Journal Les sites de paiement qui demandent la lune

Posté par  . Licence CC By‑SA.
Étiquettes :
57
15
mar.
2020

Saaalut,

Comme je m'ennuie, je me suis retrouvé à vouloir financer le prochain magazine NextINpact. J'ai acheté le premier, je l'ai trouvé bien, voilà, c'est dit.

La campagne de financement est sur Ulule, comme le premier. Je sélectionne mon choix, et j'arrive au paiement. Un site tiers, évidemment, quoi d'autre ? Le site, c'est app.kolkt.com. Personnellement, je ne le connais pas, et voilà qu'il me demande d'activer le Javascript pour entrer mes informations de carte bancaire. Je grommelle, je dégaine mon uMatrix, et je clique sur les cases pour autoriser uniquement les sites que je connais. Je recharge. Surprise :

Paiement Ulule demande de désactiver le bloqueur de publicité

Je m'interromps pour vous demander : il n'y a que moi que ça choque ? Demander de désactiver une sécurité pour pouvoir payer ? Car oui, bloquer des contenus tiers inconnus sur un site de paiement par carte, ça me semble une évidence…

Bref, je regarde en détail la source de la page, et là, c'est la bonne grosse surprise :

<script>
        (function(h,o,t,j,a,r){
            h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)};
            h._hjSettings={hjid:260711,hjsv:5};
            a=o.getElementsByTagName('head')[0];
            r=o.createElement('script');r.async=1;
            r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv;
            a.appendChild(r);
        })(window,document,'//static.hotjar.com/c/hotjar-','.js?sv=');
    </script>

hotjar.com est sur la liste noire de uMatrix. Et ce bout de script permet de charger allègrement un script distant, sans même vérifier une signature ou un hash.

De plus, en inspectant l'un des (trop) nombreux fichiers JS, il y a un qui utilise l'API Fetch vers le script suivant : https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js Toujours pareil, sans aucune vérification.

De la publicité Google (ou pas d'ailleurs, c'est juste pour le principe), sur le formulaire de paiement, c'en est trop, je contacte le service d'Ulule :

Bonjour,
Le site du prestataire de paiement indique la mention suivante :
« Il semble que vous ayez une extension pour bloquer la publicité (adblock, ublock, …) activée dans votre navigateur, celles-ci peuvent perturber le traitement de votre paiement, nous vous recommandons vivement de les désactiver le temps du paiement. »

Cela est évidement du non-sens : si on utilise un bloqueur de contenu, c'est pour, entre autre, protéger ses informations sensibles.
Il se trouve que la page du prestataire de paiement charge du Javascript depuis le site de Google pour servir de la publicité. Je répète : de la publicité Google sur la page où l'on rentre son numéro de carte bancaire. C'est dangereux, car il est impossible de contrôler les données qui peuvent être exfiltrées par le biais de ces scripts.

Merci de faire le nécessaire pour que la page de saisie des informations bancaires soit propre.

J'ai reçu la réponse aujourd'hui (un dimanche ?!) :

Les paiements effectués sur Ulule sont bien sécurisés. Sachez que les des bloqueurs sont susceptibles d'interférer avec les tentatives de paiements.

Bien à vous,

C'était à prévoir. Je leur ai répondu ce que je viens d'écrire, en beaucoup moins technique, et j'attends la suite. Je trouve ça désolant de devoir expliquer à des gens ce genre de trucs basiques. Oui, je suis dans le tas des paranos (j'utilise uMatrix), mais enfin, quand même, un formulaire de CB, ça ne devrait même pas avoir à utiliser du JS.

  • # Je ne suis pas d'accord.

    Posté par  . Évalué à 10.

    Oui, je suis dans le tas des paranos

    Refuser le JS sur du paiement, c'est pas de la parano, c'est la prudence de mise, et même un peu de l'écologie!

  • # annule !

    Posté par  . Évalué à 10. Dernière modification le 15/03/20 à 23:00.

    une fois pour un ou plusieurs projet que je trouvé plutot cool, je me suis fait la meme reflexion que toi, mais juste sur le nom du site de paiement, comme quoi :). Du coup comme il n'y avait pas paypal j'ai abandonnée. même pas un mail (qui ne servirais à rien) à admin@ulule.com

    et oui car si les informations sont volé un jour ou l'autre il vont être vraiment desolé et veilleront que cela ne se reproduit plus jamais, la main sur le coeur.

    je ne suis pas particulièrement radin mais les connerie des autres avec mon argent -> SANS MOI !

    petite parentèse, le site de paiements du collège de ma fille, même probleme, meme pas une banque mais une startup francaise. snif, la j'aimerais créer un compte nickel juste pour les sites pourrie avec la somme virée la veille pour le lendemain, mais la j'ai payé :'(

    j'imagine que c'est la course au moins de frais possible pour ne pas que le % d'ulule se voyent trop. Du coup on se retrouve avec plein de script SUR la page de paiements. Joie !

  • # CNIL?

    Posté par  . Évalué à 4.

    Peut-être contacter la CNIL? Aucune idée du suivi fait par la CNIL concernant ce genre de demande, c'est juste une idée comme ça.

    • [^] # Re: CNIL?

      Posté par  . Évalué à 2.

      Je ne suis pas juriste, mais je ne pense pas qu'on puisse saisir la CNIL pour ça. C'est une éventualité bien trop faible de perte de données personnelles.

      Par contre, j'ai eu cette réponse sur NextINpact qui m'incite à les contacter directement pour mettre en place un paiement. C'est sympa.

      Ceci dit, si quelqu'un ici sait que la CNIL peut s'en charger, je veux essayer de trouver du temps pour leur dire.

      • [^] # Re: CNIL?

        Posté par  (site Web personnel) . Évalué à 7.

        Je suis toujours un peu mitigé sur ce genre de réponse, qui ressemble à un OK on gère les chieurs mais sur le fond ça ne nous gène pas vraiment. Alors que le soucis est justement que les moins connaisseurs vont continuer à risquer leurs données bancaires.
        De l'autre côté, ils n'ont pas le choix si ce prestataire leur apporte de la visibilité, plus que si ils font chez eux seuls… Dilemme parfois.

        • [^] # Re: CNIL?

          Posté par  . Évalué à 4.

          Tu as raison. Et que je sache, Ulule n'impose pas d'exclusivité. Par contre, je ne sais pas s'il est possible de comptabiliser les apports externes dans la campagne. Sinon, le risque est que la campagne échoue alors que trop de paiement sont fait en dehors de la plateforme.

  • # carte virtuelle

    Posté par  . Évalué à 9. Dernière modification le 16/03/20 à 11:56.

    Je suis consterné par ce genre de découverte (et encore plus par les "réponses" qui y sont en général apportées par les entreprises concernées).

    Je n'utilise plus que des cartes virtuelles pour payer sur internet, ça résout au moins l'aspect financier (il y a toujours le risque d'une fuite de données : nom, quel achat, etc…).

    En plus ma carte physique est bloquée pour tout achat internet => si je la perd dans la rue, elle est inutilisable (sauf si on a lu mon code PIN par dessus mon épaule).

    • [^] # Re: carte virtuelle

      Posté par  . Évalué à 10.

      C'est pas mal du tout comme procédure. Mais que faire quand sa banque ne fournit pas ce genre de service ?

      Et enfin, mince, on marche sur la tête : bloquer sa carte physique pour les achats sur Internet, et n'avoir que des cartes virtuelles à usage unique. Oh, attendez, ça ne serait pas plus simple si on se faisait des virements instantanés avec préremplissage par le marchand ? Genre il n'y aurait qu'à copier/coller un champ encodé en Base64 dans un formulaire sur le site de sa propre banque, on vérifie que les informations sont bonnes, et hop. Je rêve d'un monde trop simple on dirait. Ou surtout d'un monde sans Visa/MasterCard, ce qui n'est pas prêt d'arriver.

      • [^] # Re: carte virtuelle

        Posté par  (site Web personnel) . Évalué à 6.

        Mais que faire quand sa banque ne fournit pas ce genre de service ?

        Changer de banque.

        Les deux miennes le proposent gratuitement, alors que ce n'est pas pour ça que je les avais choisies à la base. Donc ça doit être courant.

    • [^] # Re: carte virtuelle

      Posté par  . Évalué à 2.

      Moi, j'ai coupé la carte pour couper l'antenne du "sans contact" et j'ai effacer le code de derrière pour les paiement internet de grosse sommes.

      • [^] # Re: carte virtuelle

        Posté par  . Évalué à 4.

        Comment savoir où couper ?

        • [^] # Re: carte virtuelle

          Posté par  . Évalué à 7.

          Tu testes, tu testes, tu testes, et si y'a plus rien qui marche c'est que c'était pas ça.

          *splash!*

        • [^] # Re: carte virtuelle

          Posté par  . Évalué à 5.

          Avec une lampe de poche, par transparence, tu peux voir les antennes. Suffit de quelques trous.

          • [^] # Re: carte virtuelle

            Posté par  . Évalué à 5.

            Sans les voir on peut raisonner. Pour maximiser l'efficacité, il faut des boucles grandes, donc en gros à fait tout le tour de la carte.

            Perso, j'ai mis un coup de perforatrice, pas loin du bord (mais de telle manière qu'il y ait encore quelques millimetres de plastique entre le trou et le bord), j'ai choisi la zone pour ne pas abimer la bande magnétique et ne pas abimer les chiffres relief. Hop, test sur un lecteur NFC, ça marche plus, parfait.

            Autrement, je déconseille de couper la carte, car elle devient fragile, et au fil du temps la fissure s'agrandit. Par contre le trou n'a pas ce défaut.

            • [^] # Re: carte virtuelle

              Posté par  . Évalué à 3.

              Vous m'avez intrigué tous les deux, alors j'ai collé un coup de DEL à travers la mienne, et on voit en effet pas mal de circuits. J'aurais bien collé un trou ou autre la dedans, mais je me demande dans quelle mesure tout ça est une antenne… parce que la forme n'est pas vraiment "longiligine".

              Par exemple, il semble y avoir par mal de chiffres en transparence sur la zone de signature, et derrière eux des pistes, en forme de U dont le sommet serait resserré, chaque point connecté à un rail qui ressemble a une connexion a une puce, mais impossible de savoir ou va le "rail" parallèle de connexions d'une possible puce, vu que c'est planqué (juste en partie, on devine potentiellement l'autre, sur ma carte) par la bande magnétique (dont je n'ai jamais eu l'usage?).
              Outre les chiffres, il y a aussi le mot "void" répété encore et encore dans cette zone.

              On distingue bien des pistes épaisses (4, je dirais) vers le "sud" de la carte, dont seules 2 font effectivement le tour, les autres non. Je serais enclin a penser qu'il s'agit d'antennes, mais l'une de ces 2 pistes épaisses semble rallier le circuit que je devines aux dans la bande magnétique.

              Du coup, si l'un de vous a plus d'infos…

              • [^] # Re: carte virtuelle

                Posté par  . Évalué à 10.

                En général l'intérieur d'une carte bancaire avec paiement sans contact ressemble à ça :
                Titre de l'image

                Ou ça :

                Titre de l'image

                Une antenne qui fait approximativement le tour de la carte, un condensateur d'accordage… et c'est tout ce qui est visible.

                Ce que tu vois par transparence est probablement proche de l'image du bas.

                Le principe de RFID et NFC est : tout passe par une seule antenne qui sert à capter l'énergie, à recevoir des données, et à émettre des données.

                En NFC la fréquence est de 13,56 Mhz et la communication se fait au minimum à 106 Kb/s, ce qui donne approximativement 10 ko/s. Pour un humain le transfert est ressenti comme instantané sur les applications courantes. Ce qui pénalise souvent est le temps de traitement.

                La longueur d'onde pour 13,56 Mhz est d'environ 22 cm. L'antenne cadre dans une carte bancaire fait en principe un multiple entier de la longueur d'onde, c'est énergétiquement efficace. C'est accordé/filtré par un condensateur et parfois une bobine.
                J'ai vérifié sur la photo du haut, c'est une antenne cadre qui fait 22 cm, elle a au moins 2 spires (2 tours, on ne distingue pas sur la photo, c'est peut-être 4 tours). Pour la photo du bas c'est plus compliqué car il y a également un accord avec une bobine autour du repère 1 et ce n'est pas une antenne cadre toute bête.
                Sur la photo du haut il est probable que le condensateur d'accord soit le truc qui déborde à gauche des contacts de la puce. Sur la photo du bas c'est un réseau de condensateurs au repère 3 (10 petits et 2 gros) qui relient l'antenne en face avant et le circuit d'accord en face arrière. On voit que les 2 condensateurs de gauche ont été débranchés par une tranché. La qualité de fabrication est donc moyenne puisqu'il faut une étape de réglage. Ce réglage est en principe automatisé, la tranchée est effectuée au laser.

                Je ne connais pas ce qui pousse à avoir des antennes plus coûteuses comme celle de la photo du bas. Peut-être la consommation de la puce. Ça doit se jouer à 10 centimes de dollar R&D incluses (quelqu'un peut confirmer l'ordre de grandeur ? Et la raison ?).

                Capter l'énergie : une partie de l'énergie captée passe pas un limiteur de tension et alimente un condensateur. En NFC il y a ensuite un régulateur de tension. Pour le RFID ça dépend.

                Recevoir des données : la modulation se fait en tout-ou-rien. La puce détecte si quelque chose est reçu par l'antenne ou pas. Basique.

                Émettre des données : alors là je trouve que l'idée est géniale ; il n'y a pas d'émetteur :-)
                Un bête transistor court-circuite l'antenne en mode tout-ou-rien. La « station de base » détecte qu'il y a plus ou moins d'énergie absorbée, donc détecte que la carte module quelque chose.
                Ça coûte zéro R&D sur la carte, très peu de stockage d'énergie pendant l'émission (en émettant normalement il faudrait stocker de quoi envoyer de l'énergie, et c'est beaucoup par rapport à la puce), un seul transistor. Sérieux c'est pas une idée de hackeur badass ?!
                Du côté de la station de base, il y a un antenne et un circuit de réception qu doit être bien sensible. On sait faire pour un coût relativement dérisoire par rapport a coût de l'ensemble.

                • [^] # Re: carte virtuelle

                  Posté par  . Évalué à 6.

                  Précisions :

                   

                  À part l'antenne, les condensateurs et l'éventuelle bobine d'accord, tous les composants sont dans la puce.

                   

                  La qualité de fabrication est donc moyenne puisqu'il faut une étape de réglage

                  J'ai mal formulé.
                  C'est avant tout le principe de cette antenne qui nécessite un réglage : il est moins coûteux de fabriquer cette antenne en qualité moyenne et d'effectuer un réglage, que de la fabriquer tellement bien qu'elle n'a pas besoin d'être réglée.

                   

                  Ça doit se jouer à 10 centimes de dollar R&D incluses

                  Une puce NFC autonome, par exemple pour l'internet des objets, coûte 5 à 20 centimes à la sortie de l'usine, donc tarif de gros. Ça inclut la R&D, la fabrication, le marketing, etc.
                  Ces puces ne font pas de cryptographie, mais ça donne une idée du faible surcoût de conception et fabrication d'une puce NFC dans une carte bancaire.

                  • [^] # Re: carte virtuelle

                    Posté par  . Évalué à 2.

                    genre, mal formulé… pff je lâche le "scan" quotidien de dlfp parce qu'il y a plus de politique que de science. Ce que tu as formulé me fait mentir, et en plus c'est clair.

                  • [^] # Re: carte virtuelle

                    Posté par  . Évalué à 2.

                    il est moins coûteux de fabriquer cette antenne en qualité moyenne et d'effectuer un réglage, que de la fabriquer tellement bien qu'elle n'a pas besoin d'être réglée.

                    Intéressant, je doute que tu repasses, mais, pourrais tu m'éclairer sur ça?

                    ça donne une idée du faible surcoût de conception et fabrication d'une puce NFC dans une carte bancaire.

                    et se dire que la plupart des gens considerent ça sécure: une seule faille, et tout se casse la gueule. IL suffirait de pas la trimballer pour réduire les risques pourtant…

                    • [^] # Re: carte virtuelle

                      Posté par  . Évalué à 7.

                      pourrais tu m'éclairer sur ça?

                      Si j'ai besoin d'un bâton qui fasse 1 mètre à 0,1 % près (soit 1 mm), soit je mesure avec précision puis je coupe avec précision et bien droit, soit je coupe un poil plus long puis j'ajuste à la râpe. La seconde option prendra probablement moins de temps, donc moins d'argent.

                      Avec les radios c'est plus compliqué : chaque composant influe sur le résultat, donc à cause des écarts de fabrication on ne connaît pas d'avance la longueur précise du bâton (ou la valeur du condensateur, etc).
                      Il faut donc soit fabriquer tous les composants avec une bonne précision, soit ajuster à la fin.
                      En général il est coûteux de fabriquer des composants électroniques précis. C'est du genre 10 fois plus cher pour être 10 fois plus précis. Et pour une meilleure précision il faut changer de technologie (souvent seulement 2 fois plus chère que la première). Mais sur une carte bancaire on est déjà avec d'excellentes technologies, donc en gros on est au maxi de ce qu'il est possible de faire pour 10 centimes. Fabriquer l'antenne et les condensateurs et le reste pile poil coûterait peut-être 1 €, du coup c'est non.

                       

                      En électronique, radio, micro-électronique, etc, il y a souvent plusieurs moyen d'obtenir une même fonction.

                      Par exemple pour obtenir une alimentation continue 5 volts à partir du secteur, on peut utiliser un transformateur avec des diodes de redressement, condensateurs, et régulateur de tension. Ou on peut utiliser une alimentation à découpage qui est bien plus complexe.
                      Le premier choix est simple à concevoir et facile à rendre très robuste. Le second choix est bien moins cher lorsque c'est fabriqué en série, et plus petit et léger.

                      Pour un récepteur radio il y a trouze milles modèles, en fonction des fréquences, des puissances, de la qualité du signal souhaitée, etc.
                      Dans le cas du NFC le choix est réduit car c'est une fréquence bien définie, les niveaux d'énergie sont bien bornés, la qualité de signal souhaité est connue, la taille du montage est quasi fixée, etc.
                      À ma connaissance il n'y a que 2 catégories de montages possibles, qui sont représentés sur les photos que j'ai mis en exemples. Les autres possibilités consomment trop d'énergie, ou nécessitent des composants trop gros pour une carte bancaire (surtout condensateur/bobine et antenne), ou sont trop chères, le tout sans amener d'avantages significatifs par rapport aux 2 méthodes présentées.

                      Idéalement l'antenne et les composants correspondent aux valeurs voulues. On fabrique et ça marche.
                      Mais dans la vraie vie c'est une autre histoire :-)

                      Les énergies en jeu dans le RFID sont ridicules (parce que les concepteurs originaux savaient que ça passait, ce n'est pas venu par hasard. Ça remonte au début des années 90).
                      La longueur d'onde est de 22 mètres (et non 22 cm comme je l'ai écrit), donc l'accord du circuit d'antenne est vraiment important pour capter un maximum d'énergie. Le moindre écart de fabrication divise facilement par 2 l'énergie captée. Un écart pour l'antenne, un écart pour le condensateur, un écart pour etc au final il ne reste plus de signal.
                      Il faut donc une antenne et un circuit électronique en mesure de compenser les écarts avant de démarrer.

                      solution 1 : utiliser un process de fabrication super précis. Ils sont déjà très précis, donc encore plus. Donc cher

                      solution 2 : concevoir le circuit pour être ajusté après fabrication. Par exemple avec un coup de laser (photo du bas). J'étais persuadé que ça n'était plus fabriqué, ta carte semble prouver le contraire

                      solution 3 : concevoir un circuit qui s'auto-ajuste à la volée (photo du haut). En fonction du signal reçu le condensateur d'accord est plus ou moins court-circuité par des transistors pilotés par la puce

                      solution 4 : 2 + 3. Utilisé pour les carte longue distance (surtout en RFID). Pour les cartes bancaires je ne sais pas si ça existe car la solution 3 fonctionne très bien. Donc si on sait faire 3, on ne paie pas en plus pour 2

                      L'avantage de la solution 2 est que la carte démarre plus facilement car elle est déjà optimisée en étant éteinte. Je pense qu'elles démarrent à plus de 8 cm à tous les coups pour une carte bancaire

                      L'avantage de la solution 3 est que la fabrication est moins chère car pas d'étape de réglage. Certaines cartes doivent être collées contre l'émetteur pour se mettre en route car la dérive de fabrication fait qu'elles reçoivent mal l'énergie. Une fois la carte en route elle sait s'ajuster et le mouvement de la main n'a pas besoin d'être précis. Dans les faits personne ne s'en rend compte mais il a tellement été martelé « sans contact » que des gens ont tout de même remarqué que des cartes nécessitent de toucher la borne (pas forcément toucher, mais on ne s'amuse pas à la tenir à 4,1 mm pour certaines, et 6,5 mm pour d'autres). Du coup depuis des années l'antenne alimente uniquement le circuit d'accord, donc peu d'énergie nécessaire, donc distance de démarrage plus importante, et une fois que l'accord est bon l'alimentation est envoyée au reste de la carte car il y a de l'énergie disponible. Avec ce double étage d'alimentation elles démarrent à plus de 4 cm à tous les coups, qu'il fasse chaud ou froid, quels que soient les écarts de fabrication, etc. C'est une solution parfaite pour des cartes bancaires.
                      Le coût de ce système d'accord automatique est quasi uniquement la R&D. Ça prend moins de 10 % de la surface de la puce NFC, donc moins de 10 % du coût de gravure, qui est lui-même une fraction du coût de fabrication (à la louche c'est 0,1 centime pour silicium + gravure + tests. Avec un wafer on en fabrique 30.000 d'un coup, il y a beaucoup de pertes à cause de l'épaisseur des traits de coupe). Bref la R&D coûte zéro lorsqu'on en fabrique plus de 100 millions par an (je ne pense pas qu'il existe de fabricant en dessous de 100 millions par an pour un même modèle, sauf trucs spéciaux mais la R&D sert pour plusieurs modèles).

      • [^] # Re: carte virtuelle

        Posté par  . Évalué à 3.

        Moi, j'aimerais bien qu'il y ait un interrupteur pour le sans contact. Par exemple, j'imagine qu'il est réaliste d'avoir une simple zone où l'on met son doigt qui fait contact et permet d'activer l'antenne. Mais c'est peut-être trop cher ? En tout cas, si on le place bien, il n'y a aucun souci pour le côté pratique.

        • [^] # Re: carte virtuelle

          Posté par  . Évalué à 2.

          Pourquoi faire ? C'est très pratique le sans contact, surtout en ce moment.
          Il suffit d'avoir un portefeuille en aluminium. Exemple, mais il doit en exister d'autres.

          • [^] # Re: carte virtuelle

            Posté par  . Évalué à 2.

            Je vais le prendre comme de l'ironie, et je vais le réexpliquer au premier degré : se balader avec 95g d'alu juste pour une fonctionnalité que je ne veux pas, c'est bizarre :)

            Et puis, il m'est déjà arrivé de manipuler ma carte pour l'insérer trop prêt du lecteur RFID, et PAF. Bien sûr, la carte ayant refusé le paiement, il a fallu que le commerçant recommence la demande. Si on doit tenir la carte comme il faut pour que ça marche, ça ne me semble pas contraignant, et en plus, pas besoin d'aluminium :)

            • [^] # Re: carte virtuelle

              Posté par  . Évalué à 2.

              Si tu ne veux pas du sans-contact, il suffit de demander à ta banque de le désactiver. Ma banque me permet de le faire en ligne. Et je peux le réactiver quand je veux. J'imagine que les autres font peut-être pareil.

              • [^] # Re: carte virtuelle

                Posté par  . Évalué à 3.

                Aaaaaah, il suffit. Selon les banques, ça va de "désactivé par défaut" à "il faut nous envoyer un courrier recommandé signé de votre main avec 3 formulaires". Je n'ai volontairement pas exagéré. Quand j'ai ouvert un compte dans ma banque actuelle, j'ai découvert que le processus pour désactiver le sans-contact, c'était d'abord de nous envoyer une carte avec, puis de nous demander de la détruire pour la rééditer sans la fonctionnalité.

                Ce qui me gêne, c'est que les banques forcent ce choix, avec des procédés commerciaux trop suspicieux.

                Et au final, j'ai une carte avec le sans-contact "désactivé", mais je ne sais pas si ce sont juste les paiements qui sont désactivés ou toute la puce. Au tout début, il était possible de lire des informations sur la carte, à distance et discrètement.

                Au moins, sur un smartphone, le NFC nécessite le déverrouillage, donc une utilisation par son propriétaire.

                • [^] # Re: carte virtuelle

                  Posté par  . Évalué à 2.

                  D'où l'intérêt du portefeuille alu, car le problème de lecture clandestine n'est pas propre aux cartes bancaires, il concerne aussi les cartes d'abonnement de transport genre navigo.

              • [^] # Re: carte virtuelle

                Posté par  . Évalué à 6. Dernière modification le 07/04/20 à 09:18.

                Il très probable que ça ne désactive que la fonctionnalité de paiement dans le terminal de paiement du commerçant. Je soupçonne que la carte NFC continue d'être interrogeable avec un lecteur NFC, un smartphone avec Android par exemple. Et donc la carte resterait "piratable sans contact".

                En 2012 Renaud Lifithitz donnait une conférence à Pas Sage En Seine, Et PAF la carte NFC, expliquant de quelle façon (bâclée) le paiement sans contact avait été implémenté sur carte bancaire. Pour résumer, ça utilise les mêmes technologies que celles utilisées dans les pass Navigo, mais sans chiffrement.

                Il a mis à disposition un bout de code à compiler soi-même pour installer une appli Android simpliste (readnfccc) qui lorsqu'on approche une carte bleue du smartphone (compatible NFC évidemment) affiche le prénom, le nom, les 16 chiffres de la carte et les dates et montants des 20 dernières dépenses effectuées avec cette carte (avec ou sans contact).

                Entre temps, la protection de la vie privée a été un petit peu améliorée il me semble : désormais seuls les 8 premiers chiffres de la carte bleue sont récupérables, les autres sont remplacés par de X. Pareil pour le nom de famille, seule la première lettre est lisible. Pour le prénom, je ne sais plus. Mais pour les 20 derniers paiements, rien n'a changé.

        • [^] # Re: carte virtuelle

          Posté par  (site Web personnel) . Évalué à 2.

          Le paiement sans contact est tout de même limité à un montant assez faible par semaine.

          OS préféré Mageia 7, CMS préféré SPIP, suite bureautique préférée LibreOffice, logiciel de dessin préféré Inkscape.

        • [^] # Re: carte virtuelle

          Posté par  . Évalué à 5.

          j'aimerais bien qu'il y ait un interrupteur pour le sans contact. Par exemple, j'imagine qu'il est réaliste d'avoir une simple zone où l'on met son doigt qui fait contact et permet d'activer l'antenne.

          Bonne idée.
          La mise en œuvre technique est toute bête : un capteur capacitif et c'est bon, il suffit d'une zone métalisée à l'intérieur de la carte à l'endroit où poser le doigt.

  • # Quelques explications sont importantes

    Posté par  (site Web personnel) . Évalué à 10.

    Bonjour,

    Je vous remercie de votre commentaire et de votre message sur le support.

    Pour ne pas tout mélanger, il me parait important d'apporter des explications sur le caractère obligatoire d'avoir JavaScript activé afin d'effectuer un paiement sur Ulule.

    La page de paiement (app.kolkt.com) repose sur l'utilisation des kits de développement proposés par nos PSPs (par exemple mangopay kit) afin d'éviter que les cartes bancaires passent sur nos serveurs. Le fait de passer par nos PSPs en direct permet de nous reposer sur eux pour l'envoi de ces informations et de nous abstraire des contraintes liées à cette diffusion.

    Je suis également utilisateur de uMatrix, celui-ci est très sensible et bloque des services tiers qui nous permettent d'améliorer continuellement la qualité de notre service :
    - hotjar est un outil nous permettant de detecter des problèmes d'UX en enregistrant les mouvements des utilisateurs et les parcours qui peuvent poser problème
    - sentry est un outil de reporting d'erreurs qui nous permet de corriger des bugs éventuels ou d'anticiper des problèmes réseaux

    En ce qui concerne le script responsable de l'appel vers Google ads, il permet de détecter la présence d'un blocker installé et activé sur le navigateur qui perturberait le workflow, le fichier appelé (via HTTP en HEAD) n'est pas ajouté dans la page. Ce script est clairement perfectible et nous travaillons à l'améliorer pour réduire la gêne.

    Je ne pourrai pas apporter des réponses sans essayer tant bien que mal d'apporter des solutions pour ces contraintes. Etant moi-même utilisateur de blocker et développeur, vous trouverez deux nouvelles méthodes de paiements disponibles sur le projet "Next INpact" : Paylib (disponible chez toutes les banques) & virement bancaire.

    Je reste évidemment dans le coin pour répondre à des questions supplémentaires.

    • [^] # Re: Quelques explications sont importantes

      Posté par  . Évalué à 10.

      Bonjour,

      Je n'aurais pas attendu une réponse en direct sur LinuxFR, mais ça fait plaisir.

      Les explications tiennent la route, mais c'est malheureusement toujours un problème : il ne devrait pas y avoir d'analyse comportementale sur la page d'informations. Que ce soit pour le bien ou le mal, puisque la frontière entre les deux est trop vite franchie.

      Je n'avais pas fait attention que l'appel à GoogleAds n'est pas injecté. J'imagine que uMatrix fait son travail, puisqu'il est possible de transférer des données rien qu'en appelant des URIs.

      Ceci étant dit, je dois dire merci pour l'ajout des deux autres solutions de paiement qui reposent toutes deux, soit sur un tiers de confiance que ma banque a choisi (PayLib), soit sur aucun tiers du tout (virement) : c'est une très bonne alternative.

      • [^] # Re: Quelques explications sont importantes

        Posté par  . Évalué à 9.

        il ne devrait pas y avoir d'analyse comportementale sur la page d'informations.

        Je sais pas si t'es au courant, mais les dernières start-up à la mode pour le paiement en ligne sont justement celles qui ne nécessitent rien d'autre qu'une analyse de comportement pour valider le paiement ! Je n'ai pas de lien sous la main, mais de mémoire Google y travaille également. Plus besoin de login ou de mdp, juste du JS partout pour t'analyser et t'identifier sans que tu ne t'en rendes compte ! Elle est pas belle la vie ?

        • [^] # Re: Quelques explications sont importantes

          Posté par  . Évalué à 6.

          Je dois avoir une façon bizarre d'utiliser un ordinateur, parce que je me fais de temps en temps traiter de robot avec le déploiement de ce genre de conneries.

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: Quelques explications sont importantes

            Posté par  . Évalué à 6.

            Oui, moi aussi. Pôle-Emploi incite fortement à aller sur LinkedIn, mais sur ce réseau je suis traité de robot et ne peut y accéder… bientôt l'exclusion sera sévère.

    • [^] # Re: Quelques explications sont importantes

      Posté par  (site Web personnel) . Évalué à 8. Dernière modification le 16/03/20 à 17:37.

      Je suis également utilisateur de uMatrix, celui-ci est très sensible et bloque des services tiers qui nous permettent d'améliorer continuellement la qualité de notre service :

      Et vous ne vous êtes pas demandé pourquoi?

      • hotjar est un outil nous permettant de detecter des problèmes d'UX en enregistrant les mouvements des utilisateurs et les parcours qui peuvent poser problème
      • sentry est un outil de reporting d'erreurs qui nous permet de corriger des bugs éventuels ou d'anticiper des problèmes réseaux

      Il y a toujours "une bonne raison" pour laisser fuiter des données ailleurs, sinon ça ne serait pas marrant. Reste à savoir si c'est légitime… Surtout quand vous ne vérifiez pas que le script n'a pas changé (donc vos fournisseurs tiers sont en mode open bar… Et pour avoir de la sécurité il faut que vos fournisseurs tiers promettent de ne pas changer le script) si j'en crois le journal.

      Pourquoi pas, en plus de mettre une sécurité sur l'intégrité des scripts, par exemple ne pas laisser fuiter les données utilisateur vers des fournisseurs tiers en intégrant sur vos serveurs les fonctionnalités mises en avant? Et demandez-vous pourquoi vos fournisseurs tiers ne vous permettent pas de le faire si c'est le cas… Les données, ça a de la valeur de nos jours.

      Au pire si on ne pense qu'à soit (personnes ayant uMatrix), juste passer en mode "on détecte pas les problème d'UX" si le script ne peut être chargé?

      vous trouverez deux nouvelles méthodes de paiements disponibles sur le projet "Next INpact" : Paylib (disponible chez toutes les banques) & virement bancaire.

      C'est un gros plus mais les gens ne connaissant pas trop la technique laisseront toujours leurs données potentiellement fuiter.


      Je comprend que certes vous ne pouvez pas financièrement vous permettre d'aller ocntre la mode, mais perso j'espère que la mode de 36 scripts tiers non contrôlés passera avec la sensibilisation à la valeur de revente des données utilisateur, et que Mozilla et/ou Apple (je ne compte par trop sur Google pour être le premier à sensibiliser, il suivra plutôt… Bon, et pour Mozilla ils n'ont plus la même puissance de frappe qu'avant… OK, reste Apple dont les utilisateurs sont "importants" pour les sites web et Apple a déjà démontré faire des geste dans la direction de la vie privée dans son navigateur, ce qui a fait râler du monde qui aime ses données "bankable" :) ) seront de plus en plus stricts sur ces fuites. Ca obligera tout le monde à passer sur des solutions faisant moins fuiter des données utilisateur.

      PS : merci d'avoir pris le temps d'écrire ici, c'est utile (d'où la note actuelle de votre commentaire :) )

      • [^] # Re: Quelques explications sont importantes

        Posté par  . Évalué à 6.

        Euh… Que quelqu'un compte sur Apple pour sauver la vie privée des utilisateurs, y'a que moi que ca interpelle ?

        • [^] # Re: Quelques explications sont importantes

          Posté par  (site Web personnel) . Évalué à 3. Dernière modification le 17/03/20 à 11:23.

          euh… Sans doute. Apple fait du business contre la revente de données privées à la Google et vend des choses en "direct" (pas de gratuit c'est vous le produit), et c'est Apple qui fait "chier" les publicitaires, pas Google (ni Mozilla, et même si ils faisaient en avance par rapport à Apple des blocages, ce qu'ils ne font pas, ils n'auraient pas le même impact sur les autres acteurs).

          Si tu souhaites dépasser tes préjugés, des exemples de lecture :
          La solution d'Apple pour sévir contre le tracking publicitaire dans Safari
          Apple est-il en train de tuer la pub Web sur mobile ?
          The Impact of Intelligent Tracking Prevention on Your Google Analytics Data

          Note : il semble que ces derniers temps Mozilla revient (après avoir mis du Google Analytics sur son site web…) sur la vie privée, avec le "container Facebook" et autres anti-trackers, on saura sur la durée jusqu'où ils vont aller (car Google peut les "punir" en coupant les flux financier rapidos si ils vont "trop" loin à leur goût… étonnamment pas encore de "container Google"…)

          • [^] # Re: Quelques explications sont importantes

            Posté par  . Évalué à 4.

            La main gauche fait des trucs pour que les autres entreprises ne fassent pas n'importe quoi avec les données des utilisateurs, pendant que la main droite flique les utilisateurs dans les moindres détails. En gros, ils veulent pas que les autres fassent ce qu'ils font eux-memes. C'est sur ça que reposent tes espoirs ?

        • [^] # Re: Quelques explications sont importantes

          Posté par  . Évalué à 3.

          Ils ne le font pas par altruisme mais par positionnement business.
          Donc il faut juste être conscient de ça et profiter de leur force marketing.

    • [^] # Re: Quelques explications sont importantes

      Posté par  (site Web personnel) . Évalué à 3.

      • hotjar est un outil nous permettant de detecter des problèmes d'UX en enregistrant les mouvements des utilisateurs et les parcours qui peuvent poser problème
      • sentry est un outil de reporting d'erreurs qui nous permet de corriger des bugs éventuels ou d'anticiper des problèmes réseaux

      Ah, ok, c'est un peu la philosophie du « coder vite et debug en prod' ». C'est digne de figurer dans ce fameux site, là où il y a des Gifs marrants.

      * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

  • # Rien de nouveau

    Posté par  (site Web personnel) . Évalué à 10.

    Ça n'a rien de nouveau, cela fait des années que je navigue avec JavaScript désactivé, avec un bloqueur de publicité, etc. Et ce dont j'ai pu me rendre compte, c'est qu'il n'y a à peu près aucun prestataire de paiement dont le site fonctionne dans ces conditions. Du coup, j'ai un profil de navigateur non sécurisé, que j'utilise… à peu près seulement pour les trucs relatifs à des paiements.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.