logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 27-08-2024 11:09:33

dezix
Membre
Distrib. : Debian stable
Noyau : Linux amd64 (stable)
(G)UI : XFCE4
Inscription : 19-02-2018

Sécurité : Fourniture mot de passe accès client banque.

Bonjour.


Contexte

Suite à la création d'un compte courant Fortuneo (en 3 clics... et un mois de galère)
j'ai obtenu une MasterCard que je destine aux paiements sur Internet
en limitant le solde de ce compte aux besoins courants,
le but étant d'isoler mon compte principal.


Je procède donc à la mise en place de ce nouveau moyen de paiement
en remplacement de ceux qui sont en relation directe avec mon compte principal.


Lors de la configuration d'un nouveau moyen de paiement sur certains sites ( Paypal ; OVH )
après avoir fourni les données relatives à la carte bancaire :

  • N° de carte

  • Nom du titulaire

  • Date d'expiration

  • Code CVC (dos)



Le site procède à la vérification de la carte,
je reçois de la banque (Fortuneo) un SMS avec un code à usage unique à renseigner sur le site marchand,
jusque là ça me paraît correct...

Mais ensuite, on me demande de fournir : le Mot de Passe d'accès à mon espace client sur le site de la banque !


Dans le doute, car cela me paraît allant contre toutes mes notions de sécurité,
je n'ai pas fourni ce MdP.

Le service d'assistance téléphonique de la banque m'a confirmé,
qu'il s'agit là d'une nouvelle mesure de sécurité supplémentaire,
mise en place par l'UE (si j'ai bien compris).




Question

Avez-vous l'expérience de cela ?

Cela vous semble-t-il une mesure effective pour accroître la sécurité des paiements,
ou un risque supplémentaire de fuite de données sensibles?


Merci pour vos retours.

Hors ligne

#2 27-08-2024 11:36:29

Jeff_5
Membre
Lieu : Hautes-Alpes
Distrib. : DebianFacile 11.7
(G)UI : Cinnamon
Inscription : 15-06-2019

Re : Sécurité : Fourniture mot de passe accès client banque.

Bonjour,

Le service d'assistance téléphonique de la banque

C'est eux qui t'ont appelé, ou c'est toi qui les a appelé ? (Pour info, il est très facile d'usurper un numéro quelconque, l'usurpateur appelle d'un numéro quelconque, et celui de ta banque s'affiche sur ton téléphone)

Ma banque fait bien la leçon de ne jamais divulguer aucun mot de passe, surtout celui d'accès, donc je suis également étonné. Concernant ma banque, j'ai un code d'accès à mes comptes et un code de validation, dont ma banque (ainsi que le conseillé) n'ont pas connaissance.

A +

Hors ligne

#3 27-08-2024 11:55:54

dezix
Membre
Distrib. : Debian stable
Noyau : Linux amd64 (stable)
(G)UI : XFCE4
Inscription : 19-02-2018

Re : Sécurité : Fourniture mot de passe accès client banque.

Jeff_5 a écrit :

C'est eux qui t'ont appelé, ou c'est toi qui les a appelé ?



C'est moi qui ai contacté l'assistance.

En plus comme j'ai eu les mêmes écrans sur paypal et ovh
je suppose qu'ils sont issus d'un service sous-traité par la banque.

Il n'y a pas longtemps, j'ai eu une autre expérience pas claire en payant une facture (eau ou assurance) par CB
avec un renvoi vers un service bancaire sous-traité avec un certificat TLS émis pour une filiale pas clairement identifiable...

Ça devient vraiment difficile de vérifier qui on a en face,
alors que cela serait si simple si les entités-mères était systématiquement l'origine...

Hors ligne

#4 27-08-2024 12:06:38

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Sécurité : Fourniture mot de passe accès client banque.

dezix a écrit :

Mais ensuite, on me demande de fournir : le Mot de Passe d'accès à mon espace client sur le site de la banque !


Certaines banques font ça en effet, je crois que c’est aussi le cas de la Société Générale.
Une frame fournie par les serveurs de la banque est affichée intégrée dans la page de la boutique, et cette frame demande de s’authentifier pour confirmer son identité.

C’est bien entendu un choix de la part des banques concernés que je serais incapable de qualifier en restant poli.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#5 27-08-2024 12:18:06

dezix
Membre
Distrib. : Debian stable
Noyau : Linux amd64 (stable)
(G)UI : XFCE4
Inscription : 19-02-2018

Re : Sécurité : Fourniture mot de passe accès client banque.

vv222 a écrit :


C’est bien entendu un choix de la part des banques concernés que je serais incapable de qualifier en restant poli.



Je crois qu'on est d'accord... c'est la chienlit !

Hors ligne

#6 27-08-2024 12:53:34

wardidi
Adhérent(e)
Lieu : Bretagne
Distrib. : DF 12.4
Noyau : 6.1.0-13-amd64
Inscription : 28-11-2022

Re : Sécurité : Fourniture mot de passe accès client banque.

dezix a écrit :


Le service d'assistance téléphonique de la banque m'a confirmé,
qu'il s'agit là d'une nouvelle mesure de sécurité supplémentaire,
mise en place par l'UE (si j'ai bien compris).



La directive UE c'est la double autentification il me semble. Pour moi c'est un sms demandant confirmation de l'achat puis un code créer pour ça en validation finale via l'app de la banque  Il est indépendant du code d'accès à mon espace client.

Hors ligne

#7 27-08-2024 13:00:47

dezix
Membre
Distrib. : Debian stable
Noyau : Linux amd64 (stable)
(G)UI : XFCE4
Inscription : 19-02-2018

Re : Sécurité : Fourniture mot de passe accès client banque.

Là, c'est via mon PC, de toutes façons je n'ai qu'un idiotphone et pas l'intention d'en changer pour installer les appli Android de Pierre-Paul-Jacques wink

Et OUI je suis d'accord le code de vérification via sms devrait être suffisant ou un email, voire un courrier postal.

Hors ligne

#8 27-08-2024 16:09:46

saitama-san
Membre
Distrib. : stable
(G)UI : gnome
Inscription : 28-07-2019

Re : Sécurité : Fourniture mot de passe accès client banque.

vv222 a écrit :

Une frame fournie par les serveurs de la banque est affichée intégrée dans la page de la boutique, et cette frame demande de s’authentifier pour confirmer son identité.



Il suffit de regarder la source de la page pour voir le serveur qui fournit la page.
si c'est une frame et le javascritp est activé ça ne semble pas une bonne idée.
si c'est une redirection simple c'est autre chose.

LaBanquePostale fait également ça.

Pour sécuriser ses achats, il y a des services de carte à usage unique et certainement des options pour re-provisionner sur une carte.

J'ai regardé à un moment mais c'est trop cher pour mon besoin.

Hors ligne

#9 27-08-2024 16:33:31

dezix
Membre
Distrib. : Debian stable
Noyau : Linux amd64 (stable)
(G)UI : XFCE4
Inscription : 19-02-2018

Re : Sécurité : Fourniture mot de passe accès client banque.

Analyser le code pour déterminer d'où provient le pop-up (frame) n'est ni pratique, ni à la portée de l'utilisateur lambda,
donc difficile de maintenir un niveau de sécurité/confiance d'autant que le navigateur n'affiche que le certificat du site marchand.

Perso je pense que c'est offrir plus d'opportunités au pirate et moins de contrôle à l'utilisateur.

Sans compter que nombre d'utilisateurs exaspérés par ces difficultés doivent finir par abdiquer
et fournir finalement leurs données sans le moindre contrôle, juste pour en finir !

ça me semble plutôt contre-productif au final....      kernal_panic.gif

Hors ligne

#10 27-08-2024 17:03:14

saitama-san
Membre
Distrib. : stable
(G)UI : gnome
Inscription : 28-07-2019

Re : Sécurité : Fourniture mot de passe accès client banque.

@dezix : il doit exister des extensions

sur le fond, logiquement c'est à la banque de sécurisé les paiements pas à l'utilisateur de comprendre comment ça marche.
j'ai entendu récemment un chiffre : 42% des fraudes bancaires en Europe étaient françaises.
la pratique française des prélèvements au lieu de faire des virements automatique pour téléphone, électricité, ... c'est une blague et les "erreurs" chez SFR sont assez fréquentes.
Instaurer des applications daubés au lieu d'utiliser du simple otp qui pourrait être fourni sous format matériel ou applicatif.

pour l'anecdote, ma mère avait fait un truc bizarre sur son téléphone donc je lui dit d'appeler la banque pour faire opposition.
le gars de la banque à répondu que c'était pas nécessaire puisqu'on n'était pas sûr de ce qui c'était passé roll

c'est valable pour les particuliers mais aussi pour les entreprises et j'ai entendu des choses graves.

L'achat en ligne, c'est de moins en moins fréquent chez moi, et séparer ses comptes c'est loin d'être une mauvaise idée.
Je ne recommanderai pas de garder des liasses de billets sous le matelas ou acheter des métaux précieux mais j'y réfléchi souvent.

Hors ligne

#11 27-08-2024 17:31:47

Jean-Pierre Pinson
Adhérent(e)
Lieu : Orléans
Distrib. : Debian Sid 64bits Ordi.: Thinkpad T400
Noyau : de cerise
(G)UI : gnome
Inscription : 04-03-2017
Site Web

Re : Sécurité : Fourniture mot de passe accès client banque.

dezix a écrit :

Mais ensuite, on me demande de fournir : le Mot de Passe d'accès à mon espace client sur le site de la banque !



Oui sur ma banque aussi on me demande de faire ça

C'est un mot de passe que tu as du recevoir par courrier papier je suppose.


Debian sid
Bureau : gnome
Ordinateur : Thinkpad T400 libreboot

Hors ligne

#12 27-08-2024 18:19:06

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Sécurité : Fourniture mot de passe accès client banque.

saitama-san a écrit :

Pour sécuriser ses achats, il y a des services de carte à usage unique et certainement des options pour re-provisionner sur une carte.

J'ai regardé à un moment mais c'est trop cher pour mon besoin.


Les cartes virtuelles sont fournies gratuitement par une de mes banques, et sont une option à 1€/mois pour l’autre.
J’aurais du mal à m’en passer aujourd’hui.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#13 27-08-2024 21:27:25

Tawal
Membre
Distrib. : Debian Stable à jour
Noyau : amd64
(G)UI : Xfce
Inscription : 25-02-2021

Re : Sécurité : Fourniture mot de passe accès client banque.

Juste pour rassurer un peu plus.

Pareil, j'ai été confronté à cette demande.
Idem, j'ai contacté ma banque (différente des vôtres) qui m'a expliqué presque la même chose.
Le détail : Cette demande n'apparaît que la première fois de l'utilisation d'une carte.

Dernière modification par Tawal (27-08-2024 21:27:50)


Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !

Hors ligne

#14 28-08-2024 08:25:56

dezix
Membre
Distrib. : Debian stable
Noyau : Linux amd64 (stable)
(G)UI : XFCE4
Inscription : 19-02-2018

Re : Sécurité : Fourniture mot de passe accès client banque.

Je vous remercie pour vos témoignages et suggestions yes.gif

L'usage de cartes virtuelles ( à usage unique et montant plafonné ) est ( à mon avis) une des meilleures solutions,
mais pas applicable pour les paiements récurrents (abonnements, etc) d'où ma démarche.

À bientôt et encore merci.

Hors ligne

#15 28-08-2024 11:45:26

saitama-san
Membre
Distrib. : stable
(G)UI : gnome
Inscription : 28-07-2019

Re : Sécurité : Fourniture mot de passe accès client banque.

@vv222 ; tu peux nous donner les noms (en privée si tu préfères)

@dezix : je crois que c'est faisable. ce type de service est plus démocratisé dans les banques en ligne, je chercherai de ce coté.

Hors ligne

#16 28-08-2024 12:52:15

mister_g
Membre
Distrib. : debian sid
Noyau : Linux 6.11.4-amd64
(G)UI : fluxbox
Inscription : 20-07-2022

Re : Sécurité : Fourniture mot de passe accès client banque.

saitama-san a écrit :


LaBanquePostale fait également ça.
.



La banque postale demande de valider ton achat en tapant le code confidentiel (que tu es le seul a connaitre) sur l'appli android.
Et quand tu n'as pas cette appli .... cela devient plus compliqué....

saitama-san tu as déjà du taper ton code te servant à consulter tes comptes en ligne lors d'un achat sur le web ?

Hors ligne

#17 28-08-2024 13:27:13

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Sécurité : Fourniture mot de passe accès client banque.

saitama-san a écrit :

tu peux nous donner les noms


Le Crédit Mutuel de Bretagne (filiale de Arkéa) pour la banque fournissant cette possibilité de base, la Caisse d’Épargne (filiale de BPCE) pour celle chez qui c’est une option à 1€/mois.

Pour la première c’est des cartes Mastercard qui sont générées, pour la seconde c’est des cartes Visa.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#18 28-08-2024 14:28:59

saitama-san
Membre
Distrib. : stable
(G)UI : gnome
Inscription : 28-07-2019

Re : Sécurité : Fourniture mot de passe accès client banque.

mister_g a écrit :

saitama-san a écrit :


LaBanquePostale fait également ça.
.



La banque postale demande de valider ton achat en tapant le code confidentiel (que tu es le seul a connaitre) sur l'appli android.
Et quand tu n'as pas cette appli .... cela devient plus compliqué....

saitama-san tu as déjà du taper ton code te servant à consulter tes comptes en ligne lors d'un achat sur le web ?



pour les paiements en ligne je reçois très souvent un SMS avec un code à 8 chiffres (mais c'est pas systématique) et ensuite il y a une redirection vers la banque afin de saisir son code personnel avec leur pavé numérique aléatoire. Celui qui a inventé ça mérite le goudron et les plumes.

Je n'ai jamais eu besoin d'appli android mais j'ai l'impression que je suis dans un angle mort.
Cela fait plus de 5 ans que l'on me demande une copie de carte d'identité et un justificatif de domicile mais ça ne change rien et pas un seul courrier lol

La sécurité des banques est à géométrie variable. Les FAI prélèvent même si le propriétaire du compte n'a jamais signé et validé le prélèvement.

Je sais que les pratiques bancaires sont très différentes d'un pays à l'autre malgré une réglementation européenne commune. Souvent les français interprète à leur sauce. La double authentification en France a été vendu avec une appli smartphone alors qu'il existe bien d'autre moyen de faire aussi bien (mais si on peut collecter des données pourquoi se priver). Si on ne veut pas se plier il existe souvent des solutions qui n'apparaissent nul part et vendu à prix d'or donc extrêmement dissuasif.
Aucune interopérabilité

Hors ligne

#19 28-08-2024 16:23:46

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Sécurité : Fourniture mot de passe accès client banque.

saitama-san a écrit :

pour les paiements en ligne je reçois très souvent un SMS avec un code à 8 chiffres (mais c'est pas systématique) et ensuite il y a une redirection vers la banque afin de saisir son code personnel avec leur pavé numérique aléatoire. Celui qui a inventé ça mérite le goudron et les plumes.


Je te laisse imaginer le cauchemar que ça devient quand, comme moi, on n’a pas de téléphone portable.

La légende selon laquelle les téléphones fixes seraient capables de recevoir des SMS n’est malheureusement rien de plus que ça : une légende.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#20 29-08-2024 00:15:32

Tawal
Membre
Distrib. : Debian Stable à jour
Noyau : amd64
(G)UI : Xfce
Inscription : 25-02-2021

Re : Sécurité : Fourniture mot de passe accès client banque.

Pour parler de déboire d'identification sur mon compte bancaire, j'en ai eu et en ai encore un !
J'ai permis à ma femme de se connecter à mon compte.
Ayant un téléphone Pomme, elle a utilisé l'application de la banque (la même pour le couple) pour se connecter … avec enregistrement du téléphone et identification faciale.
Ok, ça a été pratique.
Sauf que quand j'ai voulu lui faire un cadeau via un achat internet, c'est directement elle qui a reçu la demande de confirmation de l'achat.
Et je n'ai plus eu mon message SMS habituel.
Bon pas cool, désactivation de l'enregistrement ==> toujours pareil.
Appel à la banque ==> démarche à faire via l'application Pomme ==> faite ==> toujours pareil !
Seuls quelques rares sites passent encore par "l'ancienne identification".
Je pense sérieusement qu'il y a une préférence de la part des institutions …

Edit : correction orthographique.

Dernière modification par Tawal (29-08-2024 00:19:04)


Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !

Hors ligne

#21 29-08-2024 12:42:15

saitama-san
Membre
Distrib. : stable
(G)UI : gnome
Inscription : 28-07-2019

Re : Sécurité : Fourniture mot de passe accès client banque.

vv222 a écrit :

saitama-san a écrit :

pour les paiements en ligne je reçois très souvent un SMS avec un code à 8 chiffres (mais c'est pas systématique) et ensuite il y a une redirection vers la banque afin de saisir son code personnel avec leur pavé numérique aléatoire. Celui qui a inventé ça mérite le goudron et les plumes.


Je te laisse imaginer le cauchemar que ça devient quand, comme moi, on n’a pas de téléphone portable.

La légende selon laquelle les téléphones fixes seraient capables de recevoir des SMS n’est malheureusement rien de plus que ça : une légende.



envoie de pigeon voyageur avec jeton valable 15 minutes hmm au lieu du SMS
quand l'installation de télécrans sera obligatoire, ça sera plus facile pour valider

c'est bien quand l'informatique est au service de l'utilisateur pas l'inverse.

Hors ligne

#22 29-08-2024 13:08:01

Zébulon
Membre
Distrib. : Debian GNU/Linux 12 (bookworm) x86_64
Noyau : Linux 6.1.0-23-amd64
(G)UI : Xfce 4.18
Inscription : 07-07-2024

Re : Sécurité : Fourniture mot de passe accès client banque.

vv222 a écrit :

La légende selon laquelle les téléphones fixes seraient capables de recevoir des SMS n’est malheureusement rien de plus que ça : une légende.


Quand j'étais gamin je m'étais amusé à envoyer un sms sur la ligne fixe de la maison : le téléphone a sonné et en décrochant le message était lu par un robot. Donc pas si improbable. C'était autour des années 2000 donc une époque où le téléphone mobile n'avait pas encore l'hégémonie qu'on lui connaît aujourd'hui, il existait encore des solutions permettant de faire le pont. Technologie qui j'imagine n'existe plus aujourd'hui.


Nombreux savent mais peu comprennent.

Hors ligne

Pied de page des forums