Comments on Je déteste PayPal avec la passion de mille soleils ardents

Apokrif (2021-08-26T16:33:41Z)

Restent à savoir pourquoi les banques n'acceptent pas uniquement (à défaut de code confidentiel ou de signature, voire de numéro unique) uniquement les paiements par 3-D secure ou équivalent ?

ooten (2021-08-26T12:54:15Z)

@Ruxor : concernant les mandants SEPA leur utilisation est parfaitement sécurisée pour moi aujourd'hui : <URL: https://www.caisse-epargne.fr/comptes-cartes/prelevement-sepa>. Elle a mis en place un système de liste blanche et noire des mandats SEPA qui consiste pour la première de n'autoriser que ceux qui y sont inscrits (et bien sûr, c'est soi même qui la renseigne) et pour la deuxième de faire opposition sur des mandants en cours d'exécution. Alors qu'avant effectivement on n'avait pas le choix, tout mandant que recevait la banque était implicitement et automatiquement approuvé. A noter que ce fonctionnement, sans autorisation du titulaire du compte, persiste tant qu'on ne renseigne pas la liste blanche ce qui est mon cas aujourd'hui mais plus pour longtemps je crois.

Ruxor (2021-08-26T09:09:54Z)

Les transactions sont sûres grâce à 3-D Secure… là où 3-D Secure est utilisé. Si quelqu'un obtient mon numéro de carte, il peut s'en servir sur un site qui n'utilise pas 3-D Secure. Alors certes, EN THÉORIE je peux obtenir remboursement (article cité par Charlie). Peut-être même qu'en y passant des jours à harceler la banque, puis en la menaçant de procès, ça marche vraiment. Mais qui rembourse ensuite ces heures à se battre pour obtenir gain de cause ? Et surtout, qui rembourse des ennuis en cascade si un débit très élevé fait que le compte est à découvert, que la banque facture des agios, ou qu'on ne peut pas payer autre chose, dont on avait vraiment besoin, etc. ?

La protection offerte par 3-D Secure est du même ordre que celle offerte pour les chèques et les mandats SEPA : les personnes qui trouvent que c'est suffisant, je les invite à poster leur numéro de compte sur Internet ou à oublier un chèque non rempli dans un lieu public : en principe, on peut dénoncer un chèque signé frauduleusement (puisque les banques devraient vérifier la signature et ne le font pas), et obtenir remboursement d'un prélèvement SEPA effectué sans autorisation (puisque les banques devraient vérifier l'autorisation et ne le font pas). En pratique… ça marche sans doute, mais on y perd énormément de temps et de cheveux.

Autrement dit, 3-D Secure protège en fait LE SITE MARCHAND et pas la personne cliente. Elle assure au marchand que la cliente n'aura aucun recours, pas à la cliente qu'il n'y aura pas de problème dans les cas où il n'est pas demandé. Alors que le numéro de carte bancaire à usage unique, lui, il protège la personne cliente. Et c'est normal, c'est elle qui choisit de s'en servir, alors que c'est le marchand qui choisit d'utiliser (ou pas) 3-D Secure.

Bref, ces choses ne sont pas du tout sur le même plan, et il n'est pas du tout déraisonnable qu'il y ait les deux : moi je veux le numéro à usage unique pour me protéger, le site marchand veut 3-D Secure pour le protéger lui.

(Quant à PayPal, il est utile pour les gens qui aiment bien PayPal. Avec toutes les histoires d'horreur, côté créditeur comme côté débiteur, que j'ai entendues sur PayPal, je n'ai surtout pas envie de leur donner le droit de débiter mon compte ou une carte de crédit de façon illimitée. Je pourrais éventuellement accepter de précharger de l'argent chez eux, pour hedger mes pertes le jour où ils décident de couper mon compte, comme ils viennent de le faire. Mais en tout cas, ce n'est certainement pas moi qui décide de passer par eux, c'est le site marchand qui, de temps en temps, me l'impose.)

Geo (2021-08-25T19:15:58Z)

Tu te compliques la vie. Les transactions par carte sont sures grace à 3D-secure. Paypal est sur également car il prend en charge les frais en cas de fraude (c'est pour ça que le service est payant). En gros, tu veux cumuler trois files de sécurité : paypal, la carte temporaire, et 3d-secure, et tu t'étonnes que les systèmes ne soient pas optimisés pour cet usage marginal.

L'autre point qui manque dans ton "rant", c'est pourquoi tu es contraint d'utiliser paypal.

Charlie (2021-08-25T18:24:49Z)

"Si vous êtes victime d’une opération débitée sur votre compte bancaire mais qui n’a pas été vérifiée par votre banque par l’authentification forte, vous ne supporterez pas les conséquences financières.
Vous devez immédiatement informer votre banque de cette opération non autorisée et au plus tard dans un délai de 13 mois après le débit.
Si votre banque n’arrive pas à faire la preuve de l’utilisation de la procédure 3D Secure, votre responsabilité n’est pas engagée car l’opération est réputée « non autorisée ». Votre banque est tenue de vous rembourser l’intégralité des sommes indûment débitées (article L133-18 du Code monétaire et financier)."

Apokrif (2021-08-23T16:44:56Z)

@Lethe: j'ai l'impression que le commerçant n'est pas obligé de les utiliser (donc que ça ne sert pas à grand-chose)

D'où vient cette idée de permettre le paiement avec le seul numéro de carte, alors qu'à ma connaissance, on n'a jamais pu payer avec un numéro de chèque ?

Lethe (2021-08-23T12:34:43Z)

Les solutions de validation de paiement par double facteur (une application sur smartphone, typiquement) agrémentées du fameux cryptogramme changeant qui se trouve sur les cartes les plus récentes devraient pouvoir suffire à résoudre ce problème de conservation des données post-paiement, non ?

f3et (2021-08-20T11:08:57Z)

Ca n'a sans doute rien à voir, mais que faut-il penser de ce vol de 600 millions de dollars en cryptomonnaies (<URL: https://www.courrierinternational.com/article/hack-le-plus-grand-vol-de-cryptomonnaies-en-partie-rembourse/ >) ? Comment peut-il subsister des failles de sécurité dans ces systèmes ? Et est-ce que ça ne suffit pas à créer une panique à leur sujet ?

ooten (2021-08-20T08:47:52Z)

Sur les virements, je trouve cela pas du tout pratique et fastidieux d’autant que dans ce cas c’est le créditeur qui se retrouve avec son IBAN ou RIB dévoilée publiquement. Mais ça marche, j’ai déjà payé ma facture d’électricité comme cela.

Charlie (2021-08-20T00:12:26Z)

Il faut peser le pour et le contre. Le risque de piratage VS s'emmerder à vouloir utiliser des méthodes pas pratiques.

Subbak (2021-08-19T22:33:34Z)

Je trouve surprenant que tu n'attaches pas un poids plus élevé au caractère pratique des choses. Le fait de rentrer son numéro de CB (que l'on peut connaître par cœur), recevoir un sms, et valider, c'est rapide et pratique. S'il faut aller sur un autre site générer un numéro à usage unique en plus, ça devient rédhibitoire pour beaucoup de personnes.

Par ailleurs dans la mesure où 3D-secure existe je ne vois pas vraiment pourquoi tu trouves que la méthode usuelle n'est pas assez sûre. Je pense que c'est peu probable qu'un pirate ait accès à ton numéro de CB et puisse lire tes sms, quand à la situation où on te vole physiquement ton téléphone je pense que de l'argent volé sur ton compte qui sera remboursé par l'assurance n'est pas le principal souci.

ooten (2021-08-19T14:42:09Z)

J’ai l’impression que PayPal est beaucoup plus utilisé aux USA qu’en France car peut-être que les premiers se rendent compte de la sécurité de ne fournir ses coordonnées bancaires (RIB ou numéro de carte bleue) qu’à PayPal.
Sinon pour moi il y a une solution parfaitement secure de payer sur le web : Apple Pay. Malheureusement je n’ai encore jamais vu de site qui l’acceptait.

Forrest (2021-08-19T08:55:09Z)

…Et ne parlons pas d'Amazon, avec lequel il est très pénible d'utiliser l'e-carte bleue : il faut mémoriser le montant à payer car il disparait curieusement de la page de paiement, et de toute façon Amazon finit souvent par modifier ce montant au dernier moment pour telle ou telle raison de promo express ou de mode de livraison qui enlève/ajoute finalement 1€, juste histoire de devoir regénérer une e-carte bleue…

Charlie (2021-08-18T22:59:40Z)

Je trouve paypal bien pratique. J'ai un compte chez eux et ils prélèvent directement sur mon compte. C'est généralement le moyen de payement le plus simple et qui marche à tous les coups et qui ne m'embête pas avec les authentification, je paye en un clic. Par contre, il y a des frais.

J'ai plutôt le problème de ne pas réussir à payer avec ma CB. Chez ING et Boursorama, j'ai souvent des problèmes de payement refusés. Ils sont tellement paranos sur la sécurité qu'ils bloquent des payements valides. Et l'authentication multifacteur ne marche pas toujours, notamment à l'étranger.

Un autre service de payement qui marche bien : Wise. Très pratique pour virement à l'étranger, et on peut aussi générer des numéros de CB temporaire, gérer des comptes dans tous les pays, et avoir une visa pour 10 euros.

Cigaes (2021-08-18T20:04:35Z)

Pour PayPal, j'ai renoncé à être difficile, j'ai un compte chez eux avec un une centaine d'euros. On peut ajouter de l'argent par virement, ils n'ont jamais de numéro de carte bleue à moi.

Si j'étais président, je désignerais une équipe pour standardiser un protocole de paiement puis en imposer l'usage aux commerçants français : le client donne au commerçant son adresse (URL HTTP) chez un opérateur de paiement (typiquement sa banque), le commerçant y poste une facture dans un format standardisé, l'opérateur de paiement se débrouille avec le client pour valider la facture et envoie le paiement à l'opérateur du commerçant, qui se débrouille pour signaler que la transaction a été effectuée.

MonsieurK (2021-08-18T20:01:29Z)

Juste deux petits commentaires :
Paypal est moisi, je suis d'accord. MAIS il a un avantage certain lorsqu'on va au-delà de son usage comme intermédiaire d'utilisation d'un système de CB : il est une réelle alternative à ces mastodontes que sont VISA et Mastercard (sauf que, pour utiliser un compte PayPal, il faut quasi nécessairement l'alimenter avec VISA et Mastercard). C'est leur seul concurrent direct qui a un peu d'importance (même si Paypal n'absorbe qu'un pourcentage relativement faible des transactions en ligne). Affaiblir une situation de monopole est toujours intéressant. MAIS (oui, ça serait trop simple), ça n'est qu'un pis-aller : Paypal, comme VISA et Mastercard, suit la législation américaine, a des CGU encore plus pourries et restrictives que ses gros concurrents et, comme je l'ai indiqué, a quand-même besoin de ces derniers pour les alimentations de comptes.
(Ça peut paraître anodin, mais stratégiquement il est aberrant que l'UE n'ait pas réussi à faire émerger un intermédiaire de CB sur son territoire et avec son cadre législatif ; quand on creuse le sujet, c'est assez dramatique. Lorsque VISA et Mastercard ont senti la possibilité de l'élection de Trump, par exemple, ils ont tous deux fait évoluer leurs CGU pour plus de restrictions, afin de pré-satisfaire les conservateurs… en cas de conflit économique ou militaire, c'est toute l'économie de l'UE des particuliers qui serait bloquée).

Second point, qui n'a rien à voir : personnellement, je trouve qu'utiliser le copier/coller comme facilitateur est une fausse bonne idée. Déjà parce que les sites peuvent accéder au contenu du presse-papier (il y a normalement un contrôle du navigateur, mais typiquement je ne fais absolument pas confiance à Google Chrome à ce niveau : rien ne me dit que Chrome n'a pas de laisser-passer spécifique pour que les services Google puissent y accéder, ni qu'il n'y a pas de bug dans mon navigateur), mais aussi parce que si j'oublie d'en remplacer le contenu, je peux me retrouver à coller mon numéro de CB à un endroit non souhaité (une zone de texte d'un onglet de navigateur sur un site qui pourrait en récupérer le contenu de façon asynchrone sans validation, par exemple). Bref, pour moi c'est vraiment une fausse bonne idée.
Le fonctionnement actuel de 3D secure me paraît largement plus satisfaisant (avec un système d'OTP et/ou de validation par PIN dans l'application bancaire sur téléphone, préalablement définie comme étant un périphérique autorisé [en général via un système d'OTP ou un mécanisme de code envoyé par courrier postal sécurisé - comme pour le code de CB] est beaucoup plus souple (et non exclusif : si j'ai perdu mon smartphone, je peux demander d'utiliser le dispositif physique d'OTP fourni par ma banque).

Les eCB avec durée/montant limité ne permettent pas tout plein de choses (paiement en plusieurs fois des frais d'université, paiement d'un abonnement à un service en ligne numérique avec ponction par la CB tous les n mois…). On peut arguer que, dans ces cas, l'utilisation du RIB est plus adaptée, sauf qu'en pratique c'est beaucoup moins sécurisé. Contrairement à ce que les banques disent, il peut y avoir des prélèvements bancaires réalisés avec un simple RIB : les banques sont normalement sensées vérifier l'autorisation écrite du titulaire, mais en pratique ce n'est pas le cas. Bien sûr, elles vont rembourser les montants prélevés de façon abusive par des tiers qui auraient récupéré un RIB (typiquement, il y a de nombreux RIB volés lors de campagnes de fishing qui sont utilisés ainsi). Or un RIB n'a pas de code de sécurité, ne peut pas être opposé de façon définitive, n'a pas de durée de vie.

SwiC (2021-08-18T20:00:49Z)

Je connais des sites qui acceptent des paiements par virement (et souvent pas par carte), et qui marche presque comme tu le décris. Il n'y a pas d'identifiant de la transaction, ils demandent juste de mettre la référence de la commande dans le commentaire libre du virement.

Mais avec ma banque (La Poste, ou quoi qu'elle s'appelle maintenant), ce serait assez pénible si c'était généralisé parce qu'il faut plusieurs jours pour qu'un bénéficiaire de virement soit validé.


You can post a comment using the following fields:
Name or nick (mandatory):
Web site URL (optional):
Email address (optional, will not appear):
Identifier phrase (optional, see below):
Attempt to remember the values above?
The comment itself (mandatory):

Optional message for moderator (hidden to others):

Spam protection: please enter below the following signs in reverse order: 8e620f


Recent comments