Vous n'êtes pas identifié(e).
N° de carte
Nom du titulaire
Date d'expiration
Code CVC (dos)
Le site procède à la vérification de la carte,
je reçois de la banque (Fortuneo) un SMS avec un code à usage unique à renseigner sur le site marchand,
jusque là ça me paraît correct...
Mais ensuite, on me demande de fournir : le Mot de Passe d'accès à mon espace client sur le site de la banque !
Dans le doute, car cela me paraît allant contre toutes mes notions de sécurité,
je n'ai pas fourni ce MdP.
Le service d'assistance téléphonique de la banque m'a confirmé,
qu'il s'agit là d'une nouvelle mesure de sécurité supplémentaire,
mise en place par l'UE (si j'ai bien compris).
Question
Avez-vous l'expérience de cela ?
Cela vous semble-t-il une mesure effective pour accroître la sécurité des paiements,
ou un risque supplémentaire de fuite de données sensibles?
Merci pour vos retours.
Hors ligne
Le service d'assistance téléphonique de la banque
C'est eux qui t'ont appelé, ou c'est toi qui les a appelé ? (Pour info, il est très facile d'usurper un numéro quelconque, l'usurpateur appelle d'un numéro quelconque, et celui de ta banque s'affiche sur ton téléphone)
Ma banque fait bien la leçon de ne jamais divulguer aucun mot de passe, surtout celui d'accès, donc je suis également étonné. Concernant ma banque, j'ai un code d'accès à mes comptes et un code de validation, dont ma banque (ainsi que le conseillé) n'ont pas connaissance.
A +
Hors ligne
C'est eux qui t'ont appelé, ou c'est toi qui les a appelé ?
C'est moi qui ai contacté l'assistance.
En plus comme j'ai eu les mêmes écrans sur paypal et ovh
je suppose qu'ils sont issus d'un service sous-traité par la banque.
Il n'y a pas longtemps, j'ai eu une autre expérience pas claire en payant une facture (eau ou assurance) par CB
avec un renvoi vers un service bancaire sous-traité avec un certificat TLS émis pour une filiale pas clairement identifiable...
Ça devient vraiment difficile de vérifier qui on a en face,
alors que cela serait si simple si les entités-mères était systématiquement l'origine...
Hors ligne
Mais ensuite, on me demande de fournir : le Mot de Passe d'accès à mon espace client sur le site de la banque !
Certaines banques font ça en effet, je crois que c’est aussi le cas de la Société Générale.
Une frame fournie par les serveurs de la banque est affichée intégrée dans la page de la boutique, et cette frame demande de s’authentifier pour confirmer son identité.
C’est bien entendu un choix de la part des banques concernés que je serais incapable de qualifier en restant poli.
Hors ligne
C’est bien entendu un choix de la part des banques concernés que je serais incapable de qualifier en restant poli.
Je crois qu'on est d'accord... c'est la chienlit !
Hors ligne
Le service d'assistance téléphonique de la banque m'a confirmé,
qu'il s'agit là d'une nouvelle mesure de sécurité supplémentaire,
mise en place par l'UE (si j'ai bien compris).
La directive UE c'est la double autentification il me semble. Pour moi c'est un sms demandant confirmation de l'achat puis un code créer pour ça en validation finale via l'app de la banque Il est indépendant du code d'accès à mon espace client.
Hors ligne
Hors ligne
Une frame fournie par les serveurs de la banque est affichée intégrée dans la page de la boutique, et cette frame demande de s’authentifier pour confirmer son identité.
Il suffit de regarder la source de la page pour voir le serveur qui fournit la page.
si c'est une frame et le javascritp est activé ça ne semble pas une bonne idée.
si c'est une redirection simple c'est autre chose.
LaBanquePostale fait également ça.
Pour sécuriser ses achats, il y a des services de carte à usage unique et certainement des options pour re-provisionner sur une carte.
J'ai regardé à un moment mais c'est trop cher pour mon besoin.
Hors ligne
Hors ligne
Hors ligne
Mais ensuite, on me demande de fournir : le Mot de Passe d'accès à mon espace client sur le site de la banque !
Oui sur ma banque aussi on me demande de faire ça
C'est un mot de passe que tu as du recevoir par courrier papier je suppose.
Debian
Bureau : gnome
Ordinateur : Thinkpad T440P libreboot
Hors ligne
Pour sécuriser ses achats, il y a des services de carte à usage unique et certainement des options pour re-provisionner sur une carte.
J'ai regardé à un moment mais c'est trop cher pour mon besoin.
Les cartes virtuelles sont fournies gratuitement par une de mes banques, et sont une option à 1€/mois pour l’autre.
J’aurais du mal à m’en passer aujourd’hui.
Hors ligne
Dernière modification par Tawal (27-08-2024 21:27:50)
Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !
Hors ligne
Hors ligne
Hors ligne
LaBanquePostale fait également ça.
.
La banque postale demande de valider ton achat en tapant le code confidentiel (que tu es le seul a connaitre) sur l'appli android.
Et quand tu n'as pas cette appli .... cela devient plus compliqué....
saitama-san tu as déjà du taper ton code te servant à consulter tes comptes en ligne lors d'un achat sur le web ?
En ligne
tu peux nous donner les noms
Le Crédit Mutuel de Bretagne (filiale de Arkéa) pour la banque fournissant cette possibilité de base, la Caisse d’Épargne (filiale de BPCE) pour celle chez qui c’est une option à 1€/mois.
Pour la première c’est des cartes Mastercard qui sont générées, pour la seconde c’est des cartes Visa.
Hors ligne
saitama-san a écrit :
LaBanquePostale fait également ça.
.
La banque postale demande de valider ton achat en tapant le code confidentiel (que tu es le seul a connaitre) sur l'appli android.
Et quand tu n'as pas cette appli .... cela devient plus compliqué....
saitama-san tu as déjà du taper ton code te servant à consulter tes comptes en ligne lors d'un achat sur le web ?
pour les paiements en ligne je reçois très souvent un SMS avec un code à 8 chiffres (mais c'est pas systématique) et ensuite il y a une redirection vers la banque afin de saisir son code personnel avec leur pavé numérique aléatoire. Celui qui a inventé ça mérite le goudron et les plumes.
Je n'ai jamais eu besoin d'appli android mais j'ai l'impression que je suis dans un angle mort.
Cela fait plus de 5 ans que l'on me demande une copie de carte d'identité et un justificatif de domicile mais ça ne change rien et pas un seul courrier
La sécurité des banques est à géométrie variable. Les FAI prélèvent même si le propriétaire du compte n'a jamais signé et validé le prélèvement.
Je sais que les pratiques bancaires sont très différentes d'un pays à l'autre malgré une réglementation européenne commune. Souvent les français interprète à leur sauce. La double authentification en France a été vendu avec une appli smartphone alors qu'il existe bien d'autre moyen de faire aussi bien (mais si on peut collecter des données pourquoi se priver). Si on ne veut pas se plier il existe souvent des solutions qui n'apparaissent nul part et vendu à prix d'or donc extrêmement dissuasif.
Aucune interopérabilité
Hors ligne
pour les paiements en ligne je reçois très souvent un SMS avec un code à 8 chiffres (mais c'est pas systématique) et ensuite il y a une redirection vers la banque afin de saisir son code personnel avec leur pavé numérique aléatoire. Celui qui a inventé ça mérite le goudron et les plumes.
Je te laisse imaginer le cauchemar que ça devient quand, comme moi, on n’a pas de téléphone portable.
La légende selon laquelle les téléphones fixes seraient capables de recevoir des SMS n’est malheureusement rien de plus que ça : une légende.
Hors ligne
Dernière modification par Tawal (29-08-2024 00:19:04)
Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !
Hors ligne
saitama-san a écrit :pour les paiements en ligne je reçois très souvent un SMS avec un code à 8 chiffres (mais c'est pas systématique) et ensuite il y a une redirection vers la banque afin de saisir son code personnel avec leur pavé numérique aléatoire. Celui qui a inventé ça mérite le goudron et les plumes.
Je te laisse imaginer le cauchemar que ça devient quand, comme moi, on n’a pas de téléphone portable.
La légende selon laquelle les téléphones fixes seraient capables de recevoir des SMS n’est malheureusement rien de plus que ça : une légende.
envoie de pigeon voyageur avec jeton valable 15 minutes au lieu du SMS
quand l'installation de télécrans sera obligatoire, ça sera plus facile pour valider
c'est bien quand l'informatique est au service de l'utilisateur pas l'inverse.
Hors ligne
La légende selon laquelle les téléphones fixes seraient capables de recevoir des SMS n’est malheureusement rien de plus que ça : une légende.
Quand j'étais gamin je m'étais amusé à envoyer un sms sur la ligne fixe de la maison : le téléphone a sonné et en décrochant le message était lu par un robot. Donc pas si improbable. C'était autour des années 2000 donc une époque où le téléphone mobile n'avait pas encore l'hégémonie qu'on lui connaît aujourd'hui, il existait encore des solutions permettant de faire le pont. Technologie qui j'imagine n'existe plus aujourd'hui.
Nombreux savent mais peu comprennent.
Hors ligne