Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Le service e-Carte bleue s’adapte enfin aux appareils mobiles

Trop tard ?

Le service e-Carte bleue s'adapte enfin aux appareils mobiles

Le 31 mai 2016 à 07h10

VISA Europe vient d'annoncer que le service e-Carte bleue pouvait désormais être utilisé depuis un appareil mobile à travers sa version web. Une manière de faciliter son usage, mais pas forcément son intérêt pour l'acheteur nomade.

Si le paiement en ligne continue de progresser, certains utilisateurs ne sont pas toujours rassurés et préfèrent éviter de diffuser leur numéro de carte bancaire en ligne. Pour eux, il existe depuis quelques années déjà un service proposé par certaines banques : e-Carte bleue.

Celui-ci permet de générer un code à usage unique, valable pour un montant défini. Une sorte de carte bancaire jetable qui est utilisée par 2 millions de clients selon VISA Europe qui indique que « sur les 12 derniers mois plus d’un milliard d’euros de paiements e-Carte Bleue ont été effectués ». De quoi donner envie à la société de renforcer le système.

e-Carte bleue devient mobile, mais continue de reposer sur un simple mot de passe

Car e-Carte bleue n'était pas très pratique, et passait en général par une application dédiée sous Windows, ou un « accès nomade » permettant d'en profiter sur un ordinateur utilisant un autre système d'exploitation. Une hérésie à l'heure du tout smartphone. Mais désormais, le service est disponible sur mobile et tablette.

e-Carte Bleuee-Carte Bleue

Cela ne passe pas par une application, mais bien par une adaptation du service nomade à tous les écrans (responsive web design). Le système continue par contre de se baser sur un simple couple identifiant / mot de passe pour fonctionner, alors que l'on pourrait apprécier qu'un dispositif de double authentification (via une application ou un SMS par exemple) soit mis en place afin de renforcer la sécurité du compte.

L'achat depuis un mobile en 2016 : on peut mieux faire

Il faudra aussi voir comment le dispositif sera intégré dans la pratique. Car si utiliser son téléphone pour générer un numéro de carte afin d'effectuer un paiement depuis son ordinateur peut paraître simple, il en sera tout autrement pour un achat depuis un appareil mobile. Il faudra en effet sortir du site du revendeur pour générer un code avant de retourner sur celui-ci, et effectuer le paiement. 

Dès lors, on se demande si d'autres dispositifs de paiement en ligne, qui proposent une double authentification ou permettent un paiement bien plus simple et sécurisé depuis un smartphone ne sont pas préférables. C'est d'ailleurs tout l'enjeu de ce marché pour les années à venir.

Commentaires (35)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

J’ai également été victime d’usurpation, visiblement une yes card aux USA. Le soucis, c’est que, pour moi, cela n’était pas suite à un vol de données, mais, je pense, à un coup de pas de bol qu’un générateur de cartes soit tombé sur mon n°.

Et là, on ne peut pas s’en protéger…

votre avatar

Ah je ne savais pas que ça pouvait arriver. Je te remercie d’avoir rétabli ma paranoïa, moi qui me berçait d’illusion en me pensant protéger xD.

votre avatar

Franchement pas plus compliqué que de remplir une zone de texte avec ta CB physique à côté du téléphone. Tu appuie sur les chiffres avec ton doigt pendant 1 secondes, ça sélectionne tout, et tu change de fenêtre; je trouve ça assez simple.

Bien sur, Mme Michu voudra encore plus simple parce que OSEF, et le marchand voudra plus simple pour diminuer le nombre de “clics” et ainsi favoriser l’achat compulsif. Mais ça reste assez simple selon moi.

votre avatar







inextenza a écrit :



J’ai également été victime d’usurpation, visiblement une yes card aux USA. Le soucis, c’est que, pour moi, cela n’était pas suite à un vol de données, mais, je pense, à un coup de pas de bol qu’un générateur de cartes soit tombé sur mon n°.

Et là, on ne peut pas s’en protéger…







Moi, c’était un piratage possible de mon compte Paypal.



Manque de bol pour le pirate, ma carte bleue allait expirer le mois d’après, et j’ai immédiatement fait opposition.


votre avatar







jpaul a écrit :



Pas pour accéder à tes comptes pourtant (mais c’est quasi partout pareil et je pige pas l’intérêt de ces claviers numériques virtuels sensés éviter les keyloggers).





Il n’y a pas besoin d’accéder à ses comptes pour utiliser une e-CB. C’est donc HS.


votre avatar







SebGF a écrit :



Accessoirement, car j’ai déjà eu le coup, le compte se fait verrouiller au bout de 3 mots de passe erronés et le seul moyen de le débloquer est de contacter la banque. (et ouais, manque de caféine du matin, caps lock enfoncé sans le voir, et paf le chien)

Qui renvoie un nouvel ID/Password par courriers séparés.



Donc côté sécu, c’est pas aussi misérable que ce que l’article dit.





+1 : mes parents ont fait la boulette : 3 tentatives, et pof, faut attendre de nouveaux IDs


votre avatar

Toutes (presque ?) les banques sont limites effectivement pour la connexion à leur portail client.

Si effectivement je comprend qu’ils veuillent éviter que madame Michou définisse un mdp du type “lenomdemonchatpréféré” ou “azerty”, la limite à 5 chiffres (Caisse d’Epargne) ou même 6 (La Banque Postale / Société Générale) est un peu faible à mon goût !

C’est bien pour éviter les keyloggers qu’ils ont mis en place les chiffres à cliquer, mais c’est un peu juste…

votre avatar

En fait, c’est exactement cette fonction la qui est proposé par Fortuneo avec une Mastercard, depuis plusieurs année et qui m’a fait choisir cette banque.

Mais c’est une bonne chose que ça se démocratise !

votre avatar

C’est le sujet de ma thèse ! grande tendance du moment. est-ce que toutes les banques proposent ce service ? il y a un article un peu plus ancien sur le même sujethttp://billetdebanque.panorabanques.com/  ils ont cité je crois 3 ou 4 banques. J’utilise l’appli avec le crédit mutuel mais j’ai l’impression le service ne s’adapte avec tous les sites marchands.

votre avatar







stephanou a écrit :



C’est le sujet de ma thèse ! grande tendance du moment. est-ce que toutes les banques proposent ce service ? il y a un article un peu plus ancien sur le même sujethttp://billetdebanque.panorabanques.com/  ils ont cité je crois 3 ou 4 banques. J’utilise l’appli avec le crédit mutuel mais j’ai l’impression le service ne s’adapte avec tous les sites marchands.





A part la SNCF (il y a un moment), je n’ai pas eu de soucis… ca passe soit en disant que c’est une VISA, soit une CB classique.


votre avatar

Certes ce n’est pas pareil mais je préfère le secure code de Mastercard :)



Ça n’évite pas la recopie des codes de cartes mais je trouve que c’est un bon compromis entre la paranoïa et la facilité d’utilisation&nbsp;<img data-src=" />

votre avatar

C’est déjà en place depuis quelques mois pour la banque postale.

Ils ont arrêté leur client lourd antédiluvien pour la version full web, et ça marche très bien. Ca me permet de l’utiliser en dehors de chez moi plus facilement.



Perso je ne peux plus me passer de ce service et n’achète pas chez les vendeurs qui ne la supportent pas. (sauf extrêmement rares exceptions auxquelles j’ai confiance)

votre avatar

“si d’autres dispositifs de paiement en ligne, qui proposent une double authentification ou permettent un paiement bien plus simple et sécurisé depuis un smartphone ne sont pas préférables”



À quoi pensez vous ?

votre avatar

Double authentification, il y a 3D secure.

Paiement depuis mobile, il y a Apple Pay, Samsung Pay, Google Pay, mais ils ne sont pas dispo en France donc je ne suis pas bien sûr qu’ils comptent vraiment.

votre avatar

Je l’ai toujours utilisé via une page web ce service. A la base c’était en flash et c’est passé en html5 très récemment.

&nbsp;Par contre comme on peut le voir dans l’article, ils ont réussi à choisir une police de texte très chiante à lire.

&nbsp;Heureusement si on redimensionne la fenêtre ça passe à une police plus lisible.

&nbsp;

Pour la sécurité c’est effectivement vraiment pas ça. Même pas moyen d’utiliser un pass complexe à base de caractères spéciaux. C’est pas aussi dramatique que LCL et leur limite à 6 chiffres pour le portal client…

votre avatar



L’achat depuis un mobile en 2016 : on peut mieux faire



Il faudra aussi voir comment le dispositif sera intégré dans la pratique. Car si utiliser son téléphone pour générer un numéro de carte afin d’effectuer un paiement depuis son ordinateur peut paraître simple, il en sera tout autrement pour un achat depuis un appareil mobile. Il faudra en effet sortir du site du revendeur pour générer un code avant de retourner sur celui-ci, et effectuer le paiement.



Dès lors, on se demande si d’autres dispositifs de paiement en ligne, qui proposent une double authentification ou permettent un paiement bien plus simple et sécurisé depuis un smartphone ne sont pas préférables. C’est d’ailleurs tout l’enjeu de ce marché pour les années à venir.





Euh, ça fait des années que je l’utilise (pas VISA mais MasterCard) via ma banque. Et au moins 3 ou 4 ans que c’est dispo via le telephone portable. Y compris pour commander depuis mon portable. Suffit de basculer sur l’appli de la banque, générer le code, copier le numéro de carte dans le presse-papier (l’appli a un gros bouton pour ça, donc même quand on n’a pas l’habitude ça se fait très bien). La seule chose à mémoriser c’est la date d’expiration (mais vu qu’on la choisi soi-même c’est généralement le mois suivant, dans tous les cas oon sait ce qu’on a choisi) et le code de vérification visuel. M’en suis encore servi samedi dernier pour faire livrer des fleurs pour la fête des mères, j’ai tout fait depuis le smartphone sans le moindre souci, ça prend moins de temps que d’aller chercher la carte bleue dans le portefeuille…

votre avatar

Et c’est là que l’on se rend compte que le chef de projet à voulu faire de la technique pour le plaisir de la technique et pas de couvrir l’usage. Je me demande même si même cela a été testé coté utilisateur. De nos jours si l’usage n’est pas pratique il ne se démocratise pas.

votre avatar



Le système continue par contre de se baser sur un simple couple

identifiant / mot de passe pour fonctionner, alors que l’on pourrait

apprécier qu’un dispositif de double authentification (via une

application ou un SMS par exemple) soit mis en place afin de renforcer

la sécurité du compte.

Mettre un service/appli de paiement sur un tel/tablette c’est déjà se foutre pas mal de la sécurité. Alors un login/mdp c’est bien suffisant… (Non non, pas <img data-src=" />).

votre avatar

J’utilise l’application Virtualis avec le Crédit Mutuel de Bretagne : je choisi la durée de validité du n° (pour Netflix c’est pratique par exemple), et ça me génère un n° virtuel en 2 secondes. Sur mon smartphone. Disponible depuis au moins 2 ans.

votre avatar

Et tu copie/colle ne numero/DV/CVV à la main entre les 2 applis de ton smartphone ?

votre avatar

Information “légèrement” retardataire puisque J’utilise e-Carte Bleue en version nomade sur ma tablette et mon smartphone depuis le 11 février. Je le trouve relativement pratique puisque en effet je peut faire un copier/coller des données.

votre avatar

Si seulement le service e-carte bleue n’était pas si cher (en tout cas dans certaines banques) j’y serais peut-être passé…

votre avatar

Oui, l’attente a été longue entre le mail l’annonçant et son arrivée ça m’a permis de virer Flash/Chrome qui ne servait qu’a cela…

votre avatar







Algent a écrit :



Pour la sécurité c’est effectivement vraiment pas ça. Même pas moyen d’utiliser un pass complexe à base de caractères spéciaux. C’est pas aussi dramatique que LCL et leur limite à 6 chiffres pour le portal client…





En tout cas, chez la banque postale, le login et le mot de passe sont tous deux de 8 caractères alphanumériques sensibles à la casse, et ne correspondent à aucun mot. En force brute, il faut trouver les deux, soit 4.7.10^28 combinaisons à tester. A l’heure actuelle, ca me parait suffisant.



… et je l’utilise depuis vraiment très longtemps. J’attendais la version HTML5 depuis un moment ^^


votre avatar







DayWalker a écrit :



En tout cas, chez la banque postale, le login et le mot de passe sont tous deux de 8 caractères alphanumériques sensibles à la casse, et ne correspondent à aucun mot. En force brute, il faut trouver les deux, soit 4.7.10^28 combinaisons à tester. A l’heure actuelle, ca me parait suffisant.





Pas pour accéder à tes comptes pourtant (mais c’est quasi partout pareil et je pige pas l’intérêt de ces claviers numériques virtuels sensés éviter les keyloggers).







PèrePatience a écrit :



Certes ce n’est pas pareil mais je préfère le secure code de Mastercard :)



Ça n’évite pas la recopie des codes de cartes mais je trouve que c’est un bon compromis entre la paranoïa et la facilité d’utilisation <img data-src=" />





Secure Code (et 3D Secure pour Visa) ne servent strictement qu’à t’emmerder. C’est à la banque d’implémenter le processus de vérification d’identité. Ma banque m’envoie un code par SMS (cool) mais il y a un bouton “Je n’ai pas mon téléphone”, et dans ce cas il suffit d’entrer … ma date de naissance, et ça valide le paiement.



Et le pire, c’est qu’utiliser 3D Secure / Secure Code (et pourtant tu n’as pas le choix) t’enlève toute assurance de paiement pour la transaction en cours, si quelqu’un fait un paiement Secure Code à ta place, tu l’as bien profond, quel qu’en soit le montant. Par contre, le commerçant lui est assuré du paiement à 100%.


votre avatar

Sérieusement, qui ose utiliser des services financiers sur Android sans vraiment savoir où vont aller les identifiants et mdp une fois saisis ? J’ai même renoncé à utiliser PayPal sur ma tablette…

La façon de payer la plus sécurisée reste encore de payer en liquide. Je cherche encore un périphérique usb avaleur de billets de banque ou un lecteur de chèque. <img data-src=" />

votre avatar

Moi je ne trouve pas si cher pour avoir la conscience tranquille. Personellement on m’a déjà volé une fois mes données de carte bleue, ça m’a suffit. La banque m’a remboursé heureusement mais ce n’était pas du tout confortable.

votre avatar

Ma banque (Crédit Agricole) si tu n’as pas ton téléphone, c’est mort.

Je ne pense pas avoir déjà vu une parade avec la date de naissance.

&nbsp;

Et si tu changes de numéro, le seul moyen de changer le numéro de téléphone lié à la carte c’est de passer part le/la conseiller/ère.



Sinon je croyais que tous les paiements étaient assurées en France ?&nbsp;

De toute façon, c’est tellement rare que je tombe sur un secure code en commandant&nbsp;<img data-src=" />

Puis je suis pauvre, avec je ne fais que du lèche écran&nbsp;<img data-src=" />

votre avatar







DayWalker a écrit :



En tout cas, chez la banque postale, le login et le mot de passe sont tous deux de 8 caractères alphanumériques sensibles à la casse, et ne correspondent à aucun mot. En force brute, il faut trouver les deux, soit 4.7.10^28 combinaisons à tester. A l’heure actuelle, ca me parait suffisant.



… et je l’utilise depuis vraiment très longtemps. J’attendais la version HTML5 depuis un moment ^^







Accessoirement, car j’ai déjà eu le coup, le compte se fait verrouiller au bout de 3 mots de passe erronés et le seul moyen de le débloquer est de contacter la banque. (et ouais, manque de caféine du matin, caps lock enfoncé sans le voir, et paf le chien)

Qui renvoie un nouvel ID/Password par courriers séparés.



Donc côté sécu, c’est pas aussi misérable que ce que l’article dit.

Est-ce que des sites tout aussi sensibles qu’une banque (genre les trafiquants de données personnelles) sont aussi procéduriers ? Perso j’ai déjà vu des sites qui mettent un pauv capcha en cas de mdp erroné, mais jamais vu un vrai lock de compte.

Le seul autre dans ce cas est la FDJ qui verrouille le compte au moindre pet de travers.


votre avatar

Copie/colle le numéro de carte virtuelle. La date de validité/fin, c’est 2 mois en général, donc tu rajoute 2 mois à la date du jour. Et le cryptogramme, c’est 3 chiffres, on peut le retenir facilement.&nbsp;

votre avatar

Tant mieux que ça soit enfin utilisable sur téléphone portable, parce que c’était chiant, surtout sans l’application.



Autre plus, Flash qui dégage. Comme passoire point de vue sécurité, la réputation de ce dernier n’est plus à faire…

votre avatar

J’ai vraiment du mal a imaginer des gens faire un copier coller sur un téléphone pour faire un paiement.



heureusement qu’il y a pleins de solutions plus simples.

votre avatar

Tous les paiements effectués sans le code de carte bleue sont assurés. La banque est obligée de recréditer immédiatement.

votre avatar

C’est trop dangereux de payer avec un smartphone. Si jamais il est piraté, bonjour le risque de se faire piquer son numéro de carte bleue ou ses identifiants Paypal, ou autres.



Vu la sécurité du truc, hors de question d’avoir confiance. Quand on voit les autorisations que se prennent les applis, au secours.

votre avatar

Bon, l’évolution est bienvenue, mais trop tardive et limités :/

Le service e-Carte bleue s’adapte enfin aux appareils mobiles

  • e-Carte bleue devient mobile, mais continue de reposer sur un simple mot de passe

  • L'achat depuis un mobile en 2016 : on peut mieux faire

Fermer