J'ai remarqué que depuis quelques années, de plus en plus de marchands en ligne demandent eux-mêmes aux clients leur numéro de carte bleue, au lieu de passer par une banque comme intermédiaire de paiement. Les plus craignos d'entre eux, notamment la Fnac, Amazon et Apple, vont jusqu'à enregistrer ce numéro histoire de pouvoir se servir facilement sur le compte en banque de leurs clients.
Comme souvent, les gens éteignent leur cerveau en allumant leur ordinateur, et ne semblent donc pas choqué par cette pratique qui ferait hurler au scandale si elle avait lieu dans l'épicerie du coin, qui est pourtant par définition plus proche de ses clients.
Bref, vous avez confiance, vous ? Eh bien, si oui, vous avez tort. Même si ces marchands sont censés être honnêtes :
- un de leurs employés peut déconner : ça s'est déjà vu chez Google par exemple, certes pas encore avec des données bancaires ;
- votre propre compte chez le marchand peut être piraté, surtout si vous utilisez le même mot de passe partout et si vous vous connectez régulièrement à un service de courrier non sécurisé — par exemple celui d'Orange, au hasard — depuis un réseau qui ne l'est pas d'avantage ;
- pire encore, le système du marchand lui-même peut être piraté.
Où en étais-je ? Ah oui, vous avez tort de faire confiance, la preuve vient de tomber : Sony crait de s'être fait voler les coordonnées bancaires de ses client PlayStation Network. Amusant, non ?
Morale : ne jamais confier son numéro de carte bleue à une société qui souhaite l'enregistrer. Boycotter les marchands qui se livrent à cette pratique ahurissante.
# Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par maxix . Évalué à 5.
Et les prélèvements automatiques alors?
[^] # Re: Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 9.
L'autorisation de prélèvement, ça permet plus de contrôle, puisque c'est séparé par mandataire. Si un mandataire abuse, on peut lui révoquer son mandat, sans grande pénalité.
Avec le prélèvement par carte bancaire avec enregistrement des coordonnées chez le fournisseur, en cas d'abus, on n'a plus qu'à faire opposition sur sa carte bancaire, avec toute la gêne que ça implique.
[^] # Re: Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par CHP . Évalué à 5.
D'après mon experience, l'autorisation de prélevement c'est de la gnognotte : la banque ne la demande pas (c'est un tort). Actuellement j'ai le téléphone et l'assurance qui se servent sur mon compte sans que je n'ai jamais envoyé cette autorisation. Seul l'internet m'a demandé d'envoyer l'autorisation de prélevement avant d'activer la ligne.
PS : un de ces quatre je vais envoyer chier ma banque en leur disant : vous me remboursez tout ces trucs que vous avez prélevé sur mon compte sans autorisation depuis les 3 derniers mois (parait qu'il y a une limite de 3 mois pour réclamer, quelqu'un confirme ?)
[^] # Re: Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par _seb_ . Évalué à 3.
De souvenir, tu as le droit de déposer une réclamation auprès de ta banque sur des opérations litigieuses dans un délai de 70 jours après la date de l'opération. On peut assimiler à cela à de la fraude bancaire (pour le coup c'est ta propre banque qui te fraude).
Je me dis aussi que, par la suite, tu n'auras plus de téléphone, assurance, etc si tu arrêtes de la payer. Est ce vraiment ce que tu souhaites ?
[^] # Re: Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par Vlobulle . Évalué à 7.
En pratique, si la banque ne réagit pas à un recommandé (oubliez les rendez-vous avec les conseillers, ils ne connaissent pas ces détails en général) il suffit de contacter une association de consommateur et elle le fera sur le champ.
Et pour info l'argent du remboursement vient de la banque du débiteur...
[^] # Re: Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par Zenitram (site web personnel) . Évalué à 7.
La banque le fera. Ca n'enlèvera pas tes dettes vis à vis de tes créanciers, qui n’apprécieront pas le non-paiement (la banque rembourse pas de nul part) de ce que tu "consommes". Les lettres de rappels avec les pénalités pour retard te plaisent peut-être qui sait!
[^] # Re: Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par CHP . Évalué à 5.
Non, je n'apprecie pas tellement les lettres de rappels et autres menaces d'huissiers (et de toute facon je ferais jamais ce que j'ai dit tout a l'heure que je ferais 'un de ces quattre') mais je trouve quand meme que ca serait de bonne guerre, par rapport à la banque qui ne fait PAS SON TRAVAIL (je les paye pour gérer mon compte, le minimum serait quand meme qu'ils fassent ce à quoi ils se sont engagés).
Franchement je trouve révoltant que ceux que je paye pour gérer mon compte s'amusent à laisser n'importe qui se servir sur mon compte, sans aucune autorisation de prélevement de ma part !
En gros, suffit d'avoir un numéro de SIRET et de demander "donnez moi 42,46 € tous les mois depuis ce compte", et c'est bon...
[^] # Re: Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par Juke (site web personnel) . Évalué à 4.
En règle générale, pour que la banque ne vérifie pas il faut un Numero National d’émetteur (attribué par la banque de france)
[^] # Re: Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par lepoulpe . Évalué à 1.
En fait je pense que d'une manière générale la banque ne vérifie pas. Les autorisations de prélèvement servent surtout au créancier qui pourra dire "vous voyez, on m'a donné le droit de prélever" mais je suis quasi certain que ça n'arrive jamais à la banque.
Par contre, la banque met en place une vérification quand on fait une révocation d'autorisation. C'est à mon avis pourquoi ils le font payer (12€ dans les banques chez lesquelles j'ai un compte). Tarif volontairement dissuasif ahma...
[^] # Re: Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par David D (site web personnel) . Évalué à 2.
Personnellement, la dernière fois que j'ai fait une révocation d'autorisation, c'était en 2007.
J'ai bien précisé que je faisais une révocation de mandat de prélèvement (et non une "opposition" qui n'est que temporaire), que légalement j'en avais le droit, et que le guide tarifaire (convention de compte) ne précisait aucun tarif. Ma banque ne m'a rien fait payer.
Pour les autorisations de prélèvement, c'est dans l'intérêt du créancier de transmettre à la banque, même s'il arrive (à en croire des témoignages) que la banque accepte les prélèvements sans rien demander. Certains créanciers (OVH pour le téléphone notamment et quelques autres avant) m'ont déjà demandé de transmettre l'autorisation de prélèvement directement à ma banque, sans leur envoyer une copie en courrier.
My 2 cents (enfin plutôt 0.1 étant donné qu'une procédure européenne unifiée est prévue, et qu'elle prévoit quelques changements)
[^] # Re: Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par ahuillet (site web personnel) . Évalué à 2.
Pareil pour la mienne, la révocation étant facturée 17EUR, ce qui fait réfléchir à deux fois avant de mettre en place un prélèvement automatique.
Mon plus gros problème avec le prélèvement automatique ce n'est pas le fait que "n'importe qui" peut se servir sur mon compte (la banque me remboursera sans discuter), c'est que si j'ai un conflit avec un créancier sur la somme à prélever je suis en position de faiblesse (car il peut se servir).
Considérant que ces conflits arrivent tout de même couramment avec les agences immobilières (gérant l'appartement que j'occupe), les opérateurs télécom, etc., c'est bien d'éviter le prélèvement automatique dans ces cas là.
[^] # Re: Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par scand1sk (site web personnel) . Évalué à -1.
Un prof de gestion nous avait une fois conseillé de n'accepter les prélèvements automatiques que si les prélèvements étaient réguliers et toujours identiques.
[^] # Re: Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par lepoulpe . Évalué à 1.
Ha par contre détail important : pour gérer les petits conflits, il est possible à la Banque Postale de mettre en place une opposition temporaire (max 3 mois je crois) aux prélèvement d'un créancier. Dans ce cas là, l'opération est gratuite.
[^] # Re: Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par psychoslave__ (site web personnel) . Évalué à 1.
Ils l'ont eu comment ton numéro de compte aussi ? Franchement c'est pas la mort de payer en ligne avec une carte virtuelle une fois par mois.
[^] # Re: Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par pasScott pasForstall . Évalué à 2.
De deux cas l'un.
1. c'est une maladresse legitime de la part d'un magasin legitime. En gros, ya robert qu'a deconne. Tu te plains aupres de ton organisme de credit, qui tout d'abord te rembourse et ensuite se retourne vers le magasin en question et lui tape tres tres tres fort sur les doigts.
En gros le magasin se prends des penalites et apres un (faible) nombre d'erreur de ce genre se fait retirer son agrement. Ca veut dire "plus de carte bleu" donc ils peuvent fermer et vendre le mobilier pour payer les creanciers. Et robert va se faire suicider au fond d'un parking.
Crois moi que ton numero de CB ils y font tres tres attention, c'est ce qui leur permet de vivre.
2. c'est une arnaque en bonne et due forme, le mec va pas se faire chier a stocker un numero de cb, il va se servir et se barrer.
Et un jour se faire gauler et passer 25 ans en pyjama orange sur une plage de Cuba.
Le systeme marche sur la confiance, croit moi que ceux qui ne sont pas fiables se font vite ejecter du systeme.
L'attaquant n'aura pas le numero de la carte qui n'est visible de personne excepte le systeme de paiement. Au mieux, il peut acheter une playstation 3 chez amazon et te donner l'adresse ou aller l'arreter. Supayr!
Reste le probleme de l'attaque profonde ou l'attaquant arriver a casser l'encryption des numeros. Bon.
10 ans d'amazon, des centaines de millions de cartes de credit, combien de problemes a ce jour?
4 ans d'app store, 100+ millions de cartes de credit, combien de problemes a ce jour?
Dans le cas de sony, ils ne savent pas si les numeros se sont fait piquer. Ca inspire pas confiance, c'est sur, mais peut etre attendre la conclusion avant de crier haro sur le baudet?
Et sinon, le thai a 3 block de chez moi a mon numero de carte de credit, ca m'evite de lui repeter 16 chiffres + date regulierement. Et s'il se sert? Deja il se sert pas sans ma signature, et meme s'il le fait cf 1, je me fais rembourser, il ferme son resto et part decouvrir les joies du ramassage de savonnette a Chino (offense federale plutot grave)
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par Juke (site web personnel) . Évalué à 3.
Tout à fait d'accord, mais le maillon non fiable se fait souvent ejecter trop tard, quand c'est visible.
T'a jamais joué à ça plus jeune ? il est assez facile avec un peu de social de se faire livrer chez un petit vieux ou sur une ZI, et ça m'etonnerais que ça ai beaucoup changé.
Il peut aussi commander de l'immatériel. Amazon vend des bouquins electronique par exemple il me semble.
Qui te dis qu'il ne sont pas stocké en clair ? Monster se fait régulièrement pirater sa base de mots de passe et pourtant stockait jusqu'a récemment encore en clair.
Combien de problèmes connus, difficile de savoir doux vient la fraude quand tu n'utilise pas un OTP
[^] # Re: Quand on tends déjà les fesses, c'est pas dramatique d'aller un peu plus loin
Posté par pasScott pasForstall . Évalué à 1.
Certes, mais vu la sante financiaires des organisme de credit, la fraude reste minimale. C'est bien la preuve que le systeme marche, non?
Joue a quoi? A monter des arnaques? Desole non, j'ai fait pas mal de conneries, mais rien de debile.
On commence a sortir du simple "suffit de piquer un mot de passe et de siphonner un compte" la non?
L'immateriel pose encore moins de problemes vu qu'il suffit de revoquer le contenu et rendre les sous a leur proprietaire. Doit bien etre la seule utilisation legitime des drm tiens.
Probablement parce qu'aucun organisme de credit ne les laisserait faire si c'etait pas le cas ;-)
L'organisme de credit/la banque est en premiere ligne quand il faut rembourser suite a une fraude, on peut leur reprocher beaucoup de choses, mais pas de faire gaffe a leur sous a eux.
Ah ben avec ce genre de raisonnement on va aller loin!
Note que meme avec un OTP, tu sais toujours pas d'ou vient la fraude, juste que l'attaquant a reussi a un generer un valide...
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
# t'en sais rien
Posté par Gniarf . Évalué à 6.
et t'en sauras surement jamais rien.
# Vite en besogne non ?
Posté par sead . Évalué à -1.
Tu as apparemment plus d'infos que Sony qui ne sait pas encore si les données bancaires ont été volées mais bon !
[^] # Re: Vite en besogne non ?
Posté par Gui13 (site web personnel) . Évalué à 10.
Au moins si Sony ne l'enregistrais pas ce numéro de CB, le risque serait nul!
Là il y a eu intrusion, et même si rien n'a été volé, le risque existe que des numéros de cartes aient été fuités.
La différence entre risque nul et risque quasi-nul est énorme!
[^] # Re: Vite en besogne non ?
Posté par sead . Évalué à -5.
Oui enfin ton post est aguicheur sur un truc qui n'est pas vérifié!!!! Un post de plus quoi dans ce style quoi !!!!
[^] # Re: Vite en besogne non ?
Posté par Quzqo . Évalué à -1.
Quoi "quoi" ?
<musique> c'est la danse des c******* qui en foutant le bazar font tous...</musique>
[^] # Re: Vite en besogne non ?
Posté par Ben Doumenc (site web personnel) . Évalué à 0.
'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind.'
Terry Pratchett -- Eric
[^] # Re: Vite en besogne non ?
Posté par calandoa . Évalué à 6.
« La différence entre risque nul et risque quasi-nul est énorme! »
Euh... peut être, mais la différence avec un risque non négligeable est énormément énorme. Par exemple, la probabilité que toutes les particules de mon doigt traversent mon clavier à travers un tunnel quantique est quasi-nulle, cepand
[^] # Re: Vite en besogne non ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à -1.
Toi aussi ton clavier se blo
[^] # Re: Vite en besogne non ?
Posté par Gui13 (site web personnel) . Évalué à 1.
Je ne suis pas d'accord, quantifier un risque, c'est admettre qu'il existe, qu'importe la probabilité.
Quel que soit le pourcentage de risque, que ce soit 1/100000 ou 1/10, le risque existe, tu as une chance pour que cette fois-ci ce soit toi qui trinque (plus ou moins... on est d'accord).
Sans jamais avoir transmis ton numéro de carte à Sony, tu es certain qu'il ne risque pas de fuiter si Sony se fait détrousser. Et ça change tout.
Enfin bon, à voir les commentaires ci-dessous, les banques sont très conciliantes pour rembourser des retraits illicites (en tout cas en France?), donc le pire qui puisse arriver c'est que certains doivent payer un renouvellement de carte.
[^] # Re: Vite en besogne non ?
Posté par Juke (site web personnel) . Évalué à 1.
Et les oppositions, les frais pour paiement par chèque en attendant, les AGIOS etc..
# Que pensez vous de l'e-carte bleue ?
Posté par Nick Depp . Évalué à 8.
l'e-carte bleue c'est bien ? quelqu'un a testé ? c'est accepté en général par les marchands ?
Pour rappel : le numéro de votre carte Bancaire réelle ne circule plus sur Internet. Lorsque vous souhaitez effectuer un achat en ligne, le service e-Carte Bleue vous transmet en ligne un numéro de paiement à usage unique que vous utilisez sur le canal de votre choix. Ce numéro est utilisable chez un marchand donné, pour le montant et la durée que vous déterminez au moment de la génération.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par Gregplus . Évalué à 7.
Ma banque impose ce système :
- c'est assez contraignant à utiliser car il faut générer un numéro avant chaque transaction (par effet de bord, peut permettre à certains d'éviter les achats impulsif)
- je peux renoncer à ce "service" mais dans ce cas ma banque ne me garantit plus contre les fraudes (je ne sais pas si c'est légal).
Je trouve ce système plutot rassurant, je n'ai jamais trop aimé laisser mon vrai numéro sur internet (étant développeur web, je suis sans illusions sur les connaissances en sécurité de mes confrères (et de leurs chefs)).
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par Gregplus . Évalué à 3.
J'oubliais dans certains cas cette solution n'est pas utilisable : par exemple dans mon ciné, la carte physique est nécessaire pour retirer les places
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par calandoa . Évalué à 4.
Je me permets de rajouter: c'est du racket. Enfin quand c'est payant, ce qui est le cas avec le service que j'ai parfois utilisé. Je m'explique : si tu te fais piquer ton numéro de carte bleue et qu'un type en fait usage, tu peux contester la transaction et la banque a l'obligation de te rembourser. En gros, si il y a un problème, c'est ta banque qui paie dans tous les cas (et tu perds à la rigueur un peu de temps à remplir le courrier nécessaire). Ce service protège donc principalement la banque... qui te le fait payer! Vole, pigeon, vole!
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
Ça pourrait l'être, si le mécanisme de génération de codes de carte temporaire étaient correctement goupillés. Souvent, ça passe par un logiciel en Flash qui pue « pour des raisons de sécurité », donc dans ce cas ce n'est pas bien du tout.
Mais dans l'idée, c'est bien, ça a précisément été créé pour lutter contre ces dérives des marchands.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par Astaoth . Évalué à 1.
Hum, je ne pense pas que le code soit généré dans le machin flash, au moins pour la Société Général, vu qu'ils ont aussi fait un logiciel (windows only) pour générer ce code.
Emacs le fait depuis 30 ans.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
Ça, je m'en moque, moi ce que je vois c'est au choix :
Donc c'est vite vu : à la Société Générale, eCarte Bleue c'est de la merde, point.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par Quzqo . Évalué à 2.
Je ne suis pas certain de comprendre tes récriminations.
Ta banque te fournit un logiciel permettant de générer un identifiant d'achat en ligne au même titre qu'elle te fournit une carte bleue.
En quoi est-il important de vérifier que cette solution de paiement est sure, plus que ta carte bleue (qui elle ne l'est pas fondamentalement) ?
Après si ta récrimination vise le choix du logiciel propriétaire, le mieux est d'en parler avec son banquier (pour éventuellement soutirer des avantages si c'est une solution imposée hin hin)... ou d'en changer
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 0.
Ça tombe bien, c'est prévu.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par JoeltheLion (site web personnel) . Évalué à 1.
Tu as une idée du nouvel élu? Ca m'intéresse!
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
CIC. J'en ai entendu le plus grand bien.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par calandoa . Évalué à 7.
La dernière fois que j'avais vérifié, ils faisant payer leur service d'accès à ton compte par internet. En gros, tu leur fais économiser du pognon pour une opération en passant par un serveur plutôt que par un conseiller, et pour te remercier, ils te le font payer!
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par Zenitram (site web personnel) . Évalué à 4.
Ah? Perso, je déteste leur obligation de payer pour accéder à l'interface web (je leur évite de charger leur interface humaine qui coûte cher, et je dois payer!). Alors j'ai peut-être pas tout compris et bon je voulais quand même avoir mon crédit (qu'il me faisait bien intéressant par rapport à la concurrence à ce moment la), mais c'est pour moi un élément bloquant pour mettre mon compte courant chez eux.
Comme quoi on n'a pas du tout les même blocages ;-).
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par yellowiscool . Évalué à 2.
C'est marrant, moi je ne paye pas pour accéder au site…
Envoyé depuis mon lapin.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par Zenitram (site web personnel) . Évalué à 2.
C'est que je me suis fais avoir quelque part, faut que je demande donc à ma chère banque le pourquoi de la ligne qu'il me reste suite à la résiliation du "package" qu'ils m'avaient "obligés" à prendre lors de mon emprunt mais que je voulais garder l'accès Internet :
ABON FBQ DONT TVA 0,48E - 2,90 EUR
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par pasScott pasForstall . Évalué à 0.
T'as ete verifie que le logiciel des DAB et des terminaux de paiements sont surs? Ca t'empeche pas de les utiliser pourtant...
Allez, c'est vite vu, jettes moi vite cette carte bleu que je ne saurais voir.
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par MyLordAngus . Évalué à 2.
Pareil pour la Caisse d'Epargne, il y a un logiciel pour Windows, mais je suis obligé d'utilisé l'interface web pour générer les numéros.
Je trouve quand même ce système plus sécurisé, car en plus de générer un numéro utilisable une seule fois, il demande le montant qui sera retiré avec pour vérifier la transaction.
Par contre, cela peut être contraignant sur des sites comme la marketplace d'Amazon, il faut générer un numéro pour chaque article indépendamment, car les produits peuvent être achetés chez différents vendeurs pour une même commande. Et puis bon, pour obtenir les numéros, un simple login/mot de passe suffit, on pourrait trouver un mode d'authentification plus sécurisé quand même :s
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 1.
Il paraît qu'au CIC c'est plus sérieux : ça se ferait directement depuis l'interface web d'administration des comptes, avec en sécurité supplémentaire une confirmation par code SMS.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par Larry Cow . Évalué à 10.
on pourrait trouver un mode d'authentification plus sécurisé quand même
Oh oui, je vois ça d'ici. On nous fournirait un "token" physique, bouffant un port USB et dépendant de pilotes uniquement disponibles pour Windows 7. Les pilotes installeraient aussi 350Mo d'une runtime maison, et d'interfaces graphiques diversement liées à l'application.
Il existerait bien entendu une version Mac alternative, coutant une quarantaine d'euro.
Une version beta Linux serait disponible, en cherchant bien. Elle ne tournerait que sur les systèmes Ubuntu 8.04 32 bits, et à condition de désinstaller les locales UTF8.
Finalement, j'aime autant les mots de passe...
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par claudex . Évalué à 5.
On peut faire mieux qu'un mot de passe sans tomber dans le n'importe quoi non plus. Ma banque me fournit ce qu'ils appelles un digipass qui est un lecteur de carte à puce avec un clavier, il génère un code pour l'identification (différent à chaque fois) et il y un système de challenge pour les transactions. Et c'est compatible avec n'importe quel navigateur web.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par Juke (site web personnel) . Évalué à 3.
ou bien une yubikey http://www.yubico.com/yubikey qui se comporte comme un clavier usb et fonctionne donc tres bien sous windows/linux/mac/whatever.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par Larry Cow . Évalué à 2.
Alors oui, et non. Yubikey c'est très joli, mais c'est tellement facile à "piquer" que ça n'est prévu que pour être utilisé en "complément" dans une authentification multifacteur.
La Yubikey - sauf si leur procédé a radicalement changé depuis la dernière fois que j'ai regardé - est assez astucieuse : elle se fait effectivement passer pour un clavier afin d'éviter toutes les problématiques liées à la plateforme. Tout le monde sait gérer un clavier USB. Elle génère des numéros uniques, vérifiables par un tiers (on pouvait même installer son propre serveur de vérification, à l'époque) et à usage unique.
Pour ce faire, elle stocke dedans de elle :
A chaque authentification réussie, le serveur met son numéro de séquence en phase avec celui de la clé. Et ainsi, il peut refuser toutes les clés générées avec un numéro antérieur. Ce qui évite la réutilisation.
Le GROS hic de Yubikey (ils en sont conscient, c'est pour ça qu'elle est généralement recommandée en complément), c'est que rien n'oblige mes numéros de séquence à être contiguës - sinon la moindre génération de code "pour rien" foutrait le souk. Donc rien n'empêche un attaquant de me subtiliser ma clé quelques secondes, de générer une flopée de codes sur son poste (genre dans un fichier texte), et tant que je n'aurais pas généré ET validé un nouveau code les siens seront parfaitement valides.
Alors oui, pour sécuriser un accès peu critique sans avoir à taper son mot de passe, c'est assez cool. Pour renforcer une authentification à plusieurs facteurs, c'est très bien aussi. Mais j'aurais pas envie que ça suffise à accéder à ma banque...
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par Juke (site web personnel) . Évalué à 2.
Evidemment il faut l'utiliser (ce que je détiens) en complément d'un mot de passe (ce que je connait)
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par Larry Cow . Évalué à 2.
Toute cette histoire m'a redonné envie de voir ce qui se passe chez Yubico. Et effectivement, ils ont un peu amélioré la donne.
Leurs dernières clés (Firmware 2.2) conservent l'actuel mécanisme d'OTP (One-Time Password), avec l'inconvénient que j'ai cité plus haut, par défaut. Sachant toutefois que, pour être tout à fait honnête, il existe des moyens limiter l'impact du vol d'une liste d'OTP "neufs" - en échange d'une procédure un peu plus lourde pour l'utilisateur - en prenant en compte le temps écoulé entre deux OTP. Chercher l'implémentation de "timedelta" pour Yubikey pour plus de détails.
Mais surtout, ils ont ajouté un nouveau mécanisme, optionnel, à base de challenge/response. Avantage : ça coupe complètement l'herbe sous le pied de l'attaque précédemment citée (puisque l'on ne peut plus générer de codes à l'avance). Inconvénient : ce n'est plus transparent pour la plateforme, il faut un bout de soft pour dialoguer avec la clé.
Leurs clés restent capables de stocker deux méthodes d'authentification (la seconde étant obtenue en pressant le bouton plus longtemps qu'avec la première), ce qui permet de mixer les deux.
Au final, même s'ils ne jouent pas forcément dans la cour des grands, ils ont une approche séduisante quand même.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par oinkoink_daotter . Évalué à -1.
Ca a surtout été fait parce que les utilisateurs écrivent leurs numéro de CB n'importe où et depuis des machines vérolées de partout.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par sifu . Évalué à 3.
Le gros pb de l'e-carte bleue pour moi c'est surtout que cela ne fonctionne pas partout ...
Par exemple, l'autre jour, j'ai pris de billets de train et le paiement via e-carte bleue n'était pas fonctionnel (apparemment c'est lié au fait qu'il y avait deux paiement à faire un pour idtgv et un pour la sncf).
Dans le cas de réservation d’hôtel, il arrive aussi que l'hôtelier refuse ce paiement car il veut que l'on vienne avec la même carte que celle qui a permis le paiement.
Pour moi, c'est surtout cela le problème, j'utilise assez souvent ce service (à la banque postale) via Flash (non-free :-() et je trouve que si je ne peux pas l'utiliser systématiquement cela perd de son intérêt.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par lepoulpe . Évalué à 1.
Justement, les conditions d'utilisation ont changé récemment à la Banque Postale et le cas que tu évoques fonctionne peut-être maintenant.
Un extrait des CGV : "Le Service e-Carte Bleue propose au Client de figer un plafond du montant de chaque transaction. Ce plafond est la référence du maximum pour les éventuels débits et/ou transactions successives que le commerçant serait éventuellement amené à faire (dans le cadre de la livraison échelonnée des biens commandés, par exemple). La Banque Postale applique une marge supplémentaire de 20 % à ce plafond, afin de gérer les éventuelles fluctuations de taux de change, les frais de port, ou tout autre type de frais qui pourraient être fixés et pris par le commerçant, à sa discrétion."
Donc le numéro n'est pas limité à un débit (par contre il l'est peut-être à un débiteur... à vérifier).
Moi j'ai surtout le problème quand on doit ensuite présenter la carte physique, par exemple pour l'achat de billets de concerts. Si utilisation de la e-carte 6€ de port en plus..
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par ymorin . Évalué à 4.
Je n'ai pas d'e-carte bleue, mais une petite calculette. Il y a plusieurs manières de l'utiliser. Cela nécessite toujours d'y insérer la carte bleue physique et de taper mon code PIN.
Code de contrôle ('Code') :
- ca génère un code unique (non reproductible)
Réponse à un challenge ('Réponse') :
- le site (marchand, banque...) fournit un code
- je le entre dans la calculette
- elle me sort un code (non reproductible)
Réponse multi-challenge ('Signature') :
- le site me donne plusieurs codes
- je les entre un par un dans la calculette
- elle me sort un code (non reproductible)
Quand je dit 'non reproductible', j'ai essayé de retaper les mêmes valeurs une seconde fois, et c'est pas le même résultat. Donc l'algo prend en compte un 'salt', par exemple basé sur l'heure, une série, ou autre...
Je n'ai utilisé jusque là que la solution 1, et la 2 une seule fois.
Je ne trouve pas ca très pratique, ca oblige à avoir le 'machin' sur soi en permanence, sinon impossible d'effectuer des virements externes, d'acheter depuis le boulot...
Ha oui... Banque : BPO.
Hop,
Moi.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par xavier dumont . Évalué à 2.
Y a ça au Crédit Mutuel et je trouve ça pas mal car au moins tu es sur d'être débité uniquement de la somme que tu dépenses au moment M.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par psychoslave__ (site web personnel) . Évalué à 3.
Comme le dit xavier dumont ci-dessus le crédit mutuel propose un tel service, qu'ils ont nommé pay-web.
Pour ma part je suis satisfait du service qu'ils proposent, je vous fait un petit topo.
Sur leur site, on se logue avec numéro de compte/mot de passe. Cela permet d'accéder aux relevés de compte. Ensuite si on veut faire une opération quelconque, il faut fournir une clef de 4 chiffre. Cette clef se trouve sur une carte format carte de crédit fourni à l'utilisateur. La carte est une grille de 64 nombres, comme ci-dessous :
L'interface demande donc à l'utilisateur de saisir, par exemple, la clef A5.
Ça me paraît la meilleure solution dont j'ai pu entendre parler pour sécuriser les opérations bancaires. Ce n'est pas trop pénible pour l'usager, tout en le protégeant pas mal de ses propres maladresses. On est loin des systèmes qui demandent de cliquer sur des boutons pour saisir un code, histoire que dans le cyber-café, tout le monde puisse bien le voir.
Une fois votre clef saisie, vous pouvez commencer le processus pour créée une carte virtuelle. On saisie le montant, et on va voir le mail qui demande confirmation de notre demande. Ici c'est à double tranchant je dirais. D'un coté quelqu'un qui c'est emparé de tout les éléments nécessaire jusque là devra aussi connaître votre mdp mail. D'un autre coté ça ouvre des possibilités de tentatives d’hameçonnage, si l'attaquant surveille votre trafic et qu'il envoie un mail quand il voit que vous échangez des données avec le site de la banque. Bref vous suivez le lien du mail, et voilà votre carte virtuelle valide pour quelques minutes.
Ça peut sembler un peut pénible comme je l'explique, mais pour ma part je trouve ça très correct en terme de rapport pénibilité/sécurité. Après est-ce que ça freine les achats compulsifs, comme cité plus haut, aucune idée, je ne suis pas sujet à de tels tendances.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par Zenitram (site web personnel) . Évalué à 2.
Le système de carte est pas mal, ça permet la double validation objet/pass (la limite de l'objet est qu'il est duplicable facilement, mais bon, après, faut pas que ce soit trop chiant pour l'utilisateur non plus, juste ratio chiant/sécurité?)
Ma critique est toutefois sur la façon dont c'est utilisé : ça me gave un max de devoir trouver la carte et rentrer le numéro à chaque fois que je veux faire un virement sur un compte à moi dans une autre banque par exemple. Mais certaines banques font ça, alors que d'autres demandent le code uniquement pour rajouter le compte, ce que je trouve plus agréable.
Bref, il faut trouver le juste milieu entre la sécurité et embêter l'utilisateur, la carte est pas mal mais dépend de l'implémentation. Une autre solution que j'aime bien (je préfère même) est le code temporaire envoyé par SMS (objet, non copiable, et tu fais attention à avoir ton mobile), mais a la limitation de devoir être dans un pays qui a une couverture radio dans la norme de ton mobile (surprise quand tu n'as pas pensé à la chose et te retrouve le bec dans l'eau!)
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par Moogle . Évalué à 2.
A la Bred, j'ai une carte du genre pour toutes mes opérations en ligne un peu délicates : virements au dessus d'un certain montant, ajout d'un destinataire, etc... et pour que la sécurité soit un peu meilleure dans le cas ou je me fais piquer la carte, j'ai à retenir un décalage de deux directions. Par exemple je choisis comme déplacement "HD" pour haut-droite, et si on me demande la case D3, il faut que je donne C4. Ça marche pas comme ça ce pay-web ?
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par psychoslave__ (site web personnel) . Évalué à 2.
Non, cela dit, si tu te fais piquer ta carte, pour peut que tu la ranges dans ton porte feuille par exemple, tu auras tôt fait de le remarquer (on va plus probablement te piquer tout le porte feuille que la carte qui en elle même est pas très utile au voleur), et appeler ta banque pour faire opposition.
J'imagine que ce que tu utilises fait appel à l'arithmétique modulaire. Par exemple le coin tout en haut à droite à pour image le coin tout en bas à gauche à travers HD, est-ce correct ?
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par Moogle . Évalué à 2.
Je suis jamais tombé sur ce cas. Je ne sais pas si ça fonctionne comme tu le décris, ou bien si on se retrouve au final avec une ligne et une colonne qui n'est jamais utilisée.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par 2PetitsVerres . Évalué à 3.
Ce serait une faille, sauf à ne jamais utiliser non plus la colonne et la ligne opposée à celle dont on vient de parler (et à limiter les déplacements à une case adjacente). Si l'attaquant a la carte, il va un certain nombre de fois jusqu'à l'étape "donnez nous le contenu de la case i,j" sans répondre. S'il voit des demandes de "1, x", "x, 1", "n, x" ou "x, n", il pourrait savoir dans quelle direction le déplacement se fait.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Que pensez vous de l'e-carte bleue ?
Posté par Moogle . Évalué à 2.
J'y ai pensé aussi, après il me semble qu'il y a une limite qui empêche de générer trop de demandes sans répondre au challenge, ce qui limite ce genre d'attaque.
# omme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par dinomasque . Évalué à 6.
Je suis choqué par tant de mépris. Qui sont "les gens" et que t'ont ils fait pour les insulter de la sorte ?
BeOS le faisait il y a 20 ans !
[^] # Re: omme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 6.
Ils ne m'ont rien fait, à moi. Ils cessent de réfléchir, ou du moins deviennent plus bête qu'à leur habitude, dès qu'il s'agit d'informatique.
Il y a cet exemple de confier son numéro de carte bleue à un marchand et de ne pas s'étonner qu'il ne demande rien à l'achat suivant. Dans la vraie vie, ça ferait réagir, et violemment encore, de s'entendre dire par son épicier : « non, c'est bon, pas besoin de sortir votre carte bleue, la dernière fois j'ai enregistré votre numéro, je vais me servir directement ».
Il y a d'autres exemples, je n'en ai pas sous la main mais ça va me revenir.
[^] # Re: omme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par Jokernathan . Évalué à 3.
Encore que sur les sites des web marchands (sauf si le site est vraiment mal foutu) tu as accès facilement aux données qu'il a enregistré sur toi :adresse de livraison par défaut, numéro de carte bancaire et autre ...
Mais là où je flippe c'est quand le service de rechargement par carte bouygues propose d'enregistrer "en toute confidentialité mes coordonnées bancaire en prévision de mon prochain rechargement" euuuuh non madame la boite vocale j'ai pas envie ...
[^] # Re: omme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par zebra3 . Évalué à 6.
Qu'est-ce que tu en sais ? Si c'était possible, certains le feraient et ça passerait peut-être, si ça simplifie la vie des gens.
Après tout, la seule différence c'est que les sites marchands ont la possibilité technique de le faire.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: omme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par Thomas Douillard . Évalué à 5.
C'est sûrement moins fréquent de nos jours, mais "tu mets ça sur mon ardoise René", ça c'est fait. C'est une question de confiance principalement.
[^] # Re: Comme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par julo4lfr . Évalué à 2.
Les compagnies aériennes le faisait aussi (depuis pas mal de temps et toujours à ma connaissance) lors d'une réservation avec paiement, que ce soit en ligne ou par téléphone .
Donc "éteindre son cerveau" ce n'est pas qu'en allumant l'ordi.
De plus, comme dit ailleurs, faut voir qui assume le risque (la banque, le marchand, le client...)
[^] # Re: Comme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par DLFP est mort . Évalué à 4.
Ou des hôtels, qui quand ils te demandent ta carte bleue, ce n'est pas pour la mettre dans un terminal, mais pour noter sur une feuille de papier le numéro.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: omme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par CHP . Évalué à 9.
Je trouve que c'est completement différent : dans le cas de "tu mets sur mon ardoise, René", bah au pire tout ce que René peut faire c'est te réclamer plus que ce que tu dois lorsque tu viens régler ton ardoise, il ne peut en aucun cas aller se servir sur ton compte. Ca fait une belle différence.
[^] # Re: omme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par Zenitram (site web personnel) . Évalué à 7.
Comment tu sais ça? Parce que moi, j'ai réfléchi, et j'ai conclu que ça m'emmerdait plus qu'autre chose que les sites sur lesquels je fais des achats petits mais souvent me redemandent 1000 fois mon numéro de CB, et que donc le risque pris vaut le gain que j'ai, et j'apprécie énormément cette possibilité, au point de prioriser les sites ayant mon n° de CB par rapport à ceux qui ne l'ont pas. Chaque façon a des avantages et des inconvénients, et?
Tu ne souhaites pas avoir cette facilité car tu estimes que c'est trop "risqué", c'est ton choix, mais pas la peine de traiter d'idiots les gens qui ne sont pas d'accord avec toi. Zappe les sites qui ne te plaise pas, et laisse les autres profiter de la facilité si il en ont envie sans qu'ils aient besoin de se faire traiter d'idiots.
[^] # Re: omme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 0.
Et les inconvénients de l'enregistrement des informations de la carte bancaire sont bien trop grands. D'autant plus qu'il y a une solution infiniment plus sûre pour les nombreux petits achats chez un fournisseur : le compte prépayé.
Oh, mais je n'ai même pas besoin de les traiter d'idiots, ils se sentiront bien assez cons eux-mêmes en voyant que leur numéro de carte bleue a été volé.
Toi, tu y as réfléchi, et tu es prêt, en connaissance de cause, à courir les risques sus-mentionnés (abus du fournisseur, abus d'un employé du fournisseur, piratage de ton compte, piratage de la base du fournisseur) et de leurs conséquences (vol d'argent directement sur ton compte). Très bien, mais le problème c'est que la plupart des gens ne s'en rendent même pas compte, de ces risques : pour eux, c'est de l'informatique, donc il ne faut pas se poser de question.
[^] # Re: omme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par Zenitram (site web personnel) . Évalué à 4.
Pour toi, peut-être. Pas pour d'autres. Laisse les autres estimer le niveau d'inconvénient (nul)
Mais chiant à gérer.
Certes, mais ce n'est pas à disant que laisser son numéro de CB à Amazon que tu les convaincras qu'il y a un danger... Parce qu'on peut avoir confiance à Amazon (et Sony aussi, même si il ont fait une connerie la), je pense que ce serait plus convainquant de dire aux gens "sachez à qui vous donnez votre numéro, et estimez si ça vaut le coup, genre la boite inconnue au site pas propre". Car la, ton journal, il me fais personnellement juste réagir "encore un emmerdeur alors que ça fait 10 ans que je fais ça et que ça va bien", et je pense que je peux représenter le gars moyen "idiot" que tu fustiges ;-) (car j'ai clairement passé plus de temps à écrire ma réflexion sur le sujet que de réfléchir à ça quand j'ai mis mon numéro chez Amazon). Bref, pas sûr que l'impact soit celui escompté, ta position sur le sujet de la CB chez Amazon est trop caricaturale (je fais déjà confiance à ma banque pour mon compte, pourquoi pas Amazon? Tout est question de niveau de confiance!).
[^] # Re: omme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par Gniarf . Évalué à 5.
Pour toi, peut-être. Pas pour d'autres. Laisse les autres estimer le niveau d'inconvénient (nul)
[^] # Re: omme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à -1.
Parce que le jour où ma banque déconne, je sais où aller pour me plaindre ou me défouler. Avec Amazon, macache.
[^] # Re: omme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par pasScott pasForstall . Évalué à 4.
Ah ben ca tombe bien, t'iras te plaindre au meme endroit si Amazon deconne, c'est beau non?
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: omme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par David D (site web personnel) . Évalué à 1.
Oui et non : dans ce cas, c'est à la banque que l'on conteste le débit par carte bancaire, et la banque est dans l'obligation de rembourser, certes. Mais l'on ne peut plus alors se "plaindre" à la banque (s'ils répondent à la requête), ou alors ça serait se plaindre au mauvais endroit.
Enfin cela étant dit, on peut avoir pour pas mal de raisons peu d'estime pour Amazon (surtout en allant à une conf de Stallman et en l'écoutant parler du kindle), mais ils ne sont probablement pas les moins compétents pour gérer un système sécurisé. Et ils ont quelques raisons pratiques compréhensibles de proposer l'enregistrement en passant par leur système (je dis bien "proposer", pas "imposer pour un simple achat"). Ce n'est pas le cas de pleins de petits sites, qui continuent de demander le numéro de CB en direct quand même.
Sinon à savoir : quand on paye chez un marchand avec un TPE physique, le numéro de CB est la plupart du temps imprimé en entier sur un ticket (pas sur celui que vous récupérez, mais sur celui que le marchand conserve).
[^] # Re: omme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par Zenitram (site web personnel) . Évalué à 3.
Certains enlèvent leur cerveau quand c'est sur Internet, d'autres l'enlèvent tout autant quand c'est dans la vie "physique" ;-).
J'ai jamais compris cette peur du méchant Internet pour la CB : le vol de numéro existait bien avant Internet! Et le vol sur Internet n'est pas plus grand que le vol physique, on oublie souvent ça... On a l'impression de se trouver devant des vieux qui ont peur de la nouveauté, et dont le moindre problème devient "oh c'est horrible" en oubliant que ce qu'ils utilisent avant est pareil (ou pire).
Le seul moyen sûr de ne pas se faire voler son numéro de CB, c'est de ne pas avoir de numéro (donc pas de carte). Sinon, dès qu'on sort sa carte (que ce soit Internet, un distributeur automatique, ou un marchant, chacun a ses voleurs de numéros), on a le risque. Tanguy est très sensible à la partie Internet, et oublie la partie vole de numéro sur les distributeurs (version bonus : ils ont une caméra pour lire le code) ou le marchant (version bonus : le marchant peut aussi avoir une caméra, et des copains pour voler le sac à la sortie du magasin), je ne sais pas pourquoi, peut-être qu'il nous l'expliquera?
[^] # Re: omme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par claudex . Évalué à 3.
Internet permet d'automatiser ça, il n'est pas différent de voler 10 numéros sur Internet que 10 000;
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: omme souvent, les gens éteignent leur cerveau en allumant leur ordinateur,
Posté par 2PetitsVerres . Évalué à 3.
Aller se défouler contre un banquier dans une banque, il me semble que c'est dangereux.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
# et Paypal ? carte prepayé
Posté par solsTiCe (site web personnel) . Évalué à 3.
"les gens" : j'aime bien les généralisations à outrance. et puis, c'est pas comme si on avait le choix hein.
d'ailleurs je viens de supprimer mes données CB chez amazon. je sais pas si c'est vraiment supprimer de leur serveur par contre. enfin faut espérer. Est-ce qu'on peut faire la même chose chez la fnac ou apple ?
t'aurais pu cité paypal aussi. Car sous couvert de te permettre de payer en ligne sans carte bancaire eux garde ton numéro de CB. donc c'est maintenant paypal le maillon faible
sinon y'a les cartes bancairess prépayées eventuellement rechargeables.
C'est une option que je suis en train de considérer pour mes futurs achats. seul bémol les tarifs prohibitifs sur certaines actions.
[^] # Re: et Paypal ? carte prepayé
Posté par Vlobulle . Évalué à 2.
Ou plus simplement les numéros de CB temporaires, valables une seule utilisation. Plusieurs banques offrent ça, et je pense que toutes le font gratuitement (y compris une banque déjà gratuite).
C'est ce que j'utilise lorsque je paye sur un site un peu louche. ("un peu louche" signifiant "tout sauf les impots")
[^] # Re: et Paypal ? carte prepayé
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 1.
Tu rêves, là, on voit bien que tu n'es pas à la Générale. :-)
[^] # Re: et Paypal ? carte prepayé
Posté par cosmocat . Évalué à 3.
Car sous couvert de te permettre de payer en ligne sans carte bancaire eux garde ton numéro de CB. donc c'est maintenant paypal le maillon faible
Euh...
En même temps, c'est un peu le but de ce service de stocker tes coordonnées bancaires et de ne pas avoir à les laisser sur de nombreux sites...(et d'être plus sécurisé étant donné que ça fait parti de leur boulot)
Soit on aime, soit on aime pas (et on utilise pas) mais on peut pas leur reprocher d'offrir le service qu'ils disent offrir...
[^] # Re: et Paypal ? carte prepayé
Posté par phoenix (site web personnel) . Évalué à 2.
En même temps pour le sécurisé, je connais quelqu'un qui s'est fait débité son compte bancaire par l’intermédiaire de paypal .... car justement sa carte était sur paypal (alors bien sur depuis elle s'est fait remboursé et à porter plainte, mais cela ne me donne pas envie de laisser ma carte bleu à paypal).
# Toujours confiance ?
Posté par dovik (site web personnel) . Évalué à 6.
La confiance, ce n'est pas le principe même de l'argent ?
Si ton compte est débité d'un truc que tu n'as pas acheté, ta banque est sensé te rembourser (Comme tu le dis, c'est elle l'intermédiaire sensé s'assurer que la transaction est ok).
C'est arrivé à un proche qui a remarqué plusieurs débits étranges sur son relevé (poker, jeu en ligne, ...). À sa demande, sa banque l'a re-crédité et lui a fait comprendre que c'était « monnaie courante ». (ohoh)
[^] # Re: Toujours confiance ?
Posté par calandoa . Évalué à 5.
Tout à fait, je confirme, ça m'est arrivé. Je vais même rentrer dans les détails car l'histoire est assez amusante :
Un beau jour, en épluchant mon relevé, je vois une transaction « TCA commerce électronique » faite un mois plus tôt, autour de 100-200€. Je me creuse la tête, je vérifie mes courriels de confirmation, impossible de retrouver trace de cette opération. Finalement je contacte ma banque pour demander plus d'infos sur le bénéficiaire de cette opération, et la réponse est : « on ne peut pas vous le donner, il faut remplir un formulaire de fraude et nous l'envoyer ». J'en récupère un au guichet, le rempli (assez court) et l'envoie en courrier simple. Je suis remboursé un mois plus tard. Fin de l'histoire. Enfin pendant quelque mois.
Je reçois 3-4 mois après un courrier d'un huissier, majorant une amende que je n'aurais pas payée. Bon, vous avez compris, mais moi à l'époque il m'a encore fallu pas mal de courriers et de coups de téléphone avant que je fasse le rapprochement avec cette amende que j'avais réglée un mois avant la transaction, çàd 2-3 mois avant que j'envoie mon courrier de fraude. Là, j'ai donc appris que TCA voulait dire « Trésorerie du Contrôle Automatisé » et que le Ministère de la Justice était en fait un fonds de commerce. Bon, ce dernier point, c'est un clerc d'huissier qui me l'a expliqué au téléphone, mais je crois qu'il était de mauvaise foi, du fait du vocabulaire qu'il employait à mon égard, de sa promesse de déchirer tous mes futurs courriers ne contenant pas de chèque, et du nombre de décibels sortant de mon téléphone (conversation totalement véridique. Certains huissiers sont des putains de mercenaires prêt à tout pour vous terroriser et qui n'hésitent pas à se torcher avec la loi quand ça les arrange).
Finalement, en harcelant plusieurs types de ma banque, j'ai réussi à refaire faire le virement dans le sens initial, puis en écrivant directement à la TCA, je crois avoir réussi à clore l'affaire (enfin, je n'ai reçu plus aucun courrier depuis).
Oui, si j'avais su ce qui m'attendait, j'aurais payé l'huissier sur le champ. Et non, je me fous totalement de filer mon numéro de carte bleue à la Fnac, Amazon ou autre, car si il y a un problème je sais que je serais remboursé très facilement.
Et si certains s'inquiètent pour mon permis, qu'ils soient rassurés : ne m'ayant pris que 2 prunes pour excès de vitesse cette année là, et les points étant rendus si l'on ne se flasher qu'une fois dans l'année, j'ai donc récupéré mes deux points. Ça ne sert à rien de relire 3 fois cette phrase, vous ne comprendrez pas mieux.
[^] # Re: Toujours confiance ?
Posté par Zenitram (site web personnel) . Évalué à 3.
C'est ça le pire : c'est les retraits de l'Etat qui sont les plus cryptiques sur les libellés. après tu t'étonnes que les gens prennent l'habitude de ne pas trop suivre quand il y a un prélèvement bizarre... Il y a des baffes qui se perdent. C'est vraiment dommage, j'adore le prélèvement car c'est simple, mensualisé, mais j'ai toujours un "petit" travail à faire pour coller le montant du retrait avec l'échéancier qui va bien.
# la non sécurisation est une fonctionalité
Posté par jahrynx . Évalué à 10.
Ou "insecurity is a feature"
En fait, comme m'avait expliqué un prof, le système de payement par carte est non sécurisé par nature (je ne parle pas de la sécurisation de la transaction en elle même et de ssl et de https et tout mais du système global qui veut que l'on utilise uniquement le numéro de carte) et tu veux que ca le reste. C'est très important!
Le fait est que les banques sont forcées de garantir les comptes contre des transactions frauduleuses, donc tu n'as pas besoin d'un système plus sécurisé que ca. Juste de pouvoir dire à la banque "c'est pas moi ca" pour te faire rembourser.
Avec ce système, c'est la banque qui doit se taper la procédure derrière et porter plainte et tout... Et je pense que juste avoir à annuler une carte, c'est rien comparé au bordel de la justice internationale.
Et du coup, tout les systèmes soit disant plus sécurisé mais n'ont en fait comme objectif premier que le déplacement de la responsabilité de la banque vers le client. Et comme aucun système ne sera 100 sûr...
Du coup je vais continuer d'utiliser ma carte de crédit partout sur internet.
Quand à enregistrer le numéro chez amazon... limite j'ai plus confiance dans l'infrastructure d'Amazon que dans celle des banques, donc...
PS: quand à l'enregistrement de la carte dans des magasins physique... ca se fait aussi (on me l'a fait chez Sixt et je pense que d'autres le font aussi)
[^] # Re: la non sécurisation est une fonctionalité
Posté par Jokernathan . Évalué à 2.
Euuuh pour m'être fait tipiaké mon numéro de carte bancaire y'a un mois je peux t'assurer que c'est pas la banque qui porte plainte mais bien à toi de le faire. Ensuite en donnant ton dépôt de plainte à ta banque il commence la procédure de remboursement (pour ça à mis à peine 3 jours)
C'est pas compliqué mais t'as les frais d'opposition + les frais d'une nouvelle carte. Ces frais peuvent être couvert selon les "services" associés à ton compte.
[^] # Re: la non sécurisation est une fonctionalité
Posté par Juke (site web personnel) . Évalué à 2.
Pourquoi a tu besoin de faire opposition sur la carte juste pour un prélèvements frauduleux, si les prélèvements sont réguliers, la banque de changera d'elle même la carte et s’évitera du boulot.
[^] # Re: la non sécurisation est une fonctionalité
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
C'est vrai, comme pour les chèques : il y a moyen d'argumenter pour convaincre son banquier que c'est sa faute et qu'il est donc dans son intérêt de t'offrir l'opposition et la fabrication d'une nouvelle carte ou d'un nouveau chéquier. Mais ça demande du temps (de le convaincre), sachant qu'il fera tout ce qu'il peut pour te le facturer.
# Ça tombe bien...
Posté par case42 (site web personnel) . Évalué à 9.
Hier soir j'ai constate des achats anormaux faits avec ma carte de crédits aux États-Unis. Cette carte est enregistre dans mon compte PSN, donc il y a de forte chances que ce soit ca (ou alors ce serait une bien drôle de coïncidences). Donc voila, je vais devoir aller porter plainte et faire opposition sur ces transactions a ma banque pour me faire rembourser.
Oui c'est chiant. Est-ce que pour autant je vais changer mes habitudes et arrêter de confier mon numéro de CB a des sites en ligne? On verra en fin de procédure mais a priori, la réponse est non. Ça fait 10 ans que j'utilise ma carte sur internet a tord et a travers. Le temps et les emmerdements que j'ai économisé en agissant comme ca en 10 ans contrebalancent encore largement cet unique accident. Temps que le ratio est de 1 tous les 10 ans, je ne changerais pas de comportement.
[^] # Re: Ça tombe bien...
Posté par Gui13 (site web personnel) . Évalué à -2.
Si ta banque ne te rembourse pas, sous couvert de "ce n'est pas notre faute, addressez-vous à Sony", je suis certain que tu vas changer d'avis :-)
[^] # Re: Ça tombe bien...
Posté par _seb_ . Évalué à 4.
Non, la banque a obligation de te rembourser intégralement en cas d'utilisation frauduleuse de ta carte bancaire. Les cas où ta responsabilité est mise en question sont extrêmement rares et c'est à ta banque de prouver que ton comportement était imprudent et fautif.
Tu payes un service (assez onéreux d'ailleurs, environ 30 euros par an). C'est à ta banque de mettre en oeuvre les moyens techniques pour sécuriser ce service et le moyens financiers pour te rembourser en cas de fraude.
[^] # Re: Ça tombe bien...
Posté par Slauncha (site web personnel) . Évalué à -2.
Genre donner ton numéro de carte, le trigramme qui va bien avec, à un tiers (amazon, sony, etc) ... c'est pas un comportement imprudent et fautif pour toi ?
Que tu payes un service ça t'oblige à ne pas être prudent ? continuons dans le délire, je paie une assurance voiture, je peux rouler sur tout ce qui bouge ?
Ta responsabilité est engagée quoi qu'il arrive ... faudrait arrêter un peu de se déresponsabilisé de tout, communiquer ton numéro de carte, trigramme en dehors de ta banque est tout simplement imprudent, même si ton super site de commerce en ligne est PCI-DSS.
Mais comme disait une personne plus haut, si cela arrive qu'une fois en 10 ans, zou galinette, go faire n'imp.
[^] # Re: Ça tombe bien...
Posté par Vlobulle . Évalué à 3.
Pour les banques, non, et c'est ça qui compte.
Je suis d'accord, mais en pratique, on ne peut pas faire autrement, sauf à avoir une CB virtuelle que toutes les banques ne proposent pas, ou à ne pas acheter en ligne.
Ou a changer la legislation pour imposer l'eCB.
[^] # Re: Ça tombe bien...
Posté par pasScott pasForstall . Évalué à 4.
Tu donnes le numero a un partenaire Visa/MasterCard/MesCouilleSurTonNezCard, qui arbore le logo qui va bien, donc tu restes dans le reseau de confiance. Si ce partenaire fait ensuite portnawak avec le numero, c'est le probleme du reseau et ils ont des sanctions pour les affilies qui font n'importe quoi.
Donc non c'est pas imprudent d'utiliser sa carte chez qq1 qui est certifie pour la recevoir.
Donnes ton numero a un nigerien cherchant a faire sortir des caisses de viagra du congo, c'est potentiellement une autre hsitoire (ou pas, j'en sais rien).
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Ça tombe bien...
Posté par 2PetitsVerres . Évalué à 6.
T'es pas en train d'essayer d'expliquer qu'utiliser la carte comme elle est prévue d'être utilisée est un comportement imprudent et fautif là ?
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Ça tombe bien...
Posté par Slauncha (site web personnel) . Évalué à -3.
Ouais tu as raison, la carte bleue et son utilisation (fournir son PAN et trigramme) ont été "prévue" pour effectuer des paiements sur des sites ecommerce en toute sécurité, cela faisait même partie du cahier des charges initial, tu n'as pas l'impression qu'il y a un problème chronologique là ?
Si la carte bleue et son utilisation (fournir son PAN et trigramme) sur internet est tellement secure à l'heure actuelle, (merde alors c'était prévu pour ça, j'oublie, ne soyons pas sans inquiétude), on se demande même pourquoi le concept d'e-carte bleue existe... encore un coup marketing ?
[^] # Re: Ça tombe bien...
Posté par Zenitram (site web personnel) . Évalué à 3.
Oui: c'est une réponse marketing à une demande de quelques personnes "qui ont peur d'Internet". D'ailleurs, les banques sont vraiment pas contentes de ça, car les gens demandant la e-carte sont en fait très très peu nombreux, juste qu'ils gueulaient fort à un moment et faisaient croire qu'ils étaient nombreux. Pas foule prend finalement le service en réalité. le service n'est pas rentable (pas assez de monde), il disparaitra un jour.
[^] # Re: Ça tombe bien...
Posté par Slauncha (site web personnel) . Évalué à -1.
On y arrive.
Bien sur que c'est purement marketing, que le service ne soit pas rentable cela se comprends dès lors que même si vous êtes encore en possession de votre carte et que vous n'avez donc pas fait opposition, votre responsabilité est totalement dégagée (sans limites aucunes) en cas d'utilisation frauduleuse de votre numéro de carte (achat par correspondance) ou de contrefaçon.
Il vous suffit de notifier par écrit votre contestation à l'établissement émetteur.
Celui-ci doit alors vous recréditer les sommes litigieuses dans le délai d'un mois qui suit la réception de votre lettre recommandée (Code mon. et fin. art. L 132-4).
Il ne faut surtout pas briser la confiance du client dans sa carte bleue (les raisons sont évidentes), malgré les couacs tu es assuré de revoir ta thune en cas de fraude.
Se cacher derrière cet argument est quand même un peu léger non, pour dire que c'est secure ?
Je me répète, fournir son PAN et trigramme de sa carte bleue sur un site marchand est très loin d'être un acte prudent ... le texte de loi est quand même bien un aveu de faiblesse non ? Que l'on me dise que la carte bleue en l'état est sécurisée pour faire des achats en ligne en toute sécurité je dis non monsieur !
Zou pour la déconne :
http://www.tux-planet.fr/public/images/photos/hack/cracking-credit-card.jpg
[^] # Re: Ça tombe bien...
Posté par 2PetitsVerres . Évalué à 5.
Le dernier chiffre n'est pas une protection de sécurité, c'est une protection contre les erreurs de saisie. Super ton lien. J'appellerais pas "cracking-credit-card" mais "credit-card-number-explained".
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Ça tombe bien...
Posté par pasScott pasForstall . Évalué à 0.
C'est pas secure tout seul, ca veut rien dire.
La question est qui est securise contre quoi.
A la question "le porteur de la carte est il securise contre la fraude?" la reponse est oui.
C'est pas trivial de recuperer le numero de carte.
Meme si le numero de carte est recupere, le porteur est protege par son assurance et se fera rembourser.
Le porteur ne peut pas perdre d'argent en cas de fraude, il se fera rembourser, le porteur est donc bien protege de la fraude.
Quand a savoir si la banque est securisee contre la fraude, effectivement, elle ne l'est pas, ou plutot assez mal, mais on s'en fout un peu non, c'est son boulot, elle gere ca comme elle veut?
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Ça tombe bien...
Posté par Zenitram (site web personnel) . Évalué à 5.
Comme par exemple (il tombe à pic lui) :
http://www.lepost.fr/article/2011/04/28/2478803_bordeaux-cadre-bancaire-il-piratait-les-comptes-de-ses-clients.html
Tanguy devrait donc éviter d'avoir une carte bancaire tout court, parce que ça va lui être dur de se protéger de ça ;-). J'ai toujours pas compris pourquoi un exemple ponctuel comme Sony doit faire conclure qu'il ne faut pas donner son numéro à Amazon par exemple, vu que le problème est partout, la conclusion devrait plutôt que soit on accepte le risque (sur toute la chaîne), soit on se passe complètement de carte si ce genre de faiblesse dérange (car cette faiblesse est partout : Internet, magasin, banque...)
[^] # Re: Ça tombe bien...
Posté par 2PetitsVerres . Évalué à 4.
Payer sur internet, c'est comme payer en dehors d'internet. Donc non, il n'y a pas de problème de chronologie. C'était utilisé pour payer par carte et par téléphone, par exemple.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Ça tombe bien...
Posté par Slauncha (site web personnel) . Évalué à -2.
Tu donnes souvent ton code à 4 chiffres pour payer sur internet ?
Tu donnes souvent ton PAN et trigramme à ton commerçant en dehors d'internet ?
Et la marmotte ?
[^] # Re: Ça tombe bien...
Posté par 2PetitsVerres . Évalué à 4.
Rappelle-toi le XXe siècle. Tu allais dans un pays d'Afrique, tu ne donnais pas ton code à 4 chiffres pour payer avec ta carte. Sinon, je te renvoie à mon commentaire précédent, qui te donne un autre exemple d'utilisation de payement par carte sans présenter la carte au commerçant, qui existait avant internet (c'est facile de le retrouver, dans les deux lignes de mon commentaire)
Ensuite, le trigramme ne sert à rien dans le cadre d'un payement utilisant le code et la puce. Soit il est là pour payer sans utiliser le code PIN, soit il est là pour décorer. C'est pas spécialement joli, je te laisse conclure.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Ça tombe bien...
Posté par case42 (site web personnel) . Évalué à 3.
Inutile d'invoquer le XXieme siècle et l'Afrique. J'ai passe 10 jours aux États-Unis. J'ai utilise ma carte bleu tout le temps, et je n'ai jamais eu a saisir mon code PIN. Le plus flippant c'est les restaurants: ils scannent ta carte, te présentent l'addition, tu écris en bas de l'addition le "tip" que tu veux laisser, tu signe, ils repartent avec l'addition et c'est fini. Ils pourraient débiter ce que tu as écris ou 10 fois plus que ça ne changerais rien. Et tout fonctionne comme ça (pire, en dessous d'un certain montant ($10?) ils ne demandent même pas de signature. Acheter un tiquer de metro, c'est passer sa carte dans le lecteur magnétique, point.
Je dis pas que c'est secure, ça l'est clairement pas, c'est juste que le système bancaire dans son ensemble est totalement insecure et que ce n'est pas la faute des usagers, et en donnant ton numéro sur internet tu es juste au même niveau de sécurité que des millions d'ammericains.
[^] # Re: Ça tombe bien...
Posté par Zenitram (site web personnel) . Évalué à 3.
Pareil pour payer les autoroutes en France.
Et de certains européens aussi. Il n'y a pas que la France en Europe (même si les français ont une nette tendance à penser que ce qui se passe chez eux est pareil ailleurs). Par exemple, j'ai dernièrement fait exactement la même chose au Danemark et Suède.
Il y a plein d'exemple pour montrer que non, Internet n'est pas moins sécurisé que la vraie vie, juste qu'on oublie le niveau bas de sécurité de la vraie vie.
[^] # Re: Ça tombe bien...
Posté par Juke (site web personnel) . Évalué à 3.
Est ce que la signature a dans ce cas la meme valeur que saisir le code ? ou est ce que tu peux t'opposer au paiement comme tu peux le faire sur internet ?
[^] # Re: Ça tombe bien...
Posté par case42 (site web personnel) . Évalué à 2.
Il me semble qu'effectivement signer c'est comme entrer son code PIN (et même historiquement c'est l'inverse, le code PIN a été propose comme alternative a la signature...), après tu peux surement argumenter que ce n'est pas ta signature, auquel je ne sais pas comment ca se passe.
[^] # Re: Ça tombe bien...
Posté par Zenitram (site web personnel) . Évalué à 3.
C'est fou comme les gens peuvent oublier (ou refuser de lire le message précédent en entier) quand ça les arrange... Avant Internet, il existait des choses! Ca n'arrêtait pas de filer son numéro de CB par téléphone à "La redoute" et j'en passe (tout ce qui était VPC = Vente Par Correspondance), oui un truc que les gens utilisaient avant Internet, et pas qu'un peu.
Avec Internet, les gens ont effectivement mis leur cerveau de côté : Internet est méchant, et rien n'existait avant comme lui pour les numéros, hop c'est balancé sans réellement regarder ce qui existait. Ben non. Internet n'a absolument rien changé au "problème" de numéro de CB et des gens qui passent leur numéro de CB, et le "vol" de numéros existait aussi (avec aussi de vols de bases entières), bien avant...
[^] # Re: Ça tombe bien...
Posté par lepoulpe . Évalué à 3.
Il me semble que tant que le code confidentiel n'a pas été utilisé, la banque est dans l'obligation de te rembourser. Par contre dès que le code est utilisé, c'est le client qui est responsable (après il y a p'tet des exceptions en cas de d’extorsion du code par menace... je ne sais pas).
[^] # Re: Ça tombe bien...
Posté par delio . Évalué à 2.
Si le code confidentiel n'a pas été utilisé, la banque est tenue de rembourser.
Si le code a été utilisé sous contrainte, il faut porter plainte contre l'agresseur, et si on a souscrit une assurance (la plupart du temps les banques en proposent), la banque rembourse.
[^] # Re: Ça tombe bien...
Posté par Zenitram (site web personnel) . Évalué à 6.
La banque n'a pas le choix, elle remboursera le "client", c'est fait pour protéger le bénéficiaire de la carte. Faut arrêter avec ce FUD : le risque est chez le commerçant, qui perd toujours l'argent (et a un risque de ne plus pouvoir utiliser, licence d'utilisation révoquée) quand le numéro est volé. Les numéros volés, c'est la hantise des commerçants. Celui qui a le plus à perdre est Sony, Visa et Mastercard pouvant refuser de continuer à travailler avec.
[^] # Re: Ça tombe bien...
Posté par Zenitram (site web personnel) . Évalué à 10.
Tiens, on va pouvoir parler de risque nucléaire dans ce journal! ;-)
# Et les banques, tu leur fais confiance ?
Posté par Xavier Teyssier (site web personnel) . Évalué à 10. Dernière modification le 27 avril 2011 à 19:18.
il y a pire que de confier ses coordonnées bancaire à un vendeur : confier son argent à une banque.
Si vous mettez votre argent dans une banque, vous avez tort. Allumez votre cerveau, ne stockez pas votre argent dans une banque.
On peut aussi réfléchir, et se dire que le risque de perdre de l'argent en donnant ses coordonnées bancaires à Amazon/autre marchand est suffisamment faible pour être négligeable par rapport au confort de ne pas avoir à saisir de coordonnées bancaires à chaque nouvelle opération.
Ceci dit, cela signifierait que l'on peut réfléchir et aboutir à une conclusion différente de celle de l'auteur de ce journal. Argh ! Le monde va s'effondrer !
# Certification ?
Posté par Croconux . Évalué à 5.
Pour tout ce qui touche aux données bancaires, il existe un standard : PCI DSS ( www.pcisecuritystandards.org ). Malheureusement, peu de boutiques grand public font l'effort de se faire certifier. Le grand public n'y connaît rien et ne s'est sans doute jamais posé la question. Mais du côté des entreprises, beaucoup exigent avant de signer avec un partenaire qu'il soit certifié. Ce qui est moche c'est que parmi les grand noms de l'e-commerce, je ne sais même pas s'il y a des boîtes certifiées, et si c'est le cas elle ne l'indiquent pas sur leur site.
Bon vous allez me dire que c'est bien beau mais qu'est-ce qu'il y a dans la certification ? Pour ce que j'en ai vu, c'est correct.
D'un point de vu technique, les informations sensibles ne doivent pas être stockées en clair (normal), et ne sont déchiffrées que lorsque nécessaire (transmission à un autre système lui aussi certifié, via une connexion sécurisée). Il y des contraintes au niveau process (qui a accès à quoi, notamment aux clés, backups, logs, ...). Parmi les informations considérées comme sensibles il y a les numéros de cartes, date d'expiration (je rappelle au passage qu'il est strictement interdit de stocker le code de vérification au dos de la carte, il doit être demandé à l'utilisateur lorsqu'il est nécessaire), informations nominatives, numéros de compte IBAN, ...
Il y a sûrement des choses à ajouter mais c'est déjà un bon début et il me semble que ce serait la moindre des choses que les marchants sérieux appliquent dejà ça. Quand je vois que certains font certifier iso9001 leur hotline et rien pour les données bancaires...
[^] # Re: Certification ?
Posté par BohwaZ (site web personnel, Mastodon) . Évalué à 4.
J'ai une question d'ailleurs : est-ce que l'IBAN est vraiment considéré comme une donnée sensible/dangereuse ?
J'ai tendance à penser que non, car cela ne suffit pas à débiter de l'argent sur un compte, que plein de structures le filent publiquement (assos pour les dons notamment), et que n'importe qui l'a quand on lui fait un chèque... Mais je peux me tromper.
Sinon concernant la sécurité bancaire, perle entendue au téléphone avec la banque postale : "y'a pas besoin d'envoyer l'autorisation de prélèvement, on autorise tout le temps, parce que les gens oublient d'envoyer, de ttes façons vous avez donné votre RIB donc ça veut dire que vous voulez être prélevé"... Ce à quoi on ne m'a plus rien répondu quand j'ai dis que j'avais pu donner mon RIB pour qu'on me fasse un virement, pas un prélèvement... En tout cas c'est flippant sur le niveau de sécurité des banques. A priori avoir un numéro national émetteur suffit à débiter sur n'importe quel compte ce qu'on veux... Rassurant.
« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)
[^] # Re: Certification ?
Posté par Zenitram (site web personnel) . Évalué à 2.
Sur ça, je dirais que c'est vrai : les gens (moi le premier) ont la flemme d'envoyer le papier. Et les entreprises autorisée à faire des prélèvements ne sont pas n'importe qui (il faut une autorisation je sais plus laquelle de la banque de France à qui il faut montrer pate blanche), et si l'entreprise se prend trop de plaintes, hop plus d'autorisations. C'est donc pas un risque pour les banques.
[^] # Re: Certification ?
Posté par pasScott pasForstall . Évalué à 3.
D'un autre cote... Tu fais un prelevement au pif sur un cmpte, ca va se voir. La banque emetrice va demander des comptes a ta banque. Ta banque sait qui tu es et a priori ou tu es. Si tu vires les sous ailleurs, on sait ou ca part, donc on te retrouve toujours.
Tu peux toujours sortir tout ca en cash et essayer de te barrer au perou avec ton super pecule de qq milliers d'euros, le jeu en vaut pas trop la chandelle vu les risques, donc qui va s'y risquer?
Cote payeur, la banque remboursera parce que c'est de sa faute.
Cote banque, si la fraude se generalise, ben il se mettront tout simplement a demander les autorisations. Ils ne le font pas parce que ca marche comme ca et ca coute moins cher. Tant que ca marche comme ca, que tout le monde y gagne, que la probabilite que ca parte en couille et les pertes en cas de fraude sont (tres) faible, pourquoi diable s'emmerder avec des procedures a la con qui font chier tout le monde et coutent du temps et de l'argent a tout le monde?
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Certification ?
Posté par Croconux . Évalué à 2.
Dans la norme, ça fait partie des informations sensibles et placé dans la même catégorie que les numéros de carte. Normalement c'est plutôt de même ordre que les données nominatives mais vu les pratiques de certaines banques, il vaut mieux être prudent. Il y a eu plusieurs cas de personnes qui ont pu ouvrir des dossiers de crédit à partir de documents d'un tiers (RIB+facture EDF ou équivalent) et ensuite c'est une galère incroyable pour contester.
# Le rapport avec internet ?
Posté par 2PetitsVerres . Évalué à 3.
Mon père a (avait, aura) des comptes chez certains commerçants "physiques", qui lui envoient une facture et prélèvent automatiquement le montant sur son compte tous les mois. Genre quand il faisait des travaux de rénovation, il ouvre un compte dans le magasin de bricolage à côté, il va chercher ce qu'il a besoin quand il en a besoin, et paye tout d'un coup, sans vraiment d'intervention. Et ça depuis que je suis gamin, bien avant qu'internet (et même les ordinateurs chez les particuliers) soit vraiment répandu.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
# Payer par virement
Posté par devnewton 🍺 (site web personnel) . Évalué à 3.
Je ne comprends pas pourquoi on ne peut pas payer par virement sur 99% des sites. Est-ce un complot des commerçants pour piquer nos numéros de carte bancaire?
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Payer par virement
Posté par Vlobulle . Évalué à 1.
Parce qu'un virement:
- c'est plus complexe à réaliser qu'un paiement (il faut se connecter sur un autre site, recopier un RIB et une valeur qui changent à chaque fois d'un site vers l'autre, alors que pour un paiement on reste sur le même site, et on ne recopie que du papier vers le site, et toujours le même identifiant);
- il n'y a pas de moyen d'identifier facilement et systématiquement la provenance d'un virement (les identifiants qui leurs sont associés dépendent de la banque d'envoi et de réception);
- ça prend du temps à être pris en compte (variable selon la banque, l'heure ou le jour de la semaine);
- un bon nombre de personnes ne savent pas trop ce que c'est (on peut tout à fait vivre sans jamais avoir à en faire un, et les banques ne mettent pas leur existence en avant, contrairement aux chèques, par exemple).
[^] # Re: Payer par virement
Posté par claudex . Évalué à 3.
Cette étape là pourrait être grandement simplifié, on pourrait très bien imaginé que lorsqu'on clique sur un lien on se retrouve avec le virement pré-rempli et il n'y aurait besoin que de s'identifié et de valider le virement sur le site de sa banque.
Ici les chèques n'existent pss et avoir fait un virement est presque obligatoire, pourtant la situation est la même.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Payer par virement
Posté par pasScott pasForstall . Évalué à 2.
Et comment tu fais pour payer a l'etranger, hors zone euro?
T'as deja essaye de faire un virement international?
Tout ca pour quoi? Eviter de donner son numero? Je sais que je me repete beaucoup dans ce fil, mais le concept fondamental de la carte de credit, c'est tres precisement "donnes ton numero au creancier".
Si vous avez un probleme avec le concept de donner votre numero a un magasin en ligne, c'est que vous avez un probleme fondamental avec la carte bleue.
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Payer par virement
Posté par claudex . Évalué à 1.
j'achète quasi exclusivement en Euros
je n'aime pas du tout le principe de faire confiance au commerçant pour valider une transaction, je préfère valider moi-même, c'est à ça que sert le code des cartes de crédit quand on l'utilise en magasin.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Payer par virement
Posté par pasScott pasForstall . Évalué à 1.
1) c'est cool pour toi mais perso 100% de mes achats ces 2 dernieres annees ont ete en dollars.
2) ben pourtant, c'est comme ca que ca marche dans la vaste majorite du monde, la france est plutot une exception qu'une regle a ce sujet. Et c'est comme ca que le systeme est concu en premier lieu. Je comprends que ca te derange, mais dans ce cas faut s'attaquer au principe meme de la carte de credit plutot que de s'insurger qu'amazon recoit ton numero de carte. Tu peux chercher une solution alternative, mais mon petit doigt me dit que le besoin de simplicite est plus fort que le besoin de securite absolue pour la beaute du geste, surtout quand les clients finaux ne sont pas directement impacte par ladite securite.
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Payer par virement
Posté par claudex . Évalué à 1.
Rien à voir avec le principe de la carte de crédit, c'est sa mise en place qui pose problème.
Ce n'est pas parce que le système est pourri qu'il ne faut pas se plaindre de ceux qui font le pire, même si c'est totalement permis.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Payer par virement
Posté par Zenitram (site web personnel) . Évalué à -1.
Combien de fois faudra-t-il le répéter : il n'est pas pourri.
Il ne répond pas à ton haut niveau de sécurité, mais 99% des gens s'en foutent : ça marche, c'est ce qui compte. Libre à toi de payer plus cher pour un meilleur service super sécurisé, mais laisse les autres faire "moins sécurisé / moins cher" plutôt que dire "bouh c'est pourri". Si il y a suffisamment de monde qui veut payer plus cher pour plus de sécurité, je ne doute pas que tu aura une offre. Par contre je doute que tu trouveras suffisamment de monde.
Les CB, c'est comme tout, il faut trouver un juste milieu entre emmerdes / prix / sécurité. Ton avis n'est pas le juste milieu pour la majorité des gens, il te reste donc à faire ton système et réussir à convaincre qu'il est économiquement viable.
[^] # Re: Payer par virement
Posté par claudex . Évalué à 2.
Merci de me laisser penser ce que je veux, que tu le trouve pas pourri, c'est ton problème pas le mien.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Payer par virement
Posté par devnewton 🍺 (site web personnel) . Évalué à 2.
un bon nombre de personnes ne savent pas trop ce que c'est
Je ne sais pas comment ça se passe dans les pays sans gouvernement ou qui stockent l'or des déportés, mais dans la France Eternelle je ne connais personne ignorant ce qu'est un virement.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Payer par virement
Posté par pasScott pasForstall . Évalué à 0.
Dans l'empire du nord ouest, un virement electronique vers un compte qui ne t'appartient pas coute qq chose comme $40 le virement, et il faut aller en agence pour le faire.
Sinon t'as l'option "virement du pauvre" ou tu tapes dans ton interface web "payes cette facture a cette personne", et ta banque se fera un plaisir... d'envoyer un cheque par la poste a la personne en question.
Sisi, j'vous jure.
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Payer par virement
Posté par Zenitram (site web personnel) . Évalué à 3.
C'est beau le pays "maître du monde"... J'ai toujours été surpris par le système bancaire américain, et toutes les difficultés (ou prix) pour faire un simple virement, et je reçois des chèques US car le virement est "trop compliqué" (et encaisser un chèque US en France, les banques se font un plaisir de facturer un max...). En Europe, maintenant, un coup de SWIFT/BIC et IBAN, et c'est réglé. Il y a quand même pas mal de choses bien faites en Europe...
[^] # Re: Payer par virement
Posté par pasScott pasForstall . Évalué à 0.
Les us, terre de contraste!
Faire un virement, c'est le bout du monde, en revanche tu peux appeler ta banque un dimanche a 4h00 du mat' et avoir un conseiller au bout. Tu fais opposition sur ta carte et on t'en file une temporaire on the spot.
Ca m'arrive relativement souvent de faire des cartes a moins de $1 et au resto, a 4, chacun peut payer avec 3 cartes. Tu penses a faire la meme chose en france, on t'explique que les cartes c'est 30 euros mini et le serveur sort son fusil a peine tu dit que tu vas diviser l'addition. Ne mentionnons meme pas le cashback...
mon avis c'est que les banques sont bien contentes des cartes parce que les ricains peuvent pas s'empecher de depenser de l'argent qu'ils ont pas et payer 20% d'interet la moitie de l'annee, mais que quand il s'agit de depenser de l'argent qu'on a, c'est une autre histoire.
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Payer par virement
Posté par windu.2b . Évalué à 2.
Je sais pas dans quel(s) resto(s) tu vas, mais un conseil : change ! J'ai jamais vu un serveur me dire que le minimum est de 30€ (en général, quand il y a un min, c'est plutôt de l'ordre de 10€, quelquefois 15€, mais jamais vu plus). Quant au fait de diviser l'addition, j'en ai jamais vu un râler non plus ! J'en connais même qui, lorsqu'ils amènent l'addition, ont préalablement calculé le montant par personne, tout simplement parce qu'ils ont l'habitude de voir des tables où on divise en X parts égales, sans chercher à savoir qui a pris telle salade ou si Untel a bu 2 ou 3 verres de vin...
Si je voulais troller, je dirais que c'est sans doute parce que je n'habite pas Paris, ce qui fait que les serveurs que je côtoie ne font pas la gueule dès qu'il voit un client...
[^] # Re: Payer par virement
Posté par Zenitram (site web personnel) . Évalué à 2.
Vraiment?
Ah ça doit être pour ça :).
Expérience vécue à Paris : on voulait payer individuellement par Carte, plus de 10€ par personne (ça OK, c'était écrit). Refus "un paye et vous voyez ensuite entre vous". Il a fallu qu'on dise que si ils refusaient notre paiement individuel, qu'ils étaient libres d'appeler la police pour qu'on s'explique mais que sinon on partait vu qu'ils voulaient pas qu'on paye. Ah l’accueil parisien... (et français en général, tu es quand même bien chanceux d'avoir les division de facture même hors Paris, je connais ça, mais pas en France)
[^] # Re: Payer par virement
Posté par pasScott pasForstall . Évalué à -1.
Clairement, l'addition coupee en x par le serveur, jamais vu avant d'arriver aux us.
Peut etre etait ce le midi, dans une zone ou les clients sont des gens qui bossent a cote, ce qui pourrait expliquer?
Ou peut etre que kes choses changent, tout simplement.
100 balles qu'il fait aussi la gueule quand il ne voit pas de client.
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Payer par virement
Posté par Zenitram (site web personnel) . Évalué à 3.
Pas besoin d'aller aussi loin tu sais ;-).
En Allemagne, partout la question est "ensemble ou séparé?", et si "séparé", hop une facture par personne (à la main, ou sur la caisse qui a tout ce qu'il faut pour). Tout en ayant les bons côté de l'Europe, pas pour rien qu'il y a une tonne de français qui viennent de plus en plus squatter le coin ;-)
[^] # Re: Payer par virement
Posté par claudex . Évalué à 3.
Vu qu'ici les chèques n'existent plus (en pratique), c'est très utilisé. Surtout qu'il ne me semble pas qu'il existe de prélévement automatique obligatoire comme certaines entreprise le font en France (il me semble).
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Payer par virement
Posté par Zenitram (site web personnel) . Évalué à 1.
Pour les "gros" sites, je le vois souvent. Pour le petits, ben c'est surtout que c'est très très chiant : il faut recoller entre le nom du virement et la commande. Il y a plein de commandes qui resteront sans virement (les gens ne font pas le virement pour chaque commande), il faut donc une personne qui regarde ça tous les jours, mettre en place le processus etc... c'est pas très rentable pour le peu de personne qui l'utilise, si on n'a pas un volume conséquent au minimum pour que le coût de gestion des virements compense celui de la CB (vu que Visa/Mastercard te ponctionnent dans les 3%, on peut penser que oui, c'est facile d'attendre le point de rentabilité, mais non en réalité)
Faut aussi arrêter de fantasmer : 99% des gens s’accommodent (et préfèrent même, pour les x protections qu'il apporte justement par rapport à un virement qui est lui définitif, et surtout... Pour la rapidité, immédiate!) de la CB. La "perte" (qui n'en est pas une, cf au dessus) pour les commerçants qui n'acceptent que la CB est très faible.
[^] # Re: Payer par virement
Posté par devnewton 🍺 (site web personnel) . Évalué à 0.
99% des gens regardent TF1 et vont sur Facebook. Popularité n'est pas synonyme de qualité et de sécurité.
Donner un accès direct à son compte (via le numéro de CB ou via un prélèvement automatique) est idiot. Pourquoi les banques et les commerçants nous obligent-ils si souvent à le faire?
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Payer par virement
Posté par Zenitram (site web personnel) . Évalué à 1.
Non, ce n'est pas idiot. Tu n'aimes pas ça, OK. Mais ce n'est pas idiot, c'est même très pratique.
Certes. Mais faudrait se poser des questions sur sa façon de voir les choses avant de trouver ça idiot... "C'est idiot, faites comme je dis même si je propose un truc immonde", ça ne risque pas de faire changer les gens d'avis. As-tu lu les commentaires? Ceux des gens qui expliquent pourquoi il le font et qu'ils continueront de le faire malgré les "lanceurs d'alertes" chiants?
[^] # Re: Payer par virement
Posté par devnewton 🍺 (site web personnel) . Évalué à 3.
Non, ce n'est pas idiot. Tu n'aimes pas ça, OK. Mais ce n'est pas idiot, c'est même très pratique
Quand tu payes en liquide, que fais-tu?
1) tu prends l'argent de ton portefeuille et tu donnes la somme au caissier.
2) tu tends ton portefeuille ouvert et tu dis au caissier "prenez ce qu'il vous faut".
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Payer par virement
Posté par pasScott pasForstall . Évalué à 1.
Tu lui donnes souvent un billet de 20 euros pour une somme de 1.42 euros et tu lui fais confiance pour te rendre la monnaie.
Et si le mec veut pas te rendre ta monnaie et ferme sa caisse, tu fais quoi?
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Payer par virement
Posté par claudex . Évalué à 1.
J'ai plutôt tendance à lui donner 5 € quand il faut payer 1,42 €, c'est plus simple pour lui et pour moi.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Payer par virement
Posté par pasScott pasForstall . Évalué à -1.
1) ca change pas le probleme, tu fais wuoi si le mec veut pas te rendre ta monnaie?
2) t'es en train de m'expliquer ca t'es jamais arrive d'avoir qu'un billet de 10 ou de 20 pour un truc a 1 ou 2 euros?
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Payer par virement
Posté par pasScott pasForstall . Évalué à 1.
'tin mais les gars, redescendez sur terre et regardez un peu en arriere.
C'est le fonctionnement de base des cartes de credit/debit, ca a ete concu pour marcher comme ca. Point.
Internet n'existait pas a l'epoque, mais le concept est strictement identique.
La france est un peu a part parce qu'on a des cartes a puces depuis toujours ou presque et tout le monde s'en sert, voyagez un peu et regardez comment ca marche ailleurs.
Aux us, tu commandes une pizza, tu donnes ton numero au telephone, le livreur arrive, il note ton numero, tu signes et il repart.
Ou plutot, il met ta carte sous le recu, il frotte fort et le numero de la carte s'imprime sur le recu marchand. C'est meme pour ca que le numero/date/nom du porteur sont en surimpression, pour pouvoir les copier rapidement, facilement et de facon fiable par "frottement" contre du papier...
Combien de vous se rappellent de la machine a chlac chlac des annees 80? C'est encore utilise par pas mal de boutiques de par le monde et c'est le design du bouzin. Cest concu pour marcher comme ca, tu donnes ton numero au marchand, et le marchand s'en sert pour se servir. Il est cense se debarasser du numero apres, mais rien ne l'empechera de le faire, a part le bon sens.
Partant de la, c'est assez comique de voir des tanguy t'expliquer que c'est gravissime qu'on puisse copier ton numero de carte, non?
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.