Journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer

Posté par .
Tags : aucun
9
8
fév.
2009
Ma banque vient de me faire une vacherie. Je dois accepter leur nouvel condition de gestion de ma carte bancaire pour faire des achats sur internet.

Le système rajoute une identification supplémentaire gérée par la banque elle-même lors d'une transaction. Pourquoi pas.

Pour cela, la banque demande de me faire signer un avenant à mon contrat. Or celui-ci rajoute la clause suivante :

A l’article 9 « RECEVABILITE DES OPPOSITIONS », le dernier paragraphe est complété comme
suit :
« - soit si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de la carte, avec son seul numéro et d’autres données y figurant. En cas d’opération sécurisée sur Internet conformément à l’article 3, l’opposition n’est recevable que si le titulaire de la carte démontre que le procédé d’authentification convenu avec l’émetteur a également été utilisé frauduleusement. »

J'ai l'impression que le nouveau système gagne le statut d'une paiement avec code. Si il y a fraude, on doit prouver l'utilisation frauduleuse pour être rembourser !

De toute façon, je n'ai plus le choix, si je veux faire des achats, il faut que j'accepte ces conditions.:(
  • # Etudions toutes les possibilités

    Posté par . Évalué à 10.

    Voyons...ah je sais :
    Refuse ces conditions, ne signe pas cet avenant et continu d'utiliser ta carte comme d'habitude.
    Au pire : change de banque, j'en connais qui prennent même à leur charge les frais de transfert si tu viens chez eux (et qui prennent aussi en charge le transfert tout court).
    • [^] # Re: Etudions toutes les possibilités

      Posté par (page perso) . Évalué à 6.

      +1

      Moi, je connais pas de contrat qu'on est oblige de signer... A part celui avec la Mort ?
    • [^] # Re: Etudions toutes les possibilités

      Posté par . Évalué à 5.

      Oui, étudions. Tu crois vraiment qu'on peut refuser ces conditions ? Oh, oui, on peut, c'est sûr. Mais par contre, d'après ce que ma banque à moi me dit (et je suppose que c'est un peu pareil pour toutes) : "A défaut d'adhésion à ce service, vous ne pourrez plus utiliser votre carte bancaire pour payer sur les sites internet qui demandent une telle authentification".

      Donc, les refuser, c'est bien, mais continuer d'utiliser sa carte comme d'habitude, faut pas rêver non plus, sont pas fous les mecs...
      • [^] # Re: Etudions toutes les possibilités

        Posté par (page perso) . Évalué à 1.

        Il y a maintenant des sites de vente qui acceptent les virements comme moyen de paiement.
      • [^] # Re: Etudions toutes les possibilités

        Posté par . Évalué à 2.

        sur les sites internet qui demandent une telle authentification
        Je n'en ai jamais vu, et j'achète régulièrement sur Internet. Ils doivent être facilement évitable.
        • [^] # Re: Etudions toutes les possibilités

          Posté par . Évalué à 2.

          Ou alors, c'est ta banque qui n'y est pas encore passée...

          Personnellement, depuis ~octobre/novembre (je crois), tous les sites sur lesquels j'achète finissent par m'afficher le biniouk 3day-sekioure (apparemment, c'est le serveur de ma banque qui gère cette page)...

          ... le premier ayant été un site italien, pour des lecteurs de smartcards...
        • [^] # Re: Etudions toutes les possibilités

          Posté par (page perso) . Évalué à 3.

          C'est aussi ce que je croyais jusqu'à ce que je renouvelle mon adhésion à l'APRIL. Ce n'est pas elle, mais le système de paiement avec le Crédit Mutuel qui l'impose. A mon avis, ça va vite se répandre pour les banques qui n'auraient pas encore déployé ce système.

          Evidemment, ça reste évitable, mais on perd la souplesse de la carte...
          • [^] # Re: Etudions toutes les possibilités

            Posté par . Évalué à 3.

            Pour info, le système 3D-Secure est décrit (du moins l'intégration sur un site web d'une vérification de transaction avec 3D-secure et les codes retours) sur la doc fournie pour intégrer le module de paiement d'Atos-Worldline... et cette doc date de mars 2005 (en tous cas c'est la date qu'il y a dessus).

            En gros, soit le client "adhère" (c'est comme ça que c'est décrit dans la doc) au programme "3D-Secure" et la vérification est faite, soit il n'y adhère pas, et vérification est sautée. Ça laisse donc à penser que c'est "juste" une option.

            Bref : c'est déployé depuis belle lurette... mais, étant une option où, apparemment, c'est le commerçant qui a le dernier mot (de savoir s'il adhère ou pas - dans la limite des choix qu'on lui donne), il n'est pas encore actif partout...

            Ps : si quelqu'un d'Atos voit ce message : je sais que d'après ce qui est écrit en bas de chaque page de la doc (en format .doc) je n'ai pas le droit de divulguer le contenu de la doc, cependant, étant donné qu'elle est refilée à tout intégrateur souhaitant intégrer leur solution de paiement qui, au passage, est commune à pas mal de monde si j'ai bien compris (la SG, La Banque Postale...) je vois pas trop en quoi c'est secret...
            • [^] # Re: Etudions toutes les possibilités

              Posté par (page perso) . Évalué à 4.

              J'ai bien reçu un mail avec en petits caractères : « Vous n'êtes pas autorisé(s) à faire un quelconque usage de son contenu, ni le diffuser, ni en prendre aucune copie, électronique ou autre. »

              En gros on m'envoie un mail mais on m'interdit de le récupérer.
      • [^] # Re: Etudions toutes les possibilités

        Posté par (page perso) . Évalué à 3.

        pourtant avec ce que tu viens de dire, la banque tombe toute seule si tu es en France ( et que tu as un peu d'argent à dépenser pour un avocat ).
      • [^] # Re: Etudions toutes les possibilités

        Posté par (page perso) . Évalué à 3.

        Tu as déjà signé un contrat (à priori, lorsque tu as demandé/accepté d'avoir une cb), contrat qui est logiquement valide jusqu'à un certain moment. Ce moment, c'est généralement « lorsque la banque aura envie de rompre le contrat ». Donc effectivement, tu peux tenter de les gruger en ne signant pas leur contrat (c'est ce que je ferai), et tu peux même demander conseil à l'UFC-Que Choisir pour voir s'il n'y a pas moyen de déceler une procédure abusive.
    • [^] # Re: Etudions toutes les possibilités

      Posté par . Évalué à 4.

      Refuse ces conditions, ne signe pas cet avenant et continu d'utiliser ta carte comme d'habitude.
      Tiens ça me rappel que j'ai toujours pas renvoyé l'accusé de reception de ma nouvelle CB (et des nouvelles conditions générales). Pourtant ça fait plus de 6 mois qu'elle marche sans soucis...

      Vive les vérifs au niveau des banques...
    • [^] # Re: Etudions toutes les possibilités

      Posté par (page perso) . Évalué à 3.

      Oui, sauf que ces conditions s'appliqueront à ton prochain renouvellement de CB.

      Pour le changement de banque, si toutes les banques font un système du genre, ce n'est pas pour votre sécurité, c'est pour la leur, elles finiront par toutes imposer les mêmes conditions. C'était prévu et prédit de longue date ce genre d'avenants.
  • # ce qui est très fort..

    Posté par (page perso) . Évalué à 10.

    ce qui est fort c'est qu'ils arrivent à nous faire croire que c'est à eux que ça coute.

    Quand la carte bancaire de Pierre Tramo est utilisée frauduleusement par un type en egypte pour se payer en ligne un écran plasma et 20kg de viagro, la banque rembourse effectivement Pierre Tramo, puis elle se retourne contre la banque du commerçant (le vendeur de plasma et de médicaments magiques), lui demande l'oseille, et la banque du commerçant, bien sur, elle se tourne vers le commerçant..

    Donc quand il y a une fraude, c'est le commerçant qui l'a dans l'os. Pas la banque.
    • [^] # Re: ce qui est très fort..

      Posté par . Évalué à 2.

      Pas en France.

      Contrairement aux chèques, si le commerçant applique bien la procédure (qui est de faire rentrer le code, d'attendre le ok, etc. Bref c'est toujours le cas), alors il est assuré d'être payé. Donc j'en déduis que c'est la banque qui casque.

      Et d'ailleurs si les banques font tout pour sécuriser les cartes bleues et non les chèques, c'est pas pour rien.
      • [^] # Re: ce qui est très fort..

        Posté par . Évalué à 2.

        J'avais été assez étonné quand j'avais signalé à ma conseillère un changement de signature. À sa réaction, il m'a semblé que les signatures ne sont pas vérifiées… Donc il faut vraiment pas se faire voler un chèque ou pire, un chèquier.

        Tu as plus de détails sur les types de problèmes qui se posent avec les chèques ?
        • [^] # Re: ce qui est très fort..

          Posté par . Évalué à 3.

          d'ailleurs pour les cheques comme cela fait royalement chier les banques elles assure le service minimum, voir meme moins histoire que ce sont les utilisateurs qui petit a petit renonce aux cheques.

          yaka voir le nombre de commercant qui refuse les cheques. Les banques laisse les chequiers a ceux qui ne sont plus solvable (un certain temps certe), du coup elle laisse volontairement des cheques impayé se promener, cela convaint plus d'un commercant de ne pas les accepter.
          • [^] # Re: ce qui est très fort..

            Posté par . Évalué à 2.

            > yaka voir le nombre de commercant qui refuse les cheques.

            L'origine est une modification de la règlementation fiscale.
            Avant, lorsqu'un commerçant faisait partie d'un centre de gestion agréé (pour réduire ses impôts essentiellement), il était contraint d'accepter les chèques. Ce n'est plus le cas aujourd'hui.

            i.e. les parlementaires (ou l'administration?) ont estimé que ça n'était plus nécessaire et/ou qu'il y avait mieux à favoriser ou ils ont entendus la complainte des commerçant que ça soulait de gérer au quotidien l'encaissement des chèques.

            Il ne faut pas tout mettre sur le dos des banques.
        • [^] # Re: ce qui est très fort..

          Posté par . Évalué à 4.

          À sa réaction, il m'a semblé que les signatures ne sont pas vérifiées… Donc il faut vraiment pas se faire voler un chèque ou pire, un chèquier.

          Oui, jusqu'a un certain plafond les signatures ne sont pas vérifiées (problème tout simplement de volume).
          Toutefois, si on te vole ton chéquier et qu'on fait des chèques frauduleux, tu demande simplement copie du chèque (ils sont tenus de le conservé), et tu montres que la signature n'est pas la tienne (sauf si un bon faussaire, dans ce cas). Donc la c'est la banque qui n'a pas fait son travail et tu es intégralement remboursé (et tu peux même essayer un petit geste commercial).
      • [^] # Re: ce qui est très fort..

        Posté par (page perso) . Évalué à 7.

        Ben écoute c'est pourtant ce qui m'est arrivé à plusieurs reprise, et la procedure de paiement est bien appliquée puisque c'est la caisse d'épargne (spplus) qui s'occupe de la partie saisie du numero de carte et validation du paiement. Seuls les paiements 3D secure sont garantis au commerçant. Pour les autres, si le proprietaire legitime de la carte porte plainte (genre deux mois après l'achat, quand il consulte son relevé de compte et constate qu'il a acheté 20 kilos de viagro), c'est moi (le commerçant) qui rembourse la banque.
      • [^] # Re: ce qui est très fort..

        Posté par (page perso) . Évalué à 2.

        Donc j'en déduis que c'est la banque qui casque.
        Ou plutôt son assureur.
        La banque a de toutes façons intérêt à ce que ça soit rare, ça implique des frais de dossiers ainsi qu'une augmentation potentiel du cout de l'assurance.

        « Il n’y a pas de choix démocratiques contre les Traités européens » - Jean-Claude Junker

        • [^] # Re: ce qui est très fort..

          Posté par . Évalué à 2.

          La Société Générale va être ravie d'apprendre qu'elle a un contrat d'assurance sur les risques de son métier ;o)
          • [^] # Re: ce qui est très fort..

            Posté par . Évalué à 2.

            a ce que je sais (je peux me tromper)
            les banques sont assuré par exemple lors d'un hold up. Il ne serait pas complètement absurde qu'elles soient aussi assurés par rapport aux fraudes divers et variés dont elles n'y peuvent rien.
      • [^] # Re: ce qui est très fort..

        Posté par (page perso) . Évalué à 4.

        Pas en France
        Tant que le code confidentiel n'a pas été entré, alors c'est le commerçant qui l'a dans l'os. C'est pour cela que les cyber-commerçants adhèrent à Fia-Net (même direction technique que voyage-sncf tellement c'est mal conçu).
        En gros le commerçant est tranquille uniquement avec les réglements via un terminal de paiement électronique (le boîtier chez les commerçants). En ligne, c'est dans leur postérieur que la banque leur met. Et bien profond car la commission prélevée est à peu-près la même... avec comme seule garantie de se faire arnaquer un jour ou l'autre.
    • [^] # Re: ce qui est très fort..

      Posté par . Évalué à 4.

      Attends, tu imagines les frais de dossier énormes que ça implique ? Elles vont être ruinées les pauvres banques avec tout ça.

      Mais le pire là dedans, le pire, c'est que l'argent que la banque doit avancer à son client avant de se retourner contre la banque du commerçant, c'est toujours ça de moins qu'elle peut jouer investir en bourse, ça leur fait un gros manque à gagner (ou un gros manque à perdre par les temps qui courent ...)
  • # C'est pas légal

    Posté par (page perso) . Évalué à 9.

    Les paiement pour lesquels il n'y a n'y a pas utilisation physique de la carte sont "à la bonne foi de l'acheteur". Si tu conteste, on doit te rembourser.:

    C'est en tout cas comme ça que sont géneralement interprétés le bulletin n° 658 de la Cour de cassation (1er avril 2007) et l'article L. 132-4 du code monétaire et financier


    La responsabilité du titulaire d'une carte mentionnée à l'article L. 132-1 n'est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte.

    De même, sa responsabilité n'est pas engagée en cas de contrefaçon de sa carte au sens de l'article L. 163-4 et si, au moment de l'opération contestée, il était en possession physique de sa carte.
    Dans les cas prévus aux deux alinéas précédents, si le titulaire de la carte conteste par écrit avoir effectué un paiement ou un retrait, les sommes contestées lui sont recréditées sur son compte par l'émetteur de la carte ou restituées, sans frais, au plus tard dans le délai d'un mois à compter de la réception de la contestation.


    A moins que ça n'ait évolué depuis qu'on m'a appris cela .
    • [^] # Re: C'est pas légal

      Posté par (page perso) . Évalué à 4.

      Le mot magique c'est si le paiement contesté a été effectué frauduleusement, et là e truc c'est que la banque reporte pour toi la charge de cette preuve.
      • [^] # Re: C'est pas légal

        Posté par . Évalué à 2.

        oui mais le monsieur dis que la jurisprudence considère que c'est pas à l'acheteur d'apporter la preuve, donc qu'il s'agit selon toute vraisemblance d'une clause abusive.
        • [^] # Re: C'est pas légal

          Posté par (page perso) . Évalué à 3.

          La jurisprudence elle dépend des conditions et du contexte dans laquelle elle a été créée.

          Si on insère un nouveau procédé d'authentification, que la banque affirme qu'il est suffisamment sur pour que la présomption soit renversée (comme elle l'est pour le code secret) ... ça se débat et un tribunal pourrait tout à fait renverser ce qui était établit jusque là.

          Quand les conditions changent, logiquement l'arbitrage peut changer.
          • [^] # Re: C'est pas légal

            Posté par . Évalué à 3.

            que la banque affirme qu'il est suffisamment sur pour que la présomption soit renversée
            Il ne suffit pas que la banque l'affirme, il faut qu'elle le prouve!

            C'est donc à la banque de prouver qu'il est extremement difficile de faire un paiement frauduleux avec ses méthodes.

            ça se débat et un tribunal pourrait tout à fait renverser ce qui était établit jusque là.
            Comme tu dis, ça se débat. Pour l'instant elle reste abusive (vu que contraire à la jurisprudence) et devra donc être testé devant le tribunal ;) (cad que bien qu'elle soit écrite, elle ne lie pas forcément le signataire du contrat, et ça sera au tribunal de le juger).
            • [^] # Re: C'est pas légal

              Posté par (page perso) . Évalué à 2.

              > Il ne suffit pas que la banque l'affirme, il faut qu'elle le prouve

              En fait pas vraiment, justement. Il suffit qu'elle l'affirme dans les CGV. A toi d'aller en procès et de prouver que ce n'est pas le cas si tu n'es pas d'accord, ou que la clause est abusive.

              Le fait est que pour la plupart des montants réalistes, un procès de cette envergure (que la banque ne *voudra* pas perdre et où elle mettra les moyens), ça risque d'être hors de portée.

              Bref, on va être dans la merde (et on l'avait bien prévu ce problème avec les sécurités additionnelles, c'était dit et prédit partout ce revirement)

              > Pour l'instant elle reste abusive (vu que contraire à la jurisprudence)

              Euh, non
              Elle est là. Elle n'est pas contraire à la jurisprudence vu que c'est un fait nouveau (et même si ça l'était d'après toi, ça ne suffit pas à la déclarer abusive légalement, ça reste encore à passer en procès pour qu'un juge l'annule). Tu ne veux pas la respecter ? ne la respectes pas, mais on pourra te le reprocher.
              Si tu veux la faire tomber et considérer abusive, tu peux aller en procès, et là tu pourras parler de jurisprudence si tu veux. Mais entre temps elle est bel et bien dans ton contrat et on peut bel et bien te l'opposer.

              > (cad que bien qu'elle soit écrite, elle ne lie pas forcément le signataire du contrat, et ça sera au tribunal de le juger).

              Non non, à défaut de jugement toi tu considères qu'elle ne t'engages pas, la banque considère qu'elle t'engage, et sauf à la faire explicitement annuler, il sera plus facile à la banque de la faire respecter qu'à toi de l'ignorer (et c'est bien normal, ce n'est pas à toi seul de décider si elle est abusive ou non)

              De toutes façons si la banque ne veut pas te rembourser elle ne te remboursera pas, qu'il y ait contrat ou pas, clause abusive ou pas. Et si tu insistes, ça sera à toi d'aller en procès.
              • [^] # Re: C'est pas légal

                Posté par . Évalué à 4.

                Il est sur que si chacune des deux parties ne veulent pas se mettre d'accord, ça se finira de toute façon au tribunal, avec les problèmes que tu as évoqué.

                Ensuite le fait qu'une cours de cassation ait établis une jurisprudence peut être tout a fait suffisant lors d'une discussion à l'amiable avec la banque afin de te faire rembourser.
        • [^] # Re: C'est pas légal

          Posté par (page perso) . Évalué à 4.

          Ca serait bien de transmettre à la revue "Que Choisir" pour qu'ils mettent un de leurs experts du droit dessus, et éventuellement qu'ils nous fassent un petit encart sur le sujet.

          Python 3 - Apprendre à programmer en Python avec PyZo et Jupyter Notebook → https://www.dunod.com/sciences-techniques/python-3

  • # 3D Secure

    Posté par . Évalué à 10.

    ... c'est un truc que toutes les banques se mettent à rajouter...

    De ce que j'ai compris, ça permet à la banque de ne plus avoir à se retourner vers le commerçant en cas d'utilisation frauduleuse de la carte d'un client...

    En gros, avant, en cas de magouille avec une CB d'un de ses comptes, une banque se retournait vers la banque du commerçant, puis celle-ci, vers le commerçant, qui finissait par avoir dans le baba l'objet envoyé ET l'argent perçu...

    Maintenant, seule la banque du détenteur de la carte est responsable, et du coup, elle pose une "sécurité" en plus... vu qu'en cas de pépin, elle ne peut plus se retourner contre le vendeur (je trouve ça plutôt normal), elle veut "s'assurer" que le payeur est bien le détenteur de la carte...

    Sauf que, la mienne, de banque, est d'une crétinerie franche, dans l'application de 3D Secure : le code en plus est ma date de naissance... ce que je ne qualifierais pas vraiment d'information personnelle secrète (grave au contraire !)... j'imagine qu'ils auraient pu filer un calculateur OTP, ou un truc du genre, mais non : à la société géniale, être nase, c'est une histoire de compétition, et on n'en a pas honte... Bon, par contre, pour l'instant, je n'ai rien eu à signer de nouveau.

    M'enfin... Si d'autres banques semblent un peu moins légères dans cette affaire, d'après Wikipedia [1], si la mienne me demandait de prouver que le moyen d'authentification a été "utilisé frauduleusement", ça irait quand même assez vite : je leur répondrais que si j'avais eu à choisir une information secrète, je n'aurais certainement pas pris ma date de naissance, donnée qui traîne un peu partout (notamment sur mes papiers d'identités... dans le même portefeuille que ma CB... voire dans mon profil, sur des sites d'achat en ligne), et en haut du classement des mots de passe les plus crétins qui soient, avec le nom de son animal familier et autres conneries du genre "1234" ou "toto"... et que la faute incomberait intégralement, de fait, à la crasse de leur incurie. Et hop.

    [1] http://fr.wikipedia.org/wiki/3D_Secure
    • [^] # Re: 3D Secure

      Posté par (page perso) . Évalué à 3.

      En fait ce ne sont pas les banques qui forcent le passage au "truc 3D", c'est aussi un choix du vendeur. Je suis en discussion pour offrir le paiement par carte bancaire et je peux au choix activer cette option ou non. Cela me coûte bien entendu des ronds si je l'active.

      Sachant le niveau de sécurité que cela apporte en plus et vu les montants, cela ne sera pas activé chez moi, un contrôle de l'adresse IP, pays d'émission de la carte, open proxy, etc. me suffira à mon avis largement.

      Y'a t'il des vendeurs en ligne dans la salle pour donner leur expérience sur cette "option" ?
      • [^] # Re: 3D Secure

        Posté par (page perso) . Évalué à 3.

        saikoi open proxy ? je trouve pas de truc intéressant
        • [^] # Re: 3D Secure

          Posté par . Évalué à 3.

          Ce sont les proxies ouverts à tout le monde... selon les pays dans lesquels ils sont, les utiliser rend le traçage de ce que tu fais plus difficile...

          ... par exemple, en Suède, on ne peut demander la correspondance d'une IP avec une personne que si ce qu'on a fait de la connexion est passible d'au moins deux ans de tôle (c'est là-dessus que ce base par exemple relakks, qui est plus un VPN qu'un proxy - m'enfin, c'est pour imager).

          Cumule VPNs, proxies et darknets, et pour remonter à toi, ça va être un peu coton (pas infaisable, mais pas à la portée du premier grouillot venu).

          Cependant, il y a des blacklists des IP de ces proxies, des IP des noeuds de sortie des darknets, etc (genre, à un moment, LDLC m'interdisait l'accès à leur site, alors que je n'étais qu'un relai Tor [même pas un noeud de sortie])...

          C'est le chat et la souris...
          • [^] # Re: 3D Secure

            Posté par . Évalué à 2.

            Personnellement, je ne connais qu'un service proposé par Maxmind :

            http://www.maxmind.com/app/proxy

            Et ce service n'est pas complètement fiable.

            Est-ce que tu connais d'autre service proposant des blacklistes ?
            • [^] # Re: 3D Secure

              Posté par . Évalué à 3.

              Pour Tor, tu peux chercher la liste directement sur leur site...

              ... pour le reste, je n'en sais rien : les moyens d'anonymats, il m'arrive d'en utiliser (et je fais tourner un relai Tor... tout autant que je suis de plus en plus intéressé par un tunnel Relakks, qu'il est fort probable que je me procure d'ici mars) - mais jamais de chercher à les filtrer ;)
      • [^] # Re: 3D Secure

        Posté par (page perso) . Évalué à 1.

        Au taf, on utilise un service tiers (anglais) pour les paiements par carte de crédit et 3D Secure n'est pas une option mais une obligation. Apparemment, en Angleterre, les commerçants n'utilisant pas 3D Secure vont commencer à être pénalisé (frais supplémentaires par transaction) s'ils n'ont pas cette option (ou ne l'utilise pas effectivement). Par contre, lors de la signature de son contrat de carte de crédit, l'utilisateur a le droit de ne pas prendre ("opt-out") 3D-Secure. Dans ce cas, le contrôle de carte porte sur le code au dos de la carte (CSC), le 1er chiffre dans son adresse (AVS address) et les chiffres dans son code postal (AVS postcode). Mais bon, ce sont les anglais ... ;-)
    • [^] # Re: 3D Secure

      Posté par . Évalué à 2.

      Au CIC, c'est plus sérieux, c'est une série de mot de passe jetable.

      Le problème est plutôt dans le retournement de responsabilité.

      "La première sécurité est la liberté"

      • [^] # Re: 3D Secure

        Posté par . Évalué à 2.

        mot de passe jetable.

        jetable, jetable... si tu parles de la carte avec les codes j'ai la même depuis que le service filbanque l'exige pour les virements extérieurs et ça fait plusieurs années maintenant. C'est toujours cette carte n°1 qui m'était demandé pour les virements il y a 2 mois. Bref c'est une sécurité supplémentaire mais pas vraiment jettable pour l"instant.

        Pendant qu'on parle de banque, le service CIC FilBanque est nettement plus pratique que le service en ligne du Crédit Agricole. Par contre au niveau des conseillers/conseillères financières il faut tous les deux un concours au moins capable.
        • [^] # Re: 3D Secure

          Posté par (page perso) . Évalué à 3.

          c'est jetable parce que normalement chaque code ne t'est demandé qu'une fois (il est "consommé").

          en fait, c'est une lutte assez efficace contre les keyloggers car le maichan ne pourra pas s'authentifier lui aussi par la suite, même s'ils choppe ton login et mot de passe.

          maintenant c'est attaquable par un faux site bancaire, ou par interception des données des ces codes chez toi, chez la banque ou à la transmission, et les banques sérieuses, comme l'UBS ou la Poste Suisse par exemple, sont déjà passées depuis belle lurette à la calculette magique (tu mets ta carte bancaire dedans, tu mets un challenge proposé par le login du site, tu entres ton code secret de carte, et ça te rend la réponse au challenge que tu dois mettre sur le site). le principe de ce truc d'ailleurs est peut-être lié à OTP comme le citait un autre plus haut mais je n'y connais rien. on peut aussi supposer qu'il y a une bête clé de crypto dedans mais alors ce secret faudrait cher (les calculettes ne sont pas personnelles donc ça ne peut pas être une clé personnelle). comment ça marche à la Poste Suisse :

          https://e-finance.postfinance.ch/ef/public/cc/trans/help/con(...)

          (cliquer sur "commencer la visite")

          au final quand j'ai émigré de France en Suisse en 2004, je suis passé du système login + mot de passe chez le crédit agricole au système de mots de passe jetables chez la poste suisse (et l'UBS utilisait déjà la calculette) ; depuis, la poste suisse est passée au système de la calculette, et le crédit agricole est toujours au login + mot de passe (ok il faut cliquer sur les chiffres pour le mot de passe donc normalement un keylogger ne peut pas l'intercepter). je suis étonné que les banques françaises ne semblent pas prendre plus au sérieux la sécurité de leurs sites de e-banking.. ou alors elles sont bien moins exposées aux fraudes qu'en suisse (et je ne suis pas un client grosse fortune, c'est monsieur lambda qui est à la poste suisse - qui n'est même pas une banque du point de vue légal mais c'est une autre question) mais ça m'étonne..
          • [^] # Re: 3D Secure

            Posté par . Évalué à 6.

            (ok il faut cliquer sur les chiffres pour le mot de passe donc normalement un keylogger ne peut pas l'intercepter)

            Non. Ce genre de méthodes n'apportent qu'une illusion de sécurité, en se basant sur le fonctionnement le plus courant des keyloggers. Mais d'un point de vue théorique, ça n'apporte strictement aucune sécurité supplémentaire : on peut facilement imaginer un "mouselogger" qui enverrait un screenshot de la zone sous le pointeur à chaque clic (ça existe surement déjà)
            • [^] # Re: 3D Secure

              Posté par . Évalué à 2.

              ca ne change sûrement pas grand chose mais moi je dois laisser la souris sur le chiffre une seconde, sans avoir à cliquer
              • [^] # Re: 3D Secure

                Posté par . Évalué à 5.

                En effet, ça ne change pas grand chose. Tant que le système se contente d'essayer de rendre plus compliqué le travail d'un keylogger, ça ne va pas fondamentalement améliorer la sécurité.

                Ce qu'il faut, c'est un système qui exige d'entrer un code différent à chaque connexion (peu importe la forme que ça prend, même une bête liste de numéros sur papier améliore déjà considérablement la sécurité)
          • [^] # Re: 3D Secure

            Posté par (page perso) . Évalué à 4.

            les calculettes ne sont pas personnelles donc ça ne peut pas être une clé personnelle
            Bien sur que si que c'est possible: la "calculette" peut très bien n'être qu'une interface homme-machine et c'est la carte bancaire qui fait tout. (ce qui est surement le cas d'ailleurs, sauf à être un peu suicidaire sur les bords)
            • [^] # Re: 3D Secure

              Posté par (page perso) . Évalué à 1.

              En Belgique, les calculettes pour les sites web bancaires proviennent généralement de Vasco (www.vasco.com) qui crie bien haut et fort posséder un système de "strong user authentication". Le système est le suivant:

              1. Tu entres ta carte dans la "calculette"
              2. Tu entres dans la calculette un code (8 digits) que le site web te donne
              3. Tu entres ton PIN dans la calculette
              4. La calculette te rend un code (8 digits aussi) à entrer dans la boîte as hoc du site web

              Donc, a priori, la calculette n'est pas personnelle mais ce qu'elle calcule l'est (puisqu'il dépend de ta carte bancaire et de ton PIN). A priori ... (l'algorithme n'est pas disponible au public)
              • [^] # Re: 3D Secure

                Posté par . Évalué à 2.

                Vasco a tout plein de systemes differents. :)

                La calculette avec carte est personnelle (enfin la carte, pas la calculette :) ).

                Les calculette sans carte (l'essentiel de leur business) sont strictement personnelles (cle 3des hardcodee en usine).
          • [^] # Re: 3D Secure

            Posté par . Évalué à 1.

            Carte jettable ou calculette, c'est pareil, tout ca c'est de l'OTP. mot de passe qui change avec le temps et/ou un compteur d'evenements et/ou un challenge.
            Qu'ils soient generes a la volee ou de facon statique puis envoyer par la poste, fax ou a dos de corbeau, ca revient au meme, conceptuellement.

            C'est effectivement tres costaud a casser (chiffrement 3des ou asymetrique en fonction des prestataires).

            L'idee est toute simple: chiffrer avec un algo fort la date et/ou un compteur d'evenement et/ou le challenge cote client et l'envoyer au serveur.
            Le serveur a lui la connaissance de la cle du client (certificat publique si asymetrique, prive si symetrique) et genere des mots de passes dans une certaine fenetre (temps/evenements + eventuel challenge) jusqu'a tomber sur le meme.
            S'il trouve pas, va te faire voire.
            Dans ma boite on faisait du symetrique (la gestion des certifs, c'ets un gros boulot, plus simple de gerer un cle symetrique), je me dit que dans le cas de l'asymetrique il doivent se contenter de dechiffrer l'otp et de verifier si les donnees envoyees sont bien celles attendues (temps+challenge+evenement).

            Le tout est base sur des algos publiques costauds, auquels on ajoute un sel d'obscurite parce qu'on va pas leur faciliter la tache quand meme (pis surtout, techniquement ca peut aider aussi).

            Par contre, ca ne protege pas du tout du man in the middle. Enfin pas en soi. Vu que l'homme du milieu connait le challenge, il peut aisement se faire passer pour le client.

            Ya diverses pistes pour contrer ca, par exemple passer par une solution soft et de faire intervenir le certificat SSL du serveur.
            On avait fait ca via une applet:
            L'applet, une fois chargee, va recuperer le certif du serveur a qui elle parle (MITM donc), introduire la cle publique dans la generation de l'OTP et envoyer tout ca au serveur MITM.
            Le MITM s'empresse de faire suivre a la banque, qui n'a pas la meme cle publique (ou alors ya un serieux probleme de secu que tous les OTP du monde ne peuvent resoudre).
            La banque va essayer de regenerer le mot de passe de son cote et ne va pas y arriver car meme si temps+evenement+challenge correspondent, la cle publique n'est pas la meme.
            Et paf l'homme du milieu.

            Evidemment, si l'homme du milieu decompile/modifie l'applet, t'es baise.
            Mais l'applet est of course signee par la banque.
            Donc si le certif n'est pas le bon, la faute incombe (et surtout, decombe) au client, et c'est tout ce que veut la banque: proteger ses petits sous a elle, pas ceux du client.
            • [^] # Re: 3D Secure

              Posté par . Évalué à 3.

              auquels on ajoute un sel d'obscurite parce qu'on va pas leur faciliter la tache quand meme
              Sauf que le "sel d'obscurité" peut leur faciliter la tache justement.
              Comment vérifier l'implémentation si tu la cache ? Tu es sur que les relecteurs que tu as choisis ont eu aucune faille ?
              Si tu as besoin de cacher ton implémentation, c'est donc que tu crains une faille dedans, faille qui sera sans nulle doute trouvée par quelqu'un de déterminé disposant d'important moyen (et crois moi, pour attaquer les banques, les mafias ont d'important moyens).
              • [^] # Re: 3D Secure

                Posté par . Évalué à 2.

                L'obscurite est pas dans la crypto elle meme, mais dans les manipulation des donnees en entree et le traitement du resultat de la crypto (parce que ton des qui te sort un block de 64bits, tu vas pas l'envoyer brut en hexa, surtout quand l'otp fait 6 digit de long).

                L'implementation 3DES hard est de toute facons cachee: implementee en hard dans un puce.
                Pour les produits softs, la reponse est facile a trouver (mais compte pas sur moi pour te le dire).

                Et validee comme il faut, dans le contexte d'utilisation du token.
                Et dans le cas de la boite dont on parle plus bas, ils ont des ressources en interne qui disent si les algos utilises sont bons ou mauvais.

                Si tu as besoin de cacher ton implémentation, c'est donc que tu crains une faille dedans
                Le systeme est fiable, les tokens hard sont toujours pas casse a ma connaissance.
                Si l'implem est ouverte, les seuls personnes qui vont verifier serieusement l'implem sont les mechants.
                Autant je concoit que la securite par obscurite pure soit une connerie sans nom, autant c'est pas une raison suffisante pour filer toutes les sources aux mechants. Et vu que le retour positif (audit serieux) est nulle, ya aucun interet.
                Je dis ca sans animosite aucune, mais que je vois la qualite de relecture du code d'openSSL dans debian, tu me permettras de mettre en doute la qualite de relecture de la "communaute".
                • [^] # Re: 3D Secure

                  Posté par (page perso) . Évalué à 2.

                  Je dis ca sans animosite aucune, mais que je vois la qualite de relecture du code d'openSSL dans debian, tu me permettras de mettre en doute la qualite de relecture de la "communaute".

                  C'est une présentation très partiale. Il y a eu erreur humaine dans un patch, ce n'est pas une question de relecture/audit. On peut opposer à ton exemple la qualité de relecture du code d'OpenBSD par les gens d'OpenBSD, qui a permis de trouver bon nombre de failles par simple relecture/audit avant qu'elles ne soient connues ou exploitées. En bref, ce n'est pas la panacée et il ne faut pas oublier effectivement que la qualité des projets libres se concentre surtout dans les projets principaux, mais il ne faut pas jeter le "given enough eyes all bugs are shallow" si facilement.
                • [^] # Re: 3D Secure

                  Posté par . Évalué à 3.

                  L'implementation 3DES hard est de toute facons cachee: implementee en hard dans un puce.
                  Tu as des organismes de vérification indépendant, qui permettent justement d'attribuer un degré de sécurité à des implémentations hard.

                  Le systeme est fiable, les tokens hard sont toujours pas casse a ma connaissance.
                  Ca me rapelle windows, qui peu après la sortie de vista disait "c'est fiable, pas de faille publiques". Ils oubliaient juste de dire que les chercheurs de kapersky/norton avait vu des failles pour vista contre 20000$ sur le marché noir.
                  Que tu n'en ais pas connaissance ne veut pas forcément dire que c'est fiable.

                  Si l'implem est ouverte, les seuls personnes qui vont verifier serieusement l'implem sont les mechants.
                  Ou les gens qui en ont besoin.
                  Allez exemple con, dans un tout autre domaine.
                  http://www.deeplife.co.uk/or_models.php
                  Oh tiens ca alors, ils donnent leurs references pour que ceux qui plongent avec leur matos puisse vérifier, et aient confiance ! Ben tu vois, quand je passerais au rebreather, j'irais chez eux, bizarre hein. Pourtant d'après toi, seul des "méchants" (concurrent,...) pourraient etre intéressé par ça.

                  autant c'est pas une raison suffisante pour filer toutes les sources aux mechants.
                  J'ai pas dis toutes les sources non plus ;)
                  J'ai juste attiré l'attention que malgré que la "base" soit saine, rajouté quelque chose ne signifie pas pour autant augmenter la solidité de la base.

                  mais que je vois la qualite de relecture du code d'openSSL dans debian, tu me permettras de mettre en doute la qualite de relecture de la "communaute".
                  En même temps , le truc de debian avait eu l'aval des "experts" d'openSSL. Alors on pourrait dire "quand on vois la qualité des experts, tu me permettras de mettre en doute la qualité d'une quelconque expertise".
                  • [^] # Re: 3D Secure

                    Posté par . Évalué à 3.

                    t'es lourd a rabacher tes grandes idees theoriques, franchement.

                    L'implem' 3des est fiable. Period.
                    Je te le dit, j'ai bosse pour eux. T'as le droit de pas me croire, toujours est il que la personne qui a des infos ici, c'est moi.

                    C'est un pas os, c'est pas un rebreather, c'est une solution crypto, evite les comparaisons a 2 francs.

                    Quand a l'obscurite, elle se trouve, je le repete, sur les donnees en entree et sur la facon de transformer la sortie du 3des en otp. Pas sur le 3des en soi.

                    En même temps , le truc de debian avait eu l'aval des "experts" d'openSSL.
                    Oui oui, "if it helps for debugging", ca c'est de l'aval hein?
                    m'enfin...
                    • [^] # Re: 3D Secure

                      Posté par . Évalué à 4.

                      t'es lourd a rabacher tes grandes idees theoriques, franchement.
                      Désolé, mais ces grace à ces théories que tu peux dire que quelque chose est "fiable" ou justement "pas fiable".


                      L'implem' 3des est fiable. Period.
                      Dieu nous le dit donc c'est vrai...

                      puis si tu veux qu'on parte "moins théorique" , ca me gêne pas.
                      L'implem d'un algo qui a déjà une attaque par le milieu , et qui est moins intéressant point de vue technique qu'un algo conçu from scratch pour utiliser des clés > 60 bits, y'a pas a dire ca à l'air vachement fiable et pérenne ... surtout au niveau des choix de conceptions!


                      c'est une solution crypto, evite les comparaisons a 2 francs.
                      la comparaison entre les verifs formels d'un ALGORITHME DE DECOMPRESSION et d'un ALGORITHME DE CHIFFREMENT me semblent pertinentes.
                      Dans les deux cas, on veux que ca fasse exactement ce que dis l'algorithme, et qu'il n'y ait pas d'effets de bords.

                      Ensuite si on compare le sérieux, on peut voir que deep life effectue des tests, se met à la conformités de 3 normes (sévères, conditionnant des systèmes de support de vie) dans un systeme mécanique ET éléctronique (redondances des opérations) ET software (notation Z, ...).
                      Et malgré tous les "risques" (reprise par un concurrent ou autre) donne les éléments sur leur sites.

                      De l'autre on a une implémentation qu'un Dieu (du nom de thedude par exemple) nous affirme être fiable, sans éléments, sans indications des tests passés, sous prétexte que si il ose donner des éléments, alors ca va aider les méchants (alors que si c'était fiable, donc prouvé, tu aurais du 0-knowledge).

                      Quand a l'obscurite, elle se trouve, je le repete, sur les donnees en entree et sur la facon de transformer la sortie du 3des en otp.
                      Donc la façon de transformer le 3DES en OTP ne fait pas partie du processus cryptographique ?
                      Encore heureux que vous savez faire un algo 3DES "fiable".
                      Mais tu sais une faille de RSA était par exemple de ne pas regarder la taille du message à chiffrer. Pour certaines tailles (données en entrée . Et oui, ca joue) , les opérations modulaire n'était plus modulaire, et donc on pouvait donner du knowledge.

                      Comme le dis les fameuses "grande idées théoriques" : "la sécurité d'une chaine cryptographique est la sécurité de son plus faible maillon".
                      Jusqu'à présent, tout ce que tu as dis c'est "on a un maillon fiable, notre implem de 3DES. Bien entendu on ne donne aucun moyen de vérifier, notre implem est forcément fiable".
                      Quid des autres maillons ? Inconnu.
                      Quid de la façon de prouver la fiabilité ? "Je n'ai pas connaissance que ca a été cassé".


                      Tu m'excuseras, mais ca manque VRAIMENT de sérieux.
                      • [^] # Re: 3D Secure

                        Posté par . Évalué à 0.

                        Dieu nous le dit donc c'est vrai...

                        C'est l'hopital qui se fout de la charite, vraiment.

                        Tu as forcemment raison.
                        Apres tout, j'ai juste bosse la bas sur certains des produits en question.
                        Toi, t'as vu le mot OTP et 3DES, donc tu sais tout mieux que tout le monde, meme si t'as pas la moindre idee de ce que la boite en question fait. Tout ca parce que t'as lu un blog un jour qui parlait d'OTP.

                        Quelle suffisance...

                        surtout au niveau des choix de conceptions!
                        Mais de quoi tu parles?
                        T'as pas la moindre idee de ce que les tokens ont dans le ventre!!! Tout ce que tu sais, c'est le fonctionnement haut niveau que j'ai decrit dans les grandes lignes. Tu veux que je te fasse une preuve formelle du produit dans les commentaires de lfr?
                        Ca t'arrive de pas parler de choses que tu connais pas?
                        Tu te sens toujours oblige d'etaler ta science comme ca?
                        • [^] # Re: 3D Secure

                          Posté par . Évalué à 2.

                          Apres tout, j'ai juste bosse la bas sur certains des produits en question.
                          Voui, et après ? Tu as bossé dessus c'est bien. Et ca apporte quoi au débat ? Ah oui rien du tout.

                          Toi, t'as vu le mot OTP et 3DES, donc tu sais tout mieux que tout le monde, meme si t'as pas la moindre idee de ce que la boite en question fait. Tout ca parce que t'as lu un blog un jour qui parlait d'OTP.
                          Si les seuls arguments sur la sécurité d'une solution, c'est essayer (de façon maladroite) de faire croire que son interlocuteur ne connais pas, ça renseigne bien sur la sécurité de ladite solution, mais pas d'une façon positive.


                          T'as pas la moindre idee de ce que les tokens ont dans le ventre!!! Tout ce que tu sais, c'est le fonctionnement haut niveau que j'ai decrit dans les grandes lignes. Tu veux que je te fasse une preuve formelle du produit dans les commentaires de lfr?
                          Certe je n'ai pas la moindre idée de ce que fait ton produit. Toutefois tu es bien pédant et apporte aucun argument concret. Je me suis donc permis de te rappeler de la position de 3DES dans les algos symétriques actuels. Et le fait que j'ose te rappeler que l'état de l'art tend plutôt à délaisser 3DES (qui n'était qu'une solution de pis aller pour ne pas briser la compatibilité avec les précédents solutions utilisant DES) sur une solution "nouvellement concu" (j'avoue que je vois pas très bien l'intéret de la compatibilité DES sur ta solution, mais tu peux avoir des blocs déja prouvé, ce que je pourrais comprendre, si tu argumentait un minimum).

                          comme tu dis "Quelle suffisance...".
                          Tu n'argumente pas. Tu affirmes des choses sans rien derrière (ah si tu le dis, si tu le dis, c'est forcément vrai...).
                          Et dès qu'on ose te contredire d'un point de vue au moins théorique, tu ne le supporte pas et il faut que tu attaques ton interlocuteur (bien maladroitement).
                          Mais si au moins c'était avec des arguments concrets comme "l'implémentation a eu la qualif FIPS bidule" ou "un laboratoire indépendant a testé la puce et a trouvé aucune attaque exploitable" .
                          La non, tu dis "le client nous a rien dis. C'est ma preuve de sécurité".
                          Et quand on rentre un peu dans le lard, tu dis "de toute façon toi t'y connais rien".
                          C'est ce type de comportement qu'on appelle de la suffisance! (croire qu'on est supérieur aux autres, et refusé d'argumenter un minimum).
                          • [^] # Re: 3D Secure

                            Posté par . Évalué à 0.

                            sur une solution "nouvellement concu"
                            Nouvellement concu?
                            Ou est ce que j'ai dit que c'etait nouvellement concu?
                            La boite en question a plus de 10 ans, les techniques employees sont plus vieille encore (rachat de boite deja existante, la base du produit a peut etre plus de 15 ans)!!!
                            Tu sais, avant qu'AES soit publie?
                            Comment ca tu savais pas? Tu veux dire que tu sais pas de quoi tu parles?

                            Voui, et après ? Tu as bossé dessus c'est bien. Et ca apporte quoi au débat ? Ah oui rien du tout.

                            Si tu consideres que le debat c'est "le niveau d'etalage de confiture de briaeros aka Dieu", effectivement pas grand chose.

                            Si tu consideres que la question c'est "est ce que le produit est fiable", quelqu'un qui a bosse sur les produits, sait qu'il a ete verifie par des gens competents et qu'il n'a jamais eu le moindre pb, ca doit apporter.
                            Non je vais pas te filer tous les documents parce que je les ait pas.
                            Je vais pas te filer le nom des personnes en question, parce que je les ait pas. Ni le nom de leur chien d'ailleurs.
                            Si t'etais une banque et que tu les contactais pour acheter qq chose, ils se feraient un plaisir de te donner leur references. Mais comme ca va pas dans ton sens le fait que j'ai deja dit ca, tu vas encore faire comme si j'avais rien ecrit, faire des phrases avec bits et des chiffres > 150 dedans pour faire bien, mettre des termes techniques pour montrer que toi tu sais mieux que tout le monde.

                            Parce que toi t'es un super expert, tu l'ouvres avec tellement d'assurance sur tellement de sujet, tout le monde doit te courir apres pour te proposer des postes super interessant.

                            Et pourtant, bizarrement, tu finit surexploite dans une boite de merde a faire un taff de grouillot paye au lance pierre et meme que ca se finit au prud'hommes. Etonnant pour quelqu'un de ton niveau d'expertise, non?
                            Oui, c'est ad hominem, bas et petit, mais faut pas etaler ta vie privee sur internet et tres honnetement, tu l'as cherche.
                            Et l'ad hominem te montrera peut etre au passage a quel point ca peut etre enervant de voir quelqu'un t'expliquer des choses qu'elle ne connait pas (je ne connais pas plus ta vie privee que tu connais les produits que tu descend en flamme).

                            Je t'ai dit trois fois que le produit avait ete valide par des gens competents, je t'ai dit que les clients avaient les sources et pouvaient valider ce qu'ils veulent, mais comme t'as visiblement pas etale assez de confiture, tu t'entetes.
                            Et le pire, c'est que tu sais meme pas comme s'appelle le dit produit!!!
                            • [^] # Re: 3D Secure

                              Posté par . Évalué à 5.

                              Ou est ce que j'ai dit que c'etait nouvellement concu?
                              Oh je sais pas, on indiquait qu'on parlait de calculette jetable qu'on pouvait distribuer aux client (pas qu'on aurait pu il y a 15 ans)
                              tu as dis
                              Le tout est base sur des algos publiques costauds, auquels on ajoute un sel d'obscurite parce qu'on va pas leur faciliter la tache quand meme (pis surtout, techniquement ca peut aider aussi).
                              (tu constateras que tu as employé le présent et pas le passé...)

                              La boite en question a plus de 10 ans, les techniques employees sont plus vieille encore (rachat de boite deja existante, la base du produit a peut etre plus de 15 ans)!!!
                              Et en 15 ans, ils ont jamais fait de nouveau produit ?
                              Je rapelle que Rinjdael est sortis en 1998 (donc 10 ans, donc quand la boite fut créée),
                              et qu'il a été promu AES en 2002 (donc il y a 6-7 ans).
                              Comment ca tu savais pas?
                              Je peux pas deviner si tu t'amuse à mettre en erreur les gens (quand on parle de "calculette jetable" pour des clients actuels, on parle pas de produits vieux d'il y a 15 ans).
                              De plus j'ai indiqué que je pouvais très bien comprendre la réutilisation de bloc déjà prouvé, mais comme tu n'en as pas parlé...

                              Si tu consideres que le debat c'est "le niveau d'etalage de confiture de briaeros aka Dieu", effectivement pas grand chose.
                              Contrairement à toi, j'ai pas affirmé qu'un produit était fiable ou pas fiable sans argument, mais j'ai indiqué que sans plus de précision, il était impossible de le considérer comme fiable, et que tes pseudos arguments n'ont guère de valeur technique.

                              uelqu'un qui a bosse sur les produits, sait qu'il a ete verifie par des gens competents et qu'il n'a jamais eu le moindre pb, ca doit apporter.
                              Tu "sait". C'est du même niveau que tes preuves te sécurité "tu sait". C'est pour ca que je te surnomme dieu, toi tu sait où les autres ne savent rien, et ne peuvent rien savoir.

                              Que des gens compétents travaillent sur ce produit je n'en doute pas un seul instant.
                              Qu'il soient totalement indépendants de l'équipe de dev, pour l'instant je n'ai pas vu passé l'information.
                              Qu'ils aient appliqués des procédures connues et reconnues non plus.
                              Qu'ils aient eu le temps nécessaire pour effectuer l'ensemble des vérifications non plus.

                              Tu veux donner aucune information et te la jouer "grand maitre qui sait", t'étonnes pas derrière qu'on considère que tu n'en donne pas assez.

                              Non je vais pas te filer tous les documents parce que je les ait pas.
                              On(je) demande pas forcément des documents, mais des faits plus concrets que "des gens compétents ce sont penchés dessus" et "les clients ont pas ralé" pour jaugé de la fiabilité d'une solution, désolé.
                              Je sais pas par exemple, la puce de la calculette à passé la norme fips 140-2 level 3 ou 4 ?

                              Si t'etais une banque et que tu les contactais pour acheter qq chose, ils se feraient un plaisir de te donner leur references. Mais comme ca va pas dans ton sens le fait que j'ai deja dit ca,
                              Tu l'as déjà dit où ?
                              Parce que désolé je ne l'ai pas vu. Alors ça peut être une erreur de ma part, mais toujours est il que je n'ai pas vu ça.

                              tu vas encore faire comme si j'avais rien ecrit, faire des phrases avec bits et des chiffres > 150 dedans pour faire bien, mettre des termes techniques pour montrer que toi tu sais mieux que tout le monde.
                              C'est sur que si tu es perdu dès que j'ose mettre plus que deux idées techniques dans un post, normal que tu crois que c'est pour faire bien.

                              Parce que toi t'es un super expert,
                              Non, et d'ailleurs je l'ai jamais dis ou laissé entendre

                              Contrairement à toi qui nous a affirmé haut et fort que "tu savais que c'était fiable" ... parce que le client c'était pas plaint.
                              Et pour ça, désolé, pas besoin d'être un super expert pour savoir qu'une preuve de sécurité comme ça est RISIBLE!


                              tu l'ouvres avec tellement d'assurance sur tellement de sujet, tout le monde doit te courir apres pour te proposer des postes super interessant.
                              Je ne recherche pas ce genre de postes (parce que je n'ai pas du tout les qualifs), et on ne m'en propose pas plus.


                              Et pourtant, bizarrement, tu finit surexploite dans une boite de merde a faire un taff de grouillot paye au lance pierre et meme que ca se finit au prud'hommes.
                              Si tu aime donc rappeler mon CV, il faut etre correct et TOUT rappeler, je finis dans une boite de merde pour faire une THESE sur de la VIDEO. La boite étant de merde, ne me laisse pas faire ma thèse (ni mon directeur de thèse) dans de bonne conditions.

                              En ce qui concerne le prudh'omme, c'est une affaire entre mon employeur et moi, et je vois pas trop en quoi ça a voir avec mes qualification professionnels ou encore mes capacités de raisonnement.

                              Etonnant pour quelqu'un de ton niveau d'expertise, non?
                              Le niveau d'expertise, quel qu'il soit, empêche d'être naïf et de croire que quand on professeur d'université propose à quelqu'un une bourse CIFRE et une thèse, c'était effectivement pour faire une thèse ?

                              Oui, c'est ad hominem, bas et petit,
                              Oh ca ne me change pas vraiment, après le "imbue pédant hautain",...
                              mais faut pas etaler ta vie privee sur internet
                              Ca serait plutot ma vie professionnel, mais passons. Tu constateras que je suis "beau joueur", et que j'accepte la responsabilité d'avoir dis ça publiquement.
                              et tres honnetement, tu l'as cherche.
                              tout ceci est très subjectif, vu que tu as énormément de mal à comprendre mon point de vue (je dirais meme que tu ne veux pas le comprendre).

                              Et l'ad hominem te montrera peut etre au passage a quel point ca peut etre enervant de voir quelqu'un t'expliquer des choses qu'elle ne connait pas (je ne connais pas plus ta vie privee que tu connais les produits que tu descend en flamme).
                              Ce que tu n'as pas compris c'est que je ne descend pas les produits en flammes.
                              ce que je descends en flamme c'est ton argumentation sur leur fiabilité
                              Comme tu l'as fait remarquer, je ne connais pas le nom de ta boite, ni les produits. Je ne peux pas parler sur eux.
                              Par contre je peux parler sur ce que TOI tu en as dis!

                              Si tu estime que j'en ai dis des conneries à partir de TES informations, pose toi plutot la question de "pourquoi il a pas compris ce que je voulais dire".



                              Je t'ai dit trois fois que le produit avait ete valide par des gens competents
                              Tois fois ? Dans ce poste peut etre, mais je me souviens pas d'avoir vu trois fois que
                              - des gens compétens
                              - indépendants
                              - avec le budget nécessaire
                              - ainsi que le temps
                              - suivant une procédure connue et reconnue
                              ont validé le produit.

                              je t'ai dit que les clients avaient les sources et pouvaient valider ce qu'ils veulent,
                              Désolé je ne l'ai pas vu.
                              Tout ce que j'ai vu à propos des clients c'est que c'était des banques.
                              Ensuite errare humanum est, j'ai peut etre pas vu... ou alors tu as peut etre oublié de le mettre (comme je viens de dire errare humanum est).

                              mais comme t'as visiblement pas etale assez de confiture,
                              Ca par contre c'est une ad hominem, qui a défaut d'etre pertinent, est fausse.

                              Tu peux donc m'indiquer quel confiture j'étale ? Je rappelle juste, comme tu las dis , de grandes idées théoriques (les grands principes de la crypto, que n'importe quel étudiant voit).
                              C'est difficilement de la confiture cela!
                              • [^] # Re: 3D Secure

                                Posté par . Évalué à -4.

                                Oh je sais pas, on indiquait qu'on parlait de calculette jetable qu'on pouvait distribuer aux client (pas qu'on aurait pu il y a 15 ans)
                                Qui a parle de calculette jettable?
                                Quand tu prends ton air arrogant de monsieur je sais tout mieux que tout le monde, la moindre des choses serait de lire les commentaires. Et si tu sais pas, t'as plusieurs options: ne rien dire (sisi, c'est possible) ou demander (sans presupposer que vu que tu sais tout, tu peux deviner).

                                La calculette n'est bien evidemment pas jetable.

                                Et quand bien meme elle le serait, je vois pas pourquoi le produit en question aurait pas 10 ans? Rassures moi, t'es capable de faire une difference entre un "produit" et une "instance d'un produit"?

                                Le tout est base sur des algos publiques costauds, auquels on ajoute un sel d'obscurite parce qu'on va pas leur faciliter la tache quand meme (pis surtout, techniquement ca peut aider aussi).
                                (tu constateras que tu as employé le présent et pas le passé...)

                                Rattrapes toi aux branches... Jusqu'a preuve du contraire, le produit est encore vendu, donc le present est tout a fait correct.
                                Quand je dit "Linux est base sur une architecture monolithique et utilise des algos publiques", tu comprends que linux a 1 an?
                                Bien evidemment que non, mais ca te ferais trop mal a la gueule de reconnaitre que tu es hautain et arrogant, que tu as suppose n'importe quoi et qu'evidemment, t'as eu tort.

                                Et en 15 ans, ils ont jamais fait de nouveau produit ?
                                Sisi, bien sur.
                                Par contre, ils ont une philosophie de retro compatibilite, et c'est deja assez de boulot de maintenir la partie serveur telle qu'elle est.
                                L'autre truc, c'est que je t'invite a reflechir a "comment la crypto est utilisee" pour estimer le besoin en cryptographie (plutot que de beugler aveuglement que 3des est pas siquioure parce que tu l'as lu sur un blog).
                                Vu comment t'es intelligent, tu devrais avoir une reponse assez vite. Par contre, imbu de ta personne comme tu es, va falloir attendre longtemps avant que tu reconnaisse avoir dit une connerie.

                                Je rapelle que Rinjdael est sortis en 1998 (donc 10 ans, donc quand la boite fut créée),
                                Non, apres que la boite fut creee. Cf supra anyway. Tu ne lit d'ailleurs toujours pas, j'ai dit que les produits avait certainement 15 ans.

                                Contrairement à toi, j'ai pas affirmé qu'un produit était fiable ou pas fiable sans argument, mais j'ai indiqué que sans plus de précision, il était impossible de le considérer comme fiable, et que tes pseudos arguments n'ont guère de valeur technique.
                                Non tu n'as pas indique, t'as commence par beugler que bout d'obscurite = pas secure du tout sans meme savoir de quoi il en retournait.
                                Ensuite, toujours aussi certain que tu sais tout, t'es parti dans le delire des sources pas publiques = pas secure.

                                Tu "sait". C'est du même niveau que tes preuves te sécurité "tu sait". C'est pour ca que je te surnomme dieu, toi tu sait où les autres ne savent rien, et ne peuvent rien savoir.
                                T'as du culot.
                                Je donne une explication generale, assez haut niveau, t'embrayes direct sur "blablabla pas siquioure, je veux la preuve formelle".
                                Je te dit: c'est valide, c'est fiable, des gens competents ont bosse dessus. Et en l'occurence ca l'est.
                                Mais non, tu preferes dire que ca l'est pas parce que tu l'as decide.

                                Contrairement à toi qui nous a affirmé haut et fort que "tu savais que c'était fiable" ... parce que le client c'était pas plaint.
                                Non, j'ai pas dit ca.
                                J'ai dit:
                                1) Base sur des algos fort publics (base forte)
                                2) Implem' validee par qui de droit (base fort qui fait ce qu'elle dit)
                                3) Aucune attaque reussie (preuve concrete que les 2 conditions precedentes sont bien reunies et que le produit marche bien). Quoique si on t'ecoutes, les responsables secu des banques appellent le marketing de leur presta quand ils ont un pb (MOUARF!!! et ca vient donner des lecons derriere...)
                                Toi t'es rejete le 1, estime que 2 etait forcement faux et compris le 3 comme tu voulais le comprendre pour te faire mousser un peu.


                                Je sais pas par exemple, la puce de la calculette à passé la norme fips 140-2 level 3 ou 4 ?
                                Et hop la, on se fait encore mousser avec 2-3 termes techinques, plutot que d'aller voir sur le site en question pour avoir la reponse a sa question.
                                (la reponse est oui pour fips).

                                Comme tu l'as fait remarquer, je ne connais pas le nom de ta boite, ni les produits. Je ne peux pas parler sur eux.
                                ET BEN FERMES TA GRANDE GUEULE ALORS!!!!
                                Quand on a rien a dire, on le dit pas.

                                Par contre je peux parler sur ce que TOI tu en as dis!
                                Si encore tu avais lu ce que j'avais ecrit. Non, tu preferes partir du postulat que tout le monde est incompetent et forcement plus con que toi...

                                Tu peux donc m'indiquer quel confiture j'étale ? Je rappelle juste, comme tu las dis , de grandes idées théoriques (les grands principes de la crypto, que n'importe quel étudiant voit).
                                Quelle confiture? FIPS machin, tes anecdotes dont tout le monde se fout sur les banques et les terminaux (pas franchement grand chose a voir, mais bon), tes histoires d'algo deprecies completement a cote de la plaque, bref ca ressemble fort a des pretextes pour montrer que tu connais des mots complique (qui plus est dans un domaine "noble" de l'informatique).

                                Tois fois ? Dans ce poste peut etre, mais je me souviens pas d'avoir vu trois fois que
                                - des gens compétens
                                - indépendants
                                - avec le budget nécessaire
                                - ainsi que le temps
                                - suivant une procédure connue et reconnue
                                ont validé le produit.

                                Tu veux que je te donne le nom des personnes, leur planning, les minutes, les rapports et tout le tralala?
                                quand un ex-employe de la boite te dit que l'impleme a ete validee et est fiable, ton premier reflexe c'est de croire qu'il raconte n'importe quoi et que toi tu sais mieux que lui?
                                Ou plutot que le mec a eu des infos en internes, qu'il ne bosse plus pour eux et n'a donc pas de conflits d'interets et donc de lui apporter un minimum de credit?

                                Non, forcement, t'es tellement fort et les autres sont tellement de la merde par rapport a toi que tu vas tout de suite prendre la premiere option.

                                Désolé je ne l'ai pas vu.
                                ...
                                Je sais meme pas quoi dire... Tu as pourtant repondu a ce message, et t'as meme cite un bout de la phrase ou je le dit:
                                http://linuxfr.org/comments/1006933.html#1006933

                                Tu ne lit pas les messages et tu reponds quand meme des trucs qui sont une insulte a l'intelligence et la conscience pro...
                                Tu es siderant.
                                Hautain, pedant, imbu.
                                • [^] # Re: 3D Secure

                                  Posté par . Évalué à 4.

                                  Qui a parle de calculette jettable?
                                  Oh je sais pas, c'était juste le fil.
                                  Comme par exemple

                                  Posté par thedude (envoyer un message privé) le 11/02/2009 à 00:03. (lien). Évalué à 1.

                                  Carte jettable ou calculette, c'est pareil, tout ca c'est de l'OTP. mot de passe qui change avec le temps et/ou un compteur d'evenements et/ou un challenge.

                                  (début du threads...)

                                  Quand tu prends ton air arrogant de monsieur je sais tout mieux que tout le monde, la moindre des choses serait de lire les commentaires. Et si tu sais pas, t'as plusieurs options: ne rien dire (sisi, c'est possible) ou demander (sans presupposer que vu que tu sais tout, tu peux deviner).
                                  No comment...

                                  Bon le reste de tes commentaires étant du GROS n'importe quoi .
                                  Je répondrais toutefois à
                                  Désolé je ne l'ai pas vu.
                                  ...
                                  Je sais meme pas quoi dire... Tu as pourtant repondu a ce message, et t'as meme cite un bout de la phrase ou je le dit:
                                  http://linuxfr.org/comments/1006933.html#1006933


                                  Donc tu peux m'indiquer où dans je te cite vu que tu me traite comme une merde en affirmant que tu m'a dis que les clients avait accés aux sources

                                  Alors, les clients en question, c'est des banques.
                                  Si ya attaque, ya des sous qui vont manquer.
                                  Si des sous vont manquer la banque va chercher a savoir ce qu'il s'est passe.
                                  Si le process d'authent' est en cause, devines quoi?
                                  Le fournisseur de la solution d'authent va etre mit au courant, parce qu'il va se prendre un joli savon par son client.
                                  On est donc en droit de penser que si le fournisseur ne s'est jamais fait engueuler comme du poisson pourri, c'est que le systeme n'a jamais ete penetre.
                                  Et si le systeme n'a jamais ete penetre en 10 ans avec des sous a la cle, ben tires en les conclusions qu'il faut en tirer.

                                  Alors , monsieur qui sait tout, se permet de traiter les autres comme de la merde, de jamais lire leur commentaires, de les accuser de tout et n'importe quoi, et surtout de rien de concret
                                  Où est indiqué que les clients ont accés aux sources
                                  Ah oui, nulle part. Merci d'avoir joué. Maintenant retourne à ton bac à sable et apprend à discuter et argumenter.

                                  Oui j'en ai marre d'avoir une discussion qui sert à rien, qui emmerde tout le monde, avec une personne qui crois tout savoir, et se permet des remarques insultantes, tout simplement parce que elle(la personne) es trop con (oui je le dis) pour reconnaître ses erreurs!
                                  Désolé mais tant de mauvaise foi, ca sert à rien de rester poli, vu que 1°) toi tu ne l'es pas resté, 2°) de toute façon tu comprend pas les propos des autres., 3°) tu sais pas lire le français, 4°) tu déforme les propos des autres (à rapprocher avec 3).

                                  Bref , comme tu dis
                                  Tu ne lit pas les messages et tu reponds quand meme des trucs qui sont une insulte a l'intelligence et la conscience pro... [le coup du c'est fiable parce que le client rale pas, je vois difficilement comment on peut l'appeler autrement]
                                  Tu es siderant.
                                  Hautain, pedant, imbu.
                                  • [^] # Re: 3D Secure

                                    Posté par . Évalué à -1.

                                    Oh je sais pas, c'était juste le fil.
                                    Comme par exemple

                                    C'est quelle partie de "carte jetable ou calculette" que tu comprends pas?
                                    Carte ou calculette?
                                    A moins que ca soit "ou"?
                                    Ou alors t'as lu en diagonale et t'as carte ou calculete jetable?

                                    Où est indiqué que les clients ont accés aux sources
                                    Bon, t'es visiblement completement con, et aussi aveugle, et t'arrives pas a lire les liens que je te donne, donc je vais souligner avec mon fluo:

                                    C'est valide c'est valide, je vois pas ce que ca va changer de filer toutes les sources au monde entier, personne n'ira les lire de toutes facons ('fin si, les attaquants) et meme s'ils lisent, personne ne fera d'audit pousse (ie plus pousse que ce que fait deja la boite d'elle meme) tout simplement parce que ca coute un fric fou et que les gens ont autre chose a foutre que de valider le boulot de son prochain (ou alors ils sont clients, mais tu sais quoi? ils ont les sources!!!! Et plus fort encore, ils (v)ont paye(r)!!! Oui oui, incroyable, hein?).

                                    Alors oui, j'insulte, apres si t'arretais de mettre en doute des choses que tu ne connais pas, ca t'eviterais des pb aussi...
                  • [^] # Re: 3D Secure

                    Posté par . Évalué à 1.

                    Je reviens a la charge.
                    Je t'ai dit que l'implem a ete validee plus haut.
                    C'est valide c'est valide, je vois pas ce que ca va changer de filer toutes les sources au monde entier, personne n'ira les lire de toutes facons ('fin si, les attaquants) et meme s'ils lisent, personne ne fera d'audit pousse (ie plus pousse que ce que fait deja la boite d'elle meme) tout simplement parce que ca coute un fric fou et que les gens ont autre chose a foutre que de valider le boulot de son prochain (ou alors ils sont clients, mais tu sais quoi? ils ont les sources!!!! Et plus fort encore, ils (v)ont paye(r)!!! Oui oui, incroyable, hein?).

                    Que tu n'en ais pas connaissance ne veut pas forcément dire que c'est fiable.
                    Alors, les clients en question, c'est des banques.
                    Si ya attaque, ya des sous qui vont manquer.
                    Si des sous vont manquer la banque va chercher a savoir ce qu'il s'est passe.
                    Si le process d'authent' est en cause, devines quoi?
                    Le fournisseur de la solution d'authent va etre mit au courant, parce qu'il va se prendre un joli savon par son client.
                    On est donc en droit de penser que si le fournisseur ne s'est jamais fait engueuler comme du poisson pourri, c'est que le systeme n'a jamais ete penetre.
                    Et si le systeme n'a jamais ete penetre en 10 ans avec des sous a la cle, ben tires en les conclusions qu'il faut en tirer.

                    Pourtant d'après toi, seul des "méchants" (concurrent,...) pourraient etre intéressé par ça.
                    Les concurrents, on s'en fout, ils savent tres bien ce qu'on fait. Et font de toutes facons la meme chose.
                    Et se contrepetent des details d'implem tres techniques. Et evidemment faut pas compter sur eux pour auditer notre produit.

                    Par contre les mechants auquels je faisais reference, c'est les gens dont les clients veulent precisement se proteger. Et a eux, ca serait completement CON de leur donner des infos supplementaires (meme s'ils iront pas bien loin sans les cles des clients a attaquer).

                    J'ai juste attiré l'attention que malgré que la "base" soit saine, rajouté quelque chose ne signifie pas pour autant augmenter la solidité de la base.
                    Heureusement que t'es la dis donc, ils y avaient pas pense avant toi...
                    • [^] # Re: 3D Secure

                      Posté par . Évalué à 2.

                      C'est valide c'est valide, je vois pas ce que ca va changer de filer toutes les sources au monde entier,
                      Ben vu que "Dieu" dis que c'est valide sans montrer en quoi c'est valide, ca permet aux autres de vérifier ses dires.
                      Si ensuite tu as plus de choses (labo de certif indépendant, etc...) c'est pas franchement la meme chose (chose que j'avais déjà dites).

                      Mais si tu étais si sur de ton algo et de sa fiabilité, tu n'aurais pas de problème à le filer au monde entier, vu que tu serais sur qu'il ne risquerais rien.

                      Alors, les clients en question, c'est des banques.
                      Ce qui en soit ne veut rien dire.
                      Je peux te citer une anecdote d'une banque pour générer des clés de CB, qui
                      avait une procédure très lourde de sécurité physique pour accéder au terminal qui générait la clé, et qui générait des clé de 40 bits sur le terminal parce que quand ils générait lés clés de 700 bits "ça plantait" (le temps d'attente était tellement long qu'ils pensaient que ça plantaient).
                      Alors certe, la situation à, je l'espère, changé. Mais le role d'un client, même si c'est une banque, ce n'est pas de vérifier la fiabilité/pertinence d'une solution vu qu'ils l'achètent! (et vu les retours que j'ai sur une grosse banque au niveau mondial, ca je peux l'affirmer).

                      Si le process d'authent' est en cause, devines quoi?
                      Avant de tomber lors de l'audit sur le process d'authent ca mettre un certain temps. Et les marketeux pourraient très bien dire que non leur produit marche très bien mais que c'est l'intégration qui a pu causer un bug (c'est la faute du client) ou tout autre connerie.
                      Ne t'inquiète pas, si tu crois que le risque empêche les gens de jouer, tu es vraiment mal renseigné.

                      On est donc en droit de penser que si le fournisseur ne s'est jamais fait engueuler comme du poisson pourri, c'est que le systeme n'a jamais ete penetre.
                      On que l'audit n'a pas trouvé ça comme faille, ou que la banque a utiliser ton processus d'auth en COMPLEMENT d'autres systemes, et que ces systemes soient fiables, ou que l'ensemble des systemes de sécu est fiable.

                      Enfin ta preuve de sécurité me fait froid dans le dos "le client à pas raler, c'est donc que c'est fiable".

                      Par contre les mechants auquels je faisais reference, c'est les gens dont les clients veulent precisement se proteger. Et a eux, ca serait completement CON de leur donner des infos supplementaires (meme s'ils iront pas bien loin sans les cles des clients a attaquer).
                      Si les infos qu'ils ont ils ne peuvent rien en faire, ce n'est pas complètement con
                      1°) tu permet à ton client de choisir ta solution en informant que
                      - il peut auditer lui meme la solution si il en ressent le besoin
                      - il pourra, si il le souhaite, changer de fournisseur tout en conservant un systeme compatible.
                      2°) vu que tu affirme que ton système est fiable, les attaquants possibles ne pourront rien trouver.
                      3°) La communauté des cryptologues et/ou des agences gouvernementales pourront considérer votre implémentation comme une "best practice", vous faisant une pub importante par conséquent/


                      Heureusement que t'es la dis donc, ils y avaient pas pense avant toi...
                      Les sarcasme de quelqu'un qui considère qu'une preuve de sécurité c'est que son client n'as pas encore eu d'attaques sur le produit/ne l'a pas détecté, me font ni froid ni chaud.
                      • [^] # Re: 3D Secure

                        Posté par . Évalué à -1.

                        bla bla bla, moi je sais moi je sais, moi j'aime me lire sur lfr meme quand j'ai pas la moindre idee de ce dont je parle.

                        Fin de la discussion, tu ne veux pas lire ni comprendre, juste etaler ta science, j'ai autre chose a faire que de perdre mon temps avec un pedant hautain et imbu de lui meme.
                        • [^] # Re: 3D Secure

                          Posté par . Évalué à 3.

                          bla bla bla, moi je sais moi je sais, moi j'aime me lire sur lfr meme quand j'ai pas la moindre idee de ce dont je parle.
                          Tu commentes tes propres commentaires ?

                          tu ne veux pas lire ni comprendre, juste etaler ta science, j'ai autre chose a faire que de perdre mon temps avec un pedant hautain et imbu de lui meme.
                          Visiblement c'est bien ça.

                          Ps j'ai pas de problème pour reconnaitre mes erreurs, quand erreur il y a. Mais tu avoueras que dire "tu sais pas. Tu es pédant, suffisant, imbu", niveau argumentation ca s'arrête là.

                          Je t'indiquerais aussi tes arguments "techniques" dans tous leurs détails.:
                          - On a fait un 3DES fiable
                          - C'est fiable parce que le client a pas ralé.
                          - On a rajouté des trucs proprio sur la chaine, mais la sécurité de la chaine a pas été modifié.
                          - J'ai travaillé la bas, donc je sais.
                          - J'ai pas d'arguments donc j'arrête de parler et d'abord tu as tort, Nah! (ah désolé, c'est as technique ça).

                          Répond moi si j'en ai oublié, et si tu considère donc que c'est "moi" qui sais pas de quoi je parle, ou peut être toi qui t'es mal exprimé (contrairement à toi, je suis poli et laisse le doute. Difficile pour un pédant hautain et imbu, tu le reconnaitras).
                    • [^] # Re: 3D Secure

                      Posté par . Évalué à 4.

                      Cela me rappelle une boite qui se couvrait de NDA qui ne voulait pas montrer sa spec pour se protéger des méchants pirates, mais on aurait plus vite fait d'aller chercher le pdf auprés des pirates potentiels, on aurait eu l'info plus vite.

                      "La première sécurité est la liberté"

                • [^] # Re: 3D Secure

                  Posté par . Évalué à 3.


                  Le systeme est fiable, les tokens hard sont toujours pas casse a ma connaissance."


                  Euh... si tu penses cartes à puces, cela se casse tous les jours, c'est juste une question de moyen et de samples à disposition.

                  "La première sécurité est la liberté"

          • [^] # Re: 3D Secure

            Posté par . Évalué à 2.

            J'oubliais: le systeme calculette + carte a puce: t'as juste un certif dans ta carte,donc c'est de l'asymetrique, mais ca change pas fondamentalement le concept.

            Et sinon, oui, ce que vendent ces boites c'est essentiellement des cles crypotgraphiques avec un gros boulot d'integration par dessus :)
            Ca fait cher la cle 168 bits, effectivement :)
    • [^] # Re: 3D Secure

      Posté par . Évalué à 4.

      Sauf que, la mienne, de banque, est d'une crétinerie franche, dans l'application de 3D Secure : le code en plus est ma date de naissance... ce que je ne qualifierais pas vraiment d'information personnelle secrète (grave au contraire !)...
      Oui la "société géniale" comme tu dis utilise la ddn. MAIS : 1°) ca fait toujours une information personelle à connaitre, 2°) ils ne demandent (jusqu'à présent) pas de signer quoi que ce soit, 3°) c'est beaucoup moins perdu qu'un OTP ou autre.
      • [^] # Re: 3D Secure

        Posté par . Évalué à 3.

        Ah, mais, tant qu'ils ne me font pas signer de truc à la con, et qu'en cas de pépin, je suis couvert, moi, ça me va, la date de naissance...

        ... par contre, s'ils me reprochaient de ne pas avoir assez protégé ce qui est contenu dans mon état civil (c'est certes une information personnelle : mais certainement pas un secret), là, ça chierait - façon ebola dans leur face.

        _Ils_ utilisent une solution merdeuse pour _se_ protéger : ils ont plutôt intérêt à assumer jusqu'au bout.
    • [^] # Re: 3D Secure

      Posté par . Évalué à 3.

      Juste pour info, en Norvège, on utilise un système (appelé Bank ID) à base d'un lecteur de carte qui génère un nouveau code à 6 chiffre à chaque pression d'un bouton.
      Pour payer via Internet sur les sites qui supportent le système ou accéder à son compte, il faut rentrer :
      - son nom ou son "ID" (genre son code de securite sociale)
      - le code à 6 chiffre
      - son mot de passe

      Je trouve le sytème plus sur que le systeme à carte de code jetable que j'ai connu auparavant (en France et en Norvège)
  • # Quelle banque ?

    Posté par . Évalué à 5.

    La Société Géniale ?
    La Poste Bancale ?
    Le Crédit Vinicole ?
    Le Groupe Hamac ?
    La Banque Occulaire ?
    La DNC ?
    Le Débit Lyonnais ?
    • [^] # Re: Quelle banque ?

      Posté par . Évalué à 3.

      Crédit agricole je pense, j'ai eu la même chose il y a deux jours.
      • [^] # Re: Quelle banque ?

        Posté par . Évalué à 5.

        Moi le Crédit Mutuel

        J'ai aussi refusé de signer le nouveau contrat. Pour l'instant je m'en sors en utilisant l'option de carte virtuel mais pour la SNCF et certains hôtels ça ne marche pas. En effet, il faut retirer les billets avec la carte ayant servi à l'achat.

        Au Crédit Mutuel, la vérification renforcée se fait à partir d'une carte papier contenant des codes. C'est la même carte qui sert d'habitude sur le site de gestion de la banque pour authentifier les opérations à gros volumes (genre si on veut faire un transfert entre deux de ses comptes d'un montant dépassant un montant autorisé).

        Faisant remarquer à mon "conseillé" que je refusais de signer car je me voyais mal partir à l'étranger avec ma carte de crédit et ma carte des codes au risque de me faire voler les deux en même temps...il m'a répondu que j'avais qu'à scanner la dite carte et me l'envoyer par email... à partir de ce moment-là J'ai plus chercher à discuter.

        Vu que de toute façon sur leur poste de travail, ils gèrent les comptes à travers une interface web dans internet explorer dans MS Windows...
        • [^] # Re: Quelle banque ?

          Posté par . Évalué à 4.

          Heureusement que XSS n'existe pas et que les certificats de sites en md5 ne peuvent être falsifiés !
          Quant aux dates de naissance et autre, aucun danger, le keylogging et les spywares ne sont que des mythes.
    • [^] # Re: Quelle banque ?

      Posté par . Évalué à 4.

      Le Débit Lyonnais fais un systeme de numéro carte bleu unique et temporaire, tu créer une carte du montant voulu sur leur site ensuite il te donne un numéro de carte utilisable du montant voulu avec date de validité et code sécurité.
      Je trouve le système tres bien (et gratuit c.a.d. pas de payement en plus que ce qu'il te prenne d'habitude) et au pire tu ne risque que le montant de la carte que tu as provisionné.
      De mémoire ca s'apelle e-carte bleu
      • [^] # Re: Quelle banque ?

        Posté par (page perso) . Évalué à 7.

        Et un jour tu réserve avec un hôtel ou un billet de train, et quand tu te pointe sur place, on te demande d'insérer la carte ayant servie au payement...

        La carte à usage unique c'est bien, mais c'est pas parfait non plus.
  • # Un autre contrat pour comparer

    Posté par . Évalué à 6.

    J'ai mon nouveau contrat CB sur ma table (la mienne s'est fait soit disant "pirater"), ça tombe bien! voila mon article 9:


    ATRICLE 9 : RECEVABILITE DES OPPOSITIONS
    L'ordre de paiement donné au moyen de la carte est irrévocable. Seules sont recevables par l'émetteur de la carte, les oppositions expressément motivées par la perte ou le vol de la carte, l'utilisation frauduleuse de la carte ou des données liées a son utilisation, le redressement ou la liquidation judiciaire du bénéficiaire du paiement ou la soustraction de la carte par un menbre de la famille du titulaire de la carte. L'opposition pour utilisation frauduleuse de la carte ou des données liées a son utilisation est effectuée dans le cas où le titulaire de la carte est toujours en possession de sa carte au moment de l'opération contestée et :
    - soit si la carte a été contrefaite au sens de l'article L163-4 du code monétaire et financier;
    - soit si le paiement contesté a été efectue frauduleusement, à distance, sans utilisation physique de la carte, avec son seul numéro et d'autres données y figurant.


    Donc y'a pas ta clause spéciale "En cas d’opération sécurisée sur Internet conformément à l’article 3..."
    Tu dois pouvoir demander un contrat classique, sinon je te donne le nom de ma banque.
  • # J'ai réglé le problème de manière définitive il y a peu

    Posté par . Évalué à 1.

    J'ai rendu ma CB. Maintenant je paye en liquide, et à distance par chèque, TIP ou virement (gratuit à la poste).

    S'il rajoute ce genre d'artifices quand il devient réellement responsables des fraudes, c'est bien qu'à la base, c'est pas assez sécurisé…
    • [^] # Re: J'ai réglé le problème de manière définitive il y a peu

      Posté par . Évalué à 2.

      le probleme c'est comment tu retires du liquide ?
      moi avant j'allais dans une banque avec un cheque et on me donnait du liquide
      helas le systeme a changé et comme je ne suis pas dans la banque populaire de la ou j'habites il me refuse la possibilité de retrait par cheque
      • [^] # Re: J'ai réglé le problème de manière définitive il y a peu

        Posté par . Évalué à 2.

        La poste me fournit une carte de retrait. Ce n'est pas une carte de paiement, si on te la vole on peut rien acheter avec sur internet, et elle ne marche que dans les distributeurs de la poste.

        D'ailleurs un avantage de la poste, c'est que c'est national. Alors que la plupart des autres banques sont régionales.

        Bon, après je viens juste d'ouvrir un compte chez eux, j'imagine qu'au fur et à mesure je découvrirais des trucs qui me plaisent moins.
    • [^] # Re: J'ai réglé le problème de manière définitive il y a peu

      Posté par . Évalué à 3.

      Enfin à la Poste, je ne peux pas faire un transfert vers un compte donné sans tout un tas de paperasse, et ça m'oblige à utiliser PayPal qui prend des commissions énormes.

      Et le chèque, personnellement je n'aime pas vraiment ça.
      • [^] # Re: J'ai réglé le problème de manière définitive il y a peu

        Posté par . Évalué à 2.

        Enfin à la Poste, je ne peux pas faire un transfert vers un compte donné sans tout un tas de paperasse,
        La première fois qu'on veut faire un virement vers un compte qui n'est pas dans la liste des comptes autorisés, il faut effectivement leur apporter / leur envoyer le RIB du compte vers lequel on veut faire un virement. Ensuite il faut attendre quelques jours que ça soit ajouté à la liste.

        Je trouve que c'est pas la fin du monde non plus, et les virements sont gratuits contrairement à d'autres. Et puis ça évite les achats impulsifs ;-)

        et ça m'oblige à utiliser PayPal qui prend des commissions énormes.
        J'ai fait deux paiements via paypal, et justement j'ai pas compris parce qu'ils ne m'ont pas prélevé de commissions. Ça se passe comment de ton côté ?

        Et le chèque, personnellement je n'aime pas vraiment ça.
        Pour quelles raisons ?
        • [^] # Re: J'ai réglé le problème de manière définitive il y a peu

          Posté par . Évalué à 3.

          Bah le souci c'est par exemple, tu achètes un objet sur Internet et tu décides de faire un virement, ça paraît difficile de demander un RIB et de dire au vendeur « pas de souci, j'attends que ma banque rajoute ton compte ». L'intérêt du virement électronique c'est que c'est censé être instantané et facile à réaliser, si on en vient à revenir aux anciennes pratiques...

          J'ai fait deux paiements via paypal, et justement j'ai pas compris parce qu'ils ne m'ont pas prélevé de commissions. Ça se passe comment de ton côté ?
          En réalité, la commission est prélevée au niveau du vendeur, pas de l'acheteur, c'est pour ça que tu n'as rien payé[1].

          Pour quelles raisons ?
          Bah, à l'heure d'Internet, c'est un moyen de paiement incroyablement lent et peu sûr de mon point de vue, quand j'envoie le chèque dans une lettre à mon centre financier (et ouais, pour mieux me servir, la poste a son bureau qui ferme quand moi je rentre, et impossible de passer à l'agence dans la journée), je ne sais pas si le courrier ne va pas se perdre, et j'ai lu (bon là on rentre dans l'information non constatée par moi-même) que la vérification des signatures n'est pas si rigoureuse que ça. Sans compter le nombre d'idiots qui signent leurs carnets de chèques en blanc (ouais, j'en ai vu).

          Bref, à mon avis le virement électronique c'est bel et bien l'avenir, reste à trouver des solutions efficaces autre que de rajouter un code de sécurité que tout le monde peut lire (le fameux numéro de sécurité lisible sur le dos de la carte), et un autre encore que tout le monde peut deviner (comme la Société générale qui règle ce code à... une date de naissance).

          [1] https://www.paypal.com/fr/cgi-bin/helpscr?cmd=_display-fees-(...)
          • [^] # Re: J'ai réglé le problème de manière définitive il y a peu

            Posté par (page perso) . Évalué à 3.

            la vérification des signatures n'est pas si rigoureuse que ça

            Je suis allé déposé un chèque à la poste, je remplis le petit papier et je mets mon n° de compte derrière le chèque. Lorsque j'arrive à la caisse elle me dit qu'un des chèques n'est pas à mon nom et elle me demande : « vous voulez quand même essayer de le faire passer ? ». Comme on pouvait me refaire le chèque je n'ai pas tenté…

            Lorsque j'étais jeune je n'avais pas encore de signature et je signais chaque chèque d'une façon différente. Même avec des grosse sommes (1500 et 2500 €) je n'ai jamais eu de problème…
    • [^] # Re: J'ai réglé le problème de manière définitive il y a peu

      Posté par . Évalué à 2.

      Il y a bien le paiement par TIP ou virement, mais j'ai peur des délais énormes. Cela devient dingue d'avoir autant de problèmes pour utiliser son argent.

      Free n'a pas envie de créer un guichet virtuel ? un truc qui fait interface aux autres banques avec frais de transfert gratuit, même si il demande un abonnement mensuel (tout inclus). Il faudrait les comptes habituel et quelques placements "simples".

      "La première sécurité est la liberté"

      • [^] # Re: J'ai réglé le problème de manière définitive il y a peu

        Posté par . Évalué à 3.

        Il y a bien le paiement par TIP ou virement, mais j'ai peur des délais énormes.
        Un TIP, c'est comme un chèque. Je paye EDF par TIP notamment. Par contre mon FAI je lui envoie un chèque (pas fou, jamais je filerai un RIB à un FAI…)

        Free n'a pas envie de créer un guichet virtuel ? un truc qui fait interface aux autres banques avec frais de transfert gratuit, même si il demande un abonnement mensuel (tout inclus). Il faudrait les comptes habituel et quelques placements "simples".
        Ça ressemble un peu à paypal ce que tu évoques. Avec le problème qu'il faut 10 jours pour faire un virement entre deux comptes français.

        Sinon, comme évoqué plus haut, la poste.
  • # Secure ???

    Posté par . Évalué à 5.

    Ces trucs m'amusent bien, je ne comprends pas comment ils arrivent à dire que c'est plus sûr !

    Sur un site classique, on prend toujours un risque (au moins la 1ère fois qu'on commande à un nouveau commerçant) : est-il fiable ? Est-il en liquidation ? Est-ce un vrai site marchand ou une grosse arnaque ?

    On tremble, on se renseigne un peu, on vérifie au moins les certificats et le registre du commerce, et puis on se lance et on donne son n° de carte et toutes les infos qui vont bien. Après tout en cas de problème, je me retourne vers ma banque et c'est elle qui trinque.

    Avec Machin-Secure, le site commerçant (ou arnaquant) non seulement me demande les infos de ma carte mais en plus me renvoie sur le site de ma banque (ou un qui lui ressemble comme 2 gouttes d'eau) pour que je m'y connecte !

    Si le site est un vrai site d'un commerçant honnête, c'est super-sûr. Sinon, ils viennent juste d'inventer le paradis du phishing. En plus de ça ma banque rejette toute la faute sur moi !

    Moi personnellement, je prédis de grosses arnaques en chaine dans les 2-3 ans à venir. Et je reviens aux virements ou aux chèques, c'est vachtement plus sûr.
    • [^] # Re: Secure ???

      Posté par . Évalué à 5.

      Impressionant, tu vérifies dans les registres du commerce avant de t'inscrire sur un site ? Je passe pour un con à me fier à l'orthograhe et à l'apparence du site. :o Bon en même temps, à part de temps en temps Amazon, ça va pas vraiment loin, mais quand même.

      Et je reviens aux virements ou aux chèques, c'est vachtement plus sûr.
      Ouais c'est sûr, vu le nombre de chèques dont on ne vérifie absolument pas les signatures, c'est tellement mieux.
      • [^] # Re: Secure ???

        Posté par . Évalué à 3.

        > Impressionant, tu vérifies dans les registres du commerce avant de t'inscrire sur un site ?

        Non, mais je ne voulais pas passer pour un con en disant que je me fie à l'orthograhe et à l'apparence du site ;o)

        > Ouais c'est sûr, vu le nombre de chèques dont on ne vérifie absolument pas les signatures, c'est tellement mieux.

        Oui, mais au moins je peux dire "c'est pas moi", et à moins que ma banque puisse prouver le contraire, c'est elle qui casque. Pour moi c'est donc plus sûr parce que les risques sont couverts par mon contrat avec la banque.
  • # Quelques lectures interessantes à ce sujet

    Posté par . Évalué à 2.

    En fait l'implémentation du 3D secure est liée au «Liability Shift» ou transfert de responsabilité, qui, normalement, devait être (enfin) effectif en France depuis le 1er octobre dernier. Et donc la banque est, en gros, responsable de la transaction et ne peut plus se retourner contre un tiers. Une banque responsable ? Non, vite trouvons un autre moyen pour rejeter cela sur un autre!

    A ce sujet voir ces billets très interessant : http://www.blogabulles.fr/2008/08/26/une-solution-contre-les(...) , http://oliverblog.wordpress.com/2008/07/20/transactions-3d-s(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.