Le premier a été victime d’une personne qui s’est présentée à sa banque, munie de son numéro de compte - qu’on trouve sur chaque chèque - et visiblement de faux papiers : retrait de 800 € dont il attend le remboursement depuis 2 mois. Le second est un collègue sur le compte duquel on a retiré, d’un DAB, 600 €.
Et le 3ème est mon coloc’ qui a eu la mauvaise surprise de découvrir que 600 € d’achats sur internet avaient été effectués sur le numéro de sa carte de crédit.
Je ne compte plus le nombre de fois où, au moment de composer mon code, je me fais la remarque que n’importe qui aux alentours peut parfaitement le lire.
Plus encore qu’aux DAB où on peut cacher l’accès au clavier numérique, les caisses des supermarchés où l’on n’a aucune confidentialité. Mais aussi aux bornes d’achat de la RATP ou SNCF …
Je me demande d’ailleurs pourquoi les claviers numériques des DAB ne sont pas équipés des caches tout bêtes qu’on trouve dans les vestiaires des piscines ?
Il paraît que le montant des fraudes est minime pour les banques au regard du fric qu’elles se font (avec le nôtre).
Ce midi, je déjeunais avec un ami. Au moment du paiement avec sa carte bancaire, celui-ci s’étonne que la restauratrice lui donne le ticket « commerçant » et garde le ticket « client ». Elle nous explique que la banque a fait une erreur et a inversé les données. Preuve à l’appui, elle nous montre que sur le ticket « client », le numéro de la carte de crédit est incomplet alors que sur le ticket commerçant, le numéro figure au complet, ainsi que la date de validité de la carte … De retour au bureau, j’examine ma liasse de tickets client. Mon n° de CB y est systématiquement crypté !
Je cherche sur internet (longtemps…) et voici ce que je trouve sur le site BBA (Big Brother Awards):
- A la fin de chaque transaction, le terminal de paiement électronique (TPE) édite deux tickets, le premier pour le client et l’autre pour le commerçant. Sur le ticket client assez soft, les premiers chiffres du N° de CB sont depuis un peu plus d’un an, remplacés par des "-", pour ne pas laisser trainer son numéro sur un vieux ticket.
- Par contre sur le ticket "commerçant", on trouve la date précise de la transaction ("19/11/02"), l’heure à la seconde près ("09h32m43"), détails qui ont leur importance en particulier quand comme Jacques Mellick, bigbrotherisé à l’insu de son plein gré, on tente de fournir un alibi à un dirigeant sportif et qu’au même moment on paye un péage d’autoroute avec sa CB. Mais beaucoup plus grave, on trouve en clair les 16 digits de la carte ainsi que sa date de fin de validité. Il suffit que le commerçant note sur le ticket, le nom qu’il a lu sur la carte bancaire et il dispose ainsi de toutes les informations lui permettant d’effectuer un règlement sur Internet... On pourrait même imaginer qu’il revende ces précieuses données à quelques e-escrocs.
- Pourquoi le commerçant dispose t’il de ces renseignements ? Quand on accepte des paiements par carte bancaire, les transactions numériques sont stockées temporairement sur le terminal et envoyées ensemble en une fois la nuit via le modem intégré de l’appareil. Le terminal pourrait tomber en panne et ce serait au commerçant de prouver la réalité des paiements effectués dans la journée, d’où la trace papier...
- Pour pallier à cet impératif de sécurité et pour éviter les risques d’escroquerie par divulgation des informations, la solution serait que ne soit imprimé sur le ticket papier qu’un algorithme calculé à partir du code commerçant et du numéro de carte bancaire.
Incroyable, non ?
Commentaires
Incroyable je sais pas... mais terrifiant oui ;o((
De temps en temps, on entend parler de telles affaires... Pour ma part, en près de 40 ans d'utilisation, je n'ai jamais eu le moindre soucis. Pourtant, de temps en temps, je paye sur Internet avec ma CB. Un incident, si :
Il y a un peu plus d'un an, j'ai reçu un courrier de ma banque m'informant qu'elle avait fait opposition à ma CB et en me priant de me mettre d'urgence en rapport avec ma conseillère.
J'étais de fort méchante humeur.
En fait, mes coordonnées de CB avaient été repérées sur des listes "à surveiller" au niveau international... La banque a renouvelé ma carte, simplement. J'ai dû réapprendre un nouveau code confidentiel, c'est tout.
Ne me demandez pas de quelles listes il s'agissait. De comment elles sont constituées. De comment mes coordonnées s'y sont retrouvées alors que je n'avais jamais fait un achat international. Je n'en sais strictement rien (et ils n'ont pas voulu m'expliquer...).
Mais ce qui est sûr, c'est qu'il y a des systèmes de surveillance sophistiqués...
Ca fait peur!
Déjà que je cache systèmatiquement le clavier quand je fais mon code, mais maintenant je vais me méfier des vendeuses chez Zara, esperons qu'elles ont une mauvaise mémoire!
Manou, je trouve "terrifiant" légèrement hyperbolique...
Et il fait quoi, Nicolas J ? Pour une fois qu'il pourrait être compétent sur un sujet...
(Smiley, quoi, smiley !)
Didier,
Je suis là, mais j'avais un bistro à inaugurer (avec Fiso d'ailleurs).
Fiso, et les autres,
J'interviens pour la première fois presque professionnellement dans un blog (ce qui m'oblige à en dire le moins possible...).
On raconte beaucoup de conneries sur la Carte Bancaire.
La première est d'ailleurs la première phrase de ce billet. "C’est la 3ème personne de mon entourage qui est victime d’une utilisation frauduleuse de sa carte bancaire"
La première fraude décrite ensuite ne concerne pas la carte bancaire.
La deuxième est typique d'une communication hacharnée sur la carte bancaire depuis l'affaire Humpich il y a dix ans... On fait porter à cette brave carte le chapeau pour beaucoup de trucs.
1. Ca reste le moyen de paiement le plus sur au monde. Il remplace progressivement le chèque partout car il y a énormément de chèques volés...
2. Quand vous perdez votre porte-feuille avec 100 euros en liquide ils sont perdus avec. La perte de la carte ne coûte rien à son propriétaire sauf quelques frais annexes.
3. Il est très rare que le "client de la banque" prenne une quelconque fraude à sa charge. Dans 99% des cas, c'est la banque qui paye. Alors pourquoi accuser la "carte bancaire" qui sécurise d'abord le client.
La fraude aux achats par Internet ? C'est de la faute à la carte ou à Internet ? Et quand vous commandez des fleurs à Interflorat pour la fête des mères, vous donnez bien votre numéro de carte et vous êtes bien content d'avoir Internet.
Le cache sur les claviers est une fausse bonne idée. Il ne faut pas oublier que les claviers sont aussi utilisés par des petits vieux, des obèses (la main ne rentre pas dans le truc), des petits (qui ne voient plus le clavier),...
La partie sur le numéro de code cachée sur le ticket client est presque fausse... Ca fait 20 ans qu'il est caché sur les distributeurs de billets et plus de 12 sur les terminaux de paiement neufs.
La partie sur le ticket commerçant est, quant à elle, à moitié fausse. En fait, ça ne génère presque aucune fraude... et le commerçant à d'autres moyens pour récupérer le numéro de carte (une webcam derrière son comptoir, par exemple).
Et il faut bien le numéro de carte pour débiter le client... Les ceusses qui parlent de le résultat d'un algorithme (d'ailleurs, imprimer l'algorithme comme c'est marqué est grotesque) ont le comportement typique de ceux qui n'y connaissent strictement rien en sécurité...
Un exemple : pour que les constructeurs de terminaux puissent développer les terminaux, il faut qu'ils connaissent l'algorithme. Donc c'est nécessairement un algorithme connu... qui figurera au bout de quelques jours sur internet.
Enfin, le système est en constante évolution (heureusement, c'est ce qui me permet de gagner des sous pour les dépenser au bistro). Le système n'est pas national mais international. Rien qu'en France, hors internet, il y a près de 5 millions de points d'acceptation. Dans le monde, ça se compte en centaines de millions.
Croyez vous que ça soit facile à faire évoluer rapidement ? Demandez donc à votre buraliste s'il est pret à investir 1000 euros par an pour remplacer sa machine rendue obsolète par les exigences de quelques blogueuses...
Fiso,
La prochaine fois que tu fais un billet sur mon job, tu m'appelles...
Eh ben voilà : suffisait de demander !
(Pas trop la casquette en plomb, les deux ?)
Didier,
Ca va... Lisez mon blog, bordel, plutôt que de demander des nouvelles dans les blogs des autres. Je ne peux pas parler de cartes bancaires chez moi, mais je peux encore y raconter des cuites.
Elle est concernée ! Je voulais juste dire que je n'allais raconter la soirée ici alors que c'était fait chez moi. Et telle que je connais la taulière qui raconte toutes ses sorties, elle devrait le faire ici aussi.
Elle n'était pas saoule, était très élégante et s'est très bien tenue.
N.B. : Ca ne mange pas de pain de dire ça, à une époque sa mère lisait son blog.
Pas lu les commentaires.
Il manque systematiquement le code qui est au dos de la carte et qui est demande pour regler sur Internet.
Pour les banques, il suffit juste de demontrer qu'on etait ailleurs au meme moment pour se faire rembourser !
Pour les supermarches, tu as raison. Ils essaient de faire ca comme un moment agreable et securiser le truc rappellerait au client qu'il est en train de payer !
:-)))
Poireau,
Tu es beau quand tu défends mon outil de travail.
Kel boulot de compta vous avez fait toi et tes commentateurs...
Pour ton colloc, j'crois pas une seconde k'il s'est fait arnaqué : il a oublié k'il a flambé une soirée avec sa nouvelle meuf.
Nicolas,
J'avais oublié que c'était ton domaine, figure-toi !
Loin de moi l'idée de fustiger la CB, j'en suis une inconditionnelle.
Je sais aussi que le client ne paie jamais pour ces fraudes, mais quand même, le temps d'être remboursé, tu fais quoi ?
Le manque à gagner n'est quand même pas négligeable pour les banques, elles ne font rien ? Voilà qui ne va pas décourager les fraudeurs ...
Les tickets commerçants ne génèrent "presque" aucune fraude ? Comment en est-on si sûr ? Et comment est-ce que les fraudeurs récupèrent les n° de CB alors ?
(je ne t'appellerai pas avant de faire un billet sur ton boulot, je préfère t'appeler pour aller boire une mousse)
Monsieur Poireau,
Toujours aussi vert ... ;)
WajDi,
Ah, alors toi aussi, tu doutes sur la version du coloc' ?
On verra, il est censé être remboursé d'ici une semaine ...
Et le match de foot, elle l'a regardé en carburant à l'eau-qui-pique, la taulière ? Hmm ?
Fiso,
"Le manque à gagner n'est quand même pas négligeable pour les banques, elles ne font rien".
Si, elles font sans cesse évoluer le système, mais ce n'est pas visible pour le client. Tiens ! Il y a le cryptogramme visuel dont parlait Poireau. Tu crois que c'est facile de développer ça au niveau mondial ?
(surtout dans notre monde libéral où des banquiers, dans des "paradis" divers, ne sont pas nécessairement obligés de suivre les consignes).
Ainsi, tout ça coûte très cher. La difficulté est de faire en sorte que la lutte contre la fraude ne coute pas plus cher que la fraude elle-même !
Enfin, je vais te rassurer : crois-tu vraiment que les banques perdent de l'argent avec les cartes bancaires ? Outre le fait que les coûts de traitement sont dérisoires (comparativement aux chèques qui nécessitent une lecture visuelle, une saisie, un archivage, de la manutention, ...), ils arrivent à prendre des commissions à tout le monde !
Nicolas,
Je croyais en effet que la fraude était un fléau ...
Mais quand même, ce sont des tracasseries de toutes sortes pour les clients floués. Le cache sur les claviers numériques, c'est quand même pas sorcier, et ça éviterait AUSSI des agressions. Certes, ça demanderait adaptation pour les personnes que tu as citées (personnes âgées ou de petite taille). Quand on voit le retard qu'on a pris sur l'accessibilité pour les handicapés, on peut effectivement se dire que c'est un projet insurmontable. Mais quand même, on nous alerte constamment sur le fait de "composer son code à l'abri des regards indiscrets" ce qui est tout bonnement impossible. Pour les obèses, tu exagères un peu ...
Fiso,
Les obèses, on s'en fout : ils sont tellement gros qu'ils cachent le clavier ! ;-)
Taper son code à l'abris des regards indiscrêts est généralement possible (sauf dans certains supermarchés).
Pour les caches, ça n'est pas si facile que ça. Le sujet a réellement été étudié (y compris par moi), ça pause un tas de problèmes. Je ne vais pas tous les énumérer (surtout sur un blog. Tiens ! Je t'envoie un mail...).
On est rarement aussi bien récompensé de se lancer dans un sujet aride, l'article m'a plu et les commentaires aussi. Je contesterai le point 2 l'argumentaire de Nicolas :
"Quand vous perdez votre porte-feuille avec 100 euros en liquide ils sont perdus avec. La perte de la carte ne coûte rien à son propriétaire sauf quelques frais annexes."
Quel manque de lucidité ! Ca fait penser à tous ceux qui pensent téléphoner gratuitement parce qu'ils ont souscrit un abonnement incluant une consommation illimité. La carte ne cesse de coûter de l'argent à son propriétaire alors qu'un petit billet au fond de la poche reste gratuit ! Voilà la vérité (qui n'intéressera pas tous ceux qui ont décidé que leur CB était in-dis-pen-sable, l'acte de consommer devant primer toute autre considération).
Et vous n'avez même pas besoin de perdre votre portefeuille pour qu'Elle vous coûte de l'argent.
Mtislav,
Ce n'est pas la perte de la carte qui coûte à son proprio, mais sa possession !
Argument jésuitique ! Pour une fois que j'argumente sur le fond... Cela dit, je reconnais être assez hypocrite, étant moi-même possédé par la dite carte de manière assez maligne !
Kikou! J'acceptais de examiner les tendances afin de imaginer le site. J'apprécierai pendant connaître si les log sont adopté sur le blog. Si oui comment on fait