Sécurité des achats par internet

[beaves]

La directive des autorités de tutelle bancaire impose aux usagers réalisant des achats sur internet une « double sécurité » en communiquant d'une part un code réceptionné sur téléphone fixe ou portable et d'autre part le code d'accès à la gestion des comptes via internet ( là je ne suis pas d'accord).
J'ai dirigé un service informatique (classé secret défense) de programmeurs de système d'exploitation, dans mon équipe un programmeur a totalement réécrit la gestion des télécommunications de Windows (a des fins de surveillance), ce programme une fois réécrit était totalement transparent pour l'utilisateur lambda (impossible de distinguer le produit Windows du produit réécrit venant se substituer à l'original).
D'autre part, mon service dans le but de contrer d'éventuels pirates avait simulé une attaque ; les composantes étaient les suivantes : un cookie se téléchargeait automatiquement lors d'une consultation de site internet lambda, ce cookie renvoyait vers une adresse IP prédéfinie les données saisies au clavier ainsi que les mouvements de souris.
En conséquence, obliger les usagers à ouvrir un espace internet et à communiquer leurs codes d'accès aux comptes risque d'engendrer un « siphonnage » de
tous leurs comptes, la banque réfutant toute responsabilité sans aucune preuve de négligence du titulaire du compte qui face aux avocats de ces organismes ne peut que pleurer la disparition de ses biens

Aussi la communication des codes d'accès à l'espace bancaire par internet me semble une hérésie.
Espérant une simplification (un appel sur téléphone fixe et délivrance d'un code de validation de l'achat) le téléphone fixe étant à ma connaissance difficilement piratable....
Cordialement.

[Guigui13]

Bonjour,

Déjà ce n’est pas l’autorité de tutelle mais la loi européenne.

Néanmoins je suis d’accord que demander le code secret est dangereux. Mais pas pour les raisons que vous invoquez.
Un faux site pourrait mimer la page d’authentification et ainsi obtenir le code directement. Obtenir le cookie de session et les mouvements de souris n’est possible qu’avec un malware ou un script incorporé, ce qui indique une négligence de l’utilisateur ou de la banque.

Et le code par SMS ce n’est pas suffisant il faut un code connu par l’utilisateur et statique.
Donc soit on valide avec un code sur son smartphone.
Soit on a cette méthode. Soit un boîtier ou on insère sa carte pour obtenir un code de validation…

[unbravgars]

...
Aussi la communication des codes d'accès à l'espace bancaire par internet me semble une hérésie.
Espérant une simplification (un appel sur téléphone fixe et délivrance d'un code de validation de l'achat) le téléphone fixe étant à ma connaissance difficilement piratable....
Cordialement.

bonjour,
c'est pourtant une des possibilités qui auraient été relatées dans la presse (duplication de ligne qu'elle soit fixe ou mobile) et constitué un des arguments du passage du 3D-Secure au 3D-Secure+ puis à l'authentification forte à deux facteurs.
Je ne vois pas ce qu'il y a de problématique à utiliser son mot de passe habituel pour se connecter à son espace bancaire (donc à votre banque et personne d'autre) afin de valider une notification (de votre banque) sur un autre ordinateur (smartphone) et un autre système d'exploitation (Android par exemple) que celui depuis lequel a été initié l'achat (Windows par exemple). Il me semble que le code achat (5 caractères) choisi une fois pour toutes et connu exclusivement de l'initiateur de l'achat combiné au code à usage unique (pour l'achat en cours) constitue une autre méthode de mise en oeuvre de l'authentification forte à deux facteurs réservée à ceux qui ne disposeraient pas d'un smartphone. Concernant la méthode consistant à valider une notification, le smartphone est alors reconnu par la banque comme ordinateur de confiance et tient le même rôle qu'un matériel dédié équipé du micro-code nécessaire à la validation de la transaction d'achat.
Cdlt.

[luciole83]

bonjour

Le mieux pour les achats sur Internet est de payer via Paypal.

Ou d'utiliser une carte bancaire prépayée (portefeuille électronique) du type Transcash MAX, en ne mettant que de faibles sommes dessus à la fois.

[beaves]

Le problème avec ce dispositif "Ultra Haute Sécurité" mis en place par les banques est le suivant :
-vous communiquez votre code d'accès à votre espace bancaire
-un cookie malveillant récupère votre code (je l'ai vu mis en place par un collègue pour un test)
-le code est ensuite utilisé par le fraudeur.
-une fois dans votre espace client bancaire internet, il fait ce qu'il veut !
-en principe il vide partiellement ou totalement vos comptes.
-Enfin la banque vous accuse de négligence et ne vous rembourse pas !
Vous pouvez vérifier en consultant les statistiques sur la fraude bancaire via internet et le nombre de personne ayant obtenu gain de cause auprès des banques......