Journal Amazon ou comment jouer aux cons avec les numéros de cartes bancaires

Posté par . Licence CC by-sa
Tags :
15
7
juin
2011

Bonjour à tous,
Comme vous le savez peut-être, Amazon a la (très) mauvaise idée d'enregistrer les numéros de CB, de façon à pouvoir pré-remplir cette information lors du prochain achat. But de la manœuvre : faire gagner du temps à l'acheteur, au détriment évident de la sécurité de ses données (cf. Sony et le piratage de leur PlayStation Network, et le vol de millions de numéros de CB).

Or, je viens de découvrir un autre truc encore plus con : Amazon n'efface pas les numéros des CB, même quand celles-ci sont périmées ! Bon, vous allez me dire qu'on ne peut (sans doute) pas faire grand chose avec une CB périmée, mais quand même...

Pour info : on peut tout de même faire du tri en allant dans "mon compte" -> "Modifier ou supprimer un mode de paiement" (c'est d'ailleurs là que j'ai retrouvé la liste des complète des CB que j'ai utilisées, certaines ayant périmé en 2005).

Autre truc très con : on peut éditer les informations d'une CB... ou plus exactement on peut modifier (seulement) sa date de péremption. Donc il faut créer une nouvelle CB quand on en change, plutôt que d'éditer l'ancienne (ce qui permet donc à Amazon de collectionner nos numéros de CB, totalement inutilement).

Et je n'ai pas non plus trouvé d'option empêchant Amazon d'enregistrer ma CB. Si quelqu'un sait si cela est possible ?

  • # Pas possible

    Posté par . Évalué à 4.

    Je n'ai pas trouvé de moyen de ne pas enregistrer ma CB non plus et je ne pense pas que cela soit possible (cela doit bien favoriser l'achat impulsif).
    À chaque achat, une fois celui-ci validé, je retourne dans mon compte pour retirer ma CB.

    Vraiment pénible.

    • [^] # Re: Pas possible

      Posté par . Évalué à 10.

      Moi j'ai trouvé un moyen pour qu'amazon n'enregistre pas ma CB : je ne suis pas client chez eux. Et je vis très bien !

      • [^] # Re: Pas possible

        Posté par (page perso) . Évalué à 4.

        Pareil, mais j'envisage d'utiliser un système de cartes bleues virtuelles jetables (e-carte bleue) pour pouvoir malgré tout me fournir chez ce genre de marchand : Amazon ou la Fnac, principalement. Bon, pour ça il faut d'abord que je change de banque. :-)

        • [^] # Re: Pas possible

          Posté par . Évalué à 2.

          mon petit doigt me dit que niveau sécurité c'est juste une énorme merde l'e-carte bleue jetable... D'ailleurs c'est presque totalement jeté ce truc... et VISA propose maintenant plutôt ceci : un SMS avec un code confirmation. Une fois toutes les informations entrées, il faut encore entrer ce code, à durée très limitée, afin de valider l'achat. ça, ça me semble bon. Bien sûr cela nécessite que VISA (ou ta banque) ai ton numéro de téléphone.
          mes deux cents.

          • [^] # Re: Pas possible

            Posté par . Évalué à 2.

            l'idéal serait peut être un numéro de carte unique, pour une transaction, (comme l'e-carte bleue), sans logiciel local, et envoyer par sms. Là on combinerait le fait que le vendeur archive un numéro de carte qui ne peut plus servir, avec un service de double identification. Non ?

          • [^] # Re: Pas possible

            Posté par (page perso) . Évalué à 7.

            Bien sûr cela nécessite que VISA (ou ta banque) ai ton numéro de téléphone.

            et d'avoir de la batterie, du réseau, d'être dans un pays ou l'opérateur a un accord avec le tien etc... En plus il me semble qu'un sms a un TTL d'un ou 2 jours. Par contre si ils ont un failback sur email c'est intéressant.

            • [^] # Re: Pas possible

              Posté par . Évalué à 5.

              qu'un sms a un TTL d'un ou 2 jours.

              en fait, c'est un paramètre de l'en-tête du SMS (cf ETSI GSM 03.40). Pour les SMS, le terme technique est "Validity Period" et peut tout à fait être positionné à quelques minutes.
              Bon, bien sûr, après, il faut que le centre de SMS de l'opérateur l'honore (ce qui n'est pas une obligation, et qui explique pourquoi on peut recevoir un SMS de nouvel an le 6 Janvier) mais en France, ça doit être à peu près le cas.

          • [^] # Re: Pas possible

            Posté par (page perso) . Évalué à 10.

            mon petit doigt me dit que niveau sécurité c'est juste une énorme merde l'e-carte bleue jetable...

            Eh bien écoute, chez la banque en question, ça se résume à ça, à ce que j'ai compris :

            1. on se connecte en HTTPS à l'interface de gestion bancaire ;
            2. on y demande un nouveau numéro de carte ;
            3. on précise le montant et la date ;
            4. ça affiche un numéro de carte bleue et une date d'expiration ;
            5. on effectue un achat chez un marchand par correspondance ;
            6. on lui transmet ce numéro de carte bleue et sa date d'expiration ;
            7. ça effectue le paiement.

            À partir de là, je ne vois qu'un risque supplémentaire par rapport à l'utilisation d'une vraie carte bleue : le piratage de la session entre moi et ma banque. Assez improbable, vu la sécurisation du truc. En revanche je vois bien un avantage : si le marchand s'amuse à enregistrer le numéro de carte bleue et la date de validité, grand bien lui fasse, il ne pourra rien en faire ; s'il essaie de l'utiliser a posteriori pour me débiter de l'argent ça lui sera refusé.

            • [^] # Re: Pas possible

              Posté par . Évalué à 2.

              Pour cette dernière remarque, ma banque m'envoie une carte avec des code pré-rempli que je saisis avant de donner un no de carte.

            • [^] # Re: Pas possible

              Posté par (page perso) . Évalué à 2.

              Ah, la e-Carte Bleue. Quelle belle invention ! Cette année, sur un site marchand dont j'ai la charge de la partie technique, deux gugusses l'ont utilisée. Le souci ? Le site offre deux types de produits, et ceux-ci doivent être comptabilisés différemment (ne me demandez pas pourquoi, je n'ai pas vraiment cherché à savoir). Il y a donc deux comptes VAD, un par type de produit offert. Heureusement, il est possible de masquer le problème au client : on récupère son numéro, et on envoie deux requêtes à la suite à l'intermédiaire de paiement. Ça marche très bien… sauf pour ces « cartes jetables » où la deuxième requête échoue, vous laissant très perplexe devant un log arborant un code d'erreur abscons (numéro invalide, alors que la transac' précédente est passée comme une lettre à la poste).

              Du coup, j'aimerais bien savoir si ces numéros générés à la volée ont des propriétés spéciales, histoire que je puisse au moins afficher un message disant au client que ça ne va pas marcher comme il le souhaite (et non, Google n'a pas été mon ami sur ce coup-là). Quelqu'un aurait-il l'info ?

              Envoyé depuis mon PDP 11/70

              • [^] # Re: Pas possible

                Posté par (page perso) . Évalué à 3.

                Pourquoi ne pas faire évoluer votre comptabilité pour appliquer les différentes taxes aux différents produits plutôt que de faire plusieurs transactions ?

                • [^] # Re: Pas possible

                  Posté par (page perso) . Évalué à 1.

                  Ce n'est pas un problème de taxe, les revenus des ventes des deux produits doivent apparemment être imputés sur des comptes différents. La boîte pour qui on travaille sur ce coup-là est un EPIC, je ne sais pas si ça a quelque chose à voir, mais en tout cas il ne nous ont pas laissé le choix.

                  Envoyé depuis mon PDP 11/70

                  • [^] # Re: Pas possible

                    Posté par . Évalué à 3.

                    Rapprochez vous de votre banque / prestataire de moyen d'encaissement.
                    Pourquoi poser la question à google ou à des amateurs quand on a des professionnels des moyens de paiement (les leurs) sous la main ?

                    BeOS le faisait il y a 15 ans !

                    • [^] # Re: Pas possible

                      Posté par (page perso) . Évalué à 1.

                      Rapprochez vous de votre banque / prestataire de moyen d'encaissement.

                      *soupir* Ce n'est pas ma banque, c'est celle du commanditaire. Ce n'est pas ma compta, c'est celle du commanditaire, je ne suis qu'un prestataire technique.

                      Pourquoi poser la question à google ou à des amateurs quand on a des professionnels des moyens de paiement (les leurs) sous la main ?

                      Parce que (1) l'intermédiaire de paiement n'est pas fabuleux dans ses réponses, et (2) le commanditaire n'est pas chaud pour modifier ses process, c'est à nous de nous adapter. Tout ce que je voulais, c'était améliorer un peu l'expérience de ces clients dans la mesure de ce qui nous est permis. M'enfin bon, au final je m'en balance un peu, ça concerne deux pelés et trois tondus, ils se débrouilleront :-/

                      Envoyé depuis mon PDP 11/70

              • [^] # Re: Pas possible

                Posté par . Évalué à 10.

                Il semble que le problème vienne de ton côté, à vouloir multiplier les transaction, pas de celui de la e-carte bleue. D'ailleurs le client ne t'as pas autorisés spécifiquement à multiplier les transactions, c'est limite frauduleux comme méthode.

                • [^] # Re: Pas possible

                  Posté par (page perso) . Évalué à 1.

                  Le client, on lui dit, vous allez payer tant. Il paye tant, en deux parties. Où est le problème ?

                  Envoyé depuis mon PDP 11/70

                  • [^] # Re: Pas possible

                    Posté par (page perso) . Évalué à 4.

                    Il paye tant, en deux parties. Où est le problème ?

                    S'il a des frais par transaction, il ne va pas être content.

                    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                    • [^] # Re: Pas possible

                      Posté par (page perso) . Évalué à 1.

                      Honnêtement, ça existe ça ? Quand je paie par carte, si le marchand débite x euros, je m'attends à voir un débit de x euros. Pas de x euros + frais. Une banque qui me proposerait une telle carte, je leur rirais au nez.

                      Envoyé depuis mon PDP 11/70

                      • [^] # Re: Pas possible

                        Posté par . Évalué à 1.

                        Si jamais le débit est refusé par la banque, il risque d'y avoir des frais (ça m'est arrivé de dépasser de quelques euros ma limite autorisée parce que le chèque du loyer avait été encaissé trop tôt par exemple)

                        Typiquement, ma banque de l'époque me facturait 8€ pour un refus d'opération de ce type. Si l'opération est divisée en 2, ça ferait 16€, pas cool pour le client !

                      • [^] # Re: Pas possible

                        Posté par . Évalué à 1.

                        Lis mon commentaire juste en dessous. Mais oui, c'est un cas qui se produit.

                        Et d'ailleurs en France, un très grand nombre de banques tarifient de la sorte les paiements en devise (mais pas toutes).

              • [^] # Re: Pas possible

                Posté par . Évalué à 7.

                L'idée même de déclencher deux transactions pour un même paiement sans prévenir le client (ou sans lui faire entrer deux fois son numéro) est particulièrement dérangeante. C'est peut-être même interdit par la réglementation bancaire, mais je ne saurai dire. Tu devrais vérifier.

                De manière plus pratique, imagine que le client paye des frais fixe à chaque paiement (ça peut être le cas pour des paiements provenant de l'étranger, ou effectués à découvert, par exemple). Avec ton bricolage, il va se retrouver avec des frais fixes multipliés par deux, et ce sans être prévenu. Personnellement, je n'apprécierai pas.

                Alors si l'eCB permet de se protéger des boutiques qui font ce genre de bricolage, et bien c'est une très bonne chose pour le client.

                • [^] # Re: Pas possible

                  Posté par (page perso) . Évalué à -1.

                  Le mercredi 08 juin 2011 à 11:55 +0200, Vlobulle a écrit :
                  > De manière plus pratique, imagine que le client paye des frais fixe à
                  > chaque
                  > paiement

                  et si il paie par chèque ou en liquide, que se passe t-il ?

              • [^] # Re: Pas possible

                Posté par . Évalué à 0.

                Haaa des joies de la vente liée ...

                • [^] # Re: Pas possible

                  Posté par (page perso) . Évalué à 2.

                  Hors sujet : les produits en question peuvent être sélectionnés indépendamment par le client, il n'y a deux transacs que s'il prend des deux…

                  Envoyé depuis mon PDP 11/70

          • [^] # Re: Pas possible

            Posté par . Évalué à 2.

            Ah oui, ils me mettent ce code de confirmation par téléphone maintenant quand je veux payer par carte bancaire sur internet.

            Outre le fait que c'est très pénible quand le téléphone ne capte pas bien (cambrousse), c'est totalement inutile car on peut changer le numéro à entrer à chaque instant (mettre celui d'un voisin quand on a oublié le sien, ou autres).

            • [^] # Re: Pas possible

              Posté par . Évalué à 2.

              On peut se connecter à la banque de son voisin ? Ça m'intéresse…

              Sinon comment on fait quand on a pas son téléphone ?
              C'est peut être stupide pour vous qui êtes des jeunes-branchés-modernes mais moi je n'ai pas tout le temps mon téléphone sur moi (et même si je capte bien).

              207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶

            • [^] # Re: Pas possible

              Posté par . Évalué à 2.

              Dans ma banque, le numero de tel ne peut pas se changer en ligne. Il faut passer par l'agence.

              "La première sécurité est la liberté"

              • [^] # Re: Pas possible

                Posté par . Évalué à 3.

                C'est ce qui doit être fait.
                Toute la sécurité du système vient du fait que l'acquisition du numéro de téléphone est sécurisée.

                BeOS le faisait il y a 15 ans !

                • [^] # Re: Pas possible

                  Posté par . Évalué à 2.

                  Quand je bossais pour un constructeur de puce de téléphone, j'avais entendu parler que de vieux modèle de GSM était racheté à prix d'or car leur firmeware avait été craquer, cela permettait de les reprogrammer pour se faire passer pour un autre téléphone. Le but était de capter les SMS de confirmation des banques !

                  Je ne sais pas si c'était possible en France. Mais cela a exister au moins en Europe.

                  "La première sécurité est la liberté"

                  • [^] # Re: Pas possible

                    Posté par (page perso) . Évalué à 2.

                    Oui le modèle en question est le Nokia 1200. J'en ai un. Et c'est une rumeur qui n'a jamais été vérifiée... Je rappelle qu'intercepter les communications GSM est possible depuis quelques temps pour un coût modéré. Et pour un simple voleur de numéro de CB, le plus simple c'est de passer commande sur des sites sans SecureCode (tel... Amazon), ou de simplement cliquer le bouton "paiement CB sans vérification" (! comme sur CDiscount)... Ou de voler le téléphone avec la CB.

                    « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

                    • [^] # Re: Pas possible

                      Posté par (page perso) . Évalué à 2.

                      Ou de voler le téléphone avec la CB.

                      j'espère effectivement que la banque associe la demande du code avec un
                      mot de passe car c'est quand même courant de tout perdre en même temps
                      ou de tout se faire voler (sac à dos, sac à main etc...)

            • [^] # Re: Pas possible

              Posté par . Évalué à 2.

              Pour rire, c'est qui ta banque ?

              BeOS le faisait il y a 15 ans !

          • [^] # Re: Pas possible

            Posté par . Évalué à 2.

            Moui, j’ai découvert cela l’an dernier de Chine, en voulant acheter un billet d'avion pour rentrer, j’ai bien galéré. Il faut appeler un numéro en France pour enregistrer ton numéro de téléphone, mais mon portable ne peut pas appeler la France et Skype s’emmêle les pinceaux dans les menus par téléphone. Dur dur d'être un expatrié, le cas de figure n'a clairement pas été envisagé ...

            Par contre, une fois que c’était enregistré, j’ai bien reçu le texto. Je me demande dans quels pays cela fonctionne et quels pays cela ne fonctionne pas.

  • # CB périmée

    Posté par (page perso) . Évalué à 4.

    Bon, vous allez me dire qu'on ne peut (sans doute) pas faire grand chose avec une CB périmée, mais quand même...

    Malheureusement si. Il est facile de trouver sur internet plein d'articles qui parlent de ça, des cartes enregistrées et débitée après la date d'expiration. J'en ai assez vu venant de différentes sources pour en être certain, mais [référence needed] malheureusement, je n'en ai pas un sous la main en tant que source sûre.

  • # Banque en ligne

    Posté par . Évalué à 2.

    Hello,

    Pour faire face à l'insécurité des numéros de CB sur Internet, j'ai choisi une solution radicale:

    j'ai ouvert un compte sur une banque en ligne avec CB gratuite.

    Ce compte, je ne l'utilise QUE pour mes achats sur Internet.

    Du coup, je laisse une provision très faible et je l'alimente depuis ma "vrai" banque quand j'en ai besoin.

    J'ai fait ça car les services de e-CB ne sont pas acceptés partout.

    • [^] # Re: Banque en ligne

      Posté par . Évalué à 1.

      C'est rigolo, j'ai ouvert un compte dans une banque en ligne gratuite... juste parce qu'elle proposait une eCB.

      Leur interface d'eCB n'est pas très pratique par contre (une appli à part entière en flash qui nécessite de retaper ses identifiants une seconde fois).

      • [^] # Re: Banque en ligne

        Posté par (page perso) . Évalué à 2.

        C'est une bonne idée, c'est quelle banque ?

        « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

        • [^] # Re: Banque en ligne

          Posté par . Évalué à 1.

          Fortuneo. Mon compte ne me sert qu'aux paiements CB, je dois juste avoir 200 euros dessus, pas bien plus. L'interface d'eCB en flash est la même que celle des Credits Mutuels (c'est le même groupe) pour ceux qui voient. Ayant l'habitude de faire des paiement par CB à l'étranger, souvent sur des sites un peu louches, j'apprécie fortement la réduction des risques.

          Il y a par contre des conditions de revenus (ou d'encours, ça marche aussi je crois) pour ouvrir le compte, mais rien n'impose de verser ses revenus dessus.

          Pour info les deux autres banques gratuites (Boursorama et ING) ont grosso-modo les même conditions pour ouvrir un compte (revenu qu'il n'est pas nécessaire de domicilier ou encours), mais ne proposent pas d'eCB. Elles peuvent par contre toujours être utilisées comme fyah le fait, en tant qu'eCB "grandeur nature".

          • [^] # Re: Banque en ligne

            Posté par (page perso) . Évalué à 2.

            Pour ING Direct, j'y suis déjà mais il faut bien y domicilier ses revenus pour garder le compte.

            « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

          • [^] # Re: Banque en ligne

            Posté par (page perso) . Évalué à 3.

            Et pour Boursorama, il n'est pas obligatoire d'y domicilier ses revenus. Par contre, la carte bleue est payante si les revenus ne sont pas reçus directement sur le compte.

            • [^] # Re: Banque en ligne

              Posté par . Évalué à 2.

              Ah, ça non. La carte est gratuite dès lors que l'ont peut justifier les revenus. Ce n'était peut-être pas le cas auparavant.

              Pour ING j'ai effectivement parlé trop vite, il faut faire le virement demandé tous les mois en théorie (mais rien n'empèche de le faire immédiatement dans l'autre sens). En pratique ils ne ferment pas le compte si on ne le fait pas.

              • [^] # Re: Banque en ligne

                Posté par . Évalué à 2.

                S'ils ne ferment pas le compte c'est qu'ils n'en n'ont probablement pas le droit ...

                BeOS le faisait il y a 15 ans !

              • [^] # Re: Banque en ligne

                Posté par (page perso) . Évalué à 2.

                Ah bah cool alors, je vais pouvoir demandé une carte chez eux. Tu as un lien précis ou c'est d'expérience ?

                • [^] # Re: Banque en ligne

                  Posté par (page perso) . Évalué à 3.

                  Hey, hey, j'avais mal lu en effet. Dans la brochure tarifaire :

                  Conditions de revenu mensuel de 1350€ nets/mois minimum (2700 € nets/mois pour 2 titulaires) ou de 5000 € d'encours dans nos livres (10000€ pour 2 titulaires).

                  Faut pas être smicard, quoi.

  • # La seule protection : La Banque

    Posté par . Évalué à 10.

    Pour ma part je me fiche pas mal que les vendeurs gardent mon numéro de carte bancaire, d'ailleurs chez les commerçants à l'étranger, souvent le code n'est pas nécessaire, il arrive même que la méthode de paiement soit une "copie carbone" de la carte (c'est d'ailleurs pour ça, il me semble, que les chiffres sont en relief).

    La protection vient de ma banque, les transactions sont garanties et il est très facile de faire opposition à un paiement, d'expérience le remboursement est très rapide et aucun agio n'est comptabilisé (dans le cas où ce débit non désiré vous a mis à découvert), une bonne communication avec son conseiller est bien entendu nécessaire, c'est bien pour cela que je me méfie des banques "low-cost" intégralement en ligne, quel recours en cas de problème (mais c'est une autres histoire) ?

    Le tout est de suivre ses comptes afin de détecter ces transactions si elles existent, en plus ça permet de gérer son budget, et de nombreux logiciels libres permettent de faire ça au "prix" de 10 min par semaine.

    • [^] # Re: La seule protection : La Banque

      Posté par (page perso) . Évalué à 2.

      t aucun agio n'est comptabilisé (dans le cas où ce débit non désiré vous a mis à découvert)

      N'empêche que tu te retrouve quand même pendant plusieurs jours sans possibilité de payer.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: La seule protection : La Banque

        Posté par . Évalué à 3.

        Je ne sais pas à quelle banque tu es, mais va voir ton conseiller, à moins que tu sois à la limite d'interdit banquaire, tu peux toujours faire des paiement même si tu es à découvert.

        • [^] # Re: La seule protection : La Banque

          Posté par (page perso) . Évalué à 2.

          Et comment c'est possible si tu as atteint la limite? Ta banque te laisse descendre à découvert sans limite?

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: La seule protection : La Banque

            Posté par . Évalué à 1.

            Encore une fois, une bonne communication avec ton conseiller règle la plupart des problèmes. Ils sont compréhensifs et très souples, les plafonds sont facilement modifiables, etc... si la demande est légitime, le conseiller autorisera le prélèvement.

    • [^] # Re: La seule protection : La Banque

      Posté par . Évalué à -6.

      Laisse tomber, t'es sur linuxfr.

      Tanguy va t'expliquer a quel point c'est dangereux d'utiliser sa carte de la facon dont elle a ete concu, et que c'est achement plus cool de:
      1) payer pour une carte (parce qu'il fait pas sans, bien evidemment)
      2) payer pour un service des bois qui est soit disant securise (ou pas, on sait pas comment sont generes ses supers numeros e carte bleu)
      3) continuer a utiliser des methodes de paiment broken by design (genre chequier).

      If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

  • # Suppression ou suppression?

    Posté par (page perso) . Évalué à 5.

    Espérons juste qu'ils sont supprimés de la base et pas supprimés façon "tu les vois plus", sinon tu te brise la figue pour pas grand chose.

    Prochainement, je vous proposerai peut-être un commentaire constructif.

  • # sécurité

    Posté par (page perso) . Évalué à 0.

    But de la manœuvre : faire gagner du temps à l'acheteur, au détriment évident de la sécurité de ses données (cf. Sony et le piratage de leur PlayStation Network, et le vol de millions de numéros de CB).

    Je pense qu'un autre but est justement d'augmenter la sécurité. L'idée étant que la base de données d'Amazon est censée être plus sécurisée que la connexion entre toi et les serveurs web d'Amazon (sur laquelle le numéro de CB ne passera qu'une seule fois). C'est aussi sans doute pour ça qu'il n'est pas possible de visualiser/changer un numéro existant : une fois que l'information est dans la base de données elle n'est plus censée remonter dans les couches plus hautes et moins sécurisées.

    /ma théorie

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

    • [^] # Re: sécurité

      Posté par . Évalué à 7.

      Sauf que les numéros chez Amazon sont forcément stockés en clair, vu qu'on les voit (une partie est remplacée par des astérisques, mais c'est seulement à l'affichage) et qu'il faut bien les envoyer à la banque lors du payement.

      Donc, il "suffirait" de réussir à pirater leurs serveurs pour avoir accès d'un coup à plusieurs millions de numéros de CB en clair, avec cryptogramme, date de validité, nom du titulaire de la carte, ...

      • [^] # Re: sécurité

        Posté par (page perso) . Évalué à 3.

        Idem chez Voyages-SNCF, où j'ai déjà reçu par email "par erreur" un fichier XML contenant mon numéro de CB en clair à la place de la confirmation d'achat, ce qui montre que tout est stocké en clair et dispo à qui voudrais bien trouver une faille chez eux, ce qui ne semble pas difficile à trouver, tel que par exemple http://securite.reseaux-telecoms.net/actualites/lire-faille-de-securite-sur-voyages-sncfcom-revelee-par-le-canard-enchaine-21743.html qui exposait la totalité des données perso des détenteurs de cartes de réduction simplement en cyclant sur le numéro de carte !

        « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

      • [^] # Re: sécurité

        Posté par (page perso) . Évalué à 2.

        Est-il préférable d'avoir les numéros de CB stockés dans une base de données prévue à cet effet et qui ne communique avec les banques que via un réseau spécifique ou d'envoyer les données à chaque transaction à travers les intertubes ? Personnellement je pense avoir plus facile à MitMer tes connexions SSL occasionnellement qu'à aller lire la DB de CB d'Amazon même juste une seule fois.

        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Ça reste à voir

    Posté par . Évalué à 1.

    Je trouvais moi aussi le procédé plus que limite. Mais depuis que j'ai travaillé récemment à interfacer une application avec la solution de paiement CB la plus répandue parmi les banques françaises, je ne suis plus aussi catégorique. Tout dépend de la manière dont c'est utilisé, ce que nous ne pouvons pas savoir.

    La solution en question propose un mécanisme de paiement par duplication d'une transaction antérieure uniquement en passant son identifiant (numéro + date).

    On n'a aucun besoin de conserver toutes les informations de la carte sinon ce qui permet au client de la reconnaître pour pouvoir la réutiliser (quatre derniers chiffres).

    Avec ce mécanisme on ne transmet les informations sensibles qu'une seule fois à travers le réseau et on évite au client d'avoir à dégainer sans cesse sa carte et faire appel à sa mémoire. C'est bien plus sécurisé que d'envoyer à chaque transaction toutes les informations, code compris.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.