Nouveau système de paiement securisé: l'e-carte bleue

Posté par  . Modéré par Benoît Sibaud.
Étiquettes : aucune
0
20
avr.
2002
Internet
Commencez par lire le communiqué de presse (1er lien), puis la
réaction des journalistes (3eme lien et suivant), au moins en
diagonal.

Si vous n'avez pas lu, il s'agit d'une nouvelle méthode de paiement
securisé.

C'est un produit qui est supposé rassurer le e-acheteur. Pour le
marchand, qui a dejà un contrat avec une banque, un abonnement et est
taxé à chaque transaction, Pour lui, donc, rien de changé puisque le
système est transparent.

En revanche, c'est au tour du client de s'abonner et de payer une taxe
à chaque transaction...

Conclusion, le client est taxé 2 fois. Par le marchand qui répercute
sa propre taxe et par sa banque via l'e-carte bleue.

Le grand gagnant: la banque.
Le grand perdant: le client et, au final, le marchand.

Au niveau du logiciel libre et standards: c'est simple windows et
internet explorer v4+ et macromedia flash v4+. Le mac, c'est du bluff,
je ne parle même pas des OS libres... (Cela n'a derangé aucun
journaliste)

Au niveau support, boîte vocale pour le coté technique (appuyer sur 1
si... appuyer sur 2 si... ). Coté commercial la boîte vocale me prie
de bien vouloir contacter mon établissement financier...

Au niveau technique, il semble que cela n'apporte rien, si ce n'est
que mon N° de carte bleue ne se retrouve plus chez un marchand en qui
je n'ai pas confiance... Vous, vous feriez une transaction avec
quelqu'un en qui vous n'avez pas confiance ? moi, non, meme si mon N°
de carte ne se retrouve pas chez lui, je souhaite tout de même avoir
le produit que j'ai acheté.

Bref, faire payer des clients pour qu'ils soient rassurés alors que le
problème de fond n'a pas changé d'un yota : la possibilité d'utiliser
frauduleusement un N° de carte (généré ou pas) pour faire une
transaction bancaire. Et, tout ceci en closed source, et sans aucune
valeur ajoutée.

La loi oblige les banques à rembourser les depenses frauduleuses
effectuées avec votre numero de carte. Qu'on se le dise.

Bref, si la plupart des journalistes ont bien signalés que c'était un
produit bidon (en langue de bois), aucun n'a fait allusion au problème
du logiciel libre. Pourtant, imaginez qu'une solution proprio sorte et
soit en situation de monopole sur le marché. Linux sur le desktop,
vous y croiriez encore à terme ?

J'espère que l'information va être largement diffusée et qu'elle sera
plus forte que les commerciaux : « C'est pour eviter le piratage de
votre carte » (le commercial de mon établissement financier)

PS: daCode limite à 5 liens. Google est votre ami : jdn et vnunet ont en aussi parlé.

Aller plus loin

  • # Petit rappel concernant la sécurité (ou : j'en rajoute une couche)

    Posté par  (site web personnel) . Évalué à 10.

    Il est mathématiquement impossible de faire confiance à un système sécurisé dont les sources sont fermées, et encore moins si les protocoles utilisés ne pas rendus publics.

    Le fait de rendre public un algorithme de transaction (par exemple) permet à tout un chacun d'évaluer sa robustesse, et de rendre public d'éventuelles failles, AVANT qu'il ne soit utilisé en production. Les exemples ne manquent pas en crypto.

    Au niveau de l'implémentation, c'est la même chose, il est fort possible de coder un algorithme très robuste et d'obtenir un programme bourré de trous de sécurité, et seule l'ouverture des sources permet un audit externe fiable.

    Il faut donc EXIGER des logiciels dont les sources sont ouvertes, et dont les algorithmes sont connus, surtout quand ça touche aux transactions financières, sous peine de voir apparaitre des détournements de moyens de paiement (comme les fausses cartes bleues)...

    J'ai parlé de logiciels ouverts, et pas de logiciels libres. Il est clair que dans ce domaine les logiciels libres auront toujours une longueur d'avance... Mais l'ouverture des sources est nécessaire et suffisante pour assurer une sécurité de bonne qualité, sécurité que n'atteindront JAMAIS les logiciels fermés pour la bonne raison qu'ils ne peuvent pas PROUVER qu'ils sont sûrs.
    • [^] # moi aussi

      Posté par  (site web personnel) . Évalué à 10.

      Il est mathématiquement impossible de faire confiance à un système sécurisé dont les sources sont fermées...

      La preuve n'est pas mathématique : le principe de Kerckoffs est surtout du bon sens, mais certainement pas une "formule démontrable".

      ...rendre public un algorithme de transaction (par exemple) permet à tout un chacun d'évaluer sa robustesse...

      Pour le tout un chacun, tu repasseras ! Quand je vois déjà le mal que j'ai eu à faire passer RSA à des DEUGs ...alors si on commence à rentrer dans le log discret ou pire, les courbes elliptiques, à mon avis, le tout un chacun, il repassera.

      Au niveau de l'implémentation, c'est la même ...

      Ô combien vrai !!! Comme on le dit souvent, la principale faiblesse de la crypto réside dans sa mise en oeuvre.

      Aujourd'hui, j'écris que des conneries !
      pareil pour moi ;-)
      • [^] # Re: moi aussi

        Posté par  (site web personnel) . Évalué à 10.

        Pour le tout un chacun, tu repasseras !
        Je voulais dire que l'ouverture des sources/d'un algo permet à tout le monde de regarder dedans, quelque soit les compétences, mais il est clair que seuls quelques (vrais) experts (dont pas moi) trouveront peut-être les problèmes éventuels. C'était surtout pour insister sur le fait que l'ouverture doit être pour TOUT LE MONDE, et pas seulement quelques élites.

        L'ouverture n'est pas une garantie : c'est une condition nécessaire.
    • [^] # Re: Petit rappel concernant la sécurité (ou : j'en rajoute une couche)

      Posté par  (site web personnel) . Évalué à 2.

      Je pense qu'ici, le problème n'est même pas le combat libre/propriétaire... C'est simplement une question de bon sens...

      Le numéro de carte bleu (ou autre chose) qu'il faut transmettre à la banque pour avoir la e-carte, il a beau passer en crypter (mais on sait très bien que le cryptage peut être cassé), il peut être récupéré par une personne mal intentionée...
      Et ainsi cette personne pourra demander des e-cartes à volonté !

      Donc en fait, on noye tout le monde, on dit que c'est sécurisé, mais le problème est juste déplacé !
      Car j'ai plus peur du sniffeur de paquet qu'aux propriétaires des sites sur lequel je fais des achats en ligne...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.