Journal Ils sont devenu fous

Posté par  . Licence CC By‑SA.
12
11
juin
2023

Cher journal

Pour sécuriser les paiements internet, en plus du code reçu par internet une double authentification est désormais demandé (meme en utilisant des cartes virtuelles que l'on vient de générer)

Il faut donner le mot de passe de son compte. C'est complètement stupide, on ne cesse de répéter qu'il ne faut pas communiquer à tout va son mot de passe… Vive les sites de phising pour récupérer les mots de passe bancaire. Les url de vérif sont souvent des noms obscure que personne ne connaît.
Alors qu'il aurait été très simple de fournir un code secret dissocié du compte à utiliser

Je désespère d'avoir un système de paiement propre et sécurisé.

  • # gné?

    Posté par  . Évalué à 10.

    Je n'avais jamais entendu parler d'une méthode d'authentification pour un paiement en ligne consistant à donner le mot de passe de son compte.

    Est-ce que tu n'es pas justement en train de te faire attraper un hameçonnage ?

    Plus sérieusement, c'est quelle banque encore qui fait ça ?

    Par contre, maintenant à vouloir trop en faire (ou pour d'autres raisons?) certaines banques imposent d'utiliser des applications téléphoniques pour s'authentifier et c'est souvent très pénible pour les personnes âgées. Ma grand-mère arrivait sans problème à faire quelques courses en ligne, en validant un secure code avec un code recu par SMS, mais depuis un certain temps, sa banque (BNP) l'a obligé d'utiliser une "Clé Digitale" qui passe par une application. Ça impose d'avoir un "smartphone", de manipuler le tactile, c'est beaucoup plus lourd et ça peut être très pénible pour un gain de sécurité marginal sinon inexistant.

    • [^] # Re: gné?

      Posté par  . Évalué à -6.

      Tous les paiements par 3-D Secure demandent ton mot de passe.

      • [^] # Re: gné?

        Posté par  . Évalué à 10.

        Pas systématiquement à ma connaissance. Les modalités d'authentification varient d'une banque à l'autre.

        Parfois (souvent même) l'authentification 3D secure se fait simplement avec un code reçu par SMS.

        D'autres banques demandent aussi, et en plus, un mot de passe fixe (c'est le cas de la mienne depuis peu, crédit mutuel) mais ce mot de passe est différent du mot de passe pour accéder à mes comptes.

      • [^] # Re: gné?

        Posté par  (site web personnel, Mastodon) . Évalué à 5.

        Chez LCL, t'as le choix entre un code ou ton empreinte digitale.

        • [^] # Re: gné?

          Posté par  (Mastodon) . Évalué à 6.

          Idem chez Crédit Mutuel, téléphone portable avec empreinte ou code PIN (spécifique à l'appli)

          En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

      • [^] # Re: gné?

        Posté par  (site web personnel) . Évalué à 7.

        De mon côté, avec le Crédit Agricole, les paiements 3D secure requièrent et un code transmis par SMS, et un code spécifique aux achats sur internet.

      • [^] # Re: gné?

        Posté par  (site web personnel) . Évalué à 4.

        Le paiement 3D secure c'est pas la méthode qui compte, c'est tout simplement de vérifier que le paiement est réalisé par la bonne personne. Chaque banque a son propre système. Le mot de passe n'est pas un problème, cela évite surtout qu'une personne qui trouve une CB dans la rue puisse acheter n'importe quoi sur internet. Seul problème, c'est que 3D secure est facultatif et que certains sites marchands ne veulent pas l'implémenter (pour diverses raisons).

        Chez crédit mutuel cela varie du code par SMS à l'application où il faut se loguer et taper un code confidentiel. L'utilisateur a l'embarras du choix pour certaines banques.

        git is great because linus did it, mercurial is better because he didn't

        • [^] # Re: gné?

          Posté par  (site web personnel) . Évalué à 10. Dernière modification le 12 juin 2023 à 10:46.

          La directive DSP2 a renforcé les mesures en ce qui concerne l'authentification des achats. À partir du moment où le vendeur choisit d'utiliser 3D Secure (c'est pas obligé, notamment Amazon ne le fait pas), il y a maintenant deux secrets à fournir, parmi trois catégories.

          Les catégories sont :

          • Ce que tu es (biométrie) : empreinte digitale, oculaire, vocale…
          • Ce que tu as : token générateur de code unique, carte SIM pour recevoir un code unique…
          • Ce que toi seul sais : code PIN, mot de passe…

          Ça fait des années que ces normes ont été définies, les banques ont obtenu des délais supplémentaires pour les mettre en place, là on est au bout du bout du dernier délai il me semble.

          Beaucoup de banque on choisi un code ou mot de passe spécifique pour les achats Internet. Fortuneo a pété un plomb et réutilise le mot de passe d'accès aux comptes…

          • [^] # Re: gné?

            Posté par  . Évalué à 2.

            Fortuneo a pété un plomb et réutilise le mot de passe d'accès aux comptes…

            Boursorama également (expérience vécue en Allemagne dernièrement, mais jamais ailleurs)

        • [^] # Re: gné?

          Posté par  . Évalué à 5.

          Seul problème, c'est que 3D secure est facultatif et que certains sites marchands ne veulent pas l'implémenter (pour diverses raisons).

          Je ne suis pas convaincu que ça soit un "problème". Ça m'est arrivé une fois (achats en ligne sur ma carte toujours en ma possession), et le remboursement est très rapide. Je ne sais pas qui prend en charge les frais, mais j'imagine bien que les sites n'utilisant pas 3d secure en sont pour leur poche, au moins en partie, en cas d'incident de payement.

          • [^] # Re: gné?

            Posté par  (site web personnel) . Évalué à 3.

            C'est pas un problème pour le client en effet. C'est un choix du vendeur, qui prend le risque financier de ne pas bien valider la carte du client, mais qui du coup a un parcours d'achat plus fluide. C'est le choix d'Amazon.

            • [^] # Re: gné?

              Posté par  (site web personnel) . Évalué à 2.

              En sachant que dans le cas d'Amazon, tes données bancaires vont fuiter, et seront réutilisées pour des achats chez Amazon… c'est assez pénible.

              Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

              • [^] # Re: gné?

                Posté par  . Évalué à 4.

                1) Elles ne sont conservées qui si tu le demandes.
                2) Et quand bien même ils les garderaient à ton insu, pas de problème avec une carte virtuelle e-carte (ouf, j'ai failli révéler ma banque).

                • [^] # Re: gné?

                  Posté par  (site web personnel) . Évalué à 4. Dernière modification le 13 juin 2023 à 11:21.

                  De l'expérience que j'ai, Amazon conserve tous les moyens de paiement et te propose d'en sélectionner un lors du paiement. Moi qui utilise des e-cartes, j'ai dans mes moyens de paiements une bonne vingtaine de cartes, et quasiment toutes périmées (genre je vais choisir une carte périmée??). Je n'ai pas trouvé moyen de les enlever.

                  À ce niveau de bêtise, je pense que c'est juste fait pour t'inciter à utiliser ta vraie carte.

                  Un LUG en Lorraine : https://enunclic-cappel.fr

                  • [^] # Re: gné?

                    Posté par  . Évalué à 4. Dernière modification le 13 juin 2023 à 11:42.

                    Ton expérience doit dater un peu. Aujourd'hui, quand tu ajoutes une carte il t'est proposé de la garder pour un prochain achat (oui/non, les deux cases sont décochées).

                    Je n'ai pas trouvé moyen de les enlever.

                    Tu n'as pas dû chercher beaucoup : c'est dans Compte/Vos paiements.

                    À ce niveau de bêtise, je pense que c'est juste fait pour t'inciter à utiliser ta vraie carte.

                    Le fait qu'ils aient rajouté cette case à cocher montre que non, justement (j'imagine qu'ils s'en fichent).

    • [^] # Re: gné?

      Posté par  . Évalué à 10.

      Chez Société Générale, si tu refuses/ne peux pas utiliser l'application sur smartphone, alors tu es dans le cas décrit : en sus du mot de passe reçu par SMS, il faut donner son identifiant bancaire et son mot de passe d'accès au site de la banque pour valider l'achat…

      Lors de la première occurrence chez moi, j'ai appelé la banque qui était étonnée mais c'est bien ce qui se produit.

      J'imagine qu'avec l'application de la banque alors l'authentification se fait via l'application et non via le compte client en ligne.

      A mes yeux, c'est double-peine pour une population moins à l'aise avec la chose électronique : elle est de fait plus exposée à un vol de ses données bancaires puisqu'habituée à saisir son identifiant/mot de passe du compte bancaire pour valider chaque achat en ligne.

  • # C'est pas forcément définitif

    Posté par  (site web personnel) . Évalué à 6.

    A La Banque Postale, ils ont mis ça en place pendant un mois ou deux, avant de basculer sur un mot de passe dédié, que tu rentres dans l'application du IntélligentSon.

    Bizarre mais j'ai été comme toi outré, puis soulagé quand le système a basculé. Espéront que cela sera aussi ton cas.

    • [^] # Re: C'est pas forcément définitif

      Posté par  (site web personnel, Mastodon) . Évalué à 8.

      Je suis à la Banque Postale, et comme je refuse d’utiliser leur appli peine de traqueurs, je me retrouve dans le cas indiqué : code reçu par texto puis mot de passe du compte bancaire à saisir dans un cadre dont l’URL pourrait être du hameçonnage.

      • [^] # Re: C'est pas forcément définitif

        Posté par  . Évalué à 2.

        Je suis aussi à la BanquePostale et je refuse aussi leur foutu applications (d’ailleurs je suis même pas sure qu'elle fonctionnerait avec mon LineageOS).

        Par contre le coups du mot de passe est aléatoire.
        Avec certains marchands c'est uniquement le code reçu par SMS et avec d’autres il faut aussi le mot de passe.

        Et ayant écrit ça, il me semble me souvenir que avec certains aucunes de ces informations n’est demandé ; mais c’est beaucoup plus rare et je n’ai pas d’exemple en tête.

        J'avoue ne pas savoir la raison exacte.

      • [^] # Re: C'est pas forcément définitif

        Posté par  . Évalué à 3.

        pareil pour mon compte, ce qui me force a utiliser ublock pour voir l'origine de tous cela, ainsi que les certificats qui vont bien. Très chiant

        la caisse d’épargne aussi le font.

        j'imagine qu'en comité de direction ils ont trouvé cela très intelligent pour éviter d'ennuyer ses utilisateurs de plus de 50 ans

        j'envoie des mails à chaque fois et a chaque fois j'ai droit à : non tout va bien de notre coté, il ne faut jamais entrer votre code sur internet sur des sites que vous ne connaissez pas.

        la prochaine fois n’enregistrerais l'url qui est du genre très long:

        banque.postal.com.w3.paiements.obscure.boite.de.paiements.com/cession=?12235574 etc …

        comme c'est intégré dans la fenêtre c'est très penible pénible de vérifier le certificat.

  • # Moi aussi ça m'a fait ça.

    Posté par  (site web personnel) . Évalué à 6. Dernière modification le 11 juin 2023 à 23:12.

    Devoir donner id + mdp du portail bancaire à chaque paiement par carte.

    Une banque.

    Oui.

    Auparavant, c'était sms + e-pin, depuis peu de temps, redirection par le portail client, puis sms.

    "Solution" temporaire : un profil firefox tout propre pour chaque paiement.
    Je n'ai pas d'idée moins mauvaise, donc si vous avez des suggestions … (oui, changer de banque … Mais non).

    • [^] # Re: Moi aussi ça m'a fait ça.

      Posté par  . Évalué à 4.

      Changer de banque, non, mais multiplier les banques en fonction du besoin.
      A vous de voir avec les frais, mais cela peut se faire sans.
      Ou tout simplement demander un 2e compte courant auquel serait uniquement rattaché la carte bancaire.
      J'avais donné comme argument que lorsqu'on connaît la fiabilité des cartes bancaires la question ne se pose pas.
      Un peu plus de gestion, rien de bien méchant.

  • # faux, c'est confondre.;.

    Posté par  . Évalué à 2.

    entre se connecter à son espace en ligne (donc id/mdp au bon endroit) et valider le mdp sur le site du commercant

    le commercant redirige souvent vers une interface de paiement qui fait 'intermédiaire entre sa banque et son commerce, et dans le process, oui il y aura une étape où se connecter sur l'interface de sa banque en ligne est obligatoire, mais cette étape est indépendante/étanche du site du commercant, ya seulement une passerelle pour transmettre l'information de validité du paiement.;

    étant chez bourso, et n'ayant pas l'appli, depuis la DSP2 obligatoire partout, le sms ne suffit plus, et est interdit en méthode seul partout, et c'est pas faute d'avoir prévenu (toutes les banques l'ont dit)
    la DSP2, c'est obliger le consommateur à se connecter à son espace bancaire personnel/individuel pour éviter les arnaques au code par sms, car ce mdp, au moins le consommateur débile, aura normalement l'intelligence de ne pas le refiler à un tiers, à contrario de ceux qui se faisaient avoir par des brouteurs et leurs refilaient le code reçu par sms.

    pour avoir la meme chose, il m'arrive souvent de devoir me connecter à mon espace perso boursorama pour valider une transaction, mais c'est absolument pas envoyer mes code au commercant, pour qui cette étape dans l'opération n'est pas visible évidemment

    • [^] # Re: faux, c'est confondre.;.

      Posté par  (site web personnel) . Évalué à 6.

      Non c'est pas faux, ça doit être une des conséquences de DSP2, le SMS seul n'étant plus jugé assez sûr, il faut ajouter une deuxième catégories de secret, par exemple quelque chose que l'utilisateur est le seul à savoir (un mot de passe) ou quelque chose que l'utilisateur est le seul à être (une empreinte digitale).

      De nombreuses banques ont mis en place un petit code / mot de passe spécifique aux achats Internet (LCL, CA, BNP pour ceux que je connais).

      … Fortuneo a juste mis le mot de passe principal du compte bancaire. Sur une URL bien illisible. …

      Ma mâchoire traîne encore quelque part par terre.

      • [^] # Re: faux, c'est confondre.;.

        Posté par  . Évalué à 1.

        Fortuneo a juste mis le mot de passe principal du compte bancaire. Sur une URL bien illisible.

        J'ai un compte Fortuneo et je ne comprends pas cette phrase (sans doute parce que je passe par l'appli pour valider la transaction).

        Où et quand apparaît cette URL* ?

        * qu'elle soit illisible ou pas ne change pas grand chose, il ne devrait pas y avoir d'URL proposée, jamais ; ça contredit le message de ne jamais cliquer sur un lien censé donner accès à l'écran de connexion d'un compte.

        • [^] # Re: faux, c'est confondre.;.

          Posté par  . Évalué à 8.

          Ma femme vient juste d'avoir la même mésaventure et elle est chez fortuneo. Elle voulait passer commande sur un site internet. Elle est redirigé vers un intermédiaire de paiement pour y rentrer les coordonnées de sa CB virtuelle. Jusque là que du classique.

          Mais ensuite, on lui demande de rentrer son mot de passe Fortuneo, et il est bien précisé que c'est celui pour se connecter à son compte client dans cette banque (!). Comme elle sait depuis plusieurs années, qu'il ne faut pas communiquer ses codes à des tiers, elle a trouvé cela bizarre et s'est arrêtée là, car elle n'était pas sur le site de sa banque.

          S'il s'avère que c'est maintenant la procédure de donner son mot de passe sur des sites autres que sa banque, cela va être encore plus la fête de l'arnaque !

          • [^] # Re: faux, c'est confondre.;.

            Posté par  . Évalué à 3.

            Ok, au temps pour moi, je viens de me rendre compte que j'ai reçu il y a quelques jours un mail de Fortuneo expliquant la nouvelle procédure de validation par SMS mais comme je valide via l'application je n'y avais pas prêté attention.

            Cette nouvelle procédure indique qu'il faut d'abord saisir le code SMS reçu (comme avant, donc) puis effectivement le mot de passe du compte. Je n'ai pas fait la manip mais d'après ce que je lis ici, un lien s'affiche pour aller sur ce qui est censé être le site de la banque (et non celui de l'intermédiaire de paiement comme ta femme l'a supposé) et là il faut saisir le mot de passe. Personne ne parle de saisir le login, donc j'imagine que le lien contient cette information (chiffrée j'espère).

            On doit pouvoir ignorer ce lien et se connecter via son navigateur à la banque et valider la transaction par ce moyen. La banque a certainement voulu répondre à l'obligation réglementaire de compléter la validation par SMS pour ceux n'utilisant pas leur appli en offrant un "raccourci ergonomique" bypassant l'étape navigateur ce qui est effectivement une très mauvaise idée (moins problématique s'il y avait un mot de passe alternatif, mais toujours pas une bonne idée car on casse le message "ne jamais cliquer sur un lien donnant accès à une page de connexion").

            Ceci étant dit, s'il s'agit d'un psishing, l'attaquant n'a "que" le mot de passe, pas le login. Ce "que" n'est certes pas très satisfaisant (c'est le moins qu'on puisse dire) mais ça complique l'attaque car il faut trouver un autre moyen d'obtenir cet identifiant (il n'apparaît pas sur le RIB et j'ose espérer qu'on ne le poste pas sur Facebook ou Instagram).

            • [^] # Re: faux, c'est confondre.;.

              Posté par  . Évalué à 10.

              Je n'ai pas fait la manip mais d'après ce que je lis ici, un lien s'affiche pour aller sur ce qui est censé être le site de la banque (et non celui de l'intermédiaire de paiement comme ta femme l'a supposé) et là il faut saisir le mot de passe.

              En fait, tu restes sur la page de prestataire (ici, c'était citelis.fr), et l'intégration se fait par iframe.

              C'est vraiment ruiner des années de pédagogie pendant lesquelles il a été constamment répété qu'il ne fallait pas donner ses codes à un tiers, et qu'il fallait constamment surveillé si on était bien sur le site de sa banque en vérifiant la barre d'url.

              • [^] # Re: faux, c'est confondre.;.

                Posté par  . Évalué à 3.

                C'est vraiment ruiner des années de pédagogie pendant lesquelles il a été constamment répété qu'il ne fallait pas donner ses codes à un tiers, et qu'il fallait constamment surveillé si on était bien sur le site de sa banque en vérifiant la barre d'url.

                Surveiller la barre d'URL est évidemment une recommendation censée mais elle peut être contre-productive si elle aboutit à faire baisser la vigilance. Il est en effet facile de tromper une personne non avertie, surtout sur un téléphone, sans parler de certains caractères qui se ressemblent comme deux gouttes d'eau. La seule consigne efficace est de taper soit-même l'URL ou, bien sûr, d'utiliser un marque-page.

            • [^] # Re: faux, c'est confondre.;.

              Posté par  (site web personnel) . Évalué à 2.

              d'après ce que je lis ici, un lien s'affiche pour aller sur ce qui est censé être le site de la banque (et non celui de l'intermédiaire de paiement comme ta femme l'a supposé) et là il faut saisir le mot de passe

              Pas du tout, aucun lien à cliquer, l'authentification s'affiche automatiquement en iframe ou nouvel onglet, c'est juste une étape de plus dans le parcours 3D Secure.

              L'envoi des données, y compris le mot de passe si j'ai bien vu, se fait sur l'intermédiaire de paiement, c'est complètement indépendant d'une session qu'on aurait éventuellement ouverte en parallèle sur le site Fortuneo.

              • [^] # Re: faux, c'est confondre.;.

                Posté par  . Évalué à 2. Dernière modification le 12 juin 2023 à 12:10.

                Donc 3D Secure a le mot de passe ???

                C'est conforme au RGPD, ça ?

                • [^] # Re: faux, c'est confondre.;.

                  Posté par  (site web personnel) . Évalué à 4.

                  Je pense que ce n'est pas incompatible RGPD, puisque dans le cas présent Worldline est un prestataire de Fortuneo en ce qui concerne la gestion du 3D Secure.

                  Pour être bien clair vu qu'on parle de deux intermédiaires, le mot de passe n'est pas transmis à l'intermédiaire de paiement du marchand, mais uniquement au sein des pages 3D Secure de Worldline.

                  (Mais ça reste complètement hallucinant. J'essaierai de tracer encore plus précisément les URL appelées lors de mon prochain paiement Internet pour vérifier que je n'hallucine pas. Mais je suis assez certain que je n'hallucine pas.)

        • [^] # Re: faux, c'est confondre.;.

          Posté par  (site web personnel) . Évalué à 6.

          C'est l'URL des pages d'authentification 3D Secure, gérées par Worldline pour Fortuneo.

          C'est juste bien illisible pour l'utilisateur lambda, exemple concret pour le paiement que je viens de faire à l'instant : https://ssl-prd-u9f-fo-acs-pa-bxl.wlp-acs.com/acs-auth-pages/(...)

          Certains sites affichent ces pages en iframe, auquel cas l'utilisateur ne voit pas l'URL et est sur un parcours habituel avec une nouvelle étape un peu louche. Mais d'autres affichent la page dans un onglet à part, et l'utilisateur est confronté à cette nouvelle étape un peu louche avec une adresse super louche. De quoi ne plus faire confiance en rien.

          Je pense que Fortuneo s'est retrouvé au pied du mur en termes d'obligation d'implémenter DSP2, et a fait un truc à l'arrache. C'est vraiment décevant.

  • # Dans le pays plat ...

    Posté par  . Évalué à 9.

    Quand je vivais aux Pays-Bas entre 2000 et 2007, ma banque (ABN-AMRO) fournissait un petit lecteur de carte à puces ressemblant à une petite calculatrice de poche.

    La banque envoyait un code à 4 (ou 6?) chiffres qu'il fallait saisir sur le lecteur avec le code secret de la carte. L'appareil fournissait alors un code unique permettant de s'identifier.

    https://nl.wikipedia.org/wiki/E.dentifier

    J'avais le modèle vert sur la photo de la page wiki.

    Le lecteur était vraiment basique et ne coûtait probablement que quelques euros à fabriquer.

    • [^] # Re: Dans le pays plat ...

      Posté par  . Évalué à 5.

      Pareil en Belgique depuis de nombreuses années pour la plupart des banques

      • [^] # Re: Dans le pays plat ...

        Posté par  . Évalué à 5.

        J'ai le même au Crédit Coop (France). Aussi bien en tant que particulier qu'en tant que trésorier d'asso.

        • [^] # Re: Dans le pays plat ...

          Posté par  . Évalué à 2.

          J'ai le même au Crédit Coop (France). Aussi bien en tant que particulier qu'en tant que trésorier d'asso.

          Merci de m'avoir apporté une réponse à mon post du coup 😅

      • [^] # Re: Dans le pays plat ...

        Posté par  . Évalué à 5.

        En Belgique, j'ai aussi une pile d'appareils comme ça à la maison de diverses banques et époques et également des digipass dans ce style-là:

        digipass

        Mais tous sont en train de tomber en désuétude au profit d'applications sur smartphone dans laquelle il faut scanner un code QR ou équivalent.

        J'ai aussi une banque dans laquelle je ne dispose que d'une carte visa, et l'identification se fait soit via le mot de passe avec une page dégueulasse quasi sans style, avec des URLs improbables, soit via l'application smartphone. La même banque fournit un digipass pour les gens qui ont un compte à vue.

        Le pire côtoie le meilleur, comme souvent.

    • [^] # Re: Dans le pays plat ...

      Posté par  . Évalué à 5. Dernière modification le 12 juin 2023 à 11:42.

      un petit lecteur de carte à puces ressemblant à une petite calculatrice de poche.

      J'ai le même type de dispositif chez le crédit coopératif avec un compte professionnel. Je ne crois pas par contre que ça soit répandu pour les particuliers en France (et si c'est le cas, j'aimerais bien connaître les banques qui propose ce service).

      Édit: C'est au moins possible aussi pour les particuliers chez le crédit coopératif.

      • [^] # Re: Dans le pays plat ...

        Posté par  (site web personnel) . Évalué à 4.

        Possible à la Banque Populaire aussi, sur demande du client.

        Ce que je compte faire, parce que l'application pour Android a eu le mauvais goût de m'exploser entre les doigts pendant plusieurs mois et que je n'ai pas trop envie que ça arrive de nouveau. C'est à dire que suite à une mise à jour, elle ne démarrait même plus. J'avais trouvé un moyen d'installer une ancienne version, que j'ai gardé jusqu'à ce qu'elle ne soit plus acceptée. À ce moment-là, j'ai forcément installé une nouvelle version, qui fonctionnait. Tant mieux, mais ça refroidit.

        (Au passage, heureusement que mon téléphone est rooté, ça permet de sauvegarder ce genre de logiciel pour pouvoir en essayer plusieurs versions sans perdre tout leur configuration, et surtout sans perdre l'association avec le compte client.)

    • [^] # Re: Dans le pays plat ...

      Posté par  . Évalué à 3.

      ma banque (ABN-AMRO) fournissait un petit lecteur de carte à puces ressemblant à une petite calculatrice de poche

      Ils fournissent toujours celui qui est vert foncé sur la photo en haut à gauche.
      Effectivement, ça te fournit un challenge à 6 chiffres à fournir à la carte de paiement avec le code pin via le boîtier. Ca peut aussi te servir à te logger sur le site web si tu es désespéré et sans ton téléphone malin avec l'appli dessus.
      Après je ne sais pas comment c'était utilisé à ton époque mais personnellement je ne m'en sers quasiment jamais. Le seul use case c'est quand je dois dépasser mon plafond pour un virement (et la c'est relou car ça te demande une carte au hasard, pas forcement celle liée au compte du virement).
      Pour le reste, aux PB, le paiement de la plupart des trucs passe par iDEAL.

  • # Dis moi que tu es chez Fortuneo sans me dire que tu es chez Fortuneo

    Posté par  (site web personnel) . Évalué à 5.

    Tout est dans le titre ou presque.

    J'espère qu'ils vont rapidement passer à un mot de passe dédié pour les achats Internet, comme la plupart des autres banques.

    Parce que là c'est juste de la folie. J'hésite à passer chez Boursorama.

    • [^] # Re: Dis moi que tu es chez Fortuneo sans me dire que tu es chez Fortuneo

      Posté par  . Évalué à 4.

      Il peut aussi être à la Caisse d'Épargne

      ;)

    • [^] # Re: Dis moi que tu es chez Fortuneo sans me dire que tu es chez Fortuneo

      Posté par  . Évalué à 3.

      Parce que là c'est juste de la folie. J'hésite à passer chez Boursorama.

      Tout en étant totalement d'accord avec toi sur le principe, en ce qui me concerne je n'irais pas jusqu'à basculer sur Boursorama (j'ai les deux banques mais l'essentiel est sur Fortuneo). D'abord parce que je préfère largement les mots de passe permis par Fortuneo à ceux permis par Boursorama. Ensuite évidemment parce que j'utilise l'appli pour valider les transactions. Mais quand bien même je ne souhaiterais plus utiliser l'appli un jour, j'imagine que je pourrais encore valider la transaction en me connectant moi-même au site Fortuneo en web.

      J'aimerais quand même avoir confirmation de ce dernier point : est-il possible de bypasser tout ou partie du processus 3D Secure (soit en l'ignorant dès le début, soit après la saisie du SMS) et valider sur le site web ?

      • [^] # Re: Dis moi que tu es chez Fortuneo sans me dire que tu es chez Fortuneo

        Posté par  (site web personnel) . Évalué à 4. Dernière modification le 12 juin 2023 à 14:00.

        Je n'ai rien vu à ce sujet. Pas de liste d'opération en attente de validation. Le seul parcours de validation, c'est de saisir successivement le code reçu par SMS et le mot de passe, chez Worldline.

        • [^] # Re: Dis moi que tu es chez Fortuneo sans me dire que tu es chez Fortuneo

          Posté par  . Évalué à 4. Dernière modification le 12 juin 2023 à 14:42.

          Merci. Je posais cette question puisque sur l'appli il y a bien un menu "opérations en attente de validation". S'il n'y a rien sur le site web, c'est effectivement un problème pour ceux qui n'utilisent pas l'appli et qui n'ont donc pas d'autre parcours possible que celui dénoncé ici.

          Ces protections sont censées mieux protéger contre les achats internet effectuée avec une carte physique perdue alors que c'est un problème inexistant (ou qu'on peut rendre inexistant) chez Fortuneo ; au final, elles finissent par créer un potentiel problème de sécurité, un comble ! (mais ça n'excuse pas Fortuneo).

      • [^] # Re: Dis moi que tu es chez Fortuneo sans me dire que tu es chez Fortuneo

        Posté par  . Évalué à 3.

        sans appli, validation par SMS, de ce que j'ai pu experimenter:
        - chez boursorama: le site marchand ouvre une popup prestataire paiement et attends une réponse de boursorama ; il faut se connecter à son compte chez boursorama; une demande de paiement en attente vous saute à la figure; la valider ; se déconnecter de boursorama ; le prestataire de paiement a eu le message de son côté ; fin de l'opération.
        - chez fortuneo: le site marchand ouvre une popup prestataire paiement qui demande un code reçu par sms ; renseigner le code sms fourni par fortuneo ; fin de l'opération.

  • # Chez Caisse d'Epargne c'est le cas

    Posté par  (site web personnel) . Évalué à 7.

    Depuis un petit moment. Auth par SMS + mot de passe de compte. Sachant que le mot de passe du compte est à peine plus secret que l'identifiant de compte (8 chiffres - j'ai sollicité maintes fois la banque vis à vis de ça il y a bientôt 20 ans, sans espoir de retour).

    Il y a peut être une solution privatrice basée sur des ordiphones troués, mais perso je ne m'offre pas ce luxe.

    Adhérer à l'April, ça vous tente ?

    • [^] # Re: Chez Caisse d'Epargne c'est le cas

      Posté par  (site web personnel) . Évalué à 3.

      Pareil au Crédit Coopératif (qui a récupéré le SI de la caisse d'épargne il me semble - on est passé de mots de passe alphanumériques à un code à 8 chiffres à saisir sur un clavier virtuel… quelle régression !).

      Mais j'ai le choix entre utilisé un petit lecteur de carte bancaire qui donne un code unique, ou SMS + mot de passe du site bancaire.

  • # Conseil

    Posté par  . Évalué à 6.

    Même chose chez SG. Parfois, le cadre de demande d'authentification s'affiche dans la page du site commerçant donc l'url affichée par le navigateur ne change pas. La seule manière que j'ai trouvé pour vérifier la provenance du cadre et la connexion https est (de memoire) de faire un clic droit dessus, puis "ce cadre" et ensuite "inspecter l'élément". Une fenêtre affiche l'URL du cadre et la suite de chiffrement utilisée.
    Pas pratique à expliquer à ses proches…

  • # Double identification et item physique

    Posté par  . Évalué à 5.

    En principe, la double identification ne peut fonctionner que si on a une combinaison d'un secret (code PIN ou autre) et d'un item physique (smartphone, lecteur de carte…). La méthode du SMS est mauvaise parce que les cartes SIM peuvent être contournées, et il n'y a aucune certitude que celui qui reçoit le SMS possède physiquement le téléphone. Selon la définition que je connais, une redirection vers le site de la banque n'est pas une double identification, puisqu'il ne faudra connaitre qu'un seul secret (le code d'accès). Et complètement d'accord avec le PO, c'est une horreur de rediriger vers le site de la banque, parce que l'URL est invérifiable, et que ça ressemble exactement à une tentative de fishing; donner cette habitude est assez absurde.

    C'est un des (rares) cas où je trouve que la vérification par une application de smartphone a du sens, le smartphone est le genre d'objet qui peut souvent être associé à une personne.

    • [^] # Re: Double identification et item physique

      Posté par  (site web personnel) . Évalué à 2.

      Il y a un troisième cas en plus du secret et de l'item physique, qui est la biométrie, notamment avec les lecteurs d'empreinte digitale.

      Et ce qu'a mis Fortuneo en place est bien une double authentification : item physique (code reçu par SMS) + secret (mot de passe de leur site web).

      • [^] # Re: Double identification et item physique

        Posté par  . Évalué à 3. Dernière modification le 12 juin 2023 à 17:09.

        Le SMS n'est pas un item physique, puisque tu peux le recevoir sur n'importe quel téléphone muni d'une SIM dupliquée. Il est parfois d'ailleurs possible de consulter ses SMS sur le site web de l'opérateur… Si c'est utilisé pour s'assurer qu'on possède physiquement le téléphone, c'est une idée bien pourrie…

        • [^] # Re: Double identification et item physique

          Posté par  (site web personnel) . Évalué à 3.

          Le SMS est encore un peu considéré comme preuve de possession d'un item physique, même si effet la barque prend l'eau. C'est entre autres pour cela que la directive DSP2 impose d'utiliser deux authentifications différentes, et qu'il est prévu d'arrêter d'utiliser les SMS d'ici fin 2020. Enfin 2021. Euh bientôt quoi.

          • [^] # Re: Double identification et item physique

            Posté par  . Évalué à 4.

            Le SMS est encore un peu considéré comme preuve de possession d'un item physique, même si effet la barque prend l'eau.

            Quand tu y penses, c'est quand même presque comme si tu considérais qu'une connexion ssh était la preuve que tu possédais physiquement l'ordinateur sur laquelle la clé privée avait été générée. C'est quand même très indirect.

    • [^] # Re: Double identification et item physique

      Posté par  (site web personnel) . Évalué à 4.

      c'est une horreur de rediriger vers le site de la banque, parce que l'URL est invérifiable

      C'est une très bonne idée, mais il faut que ce soit bien cf https://linuxfr.org/users/linkdd/journaux/carte-bancaire-piratee-la-faute-a-qui#comment-1921240

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

  • # Alors, on redécouvre LinuxFR un an après ?

    Posté par  . Évalué à 4.

    Oui, je ne sais pas trop comment parler de mon propre journal, fait il y a plus d'un an sur le sujet : https://linuxfr.org/users/glandos/journaux/bpce-et-les-paiements-avec-authentification-a-deux-facteurs

    Bonne lecture. Je pense que les commentaires n'ont pas trop changés. Plein de bonnes idées, saines, et que les banques ne veulent pas implémenter. Surement pour des bonnes raisons, comme la dette technique. Et aussi pour pleins de très mauvaises raisons.

  • # Merci d'avoir ouvert ce billet!

    Posté par  . Évalué à 4.

    Merci d'avoir ouvert ce billet!

    J'ai trouvé vraiment improbable que ma banque me demande le mot de passe de mon espace client pour valider un paiement (après le code temporaire par sms). En cherchant des informations sur l'url appelée par l'iframe je suis arrivé ici et cela m'a rassuré et permis de terminer mon paiement.

    Je trouve ça tellement absurde… Est-ce qu'il existe un moyen de signaler / dénoncer (en ayant une chance d'arriver jusqu'aux personnes compétentes dans ces banques) cette pratique contre-productive afin de vite abandonner cette bêtise?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.