[Récit-débat] Le vendeur à accès aux infos des cartes bancaires des clients !

[Etanne]

Hello,

Hier soir, je suis allé sur Internet pour passer une commande sur un site (où la société sera nommée 'X'). Quand je ne ne connais pas un site, je cherche les infos sur la société, les retours clients sur le net, etc.. ..pas de soucis pour la société 'X'. Je rempli mon panier, ouvre un compte client, me connecte sur un site en SSL pour indiquer le numéro de la carte, et je valide.

Ce matin, je reçois un appel de la société 'X', le vendeur au bout du fil m'indique que la carte n'est pas passé, et me demande de vérifier avec moi le numéro de la carte. On vérifie ensemble (numéro, date d'expiration, code à 3 chiffres au dos de la carte), et on se rend compte que le numéro est mauvais.

J'indique ensuite au vendeur que je suis très surpris qu'il puisse avoir accès à ce genre d'information. Il me répond par la suite que c'est normal, c'est eux qui vérifie les cartes, et que c'est tout à fait normal. Je lui répond directement que je reste choqué, et que normalement il ne devrait pas avoir accès à ce genre d'informations. Mais bon, il m'indique qu'il n'y a pas de soucis...

Je pense qu'il n'y a pas de soucis à me faire, je vérifie régulièrement mes comptes, donc je verrais bien :-)

Si je vous raconte cela, c'est pour vous demander votre avis sur la qualité de la sécurité de ce site marchant. Ne trouvez-vous pas que c'est une faille assez énorme le fait que le vendeur ai accès aux numéros des CB ?

Bonne journée,
Florian

PS : Suis-je bon pour le choix du tag ?.

[Médinoc]

En effet, pour moi c'est anormal.
Les "bons" vendeurs sur le Web n'ont pas accès au numéro de carte, la communication se fait directement avec une grosse banque.

Note: Par contre, paypal a accès au numéro de carte qu'on y entre et le mémorise. Bien qu'abonné Paypal, dans ce cas particulier je trouve ça normal: Paypal fait déjà "tampon" entre le vendeur et le n° de carte, et ça évite d'avoir à entrer son n° de carte à chaque fois en plus du mot de passe Paypal...

[Etanne]

Citation:

Envoyé par Médinoc

Note: Par contre, paypal a accès au numéro de carte qu'on y entre et le mémorise. Bien qu'abonné Paypal, dans ce cas particulier je trouve ça normal: Paypal fait déjà "tampon" entre le vendeur et le n° de carte, et ça évite d'avoir à entrer son n° de carte à chaque fois en plus du mot de passe Paypal...

Je ne m'inquiète pas pour PayPal, je suppose qu'il y a une grosse sécurité derrière, je m demande d'un coup si la société cité dans mon premier post ne doit pas enregistrer les numéros des cartes dans une bonne vielle table MySQL...

Florian

[illight]

Il est vrai que c'est pas très normal tout ça

si ça se trouve c'est la meme entreprise ou j'ai acheté qui m'a piraté ma CB

Oui je me suis fait piraté ma carte Bleue, j'ai eu und ébit de 410 €

[Lung]

C'est pas rassurant tout ça ...

[BugFactory]

Une minute, que voulez vous dire, quand vous dites qu'il a accès à votre numéro? Parlez-vous du numéro (faux) que vous avez entré sur le site, ou est-ce qu'il connaissait votre vrai numéro avant que vous ne le lui donniez?

[jpcheck]

il est devin, c'est évident

[Commodore]

J'ai entendu parler de magouilles suivant cette logique:

Le pirate de carte bleue appelle, dit que vous avez entré un mauvais numéro et vous demande le bon, en disant qu'il le mettra à jour. A cela, il demande en plus les 3 derniers num au dos de la carte et la date d'expiration.

=> Ce sont exactement les infos que vous demande n'importe quel site de vente en ligne pour payer par carte. Toute personne possédant ces infos possède votre carte et peut acheter n'importe quoi n'importe par le biais de celle-ci.

Conseil: faire opposition au plus vite sur votre carte avant que des individus ne vident votre compte.

[Keihilin]

Alors d'abord ça ne me choque pas plus que ça, ensuite le fait que les transactions par carte soient validées par un humain (qui doit donc avoir accès aux informations de la carte) est un procédé mis en avant par certaines sociétés de paiement en ligne avec une meilleure sécurité comme argument.

Franchement, que mon n° de carte soit connu ne me dérange pas du tout. Je vérifie attentivement mes relevés et je fais opposition sans hésiter en cas de problème. Au passage, si vous faites opposition à un paiement, ce n'est pas à vous de prouver que vous n'avez pas touché la prestation pour laquelle vous avez été débité, c'est au vendeur d'apporter la preuve.

[Commodore]

Citation:

Envoyé par Keihilin

Au passage, si vous faites opposition à un paiement, ce n'est pas à vous de prouver que vous n'avez pas touché la prestation pour laquelle vous avez été débité, c'est au vendeur d'apporter la preuve.

ça, c'est bon à savoir

[Skyounet]

Ben quand tu commandes chez Dell au téléphone, tu donnes directement ton numéro de carte bleue à ton commercial.

Mais je conçois que l'on puisse trouver ça gênant.

[Lung]

Citation:

Envoyé par Keihilin

Je vérifie attentivement mes relevés et je fais opposition sans hésiter en cas de problème.

Si tu t'en rend compte après coup, tu ne fais pas opposition puisque le mal est déjà fait. Tu contestes auprès de ta banque qui se débrouille, non ?

[Etanne]

Ce n'est pas parce que le mal est fait en ayant mis ta joue sur le fer chaud qu'il faut la laisser

Il vaut mieux indiquer à la banque le problème (je crois qu'on a 3 semaines pour le faire), et changer le numéro de la carte pour éviter que la personne (qui habite dans un autre pays) te reprend de l'argent.

Florian

[Higestromm]

Etant moi même ecommercant, je confirme que cette pratique est pas normal du tout. Normalement c'est la banque qui fournit un API sécurisé que l'on intègre au site. Pour le commercant, la transaction est transparente et aucune information sur la carte de crédit ne peut être obtenue par le vendeur.

Dans ton cas il doit s'agir d'un commercant qui a mis en ligne quelques un de ses produits et qui recois tes coordonnées bancaire soit par mail soit par une admin pour ensuite les saisir dans son TPE. Ce qui est dangereux dans les deux cas.
Dans le premier cas il suffit d'un Cheval de troie sur son PC pour récupérer les mails contenant les numeros cartes bancaires.
Dans le second cas (plus difficile) il faut hacker la base de donnée.

[Davidbrcz]

Citation:

Dans le second cas (plus difficile) il faut hacker la base de donnée.

Mais ce qui reste quand même tout a fait possible.

[Rayek]

Je précise avant toutes choses que je suis développeur d'une solution de paiement en ligne pour une société.

Citation:

Envoyé par Médinoc

En effet, pour moi c'est anormal.
Les "bons" vendeurs sur le Web n'ont pas accès au numéro de carte, la communication se fait directement avec une grosse banque.

Pas nécessairement, les banques francaises sont assez frileuses pour fournir des TPE Internet aux jeunes entreprises. souvent il arrive que les entreprises passent par un TPE physique et donc saisissent eux même les numéros de cartes.
Après c'est à la personne d'avoir confiance ou non dans le site. (Les 3 suisses, redoute & co font la même chose)
Certaines personnes préfèrent donner leur numéro de carte à quelqu'un plutot que de passer par un système automatisé

Citation:

Envoyé par Commodore_Psykopate

J'ai entendu parler de magouilles suivant cette logique:

Le pirate de carte bleue appelle, dit que vous avez entré un mauvais numéro et vous demande le bon, en disant qu'il le mettra à jour. A cela, il demande en plus les 3 derniers num au dos de la carte et la date d'expiration.

=> Ce sont exactement les infos que vous demande n'importe quel site de vente en ligne pour payer par carte. Toute personne possédant ces infos possède votre carte et peut acheter n'importe quoi n'importe par le biais de celle-ci.

Conseil: faire opposition au plus vite sur votre carte avant que des individus ne vident votre compte.

Si tu as reçu le produit pourquoi faire opposition ? S'il s'avère qu'il n'y a pas eu fraude tu risques gros en charge avec ta banque (Frais d'opposition salés)

Citation:

Envoyé par Etanne

Ce n'est pas parce que le mal est fait en ayant mis ta joue sur le fer chaud qu'il faut la laisser

Il vaut mieux indiquer à la banque le problème (je crois qu'on a 3 semaines pour le faire), et changer le numéro de la carte pour éviter que la personne (qui habite dans un autre pays) te reprend de l'argent.

Florian

Tu as entre 3 et 6 mois pour faire opposition sur la carte bancaire donc ce n'est pas pressé.
Dans tous les cas il faut aller porter plainte avant toutes choses à la gendarmerie ou police de ta ville, puis après, aller voir la banque pour faire opposition.

Citation:

Envoyé par Higestromm

Etant moi même ecommercant, je confirme que cette pratique est pas normal du tout. Normalement c'est la banque qui fournit un API sécurisé que l'on intègre au site. Pour le commercant, la transaction est transparente et aucune information sur la carte de crédit ne peut être obtenue par le vendeur.

Dans ton cas il doit s'agir d'un commercant qui a mis en ligne quelques un de ses produits et qui recois tes coordonnées bancaire soit par mail soit par une admin pour ensuite les saisir dans son TPE. Ce qui est dangereux dans les deux cas.
Dans le premier cas il suffit d'un Cheval de troie sur son PC pour récupérer les mails contenant les numeros cartes bancaires.
Dans le second cas (plus difficile) il faut hacker la base de donnée.

Nous avons un système de ce style mais depuis notre interface client en SSL qui montre les coordonnées de la carte (seulement si la personne à l'option sans TPE internet) et il n'y a jamais eu de problème avec ces clients la.

Sinon pour informations, Les numéros de cartes et date de validité peuvent être stockés dans des bases de données, la seule limitation se trouve au niveau du CVV2 qui doit être supprimé après que la transaction bancaire soit finit. (Le système que j'ai développé fonctionne de cette manière)

[Resyek]

Je précise également que je travaille dans le domaine de la monétique.

Comme l'a dit Rayek il est anormal qu'une fois la transaction terminée, le code CVV2 (ie : le code à trois chiffres au dos de la carte) soit stocké quelque part et puisse être restitué.

Ce code, dans la règlementation (je simplifie), permet de confirmer la présence de la carte lors de la transaction. C'est un simple contrôle pour le cas où quelqu'un aurait recopié les numéros en façade de la carte.

Ensuite, il n'est pas forcément nécessaire de faire opposition tout de suite, la règlementation française indiquant que tout achat par carte où le code secret n'est pas saisi est révocable.

Concernant la sécurité des paiements en ligne, en ce moment même les grands réseaux internationaux (emmenés par VISA et MasterCard) travaillent sur la certification de toutes les banques et sites de ventes en ligne manipulant des numéros de carte, afin d'éviter les fraudes nombreuses dont on a pu entendre parler (vol de millions de numéros de cartes). Ceux que ça intéresse pourront chercher des infos sur "PCI DSS" (Payment Card Industry Data Security Standard).

[fenkys]

Surtout qu'un cyber commercant n'a pas le droit de stocker et manipuler des numéro de cartes de crédits comme çà. Son logiciel doit respecter certaines contraintes et doit être validé par les organismes de cartes de paiement. Seules de grosses sociétés peuvent s'offrir cela.

C'est pour cela que les banques fournissent les interfaces de paiment en lignes aux cybercommercants.

Pour plus d'infos : http://en.wikipedia.org/wiki/PCI_DSS

[nolofinwe]

Bon depuis que j'ai lu ce topic j'ai essayer de me renseigner a droite etr a gauche et voila ce que j'ai (a peu prés) compris... lorsque l'on réalise un achat sur internet (sécurisé je parle) on rentre les coordonnées bancaire dans une base de données d'un grouppe interbancaire qui réalise lui-meme les vérifications... Normalement le vendeur n'a pas acces a ces informations. En cas de probleme aprés un paiement via un site sécurisé le groupe interbancaire doit rembourser toutes sommes débiter anormalement.

Malheureusement je n'ai pas eu le temps de vérifier tout ca je le tiens d'un de mon tuteur de stage qui fais un peu de vente par internet et qui passe par un groupe interbanquaire. si quelqu'un arrive a trouver les textes ca serai mieux...

[vasilov]

Citation:

lorsque l'on réalise un achat sur internet (sécurisé je parle) on rentre les coordonnées bancaire dans une base de données d'un grouppe interbancaire qui réalise lui-meme les vérifications... Le vendeur n'a pas acces a ces informations. En cas de probleme aprés un paiement via un site sécurisé le groupe interbancaire doit rembourser toutes sommes débiter anormalement.

c'est exactement comme ca que ca ce passe!