Journal Carte bancaire piratée, la faute à qui ?

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
17
8
avr.
2023

Bonjour Nal,

J'ai reçu ma nouvelle carte bancaire vers la fin du mois de Mars, et je l'ai activée au premier avril avec un petit achat en pharmacie.

J'ai ensuite mis à jour mon moyen de paiement sur Amazon le 4 avril, pour un achat également.

J'ai ensuite eu le plaisir d'avoir un appel de ma banque ce matin concernant 2 transactions douteuses :

  • le 4 avril à 22h30, un paiement de 13.90€ à Amazon, depuis les États Unis
  • le 7 avril à 22h30, un paiement de 13.90€ à Amazon, depuis les États Unis

Je ne reconnais aucune de ces 2 transactions et donc on décide de faire opposition à la carte immédiatement, et je vais être remboursé de ces 2 transactions.

Je lance plusieurs scan intensifs de mon ordinateur pour éliminer l'hypothèse du virus, ou du keylogger. Rien n'a été trouvé.

Je contacte le service client de Amazon pour leur demander à propos d'une potentielle fuite de données, ils n'ont pas d'information, et ils n'ont pas de trace de ces transactions dans leur systèmes. L'agent du service client suggère qu'il s'agit peut être d'un faux libellé sur la transaction, et que le paiement n'a pas été fait à Amazon.

J'ai quand même plusieurs incompréhensions, j'ai normalement souscrit auprès de ma banque (la Caisse d'Épargne) à une option qui active la double authentification pour tout achat fait avec une CB, je dois sur mon téléphone ouvrir l'application de la banque, rentrer mon code secret, et valider l'achat. Je n'ai pas reçu de notification pour ces 2 transactions.

Autre point étrange, je n'ai aucune trace de ces transactions dans mon relevé bancaire. Je devrais au moins voir celle du 4 avril car plus de 3 jours (délais usuel pour qu'un paiement par CB apparaisse sur mon compte) se sont écoulés.

Du coup, est-ce moi qui ait fait fuiter par mégarde ma carte bancaire ?
Est-ce Amazon qui a fait fuiter mes coordonnées bancaires ?
Est-ce la pharmacienne à côté de chez moi ?

Mystère et boule de gomme. A ton avis, qu'est-ce qu'il s'est passé ? Et quelles solutions existent pour éviter ce genre de problème à l'avenir ?

  • # Je sais pas mais...

    Posté par  . Évalué à 10.

    Que j'aurais aimé que les banques construisent un système de paiement sur internet basé sur les virements avec un identifiant de compte 'public' n'acceptant que des transactions de type credit…

    De suite, toute cette classe de fraude ne serait pas possible…

    • [^] # Re: Je sais pas mais...

      Posté par  (site web personnel) . Évalué à 3.

      Personnellement sur Internet j'utilise les cartes à usage unique de Revolut. L'inconvénient majeur c'est qu'on ne peut pas sauvegarder la carte et qu'on doit donc retaper un numéro complet + date + code supplémentaire à chaque fois. Mais au moins y'a pas de risque que quelqu'un réutilise les données.

      Ça force aussi parfois à repayer (quand la carte est juste autorisé et que le paiement à lieu plus tard mais qu'on a utilisé et donc détruit la carte pour un autre paiement entre temps) mais ce n'est pas très gênant au final.

      • [^] # Re: Je sais pas mais...

        Posté par  . Évalué à 3. Dernière modification le 10 avril 2023 à 09:03.

        Les banques sont obligées de rembourser les paiements frauduleux sur une carte bancaire. C’est la base du système: faciliter grandement les paiements (le business, c’est bien), avec un système super pas sécurisé du coup, la fraude étant gérée d’une part par les banques (ce que tu leur payes pour avoir une carte bancaire en premier lieu), et part les états d’autres part (la fraude bancaire, ça rigole pas trop, touche pas au grisbi).

        Bref, tout ça pour dire, les cartes à usage unique, c’est cool, mais ça resoud pas vraiment un problème concret - à part celui de remplir un peu plus les poches de la banques, vu que tu payes toujours mais la banque a moins de fraude à gérer. C’est surtout une feature pour la banque, pas pour toi, vu que tu t’emboucannes a retaper un numéro à chaque fois.

        Linuxfr, le portail francais du logiciel libre et du neo nazisme.

        • [^] # Re: Je sais pas mais...

          Posté par  . Évalué à 6.

          Bref, tout ça pour dire, les cartes à usage unique, c’est cool, mais ça resoud pas vraiment un problème concret

          Ça ne résout pas quel problème concret ?

          à part celui de remplir un peu plus les poches de la banques, vu que tu payes toujours

          Pourquoi "un peu plus" ? Mon compte est gratuit, carte physique et cartes virtuelles incluses.

          C’est surtout une feature pour la banque

          Si c'est tellement une feature pour la banque, pourquoi sont-elles si rares à l'offrir gratuitement ?

          pas pour toi, vu que tu t’emboucannes a retaper un numéro à chaque fois.

          Bon, déjà, toi aussi tu le retapes à chaque fois (à moins que tu laisses Amazon le stocker pour toi). Je suppose que tu voulais plutôt dire que je suis obligé d'en re-générer un nouveau à chaque fois.

          Alors je sais pas pour toi, mais moi je ne fais pas des transactions internet toutes les 5'. Générer un nouveau n°, ça me prend moins de 30" ce qui je trouve n'est pas cher payé pour le gain conséquent de sécurité apporté.

          Tu donnes l'impression de quelqu'un dont la banque n'offre pas ce service et qui préfère le dénigrer plutôt que de changer de banque.

          • [^] # Re: Je sais pas mais...

            Posté par  . Évalué à 1.

            Ça ne résout pas quel problème concret ?

            Celui de t’éviter de perdre des sous à cause de fraude sur internet. La banque doit te rembourser, et tu peux pas vraiment éviter d’avoir une carte physique (cf le sujet du journal, t’es donc toujours sujet à la fraude et le probleme est pas franchement resolu)

            Pourquoi "un peu plus" ? Mon compte est gratuit, carte physique et cartes virtuelles incluses.

            Quelque part, j’en doute. Ta banque ne bosse pas à l’œil, visa et leurs copains non plus.

            Si c'est tellement une feature pour la banque, pourquoi sont-elles si rares à l'offrir gratuitement ?

            Parce qu’elles peuvent te marketer ça comme une avancée pour toi, et te vendre le service, plutôt que d’admettre que c’est surtout eux qui y gagnent? Et aussi parce qu’il faut une infrastructure derrière pour faire tourner le truc, et que ça met un gros frein à l’utilisation de la carte.

            C’est une manière de segmenter le marché un peu plus et optimiser leur business. Toutes les banques n’ont pas forcément envie d’aller après cette clientèle.

            Certains préfèrent t’offrir un produit bizarre plutôt que de te voir refuser d’utiliser ta carte sur internet. Ça squeeze 0.5% de plus de chiffre d’affaire, ils sont content, et toi aussi.

            Je suppose que tu voulais plutôt dire que je suis obligé d'en re-générer un nouveau à chaque fois.

            et ton numéro généré il se remplit tout seul dans le formulaire, maître capello? Si tu me dit que tu le copie dans ton presse papier, je vais rigoler un grand coup, v’la le « gain de securite conséquent ».

            Bon, déjà, toi aussi tu le retapes à chaque fois (à moins que tu laisses Amazon le stocker pour toi).

            Je laisse Amazon le stocker pour moi, oui. Comme dit au dessus, si j’ai une transaction frauduleuse, j’appelle la banque et c’est remboursé. Oui, ca m’est arrivé une fois, en 25 ans.

            Pour les achats occasionnels, c’est mon os qui le remplit pour moi (ios/macOS font ça depuis un bail, et en évitant le presse papier). Et une fois tous les 6 mois, je tombe sur un site mal branlé où, oui, il faut sortir la carte physique.

            Linuxfr, le portail francais du logiciel libre et du neo nazisme.

            • [^] # Re: Je sais pas mais...

              Posté par  . Évalué à 8.

              et ton numéro généré il se remplit tout seul dans le formulaire, maître capello?

              J'ai la désagréable impression qu'au lieu d'avoir un échange normal, tu me prends pour un demeuré. Bon, je vais quand même répondre à tes autres réponses.

              Celui de t’éviter de perdre des sous à cause de fraude sur internet. La banque doit te rembourser, et tu peux pas vraiment éviter d’avoir une carte physique (cf le sujet du journal, t’es donc toujours sujet à la fraude et le problème est pas franchement résolu).

              J'ai bloqué les transactions internet pour ma carte physique donc, si, le problème est résolu. Et si j'ai une fraude avec une carte virtuelle, je suis couvert par la banque de la même façon que pour une carte physique.

              Quelque part, j’en doute. Ta banque ne bosse pas à l’œil, visa et leurs copains non plus.

              Es-tu en train suggérer que je mens ?! Non, les banques ne bossent pas à l’œil, elles se rémunèrent notamment sur les transactions carte (mais peu importe que la carte soit physique ou virtuelle).

              Parce qu’elles peuvent te marketer ça comme une avancée pour toi, et te vendre le service.

              Puisque je te dis que je paye 0€ pour la gestion de mon compte avec une carte physique et les cartes virtuelles ! C'est si dur à croire ou c'est parce que c'est une sérieuse épine dans ton argumentation ? Il suffit de vérifier sur internet.

              Si tu me dit que tu le copie dans ton presse papier, je vais rigoler un grand coup, v’la le « gain de securite conséquent ».

              Quand bien même je devrais le retaper, je trouverais que ça en vaut largement la peine (j'admets cependant que pour un professionnel faisant plein de transactions internet tous les jours ça puisse être un problème). Mais en l'occurrence, j'ai confiance dans mon système Linux (qui plus est, sous wayland, ce qui règle le problème du presse-papier ouvert à tous vents).

              Je vais en rester là.

              • [^] # Re: Je sais pas mais...

                Posté par  . Évalué à 2.

                Revolut fait payer les frais de fabrication/envoi des cartes physiques environ 6 € pour une carte standard avec un compte de base sans frais de tenu de compte. Il y a des cartes plus "jolies" graphiquement mais plus chères. Pour une carte valable 5 ans, c'est presque gratuit.
                Il y a d'autres établissements qui proposent des cartes gratuites. Je parle d'établissements car toutes ne sont pas des banques. Ces établissements viennent parfois juste se positionner entre un compte classique et le commerçant pour prélever les frais aux commercants. Comme quoi les cartes doivent vraiment être une pompe à fric.
                Sans parler de ceux qui proposent du cashback pour chaque utilisation de la carte, mais ca semble plus répandu en dehors de l'UE qui doit avoir des lois pour limiter les commissions.
                Le pire, c'est les cartes "tickets restaurants" sont encore plus élevés.

                • [^] # Re: Je sais pas mais...

                  Posté par  . Évalué à 3. Dernière modification le 11 avril 2023 à 13:06.

                  J'allais oublier un point important. J'aime le service de numéro virtuel depuis qu'on a eu une fraude: carte bloquée, 2 semaines pour avoir la nouvelle carte => l'enfer. J'y vois donc un vrai service pour moi, même livrée en 2 jours une carte me manquerait.

                  Rien du tout de mon côté mais une condition de revenu et d'utilisation pour les cartes avec le plus de services.
                  Effectivement, les cartes sont une pompe à fric et le "sans frais de tenue de compte" est payé par les commissions. Je verrais l'intérêt dans le fait de ne plus avoir d'impayés, possiblement ces frais sont rentabilisés par rapport à tous les "petits" chèques impayés.
                  Les commerçants qui s'appuient sur une clientèle plus fidèle se passent de carte bancaire (coiffeur, dentiste, … dans mon cas. Et j'ai l'air bête quand j'oublie mon carnet de chèques ;-) ).

                  Par contre, quelle quantité de clients fuit un commerçant qui n'accepte pas la CB ? Et combien de commerçants finissent par utiliser la CB alors qu'ils avaient peu d'impayés ? A eux de nous le dire mais je n'ai jamais vu de pétition ou campagne de communication à ce sujet. Le jeu en vaut la chandelle ou bien les banques menacent de réduire la capacité à avoir des crédits pour les faire taire ? Je ne sais pas

              • [^] # Re: Je sais pas mais...

                Posté par  . Évalué à -6.

                J'ai la désagréable impression qu'au lieu d'avoir un échange normal, tu me prends pour un demeuré

                D’un autre côté, c’est toi qui a fait le pédant à m’expliquer qu’il fallait pas taper le numéro de carte, mais le générer.

                J'ai bloqué les transactions internet pour ma carte physique

                Oui, et comme on le voit dans ce général, les mécanismes anti fraude ne sont pas toujours appliqués.

                Es-tu en train suggérer que je mens ?!

                Non, plutôt que t’es soit très naïf, soit t’as raté le fait que quelque part, ta banque se sert. Ça te convient probablement, et c’est très bien. Chacun fait fait fait ce qu’il lui plaît plaît plaît, comme dit le poète.

                Je réagissais surtout au fait que ces numéros de carte virtuelles sont surtout un avantage pour les banques, pas pour les porteurs de cartes.

                Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                • [^] # Re: Je sais pas mais...

                  Posté par  . Évalué à 3.

                  Oui, et comme on le voit dans ce général, les mécanismes anti fraude ne sont pas toujours appliqués.

                  Ma carte est réellement bloquée pour les transactions internet. J'ai pu le vérifier à maintes reprises au début quand il m'arrivait d'oublier ce blocage.

                  Non, plutôt que t’es soit très naïf, soit t’as raté le fait que quelque part, ta banque se sert.

                  La reformulation est bien tentée mais au fond tu me prends toujours pour un débile. La question ici n'est pas de savoir si les banques se servent (c'est évident) mais si la mienne se sert sur le service "cartes virtuelles". La réponse est non et je me fiche que tu me crois ou pas. Zenitram qui a, je crois, la même banque pourrait te le confirmer mais il n'a sans doute pas la même patience que moi.

                  Je réagissais surtout au fait que ces numéros de carte virtuelles sont surtout un avantage pour les banques, pas pour les porteurs de cartes.

                  Tu n'as aucun argument pour dire ça. Ou plutôt si, un seul : elles feraient payer un service - présenté comme un avantage pour les gogos comme moi - alors qu'elles en seraient les principales bénéficiaires. Mais on en revient toujours au même point : je ne paye pas ce service (cf. point ci-dessus) et très peu de banques le proposent, ce qui rend ton argumentation pour le moins contre-intuitive :-)

                  • [^] # Re: Je sais pas mais...

                    Posté par  . Évalué à -10. Dernière modification le 11 avril 2023 à 19:20.

                    C'est moi, ou j'ai touché un nerf? Le fait que le gain est surtout pour la banque a l'air de vachement t'irriter quand même.

                    Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                    • [^] # Re: Je sais pas mais...

                      Posté par  . Évalué à 3.

                      LOL !

                      Bonne soirée quand même :-)

                    • [^] # Re: Je sais pas mais...

                      Posté par  (site web personnel) . Évalué à 4.

                      La mauvaise foi est très palpable dans tes commentaires quand même.

                      Je connais très peu de banque qui font payer les CB virtuelles.

                      Pour ma société, je suis chez Qonto, les CB physiques coûtent 3-4€/mois de mémoire, les CB virtuelles coûtent 0€, et les CB virtuelles à usage unique coûtent 0€.

                      Par contre, comme toutes banques, il y a une commission sur les paiements par CB.

                      Que ce soit profitable pour les banques ou pas, au final, on s'en cogne un peu non ? Le service est gratuit et il supprime une classe de problèmes pour les usagers. C'est ce qui compte.

                      https://link-society.com - https://kubirds.com - https://github.com/link-society/flowg

                      • [^] # Re: Je sais pas mais...

                        Posté par  . Évalué à 6.

                        Lors du lancement du service la mienne l'offrait, maintenant c'est payant. C'est comme pour monéo un truc qui leur fait faire des économies est facturé au client comme une innovation. Le pire c'est que ça marche.

                        Vu que c'est surtout un problème pour eux, je vais pas payer plus cher.

                        Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                      • [^] # Re: Je sais pas mais...

                        Posté par  (site web personnel) . Évalué à 2.

                        Je pense que ce que Groumly voulait dire, c'est que la banque se rattrape ailleurs, dans les frais de gestion de comptes par exemple, voire les pénalités d'agios…

                        « Il n’y a pas de choix démocratiques contre les Traités européens » - Jean-Claude Junker

                        • [^] # Re: Je sais pas mais...

                          Posté par  (site web personnel) . Évalué à 3. Dernière modification le 13 avril 2023 à 01:34.

                          Que ce soit profitable pour les banques ou pas, au final, on s'en cogne un peu non ?

                          Je reprend l'exemple de Qonto.

                          L'option CB virtuelle est gratuite. C'est à dire que souscrire à cette option ne change pas les termes du reste du contrat.

                          Si pour rendre viable l'option CB virtuelle gratuite, la banque décide de se rattraper sur autre chose, c'est présent dans les contrats de tout le monde, y compris ceux qui n'ont pas l'option.

                          On revient donc à la case départ : cette option n'est pas un coût supplémentaire.

                          https://link-society.com - https://kubirds.com - https://github.com/link-society/flowg

                          • [^] # Re: Je sais pas mais...

                            Posté par  . Évalué à 1. Dernière modification le 13 avril 2023 à 14:43.

                            On revient donc à la case départ : cette option n'est pas un coût supplémentaire.

                            Oui et non :

                            • Le système de CB et troué / mal sécurisé pour les transactions sur internet, la base c'était cela.

                            • Tu compenses, pour te protéger (et éviter des ennuis bien entendu) le boulot de la banque qui est de faire quelque chose qui fonctionne sans risque (c'est comme cela qu'on a vendu la CB, aussi, à la base)

                            • On se contente du fait qu'on ne te factures pas en plus un service qui te demande plus de travail à chaque transaction et qui bénéficie financièrement à la banque deux fois : en n'ayant pas à rembourser les fraudes et en n'ayant pas a investir pour faire quelque chose qui règle le problème de sécurité.

                            Je pense pas qu'on puisse réellement se réjouir de la façon dont le problème est géré, oui on évite les ennuis mais on a rien réglé du tout, on contourne un problème qui ne devrait pas exister.

                            • [^] # Re: Je sais pas mais...

                              Posté par  . Évalué à 1.

                              L'art d'avoir toujours raison, c'est ça ?

                              https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

                        • [^] # Re: Je sais pas mais...

                          Posté par  (site web personnel) . Évalué à 3.

                          la banque se rattrape ailleurs, dans les frais de gestion de comptes par exemple, voire les pénalités d'agios…

                          Ni l'un ni l'autre par exemple chez Fortuneo et je crois Boursorama.

                          Tu oublies la troisième manière, assez fréquente chez les banques en ligne : filtrer les clients et n'accepter que ceux qui ont d'assez bons revenus ou d'assez grosses économies, autonomes dans leurs opérations bancaires, et qui utilisent activement leurs moyens de paiement. Des gens qui vont aussi souvent faire des opérations en bourse, ou des emprunts (et plutôt bien les rembourser). Bref, de bons clients.

                          Elles économisent pas mal de frais en évitant les mauvais clients, elles minimisent leurs coûts d'agences et d'employés, ce qui leur permet de ne pas trop perdre en offrant un certain nombre de services payants chez les autres.

                          • [^] # Re: Je sais pas mais...

                            Posté par  . Évalué à 3.

                            Et surtout, dans le cas des CB virtuelles, c'est un gain non négligeable pour la banque. Ça leur a coûté un développement, (ou un produit sur étagère) et ça leur évite de devoir assumer les paiement frauduleux évités;

                            sans oublier que cela leur permet de faire une pub sur un service qui est, à la base, là pour palier à un défaut du moyen de paiement.

                            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                        • [^] # Re: Je sais pas mais...

                          Posté par  . Évalué à 8. Dernière modification le 17 avril 2023 à 00:14.

                          les frais de gestion de comptes

                          Tu me rappelles qu’il y a un certains nombres d’années certaines banques ont commencé à faire payer des, je cite, « frais de tenue de compte ». Personnellement ça m’a mis sur le cul, mais comme rarement, sur les deux fesses. Je reformule : les banques, ont estimé, qu’elles pouvaient facturer spécifiquement ce service premier, primordial qu’elles proposaient. Le service fondamental sans lequel elles ne pourraient tout simplement en fournir absolument aucun autre…

                          Le principe d’une banque à la base c’est qu’elle te fournit le service de gérer ton argent, de le garder en sécurité, en échange qu’elle puisse utiliser cet argent quand toi tu ne t’en sers pas, pour investir pour leur compte. C’est comme ça qu’une banque se rémunère principalement, depuis que les banques existent. Alors déclarer que se service en particulier puisse faire l’objet de frais spécifiques je trouve que c’est le summum du foutage de gueule.

                          Perso, après avoir dû envoyer chier trois banques qui m’ont fait des trucs inadmissibles (des actes contraires à la loi, des tentatives de vol on peut dire en fait) j’en ai enfin trouvé une qui ne me fait RIEN payer, aucun frais à part les frais pour découvert, mais à un niveau modique, c’est à dire sans des dizaines d’euros forfaitaires et à un taux d’intérêt proche du taux d’usure. Et ça je trouve que c’est normal, un découvert c’est comme un prêt, logique que la banque y ait un intérêt. Et je finirai en ajoutant que quand je vois des banques saigner (je n’ai pas d’autre mot), des gens pauvres, à coup de frais faramineux, tout en leur racontant des conneries énormes pour les embrouiller, donc en profitant sans honte de leur l’ignorance, qu’elles cultivent au contraire savamment, je me dis que c’est vraiment devenu un métier de salaud, un métier d’arnaqueur.

                          • [^] # Re: Je sais pas mais...

                            Posté par  (site web personnel, Mastodon) . Évalué à 3.

                            C'est quelle banque ?

                            « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

                            • [^] # Re: Je sais pas mais...

                              Posté par  . Évalué à 3.

                              Boursorama. Banque qui appartient pourtant maintenant à la Société Générale, qui est elle une banque où j’ai été à une époque, et qui est celle qui m’a fait le plus de coups tordus.

                              Si Boursorama se met à déconner je n’hésiterai pas à changer, mais pour l’instant ils sont au top.

                              Ta question fait penser à de l’ingénierie sociale mais autant recommander cette banque, je ne dois pas être le seul à pouvoir rencontrer des problèmes avec sa banque actuelle. Si vous me filez votre mail je peux même vous parrainer, si vous ouvrez un compte je gagne cinquante balles ou un truc comme ça ^^. Pensez-y si vous voulez aller dans cette banque. Pas pour moi mais essayer de trouver un ou une amie qui y est déjà, ce sera toujours ça de gagné pour lui.

      • [^] # Re: Je sais pas mais...

        Posté par  . Évalué à 6.

        Ça force aussi parfois à repayer (quand la carte est juste autorisé et que le paiement à lieu plus tard mais qu'on a utilisé et donc détruit la carte pour un autre paiement entre temps) mais ce n'est pas très gênant au final.

        Ma banque me permet de créer autant de cartes virtuelles que je veux, avec pour chacune le montant que je veux et la date d'expiration que je veux. Je peux ainsi créer une carte avec une date d'expiration lointaine pour un abonnement avec prélèvement mensuel, par exemple, sans m'empêcher d'en créer une autre avec le montant exact d'un achat unique.

        L'inconvénient majeur c'est qu'on ne peut pas sauvegarder la carte et qu'on doit donc retaper un numéro complet + date + code supplémentaire à chaque fois.

        Outre qu'il me paraît très exagéré de qualifier d'inconvénient "majeur" d'avoir retaper (ou copier-coller) trois infos, laisser un site mémoriser sa carte physique pour s'offrir ce petit confort me paraît très peu recommandable (à moins d'être un professionnel faisant beaucoup de transactions quotidiennes).

        • [^] # Re: Je sais pas mais...

          Posté par  . Évalué à -2. Dernière modification le 10 avril 2023 à 19:09.

          copier-coller

          LOL

          Linuxfr, le portail francais du logiciel libre et du neo nazisme.

          • [^] # Re: Je sais pas mais...

            Posté par  . Évalué à 2.

            Sans être génial, le copier-coller est utilisé dans les 20 secondes et une interception n'est valide que pour cette carte, puisque inutilisable dès qu'1 transaction est réalisée (par moi ou par le voleur).
            Je sais donc au moment de mon achat si ma carte virtuelle a été volée et j'appelle la banque. Si cela se reproduit sur une autre carte virtuelle, je sais que mon PC est infecté. Super, j'ai un détecteur de malware ;-)

            Et la banque me remboursera. Enfin, si elle comprend qu'il y a infection, cela risque d'être plus compliqué…
            Je ne vois donc pas de gêne ou de trou de sécurité énorme derrière le copier-coller. Au contraire du copier-coller sur un numéro de carte physique.

            Ma seule gêne actuelle:
            - rarement (parce que j'y commande rarement), Amazon redécoupe une commande en 2 et la carte n'est valide que pour 1 paiement donc il faut faire une manipulation
            - la carte virtuelle dure maxi 2 mois (ou une seule transaction bien sûr). Cela ne m'a jamais bloqué mais on ne sait jamais

            • [^] # Re: Je sais pas mais...

              Posté par  . Évalué à -1.

              Son message dit en substance “c’est pas un problème pour les paiements mensuels, parce qu’on peut mettre le montant qu’on veut, et ça marchera aussi pour les prélèvements futurs”, donc ça fait un peu plus que 20 secondes.

              Et 20 secondes, c’est plus que suffisant pour qu’un malware te pique ton numéro de carte.

              Après, si tu veux mon avis, quelle est la probabilité pour que ça arrive? Très, très faible. Probablement comparable à la probabilité qu’Amazon (ou n’importe quel autre marchand d’ailleurs) se fasse piquer ton numéro. Mais c’est pas moi qui vend ça comme une grosse avancée sur la sécurité.

              Linuxfr, le portail francais du logiciel libre et du neo nazisme.

              • [^] # Re: Je sais pas mais...

                Posté par  (site web personnel) . Évalué à 2.

                Sauf que le numéro de carte est unique et bloqué sur le premier commerçant qui s'en sert. En tout cas chez Fortuneo.

                Donc au pire tu mets en risque le plafond que tu as configuré pour cette carte lors de sa création, et dès que le commerçant l'a utilisé une fois, personne d'autre ne peut s'en servir.

                Tu peux aussi supprimer une carte déjà créée si tu as un doute, ça n'invalide pas les transactions déjà passées, ça évite juste que le numéro puisse être utilisé à l'avenir.

                • [^] # Re: Je sais pas mais...

                  Posté par  . Évalué à 4. Dernière modification le 13 avril 2023 à 16:56.

                  j'ai une question bête, en cas de remboursement ça se passe comment ?

                  Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                  • [^] # Re: Je sais pas mais...

                    Posté par  (site web personnel) . Évalué à 6.

                    Le lien avec ta carte bancaire réelle / ton compte bancaire n'est pas perdu, l'argent est bien re-crédité sur ton compte.

                    Le même mécanisme est certainement en place pour les cartes bancaires physiques pour les remboursements qui ont lieu après leur expiration.

              • [^] # Re: Je sais pas mais...

                Posté par  . Évalué à 1.

                Je suis d'accord, je parlais de mon cas avec carte à usage unique
                Un malware intercepte tout ce qu'il veut mais je le saurai dans les 20 secondes. Je me plains à ma banque, ma carte physique n'est pas bloquée. Bref, ça se passe bien.
                D'une certaine manière, ma carte physique sert au monde physique et mes cartes virtuelles à internet, c'est décorrélé et c'est bien car les contraintes ne sont pas les mêmes.

                Par contre humble bundle n'accepte pas les cartes virtuelles pour leur abonnement mensuel que l'on peut mettre en pause. Je ne dois pas être le seul à avoir oublié de mettre un nouveau numéro de carte en début de mois !!!

          • [^] # Re: Je sais pas mais...

            Posté par  (site web personnel) . Évalué à 4. Dernière modification le 13 avril 2023 à 12:16.

            Les débats d'il y a un an sur ce site même, t'auront sûrement appris que dénoncer la paranoïa chez les parano est vouée à l'échec 😉

            « Il n’y a pas de choix démocratiques contre les Traités européens » - Jean-Claude Junker

    • [^] # Re: Je sais pas mais...

      Posté par  (site web personnel) . Évalué à 5. Dernière modification le 17 avril 2023 à 09:07.

      Cosmocat, le Dieu des banques semble avoir entendu tes prières.

      En commandant une nouvelle faucille et un nouveau marteau pour continuer le débat démocratique sur les retraites, j'ai découvert que le système de paiement par virement via une redirection sur l'espace client[1] de la banque existe:

      leroy berlin

      Sur ce site, l'implémentation est faite par finctecture.

      [1] : attention à l'URL.

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: Je sais pas mais...

        Posté par  . Évalué à 4.

        Et côté vendeurs c’est accepté partout systématiquement ? Ou bien certains vendeurs (et quelle proportion) imposent un paiement par carte bancaire ?

  • # Erreur d'analyse de la banque ?

    Posté par  . Évalué à 10.

    Donc si on résume:
    - pas de trace chez Amazon
    - pas de trace sur le compte

    On peut s'interroger sur l'hypothèse initiale, ces transactions ont-elles réellement eu lieu ?… Peut-être le conseiller a-t-il appelé le mauvais client ?

    Et pour se faire peur: était-ce bien un conseiller bancaire ?

    • [^] # Re: Erreur d'analyse de la banque ?

      Posté par  (site web personnel) . Évalué à 3.

      C'est bien un conseiller bancaire puisque suite a cet appel, l'opposition de ma carte a bien eu lieu.

      J'ai d'abord reçu un SMS avec un code de référence que j'ai du donner avec mon nom/prénom lors de l'appel. Donc peu de chance que ce soit une erreur du type "j'ai appelé le mauvais client".

      Après, mieux vaut être sur et faire opposition à la carte.

      https://link-society.com - https://kubirds.com - https://github.com/link-society/flowg

      • [^] # Re: Erreur d'analyse de la banque ?

        Posté par  . Évalué à 10.

        Y a deux trucs qui sont bizarres dans cette histoire :

        D'une part c'est la petitesse des sommes arnaquées : 28 €, c'est pas sérieux, ça ! Ça ressemble plus à une erreur d'amz qu'à une arnaque, ou alors ce sont des opérations qui n'existaient pas.

        D'autre part c'est le fait que tu aies dû donner un code de confirmation SMS par tel., c'est quelque chose qui ne doit jamais se faire, et ça m'étonne que ta banque contrevienne à cette règle de sécurité élémentaire (la mienne indique même dans le propre SMS de confirmation de ne jamais faire ça).

        C'est un coup connu : X fait une opération sur ton compte ou avec ta carte, et il sait qu'il va avoir besoin d'un SMS. Il tel. pour être sûr que tu es là, lance l'opération qui génère un SMS, te demande le SMS par tel, et le rentre dans le site web ou l'application spyphone. Ou même pour faire autre chose absolument pas en rapport avec la banque, par ex. pirater ton email, ton compte whatsapp ou telegram, etc.

        Je ne dis pas que c'est ce qui s'est passé, puisque ta carte a été bloquée (à moins que la demande de blocage ait été faite par d'éventuels escrocs, et que le SMS que tu as donné leur ait servi pour une autre opération), mais je ne comprends pas que ta banque te l'ait demandé par tel.

        Es-tu rentré en contact avec ta banque entre-temps, et leur as-tu relaté ceci, afin de vérifier s'ils ont vraiment été à l'origine de cette procédure ?

        De toute façon, je réitère mon conseil : quand la banque te tel, si tu as le moindre doute, tu dis que tu les rappelles sur le numéro que tu sais être de ta banque.

        • [^] # Re: Erreur d'analyse de la banque ?

          Posté par  (site web personnel) . Évalué à 5.

          Non on s'est mal compris.

          Voici le détail :

          • je reçois un appel, j'ai pas le temps de répondre
          • je reçois ensuite un SMS avec une référence de dossier
          • je rappelle le numéro, je communique le code de référence ainsi que mon nom/prénom
          • on examine différentes transactions, il y en a 2 que je ne reconnais pas
          • on fait opposition à la carte (seule la banque peut le faire)
          • la banquière me donne une nouvelle référence de dossier

          Le numéro de téléphone est bien celui que j'ai enregistré dans mon téléphone comme étant celui de ma banque.

          https://link-society.com - https://kubirds.com - https://github.com/link-society/flowg

          • [^] # Re: Erreur d'analyse de la banque ?

            Posté par  . Évalué à 6.

            Non on s'est mal compris.

            Ah, oui, effectivement, j'avais compris que c'était un SMS de confirmation (sécurité) alors que c'était un SMS avec un numéro de dossier. Du coup ça élimine ce risque (ainsi que mon interrogation sur le protocole suivi par la banque). Et comme tu as vérifié que le numéro de téléphone était légitime, tout va bien.

            on fait opposition à la carte (seule la banque peut le faire)

            Bien sûr, mais j'imagine que c'est facile pour n'importe qui de la demander, dans la mesure où ça n'est pas une opération à risque. Ils doivent considérer que si tu es à l'étranger et que tu t'es fait piquer toutes tes affaires, tu dois quand même pouvoir demander de faire opposition même sans spyphone ou moyen de t'identifier, probablement avec ta date de naissance ou des trucs comme ça, non ?

            Pas que je dise que ça soit arrivé, hein, au contraire. Surtout que le coup de tel. était légitime, et que ça a peu d'intérêt (sinon aucun) pour un arnaqueur. J'explique juste pourquoi j'avais pu l'envisager comme une (lointaine) possibilité.

          • [^] # Re: Erreur d'analyse de la banque ?

            Posté par  . Évalué à 2. Dernière modification le 09 avril 2023 à 06:11.

            [effacé, visiblement ma théorie est fausse vu que tu as rappelé un numéro que tu reconnais]

          • [^] # Re: Erreur d'analyse de la banque ?

            Posté par  (site web personnel) . Évalué à 8. Dernière modification le 11 avril 2023 à 10:14.

            Attention, ne jamais répondre si c'est le numéro de la banque, rappeler. On a déjà vu récemment des faux appels avec vrai numéro. Et je suis quasiment sur d'en avoir reçu un (appel entrant + demande de code).

        • [^] # Re: Erreur d'analyse de la banque ?

          Posté par  . Évalué à 10.

          D'une part c'est la petitesse des sommes arnaquées : 28 €, c'est pas sérieux, ça !

          Il y a une dizaine d'année, je m'était fait voler 2500€ en une seule transaction. Je l'ai remarqué tout de suite. Il y a un mois, ma femme a remarqué des petites transactions (de 10€/15€…) dans des enseignes auprès desquelles elle n'est pas cliente. Elle a ensuite pu faire le rapprochement avec un phishing réussi. Il a fallu remonter un peu dans le temps pour pointer toutes les transactions et les remonter à la banque. En vrai, ça peut durer longtemps avant que tu voies ces petites sommes, puisque le paiement sans contact a multiplié les petites transactions.

          Ça me semble une stratégie relativement valable du point de vue du voleur. Dans ce genre de cas, le vrai problème vient de ce que la double authentification n'est pas systématique.

          • [^] # Re: Erreur d'analyse de la banque ?

            Posté par  . Évalué à 5.

            Effectivement, c'est une bonne explication.

          • [^] # Re: Erreur d'analyse de la banque ?

            Posté par  . Évalué à 7.

            Mon numéro de carte avait été utilisé pour deux transactions frauduleuses de petits montants chez Orange. La police m'avait dit que c'était classique pour acheter du crédit téléphonique pour des activités illégales.

        • [^] # Re: Erreur d'analyse de la banque ?

          Posté par  (site web personnel) . Évalué à 7.

          La faiblesse des montants, c'est pour passer sous les radars.

          Les fonctionnalités de sécurité de la carte bancaire, du réseau de paiement (Visa / MasterCard / CB), du commerçant, de ta banque et de celle du commerçant ont toutes un coût en temps de transaction et de coût d'usage.

          Chacun des acteurs que j'ai cité plus va donc choisir d'activer progressivement des fonctionnalités de sécurités croissantes en fonction du montant de la transaction et d'autres paramètres spécifiques.

          Pour le domaine que je connais, les cartes bancaires, les critères pour activer certaines fonctionnalités de sécurité sont :
          - montant cumulé des transactions sans authentification en ligne de la carte
          - montant cumulé des transactions sans-contact
          - monnaie de la transaction vs monnaie de la carte (en gros, est-ce qu'on paye depuis l'étranger)
          - d'autres plus subtils.

          En fonction d'au moins ces critères, la carte utilisée pour le paiement va soit accepter le paiement tel quel et générer cryptogramme que le TPE doit archiver et faire parvenir à la banque tous les soirs, soit demander une authentification en ligne plus complexe, soit réclamer le PIN, soit les deux, soit simplement refuser la transaction en considérant que les bonnes conditions ne sont pas réunies (genre, interdiction de dépense à l'étranger).

          Sachant que maintenant, la fraude en ligne peut être industrialisée, les petits montants sont adaptés.

          Un autre exemple, c'est les péages sur autoroute. En temps de faible affluence, ils vérifient les transactions en ligne ou en tout cas, ils activent une partie des sécurité de la carte. En période de forte affluence, avant l'arrivée du sans-contact, ils se contentaient de lire la piste magnétique pour ne pas perdre de temps. Le sans-contact a typiquement boosté la sécurité de ce scenario d'usage. Et baissé la sécurité d'autres scenarii où tu tapais ton PIN auparavant.

    • [^] # Re: Erreur d'analyse de la banque ?

      Posté par  (site web personnel) . Évalué à 3.

      On peut s'interroger sur l'hypothèse initiale, ces transactions ont-elles réellement eu lieu ?

      Si c'est un service anti-fraude de la banque qui a géré ça, il est possible que les transactions aient été interceptées (et annulées) en amont, bien avant d'arriver sur le compte du client.

      C'est ce qui m'était arrivé il y a une quinzaine d'années à la Société Générale.

  • # Appel de ta banque

    Posté par  (site web personnel) . Évalué à 6.

    Hello ,

    Si tu n'as pas de trace dans ton relevé de ces deux opérations, en as-tu sur le site internet  ?

    As-tu vérifié que l'interlocuteur que tu avais au téléphone était bien ton banquier?

    Est-ce que tu n'aurais pas fait fuiter tes informations au moment de l'appel téléphonique?

    Je sais qu'il existe certaines arnaques où on t'appelle pour te dire "il faut agir tout de suite. On t'a pirater" et en fait c'est ce qu'on est en train de te faire à ce moment-là.

    • [^] # Re: Appel de ta banque

      Posté par  (site web personnel) . Évalué à 3.

      Non l'appel était bien en provenance de la caisse d'épargne.

      Ensuite, à part mon nom/prénom (publiquement disponible), aucune information personnelle (et encore moins bancaire) n'a été communiquée.

      De plus, un arnaquer n'a pas la possibilité de faire opposition à ma carte (qui est désormais bien effective), seul un banquier peut le faire.

      https://link-society.com - https://kubirds.com - https://github.com/link-society/flowg

      • [^] # Re: Appel de ta banque

        Posté par  (site web personnel) . Évalué à 9.

        Non l'appel était bien en provenance de la caisse d'épargne.

        Je ne dit pas que ç'est ce qui est arrivé, mais le spoofing de numéro de téléphone, ça se fait assez bien.

        Il y a 10 ans, j'avais en charge les téléphones du bureau de mon employeur, et un collègue est venu me voir en disant que son téléphone SIP ne marchait pas. Quelques échanges plus tard, je comprends qu'il peut donner des coups de fils, mais qu'on ne peut pas le rappeler.

        Et en effet, je confirme bien. Quand il m'appelle, je vois le numéro assigné (quelque chose en 52, détail important), mais quand je rappelle, ça ne sonne pas. Ça marche via le plan de numérotation interne.

        Je regarde la liste des numéros assignés, je vois que la documentation interne indique un range de numéro à utiliser plus grand que la facture d'Orange. Du coup, j'appelle le support d'Orange avec le téléphone qui me dit (un truc de ce goût la):

        "Je ne comprends pas, le numéro que vous utilisez et qui s'affiche corresponds bien à la banque HSBC chez moi"

        Et j'ai du répondre:

        "Oui, et c'est bien le probléme, je ne bosse aps chez HSBC, donc pouvez vous confirmer les ranges assignés à mon employeur".

        Et en effet, le range loué par Orange s'arrete à 50, et reprends ailleurs.

        Donc bon si il suffit d'une typo dans la doc pour que je puisse me faire passer pour HSBC, j'imagine bien que ça doit pas être super dur.

        Ensuite, je ne pense pas que ça soit le cas ici, car ce genre de manip laisse quand même beaucoup de traces, et les criminels veulent sans doute éviter ça. Donc c'est pas pour 13.9€.

        Par contre, hypothèse amusante, quid d'une erreur d'une autre personne. Quelqu'un a acheté un objet à 13,9 et a mis ton numéro au lieu du sien (car la personne a aussi eu une nouvelle carte, avec peut être un numéro proche).

        La carte n'a pas été vérifié pour d'obscures raisons de machine learning/timing foireux.

        Le support Amazon et le support de la banque n'ont eu accès que sur ton compte, pas l'intégralité des infos (pour des questions de vie privé, j'imagine).

    • [^] # Re: Appel de ta banque

      Posté par  . Évalué à 5.

      Normalement, les banques n'ont pas le droit de supprimer les lignes dans les opérations d'un compte, même si celles si sont erronées. On peut juste passer l'opération inverse pour rendre l'argent.
      Je me suis déjà fait taper sur les doigts pour corrigé des relevés.

  • # Hypothèse + Banque laxiste (parmi d'autres)

    Posté par  . Évalué à 5.

    Une hypothèse : la faille se situerait au niveau du téléphone et de l'app C.E. ? Double authentification shuntée ?

    Anecdote(s) : il y a quelques années, la Caisse d’Épargne a accepté un transfert d'argent du compte d'un membre de ma famille vers un compte en Angleterre, sur la base d'un simple mail, et sans faire aucune vérification. Dans le même style, et même si à la base, c'est une personne âgée qui a pu se faire phisher, impossible de faire un reset du mot de passe, impossible de changer facilement d'identifiant utilisateur. Une banque d'un autre temps.

    Ils doivent être trop occupés par les perquisitions (Caisse d’Épargne = Natixis)

    Oh, pendant que j'y pense, un autre cas : 18,50 € pour faire opposition à un chèque. Sachant que le SMIC est à 11,27 € brut de l'heure depuis le 1er janvier …

  • # Quelle option? Et solution

    Posté par  (site web personnel) . Évalué à 5. Dernière modification le 08 avril 2023 à 16:38.

    j'ai normalement souscrit auprès de ma banque (la Caisse d'Épargne) à une option qui active la double authentification pour tout achat fait avec une CB

    C'est quoi comme option?
    Le seul truc que je trouve est Sécur’Pass, si c'est à ça que tu penses ce n'est absolument pas une double authentification pour tout achat, juste un banal remplacement de SMS par une app pour 3D Secure qui est optionnel (et Amazon gère le risque en demandant parfois et parfois pas 3D Secure, comme d'autres aussi) mis en joli avec un gros couvert de marketing alors que c'est le truc standard de chez standard (et obligatoire depuis quelques années).

    Et quelles solutions existent pour éviter ce genre de problème à l'avenir ?

    Perso j'ai 2 cartes (une pro et une perso) chez 2 banques différentes, et les 2 me proposent depuis un paquet de temps dans l'interface web d' "autoriser les paiements sur Internet" (et aussi hors Internet) oui/non, et si non c'est toutes les transactions qui sont bloquées par défaut, et les 2 me permettent de changer la valeur en quelques secondes, ça laisse très peu de temps pour les truandeurs d'utiliser mon numéro de CB si ils l'ont quelque part (en pratique je ne fais pas mais sait que c'est faisable).

    Si ta banque ne te propose pas ça, c'est une mauvaise banque pas à jour et tu devrais en changer (n'oublions jamais qu'on a le choix et que si on reste alors que ça ne répond pas au besoin il n'y a aucune raison que les vieilles banques changent et qu'on veut qu'elles continuent comme ça).

    3 jours (délais usuel pour qu'un paiement par CB apparaisse sur mon compte)

    Ca c'est pour les vieilles banques modernes (dont une des 2 dont je parle avant), pour une banque moderne moderne on a l'info quelques secondes après la transaction, j'avoue que c'est bien rassurant et j'hésite d'ailleurs à changer de banque pour la CB de cette banque moderne mais pas complètement.

    • [^] # Re: Quelle option? Et solution

      Posté par  (site web personnel) . Évalué à 3.

      Le seul truc que je trouve est Sécur’Pass, si c'est à ça que tu penses ce n'est absolument pas une double authentification pour tout achat

      Effectivement, c'est ce à quoi je pensais, merci de la correction.

      Si ta banque ne te propose pas ça, c'est une mauvaise banque pas à jour

      Elle le propose. Elle propose également des e-cartes utilisables que sur internet (j'aimerais bien que cela soit à usage unique cependant).

      https://link-society.com - https://kubirds.com - https://github.com/link-society/flowg

      • [^] # Re: Quelle option? Et solution

        Posté par  (Mastodon) . Évalué à 10.

        Amazon a des accords avec les banques, visa et mastercard pour ne pas utiliser ces systèmes de validations. Ils préfèrent faciliter les achats compulsifs.

        • [^] # Re: Quelle option? Et solution

          Posté par  . Évalué à 9.

          Ce ne sont pas des accords avec les banques, c'est de la simple gestion des risques :
          - en cas de fraude sans PIN/3D secure, c'est le commerçant qui assume le risque ;
          - quand un 3D secure est demandé environ 25% des transactions se soldent par un abandon de panier ;
          - Amazon met en balance ces 2 risques et décide ou non d'appliquer le 3D secure ou d'assumer le risque.

          • [^] # Re: Quelle option? Et solution

            Posté par  (site web personnel) . Évalué à 5. Dernière modification le 09 avril 2023 à 10:17.

            Soyons direct, parlons plutôt de gestion des coûts.

            Les vérifications ne sont pas gratuites et la grande majorité des transactions ne sont pas frauduleuses, donc ça a du sens que de réduire la friction surtout à l'échelle d'Amazon.

            Par exemple, envoyer 10 millions de SMS pour bloquer 100 transaction frauduleuses, ça fait quand même du trafic pour rien, et la question en effet de mieux cibler se pose légitimement (surtout quand tu dois de toute façon ne pas te reposer uniquement sur le 2FA, encore une fois parce que tu va avoir des transactions frauduleuses avec ça tôt ou tard).

          • [^] # Re: Quelle option? Et solution

            Posté par  . Évalué à 4. Dernière modification le 09 avril 2023 à 23:07.

            C'est intéressant. Je me demande s'il est possible de déclarer à sa banque que si si, on veut vraiment l'authentification forte systématique.

            • [^] # Re: Quelle option? Et solution

              Posté par  (Mastodon) . Évalué à 6. Dernière modification le 10 avril 2023 à 13:18.

              Non ce n'est pas géré par les utilisateurs.

              Imagines toi le bordel aux péages des autoroutes si seulement 5% des utilisateurs pouvait forcer ce genre de truc.

              • [^] # Re: Quelle option? Et solution

                Posté par  . Évalué à 5.

                Arf, en effet, excellent exemple :). J'imagine aussi l'inverse, où 80% des utilisateurs feraient l'inverse parce que bon, la sécurité, ça fait quand même chier.

                Si ça reste un calcul de risque et que le risque est assumé par le vendeur et la banque, après tout, pourquoi pas (quelques autres commentaires expliquent ça très bien, merci d'ailleurs !).

            • [^] # Re: Quelle option? Et solution

              Posté par  . Évalué à 4. Dernière modification le 11 avril 2023 à 09:24.

              Non l'utilisateur ne peut pas gérer ce réglage la car comme dit plus haut, s'il n'y a pas de 3D-secure c'est le commerçant qui prend le risque. C'est un deal entre le commerçant et la banque, l'utilisateur n'assume pas le risque donc il n'a pas son mot a dire.

              Dans l'exemple cite dans le journal, le client a simplement a appeler sa banque. Soit la banque peut prouver que le 3D-secure a bien ete utilise et la j'imagine que la banque va lui dire: "tu es gentil, mais tu nous as confirme la transaction". Soit il n'a pas ete utilise et la banque se retourne contre le commerçant indûment paye.

              A vrai dire, je n'ai jamais compris pourquoi les gens étaient contents de la "securite" apporte par le 3D-secure. C'est vraiment la magie du marketing ce truc. En realite, ca sécurise surtout la banque et ca permet faire porter la responsabilité sur le client. Ca n'est en rien intéressant pour ce dernier car il est désormais en charge de valider des transactions et d'y engager sa responsabilité.

              • [^] # Re: Quelle option? Et solution

                Posté par  . Évalué à 8.

                En réalité, ça sécurise surtout la banque et ça permet faire porter la responsabilité sur le client

                C'est vrai. Une autre réalité, c'est que la fois où je me suis fait piquer ~2500€, ma carte a été bloquée 2 jours avant des vacances de 15 jours. C'était… pas pratique ! Dans ce contexte (ne pas généraliser à d'autres situations), je suis très content de pouvoir contresigner un max de transactions pour éviter d'avoir à prouver mon innocence plus tard.

                C'est un peu comme s'arrêter en vélo quand une voiture te grille une prio (ou que tu es piéton et qu'un vélo te grille la prio, ce qui est plus fréquent dans les grandes villes). C'est pas tellement intéressant de savoir que tu étais dans ton droit, comparé au risque, je trouve.

      • [^] # Re: Quelle option? Et solution

        Posté par  (site web personnel) . Évalué à 5. Dernière modification le 09 avril 2023 à 09:10.

        Perso, dans une autre banque, je ne mets mon numéro de carte sur aucun site et n'utilise que des e-cartes créditées juste avec le montant de l'achat envisagé (qui de fait sont donc à usage unique). De mon point de vue, le moyen le plus sûr que ton numéro de carte ne fuite pas, c'est de ne jamais le donner (en bloquant bien sûr les transactions internet sur la carte physique).

    • [^] # Re: Quelle option? Et solution

      Posté par  . Évalué à 7.

      3 jours (délais usuel pour qu'un paiement par CB apparaisse sur mon compte)

      Ca c'est pour les vieilles banques modernes (dont une des 2 dont je parle avant), pour une banque moderne moderne on a l'info quelques secondes après la transaction, j'avoue que c'est bien rassurant et j'hésite d'ailleurs à changer de banque pour la CB de cette banque moderne mais pas complètement.

      En fait, les neo-banques n'ont souvent pas eu l'agrément leur permettant d'émettre des cartes classiques mais uniquement des cartes à autorisation systématique (équivalent Visa Electron). C'est le cas de N26, par exemple qui, en conséquence, ont vendu ça comme une fonctionnalité, notamment l'envoie de SMS en temps réel (possible parce qu'autorisation systématique).

  • # cryptogramme

    Posté par  . Évalué à 9.

    Quant à la pharmacienne, tu peux l'écarter car elle n'a sûrement pas noté ton cryptogramme, indispensable pour faire un achat internet.

    D'ailleurs, à ce sujet, je conseille à mes proches d'effacer ce cryptogramme et de le mémoriser (coffre-fort numérique, tatouage sur la plante des pieds, enfin…). Ainsi, en cas de carte perdue ou volée, elle est inutilisable : pour les achats directs, il faut le code, et pour les achats internet, le cryptogramme.

    Après il y a aussi la solution d'invalider l'option internet pour la carte physique et de n'utiliser pour internet que des cartes virtuelles.

    Quant au téléphone, le plus simple pour se prémunir de l'arnaque à la fausse arnaque, c'est de demander à ton correspondant son nom et numéro de poste, disant que tu vas le rappeler toi-même en composant le numéro de ta banque. De toute façon, n'importe quel correspondant de ta banque pourra te renseigner, si l'appel initial était légitime.

    • [^] # Re: cryptogramme

      Posté par  (site web personnel) . Évalué à 3.

      Oui, c'était une petite blague, la pharmacienne je la connais bien, alors a moins que cela soit du social engineering de haut niveau planifié depuis 15 ans, je doute que ce soit elle ;)

      D'ailleurs, à ce sujet, je conseille à mes proches d'effacer ce cryptogramme

      Pas con ça!

      Après il y a aussi la solution d'invalider l'option internet pour la carte physique et de n'utiliser pour internet que des cartes virtuelles.

      Il va falloir que je mette en place ça.

      Quant au téléphone, le plus simple pour se prémunir de l'arnaque à la fausse arnaque, c'est de demander à ton correspondant son nom et numéro de poste

      En l'occurence, ils n'ont demandé que mon nom/prénom et aucune autre information (que je n'aurais pas donné au téléphone de toute façon). C'est moins d'informations que certain recruteurs demandent. Et au final, vu que cet appel a abouti à l'opposition de la carte, chose que seul la banque peut faire, j'ai bien la certitude qu'il s'agissait de ma banque.

      https://link-society.com - https://kubirds.com - https://github.com/link-society/flowg

    • [^] # Re: cryptogramme

      Posté par  . Évalué à 2.

      Il existe des carte bancaire avec un cryptogramme évolutif.
      https://www.cic.fr/fr/particuliers/comptes/carte-bancaire-a-cryptogramme-evolutif.html

    • [^] # Re: cryptogramme

      Posté par  . Évalué à 2. Dernière modification le 08 avril 2023 à 17:41.

      Après il y a aussi la solution d'invalider l'option internet pour la carte physique et de n'utiliser pour internet que des cartes virtuelles.

      C'est ce que je fais. Je ne retournerai jamais dans une banque qui n'offre pas ça (et gratuitement qui plus est). J'en créé une pour chaque achat internet, avec le montant exact de l'achat. Je complète ça par la désactivation du sans-contact. Pour garder le confort d'utilisation, j'utilise le paiement sans-contact via ma montre : il ne s'active que si je la déverrouille pour cette fonction (appui de deux boutons successivement). Ça marche aussi avec un paiement par téléphone puisqu'il faut d'abord déverrouiller le téléphone.

      Bref, avec ces deux systèmes, si je perd ma carte ou qu'on me la vole, je ne stresse pas trop et j'ai le temps de la bloquer avant que le voleur ne trouve une faille (s'il en existe une).

      • [^] # Re: cryptogramme

        Posté par  (site web personnel) . Évalué à 3.

        "Bref, avec ces deux systèmes, si je perd ma carte ou qu'on me la vole, je ne stresse pas trop et j'ai le temps de la bloquer avant que le voleur ne trouve une faille (s'il en existe une)."

        Sois rassuré, jamais aucun dispositif technique n'a eu de failles, en particulier les montres connectées et les ordiphones.
        En fait, je ne vois pas trop l'intérêt de ce genre de pratiques, hormis donner aux banques la possibilité de se défausser sur le client : votre soft sur votre montre n'est pas à jour, la banque n'a rien à voir dans cette fuite sur votre compte (c'est un exemple parmis d'autres). La législation sur le sujet semble bien claire : pas de confirmation (pin, e-pin, sms+ secure pass etc …) pour une transaction, pas de faute du client, c'est la banque qui doit éponger la bévue, c'est leur boulot.

        • [^] # Re: cryptogramme

          Posté par  (site web personnel) . Évalué à 6.

          En pratique, les attaques de ce genre sont assez rares quand même (dans le sens ou la majorité des problèmes viennent d'ailleurs).

          Primo parce que ça coûte cher à mettre en place, et secondo, parce que ça ne scale pas terrible.

          Il y a eu des cas d'attaques ciblés par le passé, mais dans mon souvenir, c'était pour viser des cibles spécifiques assez riches pour motiver la mise en place d'une équipe dédié (comprendre, des gens avec des millions en banque via des cryptomonnaies).

          Il y a des trojans bancaires sur android également (le dernier dont j'ai entendu parler, Nexus, date d'il y a quelques jours), mais c'est fourni en mode "malware as a service", et pour moi, c'est symptomatique du probléme, à savoir que le meilleur moyen de se faire de l'argent, c'est en refilant le risque à d'autres, car si la balance risque/bénéfice était si favorable, ça ne serait pas en location pour d'autres.

          Et par exemple, Nexus, n'exploite pas de failles spécifiques d'android, il tente juste de se faire installer comme une application légitime (par exemple, Youtube Vanced).

          Et la faille, c'est d'autoriser à être root sur son téléphone :)

        • [^] # Re: cryptogramme

          Posté par  . Évalué à 3.

          Sois rassuré, jamais aucun dispositif technique n'a eu de failles, en particulier les montres connectées et les ordiphones.

          Oui, tout comme aucune carte de crédit n'est jamais perdue ou volée. Ce qui conduit à renoncer au sans contact. C'est un choix. Le mien est de garder le sans contact mais via un processus que j'estime (à tort ou à raison) plus sûr que via la carte physique. On peut d'ailleurs coupler le sans contact du device à une carte virtuelle.

          La législation sur le sujet semble bien claire : pas de confirmation (pin, e-pin, sms+ secure pass etc …) pour une transaction, pas de faute du client, c'est la banque qui doit éponger la bévue, c'est leur boulot.

          Il me semble que ce n'est pas vrai pour le sans contact carte physique. J'ignore cependant ce qu'il en est pour le sans contact via un device.

    • [^] # Re: cryptogramme

      Posté par  . Évalué à 10.

      Quant à la pharmacienne, tu peux l'écarter car elle n'a sûrement pas noté ton cryptogramme, indispensable pour faire un achat internet.

      Le cryptogramme ne sert a rien.

      Ma femme travaille dans la vente par correspondance et il lui arrive souvent de devoir prendre des commandes par téléphone et faire payer les clients par carte par téléphone.
      Les clients lui donnent leur numéro de carte et elle fait le payement depuis le terminal de son boulot. Oui je sais, je lui ai dit aussi … mais c'est comme ca …

      Elle me soutenait qu'en prenant des commandes elle avait déjà oublié de taper le cryptogramme sur son terminale et que le payement était passé quand meme. Je lui répondais que c'était impossible jusqu'au jour ou, lassée de ne pas être crue, elle a pris ma carte devant moi et m'a débité un euro (le cryptogramme était gratté sur ma carte, elle n'a pas pu tricher …)

      J'en ai parlé a ma banquière qui n'a rien fait a part bégayer.

      • [^] # Re: cryptogramme

        Posté par  . Évalué à 2.

        Chaud !

        Donc son TPE permet des transactions avec simplement le numéro de carte bancaire.

        Mais elle doit avoir besoin de s'authentifier pour utiliser ce TPE ?

        Il y a un truc qui peut nous échapper pour que ça soit possible aussi facilement…

        Amiralgaby#1847

        • [^] # Re: cryptogramme

          Posté par  . Évalué à 6.

          C'est une procédure normale de paiement par téléphone ; il faut souvent que le commerçant souscrive à une option pour l'activer sur son TPE, c'est assez courant chez les fleuriste, par exemple, qui vont prendre des commandes pour livrer à des mariages/enterrements.

          Il n'y a pas de vérification de la carte (PIN/3D secure) donc le risque est assumé par le vendeur qui ne sera pas payé si le porteur de la carte conteste la transaction…

      • [^] # Re: cryptogramme

        Posté par  (site web personnel, Mastodon) . Évalué à 3.

        Si c'est bien fait, c'est volontaire et c'est une bonne chose. Ça permet que la personne puisse faire la vente par correspondance sans avoir besoin du cryptogramme et dont sans pouvoir réutiliser les numéros ailleurs. La transaction sans cryptogramme ne devrait être possible que depuis ce TPE vers le compte de l'entreprise de vente par correspondance, et uniquement celui-ci. Le risque devient un risque de surfacturation de la part de l'entreprise de vente par correspondance, mais rien de plus (ah si, qui la personne qui gère la vente garde les numéros pour elle-même acheter par correspondance pour elle ailleurs). Comme tout est tracé, ça devrait être facile à retrouver en cas de fraude, et les transactions par ce biais devraient être étroitement surveillées (par la banque, par les entreprises de certification des comptes…)

        Tout ça fonctionne bien en théorie, mais contient beaucoup de conditionnel et d'humain. L'idéal serait bien sur que la vente en donnant ses numéros de carte pas téléphone n'existe pas du tout, mais il y a quelques cas où c'est pratique.

        La connaissance libre : https://zestedesavoir.com

        • [^] # Re: cryptogramme

          Posté par  . Évalué à 5.

          Ça permet que la personne puisse faire la vente par correspondance sans avoir besoin du cryptogramme

          Sauf qu'elle demande systématiquement le cryptogramme … et on lui donne.

          La transaction sans cryptogramme ne devrait être possible que depuis ce TPE vers le compte de l'entreprise de vente par correspondance, et uniquement celui-ci. Le risque devient un risque de surfacturation de la part de l'entreprise de vente par correspondance, mais rien de plus

          Je ne suis pas d'accord. Dans le cas de ma femme, si elle utilise les numéros de clients a d'autres fins que ce pourquoi le client lui a donné elle risque qu'on remonte facilement jusqu'a elle. Mais le risque c'est que quelqu'un d'autre récupère les numéros de carte et les utilise de manière frauduleuse. Et il y a mille facons de récupérer des numéros de carte.

          Si on a mis cette sécurité en place c'est qu'elle doit avoir une utilité, sinon autant ne pas en mettre.
          Si une entreprise honnete à la possibilité de contourner, une entreprise malhonnête peut parfaitement essayer d'en faire autant. Permettre de la contourner de temps en temps c'est lui retirer toute utilité.

          Ca me fait penser aux arguments des gents qui cherchaient à justifier les backdoors : Non mais rassurez vous, on est les seuls à avoir la clé.
          Je suis désolé mais s'il y a une porte tout le monde peut essayer de crocheter la serrure. En revanche un mur en parpaing ca ne se crochète pas.

      • [^] # Re: cryptogramme

        Posté par  . Évalué à 4. Dernière modification le 11 avril 2023 à 09:39.

        En même temps la simplicité est une "feature" de Visa, c'est pour ça qu'ils ont tous ces mécanismes de surveillance, la possibilité de contester des transactions après coup, les assurances, l'envoi d'une nouvelle carte au moindre doute, etc.

        Le cryptogramme et le 3D-Secure sont tout simplement des procédés qui permettent d'augmenter la certitude que la commande a été passée par le possesseur de la carte, qui pourrait sinon faire opposition, ce qui signifierait potentiellement que le commerçant pourrait ne pas être payé. Pensez aux règles anti-spam de postfix, c'est pareil.

  • # Paiement sur le web

    Posté par  . Évalué à 5. Dernière modification le 08 avril 2023 à 17:28.

    J'ai quand même plusieurs incompréhensions, j'ai normalement souscrit auprès de ma banque (la Caisse d'Épargne) à une option qui active la double authentification pour tout achat fait avec une CB, je dois sur mon téléphone ouvrir l'application de la banque, rentrer mon code secret, et valider l'achat. Je n'ai pas reçu de notification pour ces 2 transactions.

    Perso la double authentification je n’ai jamais compris, des fois il la faut, des fois non. Je me disais que ça dépendait du montant mais en fait non, ça semble assez aléatoire. Je ne suis pas à la Caisse d’Épargne.

    Et quelles solutions existent pour éviter ce genre de problème à l'avenir ?

    Je connaissais une personne qui était à la Caisse d’Épargne, elle avait la possibilité d’avoir une carte « spéciale Internet ». C’était une carte qu’elle pouvait créditer avec une certaine somme (par exemple 50 ou 100 balles) et faire ses achats en ligne avec. Ça limite la casse si le vendeur est pas sécurisé ou malhonnête. La carte normale liée au compte en banque principal n’est pas exposée. Ceci dit ça répond pas vraiment à la problématique à laquelle tu as été confrontée. Et je n’ai pas la moindre idée de ce qu’il t’es arrivé précisément j’avoue. Heureusement c’était de petites sommes que la banque va te rembourser.

    • [^] # Re: Paiement sur le web

      Posté par  (site web personnel, Mastodon) . Évalué à 4.

      La définition du mode de sécurité des paiements en ligne (pour l’utilisateur : « est-ce que je vais avoir droit à la double validation type 3D Secure ou pas ? ») réponds à des règles assez complexes. Déjà, c’est négocié par contrat entre le commerçant et la banque : tu peux vouloir déclencher la validation systématique ou presque, ou au contraire la déclencher le moins possible. Il y a une dizaine d’années, un déclenchement 3D Secure c’était plus de 10 % de pertes de clients sur cette étape, les commerçants pouvaient être frileux. Je n’ai pas les chiffres actuels, mais je suppose que c’est moins élevé : les nouvelles règles légales et la généralisation du truc fait que les gens y sont plus habitués.

      D’autre part, cette règle peut être déclenchée selon des indicateurs très variés, en vrac :

      • Est-ce que la carte est utilisée depuis un endroit connu ?
      • Est-ce que ça correspond à des habitudes d’achat ?
      • Quel est le montant en jeu ?
      • Est-ce que que c’est un paiement immédiat, différé (lancé lors de la livraison par exemple), ou récurrent ? (ce point explique que des sites comme KissKissBankBank demandent le 3D Secure sur des paiements d’une poignée d’euros).
      • Est-ce que la carte était enregistrée sur le site commerçant ou pas ?
      • Quel est l’historique du commerçant, du domaine de commerce (et peut-être même de la carte) en terme de paiements refusés ou en litiges ?
      • Quelles sont les habitudes dans le domaine de vente ? (à une époque, les compagnies aériennes ne demandaient presque jamais de double authentification)
      • Et j’en passe…

      Donc oui, c’est très difficile de savoir pourquoi la double authentification se déclenche ou non. Même si ces dernières années, elle se déclenche presque toujours, je suis même surpris quand j’ai un paiement qui ne la demande plus, même pour des sommes ridicules.

      La connaissance libre : https://zestedesavoir.com

      • [^] # Re: Paiement sur le web

        Posté par  . Évalué à 4.

        un déclenchement 3D Secure c’était plus de 10 % de pertes de clients

        Je confirme, j'ai échangé récemment avec une personne "vente" et dans son domaine c'est -15% de clients (ils ont arrêté). Je n'ai pas trop suivi ce qu'il vendait, plutôt des trucs pas chers et à renouveler, genre abonnement journaux.

      • [^] # Re: Paiement sur le web

        Posté par  . Évalué à 3.

        Oui j’imagine bien qu’il y a un algorithme (et pas le même selon la banque/le vendeur). Merci pour les précisions, il y a en effet pas mal de points à prendre en compte pour savoir si c’est utile, ou au contraire potentiellement contre-productif, de l’imposer au client sur un achat donné.

        J’imagine donc aussi qu’il est impossible d’avoir une carte avec 3D Secure systématique, partout.

        elle se déclenche presque toujours, je suis même surpris quand j’ai un paiement qui ne la demande plus, même pour des sommes ridicules.

        Pareil, je dirais que c’est moins de 10% des opérations qui passent sans validation par code sur le portable. Je commande très rarement sur Amazon mais j’ai une amie qui est très fan de ce site, elle a pratiquement jamais à double-valider. Mais effectivement, ça paraît logique, à partir du moment qu’Amazon sait que tu utilises le terminal habituel, à la géolocalisation habituelle, pour acheter un produit catégorisé comme faisant partie de ton profil de consommateur, et à un prix assez faible, qu’il t’épargne cette étape pour rendre l’opération plus rapide, et donc satisfaisante.

      • [^] # Re: Paiement sur le web

        Posté par  . Évalué à 3.

        Il y a une dizaine d’années, un déclenchement 3D Secure c’était plus de 10 % de pertes de clients sur cette étape, les commerçants pouvaient être frileux.

        Ma femme etait commercante a l’époque ou ca a ete introduit, elle avait un site de vente en ligne. On etait plus de l'ordre de 30%… ca a ete la boucherie du jour au lendemain. Heureusement que ca a pu être désactive.

        Je pense qu'on aujourd'hui on est toujours au dessus de 10% de pertes.

  • # La banque n'est peut-être pas moderne mais au moins .....

    Posté par  . Évalué à 8.

    … ils ont détecté les transactions douteuse. Probablement pour ça que tu ne la vois pas sur ton compte. - vu que la transaction met 3 jours à remonter, elle a du être supprimée entre temps et ne remontera pas. Donc ne te tracasse pas outre mesure. Par contre surveille tes comptes quand tu récupèreras ta nouvelle carte : si ça se reproduit, c'est que ta banque a un sacré trou dans son SI ( pourquoi pas un employé qui revent des numéros de CB ?). Et vérifie tes relevés des mois précédents.

  • # ma vie...

    Posté par  (site web personnel) . Évalué à 10.

    Avec une carte visa "ultime" ( paraît que c'est plus mieux top que les visa premiers) de chez boursorama, il m'arrive assez souvent d'avoir un montant visible deux fois (et réellement débité deux fois), par exemple un paiement par CB au bricotruc du coin, 28.4 euros en double sur les transactions, mais quand j'affiche le détail des transactions, une est réelle, l'autre est marquée comme étant un montant bloqué pour valider la transaction (genre un fausse transaction pour voir si le solde est suffisant) et qui sera remboursé quelques jours plus tard. Dans la pratique, ca revient effectivement sur mon compte en général 3 jours plus tard.
    Ce n'est pas trop gênant, mais c'est perturbant les premières fois, le temps de comprendre ce qui se passe avant d'aller râler au magasin pour faux double paiement. Ce n'est pas souvent, amis c'est arrivé deux fois en mars par exemple.

    Autre mésaventure un peu plus vieille (avant les applis sur smartphone) avec le Crédit Mutuel : je paie à l'époque le loyer au propriétaire en faisant un virement sur son compte (lui aussi est au Crédit Mutuel) en utilisant tous les mois l'automate de l'agence du coin. Tout ce passe bien, mais un mois je constate que le loyer est prélevé deux fois sur mon compte. What ?
    Je vais à l'agence, j'explique mon cas au monsieur qui me répond alors :
    "Vous avez fait une erreur en tapant le numéro de compte de votre propriétaire, c'est parti sur un compte qui n'existe pas". Heu…what ? donc on peut taper des comptes qui n'existent pas, pas de vérification, pas de clé de contrôle ? rien ? ben alors, il est passé où mon argent ? réponse : "Nul part. On va vous le remettre sur votre compte". Donc si tu ne viens pas râler, il reste dans les limbes (pas pour tout le monde je suppose).
    Mais ça n'explique pas pourquoi je suis prélevé deux fois. "en fait votre propriétaire est passé pour dire qu'il n'avait pas reçu le loyer de son locataire, donc on a fait le virement". Re re what ? la banque fait un virement ponctuel de mon compte sans mon accord préalable, juste parce qu'un gars lambda vient au comptoir dire qu'il n'a pas reçu un virement… j'ai changé de banque dans la foulée.

    • [^] # Re: ma vie...

      Posté par  (site web personnel) . Évalué à 5. Dernière modification le 09 avril 2023 à 18:33.

      Moi je paye mon loyer avec un virement permanent. Il y a deux mois j'ai été averti qu'un virement a été rejeté, je me suis dit que j'avais pas assez sur mon compte.
      En regardant le détail des virements, je vois que mon dernier loyer a bien été viré, mais j'ai une ligne supplémentaire pour une transaction rejetée datée du 31/12/9999. J'ai signalé le problème mais je crois que la ligne y figure toujours.

      Un LUG en Lorraine : https://enunclic-cappel.fr

  • # Amazon

    Posté par  (site web personnel) . Évalué à 9.

    J'ai ensuite mis à jour mon moyen de paiement sur Amazon le 4 avril, pour un achat également.

    Eh bien voilà, tout est dit. C'est presque la caractéristique principale d'Amazon, ça, le trou de sécurité qu'ils sont si fiers d'avoir inventés : stocker de quoi permettre de débiter les gens par carte bancaire dans rien avoir à demander de plus.

    Donc, s'il y a besoin de plus de précision, ça permet :

    • à Amazon d'effectuer des débits à leur guise, que ce soit pour un achat réel, par erreur ou par malveillance ;
    • à un pirate d'extraire de quoi faire de même a condition d'avoir un backend très élaboré ;
    • à un pirate de faire des achats avec ton compte (là, tu sais que ce n'est pas le cas, mais ça reste un risque en général).

    Je ne reconnais aucune de ces 2 transactions et donc on décide de faire opposition à la carte immédiatement, et je vais être remboursé de ces 2 transactions.

    J'espère que tu n'as rien payé pour faire opposition et obtenir une nouvelle carte, au moins.

    Pour info, il ne faut jamais accepter de payer pour une opposition et une nouvelle carte, mais exiger que la banque le fasse à ses frais. Parce que, c'est très simple, sans opposition la fraude continuait et la banque devrait rembourser chaque transaction frauduleuse. Donc l'opposition et l'émission d'une nouvelle carte rend service à la banque, pas au client.

    • [^] # Re: Amazon

      Posté par  (site web personnel) . Évalué à 3.

      J'espère que tu n'as rien payé pour faire opposition et obtenir une nouvelle carte, au moins.

      Non je n'ai rien payé, la question n'a même pas été posée.

      https://link-society.com - https://kubirds.com - https://github.com/link-society/flowg

    • [^] # Re: Amazon

      Posté par  (site web personnel) . Évalué à 4. Dernière modification le 10 avril 2023 à 18:45.

      Je confirme,

      un jour j'ai voulu acheter un produit sur Amazon, parce que non disponible ailleurs.
      Le paiement a été refusé malgré la double authentification… montant 300€

      Quelques jours après, c'est 60€ qui ont été débités par Amazon.

      J'ai fait opposition et j'ai reçu une nouvelle carte ainsi que le remboursement de la transaction frauduleuse.

      C'était une nouvelle carte, premier achat sur Internet avec cette carte… pas besoin d'aller chercher loin la fuite. Merci Amazon.

      Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

  • # Exemple d'attaque un peu sophistiquée

    Posté par  . Évalué à 4.

    Une histoire qui a deux ans, un peu longue à lire et en langue anglaise, qui montre que même en étant prudent on peut se faire piquer des sous : https://krebsonsecurity.com/2020/04/when-in-doubt-hang-up-look-up-call-back/

  • # C'est sur le site de la Caisse d'Épargne :

    Posté par  . Évalué à 7.

    SOYEZ VIGILANT !

    Des fraudeurs peuvent vous contacter PAR TÉLÉPHONE ou EMAIL en se faisant passer pour votre conseiller, les services fraude ou opposition carte… en affichant parfois même nos numéros de téléphone. Nous ne vous demanderons JAMAIS de COMMUNIQUER vos données bancaires (identifiant, mot de passe, code reçu par sms, code Sécur’Pass…), pour CONFIRMER ou ANNULER une opération (ajout de compte bénéficiaire, virement, paiement par carte, validation Sécur’Pass…).

  • # Simple impression du numéro

    Posté par  . Évalué à 6.

    J'ai eu un tel coup de fil car mon numéro de carte avait été utilisé 2x sur des sites dont je n'avais jamais entendu parler, mais apparemment sans succès (soit un mauvais cryptogramme visuel soit absence de validation par l'application de la banque, mais la personne du callcenter n'en savait rien)

    Pareil, la carte a été invalidée et j'en ai reçu une nouvelle "deux jours" après (des jours bancaires, soit une semaine et demie 🤣).

  • # achats frauduleux suite à mise à jour de ma cb sur mon compte Amazon

    Posté par  . Évalué à 10.

    Bonjour,

    Ce que décrit David m'est arrivé également il y a quelques années, très exactement dans les mêmes conditions.
    Mon compte Amazon était "dormant", en voulant procéder à une commande j'ai mis à jour ma CB le matin, et boum patatras, le jour suivant je recevais des appels de "La Poste" (avant que ça ne devienne "Banque Postale") me demandant si j'étais en voyage, et m'informant d'activités suspectes sur mon compte.
    En même temps je recevais des tas SMS de demande de confirmation de paiement, c'était la panique totale!
    Et effectivement, pour les "petits montants" pas de demande de confirmation, les transactions étaient effectuées!
    J'ai dû prendre ma journée pour aller au commissariat, qui n'a pas pris ma plainte mais simplement remis un formulaire "sur l'honneur" à présenter à ma banque pour contester les transactions frauduleuses, une vingtaine en quelques heures, pour environ 600€ si ma mémoire est bonne, "La Poste" m'a recrédité cette somme quelques jours après, et m'a renvoyé une nouvelle CB.
    Depuis je boycotte Amazon, dont aucun service n'avait pris la peine de répondre à mes demandes, et j'ai souscrit à un service bancaire type e-carte bleue.
    La machine sur laquelle j'avais mis à jour mon profil était fiable, à jour, sous Debian récemment installé qui plus est, et j'en étais l'unique utilisateur.
    J'ai la conviction que Amazon stockait les coordonnées bancaires de manière peu sécurisée, car le jour où la police m'a remis le formulaire, l'agent préposé à l'accueil m'a juste demandé si j'avais "procédé à des achats sur internet", quand j'ai répondu oui, il m'a juste dit "Amazon?", j'ai acquiescé, il a conclu "ça n'arrête pas en ce moment!".
    Par la suite j'ai retrouvé le numéro de CB fautif parmi d'autres sur un site recensant des données de cartes bancaires "piratées", ma carte faisait partie d'un lot de données revendues sur un site en Argentine.
    Donc soit des personnels ou des prestataires d'Amazon revendent frauduleusement des données bancaires, soit il y a un gros souci de sécurité par ailleurs.
    En tout cas je n'achète plus rien chez eux, et je ne m'en porte pas plus mal.

  • # Il y a Amazon, et Amazon

    Posté par  . Évalué à 3.

    Je contacte le service client de Amazon pour leur demander à propos d'une potentielle fuite de données, ils n'ont pas d'information, et ils n'ont pas de trace de ces transactions dans leur systèmes

    Je n'en ai aucune idée, mais est-ce que "le service client de Amazon" est capable de voir toutes les transactions qui seraient potentielement marquées "Amazon", au sens large ? Parce que bon, il y a au moins :

    • Amazon (le site qui vend des livres, enfin, je me comprends)
    • AWS (le site qui vend de la vapeur d'eau dans le ciel)
    • Twitch (le site qui vend des gens qui jouent à des jeux, et autres)
    • Prime (bon j'imagine que le service client d'amazon connait au moins celui là)
    • Des abonnements à d'autres fournisseur de contenu via Prime Vidéo
    • AWS Ground Station (au cas où t'aurais besoin de contacter ton satellite)

    De mémoire on peut réutiliser le même moyen de paiement sur plusieurs de ces parties sans avoir à le rentrer à nouveau.

    Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

    • [^] # Re: Il y a Amazon, et Amazon

      Posté par  . Évalué à 2.

      Amazon (le site qui vend des livres, enfin, je me comprends)

      Amazon US, Amazon FR, Amazon UK… ce sont aussi des boîtes différentes, je ne suis pas sûr qu'ils partagent les transactions.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Il y a Amazon, et Amazon

        Posté par  . Évalué à 2.

        Amazon FR

        Je doute qu'Amazon France édite des transaction…

        https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

      • [^] # Re: Il y a Amazon, et Amazon

        Posté par  (site web personnel) . Évalué à 3. Dernière modification le 12 avril 2023 à 09:42.

        Je suis le cul entre 2 pays et pour le même login/pass (donc partagé) autant mon historique de commande est différent autant les moyens de paiement sont bien partagés entre les sites.

        • [^] # Re: Il y a Amazon, et Amazon

          Posté par  . Évalué à 2.

          Ca dépend de quel Amazon. Pour le Japon, l'identification n'est partagée. J'ai essayé de me connecter ce lundi.

          • [^] # Re: Il y a Amazon, et Amazon

            Posté par  (site web personnel) . Évalué à 3. Dernière modification le 12 avril 2023 à 12:11.

            Tiens, amusant : même login/pass/CB pour US/UK/FR pour ce que je viens de tester (et dont parlais l'OP), mais en effet pas JP, doit y avoir des règles différentes (il y a des accords entre US et Europe sur les données, ça doit entrer en compte).

        • [^] # Re: Il y a Amazon, et Amazon

          Posté par  . Évalué à 3.

          perso j'utilise pas mal de pour l'achat de ram, disque dur, carte graphique…

          Le plus simple étant de faire la recherche sur le .fr et de remplacer le .fr par .de dans l'url pour comparer les prix.

          Il ne faut pas décorner les boeufs avant d'avoir semé le vent

          • [^] # Re: Il y a Amazon, et Amazon

            Posté par  . Évalué à 4.

            Le plus simple étant de faire la recherche sur le .fr et de remplacer le .fr par .de dans l'url pour comparer les prix.

            t'as des sites comme hagglezon pouaint com ou camel camel camel (pas testé mais connu apparemment) qui font ça à ta place.

            • [^] # Re: Il y a Amazon, et Amazon

              Posté par  (Mastodon) . Évalué à 6. Dernière modification le 12 avril 2023 à 16:28.

              hagglezon pouaint com

              Trop bien je connaissais pas ! Merci.

              Tant qu'on est dans les tips Amazon, j'utilise l'extension Firefox Keepa, qui affiche un historique des prix du produit. Ça permet de voir entre autre si une promo en est réellement une.

              Et surtout avec le temps j'ai vraiment arrêté le réflexe "c'est moins cher sur Amazon". Non c'est vraiment pas toujours le cas, très loin de là.

              En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

            • [^] # Re: Il y a Amazon, et Amazon

              Posté par  . Évalué à 3.

              Pour les livres, il y a une extension Amazon-Killer sur amazonkiller.org :

              Extension Chrome et Firefox pour chercher un livre sur Amazon et l'acheter dans une vraie librairie. L'extension récupère le numéro ISBN du livre que vous regardez et le cherche dans plusieurs bases de données de librairies indépendantes.
              (le code est sur github).

              Mais bon, pour ma part, tant qu'à acheter en ligne, je vais direct sur lalibrairie.com, qui fonctionne avec des librairies physiques. Pour le choix ou la recherche des livres, babelio.

              De toute façon, je fais partie des partisans du "tout mais pas amazon". Pour le matos, je vais chez ldlc. Pour les ordis reconditionnés, je vais chez laptopservice.fr, très bon service, des prix intéressants, je n'ai jamais eu de surprise.

              • [^] # Re: Il y a Amazon, et Amazon

                Posté par  (site web personnel) . Évalué à -5. Dernière modification le 13 avril 2023 à 21:29.

                je fais partie des partisans du "tout mais pas amazon".

                Pas de soucis, chacun est libre… Enfin, suite au lobbying pour obliger Amazon à vendre plus cher que le prix unique (bien pourri, car on n'oblige pas les librairies à ajouter les frais de leur magasin ni RH, donc vraiment juste de lobbying conservateur pour bloquer la concurrence), c'est biaisé… Et perso ça devient par principe pour moi "tout mais pas les librairies physiques" vu la façon dont elles gèrent la compétition (bloquer par le lobbying sur la loi tout en râlant sur le lobbying d'Amazon, plutôt que proposer un service qui motive les gens à aller les voir, faut y aller fort dans le faux-cul). Je paierai en plus volontairement et avec plaisir, car il n'y a pas que le prix dans l'offre.

                Chaque fournisseur montre ce qu'il est, que le client choisisse maintenant.
                Mais la prochaine fois qu'on me parlera du "méchant lobbying d'Amazon", je rirai bien en face de la personne me sortant ça en lui montrant le lobbying des librairies physiques françaises pour bien montrer le 2 poids 2 mesures suivant qui ont aime ou pas, et qu'en réalité le lobbying ne dérange pas quand ce dernier fait des choses qui plaît à la personne qui parle.

                je vais chez ldlc

                A noter que ldlc et compagnie n'ont pas besoin de bloquer la concurrence d'Amazon par des bizarretés légales, il leur suffit d'avoir une offre qui plaise.

                • [^] # Re: Il y a Amazon, et Amazon

                  Posté par  . Évalué à 7. Dernière modification le 14 avril 2023 à 12:39.

                  Pas de soucis, chacun est libre…

                  Merci. ;-)

                  Enfin, suite au lobbying pour obliger Amazon à vendre plus cher que le prix unique (bien pourri, car on n'oblige pas les librairies à ajouter les frais de leur magasin ni RH, donc vraiment juste de lobbying conservateur pour bloquer la concurrence)

                  Ça n'est pas vraiment ça. Amazon fait du dumping en ne comptant pas les frais d'expédition alors que ces frais existent (tu sais, toi, comment envoyer un livre à un parent sans payer le distributeur ?)

                  Comme ils ne peuvent pas toucher au prix du bouquin, ils grignotent sur le port. Les seuls qui puissent s'aligner sont les grosses boîtes, qui arrivent à se rattraper sur le nombre, comme Fnac ou Cultura. Les petits libraires ne peuvent pas s'aligner (en tout cas pas sur des petits achats) et perdent donc des clients dû à la petite taille de leur chiffre d'affaire.

                  Si on a encore des librairies indépendantes, c'est bien grâce à cette réglementation du prix unique du livre. Sinon, il se passerait ce qui s'est passé pour les commerces de proximité (les hypermarchés cassent les prix, les petits commerces mettent la clé sous la porte, les hypermarchés devenus sans concurrence autre qu'entre eux-mêmes augmentent les prix au niveau où en était le petit commerce, sinon plus), ou ce qui se passe avec Uber et AirBnB qui augmentent leurs pourcentages au fur et à mesure que la concurrence disparaît.

                  Pour une fois que l'État prend le parti de la protection de la concurrence, alors que son audition sélective aurait plutôt tendance à entendre les groupes financiers puissants, tu réclames et trouves ça injuste ?

                  Je n'aime pas amazon non pas spécialement parce que c'est un lobby, mais parce que c'est une boîte prétendant à un quasi-trust mondial, qui plus est fonctionne sur l'espionnage de la vie privée, tant honni dans les colonnes de ce site. Pas plus que je n'aime (et tente d'éviter le plus possible) Uber, AirBnB, Facedebouc et son ignoble Whatnaze prétendant monopoliser la presque-totalité des communications téléphoniques mondiales, etc.

                  A noter que ldlc et compagnie n'ont pas besoin de bloquer la concurrence d'Amazon par des bizarretés légales,

                  Payer le port sur un achat de 100 € ou plus n'est pas aussi significatif que de le payer sur 10 € et le client y prête moins attention. D'ailleurs, la plupart des boîtes offrent le fret gratuit au dessus d'une certaine somme d'achat (le bénef sur la transaction permettant d'offrir ce rabais — oui, c'est une ristourne vu que le commerçant paye le port, mais ne le compte pas), ce qui correspond très exactement à la nouvelle mesure que tu décries (la nouvelle réglementation libère l'obligation de compter le port au-dessus de 35 € d'achat).

                  • [^] # Re: Il y a Amazon, et Amazon

                    Posté par  . Évalué à 7.

                    (temps d'éditon passé, je voulais rajouter ça :)

                    Après, si tu ne veux pas payer le port sur un bouquin, il suffit d'aller le commander chez le libraire du coin ; si tu vis en France, il y en a sûrement un dans les parages, et c'est une bonne pratique, permettant de ventiler ton argent sur des petits acteurs plutôt que sur les faiseurs de ce monde (qui en ont une vision inhumaine).

                  • [^] # Re: Il y a Amazon, et Amazon

                    Posté par  (site web personnel) . Évalué à -6.

                    Ça n'est pas vraiment ça. Amazon fait du dumping en ne comptant pas les frais d'expédition alors que ces frais existent (tu sais, toi, comment envoyer un livre à un parent sans payer le distributeur ?)

                    Je ne sais pas non plus comment avoir une librairie sans avoir un local pour, ni une personne à la caisse, ce sont des frais et le lobby des libraires n'a bizarrement pas demandé à ce que ce soit en plus du prix unique des livres.
                    Il n'y a pas de dumping ici, chacun a ses frais pour fournir le service (le livre dans les mains du client), faut arrêter avec la com' d'un lobby.

                    Je respecterai les libraires si ils acceptent un véritable prix unique (à défaut de ne pas supprimer la chose, admettons qu'on fait avec) donc soit incluant frais (même prix partout pour le service de fourniture de livre) ou excluant frais (si les prix unique était sans leur part, et qu'ensuite les libraires ou Amazon ajoutent leur frais), bizarrement le lobbying a été d'avoir un prix unique incluant les frais des libraires mais excluant les frais d'Amazon…

                    Si on a encore des librairies indépendantes, c'est bien grâce à cette réglementation du prix unique du livre.

                    Bizarrement, on fait comme si c'était forcément bien. Désolé, ce n'est pas l'avis de tout le monde.
                    A partir du moment où la base de ton argumentation tombe car absolument pas argumentée et biaisée suivant tes idées, tout tombe.

                    Sinon, il se passerait ce qui s'est passé pour les commerces de proximité

                    Oui, et?
                    Ha oui, tiens, les monoprix et Carrefour Market font du commerce de proximité un retour, car ils ont su… Attirer, et pas en interdisant ce qui ne plaisait pas.

                    Si les libraires indépendant sont utiles, qu'ils le montrent en attirant les clients, pas en les obligeant à venir en forçant (par la loi) plus cher pour la compétition qui ne leur plaît pas (déjà que même prix est un biais… Mais admettons qu'on accepte déjà le même prix).

                    qui augmentent leurs pourcentages au fur et à mesure que la concurrence disparaît.

                    Et ça permet à d'autres d'offrir moins cher, si si, certes il y a la prime au plus gros mais ça a aussi des frais, si si.
                    Et AirBnb ou Uber ont de la compétition comme Amazon, pas de monopole (même de fait).

                    Pour une fois que l'État prend le parti de la protection de la concurrence, alors que son audition sélective aurait plutôt tendance à entendre les groupes financiers puissants, tu réclames et trouves ça injuste ?

                    Vu comment tu l'affiches forcément ça serait injuste de ne pas faire, mais le problème est que ton affichage est biaisé.
                    Ce qui est injuste est d'inclure des frais et pas d'autres dans le prix unique (concurrence biaisée suivant le mode de livraison).
                    Ce qui est injuste est de punir les gens (en faisant plus cher pour eux) les gens qui ne sont pas d'accord avec une méthode spécifique de vente d'un livre (les lecteurs préférant une offre plus adaptée à leur façon de vivre sont punis).

                    ce qui correspond très exactement à la nouvelle mesure que tu décries (la nouvelle réglementation libère l'obligation de compter le port au-dessus de 35 € d'achat).

                    Absolument rien à voir entre un choix commercial d'une entreprise et une obligation légale.


                    Le pire est sans doute que tu ne vois pas que tes arguments biaisés avec des "évidences" qui sont loin d'en être (c'est plutôt le contraire) me donnent encore plus envie de faire l'inverse de ce que tu cherches à me convaincre de faire, car mon acte d'achat devient un geste politique face à des trucs "évident que c'est pour ton bien" : jusqu'à maintenant j'achetai suivant comme ça venait avec un peu plus d'Amazon déjà par la loi stupide d'avant mais 0.01 € possible la loi affichait bien que c'était une loi pour le fun, demain je paierai plus cher comme geste politique devant une tentative de me forcer par le prix plutôt que l'incitation à aller quelque part.

                    J'ai donné assez de place pour du moinsage, les lecteurs ont 2 opinions et concluront pour eux.

                    • [^] # Re: Il y a Amazon, et Amazon

                      Posté par  . Évalué à 9.

                      bizarrement le lobbying a été d'avoir un prix unique incluant les frais des libraires mais excluant les frais d'Amazon…

                      Ben oui, c'est le mode de distribution le moins intéressant pour le consommateur mais que l'on cherche a protéger. Ca parait logique sinon tu fais rien :-)

                      Bizarrement, on fait comme si c'était forcément bien. Désolé, ce n'est pas l'avis de tout le monde.

                      Ouais la non je te suis pas. Que vaut Amazon en terme d'emploi ? Des salaries payes au smic qui courent comme des fous dans des entrepôts géants ? Compare au commerce de proximité ou ce sont beaucoup d’indépendants, des gens qui se font une expérience valorisable autrement que "j'ai couru comme un con toute la journée": ca peut etre de la comm', entretenir un site web, du merchandising, du management, la relation client.

                      En terme d'emplois, que ce soit en nombre ou en qualité, on a clairement intérêt a maintenir le commerce de proximité.

                      Est-ce que maintenir des emplois un minimum de qualité ne mérite pas que l'on paie quelques euros en plus si on a la flemme de se déplacer ?

              • [^] # Re: Il y a Amazon, et Amazon

                Posté par  (site web personnel) . Évalué à 3.

                Mais bon, pour ma part, tant qu'à acheter en ligne, je vais direct sur lalibrairie.com, qui fonctionne avec des librairies physiques. Pour le choix ou la recherche des livres, babelio.

                Ma seule expérience avec lalibrairie.com était plutôt négative. J'ai reçu ce mail :

                Nous avons procédé le 08/07/2022 à l'expédition de votre commande lalibrairie.com.

                Celle-ci sera à votre disposition dans un délai de 24h à 48 heures chez votre point libraire.

                La commande est arrivé 12 jours après :( Entre temps j'ai du faire des aller-retours chez le commerçant. « Toujours pas arrivé ? Ah bon, parce que j'ai pourtant le mail de confirmation… ». Commerçant antipathique qui plus est.

                Maintenant pour les livres c'est Recyclivre, Momox Shop, ou Rakuten. Et s'il n'y a pas, Amazon. Au moins avec ceux-là ça arrive vite et le livreur est sympa.

                • [^] # Re: Il y a Amazon, et Amazon

                  Posté par  (site web personnel, Mastodon) . Évalué à 1.

                  Livraison par La Poste ? (déjà que même en express ça peut arriver bien après un autre parti en normal le même jour…)
                  Commerçant libraire ou magasin faisant point de livraison ? Après on s'offusque pour une personne peu amène, mais je ne trouve pas ça pire qu'une page web qui ne sait rien dire d'autre et basta.

                  “It is seldom that liberty of any kind is lost all at once.” ― David Hume

  • # 3dsecure optionnel

    Posté par  (site web personnel) . Évalué à 3.

    J'ai quand même plusieurs incompréhensions, j'ai normalement souscrit auprès de ma banque (la Caisse d'Épargne) à une option qui active la double authentification pour tout achat fait avec une CB, je dois sur mon téléphone ouvrir l'application de la banque, rentrer mon code secret, et valider l'achat. Je n'ai pas reçu de notification pour ces 2 transactions.

    Les paiements via 3dsecure ne sont pas obligatoires (malheureusement). C'est propre au marchands et beaucoup ne le font pas pour leur raisons :

    • Ça bloque certains acheteurs qui aiment pas ça.
    • Ça coute de l'argent.

    J'ai plusieurs sites où malheureusement je continue de payer sans aucune authentification de ma part.

    J'ai aussi eu des paiements frauduleux en 2018 mais c'est ma banque qui m'a avertit directement en m'appelant. Un paiement d'environ 70€ sur un site de robes… choses que j'achète assez peu. Je remercie ma banque d'avoir pris cette précaution et d'avoir remarqué je ne sais par quelle manière ce paiement car en plus de ça j'étais en vacances alors je ne regardais pas spécialement mon compte tous les jours.

    À ce jour, je n'ai aucun moyen de savoir comment cela a pu arriver.

    git is great because linus did it, mercurial is better because he didn't

  • # Duplication de compte ?

    Posté par  . Évalué à 2.

    J'ai déjà vu ça une fois. Ce n'était pas un piratage Amazon mais un compte secondaire créé avec les mêmes coordonnées bancaires …

    Un bug Amazon ?

  • # pour approfondir

    Posté par  . Évalué à 2.

    bonjour

    j'ai pas trop vraiment osé intervenir jusqu'ici car j'ai eu du mal à interpréter la situation, mais…
    https://www.leparisien.fr/high-tech/des-prelevements-bancaires-inconnus-signales-gare-a-cette-nouvelle-fraude-01-05-2023-R3EGBP3Z5RBUDGA4B57OOSIH3I.php

    je me demande si c'est relatif..
    sinon, demander le "topic banque" d'un certain forum hardware, avec une jolie expertise là dessus.. ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.