Journal 3DSecure à l'APRIL !

Posté par (page perso) .
Tags : aucun
1
2
déc.
2008
Fidèle lecteur des trucs qui énervent sebsauvage, j'était tombé sur un billet QuiFaitPeur parlant du nouveau systèmes de payement en ligne par carte banquaire.

En gros, pour payer par internet on ajoute une information connue de vous seul pour vous faire porter le chapeau en cas de fraude (bon ok mon résumé est un peu orienté ;) ).

Cette technique est sécurisée à condition de disposer de «calculettes» permettant de générer une vraie clef unique. Mais comme les banques s'en foutent et trouvent ça cher, l'information à donner est la date de naissance, qui est bien sûr connue du seul porteur de la carte !

Ayant lu ça il y a quelque mois, depuis je fais très attention aux informations qui me sont demandées quand je paye en ligne (parce qu'en tant que geek, je suis un très gros acheteur en ligne).

Jusqu'à aujourd'hui aucun capitaliste magasin en ligne ne m'avait demandé ce genre d'info. Jusqu'à ce que je ... m'inscrive à l'APRIL !

Bien sûr, je ne pense pas que la faute incombe à l'APRIL mais plutôt aux banques. Mais bon, ça fait quand même drôle d'effet.

Après avoir abandonné l'idée de réserver mes billets de train par internet pour cause de site SNCF désastreux, je vais devoir abandonner le payement par internet et en revenir aux boutiques de proximité (j'espère que l'APRIL à une permanence à Mulhouse ;-) ). Peut-être qu'Umberto Eco à raison finalement, la société recule ...
  • # HS

    Posté par (page perso) . Évalué à 4.

    Sur le lien que tu donnes ( http://www.sebsauvage.net/rhaa/ ), il définit la proposition "Avoir un fichier d'échange (swap) qui fait 1,5 fois la capacité de la mémoire vive." comme fausse mais sans donner la raison.

    Pourtant, ca ne me paraît pas déconnant. surtout lorsqu'on fait du suspend to disk.

    et vous ? vous dimensionnez comment votre swap?

    PS: pour les banques, ça fait longtemps qu'on sait qu'elles nous prennent pour des pigeons.
    • [^] # Re: HS

      Posté par (page perso) . Évalué à 7.

      >>> vous dimensionnez comment votre swap?

      Fastoche ! Je laisse faire l'installeur Ubuntu et comme ça je me retrouve avec une belle partition de swap de 6 Go.....

      J'ai signalé l'incongruité de cette taille de swap en août 2007 sur launchpad (c'était sous Gutsy) mais depuis mon rapport de bug est en "low" et rien n'a changé (en dépit des confirmations rapportées par d'autres utilisateurs).

      https://bugs.launchpad.net/ubuntu/+source/partman-auto/+bug/(...)
      • [^] # Re: HS

        Posté par (page perso) . Évalué à 1.

        Et après on vous dit que pour installer linux il faut au minimum 20 Go ...


        Si si avec mon installation toute fraiche de XXuntu.

        Je préfère retourner sous vista qui lui à l'installation ne prend que 10 Go comme ça je peux télécharger plus pour gagner plus...
    • [^] # Pas de swap

      Posté par (page perso) . Évalué à 2.

      Sur les ordinateurs récents, pas besoin de swap : il y a déjà 2 Go de mémoire. C'est déjà trop, donc pourquoi voudrait-on avoir envie de pouvoir swapper, ce qui n'arrivera de toute façon jamais ?

      Sans compter que swapper, c'est vraiment ultra-lent. Je préfère voir un processus gorêt se faire tuer que voir tout ralentir.
      • [^] # Re: Pas de swap

        Posté par . Évalué à 6.

        Hmmm.. Non rien.
        cf plus haut et le "suspend to disk".
        Et le swap n'est pas de la mémoire, enfin bon...
    • [^] # Re: HS

      Posté par . Évalué à 0.

      De mémoire et en théorie le swap doit être compris entre la moitié de la RAM installé et le double de la RAM installé.
      trop de swap ralentit le swap (trajet de la tete de lecture) pas assez de swap et tu ne peut pas charger de gros fichier.
      • [^] # Re: HS

        Posté par . Évalué à -1.

        tout dépend de ce que tu fais en fait
        Si c'est pour un usage bureautique (comme la plupart ici), tu n'en a pas vraiment besoin
        Si tu heberges une grosse base oracle, alors là ....
        • [^] # Re: HS

          Posté par . Évalué à 2.

          de fait, tout dépend de l'usage... mais quand bien même avec 2go de mémoire vive, une partition swap n'est pas négligeable en cas d'utilisation de firefox et openoffice (troll inside), surtout si on veut pouvoir faire du suspend to disk.

          Tiens, pourquoi d'ailleurs en swap le suspend, et plus en fichier à la racine comme je me souviens avoir testé il y a un bail ?
          • [^] # Re: HS

            Posté par . Évalué à 2.

            Donc pour les transactions bancaires sur le site c'est transparent.

            Ce système est donc pertinent et sécirisé dans la plupart des cas et dans celui de la SNCF il faudrait qu'ils génèrent en retour un no de dossier de référence pour retirer le billet mais là c'est sans doute trop demander.
      • [^] # Re: HS

        Posté par . Évalué à 2.

        pas assez de swap et tu ne peut pas charger de gros fichier.

        Blop ? tu mets les fichiers lus en swap ? drôlement efficace…

        Merde, ca fait trois fois que je le coupe il est toujours trop court!
        -(un stagiaire hardware qui devait connaitre le grand pere de Sylvain Sauvage ;-) )-


        Il aurait mieux fait de retenir mes explications de mmap qu’un de mes aphorismes… ;oP
  • # mouais

    Posté par (page perso) . Évalué à 10.

    C'est l'escalade bête et méchante :

    A - on demande le numéro de CB ?

    B- oh, on finit par pouvoir en trouver un à force d'essayer, ou à le voir en clair dans une DB
    A- pas grave, on demande en plus la date d'expiration

    B- la date d'expiration transpire dans les db ou chez les commerçants !
    A- on peut demander aussi le nom du détenteur de la carte

    B- maintenant on trouve des db mal protégées qui contiennent aussi le nom du détenteur, et on a toujours les mêmes fraudes des commerçants qui voient les cartes
    A- Grrr, ajoutons un numéro derrière la carte et appelons ça un code se sécurité, il faudra le donner aussi

    B- bordel, vous ne changez rien, maintenant les db mal protégées contiennent ce code, et les commerçants peuvent toujours recopier ça aussi
    A- Vous m'agacez, demandez donc la date de naissance, ce n'est pas sur la carte

    Demain :

    B- Vous savez, la date de naissance on la demande dans n'importe quel petit formulaire, et bon, on a toujours des commerçants en ligne pourris qui protègent mal leurs données, ou des commerçants physiques qui récupèrent la date de naissance via un bête formulaire papier avec un prétexte bidon, voire la récupèrent via facebook.



    Alors quand ils auront compris que la seule solution c'est un procédé unique et/ou physique, on aura 42 numéros uniques sur la carte, qu'il faudra tous recopier à chaque fois.

    Et peut être qu'à ce moment là les clefs de paiement unique (genre numéro de CB virtuel, qui ne fonctionne pas chez 9 commerçants sur 10) et autres token RSA seront un peu plus utilisés.




    N'oubliez pas non plus que tout ça ne sécurise que la banque, vous vous restez remboursés à la moindre contestation, sans frais ni procédures. Si un jour on sécurise, ça sera pour votre pomme, donc ne soyez pas pressés.
  • # Question

    Posté par . Évalué à 3.

    pour vous faire porter le chapeau en cas de fraude

    Tu affirmes cela comme ça ou pas ? Tu peux etayer ? Merci.
    • [^] # Re: Question

      Posté par . Évalué à 4.

      Personnellement j'ai de gros doutes (avec la date de naissance).
      Un ordre de paiement est non réfutable s'il est accompagné de la signature du client (sauf à prouver que c'est un faux). La carte bancaire utilisée avec la puce+le code est une signature électronique aux yeux de la loi (ne me demandez pas les textes, j'ai oublié). On prouve l'identité avec 2 éléments : ce que j'ai (la carte) et ce que je sais (le code).

      Et la date de naissance ? Ce n'est qu'une information, qui jusqu'à preuve du contraire ne vaut pas signature (!). Pour moi ça tient pas 5min devant un juge ce truc.

      Quant aux boitiers, ok ils donnent une très bonne sécurité, meilleure que ce qu'on utilise aujourd'hui, mais je ne suis pas certain que la loi confère à cette technique le statut de signature.

      Pour se faire peur un coup, voici un extrait de la page d'information du Crédit Mutuel sur le sujet :

      Ensuite, lorsque vous souhaiterez effectuer un paiement sur un site marchand équipé de cette solution, vous saisirez comme à votre habitude les informations contenues sur votre carte bancaire. Une fenêtre s'ouvrira alors sur le site du Crédit Mutuel, dans laquelle vous entrerez votre identifiant pour accéder à vos comptes, puis une clé personnelle (vous munir de votre carte).


      Le phishing a de (très) beaux jours devant lui, on dirait.
      • [^] # Re: Question

        Posté par . Évalué à 2.

        > La carte bancaire utilisée avec la puce+le code est une signature électronique aux yeux de la loi

        Sauf que sur les sites en ligne, ni puce, ni PIN ne sont utilisés... donc de toute façon... il faut juste savoir (le numéro de la carte, le code à 3 chiffres, et la date de naissance du titulaire du compte [tiens, comment ça se passe avec les comptes joints ?]... ça reste uniquement des choses à savoir).

        Par contre, si ce que retient la loi est le côté "authentification forte" (posséder + savoir, ou toute autre combinaison de deux facteurs distincts), il me semble que les calculettes à PIN la permettent, de ce que j'en comprends, non ?
  • # Mouais...

    Posté par . Évalué à 7.

    > Jusqu'à aujourd'hui aucun capitaliste magasin en ligne

    Ca crédibilise tout de suite ton argumentaire...
  • # Sinon...

    Posté par (page perso) . Évalué à 3.

    Sinon en Belgique les banques utilisent des Digipass ( http://en.wikipedia.org/wiki/Digipass ), la fameuse espèce de calculette qui est en fait un truc d'authentification par challenge, sécurisé par un code PIN. Ca sert à s'authentifier sur le site de sa banque, à faire des virements et autres opérations, et même à payer en ligne sur les sites belges qui acceptent les cartes Bancontact (cartes de paiement/retrait, différent de Visa/Mastercard).

    Bref c'est assez cool et ça me semble à première vue une solution relativement secure (le pass généré par le digipass est à usage unique, donc OSEF du keylogging). Alors pourquoi on a pas ça en france hein ? Plutôt que de développer des trucs encore plus foireux...

    « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

    • [^] # Re: Sinon...

      Posté par . Évalué à 2.

      Et bien sûr, toutes ces authentifications et lecteurs de cartes bancaires fonctionnent out of the box sous Linux?

      Au Luxembourg, plusieurs banques viennent de lancer un nouveau système sécurisé pour accéder aux comptes bancaires.
      On peut utiliser (acheter):
      - soit une carte à puce valable 3 ans renouvelable,
      - soit un stick usb valable 5 cinq ans (qui semble avoir une valeur juridique en cas d'usurpation d'identité),
      - soit un petit générateur de code avec stockage de la clé sécurisée sur le serveur du fournisseur,
      - ou soit continuer avec le système précédent, c-à-d un code de client + un mot de passe + une chaîne de caractères à compléter avec un carte reçue lors de l'inscription.

      Le fournisseur "garanti" le fonctionnement sous les os les plus courants: https://www.luxtrust.lu/cmsContent/File/LuxTrust_Product-Bri(...) mais comme dit plus haut, c'est à nous de racker pour les banques qui ont perdu tellement d'argent. Paske, nous, la crise ne nous touche pas.
      • [^] # Re: Sinon...

        Posté par . Évalué à 2.

        En fait, le problème est qu'il y a plein de solution sécurisé.

        Toutefois, çà devrait être au législatif européens de dire voila le standard maintenant tout le monde s'y contraint.

        Mais bon quand on voit en France le lobbying monopolistique et historique des cartes puces. On se dit que ce n'est pas gagné et qu'on a encore quelques années d'immobilisme devant nous.

        Car ,il y a de fort intérêt nationaux:
        - Marché Lecteur de carte à puce
        - La production de carte à puce.
        - Des marchés nationaux garantit par l'état comme la carte vitale.
        - ...

        On est dans le même cas qu'il y a quelques années France Telecom et son Numeris qui a freiné des 4 fers pour lancer l'ADSL.
        • [^] # Re: Sinon...

          Posté par . Évalué à 2.

          À propos de cette carte vitale, est-ce que la clé n'aurait pas été crackée? Comme l'a été celle de la carte d'identité électronique belge.
          • [^] # Re: Sinon...

            Posté par . Évalué à 2.

            Quelle clef ? Il n'y a pas de clef dans la carte vitale (au moins la première version). Il s'agit juste d'un codage absolument horrible comme seuls les Français savent faire :-) (je suis français soit dit au passage), qui n'est pas sans rappeller l'ignoble BCD (binary coded decimal)... En gros : coder nom & prénom = 26 lettres de l'alphabet -> besoin de 5 bits par caractère seulement. Non, non, pas besoin des chiffres. L'ASCII ? c'est quoi ? ça sert à quoi ?

            Et la sécurité est étudiée, si on utilise l'appli du GIE on ne peut pas faire certaines opérations (par exemple ajouter une affection longue durée) sans une carte maîtresse. Maintenant, si on n'utilise pas l'appli officielle... ben rien ne nous en empêche !
      • [^] # Re: Sinon...

        Posté par (page perso) . Évalué à 2.

        Hum cette fameuse "calculette" n'est jamais connectée à ta machine, pour expliquer le processus comment ça se passe pour moi :

        - tu va sur le site de la banque ou tu rentre ton numéro d'accès et ton numéro de digipass (inscrit sur l'appareil)
        - tu prends ton digipass (la "calculette"), tu appuie sur le bouton identification (il y aussi un bouton pour signer des données, pour les virements notamment), tu rentre ton code PIN (que toi seul connaît normalement)
        - le digipass te donne un code à 6 chiffres, à usage unique
        - tu recopie le code sur le site de la banque et voilà

        Pour faire un virement ou un paiement par CB c'est un peu différent, le site de la banque te donne un numéro à 12 ou 18 chiffres que tu rentre dans ton digipass (après avoir appuyé sur le bouton "Signature") avec ton code PIN (tu peux rien faire sur le digipass sans ton PIN), le digipass te renvoie un nombre à 10 chiffres que tu remet sur le site de la banque.

        Donc c'est totalement indépendant de l'OS ou de la machine que t'utilise.

        « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

        • [^] # Re: Sinon...

          Posté par . Évalué à 2.

          D'accord pour le digipass (que j'ai déjà utilisé pour une connexion vpn dans mon ancienne boîte), mais la clef usb et le lecteur de carte à puce usb se connectent forcément à la machine. D'où les drivers deb et rpm.
  • # Euh mauvaise banque, changer de banque

    Posté par . Évalué à 2.

    SI ta banque demande la date de naissance, c'est qu'ils sont trop mauvais pour avoir mis en place un autre système. Par exemple, au CréditMutuel, ce qui sera demandé est un code sur une grille de "touché-coulé" (« donner le code en B9 »), que l'on peut révoquer s'il elle a été perdu/volée. C'est cette même grille qui est utilisée depuis plusieurs année pour "sécuriser" les virements depuis le site de consultation des comptes.

    Bon, je dis pas que c'est plus agréable à utiliser, j'aurai tendance à dire au contraire que c'est plus casse pied qu'autre chose. Mais tout ça pour dire que c'est à la banque de choisir les moyens.
    • [^] # Re: Euh mauvaise banque, changer de banque

      Posté par (page perso) . Évalué à 4.

      le problème de cette grille, c'est qu'elle fait la taille d'une carte bleue, alors pour ne pas la perdre, je la range dans mon portefeuille avec la carte bleue, si si si...

      "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

      • [^] # Re: Euh mauvaise banque, changer de banque

        Posté par . Évalué à 1.

        je fais la même chose que toi. En même temps lorsque je perd mon portefeuille je fais opposition, en gros ont est dans le même cas qu'avant...
        Cette mesure à l'avantage de faire taire les fraudes par piratages de serveur, ou la fraude faite par certains caissier qui arrive à mémoriser le numéro de CB juste en la regardant, c'est d'ailleurs pour cela que dans beaucoup de magasin on insère la CB nous même dans l'appareil.
        Par contre quelqu'un sait si une fois qu'on utlisé tous les numéros de la grille si la banque nous en refournit une autre automatiquement ou pas ?
    • [^] # Re: Euh mauvaise banque, changer de banque

      Posté par . Évalué à 1.

      Par exemple, au CréditMutuel, ce qui sera demandé est un code sur une grille de "touché-coulé" (« donner le code en B9 »)

      Pareil au CIC mais ce n'est pas étonnant c'est le même groupe. Depuis ce mois ci c'est soit disant obligatoire pour tout achat sur internet. Je ne n'ai pas fait d'achat en ligne depuis la mise en place, j'imagine qu'on quitte le site du commerçant pour se retrouver sur le site de la banque pour saisir cette information.

      Sinon cette carte est depuis très longtemps obligatoire pour les virements.
    • [^] # Re: Euh mauvaise banque, changer de banque

      Posté par . Évalué à 3.

      Dans la mêm banque tu as surtout un service qui te génère un nouveau no de carte bleue pour pour chaque transaction bancaire. Tu utilises ce code une fois comme si tu donnais ton propre code CB.
      C'est AMHA le plus sécurisé, l'inconvénient .... il est payant, évidemment.
      • [^] # Re: Euh mauvaise banque, changer de banque

        Posté par (page perso) . Évalué à 3.

        Et ça ne passe pas chez la plupart des commerçants.

        C'est d'ailleurs bien dommage car ça c'est une réelle solution (pas parfaite mais assez bonne par rapport au reste)
        • [^] # Re: Euh mauvaise banque, changer de banque

          Posté par . Évalué à 2.

          T'es sûr; le peu de fois où je l'ai utilisé ca passait nickel.
          Je pense que pour eux ca ne change rien, ils ont l'impression d'avoir affaire à un CB normale non ?
          • [^] # Re: Euh mauvaise banque, changer de banque

            Posté par (page perso) . Évalué à 2.

            pas partout, le dernier que j'ai en mémoire c'est je crois voyages sncf, où il est marqué explicitement qu'il ne faut pas de cb virtuelle. Perso quand j'avais tenté c'était tellement un échec que je n'ai pas persisté
      • [^] # Re: Euh mauvaise banque, changer de banque

        Posté par (page perso) . Évalué à 2.

        Je suis au Crédit Mutuel

        Ce WE, un paiement m'a été refusé sur un site où j'avais payé précédemment sans souci. La le site me dit : « pour certaines banques vous devez désormais utiliser le service “p@ycard web” » (C'est leur système de carte virtuelle à usage unique).

        La bonne nouvelle, c'est que ce truc est devenu gratuit depuis que c'est obligatoire.

        Je suis globalement satisfait de ma banque. Apparemment ce n'est pas très courant.
  • # L'April n'y est pour rien

    Posté par (page perso) . Évalué à 8.

    Bonjour,

    Je suis le secrétaire de l'April et je regrette que vous n'ayez pas pris contact avec moi avant de poster votre message. Il aurait certainement été orienté autrement.

    Pour votre information, l'April n'est pour rien dans la mise en œuvre de 3DSecure pour la bonne et simple raison que ce n'est pas notre serveur qui assure la transaction mais celui de notre banque (Crédit Mutuel). Lorsque l'adhérent initie une procédure de paiement en ligne sur notre site, notre serveur le met en relation avec le serveur de notre banque qui prend en charge la transaction. A l'issue du traitement, le serveur de notre banque informe le nôtre du résultat de la transaction. Cette technique a un énorme avantage pour nous : aucune information sensible ne transite ou n'est stockée sur notre serveur.

    Avec 3DSecure, un quatrième acteur entre en lice : le serveur de la banque de l'adhérent, contacté par celui de notre banque. C'est celui-là qui procède à l'authentification et donne le feu vert à la transaction.

    Le Crédit Mutuel nous a récemment informé de la mise en place de cette technique (discutable) d'authentification qui va d'ailleurs progressivement se généraliser au fur et à mesure que les cartes bancaires compatibles avec la norme 3DSecure vont remplacer celles en circulation (je n'ai pas encore compris le lien entre 3DSecure et la carte mais peu importe).

    L'information « confidentielle » est du ressort de votre banque. Si votre date de naissance sert à vous identifier, prenez-vous en à votre banque mais ni au Crédit Mutuel (je ne sais pas ce que cette banque demande comme information mais j'espère qu'elle n'est pas aussi bête), ni à l'April.
    • [^] # Re: L'April n'y est pour rien

      Posté par (page perso) . Évalué à 8.

      Phrase peut-être un peu supreflue ou déplacée :

      [...] prenez-vous en à votre banque mais ni au Crédit Mutuel (je ne sais pas ce que cette banque demande comme information mais j'espère qu'elle n'est pas aussi bête), ni à l'April.

      Au vu de cet extrait du journal :

      Bien sûr, je ne pense pas que la faute incombe à l'APRIL mais plutôt aux banques. Mais bon, ça fait quand même drôle d'effet.
    • [^] # Re: L'April n'y est pour rien

      Posté par (page perso) . Évalué à 2.

      Mon message était un peu maladroit je l'avoue. Je me doute bien que le problème ne vient pas de l'april mais des banques.

      J'ai surtout écris se journal pour avoir l'avis des autres linuxFRien sur ce nouveau système de payement en ligne. Parce que la description que j'en avais lut m'avais fait bondir.

      Mais bon ça ne m'a pas empêché de payer ma cotisation ;-)
  • # Il existe pourtant une solution simple

    Posté par . Évalué à 4.

    Au lieu de donner le numéro de sa carte et 12 numéros complémentaires, il faudrait qu'un achat se passe de la manière suivante :

    1) je vais sur achatalacon.com et je vois un article qui m'intéresse.
    2) je clique sur acheter et le site me donne un code qui contient les informations suivantes : id du magasin, id du produit ou du service, prix...
    3) je vais sur mabanque.fr et je fais demande à faire un virement en donnant le code obtenu à l'étape 2).
    4) mabanque.fr effectue la transaction et notifie achatalacon.com et moi.

    Ainsi tout ce que achatalacon.com connait c'est un numéro de virement, plus aucun vol n'est possible, commerçants, banquiers et consommateurs peuvent courir nus dans la forêt pour exprimer leur bonheur.
    • [^] # Re: Il existe pourtant une solution simple

      Posté par (page perso) . Évalué à 6.

      Sauf que le virement c'est payant chez certaines banques et surtout c'est beaucoup plus long à recevoir qu'un paiement CB ...

      De toute manière le réseau bancaire est une vraie mafia, il n'y a rien à attendre de bon chez eux. A quand une banque Libre ?!!
    • [^] # Re: Il existe pourtant une solution simple

      Posté par (page perso) . Évalué à 3.

      Ça existe déjà, LDLC le permet, par exemple. Enfin, c'est sûr qu'à partir de maintenant, je vais beaucoup préférer les paiements par chèque ou par virement que par carte.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.