Comments on Ma banque met fin aux e-cartes bleues

@Ruxor : en fait, j'ai contacté le service clientèle de Rue du Commerce qui m'a indiqué que mon double prélèvement résultait d'un dysfonctionnement technique qui était déjà identifié et en cours de résolution. De toute façon pour 1 centime d'euro et quelques dizaines de centimes d'euros d'utilisation de la hotline, je suis bien obligé d'accepter sans trop broncher mais ça n'inspire vraiment pas confiance, c'est dommage.

@Ruxor : alors quelle solution as-tu mis en pratique ? Pour ma part je crise à nouveau, je me suis permis d'acheter un produit (un combiné téléphonique pour la modique somme de 26.49 Euros) sur Rue Du Commerce et patatra en plus de mon retrait de 26.49 Euros sur mon compte courant, ils m'ont rajouté une autre transaction de 0.01 Euros !!! C'est quoi ce bordel, pourtant sur ma facture il y a bien d'écrit au niveau du TOTAL 26.49 Euros.

@Jixitrouille: en dehors des problèmes de flicage, quid de la sécurité ? Une carte ou un téléphone se perd/casse/vol/détraque facilement (alors qu'on peut répartir des espèces entre plein d'endroits) et de la robustesse (faillite de banque ou d'entreprise de monétique, réseau hors service, panne d'électricité, catastrophes naturelles, bugs, piratage…) ?

zEgg : que penses-tu de la suppression absolue de tout cash en Suède ? Cela a été annoncé pour une date très proche. Les SDF semblent au désespoir ainsi que les vendeurs de journaux…

Il me semble que poster son numéro de carte bancaire sur un site web accessible au public est tout de même une toute autre histoire. Je ne dis évidemment pas que la probabilité de se faire arnaquer est nulle, mais qu'elle est très faible (disons pour fixer les idées 1/10000 par an pour une personne qui fait de l'ordre de 1 achat par semaine sur des sites raisonnables -- je sors ces chiffres de mon chapeau parce que je n'ai pas de données). Le fait de rendre publiques toutes les données multiplie cette probabilité par un facteur énorme. Grosso modo, tant que je reste dans la foule, je ne possède qu'une des ~10^9 cartes bancaires qui font des transactions dans le monde, alors que quand je donne gratuitement toutes les données, je me singularise fortement, disons d'un facteur ~10^7.

Mais je veux bien admettre que le système de e-CB soit plus pratique que la réception d'un SMS (surtout si on est dans un sous-sol sans réseau mobile, par exemple).

Comme tout le monde y va de sa petite expérience, en Suisse, on a le paiement par facture. On va sur le site de sa banque, on donne une suite de chiffres et un numéro de compte et le commerçant est payé. C'est comme un virement, sauf que c'est sans doute plus facile à suivre du côté commerçant. Comme pour un virement, il y a un délai (notamment, on peut pas payer le WE). Il est courant que l'on puisse payer par facture après réception de l'article (ce qui est quand même une toute autre mentalité). Chez pas mal d'enseignes, le paiement par carte bleue entraîne un surcoût.

Pour les abonnements/factures récurrentes, il y a le prélévement automatique (mais qui est contestable sous 30 jours avec remboursement sans discuter) ou le système d'e-facture (facture à valide dans l'espace client de la banque).

« qui serait prêt à poster son numéro de carte, avec date d'expiration et code de sécurité, sur un forum public ? »

Jeremy Clarkson. Mais c'est un abruti, et ça s'est pas particulièrement bien passé.

<URL: http://news.bbc.co.uk/2/hi/entertainment/7174760.stm >

Existe-t-il des chiffres concernant le montant des fraudes déclarées, par exemple en France et sur une année ?

En dépit de tous les risques et de toutes les failles de sécurité, j'utilise tout simplement mon numéro de carte bancaire (il est vrai que je ne paye pas sur des sites très exotiques, essentiellement avion/train/amazon), et j'ai tendance à croire, peut-être naïvement, que le coût en temps et en démarches associé à l'utilisation des stratagèmes évoqués ici empiète beaucoup sur la perte (en espérance, disons).

I can't suggest you anything, so instead let me tell you my experiences with online payment.

For half of my online purchases, I use a bank card number directly. This is a debit card used only for online transfers, and is backed by an account with only little money. I can transfer money between my main bank account and the account for this card for free using the online banking system of the bank. This is still unsecure, for exactly what you explained: the vendor will learn the card number, expiration date, and code, all of which are constant for several years. The vendor can only steal money from the card when I transfer money to the account because I want to pay for something else, but that makes it only slightly safer.

Many of the online merchants that let me pay with a bank card use two big online payment providers for that: PayPal and OTP Bank. In both cases, the theory is that you only give your card details to that provider, so the vendor won't learn about them. I only have to trust those two providers, which is easier than trusting all the small vendors. Many merchants in Hungary use OTP Bank as the provider, which works fine. Of course, not all online vendors offer payment through these providers.

PayPal is different altogether. I'm relatively satisfied with the security of payments though it. But there's a big problem with PayPal. But PayPal insists on charging my card only in HUF, regardless of what currency the vendor wants. I want to buy items in various other currencies from overseas, most often USD or GBP, but some vendors want EUR or AUD or CAD. The currency exchange rates of PayPal are horrible. Really. They charge between 5% and 10% extra for exchanging currency. This is despite that my bank allows charging the card in almost any currency, and offers much cheaper rates.

I'm still looking for better solutions for online payments.

Aux Pays-Bas on a IDEAL: les commerçants demandent à quelle banque on est affilié, puis on est renvoyé vers le site de ladite banque pour valider une facture. Avec ma banque, je dois utiliser une petite calculette, y insérer ma carte, taper mon PIN, entrer le code de 8 chiffres associé à la commande et renseigner le code de 8 chiffres qui m'est signifié en retour. Le numéro de la carte n'est jamais transmis au commerçant.

https://en.wikipedia.org/wiki/IDEAL

L'inconvénient c'est, bien entendu, que ça ne marche que sur les sites qui sont compatibles IDEAL (en gros : tant qu'on reste en NL ça passe) alors qu'un numéro de e-CB est valable partout.

Je préfère ne pas penser à la qualité de la "sécurité" des banques. Un collègue a eu un achat de 1200 euros sur sa nouvelle carte. Carte qu'il n'avait même pas encore activée. En gros, la carte a été envoyée par la banque, il n'y touche pas, ne fais rien avec et quand même quelqu'un a réussi à faire un achat avec cette carte.

@Ruxor : OK pour Paypal et pour le fait que le système que que j'ai mentionné est à peu de choses près équivalent à la validation par SMS (c'est-à-dire nul).

Sinon, si tu ne souhaites pas changer de banque, je suggère l'infâme montage suivant : i) ouvrir un deuxième compte courant auquel sera associée une nouvelle carte, ii) souscrire à l'option permettant de n'autoriser un paiement que si une somme suffisante est présente sur le compte, iii) n'utiliser ce compte que pour des achats en ligne et, préalablement à ceux-ci, virer la somme nécessaire depuis un de tes autres comptes… Ca te coûtera sans doute significativement plus que l'actuelle souscription à l'option e-carte bleue, mais en demandant une ristourne (comprendre : en menaçant sans subtilité aucune d'aller chez un concurrent), ça devrait pouvoir se limiter à quelques dizaines d'euros par an.

@Ruxor: « certains hôtels, qui ne livrent rien mais demanderont la carte bancaire physique utilisée pour le paiement »

Cf https://zythom.blogspot.fr/2006/09/sncf-cest-possible.html ?

J'ai toujours été surpris qu'on puisse payer avec un simple numéro (non confidentiel et même écrit en gros) de carte, non accompagné d'un code confidentiel ou d'une signature, alors qu'à ma connaissance il n'est pas possible de payer avec un seul numéro de compte ou de chèque (non accompagné d'une signature). Quelle est l'origine de ce système ?

En Belgique, j'utilise depuis plusieurs années un système assez semblable à celui que tu décris ou que décrit zEgg pour la Suède :
Le site commerçant renvoie via un lien au site de ma banque auquel je me connecte en rentrant dans une "calculette" ma carte (de débit, sur laquelle on ne peut donc pas "tirer" sans le code PIN), le code qu'ils me donne, mon code PIN et le montant à payer dans une "calculette" qui me retourne alors un numéro (qui n'est par contre pas toujours le même avec les mêmes entrées) à entrer sur le site de ma banque qui effectue alors le paiement immédiatement.

Cela ne marche bien sûr que sur les sites belges mais fonctionne aussi sur le site belge de Paypal (qui ne connaît donc pas mon numéro de carte mais prend sa commmission au passage) que j'utilise comme intermédiaire pour les achats à l'étranger.

Ta proposition de poster publiquement son numéro de carte bleue sur reddit n'est pas une comparaison tout à fait honnête. En effet, ça reviendrait plutôt à laisser sa carte sur un banc.
Donner son numéro à un commerçant en ligne avec l'intention de faire une transaction est plutôt comparable à payer avec ta carte chez un commerçant, avec les deux problèmes suivants 1- le commerçant peut être un pourri et ajouter un zéro 2- quelqu'un peut lire ton numéro de carte par dessus ton épaule alors que tu l'introduit dans la machine. Pour le 1- on ne peut rien faire, si ce n'est n'aller que chez des commerçants qu'on connait (et en ligne ça se traduit par Amazon et consorts). Pour le 2- c'est regarder qui est derrière soi (et en ligne, faire confiance à SSL j'imagine).
Sans nier que tu es plus exposé sans e-carte bleue qu'avec, il me semble que ça ramène cependant le risque à un niveau sensiblement équivalent à celui de l'utilisation de ta carte physique dans la vraie vie, risque qui parait acceptable au jour le jour.

J'ai eu la même réaction indignée en recevant ce message de LCL. Que faire ? Si tu as une solution simple et sûre, fais-le savoir sans délai !!! Oui, on peut ouvrir un 2e compte dans une banque en ligne (mais laquelle ?) mais il faut faire des virements pour l'alimenter au minimum, et ça fait encore des démarches et des débours. Pour Paypal, rien n'oblige à avoir un compte. Comme toi, je n'ai jamais voulu y communiquer mes références de CB,donc à chaque fois, il faut réinscrire toutes ses coordonnées, c'est fastidieux. Pour les fraudes avec la CB, la banque est responsable et doit normalement bloquer ou rembourser l'achat frauduleux. Le soupçon de fraude m'est déjà arrivé 2 fois :la carte est bloquée et il faut en refaire faire une nouvelle, ce qui est aussi un emmerdement maximum !

Le vrai problème c'est que sur les sites français, ils ne proposent que le paiement par carte. Sur quasiment 100% des sites basés en Suède, on peut faire un paiement direct par virement vers ta banque (les 4 plus grandes banques sont toujours listées).

Une facture est générée sous forme d'un lien vers le site sécurisé de ta banque, et pour t'y connecter et confirmer le paiement du montant exact, ils affichent un code à 8 chiffres décimaux que tu entres dans une petite "calculette" (cherche "swedbank dosa" dans google image). La mienne est la même depuis 8 ans (je n'ai même pas changé la pile).

Tu allumes la dosa en tapant ton code pin (4 chiffres), tu tapes le code à 8 chiffres, et tu reçois immédiatement un autre code à 8 chiffres que tu donnes sur le site pour confirmer. Si on tape le même code plusieurs fois on reçoit toujours le même. La calculette implémente donc essentiellement un algorithme MAC.

Ce que je crains en revanche, c'est qu'un jour ils la remplacent par une application genre android.

Tiens, jolie coïncidence : je viens justement de recevoir ce matin, de ma banque — et sans que j'aie rien demandé de spécial —, "un des outils les plus performants en matière de sécurité sur Internet" (je cite).

Concrètement, la chose (le PassCyberPlus) se présente sous la forme d'un petit lecteur de carte, lequel, après qu'on y a introduit sa carte bancaire et rentré son code personnel (et, éventuellement, une ou plusieurs informations supplémentaires requises dans le cadre d'une opération particulière), génère un mot de passe à usage unique, qui est utilisé pour valider l'opération en question (achat sur Internet, virement fait à partir de l'interface de gestion en ligne de la banque, ajout et validation d'un nouveau destinataire potentiel de virement…). Cerise sur le gâteau, une triple erreur d'entrée du code secret de la carte bloquerait cette dernière, comme dans n'importe quel distributeur.
Le très concis courrier d'accompagnement précise cependant que ce dispositif n'est utilisable que chez "les cyber-commerçants proposant la solution "Verified by Visa — MasterCard Secure Code".

Plus d'infos sur cette merveille ici : <URL: http://www.bpalc.banquepopulaire.fr/portailinternet/Editorial/BanqueEnLigne/Pages/Pour-vos-comptes-en-ligne.aspx > (en particulier dans l'abominable animation non parcourable à laquelle Firefox a tenté de me dissuader d'accéder, sous le prétexte de certificat de sécurité invalide !) et là : <URL: http://www.internationalbranch-bpca.com/pdf/pass-cyberplus-notice-eng.pdf >.

Il semblerait que ce système existât depuis plus de 5 ans mais qu'il fût jusqu'alors réservé à des opérations autres que les paiements sur Internet.

J'ignore si la Banque populaire compte homogénéiser ses offres et ne plus proposer que cette bécane comme moyen de sécurisation : ce machin m'est parvenu, comme c'était prévisible, sans aucune explication ou justification ou presque — mais avec l'expression de l'espoir, cependant, que j'y sois "sensible". Jusqu'à ce jour, on me demandait tantôt de rentrer un code reçu par SMS, tantôt rien du tout, sans que je ne sache trop quel facteur détermine le recours ou non à ce système de sécurisation. Peut-être l'élément déterminant est-il là aussi la capacité du commerçant à proposer le fameux service de vérification sus-cité ?

Bref, que penses-tu de ce système ? D'après l'animation mentionnée ci-dessus, il semble d'ores et déjà largement utilisé à travers toute l'Europe (du coup il est probable que tu en aies déjà connaissance).

J'ajoute que, selon toute vraisemblance (et modulo les doutes précédemment émis sur quelque velléité d'homogénéisation de leurs offres) la Banque populaire propose elle aussi toujours le système d'e-cartes bleues, mais j'aurais tendance à ne pas te la conseiller, à moins que tu ne souhaites payer beaucoup de frais divers et mystérieux, et que tu souhaites que ta banque soit une des premières à se casser la gueule lors de la prochaine crise financière qui nous guette. Bon, moi, je me console en répétant religieusement le mantra /too big to (let) fail/.

Par ailleurs, il me semble qu'il est presque toujours possible de payer "via" Paypal /sans/ posséder de compte Paypal (ou sans utiliser le compte qu'on possède…), non ?

Pour l'anecdote, au moins, ne pas se priver de défoncer over nine thousand le commerçant s'il est sur des sites de type tripadvisor ou je ne sais quoi. Selon ton éthique personnelle, tu peux l'attaquer sur le terrain honnête ou sur un terrain aussi honnête que lui.

Ce qui, bien sûr, ne change rien au fait que l'attitude de la banque est intolérable sur le principe.