Saaalut,
Comme je m'ennuie, je me suis retrouvé à vouloir financer le prochain magazine NextINpact. J'ai acheté le premier, je l'ai trouvé bien, voilà, c'est dit.
La campagne de financement est sur Ulule, comme le premier. Je sélectionne mon choix, et j'arrive au paiement. Un site tiers, évidemment, quoi d'autre ? Le site, c'est app.kolkt.com. Personnellement, je ne le connais pas, et voilà qu'il me demande d'activer le Javascript pour entrer mes informations de carte bancaire. Je grommelle, je dégaine mon uMatrix, et je clique sur les cases pour autoriser uniquement les sites que je connais. Je recharge. Surprise :
Je m'interromps pour vous demander : il n'y a que moi que ça choque ? Demander de désactiver une sécurité pour pouvoir payer ? Car oui, bloquer des contenus tiers inconnus sur un site de paiement par carte, ça me semble une évidence…
Bref, je regarde en détail la source de la page, et là, c'est la bonne grosse surprise :
<script>
(function(h,o,t,j,a,r){
h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)};
h._hjSettings={hjid:260711,hjsv:5};
a=o.getElementsByTagName('head')[0];
r=o.createElement('script');r.async=1;
r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv;
a.appendChild(r);
})(window,document,'//static.hotjar.com/c/hotjar-','.js?sv=');
</script>
hotjar.com
est sur la liste noire de uMatrix. Et ce bout de script permet de charger allègrement un script distant, sans même vérifier une signature ou un hash.
De plus, en inspectant l'un des (trop) nombreux fichiers JS, il y a un qui utilise l'API Fetch vers le script suivant : https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js
Toujours pareil, sans aucune vérification.
De la publicité Google (ou pas d'ailleurs, c'est juste pour le principe), sur le formulaire de paiement, c'en est trop, je contacte le service d'Ulule :
Bonjour,
Le site du prestataire de paiement indique la mention suivante :
« Il semble que vous ayez une extension pour bloquer la publicité (adblock, ublock, …) activée dans votre navigateur, celles-ci peuvent perturber le traitement de votre paiement, nous vous recommandons vivement de les désactiver le temps du paiement. »Cela est évidement du non-sens : si on utilise un bloqueur de contenu, c'est pour, entre autre, protéger ses informations sensibles.
Il se trouve que la page du prestataire de paiement charge du Javascript depuis le site de Google pour servir de la publicité. Je répète : de la publicité Google sur la page où l'on rentre son numéro de carte bancaire. C'est dangereux, car il est impossible de contrôler les données qui peuvent être exfiltrées par le biais de ces scripts.Merci de faire le nécessaire pour que la page de saisie des informations bancaires soit propre.
J'ai reçu la réponse aujourd'hui (un dimanche ?!) :
Les paiements effectués sur Ulule sont bien sécurisés. Sachez que les des bloqueurs sont susceptibles d'interférer avec les tentatives de paiements.
Bien à vous,
C'était à prévoir. Je leur ai répondu ce que je viens d'écrire, en beaucoup moins technique, et j'attends la suite. Je trouve ça désolant de devoir expliquer à des gens ce genre de trucs basiques. Oui, je suis dans le tas des paranos (j'utilise uMatrix), mais enfin, quand même, un formulaire de CB, ça ne devrait même pas avoir à utiliser du JS.
# Je ne suis pas d'accord.
Posté par freem . Évalué à 10.
Refuser le JS sur du paiement, c'est pas de la parano, c'est la prudence de mise, et même un peu de l'écologie!
# annule !
Posté par Anonyme . Évalué à 10. Dernière modification le 15 mars 2020 à 23:00.
une fois pour un ou plusieurs projet que je trouvé plutot cool, je me suis fait la meme reflexion que toi, mais juste sur le nom du site de paiement, comme quoi :). Du coup comme il n'y avait pas paypal j'ai abandonnée. même pas un mail (qui ne servirais à rien) à admin@ulule.com
et oui car si les informations sont volé un jour ou l'autre il vont être vraiment desolé et veilleront que cela ne se reproduit plus jamais, la main sur le coeur.
je ne suis pas particulièrement radin mais les connerie des autres avec mon argent -> SANS MOI !
petite parentèse, le site de paiements du collège de ma fille, même probleme, meme pas une banque mais une startup francaise. snif, la j'aimerais créer un compte nickel juste pour les sites pourrie avec la somme virée la veille pour le lendemain, mais la j'ai payé :'(
j'imagine que c'est la course au moins de frais possible pour ne pas que le % d'ulule se voyent trop. Du coup on se retrouve avec plein de script SUR la page de paiements. Joie !
# CNIL?
Posté par Djouls . Évalué à 4.
Peut-être contacter la CNIL? Aucune idée du suivi fait par la CNIL concernant ce genre de demande, c'est juste une idée comme ça.
[^] # Re: CNIL?
Posté par Glandos . Évalué à 2.
Je ne suis pas juriste, mais je ne pense pas qu'on puisse saisir la CNIL pour ça. C'est une éventualité bien trop faible de perte de données personnelles.
Par contre, j'ai eu cette réponse sur NextINpact qui m'incite à les contacter directement pour mettre en place un paiement. C'est sympa.
Ceci dit, si quelqu'un ici sait que la CNIL peut s'en charger, je veux essayer de trouver du temps pour leur dire.
[^] # Re: CNIL?
Posté par Zenitram (site web personnel) . Évalué à 7.
Je suis toujours un peu mitigé sur ce genre de réponse, qui ressemble à un OK on gère les chieurs mais sur le fond ça ne nous gène pas vraiment. Alors que le soucis est justement que les moins connaisseurs vont continuer à risquer leurs données bancaires.
De l'autre côté, ils n'ont pas le choix si ce prestataire leur apporte de la visibilité, plus que si ils font chez eux seuls… Dilemme parfois.
[^] # Re: CNIL?
Posté par Glandos . Évalué à 4.
Tu as raison. Et que je sache, Ulule n'impose pas d'exclusivité. Par contre, je ne sais pas s'il est possible de comptabiliser les apports externes dans la campagne. Sinon, le risque est que la campagne échoue alors que trop de paiement sont fait en dehors de la plateforme.
# carte virtuelle
Posté par mahikeulbody . Évalué à 9. Dernière modification le 16 mars 2020 à 11:56.
Je suis consterné par ce genre de découverte (et encore plus par les "réponses" qui y sont en général apportées par les entreprises concernées).
Je n'utilise plus que des cartes virtuelles pour payer sur internet, ça résout au moins l'aspect financier (il y a toujours le risque d'une fuite de données : nom, quel achat, etc…).
En plus ma carte physique est bloquée pour tout achat internet => si je la perd dans la rue, elle est inutilisable (sauf si on a lu mon code PIN par dessus mon épaule).
[^] # Re: carte virtuelle
Posté par Glandos . Évalué à 10.
C'est pas mal du tout comme procédure. Mais que faire quand sa banque ne fournit pas ce genre de service ?
Et enfin, mince, on marche sur la tête : bloquer sa carte physique pour les achats sur Internet, et n'avoir que des cartes virtuelles à usage unique. Oh, attendez, ça ne serait pas plus simple si on se faisait des virements instantanés avec préremplissage par le marchand ? Genre il n'y aurait qu'à copier/coller un champ encodé en Base64 dans un formulaire sur le site de sa propre banque, on vérifie que les informations sont bonnes, et hop. Je rêve d'un monde trop simple on dirait. Ou surtout d'un monde sans Visa/MasterCard, ce qui n'est pas prêt d'arriver.
[^] # Re: carte virtuelle
Posté par Wawet76 . Évalué à 6.
Changer de banque.
Les deux miennes le proposent gratuitement, alors que ce n'est pas pour ça que je les avais choisies à la base. Donc ça doit être courant.
[^] # Re: carte virtuelle
Posté par abriotde (site web personnel, Mastodon) . Évalué à 2.
Moi, j'ai coupé la carte pour couper l'antenne du "sans contact" et j'ai effacer le code de derrière pour les paiement internet de grosse sommes.
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
[^] # Re: carte virtuelle
Posté par nico4nicolas . Évalué à 4.
Comment savoir où couper ?
[^] # Re: carte virtuelle
Posté par eingousef . Évalué à 7.
Tu testes, tu testes, tu testes, et si y'a plus rien qui marche c'est que c'était pas ça.
*splash!*
[^] # Re: carte virtuelle
Posté par GG (site web personnel) . Évalué à 5.
Avec une lampe de poche, par transparence, tu peux voir les antennes. Suffit de quelques trous.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: carte virtuelle
Posté par jben . Évalué à 5.
Sans les voir on peut raisonner. Pour maximiser l'efficacité, il faut des boucles grandes, donc en gros à fait tout le tour de la carte.
Perso, j'ai mis un coup de perforatrice, pas loin du bord (mais de telle manière qu'il y ait encore quelques millimetres de plastique entre le trou et le bord), j'ai choisi la zone pour ne pas abimer la bande magnétique et ne pas abimer les chiffres relief. Hop, test sur un lecteur NFC, ça marche plus, parfait.
Autrement, je déconseille de couper la carte, car elle devient fragile, et au fil du temps la fissure s'agrandit. Par contre le trou n'a pas ce défaut.
[^] # Re: carte virtuelle
Posté par freem . Évalué à 3.
Vous m'avez intrigué tous les deux, alors j'ai collé un coup de DEL à travers la mienne, et on voit en effet pas mal de circuits. J'aurais bien collé un trou ou autre la dedans, mais je me demande dans quelle mesure tout ça est une antenne… parce que la forme n'est pas vraiment "longiligine".
Par exemple, il semble y avoir par mal de chiffres en transparence sur la zone de signature, et derrière eux des pistes, en forme de U dont le sommet serait resserré, chaque point connecté à un rail qui ressemble a une connexion a une puce, mais impossible de savoir ou va le "rail" parallèle de connexions d'une possible puce, vu que c'est planqué (juste en partie, on devine potentiellement l'autre, sur ma carte) par la bande magnétique (dont je n'ai jamais eu l'usage?).
Outre les chiffres, il y a aussi le mot "void" répété encore et encore dans cette zone.
On distingue bien des pistes épaisses (4, je dirais) vers le "sud" de la carte, dont seules 2 font effectivement le tour, les autres non. Je serais enclin a penser qu'il s'agit d'antennes, mais l'une de ces 2 pistes épaisses semble rallier le circuit que je devines aux dans la bande magnétique.
Du coup, si l'un de vous a plus d'infos…
[^] # Re: carte virtuelle
Posté par Kerro . Évalué à 10.
En général l'intérieur d'une carte bancaire avec paiement sans contact ressemble à ça :
Ou ça :
Une antenne qui fait approximativement le tour de la carte, un condensateur d'accordage… et c'est tout ce qui est visible.
Ce que tu vois par transparence est probablement proche de l'image du bas.
Le principe de RFID et NFC est : tout passe par une seule antenne qui sert à capter l'énergie, à recevoir des données, et à émettre des données.
En NFC la fréquence est de 13,56 Mhz et la communication se fait au minimum à 106 Kb/s, ce qui donne approximativement 10 ko/s. Pour un humain le transfert est ressenti comme instantané sur les applications courantes. Ce qui pénalise souvent est le temps de traitement.
La longueur d'onde pour 13,56 Mhz est d'environ 22 cm. L'antenne cadre dans une carte bancaire fait en principe un multiple entier de la longueur d'onde, c'est énergétiquement efficace. C'est accordé/filtré par un condensateur et parfois une bobine.
J'ai vérifié sur la photo du haut, c'est une antenne cadre qui fait 22 cm, elle a au moins 2 spires (2 tours, on ne distingue pas sur la photo, c'est peut-être 4 tours). Pour la photo du bas c'est plus compliqué car il y a également un accord avec une bobine autour du repère 1 et ce n'est pas une antenne cadre toute bête.
Sur la photo du haut il est probable que le condensateur d'accord soit le truc qui déborde à gauche des contacts de la puce. Sur la photo du bas c'est un réseau de condensateurs au repère 3 (10 petits et 2 gros) qui relient l'antenne en face avant et le circuit d'accord en face arrière. On voit que les 2 condensateurs de gauche ont été débranchés par une tranché. La qualité de fabrication est donc moyenne puisqu'il faut une étape de réglage. Ce réglage est en principe automatisé, la tranchée est effectuée au laser.
Je ne connais pas ce qui pousse à avoir des antennes plus coûteuses comme celle de la photo du bas. Peut-être la consommation de la puce. Ça doit se jouer à 10 centimes de dollar R&D incluses (quelqu'un peut confirmer l'ordre de grandeur ? Et la raison ?).
Capter l'énergie : une partie de l'énergie captée passe pas un limiteur de tension et alimente un condensateur. En NFC il y a ensuite un régulateur de tension. Pour le RFID ça dépend.
Recevoir des données : la modulation se fait en tout-ou-rien. La puce détecte si quelque chose est reçu par l'antenne ou pas. Basique.
Émettre des données : alors là je trouve que l'idée est géniale ; il n'y a pas d'émetteur :-)
Un bête transistor court-circuite l'antenne en mode tout-ou-rien. La « station de base » détecte qu'il y a plus ou moins d'énergie absorbée, donc détecte que la carte module quelque chose.
Ça coûte zéro R&D sur la carte, très peu de stockage d'énergie pendant l'émission (en émettant normalement il faudrait stocker de quoi envoyer de l'énergie, et c'est beaucoup par rapport à la puce), un seul transistor. Sérieux c'est pas une idée de hackeur badass ?!
Du côté de la station de base, il y a un antenne et un circuit de réception qu doit être bien sensible. On sait faire pour un coût relativement dérisoire par rapport a coût de l'ensemble.
[^] # Re: carte virtuelle
Posté par Kerro . Évalué à 6.
Précisions :
À part l'antenne, les condensateurs et l'éventuelle bobine d'accord, tous les composants sont dans la puce.
J'ai mal formulé.
C'est avant tout le principe de cette antenne qui nécessite un réglage : il est moins coûteux de fabriquer cette antenne en qualité moyenne et d'effectuer un réglage, que de la fabriquer tellement bien qu'elle n'a pas besoin d'être réglée.
Une puce NFC autonome, par exemple pour l'internet des objets, coûte 5 à 20 centimes à la sortie de l'usine, donc tarif de gros. Ça inclut la R&D, la fabrication, le marketing, etc.
Ces puces ne font pas de cryptographie, mais ça donne une idée du faible surcoût de conception et fabrication d'une puce NFC dans une carte bancaire.
[^] # Re: carte virtuelle
Posté par freem . Évalué à 2.
genre, mal formulé… pff je lâche le "scan" quotidien de dlfp parce qu'il y a plus de politique que de science. Ce que tu as formulé me fait mentir, et en plus c'est clair.
[^] # Re: carte virtuelle
Posté par freem . Évalué à 2.
Intéressant, je doute que tu repasses, mais, pourrais tu m'éclairer sur ça?
et se dire que la plupart des gens considerent ça sécure: une seule faille, et tout se casse la gueule. IL suffirait de pas la trimballer pour réduire les risques pourtant…
[^] # Re: carte virtuelle
Posté par Kerro . Évalué à 7.
Si j'ai besoin d'un bâton qui fasse 1 mètre à 0,1 % près (soit 1 mm), soit je mesure avec précision puis je coupe avec précision et bien droit, soit je coupe un poil plus long puis j'ajuste à la râpe. La seconde option prendra probablement moins de temps, donc moins d'argent.
Avec les radios c'est plus compliqué : chaque composant influe sur le résultat, donc à cause des écarts de fabrication on ne connaît pas d'avance la longueur précise du bâton (ou la valeur du condensateur, etc).
Il faut donc soit fabriquer tous les composants avec une bonne précision, soit ajuster à la fin.
En général il est coûteux de fabriquer des composants électroniques précis. C'est du genre 10 fois plus cher pour être 10 fois plus précis. Et pour une meilleure précision il faut changer de technologie (souvent seulement 2 fois plus chère que la première). Mais sur une carte bancaire on est déjà avec d'excellentes technologies, donc en gros on est au maxi de ce qu'il est possible de faire pour 10 centimes. Fabriquer l'antenne et les condensateurs et le reste pile poil coûterait peut-être 1 €, du coup c'est non.
En électronique, radio, micro-électronique, etc, il y a souvent plusieurs moyen d'obtenir une même fonction.
Par exemple pour obtenir une alimentation continue 5 volts à partir du secteur, on peut utiliser un transformateur avec des diodes de redressement, condensateurs, et régulateur de tension. Ou on peut utiliser une alimentation à découpage qui est bien plus complexe.
Le premier choix est simple à concevoir et facile à rendre très robuste. Le second choix est bien moins cher lorsque c'est fabriqué en série, et plus petit et léger.
Pour un récepteur radio il y a trouze milles modèles, en fonction des fréquences, des puissances, de la qualité du signal souhaitée, etc.
Dans le cas du NFC le choix est réduit car c'est une fréquence bien définie, les niveaux d'énergie sont bien bornés, la qualité de signal souhaité est connue, la taille du montage est quasi fixée, etc.
À ma connaissance il n'y a que 2 catégories de montages possibles, qui sont représentés sur les photos que j'ai mis en exemples. Les autres possibilités consomment trop d'énergie, ou nécessitent des composants trop gros pour une carte bancaire (surtout condensateur/bobine et antenne), ou sont trop chères, le tout sans amener d'avantages significatifs par rapport aux 2 méthodes présentées.
Idéalement l'antenne et les composants correspondent aux valeurs voulues. On fabrique et ça marche.
Mais dans la vraie vie c'est une autre histoire :-)
Les énergies en jeu dans le RFID sont ridicules (parce que les concepteurs originaux savaient que ça passait, ce n'est pas venu par hasard. Ça remonte au début des années 90).
La longueur d'onde est de 22 mètres (et non 22 cm comme je l'ai écrit), donc l'accord du circuit d'antenne est vraiment important pour capter un maximum d'énergie. Le moindre écart de fabrication divise facilement par 2 l'énergie captée. Un écart pour l'antenne, un écart pour le condensateur, un écart pour etc au final il ne reste plus de signal.
Il faut donc une antenne et un circuit électronique en mesure de compenser les écarts
avant de démarrer
.solution 1 : utiliser un process de fabrication super précis. Ils sont déjà très précis, donc encore plus. Donc cher
solution 2 : concevoir le circuit pour être ajusté après fabrication. Par exemple avec un coup de laser (photo du bas). J'étais persuadé que ça n'était plus fabriqué, ta carte semble prouver le contraire
solution 3 : concevoir un circuit qui s'auto-ajuste à la volée (photo du haut). En fonction du signal reçu le condensateur d'accord est plus ou moins court-circuité par des transistors pilotés par la puce
solution 4 : 2 + 3. Utilisé pour les carte longue distance (surtout en RFID). Pour les cartes bancaires je ne sais pas si ça existe car la solution 3 fonctionne très bien. Donc si on sait faire 3, on ne paie pas en plus pour 2
L'avantage de la solution 2 est que la carte démarre plus facilement car elle est déjà optimisée en étant éteinte. Je pense qu'elles démarrent à plus de 8 cm à tous les coups pour une carte bancaire
L'avantage de la solution 3 est que la fabrication est moins chère car pas d'étape de réglage. Certaines cartes doivent être collées contre l'émetteur pour se mettre en route car la dérive de fabrication fait qu'elles reçoivent mal l'énergie. Une fois la carte en route elle sait s'ajuster et le mouvement de la main n'a pas besoin d'être précis. Dans les faits personne ne s'en rend compte mais il a tellement été martelé « sans contact » que des gens ont tout de même remarqué que des cartes nécessitent de toucher la borne (pas forcément toucher, mais on ne s'amuse pas à la tenir à 4,1 mm pour certaines, et 6,5 mm pour d'autres). Du coup depuis des années l'antenne alimente uniquement le circuit d'accord, donc peu d'énergie nécessaire, donc distance de démarrage plus importante, et une fois que l'accord est bon l'alimentation est envoyée au reste de la carte car il y a de l'énergie disponible. Avec ce double étage d'alimentation elles démarrent à plus de 4 cm à tous les coups, qu'il fasse chaud ou froid, quels que soient les écarts de fabrication, etc. C'est une solution parfaite pour des cartes bancaires.
Le coût de ce système d'accord automatique est quasi uniquement la R&D. Ça prend moins de 10 % de la surface de la puce NFC, donc moins de 10 % du coût de gravure, qui est lui-même une fraction du coût de fabrication (à la louche c'est 0,1 centime pour silicium + gravure + tests. Avec un wafer on en fabrique 30.000 d'un coup, il y a beaucoup de pertes à cause de l'épaisseur des traits de coupe). Bref la R&D coûte zéro lorsqu'on en fabrique plus de 100 millions par an (je ne pense pas qu'il existe de fabricant en dessous de 100 millions par an pour un même modèle, sauf trucs spéciaux mais la R&D sert pour plusieurs modèles).
[^] # Re: carte virtuelle
Posté par Glandos . Évalué à 3.
Moi, j'aimerais bien qu'il y ait un interrupteur pour le sans contact. Par exemple, j'imagine qu'il est réaliste d'avoir une simple zone où l'on met son doigt qui fait contact et permet d'activer l'antenne. Mais c'est peut-être trop cher ? En tout cas, si on le place bien, il n'y a aucun souci pour le côté pratique.
[^] # Re: carte virtuelle
Posté par Jean-Baptiste Faure . Évalué à 2.
Pourquoi faire ? C'est très pratique le sans contact, surtout en ce moment.
Il suffit d'avoir un portefeuille en aluminium. Exemple, mais il doit en exister d'autres.
[^] # Re: carte virtuelle
Posté par Glandos . Évalué à 2.
Je vais le prendre comme de l'ironie, et je vais le réexpliquer au premier degré : se balader avec 95g d'alu juste pour une fonctionnalité que je ne veux pas, c'est bizarre :)
Et puis, il m'est déjà arrivé de manipuler ma carte pour l'insérer trop prêt du lecteur RFID, et PAF. Bien sûr, la carte ayant refusé le paiement, il a fallu que le commerçant recommence la demande. Si on doit tenir la carte comme il faut pour que ça marche, ça ne me semble pas contraignant, et en plus, pas besoin d'aluminium :)
[^] # Re: carte virtuelle
Posté par Jean-Baptiste Faure . Évalué à 2.
Si tu ne veux pas du sans-contact, il suffit de demander à ta banque de le désactiver. Ma banque me permet de le faire en ligne. Et je peux le réactiver quand je veux. J'imagine que les autres font peut-être pareil.
[^] # Re: carte virtuelle
Posté par Glandos . Évalué à 3.
Aaaaaah, il suffit. Selon les banques, ça va de "désactivé par défaut" à "il faut nous envoyer un courrier recommandé signé de votre main avec 3 formulaires". Je n'ai volontairement pas exagéré. Quand j'ai ouvert un compte dans ma banque actuelle, j'ai découvert que le processus pour désactiver le sans-contact, c'était d'abord de nous envoyer une carte avec, puis de nous demander de la détruire pour la rééditer sans la fonctionnalité.
Ce qui me gêne, c'est que les banques forcent ce choix, avec des procédés commerciaux trop suspicieux.
Et au final, j'ai une carte avec le sans-contact "désactivé", mais je ne sais pas si ce sont juste les paiements qui sont désactivés ou toute la puce. Au tout début, il était possible de lire des informations sur la carte, à distance et discrètement.
Au moins, sur un smartphone, le NFC nécessite le déverrouillage, donc une utilisation par son propriétaire.
[^] # Re: carte virtuelle
Posté par Jean-Baptiste Faure . Évalué à 2.
D'où l'intérêt du portefeuille alu, car le problème de lecture clandestine n'est pas propre aux cartes bancaires, il concerne aussi les cartes d'abonnement de transport genre navigo.
[^] # Re: carte virtuelle
Posté par seveso . Évalué à 6. Dernière modification le 07 avril 2020 à 09:18.
Il très probable que ça ne désactive que la fonctionnalité de paiement dans le terminal de paiement du commerçant. Je soupçonne que la carte NFC continue d'être interrogeable avec un lecteur NFC, un smartphone avec Android par exemple. Et donc la carte resterait "piratable sans contact".
En 2012 Renaud Lifithitz donnait une conférence à Pas Sage En Seine, Et PAF la carte NFC, expliquant de quelle façon (bâclée) le paiement sans contact avait été implémenté sur carte bancaire. Pour résumer, ça utilise les mêmes technologies que celles utilisées dans les pass Navigo, mais sans chiffrement.
Il a mis à disposition un bout de code à compiler soi-même pour installer une appli Android simpliste (readnfccc) qui lorsqu'on approche une carte bleue du smartphone (compatible NFC évidemment) affiche le prénom, le nom, les 16 chiffres de la carte et les dates et montants des 20 dernières dépenses effectuées avec cette carte (avec ou sans contact).
Entre temps, la protection de la vie privée a été un petit peu améliorée il me semble : désormais seuls les 8 premiers chiffres de la carte bleue sont récupérables, les autres sont remplacés par de X. Pareil pour le nom de famille, seule la première lettre est lisible. Pour le prénom, je ne sais plus. Mais pour les 20 derniers paiements, rien n'a changé.
[^] # Re: carte virtuelle
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 2.
Le paiement sans contact est tout de même limité à un montant assez faible par semaine.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: carte virtuelle
Posté par Crao . Évalué à 1.
L'appli de paiement sans contact de ma banque me permet d'avoir les mêmes plafond qu'avec la CB insérée dans le lecteur de paiement, donc c'est quand même possible de faire du sans contact avec des sommes élevées.
[^] # Re: carte virtuelle
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 2.
Mais ça se paramètre.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: carte virtuelle
Posté par Glandos . Évalué à 3.
Perdu : https://www.forbes.com/sites/thomasbrewster/2019/07/29/exclusive-hackers-can-break-your-credit-cards-30-contactless-limit/
Le rapport en PDF de la conférence BlackHat : https://i.blackhat.com/eu-19/Wednesday/eu-19-Galloway-First-Contact-Vulnerabilities-In-Contactless-Payments-wp.pdf
En gros, il y a des vulnérabilités, et les plafonds n'existent pas vraiment. Les chercheurs ne sont pas allés chercher une limite, mais quand même.
On nous dira que ce n'est que sur Visa, et que ça a peut-être changé depuis. Mais le sans-contact, c'est le self-service : à la moindre faille, c'est scalable à souhait.
[^] # Re: carte virtuelle
Posté par Kerro . Évalué à 5.
Bonne idée.
La mise en œuvre technique est toute bête : un capteur capacitif et c'est bon, il suffit d'une zone métalisée à l'intérieur de la carte à l'endroit où poser le doigt.
# Quelques explications sont importantes
Posté par Florent Messa (site web personnel) . Évalué à 10.
Bonjour,
Je vous remercie de votre commentaire et de votre message sur le support.
Pour ne pas tout mélanger, il me parait important d'apporter des explications sur le caractère obligatoire d'avoir JavaScript activé afin d'effectuer un paiement sur Ulule.
La page de paiement (app.kolkt.com) repose sur l'utilisation des kits de développement proposés par nos PSPs (par exemple mangopay kit) afin d'éviter que les cartes bancaires passent sur nos serveurs. Le fait de passer par nos PSPs en direct permet de nous reposer sur eux pour l'envoi de ces informations et de nous abstraire des contraintes liées à cette diffusion.
Je suis également utilisateur de uMatrix, celui-ci est très sensible et bloque des services tiers qui nous permettent d'améliorer continuellement la qualité de notre service :
- hotjar est un outil nous permettant de detecter des problèmes d'UX en enregistrant les mouvements des utilisateurs et les parcours qui peuvent poser problème
- sentry est un outil de reporting d'erreurs qui nous permet de corriger des bugs éventuels ou d'anticiper des problèmes réseaux
En ce qui concerne le script responsable de l'appel vers Google ads, il permet de détecter la présence d'un blocker installé et activé sur le navigateur qui perturberait le workflow, le fichier appelé (via HTTP en HEAD) n'est pas ajouté dans la page. Ce script est clairement perfectible et nous travaillons à l'améliorer pour réduire la gêne.
Je ne pourrai pas apporter des réponses sans essayer tant bien que mal d'apporter des solutions pour ces contraintes. Etant moi-même utilisateur de blocker et développeur, vous trouverez deux nouvelles méthodes de paiements disponibles sur le projet "Next INpact" : Paylib (disponible chez toutes les banques) & virement bancaire.
Je reste évidemment dans le coin pour répondre à des questions supplémentaires.
[^] # Re: Quelques explications sont importantes
Posté par Glandos . Évalué à 10.
Bonjour,
Je n'aurais pas attendu une réponse en direct sur LinuxFR, mais ça fait plaisir.
Les explications tiennent la route, mais c'est malheureusement toujours un problème : il ne devrait pas y avoir d'analyse comportementale sur la page d'informations. Que ce soit pour le bien ou le mal, puisque la frontière entre les deux est trop vite franchie.
Je n'avais pas fait attention que l'appel à GoogleAds n'est pas injecté. J'imagine que uMatrix fait son travail, puisqu'il est possible de transférer des données rien qu'en appelant des URIs.
Ceci étant dit, je dois dire merci pour l'ajout des deux autres solutions de paiement qui reposent toutes deux, soit sur un tiers de confiance que ma banque a choisi (PayLib), soit sur aucun tiers du tout (virement) : c'est une très bonne alternative.
[^] # Re: Quelques explications sont importantes
Posté par benoar . Évalué à 9.
Je sais pas si t'es au courant, mais les dernières start-up à la mode pour le paiement en ligne sont justement celles qui ne nécessitent rien d'autre qu'une analyse de comportement pour valider le paiement ! Je n'ai pas de lien sous la main, mais de mémoire Google y travaille également. Plus besoin de login ou de mdp, juste du JS partout pour t'analyser et t'identifier sans que tu ne t'en rendes compte ! Elle est pas belle la vie ?
[^] # Re: Quelques explications sont importantes
Posté par Grunt . Évalué à 6.
Je dois avoir une façon bizarre d'utiliser un ordinateur, parce que je me fais de temps en temps traiter de robot avec le déploiement de ce genre de conneries.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Quelques explications sont importantes
Posté par benoar . Évalué à 6.
Oui, moi aussi. Pôle-Emploi incite fortement à aller sur LinkedIn, mais sur ce réseau je suis traité de robot et ne peut y accéder… bientôt l'exclusion sera sévère.
[^] # Re: Quelques explications sont importantes
Posté par eingousef . Évalué à 6.
Rassure-toi, Pôle Emploi est maintenant entré dans le modernisme et s'est équipé d'un réseau social pro presque aussi mal fait que Linkedin.
*splash!*
[^] # Re: Quelques explications sont importantes
Posté par Zenitram (site web personnel) . Évalué à 8. Dernière modification le 16 mars 2020 à 17:37.
Et vous ne vous êtes pas demandé pourquoi?
Il y a toujours "une bonne raison" pour laisser fuiter des données ailleurs, sinon ça ne serait pas marrant. Reste à savoir si c'est légitime… Surtout quand vous ne vérifiez pas que le script n'a pas changé (donc vos fournisseurs tiers sont en mode open bar… Et pour avoir de la sécurité il faut que vos fournisseurs tiers promettent de ne pas changer le script) si j'en crois le journal.
Pourquoi pas, en plus de mettre une sécurité sur l'intégrité des scripts, par exemple ne pas laisser fuiter les données utilisateur vers des fournisseurs tiers en intégrant sur vos serveurs les fonctionnalités mises en avant? Et demandez-vous pourquoi vos fournisseurs tiers ne vous permettent pas de le faire si c'est le cas… Les données, ça a de la valeur de nos jours.
Au pire si on ne pense qu'à soit (personnes ayant uMatrix), juste passer en mode "on détecte pas les problème d'UX" si le script ne peut être chargé?
C'est un gros plus mais les gens ne connaissant pas trop la technique laisseront toujours leurs données potentiellement fuiter.
Je comprend que certes vous ne pouvez pas financièrement vous permettre d'aller ocntre la mode, mais perso j'espère que la mode de 36 scripts tiers non contrôlés passera avec la sensibilisation à la valeur de revente des données utilisateur, et que Mozilla et/ou Apple (je ne compte par trop sur Google pour être le premier à sensibiliser, il suivra plutôt… Bon, et pour Mozilla ils n'ont plus la même puissance de frappe qu'avant… OK, reste Apple dont les utilisateurs sont "importants" pour les sites web et Apple a déjà démontré faire des geste dans la direction de la vie privée dans son navigateur, ce qui a fait râler du monde qui aime ses données "bankable" :) ) seront de plus en plus stricts sur ces fuites. Ca obligera tout le monde à passer sur des solutions faisant moins fuiter des données utilisateur.
PS : merci d'avoir pris le temps d'écrire ici, c'est utile (d'où la note actuelle de votre commentaire :) )
[^] # Re: Quelques explications sont importantes
Posté par CHP . Évalué à 6.
Euh… Que quelqu'un compte sur Apple pour sauver la vie privée des utilisateurs, y'a que moi que ca interpelle ?
[^] # Re: Quelques explications sont importantes
Posté par Zenitram (site web personnel) . Évalué à 3. Dernière modification le 17 mars 2020 à 11:23.
euh… Sans doute. Apple fait du business contre la revente de données privées à la Google et vend des choses en "direct" (pas de gratuit c'est vous le produit), et c'est Apple qui fait "chier" les publicitaires, pas Google (ni Mozilla, et même si ils faisaient en avance par rapport à Apple des blocages, ce qu'ils ne font pas, ils n'auraient pas le même impact sur les autres acteurs).
Si tu souhaites dépasser tes préjugés, des exemples de lecture :
La solution d'Apple pour sévir contre le tracking publicitaire dans Safari
Apple est-il en train de tuer la pub Web sur mobile ?
The Impact of Intelligent Tracking Prevention on Your Google Analytics Data
Note : il semble que ces derniers temps Mozilla revient (après avoir mis du Google Analytics sur son site web…) sur la vie privée, avec le "container Facebook" et autres anti-trackers, on saura sur la durée jusqu'où ils vont aller (car Google peut les "punir" en coupant les flux financier rapidos si ils vont "trop" loin à leur goût… étonnamment pas encore de "container Google"…)
[^] # Re: Quelques explications sont importantes
Posté par CHP . Évalué à 4.
La main gauche fait des trucs pour que les autres entreprises ne fassent pas n'importe quoi avec les données des utilisateurs, pendant que la main droite flique les utilisateurs dans les moindres détails. En gros, ils veulent pas que les autres fassent ce qu'ils font eux-memes. C'est sur ça que reposent tes espoirs ?
[^] # Re: Quelques explications sont importantes
Posté par steph1978 . Évalué à 3.
Ils ne le font pas par altruisme mais par positionnement business.
Donc il faut juste être conscient de ça et profiter de leur force marketing.
[^] # Re: Quelques explications sont importantes
Posté par Tonton Th (Mastodon) . Évalué à 3.
Ah, ok, c'est un peu la philosophie du « coder vite et debug en prod' ». C'est digne de figurer dans ce fameux site, là où il y a des Gifs marrants.
# Rien de nouveau
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 10.
Ça n'a rien de nouveau, cela fait des années que je navigue avec JavaScript désactivé, avec un bloqueur de publicité, etc. Et ce dont j'ai pu me rendre compte, c'est qu'il n'y a à peu près aucun prestataire de paiement dont le site fonctionne dans ces conditions. Du coup, j'ai un profil de navigateur non sécurisé, que j'utilise… à peu près seulement pour les trucs relatifs à des paiements.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.