Auteur Sujet: Banques: évolutions de sécurité pour respecter la DSP2  (Lu 16558 fois)

0 Membres et 1 Invité sur ce sujet

domi570

  • Abonné Orange Fibre
  • *
  • Messages: 177
  • montigny les metz 57
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #48 le: 04 novembre 2019 à 20:52:58 »
bonjour,
Pour ma part ma banque CMDP m'a demander d"installer l’application pour identification transaction et autres,
mais ou je coince un peut ,il faut entrer identifiants et code pour se loguer , sur internet je veut bien mais sur android ou autre, je ne suis pas prêt à le faire.
De plus j'aime :( bien la petite phrase " Assurez-vous régulièrement que vos coordonnées personnelles restent toujours bien à jour."
comment fait ont avec toutes les surprises qu'il y à sur le "Play Store"

Free_me

  • Abonné Free fibre
  • *
  • Messages: 3 075
  • Marseille
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #49 le: 05 novembre 2019 à 08:11:04 »
Heureusement qu’il reste amazon...
La validation par sms ils ont dégagé ca vite fait pour faciliter le parcours client, quitte a devoir rembourser plus de fraude.

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 668
  • Montgesty (46150)
    • Tetaneutral.net
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #50 le: 06 novembre 2019 à 19:08:05 »
Heureusement qu’il reste amazon...
La validation par sms ils ont dégagé ca vite fait pour faciliter le parcours client, quitte a devoir rembourser plus de fraude.

L'un des problèmes est qu'il semble que les opérateurs soient très légers, depuis des années, sur leurs interco SS7. Or les SMS passent par là.

Apparemment (aux USA) il y a un effort pour les obliger à fiabiliser le callerID et les SMS (ou, plus exactement, passer à RCS https://en.wikipedia.org/wiki/Rich_Communication_Services ) à cause des multiples fraudes. Ptet que chez nous les assurances marchent encore trop bien pour que les opérateurs s'en occupent.


Free_me

  • Abonné Free fibre
  • *
  • Messages: 3 075
  • Marseille
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #51 le: 06 novembre 2019 à 20:48:20 »
pour amazon c'est pas une histoire de securité insuffisante ou non du sms.
C'est uniquement pour faciliter le parcours client du paiement, tu ne sors pas du tunnel de commande. la consequence est bien sur une recrudescence d'utilisation de cb volées, heben tant pis ils remboursent et gerent ces problemes et ca leur coute plus cher. J'avais des clients en ecomerce, aucun ne pouvaient se permettre de faire pareil, ils avaient tous les sms activé.

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 668
  • Montgesty (46150)
    • Tetaneutral.net
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #52 le: 06 novembre 2019 à 21:42:03 »
pour amazon c'est pas une histoire de securité insuffisante ou non du sms.
C'est uniquement pour faciliter le parcours client du paiement, tu ne sors pas du tunnel de commande. la consequence est bien sur une recrudescence d'utilisation de cb volées, heben tant pis ils remboursent et gerent ces problemes et ca leur coute plus cher. J'avais des clients en ecomerce, aucun ne pouvaient se permettre de faire pareil, ils avaient tous les sms activé.

Quand tu t'appelle Amazon tu peux te permettre de garder les n° de carte des clients, et assumer (financièrement) les dégâts d'une fuite de données : Les banques se battrons pour que tu utilises leur services, fraudes ou pas.
Sinon, c'est la banque qui dicte sa loi, et le tunnel de commande, elles, elles s'en foutent. Elles s'en foutent aussi de ton site, d'ailleurs : Le client, si il dépense pas son argent chez toi il le fera ailleurs et la commission ça rentrera quand même dans leur poche.

Le SMS me gêne pas tellement , surtout au delà d'un certain montant par exemple , je trouve ça plutôt rassurant. Installer une appli, paradoxalement, je trouve ça moins sécurisant (car j'ai moins confiance dans les développeurs de la banque et de leurs managers).
Après, même si j'en ai pas connaissance en europe, apparemment aux USA le simjacking ou autre technique d'interception des SMS est un fléau.

Une autre solution (qui existe depuis longtemps en France, souvent payant) c'est d'avoir des n° de carte à usage unique, voir des cartes avec des écran e-ink dessus pour générer des numéros , par exemple sur le CCV  , Mais dans tous les cas , c'est quand même le client qui, in fine, paie la technologie qui protège la banque des fraudes :-)



e-TE

  • Abonné Free fibre
  • *
  • Messages: 1 145
  • Déville-les-Rouen (76)
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #53 le: 06 novembre 2019 à 22:59:23 »
Une autre solution (qui existe depuis longtemps en France, souvent payant) c'est d'avoir des n° de carte à usage unique, voir des cartes avec des écran e-ink dessus pour générer des numéros , par exemple sur le CCV  , Mais dans tous les cas , c'est quand même le client qui, in fine, paie la technologie qui protège la banque des fraudes :-)
et surtout, les cartes a usage unique, ce n'est plus une CB a proprement parler, donc en cas de fraude, c'est pour ta pomme, alors qu'en cas de fraude à la CB "classique", c'est la banque qui est obligé d'en assumer les frais... donc tu paies un service qui dédouane les banques des cas de fraude ^^

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 668
  • Montgesty (46150)
    • Tetaneutral.net
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #54 le: 06 novembre 2019 à 23:14:15 »
et surtout, les cartes a usage unique, ce n'est plus une CB a proprement parler, donc en cas de fraude, c'est pour ta pomme, alors qu'en cas de fraude à la CB "classique", c'est la banque qui est obligé d'en assumer les frais... donc tu paies un service qui dédouane les banques des cas de fraude ^^

Bah en même temps... si elle est à usage unique et que le n° est ré-utilisé (donc , fraude), bah.... c'est pas vraiment à usage unique, non ? D'autant que le n° unique n'existe pas tant que tu ne l'a pas demandé. Si la banque laisse passer une seconde transaction sur un tel n° de carte, elle est un peu fautive...

Une variante que j'ai vu aux US c'est le n° de carte uniquement valable chez 1 seul marchant, pour du récurent (Là c'est donc pas unique).

Enfin t'a toujours les pénibles comme la SNCF qui veux absolument une carte physique - je sais pas vraiment pourquoi ils emmerdent le monde avec ça, après tout tant qu'ils ont l'argent...


Concernant les frais, les banques savent qu'elles sont responsable en cas de transaction frauduleuses, mais essaient trop souvent d'arnaquer le client - que ce soit avec des refus par simple lettre, des menaces de radiation de compte, des demandes de justificatifs pour faire durer la procédure + de 70 jours......
Elles sont dans leur tord, elles le savent, et savent qu'elles se feront torcher en justice... si ça y arrive. Mais comme ça arrive très peu souvent en justice, c'est tout bénef pour elles. Il n'y a pas d'amendes dissuasives sur ce comportement, donc...

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #55 le: 07 novembre 2019 à 07:08:23 »
J'ai demandé à ma baque de bloquer ma CB physique (je suis donc obligé de passer par des cartes virtuelles pour Internet)

- Cela ne supprime pas de garanties
- Ce n'est pas a usage unique, mais limité à un commerçant pour le montant indiqué et la durée indiquée : cela fonctionne parfaitement pour des abonnements récurrents



Pour les codes « Verified by Visa » et « MasterCard SecureCode » entrainnent un changement de responsabilité en cas de problème :
- Sans ces v"vérifications, c'est le commerçant qui doit payer (remboursement au client qui conteste)
- Avec ces vérifications, c'est la banque qui doit payer, le commerçant est assuré d'être payé)

testing5555

  • Abonné Bbox fibre
  • *
  • Messages: 547
  • Lyon 3 (69)
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #56 le: 07 novembre 2019 à 13:15:59 »
Le SMS me gêne pas tellement , surtout au delà d'un certain montant par exemple , je trouve ça plutôt rassurant. Installer une appli, paradoxalement, je trouve ça moins sécurisant (car j'ai moins confiance dans les développeurs de la banque et de leurs managers).

Alors que le serveur qui envoie le SMS et te demande le code en retour est pas du tout codé et géré par "les développeurs de la banque et leurs managers"  :D
Indice : le logo de ta banque s'affiche sur l'écran qui demande le code (et c'est bien ta banque qui stocke ton n° de tél et t'envoie le SMS)

ezivoco_163

  • Abonné Orange Fibre
  • *
  • Messages: 823
  • Toulouse (31)
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #57 le: 19 décembre 2019 à 11:36:03 »
Aeris partage son expérience de la DSP2 : https://twitter.com/aeris22/status/1172859672761708545

J’ai eu à faire à un cas concret ce jour avec l’arrivée de la DSP2.
                https://twitter.com/aeris22/status/1172650319773220865
N26 a activé son authentification forte, réclamant une application Android incompatible avec un téléphone rooté ou ne disposant pas des applications Google. Un Lineage OS pourtant avec MicroG (https://microg.org/) n’est plus utilisable.
La seule proposition de la part de N26 est d’acheter un nouveau téléphone, ce qui ne règlera de toute façon pas le problème puisqu’il serait à nouveau sans les Google Apps…
                https://twitter.com/aeris22/status/1172813775273168896

Ce problème va être de plus en plus fréquent, la plupart des banques implèmentant la 2FA uniquement via leur application mobile, qui reposent souvent sur les Goggle App.
Et les banques proposant la 2FA via SMS risquent fort de devoir changer de fusil d’épaule un jour, EBA ayant explicitement interdit ce moyen d’authentification tant que la SIM n’est pas protégée contre la réplication
                https://eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4039

Les libristes ne sont pas les seuls touchés dans l’affaire, le blocage de Huawei par Google ou les personnes ne disposant pas de smartphone ou de vieux modèles plus maintenus sont aussi concernés. Ce qui peut rapidement faire une bonne partie de la population.

Les choix technologiques des banques d’une 2FA applicative sont d’autant plus inexplicables que leur politique de mot de passe s’est récemment dégradé avec l’entrée en vigueur de la DSP2 et le passage de mots de passe robustes et fiables à des mots de passe à 6 ou 8 chiffres, et qu’il existe des solutions beaucoup plus sûres et efficaces de double authentification 100% intéropérables (TOTP).

Ce problème a des effets très notables. Alors que la vente liée/forcée permettait quand même un usage « normal » après quelques bricolages ou l’achat de matériel dans des points de vente spécifiques, la DSP2 exclut de fait du système bancaire toute personne non compatible. Ce qui induit à plus ou moins long terme l’exclusion complète de la société.


Les téléphones Huawei avec leur fork d'Android seront eux aussi impactés.


bonjour, désolé je n'ai pas lu tout le topic, mais pourquoi les banques ne se servent pas des applications existantes type Microsoft Authenticator ou encore Google Authenticator ?

Evidemment, cela ne marchera pas avec un tel rooté ou modifié.

Il existe aussi Authy 2-Factor Authentication, voici leur site web (je l'utilise sur PC) : https://authy.com/

Par contre le gros avantage pour le client, c'est d'avoir une seule app qui regroupe toutes les double authentifications !  :)

ezivoco_163

  • Abonné Orange Fibre
  • *
  • Messages: 823
  • Toulouse (31)
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #58 le: 03 janvier 2020 à 11:04:51 »
bonjour, désolé je n'ai pas lu tout le topic, mais pourquoi les banques ne se servent pas des applications existantes type Microsoft Authenticator ou encore Google Authenticator ?

Evidemment, cela ne marchera pas avec un tel rooté ou modifié.

Il existe aussi Authy 2-Factor Authentication, voici leur site web (je l'utilise sur PC) : https://authy.com/

Par contre le gros avantage pour le client, c'est d'avoir une seule app qui regroupe toutes les double authentifications !  :)

Bonjour, je me permets de remonter ma question.  :)

ezivoco_163

  • Abonné Orange Fibre
  • *
  • Messages: 823
  • Toulouse (31)
Banques: évolutions de sécurité pour respecter la DSP2
« Réponse #59 le: 06 avril 2020 à 11:07:49 »
Bonjour, je me permets de remonter ma question.  :)

Bonjour, je me permets de remonter ma question.  :)