Journal Mots de passe et ingénierie sociale

Posté par . Licence CC by-sa
Tags : aucun
16
29
jan.
2014

Un article intéressant sur une usurpation d'identité pour voler un compte Twitter :
https://medium.com/p/24eb09e026dd

Pour aller plus loin, vous pouvez aussi lire :
http://d.pr/n/KUMK
http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/

Histoire de ne pas faire un journal bookmark, je vais tenter de résumer brièvement.

On parle beaucoup de mots de passe faibles/forts ces derniers temps mais on oublie encore et toujours que le maillon faible est souvent l'humain.
Que ce soit vous ou bien l'employé (sous-payé ?) d'une grosse société.

Donc voici une recette efficace pour accéder au compte de quelqu'un sur un site web :
- Obtenir l'adresse de la personne (par le WHOIS par exemple)
- Avec l'adresse, appeler le service client d'Amazon ou de Paypal et essayer d'obtenir les 4 derniers chiffres de votre carte bancaire (ou directement l'accès à votre compte, ce qui vous donne l'accès aux 4 chiffres)
- Avec les 4 derniers chiffres de votre carte bancaire, appeler le service client du gestionnaire du nom de domaine cible et tentez d'obtenir l'accès
- Une fois le nom de domaine contrôlé, vous pouvez contrôler les emails associés au nom de domaine
- Avec les options "J'ai oublié mon mot de passe", vous obtenez l'accès au compte

Il y a plusieurs moyen d'éviter ce genre de choses, par exempe utiliser une authentification à deux étapes (avec numéro de téléphone) ou bien en changeant de carte bancaire à chaque paiement (e-carte bleue pour ceux qui connaissent). Mais à partir du moment où un employé peut être berné et donner l'accès à votre compte (ou bien donner des informations sur le compte), il y a toujours une faille.

J'avoue que cela ne doit pas être facile pour une entreprise de bien structurer sa politique sécurité de comptes client. Il faut à la fois blinder son infrastructure informatique et aussi bien former les employés gérant les comptes client.

  • # Bravo

    Posté par (page perso) . Évalué à 1.

    Tu viens de trouver la plus grosse faille en matière de sécurité : L'être humain.

    • [^] # Re: Bravo

      Posté par . Évalué à 5.

      Oui mais en pratique tu fais comment pour corriger le tir ?

      En tant qu'entreprise tu as un budget limité, donc tu ne peux pas toujours embaucher des experts en sécurité pour répondre au téléphone.
      Une formation ou sensibilisation des employés sur le sujet n'aura pas une efficacité à 100%, loin de là. Et une répression/sanction en cas de non-suivi des procédures, pourquoi pas mais s'il y a mieux je suis preneur.

      Tu peux aussi mettre en place des procédures internes avec des validations en plusieurs étapes (pour ne pas avoir un employé comme faille unique) mais là ça va peut-être devenir un peu lourd.

      • [^] # Re: Bravo

        Posté par (page perso) . Évalué à 0. Dernière modification le 29/01/14 à 15:48.

        En tant qu'entreprise tu as un budget limité,

        De mon point de vue, une grosse amende aux entreprises qui font ce genre de connerie devrait les motiver à faire attention. Et clé sous la porte si tu fais pas attention.
        Le budget limité n'est pas une excuse (imagine un artisan "excusez-moi, j'ai détruit votre appart, mais c'est que mon budget sécurité est limité vous comprennez")

        • [^] # Re: Bravo

          Posté par . Évalué à 4.

          Tu as mal compris ma remarque : le budget limité n'est pas une excuse mais une contrainte.

          Donc je m'intéresse aux solutions un peu réaliste d'un point de vue budget.

          • [^] # Re: Bravo

            Posté par (page perso) . Évalué à -2.

            Si c'est une contrainte, je met aussi une autre contraire : pénalité financière en cas de faille.
            Le comment, c'est à eux de le faire, pas à moi.
            Sinon, c'est ce que tu as mis : sensibilisation, formation, au point de dire que si ils merdent, c'est une faute professionnelle. Pour conduire une voiture, on a besoin d'un permis, "budget limité" n'est pas recevable lors d'un contrôle de police. Si le budget est trop limité, tu ne fais pas, point.
            (et il n'y a pas besoin d'être expert sécurité pour ne pas donner d'info ou ne pas authentifier une personne n'importe comment, c'est surtout respecter un process).

            • [^] # Re: Bravo

              Posté par . Évalué à 8.

              Pour conduire une voiture, on a besoin d'un permis, "budget limité" n'est pas recevable lors d'un contrôle de police. Si le budget est trop limité, tu ne fais pas, point.

              Mais lui, il est d'accord, il demande juste quelles sont les solutions pour un jeune sans le sou de passer un permis à moindre frais, et toi, tu lui répond : "On a qu'à les ruiner avec une amende, et mettre en taule les récidivistes, ils sont dangereux!"
              Bref, encore de l'affrontement et de l’agressivité dans tes propos, plutôt que d'essayer de répondre à la question.

              • [^] # Re: Bravo

                Posté par (page perso) . Évalué à -5.

                Le truc est que j'ai répondu à la question : tu ne fais pas si tu n'es pas capable de faire, point.
                Ensuite, il a répondu à la question lui-même (formation etc).

                Que répondrais-tu à une personne qui a 1€ en poche (donc moins que les frais d'inscription au permis) et veut conduire quand même? Bref, je critique la question, et si la réponse on ne fait pas ne te plait pas, ça ne change pas qu'on doit passer son permis de conduire pour pouvoir conduire.

                • [^] # Re: Bravo

                  Posté par . Évalué à 1.

                  En partie d'accord avec toi, mais je m'attendais à quelque chose de plus constructif.

                  Par exemple je me demande s'il est acceptable et possible techniquement d'externaliser complètement ce problème d'authentification et de gestion clientèle (quelque chose dans le genre d'OpenID).

                  Je n'ai aucune idée du coût, mais je sera intéressé si quelqu'un a des liens sur le sujet.

                  • [^] # Re: Bravo

                    Posté par (page perso) . Évalué à 4. Dernière modification le 29/01/14 à 17:07.

                    Désolé, j'ai réagi en premier sur la notion de coût, qui n'a pas grand chose à faire dans ce domaine (ok pour pas dépenser 1000€/personne, mais sinon le budget est obligatoire, point).
                    La première chose à faire est d'interdire à tout employé de filer la moindre information (c'est gros quand même de filer des infos) sous peine de sanction (par l'Etat de préférence, la c'est au citoyen de râler) ni d'accpeter 10 essais (car où on accepte que la personne tente plusieurs fois pour 2 chiffres manquants).
                    Ensuite, la double authentification (pass + mobile par exemple) + mail à l'ancienne adresse quand ça change.
                    Et si la personne a perdu tout ses logins/pass, on joue avec les adresse postales physiques (courrier avec l'adresse enregistrée sur le compte, donc pas de fausse adresse).
                    On rajoute que tout est chiffré correctement de leur côté (machine séparée, pas de dump possible etc…)

                    En fait, c'est ce que commencent à faire Google, Facebook etc… Et rien de tout ça ne coûte la peau des fesses, rien n'est nouveau, c'est faisable par n'importe quelle entreprise avec un peu de bonne volonté (c'est ce qui manque le plus).

                    • [^] # Re: Bravo

                      Posté par . Évalué à 1.

                      En fait, c'est ce que commencent à faire Google, Facebook etc… Et rien de otut ça ne coûte la peau des fesses, c'est faisable par n'importe quelle entreprise avec un peu de bonne volonté.

                      Je pense que justement ce n'est pas si facile que ça vu que Google et Facebook commencent seulement à le faire (c'est des poids lourds !).

                      Plus j'y pense plus je me dis que le coup d'externaliser serait une bonne chose. Pas embaucher une société pour réaliser le truc ponctuellement mais vraiment avoir une sorte de passerelle de sécurité en ligne.

                      D'ailleurs sur le même sujet, il y a des gens par ici qui réalisent des audits de sécurité ?

                      • [^] # Re: Bravo

                        Posté par (page perso) . Évalué à 4.

                        Je pense que justement ce n'est pas si facile que ça vu que Google et Facebook commencent seulement à le faire (c'est des poids lourds !).

                        C'est une question de volonté. Jusqu'à il y a peu, la sécurité n'était pas un sujet important du tout (on s'en foutait même, faut voir le nombre de sites qui stockent les pass en clair, et ça faisait chier lese utilisateurs qui maitenant sont plus sensibilisés au vol d'itentité et en viennent à demander)
                        je connais des petites entreprises qui font de la double authentification dès que tu changes d'IP ou de navigateur (plutôt pass + mail pour des raisons de coûts que pass + mobile, mais l'idée est la) depuis très longtemps. a chaque fois, ça venait plus de l'admin pointilleux que de la hierarchie (qui trouve ça plutôt chiant même, car les utilsiateurs râlent qu'on double-authentifie). Ca prend du temps (donc de l'argent), mais pas tant que ça.

                      • [^] # Re: Bravo

                        Posté par (page perso) . Évalué à 4.

                        là on parle quand même de godaddy et de paypal. S'il y a des entreprises qui doivent prendre des mesures pour sécuriser les comptes de leurs clients, c'est bien eux. Ce n'est pas normal de divulguer des infos sensibles comme ça (paypal qui donne les numéros de compte par tél), de ne pas avoir visiblement une archive du compte avant la mise à jour par le pirate pour godaddy.

                        « I approve of any development that makes it more difficult for governments and criminals to monopolize the use of force. » Eric Raymond

                    • [^] # Re: Bravo

                      Posté par . Évalué à 4.

                      Et si la personne a perdu tout ses logins/pass, on joue avec les adresse postales physiques (courrier avec l'adresse enregistrée sur le compte, donc pas de fausse adresse).

                      Pour GoDaddy je pourrais presque comprendre (presque), mais dans le cas de PayPal, ils sont assimilés à un organisme bancaire. Je ne conçois même pas qu'au téléphone on réponde à ce genre de choses (numéro de carte, etc.). Si une banque « normale » donnait des infos perso au téléphone, elle aurait de gros problèmes s'il y avait une plainte. J'ai bossé en tant que guichetier pour une banque en France il y a plus de 10 ans, et il était interdit de répondre à toute demande d'info, même si on reconnaissait la voix du client au téléphone.

                      On ne demande pas de renseignement confidentiel à une banque ou un organisme de crédit au téléphone, même si c'est un service en ligne à la base, point.

                • [^] # Re: Bravo

                  Posté par . Évalué à 8.

                  Justement, tu n'as pas répondu à la question.
                  La question n'était pas de savoir s'il était acceptable d'opposer un budget limité à l'obligation de sécurisation. Là dessus, tout le monde est d'accord, et ta proposition d'intimidation par amande + fermeture permettrait effectivement de dissuader ceux qui seraient tentés de faire des économies sur le budget sécurité.
                  La question est : comment fait-on, en pratique, pour sécuriser correctement sans débaucher tous les experts en sécurité du monde pour assurer le support client.

                  Ce qui est dommage, c'est que tes propos sont souvent pertinents dans l'absolu, mais tu les balances avec une telle agressivité, et en détournant la conversation, que c'en est gavant.
                  Là par exemple, il a fallu 2 - 3 réponses pour que tu commences à répondre à la question qui était posée.

                  Le meilleur exemple de ton niveau de trollitude :

                  Que répondrais-tu à une personne qui a 1€ en poche (donc moins que les frais d'inscription au permis) et veut conduire quand même? Bref, je critique la question, et si la réponse on ne fait pas ne te plait pas, ça ne change pas qu'on doit passer son permis de conduire pour pouvoir conduire.

                  Quelqu'un de constructif aurait donné à la personne qui veut passer son permis pour 1€ le lien suivant : Permis à 1 €

                  • [^] # Re: Bravo

                    Posté par (page perso) . Évalué à -1.

                    Permis à 1 €

                    Fail, le permis à 1€ coutant aussi cher que les "autres" (c'est un prêt) : "Cette aide se présente sous la forme d'un prêt à taux zéro."
                    Donc raté, tu n'as pas répondu à la demande de comment passer son permis avec 1€, tu as proposé à la personne de s'endétter.

                    Sinon :

                    La question est : comment fait-on, en pratique, pour sécuriser correctement sans débaucher tous les experts en sécurité du monde pour assurer le support client.

                    On se documente. Il y a plein d'explications sur le net sur les principes (à commencer par sécuriser sa base de passwords pour pas cher).
                    Il n'y a vraiment pas grand chose de neuf dans le domaine.

                    La question n'était pas de savoir s'il était acceptable d'opposer un budget limité à l'obligation de sécurisation.

                    J'ai fais un petit pic, OK, mais on peut aussi le prendre comme tel, et repréciser la question si besoin. Désolé, mais commencer par "un budget limité" n'est pas non plus des plus avenants (on le sait qu'on ne peut pas proposer des solutions à 1 millions!), et il faut être clair sur ce sujet : la sécurisation à un coût!

                    • [^] # Re: Bravo

                      Posté par . Évalué à 6.

                      Le problème avec tes petits "pic", c'est que ça fait souvent partir la discussion en cacahuète, et on s'éloigne du sujet initial et de la technique. J'ai réagi ici, mais je constate souvent ça lorsque tu interviens.
                      Bref, juste un pic de ma part, je n'embêterais plus les autres lecteurs avec ça.

                      Tu as donné des solutions pertinentes, mais comme tu avais fait partir la discussion sur autre chose au début du fil, ta réponse pertinente se retrouve dans un bas niveau d'arborescence, la rendant moins visible, dommage.
                      Quand à la réponse ci-dessus, je pensais l'époque du RTFM révolue…

                    • [^] # Re: Bravo

                      Posté par . Évalué à 2.

                      En même temps comme tu le dis c'est parfois pas une question de coût mais de volonté.

                      Comme exemple voir les déboires récents de Snapchat, valorisé soi-disant à 3 milliars de $ (ne me demandez pas pourquoi). J'imagine qu'ils ont quand même les sous pour mettre en place quelque chose de correct même si c'est cher (ou alors c'est beaucoup plus compliqué que tu ne le dis !).

            • [^] # Re: Bravo

              Posté par . Évalué à 10.

              Humff, tu répond complètement à coté. La question c'est :

              • Quel est le secret pour gérer correctement les problèmes d'interfaces chaise/clavier ?
              • Y a t'il une autre solution que de payer un manitou ? (au passage comment repère-t'on un spécialiste du domaine)

              Il semble que le fait qu'il t'ai parlé d'entreprise et d'argent t'ai rendu idiot.

              Ta réponse c'est un peu comme hadopi qui veut que l'on « sécurise nos connexions », mais qui est incapable de répondre à la question au « comment ? ».

              Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

        • [^] # Re: Bravo

          Posté par . Évalué à 3.

          Surtout qu'aux États-Unis (par exemple) ils ont tendance à pas mal pratiquer l'enregistrement des appels des clients « for quality reasons » (c'est censé être fait aléatoirement). Du coup il y a souvent des preuves que les employés ont merdé.

          • [^] # Re: Bravo

            Posté par . Évalué à 2.

            Je ne sais pas si c'est effectif en France, mais c'est systématiquement annoncé dans les annonces avant de tomber sur un conseiller pour tous les centres d'appels que j'ai eu à appeler.

            • [^] # Re: Bravo

              Posté par (page perso) . Évalué à 3.

              La législation impose d'annoncer si on enregistre un appel. Donc même si on n'enregistre pas toujours la conversation, il faut être sûr de l'annoncer dans les cas concernés, et c'est plus simple de l'annoncer tout le temps.

      • [^] # Re: Bravo

        Posté par (page perso) . Évalué à 7.

        Oui mais en pratique tu fais comment pour corriger le tir ?

        Embaucher des personnes asociales.

    • [^] # Re: Bravo

      Posté par (page perso) . Évalué à 1.

      Tu viens de trouver la plus grosse faille en matière de sécurité : L'être humain.
      

      Je milite pour éliminer cette contrainte ! A quand la transfert de notre personne dans un cerveau de logique pure !?

  • # Rien de nouveau, mais...

    Posté par (page perso) . Évalué à 5.

    Pour Paypal, admettons… Ingéniérie sociale classique (pas acceptable, mais admettons), et en théorie les chiffres sont peu utiles (n'importe qui peut regarder ces chiffres au dessus de ton épaule).
    Mais un registar qui se base sur un numéro de CB, c'est… Un peu limite non?
    Mon registar n'est pas GoDaddy, mais je ne sais pas sa politique à ce sujet :(. (Il me semble qu'ils sont pourtant bien plus méfiant. Après, un bon petit procès (au civil) au registar pour les pertes subies à cause de son incompétence…
    Ca me rappelle la même histoire avec un nom de domain à 65 Milions ou plus récent le couple Amazon-Apple.

    • [^] # Re: Rien de nouveau, mais...

      Posté par (page perso) . Évalué à 4.

      Intéressant ton lien sur le couple Amazon-Apple, il aurait fallu le mettre dans le journal.
      Oh wait…

      • [^] # Re: Rien de nouveau, mais...

        Posté par (page perso) . Évalué à 3.

        Oh wait…

        Argh, j'ai pensé que les autres liens étaient la même histoire que le premier lien et pas fait attention. Toutes mes confuses. Quelle idée aussi de mettre des URL et pas des titres! les URL en mode texte, c'est mal!

    • [^] # Re: Rien de nouveau, mais...

      Posté par . Évalué à 2.

      Tu as tout à fait raison sur le registrar : sa gestion n'est pas vraiment acceptable.

      Je me rappelle l'histoire postée il y a quelques temps : Il y a prestataire technique et …… prestataire technique.
      Bon on va pas revenir sur qui a tord ou qui a raison, mais il est intéressant de se renseigner sur comment le registrar se comporte dans ce genre de situation.

      Vous avez de bons registrars à recommander ?

      • [^] # Re: Rien de nouveau, mais...

        Posté par (page perso) . Évalué à 5. Dernière modification le 29/01/14 à 16:01.

        qui a tord

        Tort. Qui a tort. Souviens-toi que le tort tue.

        Vous avez de bons registrars à recommander ?

        Gandi.

        • [^] # Re: Rien de nouveau, mais...

          Posté par . Évalué à 1.

          Merci pour la correction !

          Oui Gandi a une relativement bonne réputation (hormis dans le lien que j'ai donné où je trouve qu'ils ont été un peu cavaliers, mais c'est mon avis perso).

        • [^] # Re: Rien de nouveau, mais...

          Posté par . Évalué à 4.

          Pourquoi ? Quels sont leurs procédures pour éviter ce genre de truc ?

          • [^] # Re: Rien de nouveau, mais...

            Posté par . Évalué à 1.

            De mon point de vue, une grosse amende aux entreprises qui font ce genre de connerie devrait les motiver à faire attention. Et clé sous la porte si tu fais pas attention.

            Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

            • [^] # Re: Rien de nouveau, mais...

              Posté par . Évalué à 2.

              Donc la société met des amendes aux employés qui font n'importe quoi ???

              Bref, par « procédure », j'entend : possibilité d'authentification par certificat GPG ou autre, envoi postal, double authentification, etc.

        • [^] # Re: Rien de nouveau, mais...

          Posté par . Évalué à 1.

          Je confirme !

        • [^] # Re: Rien de nouveau, mais...

          Posté par (page perso) . Évalué à 6.

          BookMyName (filiale Online/Iliad) sont top, le site paye pas de mine mais c'est pas cher, les services sont de qualité et le support est très bon avec des gens techniques qui répondent rapidement.

          Chez Gandi j'ai toujours des tickets qui n'ont jamais reçu de réponse, et quand j'en ai ça met un temps fou. Parfois des commandes ont été annulées sans raison et sans explication et ensuite c'était l'enfer pour récupérer mes thunes.

          Bref Gandi c'est plus ce que c'était, je déconseille.

          « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

      • [^] # Re: Rien de nouveau, mais...

        Posté par (page perso) . Évalué à 1.

        Bon on va pas revenir sur qui a tord ou qui a raison,

        Ben si, car dans le cas du lien, le registar avait un choix pourri à faire.
        L'erreur a été de mettre un nom bidon. Ne mettez jamais un nom bidon dans le "owner name"… C'est lui qui décide qui est proprio.

        • [^] # Re: Rien de nouveau, mais...

          Posté par . Évalué à 1.

          Mais euh, j'avais dit de ne pas revenir dessus ! ;-)

          On est d'accord sur la cause du problème. Il n'empêche que personnellement j'ai trouvé la gestion un peu cavalière. Dans le doute, je n'aurais rien fait de peur d'agraver la situation (« d'abord, ne pas nuire »). Mais si personne ne propose mieux que Gandi, eh bien Gandi ce sera !

          Il faudrait que je fasse un stage en hotline ou service client pour tester ma patience et mon professionnalisme. J'imagine que cela doit être usant.

          • [^] # Re: Rien de nouveau, mais...

            Posté par (page perso) . Évalué à 1.

            Il n'empêche que personnellement j'ai trouvé la gestion un peu cavalière.

            Mais… Je n'ai rien dit la dessus, tu noteras ;-).
            J'ai juste noté qu'à partir où le proprio met n'importe quoi dans le owner name, une spec dirait alors "comportement du logiciel indéfini". Après on peut voir si c'est cavalier ou pas (et je n'ai pas donné mon avis dessus! J'en ai pas, l'histoire est trop limite et me garde de condamner Gandi pour ça, ni de l'acclamer, car ça doit pas être simple de rester neutre), mais le fait est que l'origine du problème reste un owner name pourri.

            • [^] # Re: Rien de nouveau, mais...

              Posté par (page perso) . Évalué à 2.

              Sauf qu,'il y a eu un changement de politique de sécu chez gandi et qu'ils ont rempli automatiquement les champs à un moment en se servant du nom de domaine.

              Mais on s'en moque dans l'absolu. Pour moi ils ont fait un transfert de propriété d'une société de 3 personnes vers une personne physique.

              Je trouve qu'ils ont eu un comportement pourri. Parce que l'owner name n'existe pas, ni d'un coté, ni de l'autre. L'un exploite la marque depuis 10 ans, l'autre la dépose depuis 3 mois. Juridiquement la marque revient à celui qui l'exploite : dans le doute on dit : démerdez-vous, donnez moi une décision de justice.

              Mais c'est plus simple d'encaisser le fric par CB, sans trop de travail derrière. On en revient toujours à la même question et on arrive toujours à la même réponse : on a exactement la société que l'on veut, peu respectueuse de l'individu et tellement rapide à prendre des décisions à la rache laissant celui qui n'est pas satisfait dans des combats juridiques longs et coûteux. Ou à la fin, le plus riche gagne.

              C't'un choix

              • [^] # Re: Rien de nouveau, mais...

                Posté par . Évalué à 1.

                Pour faire avancer de manière constructive les choses : est-ce que tu aurais un meilleur gestionnaire de noms de domaine à recommander ?
                Ce n'est pas facile de trouver des retours d'expérience intéressant sur les registrars sur ce genre de sujet. Donc je suis preneur !

  • # Et la plus grosse faille est ... AMAZON

    Posté par . Évalué à -1.

    Le point commun entre toute les histoire est le laxisme de Amazon. Donc en évitant d'avoir a faire à cette entreprise permettrait de limiter fortement les risques

    • [^] # Re: Et la plus grosse faille est ... AMAZON

      Posté par (page perso) . Évalué à 3.

      Trouve-moi le nom Amazon dans le premier lien…
      Le point commun est plutôt les entreprises qui utilisent des données publiques ou facilement récupérables pour t'authentifier.
      (ça ne cautionne pas l'idée que Amazon et Paypal filent comme ça des numéros, mais ce n'est qu'une faille parmi d'autres).

      • [^] # Re: Et la plus grosse faille est ... AMAZON

        Posté par (page perso) . Évalué à 8.

        (ça ne cautionne pas l'idée que Amazon et Paypal filent comme ça des numéros, mais ce n'est qu'une faille parmi d'autres).

        Pour moi, le problème c'est qu'ils enregistrent les numéros. Parce que ça, c'est déjà scandaleux, et dangereux à de multiples titres. On en a ici un exemple, mais il pourrait y en avoir d'autres : Sony se sont pas exemple fait voler des tas de numéros de CB l'an dernier, ce qui est une catastrophe et qui n'aurait pas été possible s'ils n'avaient pas stocké ces numéros.

        Bref, je continue à faire ce que je fais toujours : ne jamais, jamais donner un numéro de carte bancaire à un commerçant qui va l'enregistrer. S'il tient absolument à en enregistrer un, utiliser une carte virtuelle à usage unique, comme ça, s'il le stocke, grand bien lui fasse puisqu'elle est inutilisable par la suite, aussi bien pour débiter de l'argent que pour identifier raisonnablement quelqu'un puisqu'elle est invalidée par sa date d'expiration le lendemain même.

        • [^] # Re: Et la plus grosse faille est ... AMAZON

          Posté par (page perso) . Évalué à 1.

          Bon on va pas revenir sur qui a tord ou qui a raison,

          Et je les remercie de le faire, j'utilise cette fonctionnalité tous les jours.
          Ce n'est pas parce qu'un couteau permet de tuer qu'on n'utilsie pas de couteaux.

          S'il tient absolument à en enregistrer un, utiliser une carte virtuelle à usage unique

          Carte réclamée à fond par des gens qui hurlaient que c'était necessaire, et elle a fait un flop. Quasi personne n'en veut.

          • [^] # Re: Et la plus grosse faille est ... AMAZON

            Posté par . Évalué à 4.

            S'il tient absolument à en enregistrer un, utiliser une carte virtuelle à usage unique

            Carte réclamée à fond par des gens qui hurlaient que c'était necessaire, et elle a fait un flop. Quasi personne n'en veut.

            Je n'ai pas trouvé mieux pour payer à l'étranger ou sur des sites web un peu suspects d'un point de vue sécurité. Et plusieurs fois on m'a demandé le code de sécurité par email ou par téléphone ("vous comprenez c'est la procédure", ben voyons). Du coup quand je n'ai pas le temps ou l'envie d'argumenter je le donne quand même (mais avec un plafond de la somme exacte).
            L'effort est vraiment minime pour générer un nouveau numéro.

            Bon OK je sais que l'on peut contester chaque opération et que la banque est sensée nous rembourser. Mais si je peux éviter les problèmes, c'est encore mieux.

            D'ailleurs j'ai aussi gratté le code de sécurité au dos de ma carte. Quelle ne fut pas ma surprise récemment en voulant louer une voiture dans une agence en Grèce, de voir l'employé automatiquement tourner ma carte pour lire le code et s'étonner de ne pas le trouver (et il me l'a même demandé oralement le bougre !).

            On ne m'a pas encoré demandé le code à 4 chiffres, mais je sens que cela va arriver.

            • [^] # Re: Et la plus grosse faille est ... AMAZON

              Posté par . Évalué à 2.

              Ton histoire me fait me poser une question: Pour un commerçant, que lui permet exactement de faire le numéro de ta carte bleue ? Rien du tout ?

              Par exemple en cas de caution, faut il lui laisser juste son numéro de carte bleue, la photocopie du recto, le code à 3 chiffres ?
              Ça m'est arrivé récemment dans un garage, où ils ont fait une photocopie recto verso de ma carte bleue dans le cadre d'un prêt de bagnole. (J'avais oublié mon chéquier pour faire un chèque de caution)

              On s'éloigne du sujet mais par curiosité ça m'intéresse.

              • [^] # Re: Et la plus grosse faille est ... AMAZON

                Posté par . Évalué à 2.

                Ton histoire me fait me poser une question: Pour un commerçant, que lui permet exactement de faire le numéro de ta carte bleue ? Rien du tout ?

                Avant ces histoires de 3D-Secure, j'avais regardé la législation et seuls ta signature et ton code à 4 chiffres engageaient vraiment ta responsabilité.
                Donc toutes les transactions sans ces éléments pouvaient être contestables.

                Après avec juste le numéro tu peux faire pleins de choses, mais tu pourras ensuite contester.

                Par exemple en cas de caution, faut il lui laisser juste son numéro de carte bleue, la photocopie du recto, le code à 3 chiffres ?
                Ça m'est arrivé récemment dans un garage, où ils ont fait une photocopie recto verso de ma carte bleue dans le cadre d'un prêt de bagnole. (J'avais oublié mon chéquier pour faire un chèque de caution)

                Je pense qu'il ne faut pas donner son code de sécurité à 3 chiffres (même si je ne sais pas quelle valeur ce code a au regard de loi).
                Après j'ai peut-être tort et le commerçant n'a peut-être pas le choix dans certains cas.

                • [^] # Re: Et la plus grosse faille est ... AMAZON

                  Posté par . Évalué à 1.

                  j'avais regardé la législation et seuls ta signature et ton code à 4 chiffres engageaient vraiment ta responsabilité.

                  La signature seule n'engage pas ? Qu'en est-il si j'utilise ma carte française aux USA où le code à 4 chiffres est très peu utilisé ? Et c'est à la banque de prouver que c'est une signature contrefaite ?

                  • [^] # Re: Et la plus grosse faille est ... AMAZON

                    Posté par . Évalué à 0.

                    Tu es un programmeur non ? ;-)

                    Ce n'était pas un « et » au sens informatique/logique/algorithmique.

                    Tu peux remplacer par « ou »

                    • [^] # Re: Et la plus grosse faille est ... AMAZON

                      Posté par . Évalué à 0.

                      Tu veux dire que le OU est inutile dans la langue française puisqu'on peut utiliser le ET avec la même sémantique ?

                      • [^] # Re: Et la plus grosse faille est ... AMAZON

                        Posté par . Évalué à 7.

                        Une femme demande à son programmeur de mari : « Va au supermarché acheter une bouteille de lait. Et si ils ont des œufs, prends en 6 ».

                        Et le mec revient avec 6 bouteilles de lait.

                      • [^] # Re: Et la plus grosse faille est ... AMAZON

                        Posté par (page perso) . Évalué à 0.

                        Non, il veut dire que comprendre une langue ce n’est pas comprendre un sens pour chaque mot séparément. Sa phrase est correcte : l’un et l’autre engagent ta responsabilité, donc pour engager ta responsabilité il faut l’un ou l’autre. Son « et » n’étant pas dans une condition , tu ne peux pas le comparer aux opérations booléennes, les seules définitions que tu sembles connaître. D’après toi, 5 et 10 font « vrai » ou « faux » ?

                        • [^] # Re: Et la plus grosse faille est ... AMAZON

                          Posté par . Évalué à -3.

                          Imaginons un monde où il faudrait le code ET la signature pour engager sa responsabilité dans une transaction. Comment le décrire de façon fiable si le ET peut aussi bien signifier un OU. Comprendre la réponse de façon contextuelle ne devrait pas induire qu'on connaît déjà la réponse à la question. Je n'imagine même pas les cris d'orfraie si un texte administratif utilisait ce genre de formulation… Bref, au delà du débat sémantique (hors-sujet) j'ai trouvé la réponse assez condescendante.

                          • [^] # Re: Et la plus grosse faille est ... AMAZON

                            Posté par . Évalué à 0.

                            Tu marronne parce que t'a pas compris une phrase ?

                            Tu es entrain de définir une langue qui n'est pas le français. Le français n'a jamais eu pour objectif d'être sans ambiguïté et tu te sert beaucoup du contexte pour le comprendre, c'est d'ailleurs qui permet à beaucoup de développeurs spécialistes des langages naturels de vivre.

                            Si ça t’intéresse, je crois qu'il existe une langue qui a était conçu pour être humaine et réduire au maximum les ambiguïtés et la rendre facile à comprendre pour une machine (mais ça n'est ni du français, ni de l'anglais, ni aucune langue nationale d'aucun pays).

                            Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                            • [^] # Re: Et la plus grosse faille est ... AMAZON

                              Posté par . Évalué à 0.

                              Je "marronne" (?) parce que n'étant pas sûr de ma compréhension d'une phrase j'ai tout d'abord demandé ce qu'il en était pour être sûr. C'est seulement suite à la réponse très condescendante qui m'a été faite que je me suis moi-même permis une réponse ironique qui a débouché sur ce "débat" hors sujet et qui au fond ne m'intéresse pas plus que ça.

                        • [^] # Re: Et la plus grosse faille est ... AMAZON

                          Posté par . Évalué à 3.

                          D’après toi, 5 et 10 font « vrai » ou « faux » ?

                          Les deux ;)
                          0101 & 1010 => faux
                          0101 &&1010 => vrai

                          Tout dépend de l'opérateur ;)

                          Il ne faut pas décorner les boeufs avant d'avoir semé le vent

              • [^] # Re: Et la plus grosse faille est ... AMAZON

                Posté par (page perso) . Évalué à 2.

                que lui permet exactement de faire le numéro de ta carte bleue ?

                Cela permet de faire un prélèvement.

                Tu auras 30 jours (peut être plus?) pour le contester.

                • [^] # Re: Et la plus grosse faille est ... AMAZON

                  Posté par (page perso) . Évalué à 2. Dernière modification le 31/01/14 à 17:29.

                  Qu'est-ce que ça permet en réalité?
                  Sachant que les commerçants sont responsabilisés pas mal et qu'il y a plein de processus de détection de fraude…

                  les grands anti-CB ont fait tout un foin des vols de numéros chez Sony, mais en pratique…

                  Bref, surtout instiller la peur. En oubliant que les autres moyens de paiement sont loin d'être plus sûrs (que ce soit les espèces ou les chèques, chèques d'ailleurs refusés à cause… de la trop grande triche dessus, à l'inverse de la CB)

          • [^] # Re: Et la plus grosse faille est ... AMAZON

            Posté par (page perso) . Évalué à 5. Dernière modification le 29/01/14 à 16:44.

            Carte réclamée à fond par des gens qui hurlaient que c'était necessaire, et elle a fait un flop. Quasi personne n'en veut.

            Moi j'en veux, j'ai changé de banque pour pouvoir utiliser ça.

            Et par ailleurs, lors d'arnaques à la carte bancaire, ce sont les banques qui remboursent, et vu que ces arnaques augmentent énormément — je tiens ça de mon banquier, qui traitait quelques cas par semaine il y a quelques années, et qui les traite par dizaines depuis l'an dernier — je ne serais pas surpris que les banques ne s'en souviennent un jour pour rappeler à leurs client l'existence de ce moyen de paiement.

            • [^] # Re: Et la plus grosse faille est ... AMAZON

              Posté par . Évalué à 2. Dernière modification le 29/01/14 à 16:51.

              Et par ailleurs, lors d'arnaques à la carte bancaire, ce sont les banques qui remboursent

              Sauf si le commercant a désactivé la double authentification dite "3D-secure", auquel cas c'est pour sa pomme. Et ce quand bien même la transaction a été validée, et ce pendant 1 an.

              • [^] # Re: Et la plus grosse faille est ... AMAZON

                Posté par (page perso) . Évalué à 2.

                On parle bien de cas douteux où l'identification 3D-Secure a été désactivée, et où c'est le commerçant qui demande lui-même les numéros, comme le font par exemple la Fnac ou Amazon.

                C'est le commerçant qui rembourse, soit, mais en attendant, c'est la banque qui traite la demande à ses frais, qui avance le remboursement au client et qui demande au commerçant de rembourser. Je t'assure que les banquiers préfèrent que leurs clients prennent des mesures raisonnables pour limiter la fraude à la CB. C'est par exemple la raison pour laquelle mon banquier était presque content quand je lui ai demandé une nouvelle carte sans module de paiement sans contact, et c'est à cette occasion qu'il m'a indiqué l'ampleur du problème de fraude.

                • [^] # Re: Et la plus grosse faille est ... AMAZON

                  Posté par . Évalué à 4.

                  On parle bien de cas douteux où l'identification 3D-Secure a été désactivée, et où c'est le commerçant qui demande lui-même les numéros, comme le font par exemple la Fnac ou Amazon

                  Non. Le client est bien redirige vers la banque du commerçant qui gère la transaction. Le 3D secure est une 2 ème authentification faite par la banque du client, qui lui demande soit sa date de naissance, son identifiant ou encore un check par SMS.

                  Le problème, c'est que ce 2 ème processus perturbe beaucoup les clients qui du coup abandonne la transaction et file acheter sur Amazon. Ma copine perdait 30% de son chiffre d'affaires, ce qui est rapidement pas possible.

                  Et au final, beaucoup de commerçants désactivent ce 3D secure, trop contraignant, et preferent prendre a leurs charges les cas de fraude.

                  C'est le commerçant qui rembourse, soit, mais en attendant, c'est la banque qui traite la demande à ses frais, qui avance le remboursement au client et qui demande au commerçant de rembourser.

                  C'est beaucoup plus rapide que ça. La banque se sert sur le compte du commerçant et il n'a pas son mot a dire. La banque n'avance rien.

                  • [^] # Re: Et la plus grosse faille est ... AMAZON

                    Posté par (page perso) . Évalué à 2.

                    On parle bien de cas douteux où l'identification 3D-Secure a été désactivée, et où c'est le commerçant qui demande lui-même les numéros, comme le font par exemple la Fnac ou Amazon

                    Non. Le client est bien redirige vers la banque du commerçant qui gère la transaction. Le 3D secure est une 2 ème authentification faite par la banque du client, qui lui demande soit sa date de naissance, son identifiant ou encore un check par SMS.

                    Merci, je sais ce que c'est que 3D-Secure, et je confirme que la Fnac et Amazon ne l'utilisent pas, puisqu'ils demandent eux-mêmes les numéros et ne redirigent en aucun cas vers une banque.

                • [^] # Re: Et la plus grosse faille est ... AMAZON

                  Posté par (page perso) . Évalué à 1.

                  mon banquier était presque content quand je lui ai demandé une nouvelle carte sans module de paiement sans contact
                  

                  Le mien aussi \o/. En me prévenant toutefois que, à priori, c'était la dernière fois. Au prochain renouvellement, j'y échapperais pas (comme Monéo…)…

          • [^] # Re: Et la plus grosse faille est ... AMAZON

            Posté par . Évalué à 6.

            Carte réclamée à fond par des gens qui hurlaient que c'était necessaire, et elle a fait un flop. Quasi personne n'en veut.

            Le machin à 15€ que tu gères à l’aide d’un logiciel codé avec les pieds par un stagiaires payé au lance-pierre ? Comme c’est étonnant…

            • [^] # Re: Et la plus grosse faille est ... AMAZON

              Posté par (page perso) . Évalué à 4.

              Mauvaise banque, changer banque.

              Chez moi, au CIC, c'est un machin à zéro euro supplémentaire par rapport aux contrats standard, que tu gères avec l'interface web de ta banque comme tout le reste, avec double identification par identifiant et code secret plus grille façon bataille navale.

          • [^] # Re: Et la plus grosse faille est ... AMAZON

            Posté par . Évalué à 3.

            Tant que les banques voudront faire payer un système qui leur simplifie la vie et leur fait faire des économies, je n'y mettrai pas 1€. Si le service est offert je l'utilise, sinon c'est pour leur pomme.

            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

        • [^] # Re: Et la plus grosse faille est ... AMAZON

          Posté par . Évalué à 4. Dernière modification le 29/01/14 à 21:07.

          Parce que ça, c'est déjà scandaleux, et dangereux à de multiples titres.

          Qu'est ce que ca a de scandaleux? L'industrie de la carte de payment emet des regles tres strictes sur les stockages des cartes, les entreprises les suivent.
          Note que target s'est fait piquer des cartes sur le pos meme, alors on fait quoi? On arrete les cartes tout court?

          T'as une assurance avec ta carte. Si ta carte est utilisee sans ton consentement, c'est pour la gueule de l'organisme de credit, pas pour toi.
          Ce qui n'est pas le cas avec une carte virtuelle, si on te pique ton mot de passe d'acces a ta carte virtuelle, c'est pour ta gueule mon canard. Tu preferes quoi? Une securite soit disant pure, mais etre responsable financierement d'une faille qui n'est pas forcement ta faute, ou etre rembourse si quelqu'un fait le con avec ta carte?

          On en a ici un exemple,

          Le probleme c'est plutot que godaddy accepte les 4 derniers numeros pour authentifier qq1 au telephone. C'est le probleme, pas qu'ils les stockent.
          Tu crois que le meme probleme (authentifier qq1 a partir de pas grand chose) n'arriverait pas s'ils ne stockaient pas les cartes?

          mais il pourrait y en avoir d'autres : Sony se sont pas exemple fait voler des tas de numéros de CB l'an dernier, ce qui est une catastrophe et qui n'aurait pas été possible s'ils n'avaient pas stocké ces numéros.

          En quoi c'est une catastrophe? A tu la moindre idee de savoir si les numeros ont effectivement ete utilise?

          Linuxfr, le portail francais du logiciel libre et du neo nazisme.

          • [^] # Re: Et la plus grosse faille est ... AMAZON

            Posté par (page perso) . Évalué à 2.

            Ce qui n'est pas le cas avec une carte virtuelle, si on te pique ton mot de passe d'acces a ta carte virtuelle, c'est pour ta gueule mon canard.

            Désolé mais ça n'a rien à voir. Pour générer un numéro de CB virtuelle, ce qu'on me demande, c'est mon identifiant et mon code secret d'accès à l'interface web d'administration de mes services bancaires, plus un code issu d'une grille façon bataille navale.

            Alors oui, si je me fais piquer tout ça je suis sévèrement dans la merde, largement plus qu'en me faisant voler une CB. Sauf que c'est justement bien plus difficile de me voler tout ça, parce que ça implique de me torturer pour que je donne mes identifiants, et de me cambrioler pour mettre la main sur la grille de sécurité. Sachant que si je m'aperçois que cette grille n'est plus à sa place, je téléphonerai immédiatement à mon banquier pour qu'il l'invalide.

            En quoi c'est une catastrophe? A tu la moindre idee de savoir si les numeros ont effectivement ete utilise?

            Non : je ne me suis pas beaucoup intéressé à cette affaire, puisqu'elle ne me concerne pas. Contrairement à la majorité des gens, je n'utilise pas de services aussi risqués et ne suis donc pas concerné par ces risques.

            • [^] # Re: Et la plus grosse faille est ... AMAZON

              Posté par . Évalué à 3.

              Non : je ne me suis pas beaucoup intéressé à cette affaire, puisqu'elle ne me concerne pas. Contrairement à la majorité des gens, je n'utilise pas de services aussi risqués et ne suis donc pas concerné par ces risques.

              Humm.
              Et si je téléphone à ton banquier « parce que j'ai perdu mes identifiants » ?
              La plupart des banques m'ont demandé vraiment des informations basiques pour « m'authentitifer ».
              Une fois les identifiants obtenus, il me suffit de changer ton adresse et d'obtenir ta grille (on peut changer son adresse avec un simple fax en France si je ne m'abuse ?).

              • [^] # Re: Et la plus grosse faille est ... AMAZON

                Posté par . Évalué à 2.

                La plupart des banques m'ont demandé vraiment des informations basiques pour « m'authentitifer ».

                Le CSC de ma banque m'a demandé entre autres les quatre derniers chiffres de mon numéro de CB :)
                Aiet, the buckle is buckled.

                Une fois les identifiants obtenus, il me suffit de changer ton adresse et d'obtenir ta grille (on peut changer son adresse avec un simple fax en France si je ne m'abuse ?).

                Ma banque m'a demandé un justificatif de domicile et une copie de ma CNI pour le faire.

                • [^] # Re: Et la plus grosse faille est ... AMAZON

                  Posté par . Évalué à 1.

                  Une fois les identifiants obtenus, il me suffit de changer ton adresse et d'obtenir ta grille (on peut changer son adresse avec un simple fax en France si je ne m'abuse ?).

                  Ma banque m'a demandé un justificatif de domicile et une copie de ma CNI pour le faire.

                  Le justificatif de domicile est bidon : n'importe quoi et cela passe (par exemple un faux contrat de location rédigé avec Word/Openoffice).

                  La CNI c'est pas mal : mais est-ce qu'il avait fait une copie de ta CNI à l'ouverture du compte ?

                  • [^] # Re: Et la plus grosse faille est ... AMAZON

                    Posté par . Évalué à 2.

                    Le justificatif de domicile est bidon : n'importe quoi et cela passe (par exemple un faux contrat de location rédigé avec Word/Openoffice).

                    Je sais bien.

                    La CNI c'est pas mal : mais est-ce qu'il avait fait une copie de ta CNI à l'ouverture du compte ?

                    C'est une obligation réglementaire, donc wii, ils le font. Est ce qu'ils la gardent, par contre …
                    Pour le coup du changement du changement d'adresse, ils avaient aussi voulu une lettre (avec signature).

                    • [^] # Re: Et la plus grosse faille est ... AMAZON

                      Posté par . Évalué à 1.

                      La CNI c'est pas mal : mais est-ce qu'il avait fait une copie de ta CNI à l'ouverture du compte ?

                      C'est une obligation réglementaire, donc wii, ils le font. Est ce qu'ils la gardent, par contre …
                      Pour le coup du changement du changement d'adresse, ils avaient aussi voulu une lettre (avec signature).

                      C'est pas trop mal tout ça sur le papier.

                      En pratique j'émettrais une réserve : il m'est arrivé de déménager et ma banque était particulièrement difficile pour changer mon adresse (j'avoue que cela m'a agaçé à l'époque).

                      L'employé chargé de ce genre d'opération était inflexible et ne voulait rien faire sans les preuves nécessaires.

                      J'ai laissé tombé pendant un moment (j'avais un fait un transfert d'adresse par la Poste) et à l'occasion d'une conversation avec le conseiller en charge du compte, j'ai pu quand même changer l'adresse mais avec beaucoup moins de contrainte.

                      Donc cela vaut le coup d'essayer avec plusieurs profils à la banque…

                      Sinon cela fait un autre vecteur d'attaque ça : ne pas changer l'adresse mais aller à la Poste pour faire un transfert d'adresse.
                      (je crois qu'il y a cependant certains courriers qui ne peuvent être transférés).

                      • [^] # Re: Et la plus grosse faille est ... AMAZON

                        Posté par . Évalué à 2.

                        (je crois qu'il y a cependant certains courriers qui ne peuvent être transférés).

                        Pour moi les seuls courriers qui ne sont pas transmis sont les avis d'imposition. Sauf qu'en vrai, ben moi ils l'ont fait deux fois l'année dernière… Les courriers des banques, ca suit tranquille.

              • [^] # Re: Et la plus grosse faille est ... AMAZON

                Posté par (page perso) . Évalué à 3.

                Et si je téléphone à ton banquier « parce que j'ai perdu mes identifiants » ?

                Fais donc. Je recevrai de nouveaux identifiants par courrier postal, ça me fera juste chier entre temps parce qu'il risque de désactiver mon accès actuel.

                • [^] # Re: Et la plus grosse faille est ... AMAZON

                  Posté par . Évalué à 3.

                  Et si je téléphone à ton banquier « parce que j'ai perdu mes identifiants » ?

                  Fais donc. Je recevrai de nouveaux identifiants par courrier postal, ça me fera juste chier entre temps parce qu'il risque de désactiver mon accès actuel.

                  Et si j'arrive à changer ton adresse postale ?
                  Quelle est la procédure de ta banque pour changer l'adresse ?

                  P.S. : tout le monde aura remarqué ma subtile tentative d'ingénierie sociale pour avoir le maximum d'information sur sa banque afin de préparer mon attaque…

  • # Beaucoup plus simple.

    Posté par . Évalué à 6.

    Il y a même encore plus simple pour pouvoir prendre le contrôle d'un domaine, envoyer directement un mail au registraire.
    http://blog.rootshell.be/2014/01/15/dns-hijacking-with-just-one-mail/

    En résumé, l'auteur héberge le site d'un ami, et doit modifier les dns suite à une migration. Il décide d'envoyer un email au registraire du nom de domaine en lui expliquant la situation, et moins d'une heure plus tard la modification a été faite, sans vérifications.

    Ici il y a clairement un problème du coté de l'employé qui a fait la modification, mais on en revient souvent au rapport entre simplicité (pour le client) et sécurité.

    • [^] # Re: Beaucoup plus simple.

      Posté par . Évalué à 2.

      Il faut "mitiger" cela par le risque encouru. Rendre un blog indisponible quelques heures, n'est pas forcément très grave. Perdre complètement ses données, n'est pas la même chose que les rendre inaccessible. Envoyé des messages racistes/homophobes, n'a pas le même poids si ils peuvent être retirer rapidement.

      Le problème est le chainage qui permet de récupérer des informations importantes, en commençant par des informations insignifiantes.

      A quand le dongle USB, qui oblige à pirater la machine du client, pur usurper son identité ?

      "La première sécurité est la liberté"

      • [^] # Re: Beaucoup plus simple.

        Posté par . Évalué à 4.

        Des DNS modifiés peuvent avoir plein de répercutions.

        Comme rediriger vers un faux site dans le but de récupérer les identifiants des utilisateurs ou distribuer un malware.
        Je pense aussi à un site de vente détourné qui permettrait de récupérer des infos bancaires et qui provoque un manque à gagner pour l'entreprise.
        On peut aussi modifier les MX pour récupérer des emails et des identifiants en utilisant les systèmes "mot de passe oublié".
        En renvoyant les emails ça pourrait même être assez discret et permet de récupérer pendant longtemps les mails d'une cible.

        La sécurité des registraire/serveur dns et les répercussions que ça peut avoir sont quand même souvent oubliées ou sous-estimés.

  • # Meh

    Posté par (page perso) . Évalué à 2.

    Avec l'adresse, appeler le service client d'Amazon ou de Paypal et essayer d'obtenir les 4 derniers chiffres de votre carte bancaire (ou directement l'accès à votre compte, ce qui vous donne l'accès aux 4 chiffres)

    Comment Amazon/Paypal choppent votre numéro de CB ? Il y a une révélation de Snowden que je n'ai pas suivie ?

    • [^] # Re: Meh

      Posté par (page perso) . Évalué à 4. Dernière modification le 29/01/14 à 17:18.

      Les gens inconscients, c'est à dire à peu près tout le monde, leur donnent volontairement sans se rendre compte de l'énormité que cela représente.

      C'est un des symptômes du syndrome courant d'extinction volontaire de leur cerveau quand ils sont face à un écran. Face à une vraie personne, disons le boulanger du coin qu'on connaît bien, en qui on a confiance, et dont on sait où le retrouver pour lui casser la gueule en cas de problème, jamais ils ne donneraient leur numéro de carte bancaire, évidemment, mais face à un écran, on éteint le cerveau et on obéit.

      • [^] # Re: Meh

        Posté par . Évalué à 3.

        Je te trouve un peu dur avec les gens (pas facile de lutter contre toutes ces entreprises qui n'en ont qu'à ton portefeuille).

        Sinon un truc très pratique je trouve c'est le virement avec mention de la référence de la commande.
        Pour une petite entreprise en Europe par exemple, je ne vois pas bien les désavantages pour peu que l'échange se fasse en Europe (argh les frais de virement internationaux !).
        Bon OK il faut attendre quelques jours pour avoir la confirmation du virement…

        • [^] # Re: Meh

          Posté par (page perso) . Évalué à 5. Dernière modification le 29/01/14 à 17:52.

          Bon OK il faut attendre quelques jours pour avoir la confirmation du virement…

          Et mettre en place un système pour automatiser ça conjointement avec sa banque, qui n'a absolument rien de prévu pour cela.

          Mais oui, je suis d'accord d'une façon générale, en particulier en ce qui me concerne pour les associations qui veulent que je leur donne de l'argent. Par exemple, cette année, j'ai donné à une association par chèque, en indiquant sur mon bulletin de don : « pour l'année prochaine, je souhaite donner par virement plutôt que par chèque, merci de m'envoyer votre identité bancaire ». On va voir ce qu'ils me répondent, et s'ils me renvoient un bulletin ne permettant pas de donner par virement, je me ferai un plaisir de leur renvoyer un refus poli et argumenté.

          Hier soir encore, je viens de rembarrer un démarcheur de rue de l'Unicef, qui voulait que je donne par prélèvement mensuel automatique : « Désolé mais je n'accepte pas ça, en revanche je peux envisager de donner par virement automatique. Vous ne faites pas ça ? Dommage, revenez quand vous ferez. »

          • [^] # Re: Meh

            Posté par . Évalué à 2.

            Tu peux aussi choisir ta banque : je crois savoir que certaines proposent une sorte d'export à partir du site web. Peut-être pas une API (ce serait vraiment beau) mais au moins un fichier csv ce serait déjà pas mal.

            Après c'est de l'artisanal, mais pour une petite entreprise ça peut être suffisant.

            La question c'est plutôt si c'est bien accepté par les clients (qui vont peut-être réclamer du Paypal ?).

            • [^] # Re: Meh

              Posté par (page perso) . Évalué à 0.

              Piwigo permet de payer par virement.

              Il faut indiquer le numéro de la commande dans le virement et c'est validé de leur coté dès qu'ils le voient passer.

              Matthieu Gautier|irc:starmad

              • [^] # Re: Meh

                Posté par . Évalué à 1.

                Tu réponds à côté je crois. La question n'est pas de savoir si c'est possible mais de savoir comment faire cela simplement/automatiquement.

                Bien entendu tu peux attendre ton relevé de compte à la fin du mois et faire le rapprochement avec crayon, papier et calculatrice.

                • [^] # Re: Meh

                  Posté par (page perso) . Évalué à 0.

                  Non, c'est pas validé à la fin du mois.
                  C'est validé relativement rapidement. De mémoire dans la journée. (Je sais plus exactement, ça fait un bout de temps que je leur ai payé mon abonnement)

                  • Lorsque tu veux payé, tu choisis le payement par virement et ça te donne un code à mettre dans la désignation du virement.
                  • Tu vas sur le site de ta banque, tu rajoute le RIB de piwigo et tu effectue le virement en mettant le bon code dans la designation du virement
                  • Rapidement (genre le lendemain), ton virement est détecté et ton compte passe de "en attente de payement" à "payé".

                  Ça m'étonnerai qu'ils aient qqun qui épluche les relevés bancaires tous les matins. Je penche plutôt sur un script automatique (weboob ?)

                  Après je suis d'accord, c'est pas immédiat. Il faut attendre que le virement soit effectué. C'est pas vraiment compatible avec le "livré demain chez vous".

                  Matthieu Gautier|irc:starmad

              • [^] # Re: Meh

                Posté par (page perso) . Évalué à 1.

                dès qu'ils le voient passer.

                donc coût supplémentaire, fail
                (en plus du délai)

                C'est bien que des sites le fassent, mais ça ne concurrence pas les CB et Paypal.

                • [^] # Re: Meh

                  Posté par (page perso) . Évalué à 2.

                  Parce que les banques ne le veulent pas. Rien n'empêche une banque de fournir un mécanisme de notification de virement en temps réel, par exemple en envoyant un message signé.

                  • [^] # Re: Meh

                    Posté par . Évalué à 2.

                    Je sais pas trop comment ça marche, mais ma banque me fournit un boitier cryptomachin qui donne des codes dont la validité est très limitée dans le temps. Et parfois, quand je veux payer avec ma carte ma banque me demande de m'en servir, donc d'avoir ma carte, et de taper mon code.

                    Ça a l'air sûr :)

                    Please do not feed the trolls

                    • [^] # Re: Meh

                      Posté par (page perso) . Évalué à 3.

                      Tu réponds à côté de la plaque je crois : on parlait de traitement automatique des réceptions de virement.

                      • [^] # Re: Meh

                        Posté par . Évalué à 2.

                        Oui ? J'avais cru comprendre que le problème dans notifications était le fait de passer par un tiers.

                        Please do not feed the trolls

          • [^] # Re: Meh

            Posté par . Évalué à 3.

            Le gros problème des virements c'est qu'à ma connaissance il n'y a aucun standard existant pour faire le lien entre l'action déclencheuse "Tanguy veut faire un don de 666.42€ à action contre la faim" et le résultat "666.42€ sont arrivés sur le compte d'action contre la faim". Du coup le récepteur est obligé de bricoler faire le rapprochement à la main (avec le nom s'il est présent dans le libellé du virement, le montant, la date) avec les risques que ça implique (ex: 1 transaction reçue alors qu'on attend deux virements, qui a payé ?).

            Avec le prélèvement ou un paiment CB, pas de soucis.

        • [^] # Re: Meh

          Posté par (page perso) . Évalué à 5.

          Bon OK il faut attendre quelques jours pour avoir la confirmation du virement…

          Et c'est quelques jours de trop.
          Ce n'est pas pour rien que les cartes bancaires sont adorées, y compris en national ou européen.
          Le virement n'est pas une solution viable, car ne répond pas au besoin (la confirmation immédiate) ni aux garanties de remboursement (Paypal est adoré pour ça).

          Sinon, pas mal d'entreprises acceptent les virements, j'en fait assez souvent.

          • [^] # Re: Meh => virements rapides en Belgique

            Posté par . Évalué à 2. Dernière modification le 29/01/14 à 22:32.

            Il me semble que le temps de traitement des virements est ridiculement long en France (argent servant pendant ce temps là, pour la banque). Il me semble avoir entendu de mon pote qui habite en Belgique que les virements y sont très rapides, du genre pliés en une heure.

            La limite légale pour l'exécution d'un virement intra-Belgique semble être une journée :
            « le compte du bénéficiaire est crédité au maximum en trois jours ouvrables (bancaires). Pour les virements dont le bénéficiaire réside en Belgique, ce délai reste fixé à un jour ; »
            source : https://www.fintro.be/pics/be/k/fr/anon/priv/daily/priv/Alles-weten-over-SEPA/Virements-europeens.asp?contract_type=sta

            • [^] # Re: Meh => virements rapides en Belgique

              Posté par . Évalué à 4.

              Il me semble que le temps de traitement des virements est ridiculement long en France (argent servant pendant ce temps là, pour la banque). Il me semble avoir entendu de mon pote qui habite en Belgique que les virements y sont très rapides, du genre pliés en une heure.

              Dans un autre pays d'Europe où j'habitais, déjà il y a 10 ans ils étaient instantanés, du genre :

              -- Allo ?
              -- Tu pourrais me prêter 100 balles ?
              -- OK, passe moi ton numéro de compte, je te rappelle quand je l'ai fait.
              [site web de la banque, passage de l'ordre, tout ça en deux minutes et rappel immédiat]
              -- Allo ? Je viens de passer l'ordre de virement, ça devrait bientôt être bon.
              -- Oui, je sais, je l'ai vu arriver.
              -- Oh, déjà ?

              Et donc le virement était une forme de paiement très utilisée.

              Alors quand une fois retourné en France, tu essayes de faire la même chose, tu pleures. Le virement prends 24/48/72 heures à arriver et être signalé au destinataire, et rien que pour passer l'ordre je me rappelle être resté incrédule quand le site de la Banque Postale, pour ajouter un destinataire, m'a renvoyé vers un PDF à imprimer, à remplir au stylo et à aller remettre à la Poste, WTF ?

              • [^] # Re: Meh => virements rapides en Belgique

                Posté par (page perso) . Évalué à 6.

                Grâce au système SEPA qui est uniformisé à l'échelle de l'UE (et de quelques pays voisins), les banques provenant des États membres devront exécuter les virements en moins de 24h entre elles.
                Cela arrivera cet été normalement, bien que de nombreuses banques commencent déjà à l'appliquer.

                Mais les virements peuvent être très rapides même en France, depuis plusieurs années les virements entre compte du Crédit-Agricole (du moins dans mon cas) sont instantanées. Je n'ai pas tenté entre différentes banques ceci dit.

                • [^] # Re: Meh => virements rapides en Belgique

                  Posté par (page perso) . Évalué à 4.

                  Il ne manque plus qu'un standard qui permettrait que tu rentres le numéro BIC/SWIFT de ta banque et tu es redirigé sur le site de ta banque pour faire un virement du bon montant avec la bonne communication vers le site du commerçant, ça commercerait à vraiment concurrencer Paypal et les cartes de crédit.

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                  • [^] # Re: Meh => virements rapides en Belgique

                    Posté par . Évalué à 1.

                    Un truc dans ce genre là :
                    http://www.globalcollect.com/payment-methods/real-time-bank-transfers/

                    Il me semble que tu ne rentres donc pas ton numéro de carte dans ce cas-là

                    • [^] # Re: Meh => virements rapides en Belgique

                      Posté par (page perso) . Évalué à 3.

                      Pour sofortûberweisung, tu ne rentres pas ton numéro de carte, mais ton login et pass de ta banque, et ce pas sur le site de ta banque.
                      Ca fait froid dans le dos en terme de sécurité… Mais ça marche, c'est utilisé, à priori pas tant de fraude que ça (j'imagine que pour les site il faut montrer patte blanche, mais voila, ça "éduque" les gens à filer leur login/pass à n'importe quoi et donc à d'autres moment ce sera une arnaque)

                      • [^] # Re: Meh => virements rapides en Belgique

                        Posté par . Évalué à 1.

                        Quoi ?!
                        Mais tu ne rentres pas le login/password sur le site d'e-commerce quand même ? Ce serait de l'inconscience pure.

                        A la limite, si c'est un site tiers auxquel ta banque a signé un accord et accordé sa confiance, c'est (un peu) moins choquant (mais je n'aime aussi pas trop ça).

                        • [^] # Re: Meh => virements rapides en Belgique

                          Posté par (page perso) . Évalué à 3.

                          Ça a l'air d'être sur le site de Sofort: « Vous entrez les données confidentielles permettant d'accéder à votre banque en ligne » https://www.sofort.com/fre-FR/acheteur/sofort-banking/

                          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                        • [^] # Re: Meh => virements rapides en Belgique

                          Posté par (page perso) . Évalué à 2. Dernière modification le 30/01/14 à 15:03.

                          Mais tu ne rentres pas le login/password sur le site d'e-commerce quand même ?

                          Sur le site de sofortüberweisung, le "tiers de confiance".

                          si c'est un site tiers auxquel ta banque a signé un accord et accordé sa confiance, c'est (un peu) moins choquant (mais je n'aime aussi pas trop ça).

                          Je n'aime pas ça du tout. J'estime que seul le site de ma banque devrait avoir le login/pass. La, çapermet au site de "passer le virement" pour toi et de dire au site de commerce que c'est fait, mais c'est bien limite…
                          Mais bon, ça dérange pas foule (faut dire, avec ceux qui hurlent que leur numéro de CB est enregistré alors qu'on s'en fout, le message sur les vrais problèmes de sécurité ont du mal à passer… un peut comme le certificat SSL de LinuxFr qui pollue les message sur SSL ;-) )

                        • [^] # Re: Meh => virements rapides en Belgique

                          Posté par (page perso) . Évalué à 2.

                          Mais tu ne rentres pas le login/password sur le site d'e-commerce quand même ? Ce serait de l'inconscience pure.

                          Un peu plus que de rentrer le numéro de carte sur le site d'e-commerce, mais les gens n'acceptent pas ça, heureusement ! Euh, attendez…

                          • [^] # Re: Meh => virements rapides en Belgique

                            Posté par (page perso) . Évalué à 2.

                            Tu as un sacré problème perso avec les numéros de CB…
                            tu fantasmes.
                            Il y a une énorme différence avec les CB : avec les CB, tu es couvert en cas d'utilisation pas par toi du numéro de CB. le login/pass de ta banque est personnel et t'engage.

                            Bref, tu mélanges tout et n'importe quoi pour rentrer dans ton délire tout seul.

                            • [^] # Re: Meh => virements rapides en Belgique

                              Posté par . Évalué à 2.

                              Tu es sûr que le login/password engage ta responsabilité vis à vis de la loi ?

                              J'avais vérifié il y longtemps et c'était seulement la signature et le code à 4 chiffres.

                              C'est à dire qu'il est très difficile de récupérer ton argent dans ces cas-là (dans le cas de la signature c'est un peu bancale, j'en conviens, car comment vérifier concrètement ?).

                              • [^] # Re: Meh => virements rapides en Belgique

                                Posté par (page perso) . Évalué à 2.

                                On parle du login/pass qui est celui de ton accès à ta banque… On ne parle plus de CB (ce que tu as regardé, et la je suis d'accord : seul le code à 4 chiffres vaut signature, c'est dire aussi le délire de ceux qui ne veulent pas filer le CCV au dos de la carte alors qu'il est dmeandé maitnenant quasi à chaque fois), mais de lien contractuel entre ta banque et toi directement, sans intermédiaire (bref, les mêmes login/pass qui servent quand tu fais les virements toi-même).

                                • [^] # Re: Meh => virements rapides en Belgique

                                  Posté par . Évalué à 1.

                                  Pardon je me suis mal exprimé : en gros que se passe-t-il si j'obtiens (de n'importe quelle manière) ton login/password/grille de ta banque et que j'arrive à effectuer des virements frauduleux ?

                                  Est-ce que je suis couvert avant mon opposition (responsabilité engagée jusqu'à 150 euros ou un truc du genre) ?

                                  Quand j'avais vérifié, si on utilise le code à 4 chiffres ou si tu signes n'importe quoi, c'est très difficile de récupérer tes sous.
                                  Tous les autres cas de figure, tu peux récupérer les sous relativement facilement.

                                  C'est important car cela signifie ou pas si ce login/password/grille a une existence légale ou si c'est juste un truc artificiel de ta banque.

                                  • [^] # Re: Meh => virements rapides en Belgique

                                    Posté par (page perso) . Évalué à 3.

                                    Est-ce que je suis couvert avant mon opposition (responsabilité engagée jusqu'à 150 euros ou un truc du genre) ?

                                    Tu veux dire, est-ce que je suis couvert, puisque tu prends l'exemple où tu es attaquant et moi victime. Je ne pense pas non. Perdre la grille de sécurité, la banque peut éventuellement l'accepter, c'est pour ça qu'ils permettent de faire opposition dessus pour l'invalider, en revanche donner volontairement ton code secret, ça doit engager ta responsabilité.

                                    Mais encore une fois, pour obtenir ce code il faut me torturer, donc je pense que je serai au courant si quelqu'un d'autre l'obtient.

                                    • [^] # Re: Meh => virements rapides en Belgique

                                      Posté par . Évalué à 1.

                                      J'ai regardé vite fait et cela donne mal à la tête :
                                      Les responsabilités restent floues en cas de fraude en ligne
                                      Victime de phishing ? La loi oblige votre banque à vous rembourser !

                                      Donc je ne suis pas sûr qu'une banque peut complètement se retrancher derrière l'argument « le client n'avait qu'à mieux sécuriser son login/password/grille ».

                                      • [^] # Re: Meh => virements rapides en Belgique

                                        Posté par (page perso) . Évalué à 2.

                                        Victime de phishing ? La loi oblige votre banque à vous rembourser !

                                        Cet article parle toujorus de CB, et je ne parles pas de CB…

                                        dans le cas de la CB, c'est clair : pas de code 4 chiffre = pas de responsabilité, quoi que dise la banque.
                                        Et filer ton login/pass de la banque à une autre entité ressemble plus à filer ton code 4 chiffres qu'autre chose (le numéro de CB ressemble plus à filer ton RIB, pareil pas de risque)

                                        • [^] # Re: Meh => virements rapides en Belgique

                                          Posté par . Évalué à 1.

                                          On ne parle plus de CB mais de banque en ligne.

                                          Autant l'utilisation de la CB est (relativement) claire dans la loi (i.e. responsabilité). Autant c'est pas clair pour la banque en ligne.

                                          Dans le cas d'un paiement par internet avec la CB, c'est normalement assez clair (sauf pour ce 3D-Secure que je ne connais pas bien). Tu peux donner ton numéro de CB, ta date d'expiration, ton code de sécurité et ton premier né, cela n'y changera rien : tu es couvert en cas d'utilisation frauduleuse.

                                          Dans le cas d'un paiement par internet via la banque en ligne (virement ou le sofort-bidule), ce n'est pas clair si tu es couvert ou pas en cas d'utilisation frauduleuse (i.e. on a piqué ton login/password/grille).

                              • [^] # Re: Meh => virements rapides en Belgique

                                Posté par . Évalué à 3. Dernière modification le 30/01/14 à 16:49.

                                Ce ne sera probablement pas devant la loi car si le truc avec le code sur les CB est relativement bien bordé par la loi, je doute qu'il y ait quoi que ce soit pour les login/password. Du coup, c'est le bête droit des contrats qui va s'appliquer (tu sais le papier que tu as signé qui dit que tu le donneras à personne ce login/pw). Et tu l'auras dans le schtroumph.

                                • [^] # Re: Meh => virements rapides en Belgique

                                  Posté par . Évalué à 1.

                                  Il faudrait un juriste pour trancher mais je ne pense pas que tu puisses faire jouer le contrat entre ta banque et toi comme cela.
                                  C'est serait un peu trop facile pour une banque de dégager sa responsabilité comme cela (cf. les liens que j'ai donné à Tanguy juste au dessus).

                                  • [^] # Re: Meh => virements rapides en Belgique

                                    Posté par . Évalué à 2.

                                    Euh non. Ce que tu n'as pas compris, c'est que c'est la banque qui va jouer le contrat contre toi qui a refilé ton password à n'importe qui car il n'y a pas de texte de loi pour te protéger. Pour le code secret de la CB si tu le donnes, tu l'as dans le schtroumph, pareil. Si on te l'extorque, il faudra que tu le prouves. Par contre, la banque ne peut pas tenter de se retourner contre toi pour les transaction sans signature/pincode car la loi dispose l'inverse et le contrat ne peut pas aller contre la loi.

                                    • [^] # Re: Meh => virements rapides en Belgique

                                      Posté par . Évalué à 1.

                                      C'est justement le lien que j'ai donné plus haut :
                                      Victime de phishing ? La loi oblige votre banque à vous rembourser

                                      Tu es bien dans le cas où quelqu'un a pris ton login/password/grille et s'en est servi pour vider ton compte.
                                      Le site web donné en lien conclut que la banque doit te rembourser.

                                      D'où ma conclusion que ce n'est pas aussi clair que certains voudraient bien le croire.

                                      • [^] # Re: Meh => virements rapides en Belgique

                                        Posté par . Évalué à 3.

                                        My bad, j'ai appris un gros truc ajd. Pour le coup la loi est en fait très claire, du coup, je ne vois pas où est le problème. Dès que tu vois une opération frauduleuse, tu le signales et la banque est tenue de te rembourser. Tu n'as pas à prouver qu'elle est frauduleuse. Note que l'article agefi que tu pointes plus haut date de 2005 et que l'article du code monétaire a été créé en 2009, il n'est donc pas étonnant qu'ils soient contradictoires.

                                        • [^] # Re: Meh => virements rapides en Belgique

                                          Posté par . Évalué à 1.

                                          J'ai démarré un nouveau fil en bas où en partant du même article j'arrive à la conclusion opposée !
                                          Enfin bref, tu m'as compris : c'est pas très clair pour le commun des mortels.

                    • [^] # Re: Meh => virements rapides en Belgique

                      Posté par (page perso) . Évalué à 3.

                      Un truc dans ce genre là mais où tu arrive sur l'interface de ta banque. Ça évite de filer un accès à n'importe qui et ça permet à chaque banque d'implémenter la sécurité qu'elle désire pour authentifier la transaction.

                      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                      • [^] # Re: Meh => virements rapides en Belgique

                        Posté par . Évalué à 1.

                        Pour la banque j'imagine qu'elle ne veut pas s'embêter à gérer en direct les transactions avec chaque site web et préfère un intermédiaire (de confiance).

                        C'est compréhensible et je préfère voir cela plutôt qu'une banque implémenter sa propre solution bancale.

                        C'est un bon compromis je trouve. Il faudrait juste trouver un moyen pour ne pas entrer le login/password de sa banque sur le site de l'intermédiaire mais faire la liaison autrement.

            • [^] # Re: Meh => virements rapides en Belgique

              Posté par (page perso) . Évalué à 3.

              Il me semble que le temps de traitement des virements est ridiculement long en France (argent servant pendant ce temps là, pour la banque). Il me semble avoir entendu de mon pote qui habite en Belgique que les virements y sont très rapides, du genre pliés en une heure.

              Ça dépend des banques. Avec la mienne, je n'ai pas vérifié si c'était instantané, mais c'est fait dans la journée, ça j'en suis sûr.

  • # Magnifique

    Posté par . Évalué à 1.

    Réponse de Paypal :
    PayPal Takes Your Security Seriously

    En gros ils n'ont rien divulgué.

    Réponse de GoDaddy :
    GoDaddy Admits Hacker Tricked Employee to Access Naoki Hiroshima's Details

    Avec cet extrait de toute beauté :
    We are making necessary changes to employee training to ensure we continue to provide industry-leading security to our customers and stay ahead of evolving hacker techniques.

    • [^] # Re: Magnifique

      Posté par . Évalué à 4.

      PR bullshit (ça vient d'ici). Ça fait joli, ça marche avec les journalistes et ça ferait bizarre si ça n'y était pas … donc ils le mettent. Faut jamais porter trop d'attention aux premières et dernières lignes des déclarations de presse :)

  • # Responsabilité banque en ligne

    Posté par . Évalué à 1.

    Je mets le lien ici car sinon c'est perdu au fin fond d'une discussion.

    Que se passe-t-il si on vide votre compte via votre service de banque en ligne et grâce à l'obtention frauduleuse de votre login/password/grille ?

    Un élément de réponse ici :
    Se protéger contre le « phishing » : le vol déguisé de vos coordonnés bancaires

    Extrait :

    Aux termes de la loi du 15 juillet 2009 (codifiée dans le Code monétaire et financier aux Livres I et III), en tant qu’utilisateur d’instruments de paiement, vous bénéficiez d’un niveau élevé de protection contre la fraude. La loi prévoit une exemption de responsabilité dans de nombreux cas.

    Le code monétaire et financier dispose que « La responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées. ».

    Une attaque par hameçonnage réussie est une attaque réalisée à votre insu puisque vous ne vous en rendez pas compte sur le moment. Vous n’en êtes donc pas responsable à condition d’avoir été raisonnablement vigilant.

    La loi met à la charge des banques de prouver que l'opération en question a été authentifiée (que vous y avez consenti), dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. Vous n’avez donc pas à prouver que vous avez été victime d’une attaque par hameçonnage.

    Je ne suis pas juriste mais il semble que on peut donc faire l'amalgame : code à 4 chiffres de CB = login/password/grille de votre banque en ligne.
    Dans les deux cas si vous faites preuve de négligence (ou manque de vigilance), vous portez la responsabilité des opérations effectuées.

    C'est mon interprétation, mais je ne suis pas juriste.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.