Ma banque vient de me faire une vacherie. Je dois accepter leur nouvel condition de gestion de ma carte bancaire pour faire des achats sur internet.
Le système rajoute une identification supplémentaire gérée par la banque elle-même lors d'une transaction. Pourquoi pas.
Pour cela, la banque demande de me faire signer un avenant à mon contrat. Or celui-ci rajoute la clause suivante :
A l’article 9 « RECEVABILITE DES OPPOSITIONS », le dernier paragraphe est complété comme
suit :
« - soit si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de la carte, avec son seul numéro et d’autres données y figurant. En cas d’opération sécurisée sur Internet conformément à l’article 3, l’opposition n’est recevable que si le titulaire de la carte démontre que le procédé d’authentification convenu avec l’émetteur a également été utilisé frauduleusement. »
J'ai l'impression que le nouveau système gagne le statut d'une paiement avec code. Si il y a fraude, on doit prouver l'utilisation frauduleuse pour être rembourser !
De toute façon, je n'ai plus le choix, si je veux faire des achats, il faut que j'accepte ces conditions.:(
Journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer
8
fév.
2009
# Etudions toutes les possibilités
Posté par Calvin0c7 . Évalué à 10.
Refuse ces conditions, ne signe pas cet avenant et continu d'utiliser ta carte comme d'habitude.
Au pire : change de banque, j'en connais qui prennent même à leur charge les frais de transfert si tu viens chez eux (et qui prennent aussi en charge le transfert tout court).
[^] # Re: Etudions toutes les possibilités
Posté par Nico C. . Évalué à 6.
Moi, je connais pas de contrat qu'on est oblige de signer... A part celui avec la Mort ?
[^] # Re: Etudions toutes les possibilités
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 9.
[^] # Re: Etudions toutes les possibilités
Posté par JoeltheLion (site web personnel) . Évalué à 7.
[^] # Re: Etudions toutes les possibilités
Posté par Charles-Hubert MOINDRON . Évalué à 5.
Donc, les refuser, c'est bien, mais continuer d'utiliser sa carte comme d'habitude, faut pas rêver non plus, sont pas fous les mecs...
[^] # Re: Etudions toutes les possibilités
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 1.
[^] # Re: Etudions toutes les possibilités
Posté par Calvin0c7 . Évalué à 2.
Je n'en ai jamais vu, et j'achète régulièrement sur Internet. Ils doivent être facilement évitable.
[^] # Re: Etudions toutes les possibilités
Posté par Aefron . Évalué à 2.
Personnellement, depuis ~octobre/novembre (je crois), tous les sites sur lesquels j'achète finissent par m'afficher le biniouk 3day-sekioure (apparemment, c'est le serveur de ma banque qui gère cette page)...
... le premier ayant été un site italien, pour des lecteurs de smartcards...
[^] # Re: Etudions toutes les possibilités
Posté par Janfi . Évalué à 3.
Evidemment, ça reste évitable, mais on perd la souplesse de la carte...
[^] # Re: Etudions toutes les possibilités
Posté par jeffcom . Évalué à 3.
En gros, soit le client "adhère" (c'est comme ça que c'est décrit dans la doc) au programme "3D-Secure" et la vérification est faite, soit il n'y adhère pas, et vérification est sautée. Ça laisse donc à penser que c'est "juste" une option.
Bref : c'est déployé depuis belle lurette... mais, étant une option où, apparemment, c'est le commerçant qui a le dernier mot (de savoir s'il adhère ou pas - dans la limite des choix qu'on lui donne), il n'est pas encore actif partout...
Ps : si quelqu'un d'Atos voit ce message : je sais que d'après ce qui est écrit en bas de chaque page de la doc (en format .doc) je n'ai pas le droit de divulguer le contenu de la doc, cependant, étant donné qu'elle est refilée à tout intégrateur souhaitant intégrer leur solution de paiement qui, au passage, est commune à pas mal de monde si j'ai bien compris (la SG, La Banque Postale...) je vois pas trop en quoi c'est secret...
[^] # Re: Etudions toutes les possibilités
Posté par tiot (site web personnel) . Évalué à 4.
En gros on m'envoie un mail mais on m'interdit de le récupérer.
[^] # Re: Etudions toutes les possibilités
Posté par jeffcom . Évalué à 4.
[^] # Re: Etudions toutes les possibilités
Posté par Mouns (site web personnel) . Évalué à 3.
[^] # Re: Etudions toutes les possibilités
Posté par Rémi Birot-Delrue . Évalué à 3.
[^] # Re: Etudions toutes les possibilités
Posté par M . Évalué à 4.
Tiens ça me rappel que j'ai toujours pas renvoyé l'accusé de reception de ma nouvelle CB (et des nouvelles conditions générales). Pourtant ça fait plus de 6 mois qu'elle marche sans soucis...
Vive les vérifs au niveau des banques...
[^] # Re: Etudions toutes les possibilités
Posté par briaeros007 . Évalué à 2.
[^] # Re: Etudions toutes les possibilités
Posté par Éric (site web personnel) . Évalué à 3.
Pour le changement de banque, si toutes les banques font un système du genre, ce n'est pas pour votre sécurité, c'est pour la leur, elles finiront par toutes imposer les mêmes conditions. C'était prévu et prédit de longue date ce genre d'avenants.
# ce qui est très fort..
Posté par Troy McClure (site web personnel) . Évalué à 10.
Quand la carte bancaire de Pierre Tramo est utilisée frauduleusement par un type en egypte pour se payer en ligne un écran plasma et 20kg de viagro, la banque rembourse effectivement Pierre Tramo, puis elle se retourne contre la banque du commerçant (le vendeur de plasma et de médicaments magiques), lui demande l'oseille, et la banque du commerçant, bien sur, elle se tourne vers le commerçant..
Donc quand il y a une fraude, c'est le commerçant qui l'a dans l'os. Pas la banque.
[^] # Re: ce qui est très fort..
Posté par TaXules . Évalué à 2.
Contrairement aux chèques, si le commerçant applique bien la procédure (qui est de faire rentrer le code, d'attendre le ok, etc. Bref c'est toujours le cas), alors il est assuré d'être payé. Donc j'en déduis que c'est la banque qui casque.
Et d'ailleurs si les banques font tout pour sécuriser les cartes bleues et non les chèques, c'est pas pour rien.
[^] # Re: ce qui est très fort..
Posté par Anonyme . Évalué à 2.
Tu as plus de détails sur les types de problèmes qui se posent avec les chèques ?
[^] # Re: ce qui est très fort..
Posté par Anonyme . Évalué à 3.
yaka voir le nombre de commercant qui refuse les cheques. Les banques laisse les chequiers a ceux qui ne sont plus solvable (un certain temps certe), du coup elle laisse volontairement des cheques impayé se promener, cela convaint plus d'un commercant de ne pas les accepter.
[^] # Re: ce qui est très fort..
Posté par Earered . Évalué à 2.
L'origine est une modification de la règlementation fiscale.
Avant, lorsqu'un commerçant faisait partie d'un centre de gestion agréé (pour réduire ses impôts essentiellement), il était contraint d'accepter les chèques. Ce n'est plus le cas aujourd'hui.
i.e. les parlementaires (ou l'administration?) ont estimé que ça n'était plus nécessaire et/ou qu'il y avait mieux à favoriser ou ils ont entendus la complainte des commerçant que ça soulait de gérer au quotidien l'encaissement des chèques.
Il ne faut pas tout mettre sur le dos des banques.
[^] # Re: ce qui est très fort..
Posté par briaeros007 . Évalué à 4.
Oui, jusqu'a un certain plafond les signatures ne sont pas vérifiées (problème tout simplement de volume).
Toutefois, si on te vole ton chéquier et qu'on fait des chèques frauduleux, tu demande simplement copie du chèque (ils sont tenus de le conservé), et tu montres que la signature n'est pas la tienne (sauf si un bon faussaire, dans ce cas). Donc la c'est la banque qui n'a pas fait son travail et tu es intégralement remboursé (et tu peux même essayer un petit geste commercial).
[^] # Re: ce qui est très fort..
Posté par Troy McClure (site web personnel) . Évalué à 7.
[^] # Re: ce qui est très fort..
Posté par Ontologia (site web personnel) . Évalué à 2.
Ou plutôt son assureur.
La banque a de toutes façons intérêt à ce que ça soit rare, ça implique des frais de dossiers ainsi qu'une augmentation potentiel du cout de l'assurance.
« Il n’y a pas de choix démocratiques contre les Traités européens » - Jean-Claude Junker
[^] # Re: ce qui est très fort..
Posté par qstone . Évalué à 2.
[^] # Re: ce qui est très fort..
Posté par briaeros007 . Évalué à 2.
les banques sont assuré par exemple lors d'un hold up. Il ne serait pas complètement absurde qu'elles soient aussi assurés par rapport aux fraudes divers et variés dont elles n'y peuvent rien.
[^] # Re: ce qui est très fort..
Posté par Kerro . Évalué à 4.
Pas en FranceTant que le code confidentiel n'a pas été entré, alors c'est le commerçant qui l'a dans l'os. C'est pour cela que les cyber-commerçants adhèrent à Fia-Net (même direction technique que voyage-sncf tellement c'est mal conçu).
En gros le commerçant est tranquille uniquement avec les réglements via un terminal de paiement électronique (le boîtier chez les commerçants). En ligne, c'est dans leur postérieur que la banque leur met. Et bien profond car la commission prélevée est à peu-près la même... avec comme seule garantie de se faire arnaquer un jour ou l'autre.
[^] # Re: ce qui est très fort..
Posté par kikicnrv . Évalué à 4.
Mais le pire là dedans, le pire, c'est que l'argent que la banque doit avancer à son client avant de se retourner contre la banque du commerçant, c'est toujours ça de moins qu'elle peut jouer investir en bourse, ça leur fait un gros manque à gagner (ou un gros manque à perdre par les temps qui courent ...)
# C'est pas légal
Posté par Joris Dedieu (site web personnel) . Évalué à 9.
C'est en tout cas comme ça que sont géneralement interprétés le bulletin n° 658 de la Cour de cassation (1er avril 2007) et l'article L. 132-4 du code monétaire et financier
La responsabilité du titulaire d'une carte mentionnée à l'article L. 132-1 n'est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte.
De même, sa responsabilité n'est pas engagée en cas de contrefaçon de sa carte au sens de l'article L. 163-4 et si, au moment de l'opération contestée, il était en possession physique de sa carte.
Dans les cas prévus aux deux alinéas précédents, si le titulaire de la carte conteste par écrit avoir effectué un paiement ou un retrait, les sommes contestées lui sont recréditées sur son compte par l'émetteur de la carte ou restituées, sans frais, au plus tard dans le délai d'un mois à compter de la réception de la contestation.
A moins que ça n'ait évolué depuis qu'on m'a appris cela .
[^] # Re: C'est pas légal
Posté par Éric (site web personnel) . Évalué à 4.
[^] # Re: C'est pas légal
Posté par briaeros007 . Évalué à 2.
[^] # Re: C'est pas légal
Posté par Éric (site web personnel) . Évalué à 3.
Si on insère un nouveau procédé d'authentification, que la banque affirme qu'il est suffisamment sur pour que la présomption soit renversée (comme elle l'est pour le code secret) ... ça se débat et un tribunal pourrait tout à fait renverser ce qui était établit jusque là.
Quand les conditions changent, logiquement l'arbitrage peut changer.
[^] # Re: C'est pas légal
Posté par briaeros007 . Évalué à 3.
Il ne suffit pas que la banque l'affirme, il faut qu'elle le prouve!
C'est donc à la banque de prouver qu'il est extremement difficile de faire un paiement frauduleux avec ses méthodes.
ça se débat et un tribunal pourrait tout à fait renverser ce qui était établit jusque là.
Comme tu dis, ça se débat. Pour l'instant elle reste abusive (vu que contraire à la jurisprudence) et devra donc être testé devant le tribunal ;) (cad que bien qu'elle soit écrite, elle ne lie pas forcément le signataire du contrat, et ça sera au tribunal de le juger).
[^] # Re: C'est pas légal
Posté par Éric (site web personnel) . Évalué à 2.
En fait pas vraiment, justement. Il suffit qu'elle l'affirme dans les CGV. A toi d'aller en procès et de prouver que ce n'est pas le cas si tu n'es pas d'accord, ou que la clause est abusive.
Le fait est que pour la plupart des montants réalistes, un procès de cette envergure (que la banque ne *voudra* pas perdre et où elle mettra les moyens), ça risque d'être hors de portée.
Bref, on va être dans la merde (et on l'avait bien prévu ce problème avec les sécurités additionnelles, c'était dit et prédit partout ce revirement)
> Pour l'instant elle reste abusive (vu que contraire à la jurisprudence)
Euh, non
Elle est là. Elle n'est pas contraire à la jurisprudence vu que c'est un fait nouveau (et même si ça l'était d'après toi, ça ne suffit pas à la déclarer abusive légalement, ça reste encore à passer en procès pour qu'un juge l'annule). Tu ne veux pas la respecter ? ne la respectes pas, mais on pourra te le reprocher.
Si tu veux la faire tomber et considérer abusive, tu peux aller en procès, et là tu pourras parler de jurisprudence si tu veux. Mais entre temps elle est bel et bien dans ton contrat et on peut bel et bien te l'opposer.
> (cad que bien qu'elle soit écrite, elle ne lie pas forcément le signataire du contrat, et ça sera au tribunal de le juger).
Non non, à défaut de jugement toi tu considères qu'elle ne t'engages pas, la banque considère qu'elle t'engage, et sauf à la faire explicitement annuler, il sera plus facile à la banque de la faire respecter qu'à toi de l'ignorer (et c'est bien normal, ce n'est pas à toi seul de décider si elle est abusive ou non)
De toutes façons si la banque ne veut pas te rembourser elle ne te remboursera pas, qu'il y ait contrat ou pas, clause abusive ou pas. Et si tu insistes, ça sera à toi d'aller en procès.
[^] # Re: C'est pas légal
Posté par briaeros007 . Évalué à 4.
Ensuite le fait qu'une cours de cassation ait établis une jurisprudence peut être tout a fait suffisant lors d'une discussion à l'amiable avec la banque afin de te faire rembourser.
[^] # Re: C'est pas légal
Posté par lolop (site web personnel) . Évalué à 4.
Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141
# 3D Secure
Posté par Aefron . Évalué à 10.
De ce que j'ai compris, ça permet à la banque de ne plus avoir à se retourner vers le commerçant en cas d'utilisation frauduleuse de la carte d'un client...
En gros, avant, en cas de magouille avec une CB d'un de ses comptes, une banque se retournait vers la banque du commerçant, puis celle-ci, vers le commerçant, qui finissait par avoir dans le baba l'objet envoyé ET l'argent perçu...
Maintenant, seule la banque du détenteur de la carte est responsable, et du coup, elle pose une "sécurité" en plus... vu qu'en cas de pépin, elle ne peut plus se retourner contre le vendeur (je trouve ça plutôt normal), elle veut "s'assurer" que le payeur est bien le détenteur de la carte...
Sauf que, la mienne, de banque, est d'une crétinerie franche, dans l'application de 3D Secure : le code en plus est ma date de naissance... ce que je ne qualifierais pas vraiment d'information personnelle secrète (grave au contraire !)... j'imagine qu'ils auraient pu filer un calculateur OTP, ou un truc du genre, mais non : à la société géniale, être nase, c'est une histoire de compétition, et on n'en a pas honte... Bon, par contre, pour l'instant, je n'ai rien eu à signer de nouveau.
M'enfin... Si d'autres banques semblent un peu moins légères dans cette affaire, d'après Wikipedia [1], si la mienne me demandait de prouver que le moyen d'authentification a été "utilisé frauduleusement", ça irait quand même assez vite : je leur répondrais que si j'avais eu à choisir une information secrète, je n'aurais certainement pas pris ma date de naissance, donnée qui traîne un peu partout (notamment sur mes papiers d'identités... dans le même portefeuille que ma CB... voire dans mon profil, sur des sites d'achat en ligne), et en haut du classement des mots de passe les plus crétins qui soient, avec le nom de son animal familier et autres conneries du genre "1234" ou "toto"... et que la faute incomberait intégralement, de fait, à la crasse de leur incurie. Et hop.
[1] http://fr.wikipedia.org/wiki/3D_Secure
[^] # Re: 3D Secure
Posté par Loïc d'Anterroches (site web personnel) . Évalué à 3.
Sachant le niveau de sécurité que cela apporte en plus et vu les montants, cela ne sera pas activé chez moi, un contrôle de l'adresse IP, pays d'émission de la carte, open proxy, etc. me suffira à mon avis largement.
Y'a t'il des vendeurs en ligne dans la salle pour donner leur expérience sur cette "option" ?
[^] # Re: 3D Secure
Posté par grid . Évalué à 3.
[^] # Re: 3D Secure
Posté par Aefron . Évalué à 3.
... par exemple, en Suède, on ne peut demander la correspondance d'une IP avec une personne que si ce qu'on a fait de la connexion est passible d'au moins deux ans de tôle (c'est là-dessus que ce base par exemple relakks, qui est plus un VPN qu'un proxy - m'enfin, c'est pour imager).
Cumule VPNs, proxies et darknets, et pour remonter à toi, ça va être un peu coton (pas infaisable, mais pas à la portée du premier grouillot venu).
Cependant, il y a des blacklists des IP de ces proxies, des IP des noeuds de sortie des darknets, etc (genre, à un moment, LDLC m'interdisait l'accès à leur site, alors que je n'étais qu'un relai Tor [même pas un noeud de sortie])...
C'est le chat et la souris...
[^] # Re: 3D Secure
Posté par Régis . Évalué à 2.
http://www.maxmind.com/app/proxy
Et ce service n'est pas complètement fiable.
Est-ce que tu connais d'autre service proposant des blacklistes ?
[^] # Re: 3D Secure
Posté par Aefron . Évalué à 3.
... pour le reste, je n'en sais rien : les moyens d'anonymats, il m'arrive d'en utiliser (et je fais tourner un relai Tor... tout autant que je suis de plus en plus intéressé par un tunnel Relakks, qu'il est fort probable que je me procure d'ici mars) - mais jamais de chercher à les filtrer ;)
[^] # Re: 3D Secure
Posté par epot (site web personnel) . Évalué à 1.
[^] # Re: 3D Secure
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Le problème est plutôt dans le retournement de responsabilité.
"La première sécurité est la liberté"
[^] # Re: 3D Secure
Posté par ashram4 . Évalué à 2.
jetable, jetable... si tu parles de la carte avec les codes j'ai la même depuis que le service filbanque l'exige pour les virements extérieurs et ça fait plusieurs années maintenant. C'est toujours cette carte n°1 qui m'était demandé pour les virements il y a 2 mois. Bref c'est une sécurité supplémentaire mais pas vraiment jettable pour l"instant.
Pendant qu'on parle de banque, le service CIC FilBanque est nettement plus pratique que le service en ligne du Crédit Agricole. Par contre au niveau des conseillers/conseillères financières il faut tous les deux un concours au moins capable.
[^] # Re: 3D Secure
Posté par gc (site web personnel) . Évalué à 3.
en fait, c'est une lutte assez efficace contre les keyloggers car le maichan ne pourra pas s'authentifier lui aussi par la suite, même s'ils choppe ton login et mot de passe.
maintenant c'est attaquable par un faux site bancaire, ou par interception des données des ces codes chez toi, chez la banque ou à la transmission, et les banques sérieuses, comme l'UBS ou la Poste Suisse par exemple, sont déjà passées depuis belle lurette à la calculette magique (tu mets ta carte bancaire dedans, tu mets un challenge proposé par le login du site, tu entres ton code secret de carte, et ça te rend la réponse au challenge que tu dois mettre sur le site). le principe de ce truc d'ailleurs est peut-être lié à OTP comme le citait un autre plus haut mais je n'y connais rien. on peut aussi supposer qu'il y a une bête clé de crypto dedans mais alors ce secret faudrait cher (les calculettes ne sont pas personnelles donc ça ne peut pas être une clé personnelle). comment ça marche à la Poste Suisse :
https://e-finance.postfinance.ch/ef/public/cc/trans/help/con(...)
(cliquer sur "commencer la visite")
au final quand j'ai émigré de France en Suisse en 2004, je suis passé du système login + mot de passe chez le crédit agricole au système de mots de passe jetables chez la poste suisse (et l'UBS utilisait déjà la calculette) ; depuis, la poste suisse est passée au système de la calculette, et le crédit agricole est toujours au login + mot de passe (ok il faut cliquer sur les chiffres pour le mot de passe donc normalement un keylogger ne peut pas l'intercepter). je suis étonné que les banques françaises ne semblent pas prendre plus au sérieux la sécurité de leurs sites de e-banking.. ou alors elles sont bien moins exposées aux fraudes qu'en suisse (et je ne suis pas un client grosse fortune, c'est monsieur lambda qui est à la poste suisse - qui n'est même pas une banque du point de vue légal mais c'est une autre question) mais ça m'étonne..
[^] # Re: 3D Secure
Posté par Buf (Mastodon) . Évalué à 6.
Non. Ce genre de méthodes n'apportent qu'une illusion de sécurité, en se basant sur le fonctionnement le plus courant des keyloggers. Mais d'un point de vue théorique, ça n'apporte strictement aucune sécurité supplémentaire : on peut facilement imaginer un "mouselogger" qui enverrait un screenshot de la zone sous le pointeur à chaque clic (ça existe surement déjà)
[^] # Re: 3D Secure
Posté par ✅ ffx . Évalué à 2.
[^] # Re: 3D Secure
Posté par Buf (Mastodon) . Évalué à 5.
Ce qu'il faut, c'est un système qui exige d'entrer un code différent à chaque connexion (peu importe la forme que ça prend, même une bête liste de numéros sur papier améliore déjà considérablement la sécurité)
[^] # Re: 3D Secure
Posté par Ph Husson (site web personnel) . Évalué à 4.
Bien sur que si que c'est possible: la "calculette" peut très bien n'être qu'une interface homme-machine et c'est la carte bancaire qui fait tout. (ce qui est surement le cas d'ailleurs, sauf à être un peu suicidaire sur les bords)
[^] # Re: 3D Secure
Posté par epot (site web personnel) . Évalué à 1.
1. Tu entres ta carte dans la "calculette"
2. Tu entres dans la calculette un code (8 digits) que le site web te donne
3. Tu entres ton PIN dans la calculette
4. La calculette te rend un code (8 digits aussi) à entrer dans la boîte as hoc du site web
Donc, a priori, la calculette n'est pas personnelle mais ce qu'elle calcule l'est (puisqu'il dépend de ta carte bancaire et de ton PIN). A priori ... (l'algorithme n'est pas disponible au public)
[^] # Re: 3D Secure
Posté par thedude . Évalué à 2.
La calculette avec carte est personnelle (enfin la carte, pas la calculette :) ).
Les calculette sans carte (l'essentiel de leur business) sont strictement personnelles (cle 3des hardcodee en usine).
[^] # Re: 3D Secure
Posté par thedude . Évalué à 1.
Qu'ils soient generes a la volee ou de facon statique puis envoyer par la poste, fax ou a dos de corbeau, ca revient au meme, conceptuellement.
C'est effectivement tres costaud a casser (chiffrement 3des ou asymetrique en fonction des prestataires).
L'idee est toute simple: chiffrer avec un algo fort la date et/ou un compteur d'evenement et/ou le challenge cote client et l'envoyer au serveur.
Le serveur a lui la connaissance de la cle du client (certificat publique si asymetrique, prive si symetrique) et genere des mots de passes dans une certaine fenetre (temps/evenements + eventuel challenge) jusqu'a tomber sur le meme.
S'il trouve pas, va te faire voire.
Dans ma boite on faisait du symetrique (la gestion des certifs, c'ets un gros boulot, plus simple de gerer un cle symetrique), je me dit que dans le cas de l'asymetrique il doivent se contenter de dechiffrer l'otp et de verifier si les donnees envoyees sont bien celles attendues (temps+challenge+evenement).
Le tout est base sur des algos publiques costauds, auquels on ajoute un sel d'obscurite parce qu'on va pas leur faciliter la tache quand meme (pis surtout, techniquement ca peut aider aussi).
Par contre, ca ne protege pas du tout du man in the middle. Enfin pas en soi. Vu que l'homme du milieu connait le challenge, il peut aisement se faire passer pour le client.
Ya diverses pistes pour contrer ca, par exemple passer par une solution soft et de faire intervenir le certificat SSL du serveur.
On avait fait ca via une applet:
L'applet, une fois chargee, va recuperer le certif du serveur a qui elle parle (MITM donc), introduire la cle publique dans la generation de l'OTP et envoyer tout ca au serveur MITM.
Le MITM s'empresse de faire suivre a la banque, qui n'a pas la meme cle publique (ou alors ya un serieux probleme de secu que tous les OTP du monde ne peuvent resoudre).
La banque va essayer de regenerer le mot de passe de son cote et ne va pas y arriver car meme si temps+evenement+challenge correspondent, la cle publique n'est pas la meme.
Et paf l'homme du milieu.
Evidemment, si l'homme du milieu decompile/modifie l'applet, t'es baise.
Mais l'applet est of course signee par la banque.
Donc si le certif n'est pas le bon, la faute incombe (et surtout, decombe) au client, et c'est tout ce que veut la banque: proteger ses petits sous a elle, pas ceux du client.
[^] # Re: 3D Secure
Posté par briaeros007 . Évalué à 3.
Sauf que le "sel d'obscurité" peut leur faciliter la tache justement.
Comment vérifier l'implémentation si tu la cache ? Tu es sur que les relecteurs que tu as choisis ont eu aucune faille ?
Si tu as besoin de cacher ton implémentation, c'est donc que tu crains une faille dedans, faille qui sera sans nulle doute trouvée par quelqu'un de déterminé disposant d'important moyen (et crois moi, pour attaquer les banques, les mafias ont d'important moyens).
[^] # Re: 3D Secure
Posté par thedude . Évalué à 2.
L'implementation 3DES hard est de toute facons cachee: implementee en hard dans un puce.
Pour les produits softs, la reponse est facile a trouver (mais compte pas sur moi pour te le dire).
Et validee comme il faut, dans le contexte d'utilisation du token.
Et dans le cas de la boite dont on parle plus bas, ils ont des ressources en interne qui disent si les algos utilises sont bons ou mauvais.
Si tu as besoin de cacher ton implémentation, c'est donc que tu crains une faille dedans
Le systeme est fiable, les tokens hard sont toujours pas casse a ma connaissance.
Si l'implem est ouverte, les seuls personnes qui vont verifier serieusement l'implem sont les mechants.
Autant je concoit que la securite par obscurite pure soit une connerie sans nom, autant c'est pas une raison suffisante pour filer toutes les sources aux mechants. Et vu que le retour positif (audit serieux) est nulle, ya aucun interet.
Je dis ca sans animosite aucune, mais que je vois la qualite de relecture du code d'openSSL dans debian, tu me permettras de mettre en doute la qualite de relecture de la "communaute".
[^] # Re: 3D Secure
Posté par gc (site web personnel) . Évalué à 2.
C'est une présentation très partiale. Il y a eu erreur humaine dans un patch, ce n'est pas une question de relecture/audit. On peut opposer à ton exemple la qualité de relecture du code d'OpenBSD par les gens d'OpenBSD, qui a permis de trouver bon nombre de failles par simple relecture/audit avant qu'elles ne soient connues ou exploitées. En bref, ce n'est pas la panacée et il ne faut pas oublier effectivement que la qualité des projets libres se concentre surtout dans les projets principaux, mais il ne faut pas jeter le "given enough eyes all bugs are shallow" si facilement.
[^] # Re: 3D Secure
Posté par briaeros007 . Évalué à 3.
Tu as des organismes de vérification indépendant, qui permettent justement d'attribuer un degré de sécurité à des implémentations hard.
Le systeme est fiable, les tokens hard sont toujours pas casse a ma connaissance.
Ca me rapelle windows, qui peu après la sortie de vista disait "c'est fiable, pas de faille publiques". Ils oubliaient juste de dire que les chercheurs de kapersky/norton avait vu des failles pour vista contre 20000$ sur le marché noir.
Que tu n'en ais pas connaissance ne veut pas forcément dire que c'est fiable.
Si l'implem est ouverte, les seuls personnes qui vont verifier serieusement l'implem sont les mechants.
Ou les gens qui en ont besoin.
Allez exemple con, dans un tout autre domaine.
http://www.deeplife.co.uk/or_models.php
Oh tiens ca alors, ils donnent leurs references pour que ceux qui plongent avec leur matos puisse vérifier, et aient confiance ! Ben tu vois, quand je passerais au rebreather, j'irais chez eux, bizarre hein. Pourtant d'après toi, seul des "méchants" (concurrent,...) pourraient etre intéressé par ça.
autant c'est pas une raison suffisante pour filer toutes les sources aux mechants.
J'ai pas dis toutes les sources non plus ;)
J'ai juste attiré l'attention que malgré que la "base" soit saine, rajouté quelque chose ne signifie pas pour autant augmenter la solidité de la base.
mais que je vois la qualite de relecture du code d'openSSL dans debian, tu me permettras de mettre en doute la qualite de relecture de la "communaute".
En même temps , le truc de debian avait eu l'aval des "experts" d'openSSL. Alors on pourrait dire "quand on vois la qualité des experts, tu me permettras de mettre en doute la qualité d'une quelconque expertise".
[^] # Re: 3D Secure
Posté par thedude . Évalué à 3.
L'implem' 3des est fiable. Period.
Je te le dit, j'ai bosse pour eux. T'as le droit de pas me croire, toujours est il que la personne qui a des infos ici, c'est moi.
C'est un pas os, c'est pas un rebreather, c'est une solution crypto, evite les comparaisons a 2 francs.
Quand a l'obscurite, elle se trouve, je le repete, sur les donnees en entree et sur la facon de transformer la sortie du 3des en otp. Pas sur le 3des en soi.
En même temps , le truc de debian avait eu l'aval des "experts" d'openSSL.
Oui oui, "if it helps for debugging", ca c'est de l'aval hein?
m'enfin...
[^] # Re: 3D Secure
Posté par briaeros007 . Évalué à 4.
Désolé, mais ces grace à ces théories que tu peux dire que quelque chose est "fiable" ou justement "pas fiable".
L'implem' 3des est fiable. Period.
Dieu nous le dit donc c'est vrai...
puis si tu veux qu'on parte "moins théorique" , ca me gêne pas.
L'implem d'un algo qui a déjà une attaque par le milieu , et qui est moins intéressant point de vue technique qu'un algo conçu from scratch pour utiliser des clés > 60 bits, y'a pas a dire ca à l'air vachement fiable et pérenne ... surtout au niveau des choix de conceptions!
c'est une solution crypto, evite les comparaisons a 2 francs.
la comparaison entre les verifs formels d'un ALGORITHME DE DECOMPRESSION et d'un ALGORITHME DE CHIFFREMENT me semblent pertinentes.
Dans les deux cas, on veux que ca fasse exactement ce que dis l'algorithme, et qu'il n'y ait pas d'effets de bords.
Ensuite si on compare le sérieux, on peut voir que deep life effectue des tests, se met à la conformités de 3 normes (sévères, conditionnant des systèmes de support de vie) dans un systeme mécanique ET éléctronique (redondances des opérations) ET software (notation Z, ...).
Et malgré tous les "risques" (reprise par un concurrent ou autre) donne les éléments sur leur sites.
De l'autre on a une implémentation qu'un Dieu (du nom de thedude par exemple) nous affirme être fiable, sans éléments, sans indications des tests passés, sous prétexte que si il ose donner des éléments, alors ca va aider les méchants (alors que si c'était fiable, donc prouvé, tu aurais du 0-knowledge).
Quand a l'obscurite, elle se trouve, je le repete, sur les donnees en entree et sur la facon de transformer la sortie du 3des en otp.
Donc la façon de transformer le 3DES en OTP ne fait pas partie du processus cryptographique ?
Encore heureux que vous savez faire un algo 3DES "fiable".
Mais tu sais une faille de RSA était par exemple de ne pas regarder la taille du message à chiffrer. Pour certaines tailles (données en entrée . Et oui, ca joue) , les opérations modulaire n'était plus modulaire, et donc on pouvait donner du knowledge.
Comme le dis les fameuses "grande idées théoriques" : "la sécurité d'une chaine cryptographique est la sécurité de son plus faible maillon".
Jusqu'à présent, tout ce que tu as dis c'est "on a un maillon fiable, notre implem de 3DES. Bien entendu on ne donne aucun moyen de vérifier, notre implem est forcément fiable".
Quid des autres maillons ? Inconnu.
Quid de la façon de prouver la fiabilité ? "Je n'ai pas connaissance que ca a été cassé".
Tu m'excuseras, mais ca manque VRAIMENT de sérieux.
[^] # Re: 3D Secure
Posté par thedude . Évalué à 0.
C'est l'hopital qui se fout de la charite, vraiment.
Tu as forcemment raison.
Apres tout, j'ai juste bosse la bas sur certains des produits en question.
Toi, t'as vu le mot OTP et 3DES, donc tu sais tout mieux que tout le monde, meme si t'as pas la moindre idee de ce que la boite en question fait. Tout ca parce que t'as lu un blog un jour qui parlait d'OTP.
Quelle suffisance...
surtout au niveau des choix de conceptions!
Mais de quoi tu parles?
T'as pas la moindre idee de ce que les tokens ont dans le ventre!!! Tout ce que tu sais, c'est le fonctionnement haut niveau que j'ai decrit dans les grandes lignes. Tu veux que je te fasse une preuve formelle du produit dans les commentaires de lfr?
Ca t'arrive de pas parler de choses que tu connais pas?
Tu te sens toujours oblige d'etaler ta science comme ca?
[^] # Re: 3D Secure
Posté par briaeros007 . Évalué à 2.
Voui, et après ? Tu as bossé dessus c'est bien. Et ca apporte quoi au débat ? Ah oui rien du tout.
Toi, t'as vu le mot OTP et 3DES, donc tu sais tout mieux que tout le monde, meme si t'as pas la moindre idee de ce que la boite en question fait. Tout ca parce que t'as lu un blog un jour qui parlait d'OTP.
Si les seuls arguments sur la sécurité d'une solution, c'est essayer (de façon maladroite) de faire croire que son interlocuteur ne connais pas, ça renseigne bien sur la sécurité de ladite solution, mais pas d'une façon positive.
T'as pas la moindre idee de ce que les tokens ont dans le ventre!!! Tout ce que tu sais, c'est le fonctionnement haut niveau que j'ai decrit dans les grandes lignes. Tu veux que je te fasse une preuve formelle du produit dans les commentaires de lfr?
Certe je n'ai pas la moindre idée de ce que fait ton produit. Toutefois tu es bien pédant et apporte aucun argument concret. Je me suis donc permis de te rappeler de la position de 3DES dans les algos symétriques actuels. Et le fait que j'ose te rappeler que l'état de l'art tend plutôt à délaisser 3DES (qui n'était qu'une solution de pis aller pour ne pas briser la compatibilité avec les précédents solutions utilisant DES) sur une solution "nouvellement concu" (j'avoue que je vois pas très bien l'intéret de la compatibilité DES sur ta solution, mais tu peux avoir des blocs déja prouvé, ce que je pourrais comprendre, si tu argumentait un minimum).
comme tu dis "Quelle suffisance...".
Tu n'argumente pas. Tu affirmes des choses sans rien derrière (ah si tu le dis, si tu le dis, c'est forcément vrai...).
Et dès qu'on ose te contredire d'un point de vue au moins théorique, tu ne le supporte pas et il faut que tu attaques ton interlocuteur (bien maladroitement).
Mais si au moins c'était avec des arguments concrets comme "l'implémentation a eu la qualif FIPS bidule" ou "un laboratoire indépendant a testé la puce et a trouvé aucune attaque exploitable" .
La non, tu dis "le client nous a rien dis. C'est ma preuve de sécurité".
Et quand on rentre un peu dans le lard, tu dis "de toute façon toi t'y connais rien".
C'est ce type de comportement qu'on appelle de la suffisance! (croire qu'on est supérieur aux autres, et refusé d'argumenter un minimum).
[^] # Re: 3D Secure
Posté par thedude . Évalué à 0.
Nouvellement concu?
Ou est ce que j'ai dit que c'etait nouvellement concu?
La boite en question a plus de 10 ans, les techniques employees sont plus vieille encore (rachat de boite deja existante, la base du produit a peut etre plus de 15 ans)!!!
Tu sais, avant qu'AES soit publie?
Comment ca tu savais pas? Tu veux dire que tu sais pas de quoi tu parles?
Voui, et après ? Tu as bossé dessus c'est bien. Et ca apporte quoi au débat ? Ah oui rien du tout.
Si tu consideres que le debat c'est "le niveau d'etalage de confiture de briaeros aka Dieu", effectivement pas grand chose.
Si tu consideres que la question c'est "est ce que le produit est fiable", quelqu'un qui a bosse sur les produits, sait qu'il a ete verifie par des gens competents et qu'il n'a jamais eu le moindre pb, ca doit apporter.
Non je vais pas te filer tous les documents parce que je les ait pas.
Je vais pas te filer le nom des personnes en question, parce que je les ait pas. Ni le nom de leur chien d'ailleurs.
Si t'etais une banque et que tu les contactais pour acheter qq chose, ils se feraient un plaisir de te donner leur references. Mais comme ca va pas dans ton sens le fait que j'ai deja dit ca, tu vas encore faire comme si j'avais rien ecrit, faire des phrases avec bits et des chiffres > 150 dedans pour faire bien, mettre des termes techniques pour montrer que toi tu sais mieux que tout le monde.
Parce que toi t'es un super expert, tu l'ouvres avec tellement d'assurance sur tellement de sujet, tout le monde doit te courir apres pour te proposer des postes super interessant.
Et pourtant, bizarrement, tu finit surexploite dans une boite de merde a faire un taff de grouillot paye au lance pierre et meme que ca se finit au prud'hommes. Etonnant pour quelqu'un de ton niveau d'expertise, non?
Oui, c'est ad hominem, bas et petit, mais faut pas etaler ta vie privee sur internet et tres honnetement, tu l'as cherche.
Et l'ad hominem te montrera peut etre au passage a quel point ca peut etre enervant de voir quelqu'un t'expliquer des choses qu'elle ne connait pas (je ne connais pas plus ta vie privee que tu connais les produits que tu descend en flamme).
Je t'ai dit trois fois que le produit avait ete valide par des gens competents, je t'ai dit que les clients avaient les sources et pouvaient valider ce qu'ils veulent, mais comme t'as visiblement pas etale assez de confiture, tu t'entetes.
Et le pire, c'est que tu sais meme pas comme s'appelle le dit produit!!!
[^] # Re: 3D Secure
Posté par briaeros007 . Évalué à 5.
Oh je sais pas, on indiquait qu'on parlait de calculette jetable qu'on pouvait distribuer aux client (pas qu'on aurait pu il y a 15 ans)
tu as dis
Le tout est base sur des algos publiques costauds, auquels on ajoute un sel d'obscurite parce qu'on va pas leur faciliter la tache quand meme (pis surtout, techniquement ca peut aider aussi).
(tu constateras que tu as employé le présent et pas le passé...)
La boite en question a plus de 10 ans, les techniques employees sont plus vieille encore (rachat de boite deja existante, la base du produit a peut etre plus de 15 ans)!!!
Et en 15 ans, ils ont jamais fait de nouveau produit ?
Je rapelle que Rinjdael est sortis en 1998 (donc 10 ans, donc quand la boite fut créée),
et qu'il a été promu AES en 2002 (donc il y a 6-7 ans).
Comment ca tu savais pas?
Je peux pas deviner si tu t'amuse à mettre en erreur les gens (quand on parle de "calculette jetable" pour des clients actuels, on parle pas de produits vieux d'il y a 15 ans).
De plus j'ai indiqué que je pouvais très bien comprendre la réutilisation de bloc déjà prouvé, mais comme tu n'en as pas parlé...
Si tu consideres que le debat c'est "le niveau d'etalage de confiture de briaeros aka Dieu", effectivement pas grand chose.
Contrairement à toi, j'ai pas affirmé qu'un produit était fiable ou pas fiable sans argument, mais j'ai indiqué que sans plus de précision, il était impossible de le considérer comme fiable, et que tes pseudos arguments n'ont guère de valeur technique.
uelqu'un qui a bosse sur les produits, sait qu'il a ete verifie par des gens competents et qu'il n'a jamais eu le moindre pb, ca doit apporter.
Tu "sait". C'est du même niveau que tes preuves te sécurité "tu sait". C'est pour ca que je te surnomme dieu, toi tu sait où les autres ne savent rien, et ne peuvent rien savoir.
Que des gens compétents travaillent sur ce produit je n'en doute pas un seul instant.
Qu'il soient totalement indépendants de l'équipe de dev, pour l'instant je n'ai pas vu passé l'information.
Qu'ils aient appliqués des procédures connues et reconnues non plus.
Qu'ils aient eu le temps nécessaire pour effectuer l'ensemble des vérifications non plus.
Tu veux donner aucune information et te la jouer "grand maitre qui sait", t'étonnes pas derrière qu'on considère que tu n'en donne pas assez.
Non je vais pas te filer tous les documents parce que je les ait pas.
On(je) demande pas forcément des documents, mais des faits plus concrets que "des gens compétents ce sont penchés dessus" et "les clients ont pas ralé" pour jaugé de la fiabilité d'une solution, désolé.
Je sais pas par exemple, la puce de la calculette à passé la norme fips 140-2 level 3 ou 4 ?
Si t'etais une banque et que tu les contactais pour acheter qq chose, ils se feraient un plaisir de te donner leur references. Mais comme ca va pas dans ton sens le fait que j'ai deja dit ca,
Tu l'as déjà dit où ?
Parce que désolé je ne l'ai pas vu. Alors ça peut être une erreur de ma part, mais toujours est il que je n'ai pas vu ça.
tu vas encore faire comme si j'avais rien ecrit, faire des phrases avec bits et des chiffres > 150 dedans pour faire bien, mettre des termes techniques pour montrer que toi tu sais mieux que tout le monde.
C'est sur que si tu es perdu dès que j'ose mettre plus que deux idées techniques dans un post, normal que tu crois que c'est pour faire bien.
Parce que toi t'es un super expert,
Non, et d'ailleurs je l'ai jamais dis ou laissé entendre
Contrairement à toi qui nous a affirmé haut et fort que "tu savais que c'était fiable" ... parce que le client c'était pas plaint.
Et pour ça, désolé, pas besoin d'être un super expert pour savoir qu'une preuve de sécurité comme ça est RISIBLE!
tu l'ouvres avec tellement d'assurance sur tellement de sujet, tout le monde doit te courir apres pour te proposer des postes super interessant.
Je ne recherche pas ce genre de postes (parce que je n'ai pas du tout les qualifs), et on ne m'en propose pas plus.
Et pourtant, bizarrement, tu finit surexploite dans une boite de merde a faire un taff de grouillot paye au lance pierre et meme que ca se finit au prud'hommes.
Si tu aime donc rappeler mon CV, il faut etre correct et TOUT rappeler, je finis dans une boite de merde pour faire une THESE sur de la VIDEO. La boite étant de merde, ne me laisse pas faire ma thèse (ni mon directeur de thèse) dans de bonne conditions.
En ce qui concerne le prudh'omme, c'est une affaire entre mon employeur et moi, et je vois pas trop en quoi ça a voir avec mes qualification professionnels ou encore mes capacités de raisonnement.
Etonnant pour quelqu'un de ton niveau d'expertise, non?
Le niveau d'expertise, quel qu'il soit, empêche d'être naïf et de croire que quand on professeur d'université propose à quelqu'un une bourse CIFRE et une thèse, c'était effectivement pour faire une thèse ?
Oui, c'est ad hominem, bas et petit,
Oh ca ne me change pas vraiment, après le "imbue pédant hautain",...
mais faut pas etaler ta vie privee sur internet
Ca serait plutot ma vie professionnel, mais passons. Tu constateras que je suis "beau joueur", et que j'accepte la responsabilité d'avoir dis ça publiquement.
et tres honnetement, tu l'as cherche.
tout ceci est très subjectif, vu que tu as énormément de mal à comprendre mon point de vue (je dirais meme que tu ne veux pas le comprendre).
Et l'ad hominem te montrera peut etre au passage a quel point ca peut etre enervant de voir quelqu'un t'expliquer des choses qu'elle ne connait pas (je ne connais pas plus ta vie privee que tu connais les produits que tu descend en flamme).
Ce que tu n'as pas compris c'est que je ne descend pas les produits en flammes.
ce que je descends en flamme c'est ton argumentation sur leur fiabilité
Comme tu l'as fait remarquer, je ne connais pas le nom de ta boite, ni les produits. Je ne peux pas parler sur eux.
Par contre je peux parler sur ce que TOI tu en as dis!
Si tu estime que j'en ai dis des conneries à partir de TES informations, pose toi plutot la question de "pourquoi il a pas compris ce que je voulais dire".
Je t'ai dit trois fois que le produit avait ete valide par des gens competents
Tois fois ? Dans ce poste peut etre, mais je me souviens pas d'avoir vu trois fois que
- des gens compétens
- indépendants
- avec le budget nécessaire
- ainsi que le temps
- suivant une procédure connue et reconnue
ont validé le produit.
je t'ai dit que les clients avaient les sources et pouvaient valider ce qu'ils veulent,
Désolé je ne l'ai pas vu.
Tout ce que j'ai vu à propos des clients c'est que c'était des banques.
Ensuite errare humanum est, j'ai peut etre pas vu... ou alors tu as peut etre oublié de le mettre (comme je viens de dire errare humanum est).
mais comme t'as visiblement pas etale assez de confiture,
Ca par contre c'est une ad hominem, qui a défaut d'etre pertinent, est fausse.
Tu peux donc m'indiquer quel confiture j'étale ? Je rappelle juste, comme tu las dis , de grandes idées théoriques (les grands principes de la crypto, que n'importe quel étudiant voit).
C'est difficilement de la confiture cela!
[^] # Re: 3D Secure
Posté par thedude . Évalué à -4.
Qui a parle de calculette jettable?
Quand tu prends ton air arrogant de monsieur je sais tout mieux que tout le monde, la moindre des choses serait de lire les commentaires. Et si tu sais pas, t'as plusieurs options: ne rien dire (sisi, c'est possible) ou demander (sans presupposer que vu que tu sais tout, tu peux deviner).
La calculette n'est bien evidemment pas jetable.
Et quand bien meme elle le serait, je vois pas pourquoi le produit en question aurait pas 10 ans? Rassures moi, t'es capable de faire une difference entre un "produit" et une "instance d'un produit"?
Le tout est base sur des algos publiques costauds, auquels on ajoute un sel d'obscurite parce qu'on va pas leur faciliter la tache quand meme (pis surtout, techniquement ca peut aider aussi).
(tu constateras que tu as employé le présent et pas le passé...)
Rattrapes toi aux branches... Jusqu'a preuve du contraire, le produit est encore vendu, donc le present est tout a fait correct.
Quand je dit "Linux est base sur une architecture monolithique et utilise des algos publiques", tu comprends que linux a 1 an?
Bien evidemment que non, mais ca te ferais trop mal a la gueule de reconnaitre que tu es hautain et arrogant, que tu as suppose n'importe quoi et qu'evidemment, t'as eu tort.
Et en 15 ans, ils ont jamais fait de nouveau produit ?
Sisi, bien sur.
Par contre, ils ont une philosophie de retro compatibilite, et c'est deja assez de boulot de maintenir la partie serveur telle qu'elle est.
L'autre truc, c'est que je t'invite a reflechir a "comment la crypto est utilisee" pour estimer le besoin en cryptographie (plutot que de beugler aveuglement que 3des est pas siquioure parce que tu l'as lu sur un blog).
Vu comment t'es intelligent, tu devrais avoir une reponse assez vite. Par contre, imbu de ta personne comme tu es, va falloir attendre longtemps avant que tu reconnaisse avoir dit une connerie.
Je rapelle que Rinjdael est sortis en 1998 (donc 10 ans, donc quand la boite fut créée),
Non, apres que la boite fut creee. Cf supra anyway. Tu ne lit d'ailleurs toujours pas, j'ai dit que les produits avait certainement 15 ans.
Contrairement à toi, j'ai pas affirmé qu'un produit était fiable ou pas fiable sans argument, mais j'ai indiqué que sans plus de précision, il était impossible de le considérer comme fiable, et que tes pseudos arguments n'ont guère de valeur technique.
Non tu n'as pas indique, t'as commence par beugler que bout d'obscurite = pas secure du tout sans meme savoir de quoi il en retournait.
Ensuite, toujours aussi certain que tu sais tout, t'es parti dans le delire des sources pas publiques = pas secure.
Tu "sait". C'est du même niveau que tes preuves te sécurité "tu sait". C'est pour ca que je te surnomme dieu, toi tu sait où les autres ne savent rien, et ne peuvent rien savoir.
T'as du culot.
Je donne une explication generale, assez haut niveau, t'embrayes direct sur "blablabla pas siquioure, je veux la preuve formelle".
Je te dit: c'est valide, c'est fiable, des gens competents ont bosse dessus. Et en l'occurence ca l'est.
Mais non, tu preferes dire que ca l'est pas parce que tu l'as decide.
Contrairement à toi qui nous a affirmé haut et fort que "tu savais que c'était fiable" ... parce que le client c'était pas plaint.
Non, j'ai pas dit ca.
J'ai dit:
1) Base sur des algos fort publics (base forte)
2) Implem' validee par qui de droit (base fort qui fait ce qu'elle dit)
3) Aucune attaque reussie (preuve concrete que les 2 conditions precedentes sont bien reunies et que le produit marche bien). Quoique si on t'ecoutes, les responsables secu des banques appellent le marketing de leur presta quand ils ont un pb (MOUARF!!! et ca vient donner des lecons derriere...)
Toi t'es rejete le 1, estime que 2 etait forcement faux et compris le 3 comme tu voulais le comprendre pour te faire mousser un peu.
Je sais pas par exemple, la puce de la calculette à passé la norme fips 140-2 level 3 ou 4 ?
Et hop la, on se fait encore mousser avec 2-3 termes techinques, plutot que d'aller voir sur le site en question pour avoir la reponse a sa question.
(la reponse est oui pour fips).
Comme tu l'as fait remarquer, je ne connais pas le nom de ta boite, ni les produits. Je ne peux pas parler sur eux.
ET BEN FERMES TA GRANDE GUEULE ALORS!!!!
Quand on a rien a dire, on le dit pas.
Par contre je peux parler sur ce que TOI tu en as dis!
Si encore tu avais lu ce que j'avais ecrit. Non, tu preferes partir du postulat que tout le monde est incompetent et forcement plus con que toi...
Tu peux donc m'indiquer quel confiture j'étale ? Je rappelle juste, comme tu las dis , de grandes idées théoriques (les grands principes de la crypto, que n'importe quel étudiant voit).
Quelle confiture? FIPS machin, tes anecdotes dont tout le monde se fout sur les banques et les terminaux (pas franchement grand chose a voir, mais bon), tes histoires d'algo deprecies completement a cote de la plaque, bref ca ressemble fort a des pretextes pour montrer que tu connais des mots complique (qui plus est dans un domaine "noble" de l'informatique).
Tois fois ? Dans ce poste peut etre, mais je me souviens pas d'avoir vu trois fois que
- des gens compétens
- indépendants
- avec le budget nécessaire
- ainsi que le temps
- suivant une procédure connue et reconnue
ont validé le produit.
Tu veux que je te donne le nom des personnes, leur planning, les minutes, les rapports et tout le tralala?
quand un ex-employe de la boite te dit que l'impleme a ete validee et est fiable, ton premier reflexe c'est de croire qu'il raconte n'importe quoi et que toi tu sais mieux que lui?
Ou plutot que le mec a eu des infos en internes, qu'il ne bosse plus pour eux et n'a donc pas de conflits d'interets et donc de lui apporter un minimum de credit?
Non, forcement, t'es tellement fort et les autres sont tellement de la merde par rapport a toi que tu vas tout de suite prendre la premiere option.
Désolé je ne l'ai pas vu.
...
Je sais meme pas quoi dire... Tu as pourtant repondu a ce message, et t'as meme cite un bout de la phrase ou je le dit:
http://linuxfr.org/comments/1006933.html#1006933
Tu ne lit pas les messages et tu reponds quand meme des trucs qui sont une insulte a l'intelligence et la conscience pro...
Tu es siderant.
Hautain, pedant, imbu.
[^] # Re: 3D Secure
Posté par briaeros007 . Évalué à 4.
Oh je sais pas, c'était juste le fil.
Comme par exemple
Posté par thedude (envoyer un message privé) le 11/02/2009 à 00:03. (lien). Évalué à 1.
Carte jettable ou calculette, c'est pareil, tout ca c'est de l'OTP. mot de passe qui change avec le temps et/ou un compteur d'evenements et/ou un challenge.
(début du threads...)
Quand tu prends ton air arrogant de monsieur je sais tout mieux que tout le monde, la moindre des choses serait de lire les commentaires. Et si tu sais pas, t'as plusieurs options: ne rien dire (sisi, c'est possible) ou demander (sans presupposer que vu que tu sais tout, tu peux deviner).
No comment...
Bon le reste de tes commentaires étant du GROS n'importe quoi .
Je répondrais toutefois à
Désolé je ne l'ai pas vu....
Je sais meme pas quoi dire... Tu as pourtant repondu a ce message, et t'as meme cite un bout de la phrase ou je le dit:
http://linuxfr.org/comments/1006933.html#1006933
Donc tu peux m'indiquer où dans je te cite vu que tu me traite comme une merde en affirmant que tu m'a dis que les clients avait accés aux sources
Alors, les clients en question, c'est des banques.
Si ya attaque, ya des sous qui vont manquer.
Si des sous vont manquer la banque va chercher a savoir ce qu'il s'est passe.
Si le process d'authent' est en cause, devines quoi?
Le fournisseur de la solution d'authent va etre mit au courant, parce qu'il va se prendre un joli savon par son client.
On est donc en droit de penser que si le fournisseur ne s'est jamais fait engueuler comme du poisson pourri, c'est que le systeme n'a jamais ete penetre.
Et si le systeme n'a jamais ete penetre en 10 ans avec des sous a la cle, ben tires en les conclusions qu'il faut en tirer.
Alors , monsieur qui sait tout, se permet de traiter les autres comme de la merde, de jamais lire leur commentaires, de les accuser de tout et n'importe quoi, et surtout de rien de concret
Où est indiqué que les clients ont accés aux sources
Ah oui, nulle part. Merci d'avoir joué. Maintenant retourne à ton bac à sable et apprend à discuter et argumenter.
Oui j'en ai marre d'avoir une discussion qui sert à rien, qui emmerde tout le monde, avec une personne qui crois tout savoir, et se permet des remarques insultantes, tout simplement parce que elle(la personne) es trop con (oui je le dis) pour reconnaître ses erreurs!
Désolé mais tant de mauvaise foi, ca sert à rien de rester poli, vu que 1°) toi tu ne l'es pas resté, 2°) de toute façon tu comprend pas les propos des autres., 3°) tu sais pas lire le français, 4°) tu déforme les propos des autres (à rapprocher avec 3).
Bref , comme tu dis
Tu ne lit pas les messages et tu reponds quand meme des trucs qui sont une insulte a l'intelligence et la conscience pro... [le coup du c'est fiable parce que le client rale pas, je vois difficilement comment on peut l'appeler autrement]Tu es siderant.
Hautain, pedant, imbu.
[^] # Re: 3D Secure
Posté par thedude . Évalué à -1.
Comme par exemple
C'est quelle partie de "carte jetable ou calculette" que tu comprends pas?
Carte ou calculette?
A moins que ca soit "ou"?
Ou alors t'as lu en diagonale et t'as carte ou calculete jetable?
Où est indiqué que les clients ont accés aux sources
Bon, t'es visiblement completement con, et aussi aveugle, et t'arrives pas a lire les liens que je te donne, donc je vais souligner avec mon fluo:
C'est valide c'est valide, je vois pas ce que ca va changer de filer toutes les sources au monde entier, personne n'ira les lire de toutes facons ('fin si, les attaquants) et meme s'ils lisent, personne ne fera d'audit pousse (ie plus pousse que ce que fait deja la boite d'elle meme) tout simplement parce que ca coute un fric fou et que les gens ont autre chose a foutre que de valider le boulot de son prochain (ou alors ils sont clients, mais tu sais quoi? ils ont les sources!!!! Et plus fort encore, ils (v)ont paye(r)!!! Oui oui, incroyable, hein?).
Alors oui, j'insulte, apres si t'arretais de mettre en doute des choses que tu ne connais pas, ca t'eviterais des pb aussi...
[^] # Re: 3D Secure
Posté par thedude . Évalué à 1.
Je t'ai dit que l'implem a ete validee plus haut.
C'est valide c'est valide, je vois pas ce que ca va changer de filer toutes les sources au monde entier, personne n'ira les lire de toutes facons ('fin si, les attaquants) et meme s'ils lisent, personne ne fera d'audit pousse (ie plus pousse que ce que fait deja la boite d'elle meme) tout simplement parce que ca coute un fric fou et que les gens ont autre chose a foutre que de valider le boulot de son prochain (ou alors ils sont clients, mais tu sais quoi? ils ont les sources!!!! Et plus fort encore, ils (v)ont paye(r)!!! Oui oui, incroyable, hein?).
Que tu n'en ais pas connaissance ne veut pas forcément dire que c'est fiable.
Alors, les clients en question, c'est des banques.
Si ya attaque, ya des sous qui vont manquer.
Si des sous vont manquer la banque va chercher a savoir ce qu'il s'est passe.
Si le process d'authent' est en cause, devines quoi?
Le fournisseur de la solution d'authent va etre mit au courant, parce qu'il va se prendre un joli savon par son client.
On est donc en droit de penser que si le fournisseur ne s'est jamais fait engueuler comme du poisson pourri, c'est que le systeme n'a jamais ete penetre.
Et si le systeme n'a jamais ete penetre en 10 ans avec des sous a la cle, ben tires en les conclusions qu'il faut en tirer.
Pourtant d'après toi, seul des "méchants" (concurrent,...) pourraient etre intéressé par ça.
Les concurrents, on s'en fout, ils savent tres bien ce qu'on fait. Et font de toutes facons la meme chose.
Et se contrepetent des details d'implem tres techniques. Et evidemment faut pas compter sur eux pour auditer notre produit.
Par contre les mechants auquels je faisais reference, c'est les gens dont les clients veulent precisement se proteger. Et a eux, ca serait completement CON de leur donner des infos supplementaires (meme s'ils iront pas bien loin sans les cles des clients a attaquer).
J'ai juste attiré l'attention que malgré que la "base" soit saine, rajouté quelque chose ne signifie pas pour autant augmenter la solidité de la base.
Heureusement que t'es la dis donc, ils y avaient pas pense avant toi...
[^] # Re: 3D Secure
Posté par briaeros007 . Évalué à 2.
Ben vu que "Dieu" dis que c'est valide sans montrer en quoi c'est valide, ca permet aux autres de vérifier ses dires.
Si ensuite tu as plus de choses (labo de certif indépendant, etc...) c'est pas franchement la meme chose (chose que j'avais déjà dites).
Mais si tu étais si sur de ton algo et de sa fiabilité, tu n'aurais pas de problème à le filer au monde entier, vu que tu serais sur qu'il ne risquerais rien.
Alors, les clients en question, c'est des banques.
Ce qui en soit ne veut rien dire.
Je peux te citer une anecdote d'une banque pour générer des clés de CB, qui
avait une procédure très lourde de sécurité physique pour accéder au terminal qui générait la clé, et qui générait des clé de 40 bits sur le terminal parce que quand ils générait lés clés de 700 bits "ça plantait" (le temps d'attente était tellement long qu'ils pensaient que ça plantaient).
Alors certe, la situation à, je l'espère, changé. Mais le role d'un client, même si c'est une banque, ce n'est pas de vérifier la fiabilité/pertinence d'une solution vu qu'ils l'achètent! (et vu les retours que j'ai sur une grosse banque au niveau mondial, ca je peux l'affirmer).
Si le process d'authent' est en cause, devines quoi?
Avant de tomber lors de l'audit sur le process d'authent ca mettre un certain temps. Et les marketeux pourraient très bien dire que non leur produit marche très bien mais que c'est l'intégration qui a pu causer un bug (c'est la faute du client) ou tout autre connerie.
Ne t'inquiète pas, si tu crois que le risque empêche les gens de jouer, tu es vraiment mal renseigné.
On est donc en droit de penser que si le fournisseur ne s'est jamais fait engueuler comme du poisson pourri, c'est que le systeme n'a jamais ete penetre.
On que l'audit n'a pas trouvé ça comme faille, ou que la banque a utiliser ton processus d'auth en COMPLEMENT d'autres systemes, et que ces systemes soient fiables, ou que l'ensemble des systemes de sécu est fiable.
Enfin ta preuve de sécurité me fait froid dans le dos "le client à pas raler, c'est donc que c'est fiable".
Par contre les mechants auquels je faisais reference, c'est les gens dont les clients veulent precisement se proteger. Et a eux, ca serait completement CON de leur donner des infos supplementaires (meme s'ils iront pas bien loin sans les cles des clients a attaquer).
Si les infos qu'ils ont ils ne peuvent rien en faire, ce n'est pas complètement con
1°) tu permet à ton client de choisir ta solution en informant que
- il peut auditer lui meme la solution si il en ressent le besoin
- il pourra, si il le souhaite, changer de fournisseur tout en conservant un systeme compatible.
2°) vu que tu affirme que ton système est fiable, les attaquants possibles ne pourront rien trouver.
3°) La communauté des cryptologues et/ou des agences gouvernementales pourront considérer votre implémentation comme une "best practice", vous faisant une pub importante par conséquent/
Heureusement que t'es la dis donc, ils y avaient pas pense avant toi...
Les sarcasme de quelqu'un qui considère qu'une preuve de sécurité c'est que son client n'as pas encore eu d'attaques sur le produit/ne l'a pas détecté, me font ni froid ni chaud.
[^] # Re: 3D Secure
Posté par thedude . Évalué à -1.
Fin de la discussion, tu ne veux pas lire ni comprendre, juste etaler ta science, j'ai autre chose a faire que de perdre mon temps avec un pedant hautain et imbu de lui meme.
[^] # Re: 3D Secure
Posté par briaeros007 . Évalué à 3.
Tu commentes tes propres commentaires ?
tu ne veux pas lire ni comprendre, juste etaler ta science, j'ai autre chose a faire que de perdre mon temps avec un pedant hautain et imbu de lui meme.
Visiblement c'est bien ça.
Ps j'ai pas de problème pour reconnaitre mes erreurs, quand erreur il y a. Mais tu avoueras que dire "tu sais pas. Tu es pédant, suffisant, imbu", niveau argumentation ca s'arrête là.
Je t'indiquerais aussi tes arguments "techniques" dans tous leurs détails.:
- On a fait un 3DES fiable
- C'est fiable parce que le client a pas ralé.
- On a rajouté des trucs proprio sur la chaine, mais la sécurité de la chaine a pas été modifié.
- J'ai travaillé la bas, donc je sais.
- J'ai pas d'arguments donc j'arrête de parler et d'abord tu as tort, Nah! (ah désolé, c'est as technique ça).
Répond moi si j'en ai oublié, et si tu considère donc que c'est "moi" qui sais pas de quoi je parle, ou peut être toi qui t'es mal exprimé (contrairement à toi, je suis poli et laisse le doute. Difficile pour un pédant hautain et imbu, tu le reconnaitras).
[^] # Re: 3D Secure
Posté par Nicolas Boulay (site web personnel) . Évalué à 4.
"La première sécurité est la liberté"
[^] # Re: 3D Secure
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
Le systeme est fiable, les tokens hard sont toujours pas casse a ma connaissance."
Euh... si tu penses cartes à puces, cela se casse tous les jours, c'est juste une question de moyen et de samples à disposition.
"La première sécurité est la liberté"
[^] # Re: 3D Secure
Posté par thedude . Évalué à 2.
Et sinon, oui, ce que vendent ces boites c'est essentiellement des cles crypotgraphiques avec un gros boulot d'integration par dessus :)
Ca fait cher la cle 168 bits, effectivement :)
[^] # Re: 3D Secure
Posté par briaeros007 . Évalué à 4.
Oui la "société géniale" comme tu dis utilise la ddn. MAIS : 1°) ca fait toujours une information personelle à connaitre, 2°) ils ne demandent (jusqu'à présent) pas de signer quoi que ce soit, 3°) c'est beaucoup moins perdu qu'un OTP ou autre.
[^] # Re: 3D Secure
Posté par Aefron . Évalué à 3.
... par contre, s'ils me reprochaient de ne pas avoir assez protégé ce qui est contenu dans mon état civil (c'est certes une information personnelle : mais certainement pas un secret), là, ça chierait - façon ebola dans leur face.
_Ils_ utilisent une solution merdeuse pour _se_ protéger : ils ont plutôt intérêt à assumer jusqu'au bout.
[^] # Re: 3D Secure
Posté par Ronan BARZIC . Évalué à 3.
Pour payer via Internet sur les sites qui supportent le système ou accéder à son compte, il faut rentrer :
- son nom ou son "ID" (genre son code de securite sociale)
- le code à 6 chiffre
- son mot de passe
Je trouve le sytème plus sur que le systeme à carte de code jetable que j'ai connu auparavant (en France et en Norvège)
# Quelle banque ?
Posté par ndv . Évalué à 5.
La Poste Bancale ?
Le Crédit Vinicole ?
Le Groupe Hamac ?
La Banque Occulaire ?
La DNC ?
Le Débit Lyonnais ?
[^] # Re: Quelle banque ?
Posté par tintaspi . Évalué à 3.
[^] # Re: Quelle banque ?
Posté par pepie34 . Évalué à 5.
J'ai aussi refusé de signer le nouveau contrat. Pour l'instant je m'en sors en utilisant l'option de carte virtuel mais pour la SNCF et certains hôtels ça ne marche pas. En effet, il faut retirer les billets avec la carte ayant servi à l'achat.
Au Crédit Mutuel, la vérification renforcée se fait à partir d'une carte papier contenant des codes. C'est la même carte qui sert d'habitude sur le site de gestion de la banque pour authentifier les opérations à gros volumes (genre si on veut faire un transfert entre deux de ses comptes d'un montant dépassant un montant autorisé).
Faisant remarquer à mon "conseillé" que je refusais de signer car je me voyais mal partir à l'étranger avec ma carte de crédit et ma carte des codes au risque de me faire voler les deux en même temps...il m'a répondu que j'avais qu'à scanner la dite carte et me l'envoyer par email... à partir de ce moment-là J'ai plus chercher à discuter.
Vu que de toute façon sur leur poste de travail, ils gèrent les comptes à travers une interface web dans internet explorer dans MS Windows...
[^] # Re: Quelle banque ?
Posté par fcartegnie . Évalué à 4.
Quant aux dates de naissance et autre, aucun danger, le keylogging et les spywares ne sont que des mythes.
[^] # Re: Quelle banque ?
Posté par TheBreton . Évalué à 4.
Je trouve le système tres bien (et gratuit c.a.d. pas de payement en plus que ce qu'il te prenne d'habitude) et au pire tu ne risque que le montant de la carte que tu as provisionné.
De mémoire ca s'apelle e-carte bleu
[^] # Re: Quelle banque ?
Posté par beagf (site web personnel) . Évalué à 7.
La carte à usage unique c'est bien, mais c'est pas parfait non plus.
# Un autre contrat pour comparer
Posté par riba . Évalué à 6.
ATRICLE 9 : RECEVABILITE DES OPPOSITIONS
L'ordre de paiement donné au moyen de la carte est irrévocable. Seules sont recevables par l'émetteur de la carte, les oppositions expressément motivées par la perte ou le vol de la carte, l'utilisation frauduleuse de la carte ou des données liées a son utilisation, le redressement ou la liquidation judiciaire du bénéficiaire du paiement ou la soustraction de la carte par un menbre de la famille du titulaire de la carte. L'opposition pour utilisation frauduleuse de la carte ou des données liées a son utilisation est effectuée dans le cas où le titulaire de la carte est toujours en possession de sa carte au moment de l'opération contestée et :
- soit si la carte a été contrefaite au sens de l'article L163-4 du code monétaire et financier;
- soit si le paiement contesté a été efectue frauduleusement, à distance, sans utilisation physique de la carte, avec son seul numéro et d'autres données y figurant.
Donc y'a pas ta clause spéciale "En cas d’opération sécurisée sur Internet conformément à l’article 3..."
Tu dois pouvoir demander un contrat classique, sinon je te donne le nom de ma banque.
# J'ai réglé le problème de manière définitive il y a peu
Posté par Anonyme . Évalué à 1.
S'il rajoute ce genre d'artifices quand il devient réellement responsables des fraudes, c'est bien qu'à la base, c'est pas assez sécurisé…
[^] # Re: J'ai réglé le problème de manière définitive il y a peu
Posté par modr123 . Évalué à 2.
moi avant j'allais dans une banque avec un cheque et on me donnait du liquide
helas le systeme a changé et comme je ne suis pas dans la banque populaire de la ou j'habites il me refuse la possibilité de retrait par cheque
[^] # Re: J'ai réglé le problème de manière définitive il y a peu
Posté par Anonyme . Évalué à 2.
D'ailleurs un avantage de la poste, c'est que c'est national. Alors que la plupart des autres banques sont régionales.
Bon, après je viens juste d'ouvrir un compte chez eux, j'imagine qu'au fur et à mesure je découvrirais des trucs qui me plaisent moins.
[^] # Re: J'ai réglé le problème de manière définitive il y a peu
Posté par GG (site web personnel) . Évalué à 2.
Si un jour tu optes pour une carte bleue, la carte 24/24 sera simplement annulée... c'est assez chiant. Bien sur, le code est le même (4 chiffres).
A bientôt
Grégoire
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: J'ai réglé le problème de manière définitive il y a peu
Posté par Metzgermeister . Évalué à 3.
Et le chèque, personnellement je n'aime pas vraiment ça.
[^] # Re: J'ai réglé le problème de manière définitive il y a peu
Posté par Anonyme . Évalué à 2.
Enfin à la Poste, je ne peux pas faire un transfert vers un compte donné sans tout un tas de paperasse,La première fois qu'on veut faire un virement vers un compte qui n'est pas dans la liste des comptes autorisés, il faut effectivement leur apporter / leur envoyer le RIB du compte vers lequel on veut faire un virement. Ensuite il faut attendre quelques jours que ça soit ajouté à la liste.
Je trouve que c'est pas la fin du monde non plus, et les virements sont gratuits contrairement à d'autres. Et puis ça évite les achats impulsifs ;-)
et ça m'oblige à utiliser PayPal qui prend des commissions énormes.J'ai fait deux paiements via paypal, et justement j'ai pas compris parce qu'ils ne m'ont pas prélevé de commissions. Ça se passe comment de ton côté ?
Et le chèque, personnellement je n'aime pas vraiment ça.Pour quelles raisons ?
[^] # Re: J'ai réglé le problème de manière définitive il y a peu
Posté par Metzgermeister . Évalué à 3.
J'ai fait deux paiements via paypal, et justement j'ai pas compris parce qu'ils ne m'ont pas prélevé de commissions. Ça se passe comment de ton côté ?
En réalité, la commission est prélevée au niveau du vendeur, pas de l'acheteur, c'est pour ça que tu n'as rien payé[1].
Pour quelles raisons ?
Bah, à l'heure d'Internet, c'est un moyen de paiement incroyablement lent et peu sûr de mon point de vue, quand j'envoie le chèque dans une lettre à mon centre financier (et ouais, pour mieux me servir, la poste a son bureau qui ferme quand moi je rentre, et impossible de passer à l'agence dans la journée), je ne sais pas si le courrier ne va pas se perdre, et j'ai lu (bon là on rentre dans l'information non constatée par moi-même) que la vérification des signatures n'est pas si rigoureuse que ça. Sans compter le nombre d'idiots qui signent leurs carnets de chèques en blanc (ouais, j'en ai vu).
Bref, à mon avis le virement électronique c'est bel et bien l'avenir, reste à trouver des solutions efficaces autre que de rajouter un code de sécurité que tout le monde peut lire (le fameux numéro de sécurité lisible sur le dos de la carte), et un autre encore que tout le monde peut deviner (comme la Société générale qui règle ce code à... une date de naissance).
[1] https://www.paypal.com/fr/cgi-bin/helpscr?cmd=_display-fees-(...)
[^] # Re: J'ai réglé le problème de manière définitive il y a peu
Posté par tiot (site web personnel) . Évalué à 3.
Je suis allé déposé un chèque à la poste, je remplis le petit papier et je mets mon n° de compte derrière le chèque. Lorsque j'arrive à la caisse elle me dit qu'un des chèques n'est pas à mon nom et elle me demande : « vous voulez quand même essayer de le faire passer ? ». Comme on pouvait me refaire le chèque je n'ai pas tenté…
Lorsque j'étais jeune je n'avais pas encore de signature et je signais chaque chèque d'une façon différente. Même avec des grosse sommes (1500 et 2500 €) je n'ai jamais eu de problème…
[^] # Re: J'ai réglé le problème de manière définitive il y a peu
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Free n'a pas envie de créer un guichet virtuel ? un truc qui fait interface aux autres banques avec frais de transfert gratuit, même si il demande un abonnement mensuel (tout inclus). Il faudrait les comptes habituel et quelques placements "simples".
"La première sécurité est la liberté"
[^] # Re: J'ai réglé le problème de manière définitive il y a peu
Posté par Anonyme . Évalué à 3.
Il y a bien le paiement par TIP ou virement, mais j'ai peur des délais énormes.Un TIP, c'est comme un chèque. Je paye EDF par TIP notamment. Par contre mon FAI je lui envoie un chèque (pas fou, jamais je filerai un RIB à un FAI…)
Free n'a pas envie de créer un guichet virtuel ? un truc qui fait interface aux autres banques avec frais de transfert gratuit, même si il demande un abonnement mensuel (tout inclus). Il faudrait les comptes habituel et quelques placements "simples".Ça ressemble un peu à paypal ce que tu évoques. Avec le problème qu'il faut 10 jours pour faire un virement entre deux comptes français.
Sinon, comme évoqué plus haut, la poste.
[^] # Re: J'ai réglé le problème de manière définitive il y a peu
Posté par moudj . Évalué à 2.
Les paiements par chèque sont facturés 4 euros par mois chez Free.
soit 48 euros par an... plus cher qu'une carte bancaire...
# Secure ???
Posté par qstone . Évalué à 5.
Sur un site classique, on prend toujours un risque (au moins la 1ère fois qu'on commande à un nouveau commerçant) : est-il fiable ? Est-il en liquidation ? Est-ce un vrai site marchand ou une grosse arnaque ?
On tremble, on se renseigne un peu, on vérifie au moins les certificats et le registre du commerce, et puis on se lance et on donne son n° de carte et toutes les infos qui vont bien. Après tout en cas de problème, je me retourne vers ma banque et c'est elle qui trinque.
Avec Machin-Secure, le site commerçant (ou arnaquant) non seulement me demande les infos de ma carte mais en plus me renvoie sur le site de ma banque (ou un qui lui ressemble comme 2 gouttes d'eau) pour que je m'y connecte !
Si le site est un vrai site d'un commerçant honnête, c'est super-sûr. Sinon, ils viennent juste d'inventer le paradis du phishing. En plus de ça ma banque rejette toute la faute sur moi !
Moi personnellement, je prédis de grosses arnaques en chaine dans les 2-3 ans à venir. Et je reviens aux virements ou aux chèques, c'est vachtement plus sûr.
[^] # Re: Secure ???
Posté par Metzgermeister . Évalué à 5.
Et je reviens aux virements ou aux chèques, c'est vachtement plus sûr.
Ouais c'est sûr, vu le nombre de chèques dont on ne vérifie absolument pas les signatures, c'est tellement mieux.
[^] # Re: Secure ???
Posté par qstone . Évalué à 3.
Non, mais je ne voulais pas passer pour un con en disant que je me fie à l'orthograhe et à l'apparence du site ;o)
> Ouais c'est sûr, vu le nombre de chèques dont on ne vérifie absolument pas les signatures, c'est tellement mieux.
Oui, mais au moins je peux dire "c'est pas moi", et à moins que ma banque puisse prouver le contraire, c'est elle qui casque. Pour moi c'est donc plus sûr parce que les risques sont couverts par mon contrat avec la banque.
# Quelques lectures interessantes à ce sujet
Posté par Julien L. . Évalué à 2.
A ce sujet voir ces billets très interessant : http://www.blogabulles.fr/2008/08/26/une-solution-contre-les(...) , http://oliverblog.wordpress.com/2008/07/20/transactions-3d-s(...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.