Comments on Je déteste PayPal avec la passion de mille soleils ardents

Restent à savoir pourquoi les banques n'acceptent pas uniquement (à défaut de code confidentiel ou de signature, voire de numéro unique) uniquement les paiements par 3-D secure ou équivalent ?

@Ruxor : concernant les mandants SEPA leur utilisation est parfaitement sécurisée pour moi aujourd'hui : <URL: https://www.caisse-epargne.fr/comptes-cartes/prelevement-sepa>. Elle a mis en place un système de liste blanche et noire des mandats SEPA qui consiste pour la première de n'autoriser que ceux qui y sont inscrits (et bien sûr, c'est soi même qui la renseigne) et pour la deuxième de faire opposition sur des mandants en cours d'exécution. Alors qu'avant effectivement on n'avait pas le choix, tout mandant que recevait la banque était implicitement et automatiquement approuvé. A noter que ce fonctionnement, sans autorisation du titulaire du compte, persiste tant qu'on ne renseigne pas la liste blanche ce qui est mon cas aujourd'hui mais plus pour longtemps je crois.

Tu te compliques la vie. Les transactions par carte sont sures grace à 3D-secure. Paypal est sur également car il prend en charge les frais en cas de fraude (c'est pour ça que le service est payant). En gros, tu veux cumuler trois files de sécurité : paypal, la carte temporaire, et 3d-secure, et tu t'étonnes que les systèmes ne soient pas optimisés pour cet usage marginal.

L'autre point qui manque dans ton "rant", c'est pourquoi tu es contraint d'utiliser paypal.

"Si vous êtes victime d’une opération débitée sur votre compte bancaire mais qui n’a pas été vérifiée par votre banque par l’authentification forte, vous ne supporterez pas les conséquences financières.
Vous devez immédiatement informer votre banque de cette opération non autorisée et au plus tard dans un délai de 13 mois après le débit.
Si votre banque n’arrive pas à faire la preuve de l’utilisation de la procédure 3D Secure, votre responsabilité n’est pas engagée car l’opération est réputée « non autorisée ». Votre banque est tenue de vous rembourser l’intégralité des sommes indûment débitées (article L133-18 du Code monétaire et financier)."

@Lethe: j'ai l'impression que le commerçant n'est pas obligé de les utiliser (donc que ça ne sert pas à grand-chose)

D'où vient cette idée de permettre le paiement avec le seul numéro de carte, alors qu'à ma connaissance, on n'a jamais pu payer avec un numéro de chèque ?

Les solutions de validation de paiement par double facteur (une application sur smartphone, typiquement) agrémentées du fameux cryptogramme changeant qui se trouve sur les cartes les plus récentes devraient pouvoir suffire à résoudre ce problème de conservation des données post-paiement, non ?

Ca n'a sans doute rien à voir, mais que faut-il penser de ce vol de 600 millions de dollars en cryptomonnaies (<URL: https://www.courrierinternational.com/article/hack-le-plus-grand-vol-de-cryptomonnaies-en-partie-rembourse/ >) ? Comment peut-il subsister des failles de sécurité dans ces systèmes ? Et est-ce que ça ne suffit pas à créer une panique à leur sujet ?

Sur les virements, je trouve cela pas du tout pratique et fastidieux d’autant que dans ce cas c’est le créditeur qui se retrouve avec son IBAN ou RIB dévoilée publiquement. Mais ça marche, j’ai déjà payé ma facture d’électricité comme cela.

Il faut peser le pour et le contre. Le risque de piratage VS s'emmerder à vouloir utiliser des méthodes pas pratiques.

Je trouve surprenant que tu n'attaches pas un poids plus élevé au caractère pratique des choses. Le fait de rentrer son numéro de CB (que l'on peut connaître par cœur), recevoir un sms, et valider, c'est rapide et pratique. S'il faut aller sur un autre site générer un numéro à usage unique en plus, ça devient rédhibitoire pour beaucoup de personnes.

Par ailleurs dans la mesure où 3D-secure existe je ne vois pas vraiment pourquoi tu trouves que la méthode usuelle n'est pas assez sûre. Je pense que c'est peu probable qu'un pirate ait accès à ton numéro de CB et puisse lire tes sms, quand à la situation où on te vole physiquement ton téléphone je pense que de l'argent volé sur ton compte qui sera remboursé par l'assurance n'est pas le principal souci.

J’ai l’impression que PayPal est beaucoup plus utilisé aux USA qu’en France car peut-être que les premiers se rendent compte de la sécurité de ne fournir ses coordonnées bancaires (RIB ou numéro de carte bleue) qu’à PayPal.
Sinon pour moi il y a une solution parfaitement secure de payer sur le web : Apple Pay. Malheureusement je n’ai encore jamais vu de site qui l’acceptait.

…Et ne parlons pas d'Amazon, avec lequel il est très pénible d'utiliser l'e-carte bleue : il faut mémoriser le montant à payer car il disparait curieusement de la page de paiement, et de toute façon Amazon finit souvent par modifier ce montant au dernier moment pour telle ou telle raison de promo express ou de mode de livraison qui enlève/ajoute finalement 1€, juste histoire de devoir regénérer une e-carte bleue…

Je trouve paypal bien pratique. J'ai un compte chez eux et ils prélèvent directement sur mon compte. C'est généralement le moyen de payement le plus simple et qui marche à tous les coups et qui ne m'embête pas avec les authentification, je paye en un clic. Par contre, il y a des frais.

J'ai plutôt le problème de ne pas réussir à payer avec ma CB. Chez ING et Boursorama, j'ai souvent des problèmes de payement refusés. Ils sont tellement paranos sur la sécurité qu'ils bloquent des payements valides. Et l'authentication multifacteur ne marche pas toujours, notamment à l'étranger.

Un autre service de payement qui marche bien : Wise. Très pratique pour virement à l'étranger, et on peut aussi générer des numéros de CB temporaire, gérer des comptes dans tous les pays, et avoir une visa pour 10 euros.

Pour PayPal, j'ai renoncé à être difficile, j'ai un compte chez eux avec un une centaine d'euros. On peut ajouter de l'argent par virement, ils n'ont jamais de numéro de carte bleue à moi.

Si j'étais président, je désignerais une équipe pour standardiser un protocole de paiement puis en imposer l'usage aux commerçants français : le client donne au commerçant son adresse (URL HTTP) chez un opérateur de paiement (typiquement sa banque), le commerçant y poste une facture dans un format standardisé, l'opérateur de paiement se débrouille avec le client pour valider la facture et envoie le paiement à l'opérateur du commerçant, qui se débrouille pour signaler que la transaction a été effectuée.

Juste deux petits commentaires :
Paypal est moisi, je suis d'accord. MAIS il a un avantage certain lorsqu'on va au-delà de son usage comme intermédiaire d'utilisation d'un système de CB : il est une réelle alternative à ces mastodontes que sont VISA et Mastercard (sauf que, pour utiliser un compte PayPal, il faut quasi nécessairement l'alimenter avec VISA et Mastercard). C'est leur seul concurrent direct qui a un peu d'importance (même si Paypal n'absorbe qu'un pourcentage relativement faible des transactions en ligne). Affaiblir une situation de monopole est toujours intéressant. MAIS (oui, ça serait trop simple), ça n'est qu'un pis-aller : Paypal, comme VISA et Mastercard, suit la législation américaine, a des CGU encore plus pourries et restrictives que ses gros concurrents et, comme je l'ai indiqué, a quand-même besoin de ces derniers pour les alimentations de comptes.
(Ça peut paraître anodin, mais stratégiquement il est aberrant que l'UE n'ait pas réussi à faire émerger un intermédiaire de CB sur son territoire et avec son cadre législatif ; quand on creuse le sujet, c'est assez dramatique. Lorsque VISA et Mastercard ont senti la possibilité de l'élection de Trump, par exemple, ils ont tous deux fait évoluer leurs CGU pour plus de restrictions, afin de pré-satisfaire les conservateurs… en cas de conflit économique ou militaire, c'est toute l'économie de l'UE des particuliers qui serait bloquée).

Second point, qui n'a rien à voir : personnellement, je trouve qu'utiliser le copier/coller comme facilitateur est une fausse bonne idée. Déjà parce que les sites peuvent accéder au contenu du presse-papier (il y a normalement un contrôle du navigateur, mais typiquement je ne fais absolument pas confiance à Google Chrome à ce niveau : rien ne me dit que Chrome n'a pas de laisser-passer spécifique pour que les services Google puissent y accéder, ni qu'il n'y a pas de bug dans mon navigateur), mais aussi parce que si j'oublie d'en remplacer le contenu, je peux me retrouver à coller mon numéro de CB à un endroit non souhaité (une zone de texte d'un onglet de navigateur sur un site qui pourrait en récupérer le contenu de façon asynchrone sans validation, par exemple). Bref, pour moi c'est vraiment une fausse bonne idée.
Le fonctionnement actuel de 3D secure me paraît largement plus satisfaisant (avec un système d'OTP et/ou de validation par PIN dans l'application bancaire sur téléphone, préalablement définie comme étant un périphérique autorisé [en général via un système d'OTP ou un mécanisme de code envoyé par courrier postal sécurisé - comme pour le code de CB] est beaucoup plus souple (et non exclusif : si j'ai perdu mon smartphone, je peux demander d'utiliser le dispositif physique d'OTP fourni par ma banque).

Les eCB avec durée/montant limité ne permettent pas tout plein de choses (paiement en plusieurs fois des frais d'université, paiement d'un abonnement à un service en ligne numérique avec ponction par la CB tous les n mois…). On peut arguer que, dans ces cas, l'utilisation du RIB est plus adaptée, sauf qu'en pratique c'est beaucoup moins sécurisé. Contrairement à ce que les banques disent, il peut y avoir des prélèvements bancaires réalisés avec un simple RIB : les banques sont normalement sensées vérifier l'autorisation écrite du titulaire, mais en pratique ce n'est pas le cas. Bien sûr, elles vont rembourser les montants prélevés de façon abusive par des tiers qui auraient récupéré un RIB (typiquement, il y a de nombreux RIB volés lors de campagnes de fishing qui sont utilisés ainsi). Or un RIB n'a pas de code de sécurité, ne peut pas être opposé de façon définitive, n'a pas de durée de vie.

Je connais des sites qui acceptent des paiements par virement (et souvent pas par carte), et qui marche presque comme tu le décris. Il n'y a pas d'identifiant de la transaction, ils demandent juste de mettre la référence de la commande dans le commentaire libre du virement.

Mais avec ma banque (La Poste, ou quoi qu'elle s'appelle maintenant), ce serait assez pénible si c'était généralisé parce qu'il faut plusieurs jours pour qu'un bénéficiaire de virement soit validé.