Solution de paiement numerique européenne

[Kizzo]

pourquoi demain ... deja ce jour pour certaines personnes ...
Et ne parlons pas du drame de certain qui perdrait leur connexion web qq jours ...

Suicide collectif si pas de réseau !

 

[jabsol]

C'est simplement technique : le logiciel n'est pas aussi sécurisé que le matériel.

Tout est du logiciel, le matériel pur n'existe pas derrière il y a toujours du logiciel, simplement moins acessible.

C'est exactement le même raisonnement qui à fait dire à nos experts dans les années 90 qu'internet ne pouvant jamais être sécurisé (vrai), il ne pourrait être possible de faire des transactions bancaire dessus, et qu'il était préférable de continuer à développer des lignes sécurisées en France.... on a vu la suite....
Ce n'est pas parce qu'un support, ou un logiciel n'est pas totalement sécurisé que l'on ne peut pas pour autant avoir des échanges qui sont eux totalement sécurisés !

 

[attentif]

Tout est du logiciel, le matériel pur n'existe pas derrière il y a toujours du logiciel, simplement moins acessible.

Bonjour @jabsol ,

Effectivement, une carte électronique dans un équipement matériel sans logiciel pour la piloter, est au mieux un objet de décoration.

L'aspect essentiel d'un matériel spécialisé pour accomplir une fonction donnée, c'est son isolation extrême vis-à-vis de l'extérieur (son aspect "boîte noire") et donc une interaction avec l'extérieur limitée au strict minimum, et parfaitement contrôlée.
Le problème est son coût plus élevé qu'une solution purement logicielle. Le choix se fait alors entre les deux possibilités, en analysant le ratio bénéfices/risques.

Pour en revenir aux smartphones et aux cartes de paiement virtuelles que l'on y stocke, c'est bien sûr très pratique, pas cher et rapide à mettre en œuvre. Mais côté sécurité, je ne suis pas convaincu.

 

[nono52]

Demain il sera plus grave de se faire piquer son smartphone que de se faire cambrioler....

Bonjour @Kizzo
Se faire voler son smartphone, c'est gênant , mais c'est facilement "anticipable", un cambriolage c'est d'un autre calibre et difficilement comparable !

 

[nono52]

Pour en revenir aux smartphones et aux cartes de paiement virtuelles que l'on y stocke, c'est bien sûr très pratique, pas cher et rapide à mettre en œuvre. Mais côté sécurité, je ne suis pas convaincu.

Bonjour @attentif
J'ai enrôlé mes 2 cartes (Fortunéo et Boursobank ) sur mon smartphone, il faut savoir que c'est un n° virtuel qui est utilisé lors du paiement.
Après c'est désactivable immédiatement depuis ton espace client, je ne vois pas de problèmes de sécurité
C'est sûr que si tu ne trouves plus ton smartphone, il ne faut pas rester les bras "ballants" !

 

[moietmoi]

Bonjour @Kizzo
Se faire voler son smartphone, c'est gênant , mais c'est facilement "anticipable", un cambriolage c'est d'un autre calibre et difficilement comparable !

Personnellement,je serai plus affecté par le vol de mon smartphone que par un cambriolage chez moi.

 

[moietmoi]

Après c'est désactivable immédiatement depuis ton espace client, je ne vois pas de problèmes de sécurité

Comment accéder à ton espace client sans smartphone ?
Et même si tu trouves un pc,
La plupart des banques demandent confirmation sur l'application...

 

[attentif]

Bonjour @attentif
J'ai enrôlé mes 2 cartes (Fortunéo et Boursobank ) sur mon smartphone, il faut savoir que c'est un n° virtuel qui est utilisé lors du paiement.

Bonjour @nono52 ,

Je sais bien que c'est un n° virtuel qui est utilisé lors du paiement.
Ce n'est pas le sujet mais plutôt comme je l'ai écrit, le fait de s'appuyer sur un système d'exploitation acceptant par définition que soient installées d'autres applications dont on ne domine pas le comportement.

Cependant, je peux comprendre que cela puisse être considéré comme étant pratique. C'est à chacun de nous d'évaluer son ratio bénéfices/risques.

 

[framboise]

L'aspect essentiel d'un matériel spécialisé pour accomplir une fonction donnée, c'est son isolation extrême vis-à-vis de l'extérieur (son aspect "boîte noire") et donc une interaction avec l'extérieur limitée au strict minimum, et parfaitement contrôlée.
Le problème est son coût plus élevé qu'une solution purement logicielle. Le choix se fait alors entre les deux possibilités, en analysant le ratio bénéfices/risques.

Les smartphones enregistrent les données relatives aux cartes de paiement dans des environnements matériels sécurisés (Trusted Execution Environment sur Android, SecureEnclave pour Apple). C’est du matériel séparé de celui qui exécute le reste du système. Et ce n’est qu’une partie des mesures de sécurité liée à aux cartes de paiement.

Comment accéder à ton espace client sans smartphone ?
Et même si tu trouves un pc,
La plupart des banques demandent confirmation sur l'application...

Si ta banque en ligne ne te permet de te connecter à ton compte avec un PC qu’avec une confirmation sur l’application ou par SMS, je conseille de la fuir immédiatement. Enfin je dis ça en sachant que certains conseillers par téléphone « sécurisent » l’appel en demandant la date de naissance… (imaginez ici un emoji qui se frappe la tête contre un mur de briques, j’ai la flemme de le retrouver).

 

[moietmoi]

Si ta banque en ligne ne te permet de te connecter à ton compte avec un PC qu’avec une confirmation sur l’application ou par SMS, je conseille de la fuir immédiatement.

Il me semble que cela se généralise pour toute opération...

Les smartphones enregistrent les données relatives aux cartes de paiement dans des environnements matériels sécurisés (Trusted Execution Environment sur Android, SecureEnclave pour Apple). C’est du matériel séparé de celui qui exécute le reste du système. Et ce n’est qu’une partie des mesures de sécurité liée à aux cartes de paiement.

Avec ces données techniques, tu penses que les réseaux mafieux ayant ton téléphone en main, ne peuvent rien faire?

ta banque en ligne ne te permet de te connecter à ton compte avec un PC

Tu connais donc tes codes identifiant et mot de passe par coeur? Ou bien il sont en mémoire dans le navigateur de ton pc?

 

[framboise]

Il me semble que cela se généralise pour toute opération...

L’authentification à facteurs multiples, oui. Mais si le seul facteur (c’est-à-dire élément autre que le mot de passe) permis par un certain service passe par une application mobile ou un téléphone, c’est que le service est mal fait. Il devrait demander un code TOTP ou une clé de passe. Passer par un courriel ou un SMS n’est pas suffisamment sécurisé, passer par une application est peu sûr étant donné qu’un téléphone peut être perdu, tomber en panne, etc.

Avec ces données techniques, tu penses que les réseaux mafieux ayant ton téléphone en main, ne peuvent rien faire?

Ça me semble très peu vraisemblable, on est quand même sur des technos de sécurisation très avancées. Et encore faudrait-il qu’ils y arrivent avant que je n’aie le temps de faire opposition.

À mon avis, si on me vole quelque chose, ça risque plutôt de se passer comme ceci [lien réservé abonné].

Tu connais donc tes codes identifiant et mot de passe par coeur? Ou bien il sont en mémoire dans le navigateur de ton pc?

Certainement pas, ils sont dans un gestionnaire de mots de passe. Je n’ai pas d’action chez l’un d’entre eux en particulier, voir par exemple 1Password, Bitwarden, NordPass, ProtonPass. Un gestionnaire de mots de passe enregistre les données de façon sécurisée (elles ne peuvent être déchiffrées qu’à l’aide du mot de passe principal). Il est important d’en choisir un qui gère le TOTP (codes à 6 chiffres à usage unique générés à partir d’un secret) et les clés de passe (WebAuthn).

 

[nono52]

Si ta banque en ligne ne te permet de te connecter à ton compte avec un PC qu’avec une confirmation sur l’application ou par SMS, je conseille de la fuir immédiatement. Enfin je dis ça en sachant que certains conseillers par téléphone « sécurisent » l’appel en demandant la date de naissance… (imaginez ici un emoji qui se frappe la tête contre un mur de briques, j’ai la flemme de le retrouver).

Bonjour @framboise
Je ne suis pas surpris de certains questionnements sur le fonctionnement des nouvelles technologies.
Les mêmes ne lisent rien ou ne font pas d'essais au préalable de toute façon c'est peine perdue !
Normalement, il n'y a pas de conseillers à appeler

 

[moietmoi]

L’authentification à facteurs multiples, oui. Mais si le seul facteur (c’est-à-dire élément autre que le mot de passe) permis par un certain service passe par une application mobile ou un téléphone, c’est que le service est mal fait. Il devrait demander un code TOTP ou une clé de passe. Passer par un courriel ou un SMS n’est pas suffisamment sécurisé, passer par une application est peu sûr étant donné qu’un téléphone peut être perdu, tomber en panne, etc.

J'ai du mal à suivre.
Supposons qu'avec toutes les mesures que tu préconises, ton smartphone qui est chargé de tes appli bancaires, cartes, et autres est volé.tu es hors de chez toi. ( À l'étranger par exemple)
Tu dors tranquille ?
Et comment fais tu pour accéder à tes comptes bancaires.?

 

[framboise]

J'ai du mal à suivre.
Supposons qu'avec toutes les mesures que tu préconises, ton smartphone qui est chargé de tes appli bancaires, cartes, et autres est volé.tu es hors de chez toi. ( À l'étranger par exemple)
Tu dors tranquille ?
Et comment fais tu pour accéder à tes comptes bancaires.?

Le vol de mon téléphone serait bien sûr très embêtant. Quant à « dormir tranquille », quand même pas, je suis du genre à prendre un maximum de précautions, et donc je ferais opposition sur mes cartes dès que possible.

Pour ce qui est d’accéder à mes comptes bancaires, ça dépend des méthodes d’authentification prises en charge par leur interface web. Ce qui est sûr, c’est que je pourrais toujours me connecter à mon gestionnaire de mots de passe en ligne en donnant mon mot de passe principal, ce qui me donnerait accès aux secrets (mots de passe et autres) permettant de me connecter à tout service sur lequel j’ai un compte. Le problème étant que certains services en ligne ne fournissent que des méthodes d’authentification nécessitant un téléphone (ou éventuellement un lecteur de cartes), ce qui est un problème. Si ne pas avoir de téléphone est trop pénible, je pense que j’en achète un nouveau, ou j’en loue un si ça semble préférable selon les circonstances. Puisque j’ai mes mots de passe et autres codes d’accès, je peux installer toutes les applications qui vont bien.

 

[clemdem]

Il y a 4 choses à faire en cas de perte de smartphone :
-bloquer la sim + commander une autre
- bloquer à distance le tel procédure ici [lien réservé abonné] , existe similaire pour apple)
-bloquer ces CB.
-contacter banque si possibilité de verrouiller accès en attendant

 

[attentif]

Les smartphones enregistrent les données relatives aux cartes de paiement dans des environnements matériels sécurisés (Trusted Execution Environment sur Android, SecureEnclave pour Apple). C’est du matériel séparé de celui qui exécute le reste du système. Et ce n’est qu’une partie des mesures de sécurité liée à aux cartes de paiement.

Bonsoir @framboise ,

Ces environnements sont évidemment un plus indéniable. Leur inconvénient est que d'autres applications de confiance (autres que celle liée à la carte bancaire virtuelle) peuvent les utiliser, et donc exploiter les informations qui y sont échangées ou stockées.

La carte à puce bancaire gère elle, la seule application liée aux paiements. C'est une véritable "boîte noire".

 

[jabsol]

Bonsoir @framboise ,

Ces environnements sont évidemment un plus indéniable. Leur inconvénient est que d'autres applications de confiance (autres que celle liée à la carte bancaire virtuelle) peuvent les utiliser, et donc exploiter les informations qui y sont échangées ou stockées.

La carte à puce bancaire gère elle, la seule application liée aux paiements. C'est une véritable "boîte noire".

Je ne vais pas rentrer dans les détails d'apple pay, on trouve en ligne toutes les infos, mais pour ultra résumer :
'Votre numéro de carte et vos informations personnelles ne sont pas enregistrés sur votre appareil ou sur les serveurs Apple. Apple Pay fonctionne avec un numéro de compte spécifique, associé à votre carte.

Ce numéro ne peut être utilisé que dans le cadre d'Apple Pay.'

A titre perso je me sens en sécurité (pas plus ni moins stressé qu'avant l'innovation) et pourtant je suis dans la cyber...

 

[moietmoi]

titre perso je me sens en sécurité (pas plus ni moins stressé qu'avant l'innovation) et pourtant je suis dans la cyber.

Tu veux voir une faille du système express transit d'applepay avec carte visa?
Pour l'instant il me semble que ,à part se renvoyer la balle, visa ou apple n'ont pas réussi à contrer.
https://practical_emv.gitlab.io/assets/apple_pay_visa.mp4

 

[attentif]

A titre perso je me sens en sécurité (pas plus ni moins stressé qu'avant l'innovation) et pourtant je suis dans la cyber...

Bonjour @jabsol ,

Je peux comprendre que vous ayez ce sentiment ; ce n'est pas mon cas, peut-être au regard de mon parcours professionnel dans le domaine de la sécurité des paiements.
Cela contribue à la richesse de nos échanges dans ce forum.

 

[jabsol]

Tu veux voir une faille du système express transit d'applepay avec carte visa?
Pour l'instant il me semble que ,à part se renvoyer la balle, visa ou apple n'ont pas réussi à contrer.
https://practical_emv.gitlab.io/assets/apple_pay_visa.mp4

Rien n'est parfaitement sécurisé, et ne pourra jamais l'être.
La seule question à se poser est est-ce que cela est suffisamment sécurisé au regard des enjeux ?
Il est impératif d'accepter cette part de risque.

Lorsque j'ai commencé ma carrière chez airbus, on nous apprend à accepter une panne mortelle tous les 1 milliard d'heures de vols, si on cherche le 0 défaut on ne pourra pas faire voler d'avion.
Idem en finance, on accepte un cas de vol toutes les x transactions, sinon on ne fait rien.
Apple pay répond largement à ces critères, même si encore une fois ca ne pourra jamais être sûr à 100%.
Voilà pourquoi je me sens en sécurité.