Comments on Ma banque met fin aux e-cartes bleues

ooten (2017-09-11T11:44:34Z)

@Ruxor : en fait, j'ai contacté le service clientèle de Rue du Commerce qui m'a indiqué que mon double prélèvement résultait d'un dysfonctionnement technique qui était déjà identifié et en cours de résolution. De toute façon pour 1 centime d'euro et quelques dizaines de centimes d'euros d'utilisation de la hotline, je suis bien obligé d'accepter sans trop broncher mais ça n'inspire vraiment pas confiance, c'est dommage.

Ruxor (2017-09-11T09:52:56Z)

@ooten: J'ai ouvert un compte chez Fortuneo, avec carte bancaire, et j'utilise leur système de paiement sécurisé qui est essentiellement équivalent à ce que me fournissait la e-cartebleue (mais c'est une Mastercard). Inconvénients : ça fait de la compta en plus, des identifiants et un code secret à mémoriser, et je crois qu'il faut faire au moins une transaction par mois sur la carte (pas un problème en ce qui me concerne). Par ailleurs, je crois qu'aucun système de ce genre ne te fournira une protection contre des fraudes de très petits montants comme 0.01€ (et je suis d'accord que ce n'est pas normal) : pour ça, il faut plutôt aller vers des solutions comme pester ou pourrir la réputation du commerçant.

ooten (2017-09-11T09:09:04Z)

@Ruxor : alors quelle solution as-tu mis en pratique ? Pour ma part je crise à nouveau, je me suis permis d'acheter un produit (un combiné téléphonique pour la modique somme de 26.49 Euros) sur Rue Du Commerce et patatra en plus de mon retrait de 26.49 Euros sur mon compte courant, ils m'ont rajouté une autre transaction de 0.01 Euros !!! C'est quoi ce bordel, pourtant sur ma facture il y a bien d'écrit au niveau du TOTAL 26.49 Euros.

SB (2017-02-17T15:08:04Z)

@Jixitrouille: en dehors des problèmes de flicage, quid de la sécurité ? Une carte ou un téléphone se perd/casse/vol/détraque facilement (alors qu'on peut répartir des espèces entre plein d'endroits) et de la robustesse (faillite de banque ou d'entreprise de monétique, réseau hors service, panne d'électricité, catastrophes naturelles, bugs, piratage…) ?

Jixitrouille (2017-02-16T15:13:16Z)

zEgg : que penses-tu de la suppression absolue de tout cash en Suède ? Cela a été annoncé pour une date très proche. Les SDF semblent au désespoir ainsi que les vendeurs de journaux…

Bob (2016-11-23T23:22:57Z)

Il me semble que poster son numéro de carte bancaire sur un site web accessible au public est tout de même une toute autre histoire. Je ne dis évidemment pas que la probabilité de se faire arnaquer est nulle, mais qu'elle est très faible (disons pour fixer les idées 1/10000 par an pour une personne qui fait de l'ordre de 1 achat par semaine sur des sites raisonnables -- je sors ces chiffres de mon chapeau parce que je n'ai pas de données). Le fait de rendre publiques toutes les données multiplie cette probabilité par un facteur énorme. Grosso modo, tant que je reste dans la foule, je ne possède qu'une des ~10^9 cartes bancaires qui font des transactions dans le monde, alors que quand je donne gratuitement toutes les données, je me singularise fortement, disons d'un facteur ~10^7.

Mais je veux bien admettre que le système de e-CB soit plus pratique que la réception d'un SMS (surtout si on est dans un sous-sol sans réseau mobile, par exemple).

Vincent Bernat (2016-11-21T09:26:07Z)

Comme tout le monde y va de sa petite expérience, en Suisse, on a le paiement par facture. On va sur le site de sa banque, on donne une suite de chiffres et un numéro de compte et le commerçant est payé. C'est comme un virement, sauf que c'est sans doute plus facile à suivre du côté commerçant. Comme pour un virement, il y a un délai (notamment, on peut pas payer le WE). Il est courant que l'on puisse payer par facture après réception de l'article (ce qui est quand même une toute autre mentalité). Chez pas mal d'enseignes, le paiement par carte bleue entraîne un surcoût.

Pour les abonnements/factures récurrentes, il y a le prélévement automatique (mais qui est contestable sous 30 jours avec remboursement sans discuter) ou le système d'e-facture (facture à valide dans l'espace client de la banque).

Nick Mandatory (2016-11-20T19:12:55Z)

« qui serait prêt à poster son numéro de carte, avec date d'expiration et code de sécurité, sur un forum public ? »

Jeremy Clarkson. Mais c'est un abruti, et ça s'est pas particulièrement bien passé.

<URL: http://news.bbc.co.uk/2/hi/entertainment/7174760.stm >

Ruxor (2016-11-20T17:44:10Z)

@Bob: Les e-Cartes Bleues n'induisent vraiment aucune perte de temps. À la limite, c'est même plutôt un gain, parce que le numéro de carte bleue à usage unique est facile à copier-coller, ce qui est plus rapide que de saisir manuellement le vrai numéro, même si on tient compte du temps pour s'authentifier au site de la banque, et certainement si on tient compte du temps de réception d'un SMS souvent nécessaire quand on passe par le vrai numéro de carte. En tout cas, la différence de commodité tient du micropouïème dans un sens ou dans l'autre. Pour le risque de fraude, je ne peux que réitérer cette interrogation : qui serait prêt à poster son numéro de carte, avec date d'expiration et code de sécurité, sur un forum public ?

Bob (2016-11-20T14:44:22Z)

Existe-t-il des chiffres concernant le montant des fraudes déclarées, par exemple en France et sur une année ?

En dépit de tous les risques et de toutes les failles de sécurité, j'utilise tout simplement mon numéro de carte bancaire (il est vrai que je ne paye pas sur des sites très exotiques, essentiellement avion/train/amazon), et j'ai tendance à croire, peut-être naïvement, que le coût en temps et en démarches associé à l'utilisation des stratagèmes évoqués ici empiète beaucoup sur la perte (en espérance, disons).

jonas (2016-11-18T15:41:51Z)

I can't suggest you anything, so instead let me tell you my experiences with online payment.

For half of my online purchases, I use a bank card number directly. This is a debit card used only for online transfers, and is backed by an account with only little money. I can transfer money between my main bank account and the account for this card for free using the online banking system of the bank. This is still unsecure, for exactly what you explained: the vendor will learn the card number, expiration date, and code, all of which are constant for several years. The vendor can only steal money from the card when I transfer money to the account because I want to pay for something else, but that makes it only slightly safer.

Many of the online merchants that let me pay with a bank card use two big online payment providers for that: PayPal and OTP Bank. In both cases, the theory is that you only give your card details to that provider, so the vendor won't learn about them. I only have to trust those two providers, which is easier than trusting all the small vendors. Many merchants in Hungary use OTP Bank as the provider, which works fine. Of course, not all online vendors offer payment through these providers.

PayPal is different altogether. I'm relatively satisfied with the security of payments though it. But there's a big problem with PayPal. But PayPal insists on charging my card only in HUF, regardless of what currency the vendor wants. I want to buy items in various other currencies from overseas, most often USD or GBP, but some vendors want EUR or AUD or CAD. The currency exchange rates of PayPal are horrible. Really. They charge between 5% and 10% extra for exchanging currency. This is despite that my bank allows charging the card in almost any currency, and offers much cheaper rates.

I'm still looking for better solutions for online payments.

gxa (2016-11-18T11:31:14Z)

Aux Pays-Bas on a IDEAL: les commerçants demandent à quelle banque on est affilié, puis on est renvoyé vers le site de ladite banque pour valider une facture. Avec ma banque, je dois utiliser une petite calculette, y insérer ma carte, taper mon PIN, entrer le code de 8 chiffres associé à la commande et renseigner le code de 8 chiffres qui m'est signifié en retour. Le numéro de la carte n'est jamais transmis au commerçant.

https://en.wikipedia.org/wiki/IDEAL

L'inconvénient c'est, bien entendu, que ça ne marche que sur les sites qui sont compatibles IDEAL (en gros : tant qu'on reste en NL ça passe) alors qu'un numéro de e-CB est valable partout.

Nick (2016-11-18T07:54:17Z)

Je préfère ne pas penser à la qualité de la "sécurité" des banques. Un collègue a eu un achat de 1200 euros sur sa nouvelle carte. Carte qu'il n'avait même pas encore activée. En gros, la carte a été envoyée par la banque, il n'y touche pas, ne fais rien avec et quand même quelqu'un a réussi à faire un achat avec cette carte.

Richard Wakefield (2016-11-17T18:47:43Z)

@Ruxor : OK pour Paypal et pour le fait que le système que que j'ai mentionné est à peu de choses près équivalent à la validation par SMS (c'est-à-dire nul).

Sinon, si tu ne souhaites pas changer de banque, je suggère l'infâme montage suivant : i) ouvrir un deuxième compte courant auquel sera associée une nouvelle carte, ii) souscrire à l'option permettant de n'autoriser un paiement que si une somme suffisante est présente sur le compte, iii) n'utiliser ce compte que pour des achats en ligne et, préalablement à ceux-ci, virer la somme nécessaire depuis un de tes autres comptes… Ca te coûtera sans doute significativement plus que l'actuelle souscription à l'option e-carte bleue, mais en demandant une ristourne (comprendre : en menaçant sans subtilité aucune d'aller chez un concurrent), ça devrait pouvoir se limiter à quelques dizaines d'euros par an.

Ruxor (2016-11-17T17:39:59Z)

@SB: L'idée c'est que EN PRINCIPE un paiement par carte bancaire effectué avec le seul numéro et sans code confidentiel doit être remboursé sans discuter par la banque s'il s'avère frauduleux. Comme je le souligne à plusieurs reprises, ce n'est pas si simple (et même si elle rembourse, on peut être emmerdé entre temps). En fait, c'est à peu près pareil avec les numéros de compte : avec SEPA, on peut tirer d'un compte avec son seul numéro (génial !…), mais la banque est tenue de rembourser si c'est frauduleux. Bon, dans le cas de SEPA, on peut au moins se consoler en se disant que comme l'UE n'est pas une zone de non-droit, le tireur qui aurait tenté ça frauduleusement aura des emmerdes. Peut-être.

SB (2016-11-17T17:15:35Z)

@Ruxor: « certains hôtels, qui ne livrent rien mais demanderont la carte bancaire physique utilisée pour le paiement »

Cf https://zythom.blogspot.fr/2006/09/sncf-cest-possible.html ?

SB (2016-11-17T17:11:07Z)

J'ai toujours été surpris qu'on puisse payer avec un simple numéro (non confidentiel et même écrit en gros) de carte, non accompagné d'un code confidentiel ou d'une signature, alors qu'à ma connaissance il n'est pas possible de payer avec un seul numéro de compte ou de chèque (non accompagné d'une signature). Quelle est l'origine de ce système ?

a34 (2016-11-17T15:14:19Z)

En Belgique, j'utilise depuis plusieurs années un système assez semblable à celui que tu décris ou que décrit zEgg pour la Suède :
Le site commerçant renvoie via un lien au site de ma banque auquel je me connecte en rentrant dans une "calculette" ma carte (de débit, sur laquelle on ne peut donc pas "tirer" sans le code PIN), le code qu'ils me donne, mon code PIN et le montant à payer dans une "calculette" qui me retourne alors un numéro (qui n'est par contre pas toujours le même avec les mêmes entrées) à entrer sur le site de ma banque qui effectue alors le paiement immédiatement.

Cela ne marche bien sûr que sur les sites belges mais fonctionne aussi sur le site belge de Paypal (qui ne connaît donc pas mon numéro de carte mais prend sa commmission au passage) que j'utilise comme intermédiaire pour les achats à l'étranger.

Ruxor (2016-11-17T15:06:53Z)

@henrisson: Euh, non, tu oublies LE problème le plus probable et effectivement le plus courant : le commerçant se fait pirater (soit que quelqu'un récupère au vol tous les numéros de cartes bancaires qui transitent par ce site pendant une certaine période, soit que le commerçant les stocke volontairement et que quelqu'un le pirate pour récupérer ce fichier plus tard). Et pour ce que je connais de la sécurité informatique dans le monde réel (lire : épouvantable), ces cas de figure ne sont pas du tout, mais alors pas du tout du tout du tout une inquiétude en l'air. En fait, ça ne sert pas à grand-chose d'utiliser de la crypto (https) pour chiffrer les transmissions si on n'a aucune confiance en la personne avec laquelle on communique : dans la réalité, il sera mille fois plus simple pour un black-hat de pirater le commerçant chez lequel je fais mes achats que d'espionner mes communications MÊME si elles n'étaient pas chiffrées. Donc la crypto pour le commerce en ligne, c'est plutôt bidon (ça a un sens pour se connecter à sa banque, en revanche, car pour ça les banques sont quand même relativement sérieuses).

Rien d'analogue à tout ça dans le mode physique : les petits terminaux utilisés pour les paiements par carte sont quand même nettement plus difficiles à pirater ou à voler qu'un site Web marchand, et surtout, il y faut un accès physique et j'espère qu'à Paris il n'y a pas tant de voleurs que ça, alors qu'un site Web est piratable depuis le monde entier.

J'ai encore moins confiance à Amazon qu'à d'autres, d'ailleurs, parce que, eux, je SAIS qu'ils insistent pour stocker les numéros de carte bancaire qu'on leur fournit. Mais même si j'avais confiance en eux, beaucoup de choses que j'achète ne sont pas disponibles sur Amazon (par exemple, les lunettes que j'achète chez optical4less.com, les cartes à jouer que j'achète chez makeplayingcards.com, ou simplement les dons que je veux faire à des œuvres charitables).

henrisson (2016-11-17T14:53:18Z)

Ta proposition de poster publiquement son numéro de carte bleue sur reddit n'est pas une comparaison tout à fait honnête. En effet, ça reviendrait plutôt à laisser sa carte sur un banc.
Donner son numéro à un commerçant en ligne avec l'intention de faire une transaction est plutôt comparable à payer avec ta carte chez un commerçant, avec les deux problèmes suivants 1- le commerçant peut être un pourri et ajouter un zéro 2- quelqu'un peut lire ton numéro de carte par dessus ton épaule alors que tu l'introduit dans la machine. Pour le 1- on ne peut rien faire, si ce n'est n'aller que chez des commerçants qu'on connait (et en ligne ça se traduit par Amazon et consorts). Pour le 2- c'est regarder qui est derrière soi (et en ligne, faire confiance à SSL j'imagine).
Sans nier que tu es plus exposé sans e-carte bleue qu'avec, il me semble que ça ramène cependant le risque à un niveau sensiblement équivalent à celui de l'utilisation de ta carte physique dans la vraie vie, risque qui parait acceptable au jour le jour.

mummy (2016-11-17T13:30:57Z)

J'ai eu la même réaction indignée en recevant ce message de LCL. Que faire ? Si tu as une solution simple et sûre, fais-le savoir sans délai !!! Oui, on peut ouvrir un 2e compte dans une banque en ligne (mais laquelle ?) mais il faut faire des virements pour l'alimenter au minimum, et ça fait encore des démarches et des débours. Pour Paypal, rien n'oblige à avoir un compte. Comme toi, je n'ai jamais voulu y communiquer mes références de CB,donc à chaque fois, il faut réinscrire toutes ses coordonnées, c'est fastidieux. Pour les fraudes avec la CB, la banque est responsable et doit normalement bloquer ou rembourser l'achat frauduleux. Le soupçon de fraude m'est déjà arrivé 2 fois :la carte est bloquée et il faut en refaire faire une nouvelle, ce qui est aussi un emmerdement maximum !

Ruxor (2016-11-17T09:50:49Z)

@Richard Wakefield: Ce système me paraît essentiellement équivalent à celui de l'envoi d'un SMS. Ça reste très largement moins bien que les numéros à usage unique vu que tu continues à donner ton vrai numéro de carte bancaire qui, comme je le disais, peut quand même être volé et utilisé pour faire une transaction de type « card not present » (qui, même si elle devra t'être remboursée par ta banque en cas de dénonciation de ta part, peut quand même t'emmerder sérieusement).

S'agissant de PayPal, j'avais eu besoin de créer un compte une fois pour je ne sais plus quelle raison, et maintenant s'il reconnaît mon nom + email ou nom + adresse ou nom + date de naissance ou nom + numéro de mobile ou je ne sais quoi, il me dit « vous avez déjà un compte PayPal, veuillez vous y connecter », et c'est là que je suis limité à trois cartes.

@zEgg: Oui, ce système a l'air excellent, mais comme la majorité de mes achats ne se font pas dans un seul pays, ça me ferait une belle jambe que la France adopte la même chose. Bon, il semble que la BCE prévoie de mettre en place un système de virements SEPA *instantanés*, qui se rapprocheront peut-être de ce que tu décris, mais pour les achats aux États-Unis ou en Chine, ça ne m'avancera pas plus (et la Chine, c'est là où j'ai le plus besoin de numéros à usage unique, parce que j'ai zéro confiance en leur sécurité ou en leur honnêteté).

zEgg (2016-11-17T06:57:21Z)

Le vrai problème c'est que sur les sites français, ils ne proposent que le paiement par carte. Sur quasiment 100% des sites basés en Suède, on peut faire un paiement direct par virement vers ta banque (les 4 plus grandes banques sont toujours listées).

Une facture est générée sous forme d'un lien vers le site sécurisé de ta banque, et pour t'y connecter et confirmer le paiement du montant exact, ils affichent un code à 8 chiffres décimaux que tu entres dans une petite "calculette" (cherche "swedbank dosa" dans google image). La mienne est la même depuis 8 ans (je n'ai même pas changé la pile).

Tu allumes la dosa en tapant ton code pin (4 chiffres), tu tapes le code à 8 chiffres, et tu reçois immédiatement un autre code à 8 chiffres que tu donnes sur le site pour confirmer. Si on tape le même code plusieurs fois on reçoit toujours le même. La calculette implémente donc essentiellement un algorithme MAC.

Ce que je crains en revanche, c'est qu'un jour ils la remplacent par une application genre android.

Richard Wakefield (2016-11-17T03:29:20Z)

Tiens, jolie coïncidence : je viens justement de recevoir ce matin, de ma banque — et sans que j'aie rien demandé de spécial —, "un des outils les plus performants en matière de sécurité sur Internet" (je cite).

Concrètement, la chose (le PassCyberPlus) se présente sous la forme d'un petit lecteur de carte, lequel, après qu'on y a introduit sa carte bancaire et rentré son code personnel (et, éventuellement, une ou plusieurs informations supplémentaires requises dans le cadre d'une opération particulière), génère un mot de passe à usage unique, qui est utilisé pour valider l'opération en question (achat sur Internet, virement fait à partir de l'interface de gestion en ligne de la banque, ajout et validation d'un nouveau destinataire potentiel de virement…). Cerise sur le gâteau, une triple erreur d'entrée du code secret de la carte bloquerait cette dernière, comme dans n'importe quel distributeur.
Le très concis courrier d'accompagnement précise cependant que ce dispositif n'est utilisable que chez "les cyber-commerçants proposant la solution "Verified by Visa — MasterCard Secure Code".

Plus d'infos sur cette merveille ici : <URL: http://www.bpalc.banquepopulaire.fr/portailinternet/Editorial/BanqueEnLigne/Pages/Pour-vos-comptes-en-ligne.aspx > (en particulier dans l'abominable animation non parcourable à laquelle Firefox a tenté de me dissuader d'accéder, sous le prétexte de certificat de sécurité invalide !) et là : <URL: http://www.internationalbranch-bpca.com/pdf/pass-cyberplus-notice-eng.pdf >.

Il semblerait que ce système existât depuis plus de 5 ans mais qu'il fût jusqu'alors réservé à des opérations autres que les paiements sur Internet.

J'ignore si la Banque populaire compte homogénéiser ses offres et ne plus proposer que cette bécane comme moyen de sécurisation : ce machin m'est parvenu, comme c'était prévisible, sans aucune explication ou justification ou presque — mais avec l'expression de l'espoir, cependant, que j'y sois "sensible". Jusqu'à ce jour, on me demandait tantôt de rentrer un code reçu par SMS, tantôt rien du tout, sans que je ne sache trop quel facteur détermine le recours ou non à ce système de sécurisation. Peut-être l'élément déterminant est-il là aussi la capacité du commerçant à proposer le fameux service de vérification sus-cité ?

Bref, que penses-tu de ce système ? D'après l'animation mentionnée ci-dessus, il semble d'ores et déjà largement utilisé à travers toute l'Europe (du coup il est probable que tu en aies déjà connaissance).

J'ajoute que, selon toute vraisemblance (et modulo les doutes précédemment émis sur quelque velléité d'homogénéisation de leurs offres) la Banque populaire propose elle aussi toujours le système d'e-cartes bleues, mais j'aurais tendance à ne pas te la conseiller, à moins que tu ne souhaites payer beaucoup de frais divers et mystérieux, et que tu souhaites que ta banque soit une des premières à se casser la gueule lors de la prochaine crise financière qui nous guette. Bon, moi, je me console en répétant religieusement le mantra /too big to (let) fail/.

Par ailleurs, il me semble qu'il est presque toujours possible de payer "via" Paypal /sans/ posséder de compte Paypal (ou sans utiliser le compte qu'on possède…), non ?

SM (2016-11-17T00:34:41Z)

Pour l'anecdote, au moins, ne pas se priver de défoncer over nine thousand le commerçant s'il est sur des sites de type tripadvisor ou je ne sais quoi. Selon ton éthique personnelle, tu peux l'attaquer sur le terrain honnête ou sur un terrain aussi honnête que lui.

Ce qui, bien sûr, ne change rien au fait que l'attitude de la banque est intolérable sur le principe.


You can post a comment using the following fields:
Name or nick (mandatory):
Web site URL (optional):
Email address (optional, will not appear):
Identifier phrase (optional, see below):
Attempt to remember the values above?
The comment itself (mandatory):

Optional message for moderator (hidden to others):

Spam protection: please enter below the following signs in reverse order: d0c99c


Recent comments