Auchan Accord : fidélité : Numero CB en clair

azerlille - 4 sept. 2011 à 17:12
 marquis de carabas - 6 sept. 2011 à 09:18
Bonjour,

Après toutes les déceptions que j'ai eu avec la banque accord (le post http://droit-finances.commentcamarche.net/forum/affich-5384893-banque-accord-visa-plafonds-espace-clients vous en donnera une idée, certes très partielle), une de plus.

Avec la carte Auchan Banque Accord Visa utilisée en magasin Auchan, le numéro de CB figure presque en clair sur les tickets de caisse (et non facturettes CB), dans la partie "Votre Compte WAAOH". Je devrais dire "en clair pour qui est capable de le comprendre".


Le ticket de caisse contient en effet une section "Numéro de carte :", et un numéro de la forme "XXXXXX123456789X". Les "X" désignent la partie masquée, et les chiffres la partie en clair, visible pour tous.

Hors les 4 premiers chiffres sont toujours "4971" pour la Visa Auchan Accord, et les deux chiffres suivants ne peuvent prendre qu'un nombre limité de combinaisons (car Banque Accord ne détient pas toute la plage en 4971 mais seulement certains fragments).

J'ai fort bien l'impression qu'il n'y a qu'environ 3 ou 4 (à confirmer) combinaisions possibles pour les numéros après 4971 chez Auchan Accord Visa Classic. (En tout les cas, mes recherches avec mes faibles moyens m'en ont indiqués que 2).

Le dernier chiffre manquant, ce n'est que 10 possibilités.

De plus, des règles mathématiques (que j'ai oublié et que de toute façon je ne détaillerais pas si je m'en souvenais), font que seuls les numéros ayant certaines propriétés arithmétiques sont correctes.

Autrement dit, j'ai la quasi certitude que à partir d'un numéro de la forme "XXXXXX123456789X" qui pourrait trainer sur un ticket de caisse jeté, on peut facilement prendre le risque que quelqu'un trouve son numéro... Ou au mieux n'ait qu'un nombre très réduit de possibilités à essayer.

Moralité : Ne laissez pas trainer vos tickets de caisse Auchan (les tickets normaux) si vous payez avec Auchan carte Accord.

Question : Que peut-on faire pour forcer Auchan a changer ses habitudes ? La responsabilité d'Auchan ou de Banque Accord peut elle être engagée si quelqu'un est victime de fraude d'une façon liée à cette problématique ? (Par victime j'entends tous les degrés possibles, même juste l'impossibilité de payer avant que Banque Accord annule les transactions frauduleuses)

3 réponses

marquis de carabas Messages postés 1983 Date d'inscription jeudi 11 février 2010 Statut Membre Dernière intervention 27 juin 2015 842
5 sept. 2011 à 14:28
Bonjour AZERILLE,

En effet..... Un (e) petit génie de l'algorithme aura vite fait.....

En tant que cliente vous pourriez exposer le problème par courrier (RAR ou non) à

AUCHAN
Siège social,
200 Rue de la Recherche
59650 VILLENEUVE ...

1) En les priant de veiller à modifier leurs tickets et (ou) a se rapprocher à ce propos de leur partenaire banque ACCORD...

2) De vous confirmer que votre responsabilité ne saurait être mise en cause en cas de fraude dont l'origine serait la manipulation d'un tel ticket de caisse AUCHAN

Bien cdt
8
Bonjour Marquis,

Il va de soit que je suis pour la résolution du problème, néanmoins il est hors de question que la Banque Accord puisse se dire Azerlille = Mme Dupont. (Zut mauvais jeu de mot, le CIC du Nord étant la Banque Scalbert Dupont). Et ce pas uniquement à cause de http://droit-finances.commentcamarche.net/forum/affich-5384893-banque-accord-visa-plafonds-espace-clients mais plus des conseils généraux que j'ai pu donner à des personnes victimes du crédit revolving.

Mais la "banque" nous lit peut être ? Si c'est le cas, qu'elle fasse appel à des gens compétents !

(D'ailleurs c'est une obligation légale à sa charge, ou à celle d'Auchan, que de sécuriser les données de ses systèmes informatisées, et d'ailleurs l'information du ticket de caisse est issue d'un système informatisé...)

Sinon, n'importe qui qui lit peut transmettre le problème, il va sans dire qu'une correction au plus tôt sera forcément le mieux !
0
marquis de carabas
6 sept. 2011 à 09:18
(D'ailleurs c'est une obligation légale à sa charge, ou à celle d'Auchan, que de sécuriser les données de ses systèmes informatisées, et d'ailleurs l'information du ticket de caisse est issue d'un système informatisé...)

On est bien d'accord !!
0
fiddy Messages postés 11067 Date d'inscription samedi 5 mai 2007 Statut Contributeur Dernière intervention 23 avril 2022 220
5 sept. 2011 à 19:38
Bonjour,

Non cela ne commence pas toujours par 4971. Cela peut-être par exemple 4972. De plus, cela peut être une carte mastercard.

En plage de BIN, cela fait bien 2 comme vous dites mais seulement pour le 4971. En tout cela fait une dizaine environ.

Pour le dernier effectivement, il y a un algorithme qui n'a rien de secret.

Cela fait donc beaucoup plus de possibilité que vous le dites. Après ce sont peut-être souvent les mêmes qui reviennent. Mais je ne vois pas en quoi cela est propre à la banque accord ?
6
Bonjour,

Merci de m'apprendre qu'il y a plus de préfixes que je ne le pensais. Néanmoins au final ça fait un nombre relativement réduit de possibilités.

En admettant que quelqu'un voit un ticket de caisse, qu'il sait la carte qui correspond (Visa / Visa Premier / Mastercard ça se voit de très loin, pas le même look), j'ai fort bien l'impression que l'on peut souvent réduire à moins de 20 le nombres d'essais à faire. Un nombre ridiculement faible en 2011.

Je ne suis pas sûr pour autant que votre raisonnement se tienne. Les générateurs de numéros auraient-ils fait tant de bruit à une époque si n'importe qui avait déjà une chance sur dix de tomber sur un numéro correct du point de vue arithmétique dès lors que le début du numéro était correct ?

Je pense plutôt qu'il y a (ou qu'il y a eu) d'autres règles, néanmoins je n'inciterais pas à les indiquer, et si je devais les découvrir je ne les communiquerais en aucun cas. (Aspect légal)

Mais 20 possibilités (je fais preuve d'optimisme je pense) c'est très faible, même 60 à vrai dire... Si en plus il y en a des plus probables que d'autres...

"Mais je ne vois pas en quoi cela est propre à la banque accord ?" -> Si l'aspect combinatoire devait ne pas suffire, on parle ici d'un ticket de caisse quand même, même pas d'un ticket spécifique carte bancaire... Et le simple usage de la carte en mode fidélité, même en payant en espèce, suffit à faire apparaître en douce une information bien dangereuse entre de mauvaises mains !

Donc faut vraiment faire gaffe au simple ticket de caisse !
0
fiddy Messages postés 11067 Date d'inscription samedi 5 mai 2007 Statut Contributeur Dernière intervention 23 avril 2022 220
5 sept. 2011 à 21:19
Oui, le nombre est faible. Mais, dis-toi bien que cela n'est pas propre à la banque accord. Pour une autre banque, tu connais le type de carte, la banque émetteur, etc. et tu réduis considérable l'ensemble des possibles.
Et après, avec le numéro de carte simple, tu en fais quoi ? T'inventes au hasard la date d'expiration pour un paiement sur internet ?

Pour les générateurs, ce qui a fait surtout tant de bruit, c'est qu'ils étaient capable de générer un numéro de carte correcte d'un point de vue algorithmique. Mais dès le début, l'algorithme a été le même. Cela sert pour éviter une erreur de frappe. On l'utilisateur aussi pour le SIRET, etc.

Enfin bref, si t'es es vraiment sidéré, fais ce que marquis de carabas a dit.
5
Non, pour une autre banque l'information n'est sensé trainée que sur des papiers dont on a connaissance de leur aspect personnel, pas sur le ticket de caisse qui ne fait pas facturette CB.

Encore moins pour un paiement en espèce !

Je ne suis pas convaincu qu'il suffise de respecter l'algorithme auquel vous faites mention implicitement (celui qui donne 1 chance sur 10) pour avoir un numéro arithmétiquement correct. Cette règle est une condition nécessaire, elle n'est pas forcément suffisante. (Je n'en dirais pas plus, et si quelqu'un a un argument allant dans le sens de ce que je dis je l'invite à ne pas en dire plus ici. Sauf à être avocat spécialiste du domaine...).

Pour le reste, le numéro de CB suffit parfois à bien des fraudes. Ce n'est pas parce que de nombreux sites vérifient systématiquement les infos au dos et la date d'expiration (voire même le nom du titulaire) que c'est le cas de tous les sites.

Et d'ailleurs de nombreuses fraudes avec des cartes contrefaites ont été effectuées avec pas beaucoup plus que juste le numéro (les autres infos n'étant pas forcément vérifiées). Certes pas forcément en France, plus dans des pays ou la piste suffit... Mais avoir une transaction frauduleuse en provenance des USA ne m'enchante pas tellement plus qu'une ailleurs...
0
fiddy Messages postés 11067 Date d'inscription samedi 5 mai 2007 Statut Contributeur Dernière intervention 23 avril 2022 220
5 sept. 2011 à 22:24
Si un seul algorithme pour vérifier la cohérence des chiffres de la carte, mais encore une fois il n'a rien de secret, il est tombé dans le domaine du public : c'est la clé de Lühn.

Bonne chance pour faire bouger ceci en tout cas.
0