Auchan Accord Visa/Mastercard : pas 3d secure
azerlille
-
coco81370 -
coco81370 -
Bonjour,
Comme certains d'entre vous le savent déjà, j'ai une carte Auchan Accord Carte Bleue Visa. Les détails principaux sont dans ce topic (devrais-je dire "déceptions" plutôt que détails ?) : http://droit-finances.commentcamarche.net/forum/affich-5384893-banque-accord-visa-plafonds-espace-clients
Je viens de remarquer un détail de plus, troublant, concernant ma carte Visa.
Ma carte Visa Auchan Banque Accord semble incompatible avec le programme de sécurisation "3d secure" (verified by visa).
En gros, 3d secure permet de rendre plus sûr les paiements sur Internet. Quelqu'un qui a frauduleusement le numéro d'une carte avec la fonctionnalité 3d-secure n'aura que plus de difficultés pour trouver des cyber-marchands où faire ses achats.
Chez Visa, "3d secure" porte le nom de "Verified by Visa", tandis que chez Mastercard, le nom est "SecureCode".
Cette disponibilité de 3d secure se fait surtout au niveau de la banque. La seule raison de ne pas proposer me semble être la volonté de rogner sur quelques coûts de développement.
Quelqu'un sait-il si il est courant pour les autres cartes Visa / Mastercard non fournies par des vraies banques de ne pas proposer l'option "3d secure" ? Si "Banque" Accord (Auchan) a prévu de rendre "3d secure" dsiponible et s'il y a un calendrier ?
Comme certains d'entre vous le savent déjà, j'ai une carte Auchan Accord Carte Bleue Visa. Les détails principaux sont dans ce topic (devrais-je dire "déceptions" plutôt que détails ?) : http://droit-finances.commentcamarche.net/forum/affich-5384893-banque-accord-visa-plafonds-espace-clients
Je viens de remarquer un détail de plus, troublant, concernant ma carte Visa.
Ma carte Visa Auchan Banque Accord semble incompatible avec le programme de sécurisation "3d secure" (verified by visa).
En gros, 3d secure permet de rendre plus sûr les paiements sur Internet. Quelqu'un qui a frauduleusement le numéro d'une carte avec la fonctionnalité 3d-secure n'aura que plus de difficultés pour trouver des cyber-marchands où faire ses achats.
Chez Visa, "3d secure" porte le nom de "Verified by Visa", tandis que chez Mastercard, le nom est "SecureCode".
Cette disponibilité de 3d secure se fait surtout au niveau de la banque. La seule raison de ne pas proposer me semble être la volonté de rogner sur quelques coûts de développement.
Quelqu'un sait-il si il est courant pour les autres cartes Visa / Mastercard non fournies par des vraies banques de ne pas proposer l'option "3d secure" ? Si "Banque" Accord (Auchan) a prévu de rendre "3d secure" dsiponible et s'il y a un calendrier ?
A voir également:
- Site sans 3d secure forum
- Comment contourner verified by visa - Meilleures réponses
- Site sans 3d secure - Meilleures réponses
- Bon pour accord par mail - Guide
- Mastercard dual societaire - Forum Banque et Crédit
- Moa cb mastercard - Forum carte bancaire
- Lettre accord voisin pour travaux - Guide
- Modèle lettre accord pour travaux - Guide
3 réponses
Bonjour,
Je ne connais pas le calendrier de la banque Accord.
En revanche, pourquoi voulez-vous impérativement que le 3D Secure soit activé sur la carte ? Ce service protège plutôt le commerçant et l'acquéreur, pas le porteur. Au contraire, cela sera plus dur en cas de contestation. Et comme tous les e-commerces ne sont pas près d'être en 3D Secure, un fraudeur pourra toujours réaliser des achats.
Enfin, c'est juste une remarque au passage.
Je ne connais pas le calendrier de la banque Accord.
En revanche, pourquoi voulez-vous impérativement que le 3D Secure soit activé sur la carte ? Ce service protège plutôt le commerçant et l'acquéreur, pas le porteur. Au contraire, cela sera plus dur en cas de contestation. Et comme tous les e-commerces ne sont pas près d'être en 3D Secure, un fraudeur pourra toujours réaliser des achats.
Enfin, c'est juste une remarque au passage.
bonjour, problème résolu car à partir de ce jour Banque Accord vous propose cette sécurité, effectivement déjà pratiquée sur d'autres banques. Il y a 3 ans j'ai été victime d'une arnaque internet un week-end mais les surveillants de Banque Accord s'en sont rendu compte immédiatement et m'en ont averti dès le lundi matin ,les fraudeurs avaient fait un achat test de 15 euros afin de voir si cela fonctionnait puis un achat de 1500 euros qui fut bloqué par banque accord qui m'ont d'abord joint pour savoir si cet achat était de mon fait. J'ai été remboursée des 15 euros également. Donc quand même on peut leur faire confiance.
La législation juridique et financière évolue en permanence...
Pour les fraudeurs habituées, il n'y a pas de doute que trouver des commerçants non 3D-secure n'est pas un souci.
Pour un gars à la morale douteuse prêt à utiliser la CB d'un de ses proches, 3D-secure reste un obstacle qui diminue les risques de fraudes. De plus, si quelqu'un tente d'utiliser frauduleusement une carte dotée de 3D-Secure là où il ne s'y attend pas, ça augmente les chances que le porteur réagisse au plus vite (surtout s'il reçoit un SMS).
Je ne vois pas tellement en quoi cela rend plus dur les contestations :
* Si le porteur de la carte a exprimé son consentement pour une transaction d'un montant qu'il sait, 3D-secure ou non, il n'a en aucun cas le droit de faire opposition
* Si 3D-secure est utilisé, et que ça se passe dans le cas d'une fraude, c'est donc forcément une transaction sans code secret, et la banque doit rembourser. Sauf à prouver la responsabilité du porteur de la carte.
Je sais très bien que beaucoup d'émetteurs de cartes fonctionnent au statistiques et au scoring pour décider quand rembourser, je me doute très bien que l'utilisation frauduleuse réussie de la carte sur un site utilisant 3D-secure pourrait être très néfaste pour le scoring du client, mais en justice une banque n'a aucune chance de pouvoir se justifier dans son refus de remboursement simplement en indiquant "notre service fraude a calculé un score trop mauvais pour le client pour justifier un remboursement".
Si le porteur ne réagit pas vite, ce n'est pas un soucis. S'il conteste l'opération, il se fera rembourser.
Si 3D-secure est utilisé, et que ça se passe dans le cas d'une fraude, c'est donc forcément une transaction sans code secret, et la banque doit rembourser.
Forcément une transaction sans code secret dites-vous ? Connaissez-vous le keylogging ?
Je sais très bien que beaucoup d'émetteurs de cartes fonctionnent au statistiques et au scoring pour décider quand rembourser
Hum, pas vraiment... Le scoring a plutôt d'autre utilisation que servir au remboursement du porteur.
en justice une banque n'a aucune chance de pouvoir se justifier dans son refus de remboursement simplement en indiquant "notre service fraude a calculé un score trop mauvais pour le client pour justifier un remboursement".
Heureusement. Mais vu qu'il y aura eu une authentification du porteur, c'est ce dernier qui l'aura dans l'os puisqu'il devra prouver qu'il y a eu utilisation abusive de sa carte...
"Si le porteur ne réagit pas vite, ce n'est pas un soucis. S'il conteste l'opération, il se fera rembourser."
Sous réserve que l'opération soit contestée dans les 70 jours après, délai parfois rapporté à 13 mois.
Sous réserve aussi que le possesseur de la carte sache se faire entendre de sa banque, envoyer une mise en demeure LRAR c'est pas donné à tout le monde. (D'où un intérêt fort pour beaucoup de consommateurs à ce que les cas de fraudes diminuent...)
"Forcément une transaction sans code secret dites-vous ? Connaissez-vous le keylogging ?"
Le code secret est le code tapé au distributeur et chez les commerçants munis d'un TPE non virtuel.
Le keylogging sur ordinateur (souvent effectué par des troyans et très souvent à l'encontre de ceux qui ont des ordinateurs préférant les fenêtres aux pommes et au pinguoins) est l'enregistrement des frappes clavier.
Le code secret de la carte n'a jamais vocation à être entré sur un clavier classique d'ordinateur.
Si le terme "keylogging" devait être utilisé aussi pour l'enregistrement des frappes sur les claviers contrefaits rajoutés aux GAB, là c'est un autre débat.
"Hum, pas vraiment... Le scoring a plutôt d'autre utilisation que servir au remboursement du porteur. "
Énormément de "services fraudes" (pour les cartes bancaires) basent leur décision sur du scoring, au moins pour orienter la façon initiale de gérer le dossier, surtout lorsque le score est très favorable ou très défavorable au porteur de la carte.
Le scoring est utilisé bien plus souvent qu'on ne le pense, et pas uniquement pour accorder ou refuser des prêts. Même les assurances l'utilisent souvent pour choisir la suite qu'ils donnent à un dossier.
"Heureusement. Mais vu qu'il y aura eu une authentification du porteur, c'est ce dernier qui l'aura dans l'os puisqu'il devra prouver qu'il y a eu utilisation abusive de sa carte..."
Le fait que la saisie d'un code 3D-secure doit être considérée comme "authentification" constituant une preuve est tout sauf incontestable.
Si le code est la date de naissance, c'est probablement que le montant est petit, que les petits montants accumulés ayant utilisé ce système ne forment pas une somme trop élevée. Bref, que la banque a estimé le risque subi suffisamment faible pour prendre la décision d'économiser un SMS.
Si le code est transmis par SMS, ça ne constitue toujours pas une authentification suffisante. Le téléphone peut avoir été volé en même temps que la carte, il peut être compromis avec un logiciel espion qui retransmet le contenu des SMS (surtout si c'est un smartphone), il peut avoir été emprunté frauduleusement ou non... Bref le code transmis par SMS peut facilement être à l'avantage du titulaire de la carte (s'il évite une ou plusieurs fraudes), mais ça ne sera que difficilement une preuve à son encontre...
Bien sûr. Mais si en 70 jours tu n'as pas le temps de contester une opération, c'est gênant ^^.
Sous réserve aussi que le possesseur de la carte sache se faire entendre de sa banque, envoyer une mise en demeure LRAR c'est pas donné à tout le monde. (D'où un intérêt fort pour beaucoup de consommateurs à ce que les cas de fraudes diminuent...)
Vous dérivez de sujet. Je parle de ce que dit la loi. Vous verrez bien aussi qu'il existe des problèmes également des débits pour le commerçant pour une opération 3D Secure... Là, on parle de droit, de la loi, pas de ceux qui traînent des pieds...
Le code secret est le code tapé au distributeur et chez les commerçants munis d'un TPE non virtuel.
Non le code secret n'est pas forcément celui tapé sur un TPE... Le code secret doit être un code seulement connu du possesseur, que ce soit en VAD ou en paiement de proximité... Lorsqu'on parle du code secret pour le TPE, on parle plutôt de code PIN.
Si le terme "keylogging" devait être utilisé aussi pour l'enregistrement des frappes sur les claviers contrefaits rajoutés aux GAB, là c'est un autre débat.
Je parlais des keylogging sur les ordinateurs qui enregistrent les codes secrets qui peuvent être utile à l'authentification du porteur pour son 3D Secure (je parle pas du PIN comme vous avez pu faire l'amalgame, j'y reviens plus tard).
Énormément de "services fraudes" (pour les cartes bancaires) basent leur décision sur du scoring, au moins pour orienter la façon initiale de gérer le dossier,
Oui pour gérer certains dossiers, pas les dossiers de contestation. Si le client conteste, il doit se faire rembourser (sauf négligence particulière de sa part). Que le scoring, que les stats de la banque soient mauvaises, on s'en contrefiche.
Le fait que la saisie d'un code 3D-secure doit être considérée comme "authentification" constituant une preuve est tout sauf incontestable.
En pourtant la loi ne vous donne pas raison, puisqu'il y a saisie d'identifiant que seul le porteur est censé connaître. Je pèse mes mots, "censé" est important car dans la pratique il en est autrement, malheureusement.
Si le code est la date de naissance, c'est probablement que le montant est petit, que les petits montants accumulés ayant utilisé ce système ne forment pas une somme trop élevée. Bref, que la banque a estimé le risque subi suffisamment faible pour prendre la décision d'économiser un SMS.
La date de naissance, n'est pas forcément utiliser pour les montants faibles... La banque choisit son mode d'authentification, point barre. Et certaines banques choisissent des codes de naissance quel que soit le montant. Et c'est regrettable. De même, toute celle qui utilisent des codes statiques doivent changer pour y intégrer un caractère dynamique.
Si le code est transmis par SMS, ça ne constitue toujours pas une authentification suffisante. Le téléphone peut avoir été volé en même temps que la carte,
Certes, il y aura toujours des risques. Il n'empêche que la réception d'un code sur son téléphone est qualifié stricto sensu d'authentification forte.
-> Moi aussi je m'intéresse à ce que dit la loi, et à ce qui manque dans la loi.
Vouloir savoir contre quoi on est protégé est plus que légitime.
De plus, s'intéresser à la loi c'est aussi s'intéresser aux moyens qu'on a de la faire appliquer pour se protéger.
Vouloir se simplifier la vie au maximum est plus que légitime pour la plupart des êtres humains, donc quand on peut anticiper pour éviter d'avoir à perdre pas mal de temps avant un procès qui permet de récupérer son du, autant le faire.
De plus, une entreprise se doit d'être respectueuse de ses clients peu enclins à engager une action en justice. D'ailleurs, ça peut être un critère de choix pour les consommateurs...
Enfin, excusez moi pour avoir dérivé de sujet, mais je n'ai pas très bien compris... Quel sujet ? Fixé à quel endroit ? Par qui ?
"Non le code secret n'est pas forcément celui tapé sur un TPE... Le code secret doit être un code seulement connu du possesseur, que ce soit en VAD ou en paiement de proximité... Lorsqu'on parle du code secret pour le TPE, on parle plutôt de code PIN. "
-> Sur ce propos, j'ai du mal à vous comprendre, pour plusieurs raisons :
1. "pour le TPE, on parle plutôt de code PIN" -> C'est qui "on" ?
Je sais très bien que le terme code PIN est également employé. Mais les endroits principaux où je l'ai lu sont : quand j'utilise ma Mastercard émise par une entreprise anglaise (les messages aux GAB/TPE n'ont pas été en français), sur certaines docs techniques de TPE, ainsi que dans certains contrats.
Un consommateur normal parle plutôt de "code secret" ou de "code confidentiel".
D'ailleurs, même les banques utilisent souvent les termes "codes secret" et "code confidentiel" lorsqu'elles s'adressent au client dans les guides tarifaires, c'est vous dire !
2. Lorsque le mot "LE" est devant code secret, il est encore plus difficile de supposer que l'on parle d'autre chose que du code PIN...
"Je parlais des keylogging sur les ordinateurs qui enregistrent les codes secrets qui peuvent être utile à l'authentification du porteur pour son 3D Secure (je parle pas du PIN comme vous avez pu faire l'amalgame, j'y reviens plus tard)."
Ah ba non seulement je vous comprends mal... Mais en plus je fais un amalgame ! J'ai vraiment tout faux. D'ailleurs je me demande comment je peux avoir été suffisamment stupide pour avoir écrit un message qui fait clairement la distinction entre les deux tout en faisant quand même après l'amalgame... Enfin passons...
Les seuls "codes" qui peuvent être néfastes en cas d'utilisation d'un keylogger sont les codes qui ne changent pas à chaque transaction.
Je pense que vous avez compris que je valorise la sécurité des transactions, non ?
Je ne dis pas que 3D-secure tout seul est suffisant, je ne dis pas qu'il n'existe pas des implémentations douteuses de 3D-secure, je dis que c'est un moyen utile pour améliorer la sécurité des transactions. Surtout lorsque c'est bien implémenté.
"La date de naissance, n'est pas forcément utiliser pour les montants faibles... La banque choisit son mode d'authentification, point barre. Et certaines banques choisissent des codes de naissance quel que soit le montant. Et c'est regrettable. De même, toute celle qui utilisent des codes statiques doivent changer pour y intégrer un caractère dynamique. "
Comme vous le dites, c'est le choix de la banque. Ce qui veut également dire que "montant faible" s'entend par rapport aux pertes que la banque est prête à subir (car c'est elle qui prend le risque) pour éviter d'avoir à implémenter quelque chose de mieux.
Ceci étant-dit, certaines banques font du 3D-secure en le faisant plutôt bien, et c'est plutôt ça que j'apprécie...
"Il n'empêche que la réception d'un code sur son téléphone est qualifié stricto sensu d'authentification forte."
Alors là, j'apprends quelque chose ! Par curiosité, d'où vient cette qualification, dans quel contexte ? Est-ce la loi ? Est-ce une jurisprudence de la cour de cassation ? Est-ce au moins un jugement validé par une cour d'appel ? Est-ce au moins dans un jugement rendu ?
Moi qui ai cru comprendre que l'état de l'art était de considérer qu'un code reçu par SMS ne devait même pas être considéré comme authentification de niveau moyen, ça change vraiment ma façon de voir...
D'ailleurs voici quelques pièges qui peuvent induire en erreur :
1. Les boîtes email sérieuses acceptent souvent soit l'authentification par mot de passe, soit (selon paramétrage) par mot de passe + code à usage unique reçu par SMS. Google Apps fait notamment ainsi. Jamais un code par SMS n'est utilisé de façon plus importante que comme complément de vérification du mot de passe. En revanche, on admet qu'un mot de passe seul puisse être suffisant si le "two form factor authentication" n'a pas été activé.
2. De nombreuses banques ont un site avec un espace de gestion en ligne. Pour celles que je connais, on ne peut rien faire en se contentant d'un code reçu par SMS. On peut en revanche faire pas mal de choses avec un simple mot de passe. Dans le cas où un mot de passe a déjà été tapé (et seulement dans ce cas), le fait d'avoir en plus un code reçu par SMS permet d'ajouter par exemple des bénéficiaires à une liste de bénéficiaires pouvant recevoir un virement...
Bref, en fait malgré votre effort de m'appendre quelque chose, j'ai du mal à croire qu'un code reçu par SMS puisse être considéré comme une authentification forte, que ce soit par la loi, la justice ou par l'état de l'art...