

http://www.latribune.fr/entreprises-finance/banques-finance/banque/20110222trib0…

&nbsp;





ledufakademy a écrit :



… bientôt notre pays sera à vendre !!!! si ce n’est déjà pas le cas !!!





Les gens n’ont qu’à pas vendre, ou à mieux choisir leur acheteur. C’est la responsabilité du vendeur de vendre à un chinois ou qatari plutôt qu’à un autre.


votre avatar







durthu a écrit :



Coût de la carte de crédit, frais de fonctionnement des banques, …



Il est possible de ne pas payer les cartes de crédit en fonction des banques mais c’est quand même de plus en plus difficile de nos jours.





C’est assez logique que la carte de crédit ait un coût, ce n’est pas gratuit, ni la fabrication, ni l’utilisation. Ca mobilise une infrastructure derrière, aussi bien en télécommunication / informatique qu’en personnel qui maintient tout ça. En plus, quand c’est une carte de crédit au sens strict (à débit différé), tu bénéficies d’un crédit pendant jusqu’à 30 jours.


votre avatar







loser a écrit :



Avant 3D Secure:  Non. C’est la banque qui paye. Le commerçant n’y est pour rien, si le prestataire a autorisé le paiement, ce n’est plus son problème. Je ne sais pas si la banque se retournait ensuite contre le prestataire.”





Non, je t’assure, pour l’avoir vécu, qu’en cas de vente à distance, c’est le commerçant qui rembourse. Tu ne croyais quand même pas que c’était la banque qui allait payer…. Elle se retourne tout simplement vers le vendeur en lui expliquant qu’il n’avait qu’a prendre les dispositions nécessaires….



Il n’y a que dans le cas où le client entre son code pin (donc, ce n’est plus une VAD) que le commerçant est protégé… et encore… si c’est un membre de la famille qui entre ce code, et que le porteur de la carte porte plainte, alors ça devient franchement compliqué.


votre avatar

Bah non je suis désolé mais ce n’est pas logique!



Que le prélèvement soit mis en attente de validation, te soit notifié c’est normal, mais qu’en cas de non réponse au delà de X j (la durée convenable étant à choisir), il devrait être refusé par défaut.

Si tu pars en vacance à l’étranger sans connexion ni téléphone tu fais comment pour refuser ce qui arrive???? Super pratique…. c’est justement le principe de la blacklist tout est autorisé de base, et faut refuser, c’est juste honteux!



Avec une telle logique on en arrive à avoir des associations dont le trésorier passe sa vie à refuser des demandes de prélèvement provenant de l’étranger.

bah oui pour faire des dons faut donner ses infos pour une assos, et du coup ben certains s’en servent pour faire des demandes de prélèvement….



Par défaut ça devrait être interdit et à toi de valider, comme c’était “normalement” le cas avant, sauf que tu allais donner ton papier d’autorisation de prélèvement à la banque…. (certaines banques acceptaient le prélèvement sans autorisation déjà d’ailleurs… )







Mais bon c’est le monde actuel, faut que ça soit facile et pas sécurisé, c’est tellement génial… (comme le paiement sans contact and co tien… )

votre avatar

3D Secure… Comment dire… Peu de sites l’utilisent, et si on ne reçoit pas le SMS il suffit d’entrer sa date de naissance <img data-src=" />

votre avatar







OlivierJ a écrit :



Je pense que tu te trompes car il faut toujours entrer son numéro de carte (+ date et CVV) chez le commerçant avant d’être redirigé vers le système “secure”, qui lui va demander le code envoyé par SMS. En tous cas là où j’achète c’est comme ça.





Heuuu…je suis pas certain que tu ai compris ce que j’ai dit, la solution dont je parle c’est justement pour ne pas avoir à ressaisir son numéro de carte.

C’est utile dans certains cas lorsqu’il y a besoin de faire des paiements récurrents sans action par le porteur de la carte (abonnement mensuel par exemple).


votre avatar







malock a écrit :



Je pense que lorsque Floutchito déclare “c’est exactement ça”, il parle bien du fait que tant que la fraude ne pèse pas plus, rien ne sera fait





<img data-src=" />


votre avatar

De toutes façons, ces attaques vont devenir obsolètes avec les nouvelles cartes:&nbsphttp://www.rtl.fr/culture/futur/une-cryptogramme-qui-change-toutes-les-heures-su…



Ils trouveront bien autre chose <img data-src=" />

votre avatar

Concernant Amazon ou d’autres sites de ce type, la carte bancaire lorsqu’elle est mémorisée ne permet de ne faire livrer qu’à une adresse enregistrée… en ajoutant une adresse, il faut se reconnecter et donc il est vivement conseillé d’activer la connexion en 2 étapes sur Amazon (par SMS ou Google Authenticator). Le risque est donc tout de même pas mal réduit. Pour PayPal, c’est la même chose concernant l’authentification en 2 étapes (sauf qu’ils ne supportent pas G. Authenticator mais une autre solution de chez … Norton).



Pour l’activer sur Amazon :

nextinpact.com Next INpact

votre avatar







psn00ps a écrit :



Le 3D Secure est payé par le commerçant dans son abonnement.

Tu en paies une partie à chacun de tes achats.



Visa: On est vulnérable à une brute force,&nbsp; prenez donc notre protection. <img data-src=" />



Ca ressemble étrangement au racket de la Mafia.





Non, c’est bien pire, c’est carrément un crime contre l’Humanité <img data-src=" />


votre avatar







floutchito a écrit :



<img data-src=" />





A ce moment-là, ne pas citer tout le commentaire, mais le nettoyer un peu pour indiquer plus précisément à quoi on répond (en plus vu la teneur générale du commentaire cité…)


votre avatar

Le site web parle des 2:https://www.caisse-epargne.fr/particuliers/au-quotidien/conseil-prelevement-sepa



Mais je le répète dans les faits les conseillers sont incapables de te dire comme l’activer l’une ou l’autre.

votre avatar

Je partage ton ressenti: nommer des stades ou autres lieu public avec des noms de marque me laisse nauséeux.

votre avatar

Chez la caisse d’epargne pas d’alerte mail quand on a un nouveau préléveur. Par contre on peut l’annuler en un clic, mais ma conseillère ‘a appelé pour savoir pourquoi et elle a insisté pour que je revienne sur ma décision.

votre avatar

Le TAFTA et autres conneries (créés et voulus par on sait qui …) sont la pour marchandiser l’humain , un pur produit markéting … un marché … planétaire le rêve des commerciaux NO LIMITS !



Enfin moi j’ai compris le plan qui se trime au niveau planétaire.



Libre à celui qui veut de s’informer et comprendre de réfléchir !

votre avatar

Pas besoin de force brute, un peu d’astuce suffit.

Arrivé à un ami en Allemagne cet été:




  • monsieur, un petit problème de terminal, pouvez vous nous redonner votre CB ?

  • ok

    le garçon de café disparaît quelques instant et réapparaît avec la CB

  • c’est bon, merci monsieur. Au revoir.



    Quelques jours après, mon ami voit un débit sur son compte, après enquête de la banque, un beau téléphone a été acheté avec sa carte ! En Allemagne! Surprise….. opposition, demande de nouvelle carte etc etc

    Et des vacances sans carte bancaire: pas pratique :-((

    La banque à payé le débit, mais ça fait ch…..

    &nbsp;



    On suppose que deux photos prises discrètement ont suffit pour acheter ensuite.

    NE JAMAIS perdre sa CB de vue !

    &nbsp;









    &nbsp;

votre avatar

AH tu dois avoir le choix du mode dans ce cas….



MAis bon perso je ne vois pas qui pourrait vouloir le mode liste noire….

votre avatar

Alors 3D Secure, ça dépend de la banque. Au Royaume-Uni, on n’envoie pas un code par SMS (ça fait trop an 2000), mais on demande de mettre en place un mot de passe lors du premier paiement, et on demande 3 caractères au hasard de ce mot de passe lors des paiements suivants. Donc si la carte volée n’a jamais été utilisée avec 3D Secure, elle est vulnérable.



Mieux encore, j’ai récemment changé de banque, et maintenant même quand je vois l’encart 3D Secure, on ne m’a encore jamais demandé de mot de passe (en fait, la banque peut décider de demander une authentification du porteur ou pas, en fonction du degré de suspicion de la transaction). Par contre, je me suis déjà retrouvé avec ma carte de crédit bloquée à cause de mes paiements sur Internet en France et au Japon. Mais bon service, je les ai appelés un dimanche matin, et ma carte a été débloquée en moins de 5 minutes.



Quant à ne jamais perdre de vue ma carte, il-y-a des endroits où c’est très difficile. Le première fois que j’ai payé le resto à Hong Kong, ma belle famille m’a pris pour un fou parce que je commençais à paniquer de voir le serveur se barrer avec ma carte pour le paiement (bande magnétique). Il est revenu 2 minutes plus tard avec le reçu à signer (bon, après, j’ai pas eu de problème non plus). Au bout de quelques années, ils ne me prennent plus pour un fou et comprennent ma réaction, mais c’est pas toujours évident.



C’est pour ça que les projets comme Platc et Curve me plaisent pas mal. Tu pars en voyage avec tes cartes originales, mais elles restent dans le coffre fort de la chambre d’hôtel, et tu ne sors qu’avec la carte Plastc ou Curve. Comme ça, tu la perds ou tu te la fais voler : pas de problème, les originales sont encore là, et l’autre carte est désactivée immédiatement via l’app du téléphone (au prochain point d’accès <img data-src=" />). Malheureusement, ces solutions ne sont pas encore complètement dispo (Plastc ne fonctionne pas encore avec la puce et les données sont stockées aux US ; Curve est encore officiellement limitée aux autoentrepreneurs, même s’ils ne vérifient pas), et ne règlent pas le problème des paiements sur Internet. Mais c’est prometteur.

votre avatar

En fonction du niveau de services souscrit par la banque, l’abonnement est possible avec e-carte bleue.

votre avatar

de quoi redonner encore plus d’intérêt à @NeedAdebitCard<img data-src=" /> !!

votre avatar

Article intéressant, réponse de Visa édifiante mais quand même un petit malaise : décrire de manière aussi détaillée ce mécanisme pourrait donner des idées à quelque malfaisant. Liberté et responsabilité, toujours ce vieux débat… mais vieux ne veut pas dire con. Pas toujours.

votre avatar

et ne jamais donner sa carte à un commerçant.

votre avatar

Ca m’étonnerait que qqun réserve ou paye un séjour AirBnB avec un numéro volé…pas très discret ;)

Par contre l’autre jour j’ai passé 2 commandes sur price minister.

La 1ere avec 3D Secure avec ma carte mastercard, j’ai reçu le code immédiatement.

La 2ieme avec 3D secure verified By Visa et de 22h à minuit pas moyen d’obtenir le code…

Un pauvre SMS est tombé à 1h12 quand j’étais dans les bras de morphée…

Le lendemain vers 8h ça a remarché normalement.

&nbsp;

votre avatar

Pourquoi répéter cette affirmation erronée ?

Cela protège les commerçants qui l’utilisent. Les autres préfèrent la facilité de paiement à la sécurité, c’est leur choix.

Le client est de toute façon protégé en France que Verified by Visa soit utilisé ou non.

votre avatar

Depuis pas mal de temps j’utilise une solution qui semble plutot bien secure (si le site ne prend pas la e-carte bleu)

&nbsp;Je suis à la banque postale et en plus de ma CB liée à mon compte bancaire, j’ai pris un CB rechargeable.

&nbsp;Je peux rechargée cette carte instantanément depuis mon compte bancaire en ligne.

&nbsp;Pour mes achat en ligne en ligne:

&nbsp;- je regarde de quel montant j’ai besoin &nbsp;

&nbsp;- je recharge la CB rechargeable avec ce montant

&nbsp;- je fais mon achat en ligne.

&nbsp;Je ne l’utilise que pour ça &nbsp;et en dehors des achats il ne reste pas plus de 2 ou 3 eur sur cette carte.

&nbsp;Il n’est pas possible de faire des achat supérieur à la somme qu’il y a sur la carte&nbsp;&nbsp;

&nbsp;Donc si elle vient à être piratée je ne risque pas grand chose&nbsp;

votre avatar



Visa nous explique que ses clients sont protégés contre une utilisation frauduleuse du numéro de leur carte bancaire





Ce qui n’empêche pas certaines banques (la banque postale par exemple) de vendre des assurances pour protéger ce risque… les voleurs en cols blanc agissent en toute impunité en France <img data-src=" />

votre avatar







sirchamallow a écrit :



Bien content de payer par PayPal quand c’est possible :)







Je ne te souhaite pas d’avoir un problème avec un paiement un jour avec PayPal: ils ne répondent pas au email, ils demandent des documents en boucle (ne les prennent pas en compte quant on leur envoie)… une boite à chier <img data-src=" />


votre avatar

“Pour les consommateurs, la chose la plus importante à retenir est que si leur numéro de carte de paiement est utilisé frauduleusement, ils sont protégés de toute responsabilité.”



Oui oui, sans doute.

Après, pour avoir vu mon compte courant vidé deux fois par utilisation frauduleuse de ma CB, je vous jure, c’est pas rigolo et bien la galère.

Déclaration à la cellule fraude de la banque, il faut montrer patte blanche. Inutile de porter plainte, “c’est à la banque que l’argent a été volé Monsieur, ce n’est pas le votre”. Ah ok, alors crédite mon compte : “ah non non, on verra”.

Puis, un petit matin, vous recevez un courrier de la banque indiquant qu’elle veut bien croire à votre petite histoire et vous rembourse alors… quelques semaines après.

Il faut se battre pour se voir rembourser les frais de gestion (paiement réalisé à l’étranger) et le coût de la nouvelle CB, c’est pour notre pomme.

Tout ça côté caisse d’épargne. Je passe quelques détails croustillant.

votre avatar



&nbsp; Pour Visa, si un commerçant&nbsp;en ligne décide de ne pas utiliser&nbsp;cette protection&nbsp;pour une transaction, « il assume le risque de fraude ».&nbsp;





Comment ça? Il s’en fout le commerçant, il est payé, et c’est les banques qui remboursent le titulaire de la carte piratée.

votre avatar



il est possible de récupérer la date de fin de validité, le cryptogramme visuel (CVV) et l’adresse du propriétaire à partir du numéro de la carte.





C’est le code postal que vous appelez “l’adresse du propriétaire” ? <img data-src=" />

votre avatar







fred42 a écrit :



Pourquoi répéter cette affirmation erronée ?

Cela protège les commerçants qui l’utilisent. Les autres préfèrent la facilité de paiement à la sécurité, c’est leur choix.

Le client est de toute façon protégé en France que Verified by Visa soit utilisé ou non.





Ça ne protège pas le client d’un piratage de sa carte bancaire si le voleur l’utilise ailleurs quand dans une boutique Verified by Visa.



Le client est protégé, certes, mais à condition de bien vérifier ses relevés de comptes, de penser à réclamer dans les temps, de botter le cul de sa banque qui n’a pas envie de rembourser, de lui envoyer une mise en demeure. En théorie, tu es protégé ; en pratique, ça demande du temps et une énergie considérable pour faire valoir ses droits.

&nbsp;


votre avatar

Ma banque propose liste blanche et liste noire mais ma conseillère est inpacable de me dire comment on y accède

votre avatar

J’ai le ressenti que Visa n’a pas pris en compte l’attaque par force brute car cela coûte.

Et la réponse de Visa pour les commerçant c’est vraiment bas: si vous payez pour le service premium vous étés tout nul. C’est limite une menace.

Les pouvoirs publics devrait imposer à Visa de protéger contre l’attaque par force sans surfrait pour les commerçants.

votre avatar

Avec 3D Secure, je ne sais pas, mais avant que ça existe, dans le cas d’une vente à distance, si le client déclarait sa carte bancaire volée, le commerçant remboursait la banque…enfin le possesseur de la carte.

votre avatar

Tu ne peux pas avoir les deux….

C’est l’un ou l’autre.





En gros, soit la banque fonctionne par “liste blanche”, c’est la meilleure méthode, c’est à dire qu’il faut rajouter la banque qui pourra te prélever. Sans ça tout est refusé. (si tu enlèves une personnes de la liste blanche elle ne peut plus prélever)



Soit elle fonctionne par liste noire, et dans ce cas, c’est à l’nverse, tu ne peux que préciser ceux que tu ne veux pas voir prélever, et par défaut c’est oui… Donc tu dois passer ton temps à regarder quels vont être les prélèvement, et les refuser….



C’est la superbe idée du SEPA, aucune obligation de liste blanche, c’est au bon vouloir de la banque….

votre avatar

Oui c’est bien ce qui m’énerve le plus dans leur réponse à base de : “Ouais mais le client, il s’en fout il est assuré” c’est que après il faut se les taper ces “assureurs” (Je mettrais bien des gros mots, mais bon…) et on sait tous comment ça se passe.

votre avatar

Avant 3D Secure: &nbsp;Non. C’est la banque qui paye. Le commerçant n’y est pour rien, si le prestataire a autorisé le paiement, ce n’est plus son problème. Je ne sais pas si la banque se retournait ensuite contre le prestataire.

&nbsp;

Après: je ne sais pas. Il y a peut-être une clause dans le contrat&nbsp;entre le prestataire et le commerçant qui dit que si ce&nbsp;dernier ne met pas en place les prestations existantes, il est tenu de rembourser en cas de fraude. C’est ça que je demandais.

&nbsp;

&nbsp;

votre avatar







loser a écrit :



Comment ça? Il s’en fout le commerçant, il est payé, et c’est les banques qui remboursent le titulaire de la carte piratée.





Si je ne dit pas de bêtise :

Le commerçant paie le service de paiement en ligne.

S’il implémente la solution 3D secure ça lui coute moins chère (puisque ça offre de meilleurs garantie pour la banque).

Mais comme ça ajoute une étape au moment du paiement, les “gros” commerçants ne veulent pas prendre le risque que ça freine à l’achat et donc ne l’implémentent que rarement. Il est plus intéressant pour eux de payer le service de paiement au prix fort et supprimer une étape au client final…



De plus (à prendre avec des pincettes) les commerçants qui implémentent 3D secure ne peuvent pas faire “d’empreinte” de la carte bancaire pour faire un autre paiement ultérieur (pour ne pas avoir à ressaisir le numéro de carte sur une commande ultérieure).


votre avatar

tiens j’ai raté cette news hier.. Pas rassurant.



En changeant de banque je suis passé de MasterCard à Visa, et inconsciemment j’ai toujours préféré MasterCard <img data-src=" /> mais bon ça garantit pas grand chose.

votre avatar







Jeanprofite a écrit :



Ta carte est peut-être bleue mais c’est une Carte Bancaire.&nbsp; <img data-src=" />





Mon compte Paypal n’est pas relié à ma carte bleue. (et oui c’est possible)


votre avatar







Jonath a écrit :



Quant à ne jamais perdre de vue ma carte, il-y-a des endroits où c’est très difficile. Le première fois que j’ai payé le resto à Hong Kong, ma belle famille m’a pris pour un fou parce que je commençais à paniquer de voir le serveur se barrer avec ma carte pour le paiement (bande magnétique). Il est revenu 2 minutes plus tard avec le reçu à signer (bon, après, j’ai pas eu de problème non plus). Au bout de quelques années, ils ne me prennent plus pour un fou et comprennent ma réaction, mais c’est pas toujours évident.





Aucune raison de passer pour un fou, le même genre de situation m’est arrivé au Canada il y a 10 ans, à l’époque où le déploiement de la carte à puce EMV était encore balbutiant dans ce pays. Résultat : 1600€ d’achats frauduleux chez Dell Canada. Heureusement, la Société Générale a été prompte à me rembourser (étonnamment, je n’ai pas eu à batailler).


votre avatar







Fyr a écrit :



Gaffe à la “non responsabilité” en cas de fraude VISA. J’explicitement refusé de passer ma VISA de mon ancienne banque en 3D Secure, les CGV mentionnants que je devenais responsable SAUF SI je démontrais la fraude (qui n’avait donc pas eu lieu depuis mon ordi). &nbsp;Les CGV ont été re modifié qqs années plus tard, mais lisez vos CGV, même si elles sont hors la loi, en cas de pépin ca va pas être le moment d’aller voir le juge.





J’ai un retour d’un e-commerçant (audiovisel pro) sur 3d-secure… qui était fraudé par une organisation criminelle et aidé la police dans une enquêtes avec un paquet marqué…

methode de fraude assez lourde et complexe.

D’abord récupérer numero de carte et toute les informations identifiants un individu. (Nom, prénom, date de naissance, coordonnées, coordonnées bancaires, numero de téléphone portable, etc…)

Ensuite… appeller l’opérateur téléphonique pour déclarer volé son tel et ainsi transférer la ligne sur une autre carte sim déjà en leur possession avec toutes les infos en pur social-engineering…

En bonus un (des?) complice chez un service de livraison pour éviter les flagrants délits en récuperant le colis

Et bien dans ce cas visa et Mastercard se défausse de toute responsabilité sur le porteur de la carte (encore en sa possession…) et la police sur l’affaire en question n’avait réussi à arrêter personne.

Bref le 3dsecure est contourné…


votre avatar

A ce niveau la tout est contourné par social engineering.

votre avatar

Si je ne cite pas l’ensemble du commentaire, on ne peut pas comprendre que je fais référence au commentaire de @linkin623 lorsque je dis “C’est exactement ça.”.



Quand on lit le commentaire complet (le dispositif des Mastercard et Visa pour se rémunérer) il me semble qu’on comprend assez bien l’esprit du com’, a savoir que j’appuie les propos de @linkin623, et non pas ceux de @ledufakademy.



Mais je me suis peut-être mal exprimé. <img data-src=" />



Bref….

votre avatar

Avant 3D secure, les commerces en ligne étaient déjà paranos parce que justement les fraudes comptaient en perte sèche. Je me rappelle avoir dû envoyer une photocopie de carte d’identité et un chèque barré à une société de vérification alors que j’étais un client régulier.



Alors dans ma boîte une opposition CB (sans 3D secure) ça se passe comme ça : la banque qui gère nos comptes traite l’opposition et restitue l’argent (à la banque de la CB probablement), puis on reçoit un courrier disant la carte no xxxx a été opposée et que le montant de la transaction nous a été débité. A partir de là, on peut porter plainte contre l’auteur de la fraude s’il est identifiable pour récupérer l’argent. Pour de petits montants, ça ne vaut pas le coup. Dans le cas d’un prestataire qui valide les transactions, leur rôle le plus probable, si fraude il y a, est de porter plainte et envoyer les huissiers pour recouvrir la somme. (vu qu’en amont le prestataire a demandé les papiers d’identité etc.)

votre avatar







kotec_le_gris a écrit :



On suppose que deux photos prises discrètement ont suffit pour acheter ensuite.

NE JAMAIS perdre sa CB de vue !

&nbsp;



&nbsp;





Pas besoin. Le ticket commerçant et le terminal gardent ton nom, date d’expiration, numero …

Le nombre de SI qui gardent en clair ces information est super important (hotels…)

Il manque juste en clair le CVV (les trois chiffres), qui lui se retient facilement sans éveiller un seul soupçon.

Le meilleur moyen d’éviter les soucis, c’est un petit coup de marqueur sur le CVV sur votre carte bleue :)



Le 3D secure, c’est juste pour les commerçant acceptant ce moyen, il sera toujours possible de payer à des endroits moins regardants.&nbsp; (international…)


votre avatar

Pour la banque postale, les paiement en ligne doivent être validé par une application spécialement prévu si on à opter pour cela au lieu du sms, protégé par un mots de passe de 5 chiffres (peut mieux faire, je pense, mais déjà un bon début).

votre avatar

C’est exactement ça….



ça n’est pas vraiment une sécurité, tant qu’il existera des sites ou on peut payer sans….



Reste l-e-carte bleue mais qui n’est pas supportée partout (et reste à voir si réellement c’est sécurisé?)….

votre avatar

Pour tout ceux reprenant mon commentaire de la validation par SMS (3D secure). Oui je sais bien que ce n’est pas disponible de partout. Mais justement mon commentaire était la pour souligné qu’il existait une solution peu complexe pour contrer les attaques détaillées dans l’article. Sion avait une meilleure législation pour sécurisé les paiements en ligne ça serait pas mal.&nbsp;



Et contrairement à certains commentaires précédents la 3D secure est disponible sur des sites autres que français. J’en ai fait l’expérience il y a 10 jours pour acheter des billets d’avions sur un site anglophone.&nbsp;

votre avatar

ben c’est le top du top la ecard.

tu limites à ta guise le montant dispo dessus, la durée de validité de la carte…

ceci dit ça dépend des banques.

visiblement certaines préfèrent s’assurer, on se demande pourquoi…

votre avatar

Les systèmes bancaires ne communiquent pas sur leurs protections vu qu’ils n’en ont que très peu et préfèrent rembourser les clients car ca “coute moins cher”.



&nbsp;3D secure l’implémentation actuelle est catastrophique certaines banques utilisent flash pour ça (lol ?). Et bizarrement lorsque que le deuxième facteur est abordé avec les banques elles fuyent le dialogue.

votre avatar

Ça, je confirme, j’aimerais tellement avoir cette ‘option’ qui ne devrait même pas en être une…

J’ai demandé à ma banque si je pouvais en bénéficier (ils en font la pub sur leur site principal) et la réponse est extraordinaire : “Non, ce n’est pas possible, notre filiale régionale n’a pas mis en œuvre un tel système. Et puis avec la vérification en 2 étapes, vous êtes tranquille.”.



Ça me donne juste envie de cramer ma conseillère. En même temps, la pauvre, elle tourne sous windows XP. Donc je ne peux pas trop lui en vouloir.



Et effectivement, est-ce que 3D Secure est mis en place au bon vouloir des sites? Car il y en a un paquet qui ne l’implémente pas…

votre avatar







Burn2 a écrit :



Reste l-e-carte bleue mais qui n’est pas supportée partout (et reste à voir si réellement c’est sécurisé?)….





Où n’est-elle pas supportée ?

Je l’utilise depuis des années sans avoir rencontré plus de deux ou trois sites particuliers qui ne l’acceptaient pas (et encore, ça s’est arrangé depuis). Le cas échéant, je vais ailleurs.


votre avatar

Je ne sais pas si ça a changé, mais à une époque, si le commerçant voulait le 3D secure, c’était un peu plus cher.

Ce que je ne sais pas, c’est si ça protégeait le commerçant en cas d’achat frauduleux, car ce n’est pas le cas sans 3D secure (achat frauduleux en vente à distance, c’est le commerçant qui rembourse).

votre avatar

Les chargés de communication des entreprises doivent être payés pour répondre spécifiquement à côté de la plaque… <img data-src=" /> Y’a pas un seul élément de réponse pertinent à la question posée dans ce pavé dithyrambique !

votre avatar

Il existe des sites ou ça ne passe pas, chez kobo à moment donné ça ne passait pas/plus, je n’ai pas retesté depuis, mais la dernière fois ça ne passait pas.



Il faut que je vérifie si c’était juste un pb temporaire ou si c’est suite à leur mise à jour de site internet.



Sur la fnac idem, si tu choisis plusieurs vendeurs, ou si tu prends des vendeurs tiers ça peut ne pas passer (e-carte bleue disparait).



Bref ça existe toujours.

votre avatar

Vivement le E-coin <img data-src=" />

votre avatar

Le Bullshit de Visa, on s’en contrefout…



Ça ne m’étonne pas d’eux, ils sont là pour faire du fric point barre. Quand la fraude coutera plus cher que ce que leur rapporte les assurances obligatoires et autres, ils se bougeront les fesses. Dans l’immédiat, les gagnants c’est eux et nous somme encore les dindons de la farce qui raquons à leur place. <img data-src=" />

votre avatar

Au-delà de la possible récupération de numéros via BDD piratées, il est très simple de recréer un numéro de carte VIsa en utilisant les algorithmes de vérification de numéro de carte. Ça te fait un numéro aléatoire, c’est sûr, mais tu peux ensuite le tester via les systèmes présentés ci-dessus. Ensuite, par ici la monnaie ;) Pensée spéciale au mec qui verra son compte débité même en n’ayant jamais acheté quoique ce soit sur Internet !

Donc pour moi ça reste une faille très regrettable..

votre avatar

J’ai un code à valider avec ma Visa pour finaliste un paiement en ligne.

votre avatar







Mr.Nox a écrit :



J’ai un code à valider avec ma Visa pour finaliste un paiement en ligne.



Comme déjà dit plein de fois : Verified by Visa ne protège de rien du tout tant qu’il n’est pas généralisé. Et il n’est pas généralisé.

&nbsp;


votre avatar

Bien content de payer par PayPal quand c’est possible :)

votre avatar

Je pense que le coût de fonctionnement est largement payé par la commission que les banques prennent sur chaque transaction. Sans parler du fait que ça leur coute bien moins cher que le traitement des chèques…qui sont gratuits en contrepartie d’avoir 0% d’intérêt sur les comptes courants.

votre avatar







kade a écrit :



3D Secure… Comment dire… Peu de sites l’utilisent, et si on ne reçoit pas le SMS il suffit d’entrer sa date de naissance <img data-src=" />





<img data-src=" />

Heu, je viens de poster un peu plus haut les stats :

“3D Secure&nbsp;: 96&nbsp;% des porteurs et 66&nbsp;% des commerçants en sont désormais équipés.”


votre avatar







maestro321 a écrit :



Heuuu…je suis pas certain que tu ai compris ce que j’ai dit, la solution dont je parle c’est justement pour ne pas avoir à ressaisir son numéro de carte.

C’est utile dans certains cas lorsqu’il y a besoin de faire des paiements récurrents sans action par le porteur de la carte (abonnement mensuel par exemple).





Ben si j’ai compris. Vu qu’on rentre tout par défaut, le site n’a aucun mal à te ressortir les infos s’il veut offrir cette possibilité. Relis mon commentaire précédent à la lumière de cette précision.


votre avatar







OlivierJ a écrit :



C’est assez logique que la carte de crédit ait un coût, ce n’est pas gratuit, ni la fabrication, ni l’utilisation.







Parce que les billets de banque et les chèques sont gratuits à la la fabrication et à l’utilisation eux? <img data-src=" />


votre avatar

?? Désolé, je comprend encore moins..











OlivierJ a écrit :



Vu qu’on rentre tout par défaut





Ca veut dire quoi?







OlivierJ a écrit :



le site n’a aucun mal à te ressortir les infos s’il veut offrir cette possibilité.





aucune mal à sortir quelles infos?


votre avatar

J’utilise le terme carte de crédit au lieu de carte bleue, carte de débit.

C’est normal bien sûr que l’on paye un service mais il ne faut pas se leurrer et les banques intègrent le coût des fraudes dans leur frais de fonctionnement (perte et profit).



C’est surtout l’attitude de Visa qui est anormale dans cette histoire…

votre avatar







OlivierJ a écrit :



<img data-src=" />

Heu, je viens de poster un peu plus haut les stats :

“3D Secure : 96 % des porteurs et 66 % des commerçants en sont désormais équipés.”





Les petits commerçant sont incités à le faire, mais la vrai stat intéressante serait le pourcentage de transactions qui utilisent effectivement 3D secure.



Si les 33% de commerçants restants représentent 90% des transactions.. tu vois où je veux en venir…



Edit :https://fr.statista.com/statistiques/499376/part-paiements-securises-internet-3-…

Ça plafonne à 30%…


votre avatar







OlivierJ a écrit :



En France pour ceux chez qui j’achète, j’ai l’impression que les gros commerçants ont presque tous le système de confirmation par SMS. Je ne trouve pas que ça freine, mais simple avis personnel.





http://blog.axe-net.fr/3d-secure-suppression-fait-gagner-40-pour-cent-de-ca/

Sans doute moins vrai aujourd’hui, mais ça donne le ton.


votre avatar







OlivierJ a écrit :





Autre source pour l’usage de 3D secure.

https://observatoire.banque-france.fr/uploads/media/OSCP-rapport-annuel-2015.pdf (page 14)

35% du montant des transactions passent par 3D secure en avril 2016.

Ça monte bien petit à petit.


votre avatar







stephane.p a écrit :



Je pense que le coût de fonctionnement est largement payé par la commission que les banques prennent sur chaque transaction. Sans parler du fait que ça leur coute bien moins cher que le traitement des chèques…qui sont gratuits en contrepartie d’avoir 0% d’intérêt sur les comptes courants.





Le parc de terminaux et la location auprès des commerçants, ça a aussi un coût (de gestion par des humains entre autres). Certes, les transactions rapportent aussi aux banques, mais je ne sais pas quelle marge totale ils font une fois les coûts&nbsp;déduits. Qu’ils fassent une marge est normal, une société est là pour gagner sa vie.


votre avatar

Euh … Sérieux encore XP ?

votre avatar

C’est valable à la SoGen aussi (souci d’une collègues qui s’est fait avoir de la même manière). Ce n’est pas spécifique à la CE ça.



A propos de la CE, ils sont passés sur le système de liste blanche depuis un petit moment pour les virement SEPA.

votre avatar

Peut-être bien, j’imagine que ce n’est pas spécifique à une enseigne.

J’ai simplement voulu préciser l’organisme bancaire pour anticiper les éventuelles questions.

votre avatar







ProFesseur Onizuka a écrit :



Parce que les billets de banque et les chèques sont gratuits à la la fabrication et à l’utilisation eux? <img data-src=" />





La fabrication des billets a un coût évidemment, mais pour la banque centrale (donc pas ta banque). Il y a également un coût pour la manipulation pour les distributeurs, pour ta banque cette fois-ci. Le coût est sans doute bien inférieur, le fonctionnement des cartes de crédit demandant une certaine infrastructure technique et humaine comme déjà dit. J’ai déjà bossé pour un fabricants d’appareils de paiement et de cartes à puces, j’ai une idée des coûts (rien de secret).

Pas la peine de faire comme si je n’y connaissais rien, avec un emoji adapté…







maestro321 a écrit :



?? Désolé, je comprend encore moins..

Ca veut dire quoi?

aucune mal à sortir quelles infos?





Reprends du café <img data-src=" /> .

Bon je la refais.

Sur n’importe quel site de vente avec le 3D Secure, il faut tout d’abord rentrer ses informations de carte de crédit. Donc si le site veut offrir la possibilité de refournir automatiquement les infos, pour éviter au client de les rentrer à nouveau, il peut. D’où ma contestation de ton commentaire.







maestro321 a écrit :



http://blog.axe-net.fr/3d-secure-suppression-fait-gagner-40-pour-cent-de-ca/

Sans doute moins vrai aujourd’hui, mais ça donne le ton.





Intéressant, même si ça date de 2012-2013. “supprimer cette sécurité sur le site de l’un de nos clients lui a permis de voir son chiffre d’affaires progresser de 40%.” : dingue ce truc, les gens sont neuneus à ce point ?

Cela dit, la fin de l’article est plus encourageante, puisque les clients sont revenus en 2014, si j’ai bien compris.

(et je vois que t’as cherché, avec le chiffre 2016 ensuite).


votre avatar

C’est marrant, on m’a toujours dit que sur les questions de sécurité, il faut avoir une réponse en cas d’erreur qui n’indique pas quel est le problème mais juste que ça ne passe pas !



Bon, ça ferait 60k possibilités à peu près, mais c’est mieux comme test pour se donner de la marge quand ça y va à la force brute en face.

Un humain fera peut-être 100 essais s’il est très persévérant, mais au delà, on se doute bien que c’est une machine. Passer de 60 et 1000 à 60000, c’est mieux.



Mais une autre base de sécurité contre la force brute, c’est d’avoir un délai avant d’avoir le droit de réessayer !

Limiter la vitesse de la force brute c’est toujours une bonne idée.



Avec tout ça, on passerait de quelques secondes à 600000 (un délai de 10 secondes entre chaque, ça fait une semaine) secondes pour tester toutes les combinaisons ! C’est ridiculement simple comme fonctionnement et ça donne le temps de réagir à une attaque.

Et au pire, on peut faire cette limitation en la liant à la zone géographique, histoire que s’ils détectent de la force brute à l’autre bout du monde, tu puisses encore passer ton paiement valide en étant chez toi. Tant que le délai de réussite est toujours de quelques heures, ça donne le temps de réagir.

votre avatar

J’aimerais te dire que je blague, mais non… Oui je suis tombé sur le cul aussi quand j’ai vu ça. Bon je suppose que la mise à niveau est dans les tubes, mais quand même…

Carte bancaire Visa : des informations récupérables par force brute, la société nous répond

  • Le numéro de CB suffit pour obtenir date de fin de validité et code CVV

  • Contrairement à MasterCard, Visa ne bloque pas ce genre d'attaque

  • Interrogé, Visa botte en touche

  • Un rappel des protections et des risques, mais pas de plan d'action précis

Fermer