Fidèle lecteur des trucs qui énervent sebsauvage, j'était tombé sur un billet QuiFaitPeur parlant du nouveau systèmes de payement en ligne par carte banquaire.
En gros, pour payer par internet on ajoute une information connue de vous seul pour vous faire porter le chapeau en cas de fraude (bon ok mon résumé est un peu orienté ;) ).
Cette technique est sécurisée à condition de disposer de «calculettes» permettant de générer une vraie clef unique. Mais comme les banques s'en foutent et trouvent ça cher, l'information à donner est la date de naissance, qui est bien sûr connue du seul porteur de la carte !
Ayant lu ça il y a quelque mois, depuis je fais très attention aux informations qui me sont demandées quand je paye en ligne (parce qu'en tant que geek, je suis un très gros acheteur en ligne).
Jusqu'à aujourd'hui aucun capitaliste magasin en ligne ne m'avait demandé ce genre d'info. Jusqu'à ce que je ... m'inscrive à l'APRIL !
Bien sûr, je ne pense pas que la faute incombe à l'APRIL mais plutôt aux banques. Mais bon, ça fait quand même drôle d'effet.
Après avoir abandonné l'idée de réserver mes billets de train par internet pour cause de site SNCF désastreux, je vais devoir abandonner le payement par internet et en revenir aux boutiques de proximité (j'espère que l'APRIL à une permanence à Mulhouse ;-) ). Peut-être qu'Umberto Eco à raison finalement, la société recule ...
Journal 3DSecure à l'APRIL !
2
déc.
2008
# HS
Posté par grid . Évalué à 4.
Pourtant, ca ne me paraît pas déconnant. surtout lorsqu'on fait du suspend to disk.
et vous ? vous dimensionnez comment votre swap?
PS: pour les banques, ça fait longtemps qu'on sait qu'elles nous prennent pour des pigeons.
[^] # Re: HS
Posté par patrick_g (site web personnel) . Évalué à 7.
Fastoche ! Je laisse faire l'installeur Ubuntu et comme ça je me retrouve avec une belle partition de swap de 6 Go.....
J'ai signalé l'incongruité de cette taille de swap en août 2007 sur launchpad (c'était sous Gutsy) mais depuis mon rapport de bug est en "low" et rien n'a changé (en dépit des confirmations rapportées par d'autres utilisateurs).
https://bugs.launchpad.net/ubuntu/+source/partman-auto/+bug/(...)
[^] # Re: HS
Posté par Clément David (site web personnel) . Évalué à 1.
Si si avec mon installation toute fraiche de XXuntu.
Je préfère retourner sous vista qui lui à l'installation ne prend que 10 Go comme ça je peux télécharger plus pour gagner plus...
[^] # Pas de swap
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
Sans compter que swapper, c'est vraiment ultra-lent. Je préfère voir un processus gorêt se faire tuer que voir tout ralentir.
[^] # Re: Pas de swap
Posté par libre Cuauhtémoc . Évalué à 6.
cf plus haut et le "suspend to disk".
Et le swap n'est pas de la mémoire, enfin bon...
[^] # Re: HS
Posté par TheBreton . Évalué à 0.
trop de swap ralentit le swap (trajet de la tete de lecture) pas assez de swap et tu ne peut pas charger de gros fichier.
[^] # Re: HS
Posté par libre Cuauhtémoc . Évalué à -1.
Si c'est pour un usage bureautique (comme la plupart ici), tu n'en a pas vraiment besoin
Si tu heberges une grosse base oracle, alors là ....
[^] # Re: HS
Posté par Elfir3 . Évalué à 2.
Tiens, pourquoi d'ailleurs en swap le suspend, et plus en fichier à la racine comme je me souviens avoir testé il y a un bail ?
[^] # Re: HS
Posté par Bozo_le_clown . Évalué à 2.
Ce système est donc pertinent et sécirisé dans la plupart des cas et dans celui de la SNCF il faudrait qu'ils génèrent en retour un no de dossier de référence pour retirer le billet mais là c'est sans doute trop demander.
[^] # Re: HS
Posté par Bozo_le_clown . Évalué à 2.
[^] # Re: HS
Posté par Sylvain Sauvage . Évalué à 2.
Blop ? tu mets les fichiers lus en swap ? drôlement efficace…
Merde, ca fait trois fois que je le coupe il est toujours trop court!
-(un stagiaire hardware qui devait connaitre le grand pere de Sylvain Sauvage ;-) )-
Il aurait mieux fait de retenir mes explications de mmap qu’un de mes aphorismes… ;oP
# mouais
Posté par Éric (site web personnel) . Évalué à 10.
A - on demande le numéro de CB ?
B- oh, on finit par pouvoir en trouver un à force d'essayer, ou à le voir en clair dans une DB
A- pas grave, on demande en plus la date d'expiration
B- la date d'expiration transpire dans les db ou chez les commerçants !
A- on peut demander aussi le nom du détenteur de la carte
B- maintenant on trouve des db mal protégées qui contiennent aussi le nom du détenteur, et on a toujours les mêmes fraudes des commerçants qui voient les cartes
A- Grrr, ajoutons un numéro derrière la carte et appelons ça un code se sécurité, il faudra le donner aussi
B- bordel, vous ne changez rien, maintenant les db mal protégées contiennent ce code, et les commerçants peuvent toujours recopier ça aussi
A- Vous m'agacez, demandez donc la date de naissance, ce n'est pas sur la carte
Demain :
B- Vous savez, la date de naissance on la demande dans n'importe quel petit formulaire, et bon, on a toujours des commerçants en ligne pourris qui protègent mal leurs données, ou des commerçants physiques qui récupèrent la date de naissance via un bête formulaire papier avec un prétexte bidon, voire la récupèrent via facebook.
Alors quand ils auront compris que la seule solution c'est un procédé unique et/ou physique, on aura 42 numéros uniques sur la carte, qu'il faudra tous recopier à chaque fois.
Et peut être qu'à ce moment là les clefs de paiement unique (genre numéro de CB virtuel, qui ne fonctionne pas chez 9 commerçants sur 10) et autres token RSA seront un peu plus utilisés.
N'oubliez pas non plus que tout ça ne sécurise que la banque, vous vous restez remboursés à la moindre contestation, sans frais ni procédures. Si un jour on sécurise, ça sera pour votre pomme, donc ne soyez pas pressés.
# Question
Posté par JereMe . Évalué à 3.
Tu affirmes cela comme ça ou pas ? Tu peux etayer ? Merci.
[^] # Re: Question
Posté par qstone . Évalué à 4.
Un ordre de paiement est non réfutable s'il est accompagné de la signature du client (sauf à prouver que c'est un faux). La carte bancaire utilisée avec la puce+le code est une signature électronique aux yeux de la loi (ne me demandez pas les textes, j'ai oublié). On prouve l'identité avec 2 éléments : ce que j'ai (la carte) et ce que je sais (le code).
Et la date de naissance ? Ce n'est qu'une information, qui jusqu'à preuve du contraire ne vaut pas signature (!). Pour moi ça tient pas 5min devant un juge ce truc.
Quant aux boitiers, ok ils donnent une très bonne sécurité, meilleure que ce qu'on utilise aujourd'hui, mais je ne suis pas certain que la loi confère à cette technique le statut de signature.
Pour se faire peur un coup, voici un extrait de la page d'information du Crédit Mutuel sur le sujet :
Ensuite, lorsque vous souhaiterez effectuer un paiement sur un site marchand équipé de cette solution, vous saisirez comme à votre habitude les informations contenues sur votre carte bancaire. Une fenêtre s'ouvrira alors sur le site du Crédit Mutuel, dans laquelle vous entrerez votre identifiant pour accéder à vos comptes, puis une clé personnelle (vous munir de votre carte).
Le phishing a de (très) beaux jours devant lui, on dirait.
[^] # Re: Question
Posté par Aefron . Évalué à 2.
Sauf que sur les sites en ligne, ni puce, ni PIN ne sont utilisés... donc de toute façon... il faut juste savoir (le numéro de la carte, le code à 3 chiffres, et la date de naissance du titulaire du compte [tiens, comment ça se passe avec les comptes joints ?]... ça reste uniquement des choses à savoir).
Par contre, si ce que retient la loi est le côté "authentification forte" (posséder + savoir, ou toute autre combinaison de deux facteurs distincts), il me semble que les calculettes à PIN la permettent, de ce que j'en comprends, non ?
# Mouais...
Posté par Prae . Évalué à 7.
Ca crédibilise tout de suite ton argumentaire...
# Sinon...
Posté par BohwaZ (site web personnel, Mastodon) . Évalué à 3.
Bref c'est assez cool et ça me semble à première vue une solution relativement secure (le pass généré par le digipass est à usage unique, donc OSEF du keylogging). Alors pourquoi on a pas ça en france hein ? Plutôt que de développer des trucs encore plus foireux...
« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)
[^] # Re: Sinon...
Posté par vladislav askiparek . Évalué à 2.
Au Luxembourg, plusieurs banques viennent de lancer un nouveau système sécurisé pour accéder aux comptes bancaires.
On peut utiliser (acheter):
- soit une carte à puce valable 3 ans renouvelable,
- soit un stick usb valable 5 cinq ans (qui semble avoir une valeur juridique en cas d'usurpation d'identité),
- soit un petit générateur de code avec stockage de la clé sécurisée sur le serveur du fournisseur,
- ou soit continuer avec le système précédent, c-à-d un code de client + un mot de passe + une chaîne de caractères à compléter avec un carte reçue lors de l'inscription.
Le fournisseur "garanti" le fonctionnement sous les os les plus courants: https://www.luxtrust.lu/cmsContent/File/LuxTrust_Product-Bri(...) mais comme dit plus haut, c'est à nous de racker pour les banques qui ont perdu tellement d'argent. Paske, nous, la crise ne nous touche pas.
[^] # Re: Sinon...
Posté par syj . Évalué à 2.
Toutefois, çà devrait être au législatif européens de dire voila le standard maintenant tout le monde s'y contraint.
Mais bon quand on voit en France le lobbying monopolistique et historique des cartes puces. On se dit que ce n'est pas gagné et qu'on a encore quelques années d'immobilisme devant nous.
Car ,il y a de fort intérêt nationaux:
- Marché Lecteur de carte à puce
- La production de carte à puce.
- Des marchés nationaux garantit par l'état comme la carte vitale.
- ...
On est dans le même cas qu'il y a quelques années France Telecom et son Numeris qui a freiné des 4 fers pour lancer l'ADSL.
[^] # Re: Sinon...
Posté par vladislav askiparek . Évalué à 2.
[^] # Re: Sinon...
Posté par khivapia . Évalué à 2.
Et la sécurité est étudiée, si on utilise l'appli du GIE on ne peut pas faire certaines opérations (par exemple ajouter une affection longue durée) sans une carte maîtresse. Maintenant, si on n'utilise pas l'appli officielle... ben rien ne nous en empêche !
[^] # Re: Sinon...
Posté par BohwaZ (site web personnel, Mastodon) . Évalué à 2.
- tu va sur le site de la banque ou tu rentre ton numéro d'accès et ton numéro de digipass (inscrit sur l'appareil)
- tu prends ton digipass (la "calculette"), tu appuie sur le bouton identification (il y aussi un bouton pour signer des données, pour les virements notamment), tu rentre ton code PIN (que toi seul connaît normalement)
- le digipass te donne un code à 6 chiffres, à usage unique
- tu recopie le code sur le site de la banque et voilà
Pour faire un virement ou un paiement par CB c'est un peu différent, le site de la banque te donne un numéro à 12 ou 18 chiffres que tu rentre dans ton digipass (après avoir appuyé sur le bouton "Signature") avec ton code PIN (tu peux rien faire sur le digipass sans ton PIN), le digipass te renvoie un nombre à 10 chiffres que tu remet sur le site de la banque.
Donc c'est totalement indépendant de l'OS ou de la machine que t'utilise.
« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)
[^] # Re: Sinon...
Posté par vladislav askiparek . Évalué à 2.
# Euh mauvaise banque, changer de banque
Posté par icyfemur . Évalué à 2.
Bon, je dis pas que c'est plus agréable à utiliser, j'aurai tendance à dire au contraire que c'est plus casse pied qu'autre chose. Mais tout ça pour dire que c'est à la banque de choisir les moyens.
[^] # Re: Euh mauvaise banque, changer de banque
Posté par ZeroHeure (site web personnel) . Évalué à 4.
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
[^] # Re: Euh mauvaise banque, changer de banque
Posté par pipotron . Évalué à 1.
Cette mesure à l'avantage de faire taire les fraudes par piratages de serveur, ou la fraude faite par certains caissier qui arrive à mémoriser le numéro de CB juste en la regardant, c'est d'ailleurs pour cela que dans beaucoup de magasin on insère la CB nous même dans l'appareil.
Par contre quelqu'un sait si une fois qu'on utlisé tous les numéros de la grille si la banque nous en refournit une autre automatiquement ou pas ?
[^] # Re: Euh mauvaise banque, changer de banque
Posté par ashram4 . Évalué à 1.
Pareil au CIC mais ce n'est pas étonnant c'est le même groupe. Depuis ce mois ci c'est soit disant obligatoire pour tout achat sur internet. Je ne n'ai pas fait d'achat en ligne depuis la mise en place, j'imagine qu'on quitte le site du commerçant pour se retrouver sur le site de la banque pour saisir cette information.
Sinon cette carte est depuis très longtemps obligatoire pour les virements.
[^] # Re: Euh mauvaise banque, changer de banque
Posté par Bozo_le_clown . Évalué à 3.
C'est AMHA le plus sécurisé, l'inconvénient .... il est payant, évidemment.
[^] # Re: Euh mauvaise banque, changer de banque
Posté par Éric (site web personnel) . Évalué à 3.
C'est d'ailleurs bien dommage car ça c'est une réelle solution (pas parfaite mais assez bonne par rapport au reste)
[^] # Re: Euh mauvaise banque, changer de banque
Posté par Bozo_le_clown . Évalué à 2.
Je pense que pour eux ca ne change rien, ils ont l'impression d'avoir affaire à un CB normale non ?
[^] # Re: Euh mauvaise banque, changer de banque
Posté par Éric (site web personnel) . Évalué à 2.
[^] # Re: Euh mauvaise banque, changer de banque
Posté par galactikboulay . Évalué à 10.
[^] # Re: Euh mauvaise banque, changer de banque
Posté par khivapia . Évalué à 4.
[^] # Re: Euh mauvaise banque, changer de banque
Posté par Bozo_le_clown . Évalué à 2.
Ce système est donc pertinent et sécurisé dans la plupart des cas et dans celui de la SNCF il faudrait qu'ils génèrent en retour un no de dossier de référence pour retirer le billet mais là c'est sans doute trop demander.
[^] # Re: Euh mauvaise banque, changer de banque
Posté par Wawet76 (site web personnel) . Évalué à 2.
Ce WE, un paiement m'a été refusé sur un site où j'avais payé précédemment sans souci. La le site me dit : « pour certaines banques vous devez désormais utiliser le service “p@ycard web” » (C'est leur système de carte virtuelle à usage unique).
La bonne nouvelle, c'est que ce truc est devenu gratuit depuis que c'est obligatoire.
Je suis globalement satisfait de ma banque. Apparemment ce n'est pas très courant.
# L'April n'y est pour rien
Posté par Sébastien Dinot (site web personnel) . Évalué à 8.
Je suis le secrétaire de l'April et je regrette que vous n'ayez pas pris contact avec moi avant de poster votre message. Il aurait certainement été orienté autrement.
Pour votre information, l'April n'est pour rien dans la mise en œuvre de 3DSecure pour la bonne et simple raison que ce n'est pas notre serveur qui assure la transaction mais celui de notre banque (Crédit Mutuel). Lorsque l'adhérent initie une procédure de paiement en ligne sur notre site, notre serveur le met en relation avec le serveur de notre banque qui prend en charge la transaction. A l'issue du traitement, le serveur de notre banque informe le nôtre du résultat de la transaction. Cette technique a un énorme avantage pour nous : aucune information sensible ne transite ou n'est stockée sur notre serveur.
Avec 3DSecure, un quatrième acteur entre en lice : le serveur de la banque de l'adhérent, contacté par celui de notre banque. C'est celui-là qui procède à l'authentification et donne le feu vert à la transaction.
Le Crédit Mutuel nous a récemment informé de la mise en place de cette technique (discutable) d'authentification qui va d'ailleurs progressivement se généraliser au fur et à mesure que les cartes bancaires compatibles avec la norme 3DSecure vont remplacer celles en circulation (je n'ai pas encore compris le lien entre 3DSecure et la carte mais peu importe).
L'information « confidentielle » est du ressort de votre banque. Si votre date de naissance sert à vous identifier, prenez-vous en à votre banque mais ni au Crédit Mutuel (je ne sais pas ce que cette banque demande comme information mais j'espère qu'elle n'est pas aussi bête), ni à l'April.
[^] # Re: L'April n'y est pour rien
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 8.
[...] prenez-vous en à votre banque mais ni au Crédit Mutuel (je ne sais pas ce que cette banque demande comme information mais j'espère qu'elle n'est pas aussi bête), ni à l'April.
Au vu de cet extrait du journal :
Bien sûr, je ne pense pas que la faute incombe à l'APRIL mais plutôt aux banques. Mais bon, ça fait quand même drôle d'effet.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: L'April n'y est pour rien
Posté par martoni (site web personnel, Mastodon) . Évalué à 2.
J'ai surtout écris se journal pour avoir l'avis des autres linuxFRien sur ce nouveau système de payement en ligne. Parce que la description que j'en avais lut m'avais fait bondir.
Mais bon ça ne m'a pas empêché de payer ma cotisation ;-)
J'ai plus qu'une balle
# Il existe pourtant une solution simple
Posté par alice . Évalué à 4.
1) je vais sur achatalacon.com et je vois un article qui m'intéresse.
2) je clique sur acheter et le site me donne un code qui contient les informations suivantes : id du magasin, id du produit ou du service, prix...
3) je vais sur mabanque.fr et je fais demande à faire un virement en donnant le code obtenu à l'étape 2).
4) mabanque.fr effectue la transaction et notifie achatalacon.com et moi.
Ainsi tout ce que achatalacon.com connait c'est un numéro de virement, plus aucun vol n'est possible, commerçants, banquiers et consommateurs peuvent courir nus dans la forêt pour exprimer leur bonheur.
[^] # Re: Il existe pourtant une solution simple
Posté par fredix . Évalué à 6.
De toute manière le réseau bancaire est une vraie mafia, il n'y a rien à attendre de bon chez eux. A quand une banque Libre ?!!
[^] # Re: Il existe pourtant une solution simple
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.