Assiste.com
cr 01.04.2012 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Sommaire (montrer / masquer) |
---|
Certains réseaux de Cartes Bancaires ont mis en place des dispositifs de double authentification pour les paiements en ligne, sur le Web. Il s'agit de luter contre les usurpations d'identité et les vols matériels ou immatériels de moyens de paiement, en s'assurant que l'utilisateur est bien celui qu'il prétend être : le titulaire du moyen de paiement.
L'intérêt du système est triple :
Il protège mieux le titulaire du moyen de paiement.
Il protège mieux le site marchand : 3D Secure n'est pas une garantie de paiement mais un dispositif sécuritaire visant à réduire le risque d'impayés émis pour contestation du porteur.
Il protège la banque du titulaire qui, en cas d'usage frauduleux d'un moyen de paiement qu'elle a émis, se doit de mettre en place des systèmes de contrôle, sinon elle est dans l'obligation de payer le marchand et de rembourser le client.
L'un de ces systèmes est 3D Secure.
3D Secure est développé et déployé par deux des plus grands réseaux mondiaux de cartes bancaires :
Le réseau Visa (qui appelle le système 3D Secure : Verified By Visa).
Le réseau Mastercard (qui appelle le système 3D Secure : MasterCard SecureCode).
3D Secure n'est pas obligatoire et ce ne sont pas tous les commerçants en ligne qui l'utilisent. D'autre part, 3D Secure, même s'il concerne les deux plus grands réseaux mondiaux de cartes de paiement / cartes de crédit, ne concerne que ces deux là, or il existe bien d'autres réseaux de cartes de paiement / cartes de crédit. Donc, pour bénéficier de 3D Secure, il faut simultanément que la carte soit 3D Secure et que le e-commerçant ait choisi d'utiliser 3D Secure.
La double authentification passe par une étape additionnelle, ajoutée au moment du paiement en ligne. Cette étape est au choix de votre banque, au moment de votre paiement, parmi plusieurs méthodes possibles :
Saisir votre date de naissance. Double authentification faible.
Votre banque connaît votre date de naissance et pourra la vérifier. Le cybercriminel ne la connaît pas si vos données de carte bancaire ont été pillées lors d'un hack d'un site Web où vous avez déjà fait un achat en ligne (il est rare qu'un site Web vous ait demandé votre date de naissance et l'ai stockée).
Critiques :
Si l'usage de votre carte bancaire est consécutive à un vol physique (matériel) de vos documents (vol de votre sac à main ou de votre portefeuille), il est très probable que vos papiers d'identité aient été volés en même temps. Votre date de naissance est portée à la connaissance du cybercriminel.
Si vous avez été suffisemment inconséquent pour vous identifier sous votre réelle identité sur un réseau social (Facebook et tous les réseaux sociaux) ou un forum de discussion, et avez, en plus, donné votre date de naissance (ou si vous avez publié votre CV en ligne, avec adresse, téléphone fixe, smartphone, etc.), il ne faudra que quelques minutes à un cybercriminel pour trouver votre date de naissance.
L'utilisation frauduleuse est possible entre le moment du vol, matériel ou immatériel, et le moment où vous vous en apercevez et faites votre déclaration et opposition. Il y a donc un délais de plusieurs heures plusieurs jours selon votre fréquence d'usage de votre carte bancaire.
Carte de clés personnelles. Double authentification faible.
Il s'agit d'une grille sur un bout de plastique, de format carte de crédit, de 64 codes à 4 chiffres organisés en lignes et colonnes, dans laquelle il faut piocher le bon code en fonction de la ligne et de la colonne demandée par le site web. Nécessite de toujours avoir cette carte sur soi.
Critiques :
Si l'usage de votre carte bancaire est consécutive à un vol physique (matériel) de vos documents (vol de votre sac à main ou de votre portefeuille), il est très probable que votre carte de clés personnelles, toujours rangée avec votre carte de paiement, ait été volée en même temps. Vos codes sont portés à la connaissance du cybercriminel.
Répondre à une question personnelle. Double authentification faible.
La réponse étant connue de votre banque (vous la lui avez donnée) qui pourra la comparer à la réponse donnée lors de l'achat. Il n'y a, normalement, aucune chance qu'un cybercriminel connaisse cette réponse. Vous devez être capable de vous souvenir et de fournir exactement la même réponse que celle que vous aviez donnée à votre banque. En cas d'erreur, vous risquez d'être rejeté lors de vos achats légitimes en ligne. C'est toutefois une double authentification faible car à usages multiples.
Saisir un code à usage unique. Double authentification forte.
Un code à usage unique (code jetable) est reçu par SMS (sur un smartphone) ou par synthèse vocale (sur un téléphone fixe) au moment de l'achat. Vous devez l'indiquer à la plateforme de paiement en ligne qui le vérifie.
Digipass. Double authentification forte.
Dispositif matériel (lecteur de cartes bancaires de la taille d'une calculatrice ou d'un smartphone) fourni par les banques à leurs clients, qui permet de chiffrer (crypter) les données de la carte bancaire et donne un code à usage unique (code jetable). Nécessite de toujours se déplacer avec cet appareil si vous envisagez des paiements en ligne alors que vous êtes en déplacement. Nécessite une pile - ne se connecte pas à l'ordinateur.
Clé USB. Double authentification forte.
Insertion d'un dispositif matériel lors de l'usage d'un ordinateur. Nécessite de toujours se déplacer avec cet appareil si vous envisagez des paiements en ligne alors que vous êtes en déplacement. Pas de pile - auto-alimenté par le port USB.
|
# | Banque | Double authentification faible | Double authentification forte | Opposition | ||||
---|---|---|---|---|---|---|---|---|
Date de naissance | Carte de clés personnelles | Question personnelle | Code jetable envoyé sur un téléphone associé au compte bancaire | Digipass | Clé USB | |||
Axa Banque 1 | ||||||||
BNP Paribas 1 | ||||||||
BRED 1 | (application à télécharger, pour PC Windows uniquement, appelée e-carte bleue) | |||||||
Banque ACCORD 1 | ||||||||
Banque Postale 1 | ||||||||
Banques Populaires Régionales (Groupe BPCE) 1 - 2 | (appelé Pass Cyberplus) | |||||||
Barclays Banque 1 | ||||||||
Boursorama (groupe Société Générale) 1 | (application pour smartphone spécifique) | |||||||
CIC 1 - 2 - 3 | +code jetable sur adresse e-mail | |||||||
Caisse d'Epargne (Groupe BPCE) 1 - 2 | ||||||||
Carte ONEY (Auchan) 1 | ||||||||
Carte PASS (Carrefour) 1 | ||||||||
Crédit Coopératif 1 - 2 - 3 - 4 | (appelé Sésame) | |||||||
Crédit Maritime 1 | (appelé Pass Cyberplus) | |||||||
Crédit Mutuel 1 - 2 | +code jetable sur adresse e-mail | |||||||
Crédit agricole 1 - 2 - 3 - 4 - 5 | ||||||||
Crédit du Nord (groupe Société Générale) 1 | (application pour smartphone spécifique) | (24h/24, 7j/7) au 09 69 32 20 09 | ||||||
Groupama Banque 1 | +code postal + nom | |||||||
HSBC 1 | Application mobile HSBC pour iPhone et Android, appelée HSBC Secure Key Mobile Boîtier électronique HSBC Secure Key | |||||||
ING Direct 1 | ||||||||
LCL (Le Crédit Lyonnais) (Groupe Crédit Agricole) 1 | ||||||||
Société générale 1 | (application pour smartphone spécifique) |
|
Le conseil suivant porte sur le durcissement de la double authentification par l'usage d'un téléphone sur lequel votre banque va vous appeler immédiatement, dès que la plateforme de paiement en ligne va la consulter pour vérification de la carte, du porteur de la carte, et du solde suffisant du compte.
Si un achat est tenté par Internet, la double vérification (double authentification) mise en place par votre banque, avec 3D Secure, va vous appeler, sur un numéro de téléphone que vous avez donné à votre banque.
Après avoir saisi votre mode de paiement (réseau de la carte de paiement utilisé, titulaire, numéro de carte, date d'expiration et code), le système 3D Secure va consulter votre banque.
Votre banque va procéder immédiatement aux vérifications d'usage (la carte n'est pas bloquée, n'est pas signalée volée, le titulaire est bien celui prétendu, la date d'expiration est la bonne, le code de vérification est le bon, le solde du compte permet ce paiement).
Double authentification : votre banque (un robot téléphonique, pas une personne physique) va vous appeler sur le numéro de téléphone que vous lui aviez donné lors de la souscription à votre carte bancaire. Si vous aviez donné un numéro de smartphone (mauvaise idée) c'est un SMS qui va vous être envoyé sur ce smartphone. Si vous aviez donné le numéro de téléphone fixe de la maison (bonne idée, probablement recommandée par votre conseiller financier s'il a bien fait son travail), c'est un appel en synthèse vocale qui va vous parvenir. Dans les deux cas, un code d'autorisation, à usage unique, vous est donné et vous devez le donner à la plateforme de paiement en ligne, qui l'a reçu également de son côté. Après vérification, votre paiement est validé et votre achat est terminé.
Où est le problème ? Comment durcir l'usage de ce numéro de téléphone ?
Sur le bordereau de paiement, il vous est demandé de renseigner un champ de saisie optionnelle avec un numéro de smartphone.
Non ! Ne pas donner un numéro de portable, ni à votre banque, ni à la plateforme de paiement en ligne, pour la double vérification. Lorsque vous avez souscrit à un réseau de carte bancaire, vous avez déjà donné un numéro de téléphone et c'est sur celui-là que votre banque doit vous appeler, pas sur un autre. Si vous vous êtes fait voler vos papiers et carte bancaire, il est près probable que votre smartphone aussi y est passé. Si votre banque appelle sur le smartphone, que le criminel a entre ses mains avec votre carte bancaire, il va recevoir le code de double authentification et l'achat va être validé (le vérouillage d'un smartphone se fait en quinze secondes).
Lorsque l'on est en déplacement, on paye avec sa carte dans un commerce, on ne fait pas d'achat par Internet (ce genre de mobilité est rare, anormal et discourtois depuis votre bureau chez votre employeur). Dans la quasi-totalité des cas, ce n'est qu'à la maison que l'on fait des achats par Internet.
Donner uniquement le téléphone fixe de la maison à votre banque et rien à la plateforme de paiement. C'est le meilleur moyen de ne pas être victime du vol de votre carte bancaire, qui s'accompagne, généralement, du vol de votre smartphone.
Au bout du téléphone fixe de la maison, c'est bien vous.
Oui, mais... si vous êtes en déplacement/en voyage, il n'y a que le smartphone qui soit possible, donc à vous de bien séparer votre carte bancaire et votre smartphone de manière à ne pas se les faire voler ensembles.
Après avoir validé vos coordonnées bancaires, vous êtes transféré sur le site de votre banque.
Dans la fenêtre 3D Secure qui s'affiche, le procédé d'authentification à suivre est propre à chaque banque. Il peut vous être demandé :
Cet échange d'informations entre vous et votre banque est sécurisé. Il permet de garantir l'identité de l'utilisateur de la carte.
Pour toute question sur le code 3D Secure (obtention, perte, modification...), contactez directement votre banque.
ATTENTION : après 3 échecs d'authentification, votre transaction est annulée. Votre carte sera bloquée au bout de 3 transactions bancaires annulées. Contactez alors votre banque.
Un exemple avec un achat d'un e Billet sur le site de la SNCF.
|
?Saisir votre date de naissance. Double authentification faible.
J'ai pu assister à cette scène chez une cliente en informatique qui me demandait de l'assister durant un paiement en ligne, sur le Web. Après la saisie des informations habituelles (numéro de carte, date d'échéance, titulaire, code de vérification au dos de la carte), voilà qu'on lui demande sa date de naissance. Cela a provoqué une colère monstrueuse, une horreur qui a mis plus de quinze minutes à retomber (et l'achat a été abandonné). Tout y est passé, depuis la protection de la vie privée jusqu'au respect des fondamentaux de la bienséance (on ne demande jamais sa date de naissance à une dame), etc. (PS : j'assiste cette dame depuis des années et je ne connaîs toujours pas sa date de naissance).
?Carte de clés personnelles. Double authentification faible.
Les employés (conseillers financiers) des banques sont peu ou pas informés des moyens techniques mis en place par leur employeur. De nombreux cas sont cités de clients de banques qui n'ont rien compris à cette carte de codes et l'ont jeté comme on jette un calendrier publicitaire de ce format, distribué par un SOS plombier ou SOS serrurier quelconque, qui encombre nos boîtes aux lettres.
La différence de charte graphique entre la charte graphique de la banque de l'utilisateur et le formulaire de double authentification 3D Secure, fait parfois peur et fait penser à du phishing chez certains utilisateurs, provoquant des abandons de transactions avec mécontentement de l'utilisateur et perte de vente et de chiffre d'affaire du côté du e-commerçant (baisse du taux de conversion). Un travail sur la communication vers le client acheteur (messages explicatifs), avant et après le formulaire 3D Secure, peut améliorer de taux de conversion. Les banques également doivent communiquer vers leurs clients.
La double authentification protège la banque et le réseau de la carte.
Sans double authentification, si votre catrte est utilisée de manière frauduleuse, vous êtes remboursé sans discussion. Avec double authentification, si votre carte est utilisée de manière frauduleuse, c'est de votre faute et vous n'êtes pas remboursé :
Vous n'aviez pas à publier votre date de naissance, etc. sur le Web.
Vous n'aviez pas à stocker ensembles et vous faire voler votre carte d'identité avec votre date de naissance en même temps que votre carte de paiement.
Vous n'aviez pas à stocker ensembles et vous faire voler votre carte de clés personnelles en même temps que votre carte de paiement. Il tombe sous le sens que ces documents, qui doivent toujours être utilisés ensembles, ne doivent jamais se trouver ensembles !
Vous n'aviez pas à stocker ensembles et vous faire voler votre digipass en même temps que votre carte de paiement. Il tombe sous le sens que ce dispositif, qui doit toujours être utilisé avec votre carte de paiement, ne doit jamais se trouver à portée de votre carte de paiement !
Incongruités 3D Secure signalées !
Demandes de date de naissance pour des paiements par carte bancaire professionnelle (carte d'entreprise, sans date de naissance !)
Envoie de code jetable sur un numéro de téléphone qui n'existe plus (c'est de la faute du porteur de la carte qui doit signaler ce genre de changement à sa banque).
|
Carte bancaire - 3D Secure - Double authentification
Les encyclopédies |
---|