nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
Le paiement en ligne par 3D Secure trop bancal, selon des experts
Deux chercheurs britanniques pointent les nombreuses faiblesses de ce nouveau protocole de paiement en ligne, adopté par Visa et Mastercard.
Ross Anderson a de nouveau frappé. La semaine dernière, le professeur de l'université de Cambridge a défrayé la presse française, car il avait exploité une faille dans la sécurité des cartes bancaires. Il s'attaque maintenant, avec son collègue Steven Murdoch, au protocole de paiement en ligne 3D Secure. Adopté par Visa et Mastercard, celui-ci vise à sécuriser davantage les ventes sur Internet, en ajoutant une étape d'authentification dans la transaction (entrée d'un mot de passe, de la date de naissance, du code postal de résidence, d'un code spécial lié à la transaction, etc.).
Dans un article de sept pages, les deux chercheurs expliquent que ce système regorge en fait de faiblesses et qu'il est un exemple de ce qu'il ne faut pas faire d'un point de vue sécurité. Ainsi, l'authentification se fait dans un iframe, un élément HTML qui permet d'intégrer un page dans une autre. Du coup, la page d'authentification ne dispose pas d'URL, et l'internaute de peut pas vérifier son origine. C'est la porte ouverte au phishing et aux attaques par interception.
L’utilisateur, dindon de la farce
Ensuite, chez de nombreuses banques, le choix du mot de passe s'effectue lors d'un premier achat avec 3D Secure. « Le consommateur est d'abord intéressé par son achat en ligne et le choix du mot de passe devient secondaire. Il est probable que leur choix sera de mauvaise qualité », expliquent les chercheurs dans leur article. Quant aux informations personnelles – date de naissance, code postal... – elles peuvent facilement être retrouvées par des hackers dans des bases de données publiques.
Enfin, les chercheurs soulignent le manque de protection de l'acheteur. En cas de fraude, les commerçants ont la garantie d'être payés. L'utilisateur, en revanche, pourra être tenu pour responsable en cas de mauvaise utilisation du système (gestion négligente du mot de passe, par exemple).
Conclusion : 3D Secure n'est pas au point. Le système est à revoir.
Actu précédente
Fumisterie
de
Oeuf de Christof Colomb
, posté le 28 janvier 2010 à 21h26
C'est le principe même de la carte bancaire qui est une fumisterie. Donner son numéro de carte équivaut à donner son porte-feuille à n'importe quel inconnu dans la rue pour qu'il puisse se servir puis le refiler à n'importe qui d'autre. Aucun système de sécurité ne pourra pallier cette faille. Il suffisait d'inverser le sens de la transaction pour être plus sûr: c'est l'acheteur qui devrait créditer le numéro de carte du vendeur
alerter le modérateur
Bien vu !!!!
de
Globetrotteur
, posté le 26 février 2010 à 00h10
Tout est dans le titre
alerter le modérateur
Virements bancaires
de
Globetrotteur
, posté le 26 février 2010 à 00h22
Le virement bancaire international est ultra rapide et très sécurisé. Avec les systèmes homebanking, c'est ultra facile. De plus, on a une trace de la transaction dans ses extraits de comptes avec les coordonnées du destinataire. Pourquoi les sites de ventes sur internet n'utilisent-ils pas plus ce système ?? Il y a juste à mentionner les codes bic (swift) et iban, ensuite la transaction est a effectuer par l'acheteur via sa banque.
Simple, sûr et rapide. Un achat sur ebay france depuis la belgique : vente terminée le samedi soir, paiement par virement effectué le dimanche via homebanking, colis dans la boîte aux lettre le jeudi matin.
Ils me font bien marrer avec leurs cartes de crédits et leurs problèmes de sécurité sur internet .... Pour tout achat, il faut donner son n° de carte. Le destinataire peut alors en faire ce qu'il veut
Simple, sûr et rapide. Un achat sur ebay france depuis la belgique : vente terminée le samedi soir, paiement par virement effectué le dimanche via homebanking, colis dans la boîte aux lettre le jeudi matin.
Ils me font bien marrer avec leurs cartes de crédits et leurs problèmes de sécurité sur internet .... Pour tout achat, il faut donner son n° de carte. Le destinataire peut alors en faire ce qu'il veut
alerter le modérateur
Chèque-secure
de
Citoyenantibankster
, posté le 24 avril 2011 à 20h57
J' ai trouvé beaucoup mieux que le paiement par carte bancaire: le chèque bancaire (internet) et l' argent liquide.
En effet, en résiliant ma CB, j' économise 30€ tous les ans et je ne crains plus de perdre ou de me faire voler ma CB (un soucis de moins).
De plus, après avoir passer une commande en ligne, il y a toujours la possibilité de l' annuler, puisque l' argent est toujours sur mon compte, ou d' en réduire le montant après une sereine nuit de réflexion (très efficace).
Enfin, en payant en argent liquide je retrouve le pouvoir des biftons, les (gros) commerçants me respectent quand je leur agite les billets sous le pif et les guichetiers ne craignent plus de perdre leur boulot grâce à moi aussi.
Je fais aussi justice par moi-même car, les banquiers sont des faux monayeurs légaux puisque les lois les autorisent à fabriquer de la fausse monaie en multipliant par dix le contenu de leur coffre (en crédit).
Par exemple, après avoir déposé 1 000€ à la banque, derrière vous quelqu' un passe pour emprunter 10 000€ pour s' acheter une voiture, alors, le banquier prend vos 1000€, rajoute un zéro derrière et lui donne ce chèque, puis, le concessionaire heureux de sa vente ira à la banque pour faire encaisser le chèque.
cherchez l' erreur...
En effet, en résiliant ma CB, j' économise 30€ tous les ans et je ne crains plus de perdre ou de me faire voler ma CB (un soucis de moins).
De plus, après avoir passer une commande en ligne, il y a toujours la possibilité de l' annuler, puisque l' argent est toujours sur mon compte, ou d' en réduire le montant après une sereine nuit de réflexion (très efficace).
Enfin, en payant en argent liquide je retrouve le pouvoir des biftons, les (gros) commerçants me respectent quand je leur agite les billets sous le pif et les guichetiers ne craignent plus de perdre leur boulot grâce à moi aussi.
Je fais aussi justice par moi-même car, les banquiers sont des faux monayeurs légaux puisque les lois les autorisent à fabriquer de la fausse monaie en multipliant par dix le contenu de leur coffre (en crédit).
Par exemple, après avoir déposé 1 000€ à la banque, derrière vous quelqu' un passe pour emprunter 10 000€ pour s' acheter une voiture, alors, le banquier prend vos 1000€, rajoute un zéro derrière et lui donne ce chèque, puis, le concessionaire heureux de sa vente ira à la banque pour faire encaisser le chèque.
cherchez l' erreur...
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
