Journal Mobilité, banques et authentification

Posté par .
6
8
sept.
2011

J'avais déjà parlé de la nouvelle méthode discutable d'authentification d'une certaine banque, qui passait d'une authentification par secret partagé à une authentification par téléphone, et qui ouvrait une faille lorsque celui ci n'était pas renseigné (corrigée depuis).

Or, les choses ont encore changé et il faut maintenant associer l'ordinateur de connexion (cookie?) et le confirmer par code de confirmation.

Scénario (vécu):
Vous êtes à l'étranger, dans l'incapacité de recevoir un code de confirmation.
Vous souhaitez suivre vos dépenses ainsi que les marchés mouvementés et découvrez que votre banque à changé sa méthode sans prévenir et ne vous accorde donc plus l'accès via votre ordinateur non associé...
Vous décidez de réserver un hôtel en ligne, mais malheureusement, votre banque utilise le système "3D secure" qui maintenant est aussi passé au code de confirmation par téléphone...

La banque, elle, vous répond qu'elle ne voit le problème.

La même banque fournit gratuitement une carte VISA premier (spécial voyages, etc...) , mais n'hésite pas à vous la bloquer définitivement dès qu'elle -suspecte- une fraude. Le tout en mentionnant la protection du consommateur (en fait, l'inverse, car la banque doit rembourser toutes les fraudes) et que vous en avez été avertit (oui, vous recevez un mail après le blocage...)

J'ai toujours pensé qu'une banque en ligne simplifiait les choses pour la mobilité. Bientôt, faudra il repasser aux ordres papier par recommandé et certifications conforme ?
Certains d'entre vous ont-ils une banque en ligne sérieuse avec un réel soucis du consommateur non ce genre de pratiques cavalières ?

  • # Déplacements à l'international

    Posté par . Évalué à 5.

    Je me suis déja fait avoir plusieurs fois par le passé, j'appelle maintenant systématiquement ma banque, via un numéro spécifique, pour les informer au préalable de mes déplacements hors du territoire français, faute de quoi la carte se retrouve bloquée à la première transaction. Sur le plan du respect de la vie privée c'est pas terrible... :-/

    Vu l'augmentation du nombre de fraudes à la CB je n'ai aucun doutes sur la généralisation de ce genre de pratiques.

  • # Question.

    Posté par . Évalué à 4.

    la banque doit rembourser toutes les fraudes

    Si toi, heureux utilisateur final, adulte et responsable, qui a apposé la mention "Lu et approuvé" en bas du contrat que tu as signé avec ta banque, et que tu cliques sur le lien http://sitevérolé.ru/templates/tests/_php/mabanqueenligne.php en bas d'un mail envoyé depuis une adresse IP chinoise pour y renseigner tes coordonnées bancaires, est-ce une "fraude"?

    À priori non: vu que la banque te donne, dans le contrat que tu déclares avoir lu, l'information selon laquelle un tel mail n'est en aucun cas légitime, ce n'est pas une fraude. La banque n'a aucune raison de rembourser, c'est à toi de porter plainte pour abus de confiance (par exemple) contre le responsable de l'adresse IP chinoise et de te démerder avec lui pour qu'il te rembourse.

    En tout cas, c'est comme ça que ça devrait marcher.

    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: Question.

      Posté par . Évalué à 2.

      En tout cas, c'est comme ça que ça devrait marcher.

      Heureusement que c'est pas le cas ! Quand ton numéro carte passera à l'étranger parce que son n° a été généré....

      Le seul cas qui engage l'utilisateur, c'est le code confidentiel, la dépossession de la carte, ou la vérification 3D. Et ça c'est normal, la carte bleue n'ayant aucune sécurité en dehors.

  • # soit tu as les moyens, soit tu ne les a pas ?

    Posté par . Évalué à -1.

    Scénario (vécu):
    Vous êtes à l'étranger, dans l'incapacité de recevoir un code de confirmation.

    Vous décidez de réserver un hôtel en ligne, mais malheureusement, votre banque utilise le système "3D secure" qui maintenant est aussi passé au code de confirmation par téléphone...

    parce que tu pars sans ton telephone portable quand tu vas à l'etranger ?

    Vous souhaitez suivre vos dépenses ainsi que les marchés mouvementés et découvrez que votre banque à changé sa méthode sans prévenir et ne vous accorde donc plus l'accès via votre ordinateur non associé...

    tu te connectes dans un cybercafé pour suivre les marchés et verifier tes comptes ?
    perso j'utiliserais un netbook en wifi à l'hotel
    ce netbook est identifié aupres de la banque, et je m'en sers depuis la maison, depuis l'hotel...

    • [^] # Re: soit tu as les moyens, soit tu ne les a pas ?

      Posté par . Évalué à 2.

      On peut aussi sauvegarder le cookie sur une clef USB et emporter un LiveCD.

      Et rebondir par un serveur en France au cas où on accède à un service qui vérifie la "cohérence" des IP y accédant (j'ai lu quelque part que Facebook faisait un truc comme ça, les gens qui se connectent depuis un FAI inhabituel doivent prouver leur identité).

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: soit tu as les moyens, soit tu ne les a pas ?

        Posté par . Évalué à 3.

        On peut aussi sauvegarder le cookie sur une clef USB et emporter un LiveCD.

        Sauf que le cookie n'est pas nécessaire / n'existe pas avant que tu partes

      • [^] # Re: soit tu as les moyens, soit tu ne les a pas ?

        Posté par . Évalué à 2.

        Oui, facebook fait cela. Je l'ai expérimenté en me déplaçant en Pologne. J'ai dû reconnaître plusieurs de mes contacts à partir de leur photo de profil.
        C'était un peu pénible, mais pas trop. Beaucoup moins qu'un sms à recevoir en tout cas.

        Alek.

    • [^] # Re: soit tu as les moyens, soit tu ne les a pas ?

      Posté par . Évalué à 6.

      parce que tu pars sans ton telephone portable quand tu vas à l'etranger ?

      Oui, tu n'as pas forcément de roaming parce que c'est pas proposé, que c'est trop cher ou que tu n'as plus de crédit (compte prépayé).

      J'ai connu toutes ces situations ; j'ai même été bloqué à Dakar une fois car je pensais naïvement pouvoir utiliser ma CB mais la carte avait été marquée en “fraude” au premier retrait. Boum: plus d'argent pour payer l'avion ni l’hôtel. Bon, quand on est jeune ça fait des anecdotes à raconter mais c'est bien la preuve qu'il y a un problème avec le système actuel.

      Je comprends les raisons, j'ai travaillé dans une banque et il existait un service entier dédié à ça: appeler les propriétaires des cartes marquées en fraude par la machine pour vérifier si l'opération est légitime ou non. Évidemment, si tu as pas ton portable, c'est mort.

      La seule solution actuellement, c'est de prévenir la banque à l'avance, mais c'est chiant et question vie privée, c'est pas top.

    • [^] # Re: soit tu as les moyens, soit tu ne les a pas ?

      Posté par . Évalué à 10.

      parce que tu pars sans ton telephone portable quand tu vas à l'etranger ?

      T'as la même vue Franco-Francaise que eux alors.

      • Parce que les téléphones sont pas forcément compatibles avec les normes du pays
      • Parce que les SMS ne sont pas forcément compatibles avec l'opérateur du pays

      • et dans mon cas particulier (en plus des 2 mentionnés précédemment) Parce que le no de confirmation est local car en France j'habite en montagne, non couvert

      tu te connectes dans un cybercafé pour suivre les marchés et verifier tes comptes ?
      perso j'utiliserais un netbook en wifi à l'hotel

      C'est que t'as pas suivi.
      Tu te connectes avec ton portable sans problème et sans auth AVANT de partir.
      Tu arrives, tu essaies de te connecter et là la procédure a changé entretemps, sans préavis.

  • # Crédit coopératif

    Posté par . Évalué à 4.

    Salut, comme on en a parlé et (bon je ne sais pas donner un lien vers un thread du coup je pointe le journal), au crédit coopératif ils ont un système sésam qui permet de s'authentifier avec 3D secure sans téléphone et sans ordinateur particulier.

    • [^] # Re: Crédit coopératif

      Posté par (page perso) . Évalué à 6.

      C'est un système d'authentification type OTP (One Time Password), souvent utilisé en parallèle d'un code secret (two factor), c'est très courant en belgique (en fait je ne connaît pas de banque belge qui n'utilise pas ce genre de boîtier), tu insère ta CB dedans, tu tape le code secret, et ça te donne un code à usage unique pour te loguer sur la banque. Ça sert aussi à signer numériquement des opérations (genre virement).

      Avant ça n'utilisait pas de CB, c'était un boîtier indépendant avec un code secret différent de celui de la CB, je trouve que c'était mieux, mais peut-être un poil compliqué pour les gens, d'où le changement à mon avis.

      Cela reste dans tous les cas bien plus simple, plus sécurisé et moins cher que tous les systèmes par SMS ou par téléphone, qui par définition ne fonctionnent pas ou très mal à l'étranger. Quand au blocage de carte à l'étranger, c'est une ineptie à mon sens si ce n'est pas un choix du client, une CB est faite pour être utilisée à l'international. Et qui plus est avec une banque en ligne, si on a choisi ça c'est pas pour appeler un numéro à chaque fois qu'on met un pied en dehors de son pays...

      « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

      • [^] # Re: Crédit coopératif

        Posté par . Évalué à 2.

        Il y a un autre avantage, c'est que le boitier est neutre. Comme il faut la carte et le code, même si on te le vole il ne sert à rien. De même, en cas de perte la banque t'envoie un nouveau boitier et tu peux utiliser un boitier unique pour une asso ou un couple.

        Tu as aussi la possibilité d'éditer plusieurs codes en avance ce qui permet à quelqu'un de confiance de faire un achat ou un virement avec ta carte. Pour une question de sécurité, dès qu'un code est utilisé, il annule tous les codes précédents. Ex: tu as donnés trois codes à quelqu'un, si tu fais un achat avec un quatrième code, les trois précédents sont automatiquement annulés.

        • [^] # Re: Crédit coopératif

          Posté par (page perso) . Évalué à 3.

          Oui tout à fait c'est le principe du One Time Password, et c'est vraiment adapté aux trucs sensibles type banque, je comprends vraiment pas pourquoi c'est pas un système standard et obligatoire pour les banques plutôt que ces (mauvaises) blagues de clavier virtuel (fait chier tout le monde et ne protège personne) ou d'identification par SMS (bonnes chances de se faire piquer son téléphone avec son portefeuille en voyage, problèmes multiples et prises de tête à l'étranger ou même en france, sécurité toute relative des communications GSM, quand on voit que n'importe qui peut forger l'expéditeur d'un message...).

          Bref, les banques françaises ont encore du boulot pour être un minimum sécurisées et pratiques à utiliser.

          « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

  • # pas sérieuse ?

    Posté par (page perso) . Évalué à 10.

    Certains d'entre vous ont-ils une banque en ligne sérieuse avec un réel soucis du consommateur non ce genre de pratiques cavalières ?

    Euh tu pourrais commencer par nous citer le nom de ta banque pas sérieuse ? pour qu'on ne te la donnes pas ?

    Et puis je suis curieux.

    • [^] # Re: pas sérieuse ?

      Posté par (page perso) . Évalué à 4.

      boursorama. je viens de voir sur ton journal précédent.
      tu aimes pas te répéter.

      • [^] # Re: pas sérieuse ?

        Posté par . Évalué à 2.

        et comme boursorama = la société general (si je ne me trompes pas)
        on evitera aussi de te proposer la SG comme banque de rechange :p

        apres c'est comme le reste, à tout vouloir gratuit, y a forcement des services moins bien.

        • [^] # Re: pas sérieuse ?

          Posté par . Évalué à 3.

          apres c'est comme le reste, à tout vouloir gratuit, y a forcement des services moins bien.

          sauf que la "sécurité" en carton et chiante ça coûte de l'argent, justement. Sécurisé et onéreux ne vont pas forcément ensemble.

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.