[sécurité] être sûr de l'intégrité de ses opérations bancaires sur le web

Hello all.

Y’a quelques jours, mon compte en banque a été débité par un *%!°#&ù de californien qui, non content d’avoir dépensé 20�?� de café et 40�?� de fast food, s’en allé faire le tour des magasins de bricolage de sa ville pour retaper sa maison à mes frais, ce dernier ayant réussi à choper mes identifiants de CB.

Bon heureusement, je dois recevoir aujourd’hui ou Lundi le dossier d’assurance pour contester ces paiements et annuler les opérations frauduleuses (en plus de me promettre à moi même de pisser dans toutes les boites aux lettres des maisons retapées que je verrais lors de mon futur voyage en Californie :crying: :cry: ).

C’est au niveau du piratge de coordonnées que je m’inquiète : j’ai payé deux fois avec cette CB sur internet (un paiement Amazon, un paiment WoW). Si le problème vient effectivement d’une interception de transaction sur le net (une autre piste pourrait être un vol des identifiants lors de mon dernier voyage à l’étranger), vais-je pouvoir retenter des paiements en ligne sachant que je pensais être un minimum « blindé » :

  • firewall de windows server
  • windows defender
  • Avira
  • Comodo

Dans l’immédiat, je vais reformater mes machines. A l’avenir, quels conseils vis-à-vis des logiciels que vous utilisez ou de vos techniques de sécurisation diverses pourriez vous me donner ?
Merci :slight_smile:

Je pense pas qu’il ai une quelconque solution miracle. :confused: A part peut être la carte bleue à usage unique ? Mais est ce que c’est pas s’emmerder pour pas grand chose ? …

Quand à la façon dont le mec s’est approprié tes coordonnées, bon dieu, je suis pas un connaisseur, mais il y a bien a peut près 30 000 façons de le faire. Qui sont totalement indépendante de toi et de ton brave pc. Entre les « keygen », les listes de coordonnés vendu en gros et autres…

On déborde un peu. Mais en gros c’est juste un algorithme à la con les CB, rien qu’en France tu peut faire à peut près ce que tu veut avec un graveur de carte à puce… Au états unis c’est pire, il n’y a que des cartes à bande ! Et vu que n’importe qui dans le monde entier peut faire une réplique exacte de n’importe quelle CB… Il n’y à juste aucune solution blindée… Même notre cher président n’est pas à l’abri du moindre type derrière un pc, c’est dire !

J’ai envie de dire que la solution reste d’être bien couvert du coté de ton assurance et de ne pas avoir de pratique a « risque » quand à ta façon d’utiliser ta CB, les organismes (je sais plus s’ils sont employé par les banques ou les assurances) qui enquêtent sur chaque cas refusent parfois de rembourser certains clients qui ont été trop facilité le détournement de leur CB ou compte bancaire. Bref, tant que c’est pas ton cas…

En espérant ne pas avoir dit de bêtise. :slight_smile:

A ta place, je ne chercherai pas plus loin. Entre un serveur de restaurant et un serveur Verisign�?� :wink:

[quote=“MystereEtBouleDeGomme, post:2, topic: 49941”]On déborde un peu. Mais en gros c’est juste un algorithme à la con les CB, rien qu’en France tu peut faire à peut près ce que tu veut avec un graveur de carte à puce… Au états unis c’est pire, il n’y a que des cartes à bande ! Et vu que n’importe qui dans le monde entier peut faire une réplique exacte de n’importe quelle CB… Il n’y à juste aucune solution blindée… Même notre cher président n’est pas à l’abri du moindre type derrière un pc, c’est dire !
[…}
En espérant ne pas avoir dit de bêtise. :)[/quote]

La bande magnetique est effectivement du foutage de gueule. La puce c’est autre chose et les dernières sont inviolables car utilisent un systeme de clef publique/privée dont la clef privée n’est accessible de personne (oui un petit malin a reussi a en faire des fausses il y a quelques années, mais les clefs étaient beaucoup plus courtes et il faisait un genre de brute force)

Donc la solution est un lecteur de carte à puce sur chaque ordi (et un lecteur, ça coute que dalle, la carte coute limite plus cher)

Ps : un graveur de carte à puce, c’est un non-sens : les parties métaliques de la puce, c’est un port série bidirectionnel + l’ alim. Il suffit d’avoir un lecteur, des cartes vierge et le logiciel qui va bien. Maintenant pour réécrire une carte ou en faire une presque vraie, il te faut la clef privée de la banque (bon courage) + les 3 master key de leur HSM (ça fait tout de même 4 clefs à deviner)

Je suis pas à jour. Pas mal de chose ont du changé depuis 2, 3 ans. Heureusement d’ailleurs… Vu le nombre de dégénérés qui se baladait avec des Yes/White card.

Je connaissais pas l’appellation précise du bousin a carte en fait ! Mais ce n’est vraiment plus possible de cloner une carte ??? �?a m’étonne un peu. Même si ça doit être beaucoup moins “facile” qu’avant.

Pour tes paiements en ligne, la plus part des banques proposent maintenant un système de carte bancaire virtuelle à usage unique.

  1. Le numéro de la carte virtuelle est généré par un soft sur ton PC. Quand bien même il serait intercepté, osef.
  2. Une assurance va souvent de paire avec ce type de produit. Donc si tu te fais enfler sur un achat alors que tu as utilisé ce système de carte virtuelle et que le site sur lequel tu as fais ton achat n’était pas trop folklorique, tu es remboursé par ta banque.

Ceci étant dit ça ne résoud pas le problème des vols de coordonées bancaires quand tu vas dans un resto, par exemple.

Je me suis également fait pirater ma CB il y a 2 mois (près de 1000�?� de dépenses…) par contre moi le coupable n’a pas été bien difficile à identifier. J’avais commandé un jeu sur Shopto.net (une seule fois, pour faire un cadeau en plus :slight_smile: ) et en faisant une petite recherche sur le net des dizaines de clients de ce magasin avait été victimes d’utilisation frauduleuses de leur CB.

En fait c’est le prestataire informatique qui gère les transactions bancaires de Shopto.net qui s’est fait dérobé sa base de données de CB :crying:

Bref tout ça pour dire que même en faisant le maximum pour protéger ton PC si le magasin sur le lequel tu commandes est pas un minimum sérieux ben ça sert à rien…

(Et bon courage pour le remboursement, moi ça a mis 2 mois alors que la loi dit 1 mois maximum, mais c’est bien connu les banques sont au dessus de la loi)

[quote=“baalistik, post:6, topic: 49941”]Pour tes paiements en ligne, la plus part des banques proposent maintenant un système de carte bancaire virtuelle à usage unique.

  1. Le numéro de la carte virtuelle est généré par un soft sur ton PC. Quand bien même il serait intercepté, osef.
  2. Une assurance va souvent de paire avec ce type de produit. Donc si tu te fais enfler sur un achat alors que tu as utilisé ce système de carte virtuelle et que le site sur lequel tu as fais ton achat n’était pas trop folklorique, tu es remboursé par ta banque.[/quote]

C’est justement là qu’est l’arnaque : ce système protège plus la banque que le consommateur. Car avec un numéro de carte standard la banque doit te rembourser dans les 30 jours (voire moins) et prouver ton éventuelle négligence. Avec le truc de carte à usage unique, ta négligence est quasi prouvée d’office (genre t’a laissé trainé ton login/mdp de ta banque).

Un peu de technique rapide :
Dans une carte à puce à microprocesseur (celle des banques et les cartes sim) aussi appelé cryptocard, il y a un ordinateur complet. Lorsque la carte est neuve (et vierge) la première étape consiste à remplacer les clef d’accès par défaut par ses propres clef (Les clef d’accès permettent les opérations sensibles comme suppression et création d’une paire de clefs et injection d’une clef privée, elles cryptent le dialogue entre le serveur et la puce). Une fois ceci fait la carte génère une paire de clefs et envoie la clef publique dans une demande de certif au serveur de la banque qui le signe. Le certificat est ensuite écrit sur la carte.
Il faut savoir que l’on communique avec la carte à puce au travers d’une interface série et donc sauf bug sur la carte, le contenu de la mémoire est totalement inaccessible. Le logiciel de la carte permet uniquement de lire les clefs publique, le numéro de série et les certificats. Si on entre pas le code. Avec le code, il permet de signer et donc de s’authentifier, mais jamais de lire la clef privée. En cas de mauvais codes, la carte peut détruire la clef privée.

En plus de cela, la carte contient les dernières transactions effectués, si jamais le terminal du commerçant est détruit (il n’y a pas de communication systématique avec la banque, même si l’adsl a changé la donne).

Il est certainement possible de cloner une puce, mais les moyens nécessaires dépassent de loin le gain potentiel

Pour rappel : le gars qui avait cloné les carte avait exploité le fait que les clefs utilisés étaient trop petites (et donc facilement cassable). Il fallait mettre à jour tous les terminaux pour utiliser des clefs plus longues, ce qui explique pourquoi les banques/commerçants ont trainé des pieds. Il faudra surement recommencer prochainement car la puissance de calcul domestique augmente.

Petite précision, je ne travaille pas dans une banque donc je ne connais pas le détail, mais je travaille beaucoup avec des cartes à puce pour d’autres besoins.

Il m’est arrivé la même il y a de ça 2 ans.
J’ai mis ça sur le compte d’internet mais en en parlant avec mon banquier, il m’a aussi expliqué que de nos jours la manière la plus simple
est vraiment les scan de cartes installés aux bornes de retraits (donc ne jamais tirer d’argent dans un distributeur isolé et abimé)
les magasins, les restaurants, les station services.

J’ai eu de la chance car moi je n’ai rien eu à faire. Toutes les dépenses avaient été détectées frauduleuses par le système et bloqué en amont.
Mais il s’était fait plaisir en achetant en italie en magasin de quoi refaire tout salon et l’aménager en home cinéma. (+ de 1000 euros de dépense + des billets de train + un resto)
J’ai reçu un coup de fil d’un agent qui m’a tout d’abord posée la question :« Vous n’êtes pas aller en italie entre hier soir et ce midi ? »
:slight_smile:
Bref le débit n’est même pas apparu sur mes relevés de compte.
Mais j’ai bien flippé par la suite jusqu’à en discuter avec mon banquier.

et effectivement rien de plus à faire que de bien faire ses comptes pour détecter la moindre anomalie sur les relevés.

[quote=“ethomit, post:7, topic: 49941”]En fait c’est le prestataire informatique qui gère les transactions bancaires de Shopto.net qui s’est fait dérobé sa base de données de CB :)[/quote]C’est étonnant qu’un site puisse stocker les numéros de cartes de crédit. �?a serait beaucoup moins risqué de ne pas stocker ces informations mais j’ai déjà vu des sites qui se souvenaient de mon numéro de carte.

Au pif, tout les gros sites font ca, genre paypal, amazon (avec son one click buy de chie), etc. Ma preference va clairement aux sites qui le font pas.

C’est clair qu’avec les algos de génération de code numéro de carte bancaire on ne peut pas faire grand chose, mais comme les banques voient qu’une partie toujours plus importante des achats se passent sur internet, elles sont bien obligées de garantir les achats frauduleux sinon les gens seraient trop frileux.

N’empêche que pour 90% de mes achats je préfère les sites institutionnels même s’ils sont quelques fois plus chers. J’avais aussi entendu parler de certains commerçants malhonnêtes mais c’était surtout du temps des planches à repasser que c’était facile. En France depuis des années on est assez avancé dans le domaine des puces sur les CB: autrement dit beaucoup de pays, y compris les Etats-Unis, étaient encore en train d’utiliser des planches à repasser il n’y a pas si longtemps, et c’est même encore sans doute le cas.

Mais je me souviens avoir lu vers 1994 des forums parlant de système d’achat avec organisme de tiers de confiance mais peut-être que ça devait coûter trop cher à l’époque. En tout cas malheureusement on dirait qu’on ne se dirige toujours pas vers ça.

Mais dans les solutions de ce topic que je viens de lire, y’en a une non citée. La bnp parle d’envoyer un sms au moment du paiement, code du sms qu’on devrait recopier: Sécurisez vos paiements sur Internet

edit: code ->numéro de carte bancaire

Le coup du tiers de confiance, c’est pas ce que fait finalement PayPal ?

Faudrait que je retrouve les définitions mais le souci de paypal c’est qu’il n’est pas institutionnel ni surtout généralisé. Je viens de tomber sur un article d’organismes similaires mais ça ne correspond pas à la théorie que j’avais lu en 1994. La définition de wikipédia reste imprecise.

Ce que j’en avais retenu c’est surtout [quote]Un tiers de confiance est un organisme habilité à mettre en œuvre des signatures électroniques reposant sur des architectures d’infrastructure à clés publiques ou PKI (Public Key Infrastructure).[/quote] mais quand on lit ce que font paypal &co j’ai pas l’impression que ça soit exactement ça. Surtout que ce que j’avais lu à l’époque c’est qu’il fallait avoir une partie hardware chez soi. Ce qui explique les soucis de diffusion.

edit:ça s’appelait SED ou quelque chose comme cela.

Et qu’est-ce que vous pensez de cette histoire de sms ?

Quand je suis parti du Canada (janvier) la BMO lançait une grande campagne qui allait tout révolutionner… LA carte bancaire à puce !! Ca m’a bien faire rire…

Ah non, c’était la BNC :
http://bnc.ca/bnc/cda/productfamily/0,2664…il_particuliers

[quote=“phili_b, post:14, topic: 49941”]Faudrait que je retrouve les définitions mais le souci de paypal c’est qu’il n’est pas institutionnel ni surtout généralisé. Je viens de tomber sur un article d’organismes similaires mais ça ne correspond pas à la théorie que j’avais lu en 1994. La définition de wikipédia reste imprecise.

Ce que j’en avais retenu c’est surtout mais quand on lit ce que font paypal &co j’ai pas l’impression que ça soit exactement ça. Surtout que ce que j’avais lu à l’époque c’est qu’il fallait avoir une partie hardware chez soi. Ce qui explique les soucis de diffusion.

edit:ça s’appelait SED ou quelque chose comme cela.

Et qu’est-ce que vous pensez de cette histoire de sms ?[/quote]

Il me semble en avoir déjà vu. En gros (et si j’ai bien compris), tu ne payes pas directement le commerçant. Tu passes par une banque, qui se charge intégralement de toute la transaction, qui elle même verse ensuite l’argent au commerçant.
Ainsi, tes coordonnées bancaires, même si elles sont stockées, reste confiné dans un établissement bancaire, qui a priori n’a pas trop intérêts, ni à les revendre, ni à “jouer” avec.

J’ai lu un magazine (un glm) sur les cartes, et maintenant c’est assez dingue : déjà la partie hardware d’une carte, mais aussi les contre mesures: il est prévu de détecter l’ouverture de la carte, la provision d’énergie pour faire foirer les calculs (avec un laser) mais aussi ils ont fait en sorte de rendre uniforme la consommation électrique, et le temps des instructions (pour ne pas pouvoir devnirer le code par un bruteforce un peu amélioré).

Par contre un jour j’ai fait une modif sur un site de vente de fringues en ligne (à l’étranger) sur lequel on ne trouvait rien à moins de 100�?�. (c’est pour donner une idée du client type)
Ben un jour je vais dans logs, je vois des fichiers cryptés, et des fichiers textes (pleins en français?).
Devinez ce qu’il y avait dans les fichiers textes? …

Quand vous parlez de stockage de numéro de carte, c’est numéro de “sécurité” inclus (le code à trois chiffre au dos de la carte demandé quand on commande sur internet) ?
Parce que perso, j’ai accès à des numéros de carte (en clair dans des BDD, avec les numéros de compte, infos client, etc., mais pas les numéros au dos de la carte ni les codes confidentiels). Sans ces codes c’est possible de faire quelque chose avec ? (enfin bon au pire 3 chiffres ça doit pouvoir se trouver “facilement”).
Ca m’avait un peu choqué d’y avoir accès aussi facilement, mais je pensais pas que ça pouvait être utilisable tout seul.

Mais y’a pas que les numéro de carte stockés en clair hein, je suis sur que ça vous ferait peur toutes les infos qui passent dans de simples fichiers textes qu’utilisent les banques.

[quote=“astrojojo, post:18, topic: 49941”]Quand vous parlez de stockage de numéro de carte, c’est numéro de “sécurité” inclus (le code à trois chiffre au dos de la carte demandé quand on commande sur internet) ?
Parce que perso, j’ai accès à des numéros de carte (en clair dans des BDD, avec les numéros de compte, infos client, etc., mais pas les numéros au dos de la carte ni les codes confidentiels). Sans ces codes c’est possible de faire quelque chose avec ? (enfin bon au pire 3 chiffres ça doit pouvoir se trouver “facilement”).
Ca m’avait un peu choqué d’y avoir accès aussi facilement, mais je pensais pas que ça pouvait être utilisable tout seul.[/quote]

Je trouve ça un peu honteux de la part de ces sites ! C’est un peu comme les sites qui stockent les mots de passe des utilisateurs en clair dans la BDD. C’est tout simplement hallucinant !

Je parle pas de BDD de sites, mais de banques.