Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Apple Pay détourné pour une fraude à la carte bancaire

Êtes-vous John Smith ? Répondez oui ou non à ce SMS

Apple Pay détourné pour une fraude à la carte bancaire

Le 07 mars 2015 à 08h00

Le système de paiement Apple Pay a été détourné aux États-Unis. Les pirates ont réussi à obtenir des numéros de cartes bancaires via plusieurs chaines de magasins, puis se sont servies de cette fonctionnalité pour procéder à des achats, essentiellement dans les Apple Store. Le cœur du problème ne vient cependant pas d’Apple Pay, mais des banques elles-mêmes.

Une vérification parfois très laxiste des informations par les banques

Le Wall Street Journal a lâché hier soir un pavé dans la marre : le système Apple Pay a été détourné au profit de pirates qui s’étaient appropriés des cartes bancaires. Ces dernières, ou plutôt leurs informations, ont été volées depuis deux chaines américaines de magasins, Target et Home Depot. Il s’agit de l’une des conséquences de ces véritables braquages de données qui avaient eu lieu l’année dernière.

La technique retenue par les pirates a été de créer ensuite des comptes Apple Pay pour y intégrer les informations ainsi dérobées. C’est là qu’intervient une étape de vérification décisive. Apple ne permet en effet pas de créer un compte sans que les banques ne donnent leur accord aux futures transactions. À l’ajout d’une carte, la banque émettrice a deux solutions :

  • Chemin « vert » : l’autorisation est immédiatement donnée
  • Chemin « jaune » : une vérification est effectuée

Cette deuxième méthode est la plus courante, sauf si la carte correspond déjà à un compte iTunes fonctionnel. Dans tous les cas, la banque définit elle-même comment elle souhaite vérifier l’identité du client. Or, d’une enseigne à une autre, les mesures varient beaucoup et sont plus ou moins intensives.

De la connexion exigée au service en ligne au simple envoi de SMS

Parmi les informations demandées, on retrouve donc les nom, prénom, date de naissance, adresse postale et autres informations triviales. Si triviales en fait qu’elles sont le plus souvent très simples à trouver et que certaines banques ne vont pas au-delà, se contentant par exemple d’envoyer un simple SMS de vérification. Conséquence : des comptes Apple Pay ont été validés par les banques et les pirates ont pu procéder à des achats. Une méthode d’autant plus efficace qu’Apple Pay se sert d’un jeton émulant une carte bancaire, sans que l’utilisateur ait besoin physiquement de cette dernière.

80 % des achats frauduleux ont été effectués dans les Apple Store, sur des produits onéreux. Selon une source du Wall Street Journal, ce choix obéit à une logique implacable : les Store de la firme offrent l’assurance de pouvoir utiliser Apple Pay (évidemment) et les produits achetés ont une grande valeur à la revente. L’argent dérobé est ainsi converti en biens qui seront revendus par la suite via différents moyens.

Apple Pay n'a pas été piraté

Bien que la fraude passe par Apple Pay, le système de paiement de l’entreprise n’est pas en cause, quand bien même une partie de la presse s’échine déjà à expliquer que la fonctionnalité a été piratée. Il n’y a pas de faille de sécurité, ni de barrière contournée : Apple Pay est un cargo dont certaines marchandises peuvent être frelatées. Le problème réside dans la vérification des marchandises, en l’occurrence la légitimité du porteur de cartes.

Il faudra donc que les établissements bancaires renforcent de manière drastique ces procédures de vérification. Certains réclament par exemple à leurs clients qu’ils se connectent à leur espace en ligne pour valider directement au sein de ce dernier l’autorisation. Si un pirate peut récupérer les informations d’une carte, il lui sera plus complexe d’avoir en même temps les identifiants d’accès sur le service en ligne. Il est possible que les banques n’aient pas souhaité « assommer » les clients avec des procédures lourdes, mais il faudra bien que le monde se réveille : la sécurité et la facilité d’utilisation ne cohabitent que moyennement. L’absence de vérification efficace ne peut que concourir au faux sentiment de sécurité du client.

D’autant que tout le monde est perdant : les clients floués de leur argent perdent confiance, les banques doivent les rembourser puisqu’elles sont responsables, et Apple y perd en image. Richard Crone, PDG du cabinet de conseil sur les paiements Crone Consulting, résume ainsi au Wall Street Journal : « Apple Pay est formidable, mais est bâti sur des fondations branlantes ». Par ricochet, c’est le système de paiement, et donc la marque elle-même, qui seront pointés du doigt, au moins en partie.

Commentaires (121)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

On dirait un article pour défendre Apple.

Mais…..

“Une méthode d’autant plus efficace qu’Apple Pay se se sert d’un jeton émulant une carte bancaire, sans que l’utilisateur ait besoin physiquement de cette dernière.”

 vs

 “Bien que la fraude passe par Apple Pay,

le système de paiement de l’entreprise n’est pas en cause, quand bien

même une partie de la presse s’échine déjà à expliquer que la

fonctionnalité a été piratée.”

 

J’imagine la versoin BBry sur NI :



“Les utilisateurs de BBry choisissent cette plateforme pour la sécurité, mais le Blackberry-pay met à mal la sécurité qu’ils defendent corps et bien. Et l’on sait tous que la marque n’a plus le vent en poupe, cet épisode facheux sur la sécurité de sa solution de paiement ne va pas arranger son image, déjà catastrophique. Mais qui a encore un Blackberry aujourd’hui ?”.

votre avatar

Jusqu’où on peut être de mauvais foi&nbsp;<img data-src=" />



La méthode utilisée par Apple sera la même que celle utilisée par Google, et Samsung (hors utilisation de leur truc de bande magnétique), au final, tous ces systèmes seront “sensible” à ces failles, Apple ne PEUX PAS faire de correction dans le protocole ou la techno pour améliorer les choses, et Apple se base sur le fait que la banque envoi un une info disant : cet utilisateur est SUR accepte TOUT ses paiements.

&nbsp;

Et si BB décide de se bouger le fion, pour implementer le payement sans contact ça sera de toute façon la même techno.



Mais … c’est de la faute d’Apple, et c’est parce que NXI est de mauvaise foi qu’ils ne disent pas la vérité, mais SI ! c’était blackberry ! ils diraient que c’est de la faute de Rim !



&nbsp;

votre avatar

À ma connaissance, ça a en effet aussi été le cas aux US. Après toutes les banques ne l’ont peut-être pas fait, et peut-être que certains clients sont passés au travers…



Sinon je ne suis pas sûr d’avoir bien compris si les cartes liées à un compte itunes posaient soucis ou pas au final…

votre avatar







barlav a écrit :



Et c’est lui qui dit ça! <img data-src=" />

facebook.com FacebookTu es né le le 9 juillet 1909selon wiki <img data-src=" />





<img data-src=" />


votre avatar

Donc cela ne peut pas être en partie de la faute d’ Apple ?



C’est une blague ?



Apple Pay est un service vendu comme étant à la fois simple et sécurisé… et il ne vient à l’idée de personne que ces 2 notions ne vont pas ensemble ou que le service a été lancé à la va-vite ?

Apple vérifie toutes les apps de son store avec une méthode draconienne, mais le service Apple Pay n’a fait l’objet d’aucun cahier des charges au niveau d’une sécurité minimum ? <img data-src=" />



Sans rire: ce problème est tout autant un problème lié aux banques qu’à Apple: car Apple a clairement utilisé son image pour dire que ce service était partaitement sécurisé… Mais si en faisant cela, Apple ne vérifie pas derrière le bon travail des banques, ce service ne sert à rien…

votre avatar







carbier a écrit :



Donc cela ne peut pas être en partie de la faute d’ Apple ?



C’est une blague ?



Apple Pay est un service vendu comme étant à la fois simple et sécurisé… et il ne vient à l’idée de personne que ces 2 notions ne vont pas ensemble ou que le service a été lancé à la va-vite ?

Apple vérifie toutes les apps de son store avec une méthode draconienne, mais le service Apple Pay n’a fait l’objet d’aucun cahier des charges au niveau d’une sécurité minimum ? <img data-src=" />



Sans rire: ce problème est tout autant un problème lié aux banques qu’à Apple: car Apple a clairement utilisé son image pour dire que ce service était partaitement sécurisé… Mais si en faisant cela, Apple ne vérifie pas derrière le bon travail des banques, ce service ne sert à rien…







Tiens, faut que je fasse un croix rouge dans mon calendrier, je suis d’accord avec Carbier&nbsp;<img data-src=" />&nbsp;





Mais c’est tellement plus facile dans la mouvance actuelle de tout mettre sur le dos de ces salauds de banquiers…



Utiliser Apple Play pour autre chose que des achats en magasin physique, pour des montants minimes, c’est de l’inconscience, pour rester poli.


votre avatar

Pour me faire l’avocat du diable 2 minutes (parce qu’en vrai j’en ai un peu rien à faire d’APple pay ^^), Apple assure la sécurité de la transaction, la sécurité des données, mais la sécurité de: la banque autorise qui que ce soit à ajouter votre carte sur Apple Pay -&gt; pour moi ça n’est pas le travail d’Apple. Ce n’est pas eux qui sont les mieux placés pour cela, mais bien les banques. Qui a priori ont fait de la merde sur ce coup.



Après Apple pourrait probablement mieux faire, mais j’ai du mal à voir comment. Ils peuvent vérifier que la carte n’est pas déjà utilisée sur un de leur comptes itunes, ou autre compte Apple Pay (et à ce moment là demander confirmation au propriétaire de ce compte), mais à part ça…

Tous les sites de ventes en ligne etc. demande aux banques, ils ne vérifient pas eux-même.

votre avatar

Coucou, je te propose un service simple & sécurisé mais en fait j’en sais rien parce que la sécurité est pas de mon ressort mais de celui des banques. Vas-y utilise-le!

votre avatar

Comme pour les fuites sur icloud… Ce n’est pas la faute d’apple… Jamais… Ce n’est pas de leur faute si leur regles règles de sécurité sont complètement laxistes…

votre avatar

La sécurité de la transaction est de leur ressort. Mais ils n’ont juste pas les moyens eux de vérifier si la carte est la tienne ou pas. C’est bien pour ça qu’ils demandent à la banque de confirmer la carte avant de l’accepter.



Quant à iCloud, la dernière chose que j’avais retenu c’est que les MDPs avaient été volés sur des téléphone aussi bien android, iOS que Windows, du coup a priori je suis à la ramasse et je ne peux pas vraiment répondre ^^

votre avatar
votre avatar







Xaelias a écrit :



Pour me faire l’avocat du diable 2 minutes (parce qu’en vrai j’en ai un peu rien à faire d’APple pay ^^), Apple assure la sécurité de la transaction, la sécurité des données, mais la sécurité de: la banque autorise qui que ce soit à ajouter votre carte sur Apple Pay -&gt; pour moi ça n’est pas le travail d’Apple. Ce n’est pas eux qui sont les mieux placés pour cela, mais bien les banques. Qui a priori ont fait de la merde sur ce coup.





Le service s’appelle Apple Pay ou Mastercard / Visa Pay ?

Comment Apple peut-il se vanter d’être le premier à offrir un service sécurisé de ce genre, si ils n’imposent rien concernant la sécurité ?





Xaelias a écrit :



Après Apple pourrait probablement mieux faire, mais j’ai du mal à voir comment. Ils peuvent vérifier que la carte n’est pas déjà utilisée sur un de leur comptes itunes, ou autre compte Apple Pay (et à ce moment là demander confirmation au propriétaire de ce compte), mais à part ça…

Tous les sites de ventes en ligne etc. demande aux banques, ils ne vérifient pas eux-même.





Comment ils auraient pu mieux faire, ce n’est pas mon problème, ni celui des utilisateurs…

Quand on veut “vendre” un service sécurisé de ce genre, le minimum est de contraindre les banques à avoir un protocole qui tient un minimum la route…

Dans le cas contraire, Apple laisse toute la sécurité de son service sur les épaules de tiers… Et rien que pour cela, Apple est en partie responsable du problème…


votre avatar

+1 pour la layus BBry



bon sinon en parlant de BBry ben WMC finito et gagner mon pari : que meme si annonce de BBry (juste 4 smartphone dont 1 qui va faire baver certain, juste BB service pour iOs Droid et WP, BES 12 et knox …) mais rien meme pas une ligne



voila c est dit

votre avatar

Quand tu fais un achat via carte bancaire par internet, ce n’est pas la banque qui vérifie… c’est le groupement CB (Visa + Mastercard) qui s’assure que la transaction est conforme, avec éventuellement une interrogation informatisée de solde en fonction du montant et des plafonds.



Et le GIE Carte bancaire est rémunéré pour ça (en règle générale 0.15% de la transaction avec un mini à 1€).

votre avatar

&nbsp;Je ne peux qu’approuver, ^1000&nbsp;<img data-src=" />

votre avatar

De ce que j’en comprends, c’est un pb de confiance.

Quand je commande pour 100-300E sur internet, je dois valider mon acte CB par une 2nde source ie SMS que je fais l’acte de commande volontairement. Comment peut-on commander un i-chose à 2kE sans cette double vérification? La banque a fait confiance à apple pour assumer les risques de ne pas vérifier l’authentification.

La question de la responsabilité reste à définir selon les rôles de chacun.

votre avatar

Je trouve que sur ce coup, Apple tente de se dédouaner de ses responsabilités en accusant les banques…

&nbsp;

Je pense que le soucis de sécurité se trouve plutôt du côté d’Apple Pay qui accepte les numéros de carte sans validation derrière…

votre avatar

non non

Appel accept uniquement si la carte correspont a celle d’un compte iTune fonctionnel (donc deja valide)

Sinon demande de validation par la banque qui pour certainne demande le strict minimum

votre avatar

De tout de façon c’est de la faute à Apple, voilà et puis c’est tout, lol.

votre avatar

“Le cœur du problème ne vient cependant pas d’Apple Pay, mais des banques elles-mêmes.”



Euh, et donc le titre c’est juste du FUd et du click-bait?

votre avatar







Tatsu-Kan a écrit :



Je trouve que sur ce coup, Apple tente de se dédouaner de ses responsabilités en accusant les banques…

 

Je pense que le soucis de sécurité se trouve plutôt du côté d’Apple Pay qui accepte les numéros de carte sans validation derrière…







Troll du matin, chagrin <img data-src=" />


votre avatar

Je ne comprend pas le problème avec le SMS de vérification. Le pirate n’a pas la carte sim liée au compte bancaire

votre avatar

J’avoue, premier article, premier commentaire, boum le troll <img data-src=" />



Sinon, rien de nouveau dans le fait que les cartes de paiement soient bon vecteur d’arnaque aux US, ils ont l’habitude. Et on voit aussi là la limite du partenariat entre Apple et les Banques, elles ont fait ce qu’elles voulaient comme d’hab. Pas sûr qu’Apple puisse rectifier efficassement le tir.



ApplePay c’est juste une facade, avec les banques derrière. Si Apple arrive à les mettre au pas et à leur imposer des audits ça pourrait bien fonctionner, mais j’ai comme un doute…

votre avatar

systeme pour certaines banques US donc le sms c’est genre “Mr/Md votre carte est valide et autoriser pour le service demande en cas de prob bla bla espace client”



&nbsp;

votre avatar

Ben je suis desolé mais quand tout un article dit blanc et que le mec en arrive dans sa tete a la conclusion que c’est noir, c’est qu’il y a quand meme un sacré probleme qqpart, nan ?

Donc pour moi, y’a que 2 solutions : soit le mec a des informations supplementaires que personne ne connait et ca serait assez cool qu’il partage, ca ferait un beau scoop pour NXI, soit il a un serieux probleme de comprehension/jugement/logique qui ne peut s’expliquer que par une sorte d’aveuglement haineux completement ridicule et injustifié.



Pour moi, c’est l’exemple parfait et typique du hater justement. Et crois moi, je n’utilise pas cette expression a la legere …

votre avatar







misterB a écrit :



Si la banque authorise une carte déclarée volé Apple ne peut rien il me semble, a moins que tu pense qu’un vendeur de hardware ait accès aux fichiers bancaires





Une carte déclarée volée peut être utlisée via Apple Pay c’est qu’il y a un problème…

Si Apple n’est pas en mesure de le vérifier, ou s’il n’a pas voulu implémenter un protocole plus solide avec les banques c’est SON problème et cela veut juste dire qu’Apple Pay n’est en rien sécurisé et ne peut donc être “vendu” comme tel.



Apple a “vendu” au monde entier un nouveau système “sécurisé”: s’il n’est pas capable de le sécuriser plus que ce qui se fait déjà à côté: explique moi son utilité ?





misterB a écrit :



US #1 sur les fraudes bancaires, bien avant Apple Pay, c’est de la faute des détenteurs de carte, Visa mastercard, ou des banques ?





C’est de la faute de celui qui vend le service final


votre avatar







carbier a écrit :



Une carte déclarée volée peut être utlisée via Apple Pay c’est qu’il y a un problème…



J’utilise une carte déclarée volée pour faire un achat sur Steam. La banque de la personne de la carte volée envoi un sms pour confirmer qu’il est bien John smith. Il confirme et il se fait voler.

[mode Carbier On]C’est la faute à Steam[mode Carbier Off]



Edit : c’était pareil avec Ubisoft (carte volé du coté d’origin store pour Farcry4)il n’ y a pas si longtemps, et en mode Carbier On c’était la faute à Ubi (alors que bon, tout devait se regler du côté d’origin


votre avatar

Apple pay n’est pas en cause mais tous les titres des journaux le mentionne dans leur titre.



C’est limite comme principe et induit clairement en erreur

votre avatar







Danytime a écrit :



J’utilise une carte déclarée volée pour faire un achat sur Steam. La banque de la personne de la carte volée envoi un sms pour confirmer qu’il est bien John smith. Il confirme et il se fait voler.

[mode Carbier On]C’est la faute à Steam[mode Carbier Off]





C’est bien tu es très fort pour ne pas comprendre un argument en bon fanboy <img data-src=" />



Ton exemple montre qu’Apple Pay n’est tout simplement pas un service sécurisé et ne devrait donc pas fonctionner comme tel.



1- Si la carte est volée après son activation: obligation d’information d’Apple de la part de la banque. Le tout suivant un protocole sécurisé obligatoire (mais ce n’est pas le cas ici)



2- Si la carte est volée avant son activation: obligation d’une double confirmation avec un protocole de sécurité minimale… Car si les informations de la carte sont dérobées avant même que son porteur ne s’en aperçoive et ne prévienne la banque, il faut bien qu’il y ait une sécurité…

Or Apple n’a défini aucun protocole minimale et laisse donc un grand pan de la sécurité d’Apple Pay géré par des tiers. Apple n’est pas seule responsable du problème mais Apple n’a rien fait pour améliorer la sécurité de son système (malgré toute la pub qui a été faite la dessus)…

Donc oui désolé, on ne peut mettre Apple en dehors de la chaine de responsabilité…



Pour faire court: aux US Apple Pay a été vendu comme étant un nouveau moyen sécurisé de payer pour contourner les problèmes récurrents liés aux banques… Or comme on s’aperçoit qu’Apple n’a absolument pas augmenter la sécurité des processus: au mieux il s’agit d’une publicité mensongère, au pire il s’agit d’un problème de sécurisation d’Apple Pay…


votre avatar







carbier a écrit :



C’est bien tu es très fort pour ne pas comprendre un argument



Je m’enfous de tout ça ou tout ce que tu diras. J’étais venu voir le mode “Carbier On” en ce dimanche après midi :)


votre avatar

J’ai l’impression que beaucoup de gens veuillent que ce soit de la faute d’Apple car c’est Apple et que Apple c’est le grand méchant.



Dans cette histoire ici ça se passe comme ça :&nbsp;

T’enregistre une carte dans Apple Pay, Apple envoie les informations de la carte et du propriétaire du compte Apple a la banque et demande a la banque si c’est bon ou pas.

Si la banque lui répond oui, alors ils activent la carte dans Apple Pay.



Apple ne peut pas savoir si la carte est bonne ou pas, ils ont pas les infos c’est les banques qui les ont. Le problème ici c’est quand les banques répondent que la carte est bonne quand elle ne l’est pas. La seule chose que peut faire Apple pour éviter ce problème c’est de complètement contourner les banques et créer une Apple Bank, ou alors demander aux banques un accès total aux informations sur leurs clients histoire de vérifier eux même. Pas sur que les dits-clients seraient contents..



Alors je veux bien que vous voulez que ce soit la faute d’Apple, mais va falloir être plus convainquant.

votre avatar

Y’a un moment où il faut bien réaliser que le soucis n’est pas du tout lié à Apple Pay quand même. Si les infos de la carte ont été volés, c’est comme utilise la carte sur n’importe quel site internet. C’est pas au site de vérifier la validité de la carte. C’est à la banque d’autoriser le paiement ou pas.

On ne peux pas reprocher à Apple de ne pas être au courant qu’une carte a été volée si la banque elle même n’est pas au courant…



Le service Apple Pay c’est à partir du moment où ta carte est sur tout téléphone, les infos de ta carte ne peuvent pas être volées par ce biais, quand tu fais une transaction c’est le bon montant, et on ne te cole pas tes infos et il faut l’empreinte digitale pour activer la carte donc si on te vole ton tél t’es safe.

Si t’as banque est suffisamment débile pour dire que ta carte peut être activée sur n’importe quel tél sans vérification supplémentaire, c’est bien la faute de la banque. Et Apple aurait essayé d’imposer un processus au banque (quand bien même ce n’est clairement pas sa place) tout le monde aurait hurlé contre Apple essayant de contrôler les banques…



C’est quand même pas dur, si j’utilise ma carte sur un site, et qu’ils se font pirater mes infos de paiements, là je râle contre le site. Si un site accepte un paiement avec ma carte qui a été volée, j’engueule ma banque pour avoir autorisé un paiement qui n’est pas valide, (et j’engueule le responsable de la fuite de mes infos, dans ce cas précis Target et Home Dépôt)

votre avatar

Apple Pay c’est payer de façon sécurisé sans avoir besoin de détenir physiquement ta carte…



Quand on sait à quel point il est “simple” de récupérer des informations sur une carte et son propriétaire, le minimum du minimum est d’être sur que lors de la création du jeton, la carte et le propriétaire sont valides.



Apple n’a imposé aucune contrainte aux banques pour cette étape or c’est un service Apple: au nom de quoi la totalité de la faute devrait incomber aux banques ?

votre avatar







luinil a écrit :



Apple ne peut pas savoir si la carte est bonne ou pas, ils ont pas les infos c’est les banques qui les ont.





Si Apple ne peut garantir la validité d’une carte alors qu’on peut payer avec Apple Pay sans la détenir physiquement, c’est au minimum une aberration sécuritaire… ou alors le service parfait pour le blanchiment de cartes “volées”… Les escrocs l’ont rêvé, Apple l’a fait…


votre avatar







carbier a écrit :



Apple Pay c’est payer de façon sécurisé sans avoir besoin de détenir physiquement ta carte…



Quand on sait à quel point il est “simple” de récupérer des informations sur une carte et son propriétaire, le minimum du minimum est d’être sur que lors de la création du jeton, la carte et le propriétaire sont valides.



Apple n’a imposé aucune contrainte aux banques pour cette étape or c’est un service Apple: au nom de quoi la totalité de la faute devrait incomber aux banques ?





En demande d’un paiement, la banque dit amen, alors que la carte a été volée =&gt; faute de la banque.


votre avatar

Et bien parce que ce n’est pas à Apple de dire aux banques comment faire leur travail :-/

Une fois encore, si un voleur utilise ma carte volé sur un site en ligne, je vois pas en quoi c’est la faute du site. Si la banque autorise le paiement c’est la faute de ma banque… Surtout qu’a priori les infos volées viennent de Home Depot/Target, qui ont admis publiquement ce vol… Si après les banques sont stupides au point de laisser les cartes en libres circulations…

votre avatar

Quand on utilise son logiciel pour dev (xcode) sur son os (mac OS) avec son langage/SDK (objective-X/cocoa et maintenant swift) oui ils ont déjà un peu plus de droit de parler de sécurité. Puis le dév excuse moi mais c’est un bon bout du métier d’Apple quand même.



Sur leur store ils vendent une app, ils cherchent à certifier que l’App est safe pour l’utilisateur. Qu’on ne va pas lui voler des données ou son argent avec cette App. Apple Pay rentre encore dans cette catégorie. &nbsp;Comme dans n’importe quelle solution de paiement, si un inconnu rentre tes infos de paiements, c’est encore à ta banque d’assurer la validité de cette transaction que je sache… (jusqu’à maintenant) La sécurité du paiement est assuré, le jeton est safe (pas volé, pas ré-utilisé par des tiers pour d’autres paiements etc. etc.), tes données bancaires sont sauves… Le seul soucis, une fois de plus, c’est que si ta banque laisse n’importe qui activer ta carte sans te demander ton avis, ça reste la faute de ta banque… Surtout des cartes dont elles savent qu’elles sont compromises…

votre avatar







TNZfr a écrit :



Faux !

Le chiffrement entre la carte et le TPE n’est présent que pendant une opération avec la puce.



Dans le cas du sans contact, cela revient à une transaction avec la piste ISO2. En plus, avec le sans contact, tu as la piste mais tu as aussi les dernières opérations effectuées. Et quand on sait qu’un scanner à 100€ permet de récolter tout ça très discrètement. Un trajet en métro aux heures de pointe c’est juste l’orgie pour un faussaire.



Quant à l’Apple Pay, les banques ont flairé le potentiel de captation de clients. Du coup, ils sont allongés par rapport aux specs techniques vs la sécurité pour faire du time-to-market. La monétique et le paiement n’est pas le métier d’Apple … et le professionnels se sont allongés en un claquement de doigt. C’est triste.



D’une manière globale, le support (sans NFC) de la carte bancaire contribue à la sécurité (format propriétaire, fréquence d’utilisation etc …) Quand on regarde la fréquence journalière avec laquelle on sort le smartphone vs la carte bancaire, il n’y a pas besoin d’avoir fait polytechnique pour mesurer le risque. De plus, quand les données sont transférées sur un support non maîtrisé … personne ne garantir quoi que ce soit. Un peu de renseignement sur le comment ça marche, un peu de bon sens …







Tu ne fais que confirmer ce que je dis par rapport au problème de vie privée: oui il est possible à tout un chacun de récupérer le numéro de carte et le nombre de transactions. Ce qui pose untréel problème de vie privée, et qui n’est pas désactivable par la banque.



Le cartes bancaires utilisent des puces Mifare avec une piste de données en lecture que l’on juge certes trop bavarde mais un système de transaction chiffré qui permet au terminal de dialoguer directement avec la puce. La piste en lecture seule n’est pas le seul élément présent dans la puce (sinon d’ailleurs, il serait impossible de limiter les paiements sans fil à 30€ glissants)



Donc je réaffirme: oui il y a un problème de vie privée (exposition du numéro de carte et des dernières transactions). Non il n’y a pas de problème de sécurité dans les transactions en elles mêmes.



Sauf que seules les transactions (qui sont, elles sécurisées) sont désactivables par les banques. Pas l’emission des infos perso.



Pour le numéro de carte diffusé en clair, c’était franchement une idée de merde commercialement parce qu’il ne sert à rien dans la transaction à part faire parler en mal du système. D’un autre côté, un numéro de carte piqué dans le métro sans son CCV n’a pas plus d’intérêt pour un malfaiteur qu’un générateur de numéro de cartes bancaires.


votre avatar







Tatsu-Kan a écrit :



Edit : Aucune banque ne demande de validation par sms pour un paiement de 1€/$. Le coût de la vérification devenant astronomique au regard du montant.





C’est le cas à chaque bundle que j’achète.


votre avatar







jpaul a écrit :



Pour le numéro de carte diffusé en clair, c’était franchement une idée de merde commercialement parce qu’il ne sert à rien dans la transaction à part faire parler en mal du système. D’un autre côté, un numéro de carte piqué dans le métro sans son CCV n’a pas plus d’intérêt pour un malfaiteur qu’un générateur de numéro de cartes bancaires.





Le nom du code de contrôle, c’est CVV et le cryptogramme au dos c’est le CVV2. Et tout ça se trouve sur la piste ISO2 et dans les infos en clair du NFC.



&nbsp;Les générateurs de N° de cartes bancaires n’intègrent pas les plages black-listées sur les équipements GIE/Visa/Mastercard.



Il convient de garder à l’esprit que le NFC c’est du RFID utilisé au départ pour “marquer” les colis dans les supply-chain (manutention des colis chez les VPC par exemple). Le RFID n’a jamais été conçu pour être sécurisé.


votre avatar

Pour info, je viens de tester une CB Boursorama avec une appli NFC pour Android. Par défaut, le paiement par NFC est désactivé par Boursorama et il est nécessaire d’aller dans un DAB après demande d’activation du NFC par le client. L’application a bien détecté qu’il s’agissait d’une VISA, mais elle n’a pas pu récupérer le numéro ou d’autres informations parce que le paiement sans contact était bien désactivé.

votre avatar



certaines banques ne vont pas au-delà, se contentant par exemple d’envoyer un simple SMS de vérification.





Ou pire, demandent la date de naissance. Une visite rapide sur Facebook et tu es sûr à 99% d’avoir la réponse.

votre avatar



mais il faudra bien que le monde se réveille





Oui, car il y a dans la vie des choses bien plus importantes que ces histoires de pognons et la terre continuera de tourner avec ou sans, le fric.

votre avatar

Quoi qu’on en dise le problème vient des banques et de Apple, une telle solution de paiement est vendue par Apple il incombe donc à cette entreprise de vérifié que tous se passe bien, il est évident que les banques on fait n’importe quoi mais c’est à Apple de veillé à ce que son service soit utilisé de la bonne manière c’est juste une faille du système et heureusement que ça à été vu assez rapidement.

votre avatar







adarion29 a écrit :



(…) et heureusement que ça à été vu exploité assez rapidement.



<img data-src=" />

Oui, heureusement qu’on a des gentils pirates pour débugguer et trouver les défauts…


votre avatar







linkin623 a écrit :



C’est juste énorme…



Je vois juste dans cette histoire l’incompétence l’avarice des banques face à un nouveau moyen de paiement.







Comme dit plus haut tant qu’ils peuvent gagner plus sur le dos de leurs clients ils ne vont pas se gêner.

Un exemple : ma CB arrive bientôt à expiration. Ma banque m’envoie un courrier pour me dire que si je ne me manifeste pas ma CB sera automatiquement renouvelée et en plus il m’ajoute une nouvelle fonctionnalité arnaque : le paiement sans contact et d’autres trucs tout ça gratuits.



Je me suis déplacé à mon agence pour dire que déjà le paiement sans contact je n’en veux pas et que je voulais une carte sans fioritures (ils m’avaient fourgué une carte avec possibilité de payer à crédit. Truc dont je ne me sert pas et qui m’a gavé 4 ans!)

Et le guichetier qui tente de me refourguer une assurance (2€/mois) contre les paiements frauduleux.

Hé ho! Vous n’avez pas fini de prendre vos clients pour des pigeons laitiers? <img data-src=" />



Bon ce qui m’inquiète c’est que le gars au guichet a accepté mes requêtes sans broncher et a commandé une nouvelle carte. Va falloir que j’épluche le contrat avant de signer quitte à rester dans l’agence toute la journée pour vérifier s’il n’y a pas d’entourloupe.


votre avatar



Il est possible que les banques n’aient pas souhaité «&nbsp;assommer&nbsp;» les

clients avec des procédures lourdes, mais il faudra bien que le monde se

réveille&nbsp;: la sécurité et la facilité d’utilisation ne cohabitent que

moyennement.





En lisant cette phrase j’ai pensé à Valls et Cazeneuve, qui tiennent ce même discours pour justifier le renforcement des mesures liberticides…

votre avatar

Tu as de la chance, ta banque te contacte avant le renouvellement. ;-)



Moi je suis passé au porte feuille protégé : la CB (fonction désactivée par la banque), passe du bureau, carte ticket restaurant et Navigo. Ca commence à faire beaucoup.

votre avatar







misterB a écrit :



Par exemple juste pour activer l’appli de ma banque j’ai du aller a un guichet et finir la validation avec ma carte, gros bordel mais efficace





Moi j’ai recu un courier à mon adresse postale. Efficace aussi.


votre avatar







Jarodd a écrit :



Ou pire, demandent la date de naissance. Une visite rapide sur Facebook et tu es sûr à 99% d’avoir la réponse.





Encore fautil avoir un compte FB. <img data-src=" />


votre avatar

De toutes façons ces systèmes devraient être limités à des petits achats, et certainement pas en ligne AMHA.



Tu regardes les achats en ligne par CB, ils sont de plus en plus sécurisés; on t’envoie un SMS sur un smartphone qui n’a rien à voir avec ton moyen de paiement; la vérification est plus facile forcément…



C’est facile de jeter la pierre sur les banques, mais que peuvent elles vérifier?&nbsp;



Vous dites vous même que si la carte correspond à un iTunes fonctionnel on passe par “chemin vert”. Or dans les infos précédemment dérobées à Home Depot ou Target ils y a forcément des millions de cartes qui correspondent à ce cas de figure…





&nbsp;

votre avatar

Et c’est lui qui dit ça! <img data-src=" />

facebook.com FacebookTu es né le le 9 juillet 1909selon wiki <img data-src=" />

votre avatar







Ricard a écrit :



Encore fautil avoir un compte FB. <img data-src=" />







D’où le 99% <img data-src=" />



Je n’en ai pas non plus, mais je ne doute pas de la bêtise de certaines personnes de mon entourage. Je sais que j’apparais sur des photos, probablement tagguées avec mon nom <img data-src=" />


votre avatar







Z-os a écrit :



la CB (fonction désactivée par la banque)





Ça, ça ne sert à rien.



La puce NFC en elle même ne peut être désactivée (elle peut être “cassée” définitivement) par la banque. La banque peut juste désactiver la possibilité de faire des transactions par NFC. C’est complètement inutile puisque ce que l’on reproche au NFC c’est de diffuser en public des infos qui devraient être privées. Le protocole de paiement sans contact en lui même étant bien sécurisé : la transaction entre la carte et le TPE étant chiffrée.



Du coup, en faisant désactiver le bazar par ta banque, tu as les inconvénients sans les avantages: tu ne peux plus faire de transaction par NFC, mais ta carte est encore en openbar !



En revanche, tu peux désactiver sans risque la puce en la “détruisant” (en poinçonnant, ponçant …)



Pour ma part je trouve le NFC globalement plus pratique que chiant, mais je fais mes comptes régulièrement pour vérifier que tout est Ok.


votre avatar

Qu’il rembourse !

Avec 600 Milliard il y a de quoi faire&nbsp;<img data-src=" />&nbsp;

votre avatar

Le problème est qu’Apple transforme une transaction VAD (avec tous les problèmatiques de sécurité attachée à ce mode de paiement) en système de paiement de proximité sécurisé.

Tout la partie technique d’ApplePay donne donne un faux sentiment de sécurité. C’est à Apple de s’assurer que les token générés lors de la transaction sont réellement associée à une carte non volée et appartenant au prioritaire du téléphone.



De toute façon c’est le problème principal du paiement par téléphone, qui garantie l’association téléphone-compte bancaire ?

Avec une carte bancaire, le problème ne se pose pas, tout est géré par la banque.&nbsp;

Mais avec le téléphone,&nbsp; il faut faire rentrer un tiers dans la boucle (souvent un opérateur téléphonique), et donc partager les commissions. Et partager les bénéfices, cela ne fait jamais plaisir …

&nbsp;



&nbsp;

&nbsp;

&nbsp;

votre avatar

Ce qui est fou dans cet histoire c’est que les CB utilisées viennent de Target et Home Depot. Les banques ont eu connaissance de ces vols et auraient du remplacer toutes ces CB.



C’est d’ailleurs ce qu’a fait ma banque, puisque ma carte utilisée chez Home Depot a été remplacée moins d’une semaine après les annonces…



De la à mettre en cause un laxisme de certaines banques…

votre avatar







carbier a écrit :



Donc cela ne peut pas être en partie de la faute d’ Apple ?



C’est une blague ?



Apple Pay est un service vendu comme étant à la fois simple et sécurisé… et il ne vient à l’idée de personne que ces 2 notions ne vont pas ensemble ou que le service a été lancé à la va-vite ?

Apple vérifie toutes les apps de son store avec une méthode draconienne, mais le service Apple Pay n’a fait l’objet d’aucun cahier des charges au niveau d’une sécurité minimum ? <img data-src=" />



Sans rire: ce problème est tout autant un problème lié aux banques qu’à Apple: car Apple a clairement utilisé son image pour dire que ce service était partaitement sécurisé… Mais si en faisant cela, Apple ne vérifie pas derrière le bon travail des banques, ce service ne sert à rien…





Si la banque authorise une carte déclarée volé Apple ne peut rien il me semble, a moins que tu pense qu’un vendeur de hardware ait accès aux fichiers bancaires


votre avatar

Qui te dit que la carte est volée???



On sait juste que des infos ont été piraté chez Target et Home dépôt…



Quand tu achètes un truc à 2k brouzoufs en ligne via CB, tu as une vérification, par SMS ou autre. Et là, rien…

votre avatar







carbier a écrit :



Le service s’appelle Apple Pay ou Mastercard / Visa Pay ?

Comment Apple peut-il se vanter d’être le premier à offrir un service sécurisé de ce genre, si ils n’imposent rien concernant la sécurité ?



Comment ils auraient pu mieux faire, ce n’est pas mon problème, ni celui des utilisateurs…

Quand on veut “vendre” un service sécurisé de ce genre, le minimum est de contraindre les banques à avoir un protocole qui tient un minimum la route…

Dans le cas contraire, Apple laisse toute la sécurité de son service sur les épaules de tiers… Et rien que pour cela, Apple est en partie responsable du problème…







US #1 sur les fraudes bancaires, bien avant Apple Pay, c’est de la faute des détenteurs de carte, Visa mastercard, ou des banques ?





Je suppose visa ou matsercard qui ne sécurisent pas assez les banques, ses clients <img data-src=" />



Si tu rentre chez qqn par la porte d’entrée, qui est responsable, le gars qui a construit la porte, le fournisseur de la serrure ou celui qui laisse la porte ouverte ?


votre avatar







coket a écrit :



Qui te dit que la carte est volée???



On sait juste que des infos ont été piraté chez Target et Home dépôt…



Quand tu achètes un truc à 2k brouzoufs en ligne via CB, tu as une vérification, par SMS ou autre. Et là, rien…





Les infos piratés donc c’est comme une carte volée, si la banque n’envoie même pas u mail, courrier ou SMS a celui qui l’active elle est en faute, pas Apple qui reçoit la validation de cette dernière.



votre avatar







misterB a écrit :



US #1 sur les fraudes bancaires, bien avant Apple Pay, c’est de la faute des détenteurs de carte, Visa mastercard, ou des banques ?





Je suppose visa ou matsercard qui ne sécurisent pas assez les banques, ses clients <img data-src=" />



Si tu rentre chez qqn par la porte d’entrée, qui est responsable, le gars qui a construit la porte, le fournisseur de la serrure ou celui qui laisse la porte ouverte ?





Manifestement tu ne sais pas comment ça se passe…&nbsp;



C’est pas la banque qui donne l’autorisation de paiement, c’est le GIE carte bancaire. Si nécessaire il interroge la banque, en cas de dépassement de plafond, pour une vérification de solde, ou un numéro de tel pour confirmation via code envoyé par sms.



Apple veut prendre la com du GIE, il faut certainement qu’il fasse le boulot du GIE aussi…


votre avatar

Comment tu veux que la banque soit au courant?



Faut arrêter de délirer. Je sais bien que c’est la mode de taper sur les banquiers, que ça fait même élire les présidents, mais quand même…

votre avatar







coket a écrit :



Manifestement tu ne sais pas comment ça se passe… 



C’est pas la banque qui donne l’autorisation de paiement, c’est le GIE carte bancaire. Si nécessaire il interroge la banque, en cas de dépassement de plafond, pour une vérification de solde, ou un numéro de tel pour confirmation via code envoyé par sms.



Apple veut prendre la com du GIE, il faut certainement qu’il fasse le boulot du GIE aussi…







A ton avis pourquoi le service Apple ne fonctionne qu’acec VISA actuellement ?



comme une contactless c’est un service VISA avant d’être un service Apple, et en fin de ligne si la banque ne vérifie pas avec son client, ni VISA ni Apple ne peuvent savoir si cette carte est bien attribué au bon client


votre avatar







misterB a écrit :



A ton avis pourquoi le service Apple ne fonctionne qu’acec VISA actuellement ?



comme une contactless c’est un service VISA avant d’être un service Apple, et en fin de ligne si la banque ne vérifie pas avec son client, ni VISA ni Apple ne peuvent savoir si cette carte est bien attribué au bon client







C’est bien pour ça qu’en règle générale les paiements NFC sont limités à des petits montants, en boutique physique.



Imagine un iPhone volé, avec les infos bancaires dessus. On t’envoie un code pour valider le paiement, que toi voleur, tu reçois sur le téléphone volé… ça en devient absurde…&nbsp;


votre avatar







coket a écrit :



Comment tu veux que la banque soit au courant?



Faut arrêter de délirer. Je sais bien que c’est la mode de taper sur les banquiers, que ça fait même élire les présidents, mais quand même…







Je m’en cogne de taper sur les banquiers, mais quand je vois ou j’habite le nombre de verrais au moindre changement, permet moi de me poser des questions sur les banques US, reconnues pour leur laxisme.



aux vue du nombre de doc là dessus, ma crainte est fondée, l’exemple le plus marquant étant la crise de 2008, ou ces crétins ont laissé n’importe qui valider des prêt sans les remettre en question.



Non je ne suis pas anti banque, ni anti ricin, juste arrivé a un moment j’ai le droit de me demander si il y a pas un soucis qqpart


votre avatar







coket a écrit :



C’est bien pour ça qu’en règle générale les paiements NFC sont limités à des petits montants, en boutique physique.



Imagine un iPhone volé, avec les infos bancaires dessus. On t’envoie un code pour valider le paiement, que toi voleur, tu reçois sur le téléphone volé… ça en devient absurde…





va dévérouiller un iPhone sans le code ou l’empreinte, bon courage


votre avatar







misterB a écrit :



Je m’en cogne de taper sur les banquiers, mais quand je vois ou j’habite le nombre de verrais au moindre changement, permet moi de me poser des questions sur les banques US, reconnues pour leur laxisme.



aux vue du nombre de doc là dessus, ma crainte est fondée, l’exemple le plus marquant étant la crise de 2008, ou ces crétins ont laissé n’importe qui valider des prêt sans les remettre en question.



Non je ne suis pas anti banque, ni anti ricin, juste arrivé a un moment j’ai le droit de me demander si il y a pas un soucis qqpart







J’ai pas tout compris; mais j’ai l’impression que tu confonds les banques avec des des cochonneries qui n’auraient jamais du exister ( des Lehman brothers,&nbsp;&nbsp;des Standard & Poors, des Merril Lynch, des Goldman Sachs).



Ca n’a rien à voir avec des banques classiques, encore moins avec celles qui te délivrent une carte bancaire.


votre avatar

Mouais… il suffit d’un doigt. <img data-src=" />



&nbsp;Un gamin l’a fait tout en douceur avec celui de son père pour jouer; un malfrat le fera avec un canif sur ta dépouille après t’avoir trucidé… ou avant….

votre avatar

Vu le nombre de post de misterB sur cette news, le nouveau service d’Apple ne doit pas être une réussite. <img data-src=" />



/Gestion de crise

votre avatar

Le problème est qu’Apple propose un service dit “sécurisé”, or il ne l’ait pas.

Certe il&nbsp; sont dépendant des banque et ils n’ont pas toutes les informations, mais c’est bien là le problème. Comme tu l’as dit les banques Américaines sont connues pour leur laxisme, ils n’ont donc pas la capacité d’assurer les services promis.

&nbsp;

Apple a construit une maison avec une porte blindée mais ils ont oubliés de mettre des volets aux fenêtres.



&nbsp;Ils sont débutants dans le métier, ils vont apprendre. Cela me rappelle Mercedes et leur classe A qui avait du mal à rester debout dans les virages.

votre avatar







Tatsu-Kan a écrit :



S’il n’y a eu aucune opération frauduleuse sur la carte avant, aucune raison que la banque se méfie d’un achat sur iTunes. Ce qui débloque automatiquement, sans vérification, les achats par Apple Pay.





Et c’est là&nbsp; le début de la faille. On avantage les produits maison pour des raisons commerciales, mais il n’y a aucune raison d’un point de vue bancaire et/ou informatique de faire croire qu’un compte iTunes est une forme d’identification plus sécurisée qu’une autre…


votre avatar

Le problème de fond est le consumérisme! Il FAUT consommer le plus possible, et rendre cette consommation la plus simple possible sans “ennuyer” le consommateur par de “vulgaires” contraintes de sécurité… Le but est que le commerce fonctionne. Qu’il y ait des “dommages collatéraux” est une problème mineur, les banques passant soit en pertes et profits, soit par un système d’assurance… Qui paie en fin de compte? Le consommateur, toujours; les fameux “pertes et profits” étant au final répercutés dans les tarifs des services bancaires et ou les assurances “qui vont bien”… Tant que le système fonctionne, et ne vient pas trop perturber les finances des banques et devenir “visibles” au niveau des répercussions au niveau des consommateurs, vogue la galère, et on ne modifie absolument pas le cap, les frais à engager pour augmenter le niveau de sécurité étant encore trop importants en regard… (Il faut dire que certaines compagnies “spécialisées” dans le domaine de la sécurité sembleraient pratiquer des tarifs plus assimilable à des rackets mafieux qu’autre chose, ce qui est dissuasif au possible!) :(

votre avatar

non, la fraud est bien faite avec l’apple pay, et le payement aussi, donc c’est bien un détournement de l’apple pay pour faire une fraude à la carte bancaire. mais c’est pas lui le responsable, juste que il t’évite de creer une fausse carte bancaire.. ( mais c’est jamais ça qui as arrête les fraudeurs non plus..)

votre avatar







Tatsu-Kan a écrit :



Je trouve que sur ce coup, Apple tente de se dédouaner de ses responsabilités en accusant les banques…

&nbsp;

Je pense que le soucis de sécurité se trouve plutôt du côté d’Apple Pay qui accepte les numéros de carte sans validation derrière…





Pfff Apple dans le titre, je troll sans réfléchir…T’as lu l’article jusqu’à la fin au moins ?&nbsp;


votre avatar

Surement une IFaille, çà va être corrigé dans le Appel Pay 2, le problème c’est qu’il faudra tout racheter…

votre avatar

comme tout nouveau système de paiement, il y a des fraudes le temps que les acteurs qui font mal leur travail prennent leur responsabilités …&nbsp;

votre avatar

Ce que je trouve désolant dans cette histoire c’est que les banques veulent nous faire croire qu’on est bien protégés alors qu’en fait elles s’en foutent.

Après que ça passe par Apple Pay ou Google Pay ou encore Lidl Pay, je m’en balance royalement. Elles font de la merde.

votre avatar

le souci c’est que pour toi, “Apple pay” = “Apple”.&nbsp;



Mais Apple Pay est avant tout une collaboration entre Apple, les organismes de paiement, les banques & co.

Si il y a un acteur qui fait mal son travail, &nbsp;c’est la chaîne de confiance “Apple Pay” qui est affaiblie.

&nbsp;

Une fois qu’on a compris que Apple Pay n’est pas une technologie créée de toute pièce par Apple à 100% le titre est juste en fait&nbsp;<img data-src=" />

&nbsp;

De même, j’avais vu une news comme quoi sur des anciens terminaux de paiement, le “token” pourrait être mal utilisé, rendant Apple Pay (& Google Pay par la même occasion) potentiellement sensible aux fraudes (mais j’arrive pas à la retrouver&nbsp;<img data-src=" />)

votre avatar

Tout simplement parce que tu ne sera jamais “bien protégé”&nbsp;<img data-src=" />

Sauf à t’empêcher d’acheter en ligne sans te payer un lecteur de CB, à avoir un lecteur d’empreinte digitale dans le lecteur de CB …&nbsp;





Tu ne seras jamais “complètement sécurisé”. Et non elles ne s’en tapent pas royalement … vu que c’est elle qui doivent rembourser en cas de fraude de ce type …

votre avatar

Le système bancaire US est vraiment archaïque sur certains aspects (id basé sur le SSN, credit score, chèques papiers…) et la plupart des personnes n’y comprennent rien car elles n’ont jamais été éduquées à la finance personnelle (même pas un basique cours de compta à l’école). Elles se contentent de consommer les produits ,surtout les cartes de crédits, que leur banque leur propose.

Alors quand on aborde la sécurité c’est limite un argument commercial pour la banque qui implémente la&nbsp; méthode la moins intrusive même si ça se révèle être une passoire au final.

votre avatar



Le cœur du problème ne vient cependant pas d’Apple Pay, mais des banques elles-mêmes.



La routine quoi.<img data-src=" />

votre avatar







atomusk a écrit :



Tu ne seras jamais “complètement sécurisé”. Et non elles ne s’en tapent pas royalement … vu que c’est elle qui doivent rembourser en cas de fraude de ce type …



En France, c’est le cas. Ailleurs…..


votre avatar







trash54 a écrit :



non non

Appel accept uniquement si la carte correspont a celle d’un compte iTune fonctionnel (donc deja valide)

Sinon demande de validation par la banque qui pour certainne demande le strict minimum





Parce qu’on sait tous que la sécurité des comptes itunes est optimale…



&nbsp;



Mme_Michu a écrit :



Pfff Apple dans le titre, je troll sans réfléchir…T’as lu l’article jusqu’à la fin au moins ?&nbsp;





Oui, j’ai bien lu l’article. Et toi ?



Il y est écrit noir sur blanc qu’une carte déjà associée sur un compte itunes est automatiquement validée.

Et là, rien de plus simple.



Créer un compte (itunes) avec les informations et le numéro de CB dérobé.

Acheter un article à la con (genre un titre à 1\().

Activer le compte et la carte sur Apple Pay.

Acheter un article dans une boutique Apple.



Durée de l'opération, environ 5 minutes.



S'il n'y a eu aucune opération frauduleuse sur la carte avant, aucune raison que la banque se méfie d'un achat sur iTunes. Ce qui débloque automatiquement, sans vérification, les achats par Apple Pay.





C'est tellement simple traiter les gens de troll sans réfléchir. Je me doutais que ça arriverait, parce que je n'ai pas détaillé pourquoi je pensais que Apple tente de se dédouaner d'une erreur de conception de son outil.



Edit : Aucune banque ne demande de validation par sms pour un paiement de 1€/\). Le coût de la vérification devenant astronomique au regard du montant.


votre avatar







Ricard a écrit :



En France, c’est le cas. Ailleurs…..





Ouais bien sur, mais bon courage pour te faire rembourser, au début tu insistes sur le vol et limite le banquier penses que c’est toi qui a monter le coup, tu insistes pendant des mois ensuite ils font des “enquêtes” qui eux aussi dure des mois et du coup mon pognon est parti je ne sais ou.. le comble c’est qu’après ca ils osent demander si tu veux souscrire à d’autres assurances <img data-src=" />


votre avatar

Pourquoi tu dis ca alors que TOUT l’article explique justement le contraire ?



T’as des informations supplementaires ou t’es juste un hater de base ?

votre avatar







Haemy a écrit :



Ouais bien sur, mais bon courage pour te faire rembourser, au début tu insistes sur le vol et limite le banquier penses que c’est toi qui a monter le coup, tu insistes pendant des mois ensuite ils font des “enquêtes” qui eux aussi dure des mois et du coup mon pognon est parti je ne sais ou.. le comble c’est qu’après ca ils osent demander si tu veux souscrire à d’autres assurances <img data-src=" />





Ben tu t’es fais avoir. La loi est très claire. Ils ont l’obligation de te rembourser dans un délai d’une semaine je crois, sans enquête préalable. Souvent, ils tentent de noyer le poisson, la majorité des gens laissent tomber par dépit. Renseigne-toi et relance-les. Pas de cadeaux à leur faire à ces porcs.


votre avatar







Tatsu-Kan a écrit :



Créer un compte (itunes) avec les informations et le numéro de CB dérobé.



Et voilà, tu viens de démontrer que tu est un troll <img data-src=" />


votre avatar

La faute est pour Apple et la banque en question, tout simplement.

Bien qu’Apple pay n’ai pas été piraté en soit, il y a un soucis de synergie entre les deux et ça manque de sécurité à ce niveau là. A et B sont responsables.&nbsp;

votre avatar

Ce n’est pas Apple qui garantie la validité d’un carte, c’est dans un premier temps la banque qui autorise l’utilisateur à l’ajouter à Apple Pay, et ensuite la banque (encore) qui autorise le paiement avec le token correspondant à la Carte. Apple est dans le job de rassembler les informations et de les transmettre. Pas de savoir si la carte est valide ou pas.

votre avatar

Elles sont assurées pour.. Et si j’ai bien compris la fraude, la vérification c’est un simple SMS auquel on répond ? Ca c’est laxiste …. Mais faut pas dire oui à tout va non plus… Quand les gens auront compris que leur sécurité ils doivent d’abord l’assurer eux mêmes…

votre avatar







psn00ps a écrit :



En demande d’un paiement, la banque dit amen, alors que la carte a été volée =&gt; faute de la banque.





Les cartes n’ont pas été volées: seules leurs caractéristiques l’ont été.

Apple Pay fournit un service de paiement sans avoir besoin de cartes physiques et tout le monde trouve normal qu’Apple ne demande pas une procédure un minimum sécurisé pour utiliser une carte <img data-src=" />





Question naïve: si les infos d’une carte sont volées mais que ce vol n’est pas connu: physiquement le vrai propriétaire de la carte la possède toujours et la banque n’est pas informée du vol ce ces données. Je suppose que le fait d’obliger à avoir un process un minimum sécurisé est stupide <img data-src=" />



D’un côté on a Apple qui lance en grande pompe un moyen de paiement simple et sécurisé et surtout ne force pas les banques à définir un protocole un minimum stric (ben oui on vous dit que cela doit être simple) et de l’autre des banques laxistes… mais le problème est uniquement du coté des banques… <img data-src=" />


votre avatar







Xaelias a écrit :



Et bien parce que ce n’est pas à Apple de dire aux banques comment faire leur travail :-/





<img data-src=" /> Donc en gros Apple se contrefiche de la sécurité de son système <img data-src=" />



Apple n’est clairement pas dans son droit de définir un protocole de sécurisation informatique… d’ailleurs Apple ne fait que vendre des téléphones et ne gère pas du tout l’aspect sécuritaire des apps de son store…


votre avatar

Apple demande aux banques de garantir la validité des cartes, et donc leur demande au moment de l’ajout si la carte est valide. Je vois pas comment tu voudrais qu’Apple puisse garantir la validité des cartes, ils n’ont pas accès aux informations nécessaires.

votre avatar







Mithrill a écrit :



Je ne pense pas qu’il y ai besoin de créer une Apple banque, la simple détention d’un fichier secondaire de numéros de cartes (pas ceux de la banque évidemment), mais lié à chaque numéro crypté unique devrait faire l’affaire, empêchant par la même aux éventuels voleurs du système Apple Pay d’avoir les numéros officiels des clients banque sous la main, et par la même ce genre de chose serait faisable au même niveau par la concurrence… j’ai mis 1mn à trouver cette solution.&nbsp;





Sauf que c’est pas une solution pour le problème actuel. Personne ne vole des cartes dans le système Apple Pay.&nbsp;

Les escrocs volent des cartes quelque part, et utilisent Apple Pay pour faire des payements dans la nature.



Exemple :&nbsp;

Tu n’a pas d’iPhone, tu n’a jamais utilisé Apple Pay :

1-&nbsp;Je te vole ta CB.

2- J’utilise ta CB pour l’ajouter dans un compte Apple Pay.&nbsp;

3- A&nbsp;ce moment la Apple demande a la banque de vérifier la validité de la carte avec les infos de la carte, et celle du compte Apple.

4- Une banque la devrait voir que les informations ne correspondent pas, ou alors devrait te demander une confirmation que c’est bien toi qui ajoute la carte. Si tout va bien elles disent Ok a Apple qui valide la carte. Si il y a un problème, elles refusent la validation et la carte n’est pas utilisable sur Apple Pay.

5- Si la carte a été validée je fais des paiements avec Apple Pay.



Le problème ici est dans le 4 : les banques ne vérifient pas bien (aux US apparemment) et disent OK a Apple alors que ça ne l’est pas.

Tu apportes une “solution” au cas ou des gens pirateraient Apple Pay pour obtenir des numéros de CB, or ce n’est pas du tout ce qu’il se passe ici.


votre avatar

Son système est sécurisé, c’est celui des banques qui ne l’est pas.

Au jour actuel tu met ta CB dans Apple Pay et tu paie avec de manière tout a fait sécurisée.

votre avatar







luinil a écrit :



Apple demande aux banques de garantir la validité des cartes, et donc leur demande au moment de l’ajout si la carte est valide. Je vois pas comment tu voudrais qu’Apple puisse garantir la validité des cartes, ils n’ont pas accès aux informations nécessaires.





Mastercard ou Visa ont mis au point des protocoles sécurisés de paiement sur Internet en partenariat avec les banques.

Pourquoi Apple ne pourrait pas mettre au point un tel système pour la création du jeton dans Apple Pay ?



Avec ce système Apple joue le rôle des cartes Visa / Mastercard chez nous, mais je vois que certains ne veulent surtout pas admettre qu’en faisant cela, ils en prennent aussi les mêmes responsabilités…


votre avatar







AirTé a écrit :



Ce que je trouve désolant dans cette histoire c’est que les banques veulent nous faire croire qu’on est bien protégés alors qu’en fait elles s’en foutent.

Après que ça passe par Apple Pay ou Google Pay ou encore Lidl Pay, je m’en balance royalement. Elles font de la merde.







Si tu savais comment était protégé les prélèvements européens jusqu’à l’année dernière ^^‘.



0 protection. un identifiant au près de ta banque. La “promesse” d’avoir les autorisations de prélèvements si on les demande, et c’est parti, balance/sulfate les rib et les montants.


votre avatar







carbier a écrit :



Question naïve: si les infos d’une carte sont volées mais que ce vol n’est pas connu: physiquement le vrai propriétaire de la carte la possède toujours et la banque n’est pas informée du vol ce ces données. Je suppose que le fait d’obliger à avoir un process un minimum sécurisé est stupide <img data-src=" />





Quand Apple demande a la banque si la carte est bonne, elle transmet plus que le numéro et le nom de la carte : adresse, date de naissance, etc…

C’est a la banque de vérifier que ces infos sont bien la, et qu’elles correspondent a ce qu’ils ont de leur coté, et en cas de problème (voire dans tous les cas…) de vérifier du coté de l’utilisateur.

Encore une foi Apple ne sait pas et n’a aucun moyen de savoir l’état de ces cartes, uniquement les banques peuvent le savoir, et c’est bien pour ça qu’Apple demande aux banques de vérifier avant d’autorisé l’ajout à Apple Pay.


votre avatar

Le système ne résout rien du tout, si la banque dit ok a Visa, le paiement passera, carte volée ou non.

D’ailleurs Apple Pay crée des jetons lors des achats…

votre avatar

il fallait pas l’appeler “ Apple pay”, si ils voulaient pas qu’on associe le nom “Apple ” a toutes malversation autour du système “ Apple pay”&nbsp;<img data-src=" />



maintenant non, je ne pense pas que Apple soit responsable, c’est à la banque de s’assurer de la validité de la carte.&nbsp;

C’est pour ça que le service est en accord avec les banques, elles sont sensés savoir avoir l’expérience pour &nbsp;identifier leur client, d’un fraudeur, que ça soit pour l’accès a leurs compte en ligne, ou leurs donner un chéquier/CB

Maintenant le système Apple pay est fragile si les banques ne remplissent pas leurs rôles, et Apple ferait bien de pousser au cul des banques si ils veulent que leur service garde une image impeccable…&nbsp;



Et ceux qui connaissent mon “Alignement” savent que je suis pas le genre à protéger Apple quand j’ai une opportunité de jouer de mauvaise foi &nbsp;<img data-src=" />

votre avatar

Apple a donné son nom à ce service. C’est normal que leur image soit atteinte. Quelque part dans le processus, Apple a accepté d’avoir une faille, même si elle est côté banque.

votre avatar

Faux !

Le chiffrement entre la carte et le TPE n’est présent que pendant une opération avec la puce.



Dans le cas du sans contact, cela revient à une transaction avec la piste ISO2. En plus, avec le sans contact, tu as la piste mais tu as aussi les dernières opérations effectuées. Et quand on sait qu’un scanner à 100€ permet de récolter tout ça très discrètement. Un trajet en métro aux heures de pointe c’est juste l’orgie pour un faussaire.



Quant à l’Apple Pay, les banques ont flairé le potentiel de captation de clients. Du coup, ils sont allongés par rapport aux specs techniques vs la sécurité pour faire du time-to-market. La monétique et le paiement n’est pas le métier d’Apple … et le professionnels se sont allongés en un claquement de doigt. C’est triste.



D’une manière globale, le support (sans NFC) de la carte bancaire contribue à la sécurité (format propriétaire, fréquence d’utilisation etc …) Quand on regarde la fréquence journalière avec laquelle on sort le smartphone vs la carte bancaire, il n’y a pas besoin d’avoir fait polytechnique pour mesurer le risque. De plus, quand les données sont transférées sur un support non maîtrisé … personne ne garantir quoi que ce soit. Un peu de renseignement sur le comment ça marche, un peu de bon sens …

votre avatar

Partiellement faux.



L’autorisation d’un paiement se fait avec un gros mix entre les règles de la puce EMV, les règles du terminal du commerçant et le serveur monétique de ta banque. Le réseau CB (GIE) n’est qu’un réseau d’interconnexion, tout comme VISA et Mastercard.



Le réseau CB ne fournit pas d’autorisation, il la transporte.

votre avatar







Haemy a écrit :



Ouais bien sur, mais bon courage pour te faire rembourser, au début tu insistes sur le vol et limite le banquier penses que c’est toi qui a monter le coup, tu insistes pendant des mois ensuite ils font des “enquêtes” qui eux aussi dure des mois et du coup mon pognon est parti je ne sais ou.. le comble c’est qu’après ca ils osent demander si tu veux souscrire à d’autres assurances <img data-src=" />





Dans ce cas c’est simple, je change de banque, j’ai déjà eu ce genre de problème à une pompe à essence, j’ai été remboursé dans la semaine.


votre avatar

Je comprend pas ta remarque.

Je cite l’article :&nbsp;



… le système&nbsp;Apple Pay&nbsp;a été détourné au profit de pirates qui s’étaient appropriés des cartes bancaires. Ces dernières, ou plutôt leurs informations, ont été volées depuis deux chaines américaines de magasins, Target et Home Depot.La technique retenue par les pirates a été de créer ensuite des comptes&nbsp;Apple Pay&nbsp;pour y intégrer les informations ainsi dérobées.&nbsp;





&nbsp;

votre avatar

Laloiest claire





La responsabilité du titulaire d’une carte mentionnée à l’article L. 132-1 n’est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte.





De même, sa responsabilité n’est pas engagée en cas de contrefaçon de sa carte au sens de l’article L. 163-4 et si, au moment de l’opération contestée, il était en possession physique de sa carte.





Dans les cas prévus aux deux alinéas précédents, si le titulaire de la carte conteste par écrit avoir effectué un paiement ou un retrait, les sommes contestées lui sont recréditées sur son compte par l’émetteur de la carte ou restituées, sans frais, au plus tard dans le délai d’un mois à compter de la réception de la contestation.



Edit : Bien sûr, écrire est important si votre gestionnaire n’acquiesce pas tout de suite.

votre avatar

Je ne suis pas vraiment d’accord en ce qui concerne la responsabilité des banques, même si le commentaire de Vincent sur la chaine ApplePay est très pertinent.



Vu comment les choses ce sont passées pour les projets ApplePay, les banques n’ont pas vraiment eu leur mot à dire, ni les réseaux (ce qui est amusant quand on connait MasterCard). Donc je penche tout de même pour une responsabilité d’Apple dans cette histoire.



&nbsp;Il faut savoir que les banques ont été confrontées à un choix cornélien: accepter ApplePay avec toutes les règles dictées par Apple, à commencer par la gestion de l’authentifucation utilisateur, ou ne pas faire partie d’applepay. On voit d’ailleurs que la capacité de résistance des marchands a été bien meilleure puisque tout le réseau MCX refuse ApplePay.

votre avatar

Je me demande si Apple s’est inscrit au registre du commerce correctement en tant qu’intermédiaire en opération de banque. <img data-src=" />

votre avatar

Il vient juste de t’expliquer qu’apple acceptes dans son système des cartes bleues volées avec une fausse vérification (itune) et toi tu le traites de troll.



Je sais bien que les apple fan n’on aucun esprit critique, mais bon quand même…



Et sinon le remboursement c’est en France, car la puce et le code font office de signature, et le système repose là dessus, pas d’assurance supplémentaire à payer, ailleurs par contre…

votre avatar

&nbsp;Ça fais peur de voir des gens défendre Apple comme si leur vie était en grand danger sérieusement….

&nbsp;

Pour le moment on a qu’un seul son de cloche, celui d’Apple qui, bien sur, essaye de se dédouaner !

Faudrait peut être attendre voir ce que les banques on a dire sur ça, ça m’étonnerai que ce sois les seuls fautif.

&nbsp;

A en entendre certain c’est tout à fait normale qu’Apple propose un logiciel de paiement très (trop) accessible, à peine sécurisé et dont les banques doivent accepter les conditions sans rien dire, limite ils aurai pu leur dire “On va faire ça, démerder vous pour géré le reste”…

&nbsp;

Enfin bref, attendons d’entendre ce que tout les protagonistes ont à dire avant de vouloir en mettre au bucher…

votre avatar

Il y a 3 types de contrôles :&nbsp;

1°) le contrôle technique (type check Sum) =&gt; celui-ci est fait (et c’est le minimum)

2°) le contrôle “existence du compte” =&gt; seule la banque peut le confirmer

3°) le contrôle “user” (est-ce bien le titulaire qui effectue l’opération) =&gt; seules les organismes de contrôle affiliés aux banques peuvent le confirmer



Tu peux avoir une dent contre Apple…, mais ne pas aller trop vite dans tes conclusions.

votre avatar







xaossiia a écrit :



Il vient juste de t’expliquer qu’apple acceptes dans son système des cartes bleues volées avec une fausse vérification (itune) et toi tu le traites de troll.



Je sais bien que les apple fan n’on aucun esprit critique, mais bon quand même…



Et sinon le remboursement c’est en France, car la puce et le code font office de signature, et le système repose là dessus, pas d’assurance supplémentaire à payer, ailleurs par contre…





Non il dit que les cartes liées a un compte iTunes sont autorisées directe, pas que ces compte aient étés touchés, c’est la seconde option qui pose problème, la verification n’est pas assez poussée au point que certains ont contacté la banque avant de faire les achats frauduleux.



theguardian.com The Guardian



“In some cases, fraudsters are calling the [bank’s] call centre themselves to ‘alert them to a trip out of town’ so that fraud rules looking for transaction anomalies (such as a customer living in California and transacting in Miami) do not trip up [as] fraudulent transactions.”



Si la banque ne procède pas aux verifications nécessaires Apple ne peut pas vérifier si la carte est volée ou non, seuls les banques et autre organismes financiers possèdent ces infos.


votre avatar

Ça, c’était pas écrit dans l’article.

Et leurs banquiers sont clairement des gros nazes…

Le social engineering fonctionne toujours autant, ça fait peur….

&nbsp;

Avec ma banque, j’ai un contact direct, c’est mon conseiller, dans mon agence. Le service antifraude, je doute qu’il prenne en compte les appels direct, ils ne peuvent pas être sûr de la personne qui est au bout du fil…

votre avatar







Tatsu-Kan a écrit :



Ça, c’était pas écrit dans l’article.

Et leurs banquiers sont clairement des gros nazes…

Le social engineering fonctionne toujours autant, ça fait peur….

 

Avec ma banque, j’ai un contact direct, c’est mon conseiller, dans mon agence. Le service antifraude, je doute qu’il prenne en compte les appels direct, ils ne peuvent pas être sûr de la personne qui est au bout du fil…





Oui mais on parle des US là ou apparement c’est bcp plus laxiste, comme dit dans le Guardian les chances que ça arrive en Angleterre sont bcp plus mince aux vue de la sécurité pour les phases de validation.



Par exemple juste pour activer l’appli de ma banque j’ai du aller a un guichet et finir la validation avec ma carte, gros bordel mais efficace


votre avatar

Question sur Apple Pay: c’est lié au compte iTunes ou à l’appareil? Si tu as apple pay et que quelqu’un chope tes données de connexion itunes, il peut utiliser son iphone avec tes données pour payer?

votre avatar

  1. je suis pas Vincent&nbsp;<img data-src=" />



    1. Apple les a sans doute mis devant le fait accompli et leur a forcé la main, mais ils ont accepté parce qu’ils avaient beaucoup à gagner, et si ils font pas le nécessaire il est logique qu’ils en fassent les frais …



      Apres tout, les banques sont bien les premières à avoir des clauses de contrat à la con et à essayer par tous les moyens de te pousser à prendre des trucs dont tu n’as pas besoin&nbsp;<img data-src=" />


votre avatar

Si il a ton doigts avec pour débloquer le téléphone, oui&nbsp;<img data-src=" />

votre avatar

Pourquoi hâter de suite ? C’est pasidu tout gonflant de lire ça… Et toi, fanboy aveugle ?

votre avatar

C’est juste énorme…



Je vois juste dans cette histoire l’incompétence des banques face à un nouveau moyen de paiement.



Apple (ou autre acteur) pourra développer le meilleur système qui soit, si les banques ne font pas le minimum pour vérifier les paiements, je ne vois pas ce que Apple peut faire. Les acteurs du Web ne sont pas des banques !



Sinon pour le titre, je trouve qu’il est bien choisi. Le système d’Apple a été détourné, les mots correspondent à la réalité. Pas contourné, pas cracké, pas de faille 0-Day, juste utilisé “comme un cargo transportant des containers”.

Vincent écrit très bien, et sait choisir les mots.

votre avatar

Ou alors c’est juste navrant de voir des gosses à deux neurones venir polluer à chaque fois les commentaires en balançant des trolls&nbsp;&nbsp; sur des sujets où ils ne comprennent rien … au lieu d’aller jouer au bac à sable dehors.

Apple Pay détourné pour une fraude à la carte bancaire

  • Une vérification parfois très laxiste des informations par les banques

  • De la connexion exigée au service en ligne au simple envoi de SMS

  • Apple Pay n'a pas été piraté

Fermer