Enregistrement d'une carte bancaire sur l'App Store

Le
Lionel Mychkine
Ma carte bancaire venant d'être renouvelée, je me rends sur l'App Store
pour enregistrer les nouvelles informations. A cette occasion, on me
demande le cryptogramme de la carte (vous savez, ce numéro figurant au
dos de celle-ci qui permet de faire des achats sur Internet sans avoir à
fournir son mot de passe). Et pas moyen d'enregistrer la nouvelle carte
si l'on n'entre pas le fameux cryptogramme, la modification est refusée.

Alors je m'interroge. La firme Apple est donc absolument sûre que ses
serveurs ne seront jamais piratés ? Parce que les fraudeurs auraient
tous les paramètres nécessaires pour faire des achats à bon compte sur
Internet, sur le dos des clients d'Apple.

Il me semble que tout récemment, Apple a été victime d'un code
malveillant qui s'est infiltré dans ses serveurs en utilisant le Cheval
de Troie bien connu qu'est Java.

Il est exclu également que le client titulaire du compte se fasse
dérober son Apple ID ? Le fraudeur pourrait acheter 15 iMac et se faire
livrer aux îles Caïmans qui sont à la mode en ce moment ;-)

C'est quand même dangereux et presque arrogant d'être trop sûr de soi.
Chez Amazon, pourtant membre du GAFA, on ne procède pas de la sorte.

--
Lionel Mychkine
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 6
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Patrick Stadelmann
Le #25338032
In article Lionel Mychkine
Ma carte bancaire venant d'être renouvelée, je me rends sur l'App Store
pour enregistrer les nouvelles informations. A cette occasion, on me
demande le cryptogramme de la carte (vous savez, ce numéro figurant au
dos de celle-ci qui permet de faire des achats sur Internet sans avoir à
fournir son mot de passe). Et pas moyen d'enregistrer la nouvelle carte
si l'on n'entre pas le fameux cryptogramme, la modification est refusée.



Normal, le code sert justement à cela : éviter qu'on puisse utiliser une
carte sans le connaître ! Mais je ne pense pas qu'il soit conservé, car
certains émetteurs de carte de crédit interdise explicitement de le
faire.

Pas sûr non plus que les autres informations soient conservées. On peut
très bien imaginé qu'après la validation initiale, l'émetteur de la
carte renvoie un jeton (token) lié à la carte et au vendeur, jeton qui
sera utilisé en lieu et place des informations de la carte pour les
transactions futures.

Patrick
--
Patrick Stadelmann
ST
Le #25338202
On 2013-04-13, Lionel Mychkine
Alors je m'interroge. La firme Apple est donc absolument sûre que ses
serveurs ne seront jamais piratés ? Parce que les fraudeurs auraient
tous les paramètres nécessaires pour faire des achats à bon compte sur
Internet, sur le dos des clients d'Apple.



La sécurité des cartes de crédits n'est pas fonctionnelle. Il me suffit
de voir ta carte une fois pour connaitre ton numéro, la date
d'expiration et le cryptogram. Il n'y a rien de secret, tout est en
clair, affiché sur la carte.

Toute la sécurité repose sur le fait que tu vas checker ton relevé de
carte de crédit et que tu vas faire opposition sur les transactions
louches.

Il faut savoir qu'aux US, la carte n'est pas liée forcément à ton compte
banquaire, tu reçois un relevé et tu le payes par chèque. À Singapour
(ou je vis), ça fonctionne aussi comme ça. Perso, j'utilise une carte à
débit immédiat avec un compte dédié sur le quel je ne laisse que peu
d'argent. La fraude ne peut pas dépasser le montant du crédit du compte.
Lionel Mychkine
Le #25338172
In article
Patrick Stadelmann
Normal, le code sert justement à cela : éviter qu'on puisse utiliser une
carte sans le connaître !



A ceci près que le cryptogramme doit être connu du titulaire de la carte
et de personne d'autre. Pourquoi dans ces conditions le communiquer à
Apple ?

Mais je ne pense pas qu'il soit conservé, car certains émetteurs de
carte de crédit interdise explicitement de le faire.



Pourquoi le demander dans ce cas ? Et puis on sait tous qu'il suffit que
Visa ou Mastercard interdisent de conserver ce code pour que tous les
commerçants de la planète respectent religieusement leurs directives, le
doigt sur la couture du pantalon.

Pas sûr non plus que les autres informations soient conservées [...]



Mais alors, pourquoi les demander ?

On peut très bien imaginé qu'après la validation initiale, l'émetteur
de la carte renvoie un jeton (token) lié à la carte et au vendeur,
jeton qui sera utilisé en lieu et place des informations de la carte
pour les transactions futures.



Pourquoi pas ? Tout est possible et son contraire aussi. Moi, je me
rends compte tout simplement que l'on me demande de fournir un code
confidentiel lors de l'activation d'une carte bancaire. Les choses me
semblent claires, le code confidentiel à quatre chiffres permet de
régler des achats chez un commerçant grâce à un automate, le
cryptogramme permet de faire des achats sur Internet. Tout autre
utilisation des codes est opaque et suscite ma méfiance.

En quoi le fait de détenir le cryptogramme sous forme de token change
quoi que se soit aux problèmes de sécurité que j'ai évoqués ?

Que l'on me demande le cryptogramme à l'occasion d'un achat, c'est bien
normal puisque justement ce code sert à sécuriser la transaction, tant
vis à vis du client que du commerçant. Mais il n'est pas normal que ce
code soit stocké chez mon fournisseur, qu'il soit en l'état ou sous
forme de « token ». Que dirais-on si un commerçant demandait le code
confidentiel à quatre chiffres de la carte bancaire d'un individu,
quelques soient les motifs invoqués ?

--
Lionel Mychkine
mvaukois
Le #25338242
Lionel Mychkine
Que l'on me demande le cryptogramme à l'occasion d'un achat, c'est bien
normal puisque justement ce code sert à sécuriser la transaction, tant
vis à vis du client que du commerçant. Mais il n'est pas normal que ce
code soit stocké chez mon fournisseur,



Je ne suis pas certain que le cryptogramme soit conservé par Apple.
Il doit être fourni à l'enregistrement de la CB pour valider le n° de
carte comme c'est le cas chez la plupart des vendeurs Internet mais il
ne semble pas conservé par la suite : en tout cas, il n'apparaît pas
quand je vais sur mon compte AppStore (par ailleurs, la date de validité
n'apparaît plus en clair).
--
Michel Vauquois
Que Dieu vous garde... Moi j'ai pas le temps (RD)
Patrick Stadelmann
Le #25338322
In article Lionel Mychkine
In article
Patrick Stadelmann
> Normal, le code sert justement à cela : éviter qu'on puisse utiliser une
> carte sans le connaître !

A ceci près que le cryptogramme doit être connu du titulaire de la carte
et de personne d'autre. Pourquoi dans ces conditions le communiquer à
Apple ?



De la même manière que tu "communiques" ton code NIP au terminal de
payement quand tu fait un achat dans un magasin : cela t'identifie.

Pour les transaction électronique, on ne peut pas s'identifier. Pour
réduire le risque de fraude (obtention frauduleuse des numéro + date
d'expiration de la carte), on utilise en plus le cryptogramme, car
contrairement aux autres informations, il n'est pas enregistré sur la
piste magnétique de la carte. La tactique standard de piratage de carte
(terminal de payement trafiqué pour récupérer le contenu de la piste
magnétique) ne permettrait donc pas d'y avoir accès.

Pourquoi le demander dans ce cas ?



Parce que ça "prouve" que tu as bien la carte sous les yeux, et pas
simplement les données récupérées sur la bande magnétique.

Et puis on sait tous qu'il suffit que
Visa ou Mastercard interdisent de conserver ce code pour que tous les
commerçants de la planète respectent religieusement leurs directives, le
doigt sur la couture du pantalon.



J'en sais rien, mais en cas de fraude s'il s'avère que cette directive
n'a pas été respectée, l'émetteur de la carte pourrait se retourner
contre le vendeur.

> Pas sûr non plus que les autres informations soient conservées [...]

Mais alors, pourquoi les demander ?



Ca tombe sous le sens : pour pouvoir les vérifier auprès de l'émetteur
de la carte.

En quoi le fait de détenir le cryptogramme sous forme de token change
quoi que se soit aux problèmes de sécurité que j'ai évoqués ?



Si un pirate récupère les informations brutes chez un vendeur, il pourra
essayer de les exploiter. Si tout ce qu'il obtient c'est un jeton, il ne
pourra rien en faire.

Que l'on me demande le cryptogramme à l'occasion d'un achat, c'est bien
normal puisque justement ce code sert à sécuriser la transaction, tant
vis à vis du client que du commerçant. Mais il n'est pas normal que ce
code soit stocké chez mon fournisseur, qu'il soit en l'état ou sous
forme de « token ».



Il n'est très probablement pas stocké du tout. L'émetteur de la carte a
simplement noté qu'un jour Apple a été en mesure de fournir ce
cryptogramme, ce qui signifie que tu l'as transmis à Apple et que donc
tu es un client d'Apple.

Que dirais-on si un commerçant demandait le code
confidentiel à quatre chiffres de la carte bancaire d'un individu,
quelques soient les motifs invoqués ?



Il le fait par l'intermédiaire de son terminal de payement pour pouvoir
le transmettre à l'émetteur de la carte.

Exactement comme Apple, par l'intermédiaire de ses serveurs, te demande
le cryptogramme !

Patrick
--
Patrick Stadelmann
Lionel Mychkine
Le #25338352
In article
Toute la sécurité repose sur le fait que tu vas checker ton relevé de
carte de crédit et que tu vas faire opposition sur les transactions
louches.



[...]

La fraude ne peut pas dépasser le montant du crédit du compte.



A mon humble avis, il incombe aux banques de garantir la sécurité des
cartes qu'elles émettent. Ce n'est pas au client de le faire en
surveillant ses relevés.

--
Lionel Mychkine
ST
Le #25338542
On 2013-04-13, Lionel Mychkine
A mon humble avis, il incombe aux banques de garantir la sécurité des
cartes qu'elles émettent. Ce n'est pas au client de le faire en
surveillant ses relevés.



Mais la banque te remboursera toute fraude detectée, ils feront même
tout plein d'efforts pour détecter de la fraude. Mais très souvent, le
cout est porté au marchand.
Lionel Mychkine
Le #25338472
In article
> In article
> > Patrick Stadelmann >
> A ceci près que le cryptogramme doit être connu du titulaire de la carte
> et de personne d'autre. Pourquoi dans ces conditions le communiquer à
> Apple ?

De la même manière que tu "communiques" ton code NIP au terminal de
payement quand tu fait un achat dans un magasin : cela t'identifie.



Non, ce n'est pas du tout la même chose. Le commerçant ne peut pas
« voir » le code confidentiel car le terminal de paiement ne le permet
pas. La machine se contente de communiquer avec le serveur carte
bancaire qui valide ou non le code NIP. On peut toujours envisager que
le terminal de paiement soit trafiqué mais cela relève du grand
banditisme.

Quand on fournit son cryptogramme à Apple, cette dernière possède une
information en clair. Ce n'est pas comparable.

> Pourquoi le demander dans ce cas ?

Parce que ça "prouve" que tu as bien la carte sous les yeux, et pas
simplement les données récupérées sur la bande magnétique.



Sous peine de me répéter cela est justifié lors d'un achat et à aucun
autre moment.

J'en sais rien, mais en cas de fraude s'il s'avère que cette directive
n'a pas été respectée, l'émetteur de la carte pourrait se retourner
contre le vendeur.



Ce vendeur qui, coquin de sort, aura pris le Titanic pour se rendre à
Ushuaia. Mais on l'attend de pied ferme sur place ;-)

> Mais alors, pourquoi les demander ?

Ca tombe sous le sens : pour pouvoir les vérifier auprès de l'émetteur
de la carte.



Au moment de la transaction... J'ai l'impression d'être bègue.

Si un pirate récupère les informations brutes chez un vendeur, il pourra
essayer de les exploiter. Si tout ce qu'il obtient c'est un jeton, il ne
pourra rien en faire.



Effectivement.

Il n'est très probablement pas stocké du tout. L'émetteur de la carte a
simplement noté qu'un jour Apple a été en mesure de fournir ce
cryptogramme, ce qui signifie que tu l'as transmis à Apple et que donc
tu es un client d'Apple.



Et ça sert à quoi que l'émetteur sache qu'un jour j'ai été client
d'Apple. J'ai l'impression de ne voir que la partie émergée de l'iceberg.

> Que dirais-on si un commerçant demandait le code confidentiel à
> quatre chiffres de la carte bancaire d'un individu, quelques soient
> les motifs invoqués ?

Il le fait par l'intermédiaire de son terminal de payement pour pouvoir
le transmettre à l'émetteur de la carte.



Cf supra.

--
Lionel Mychkine
Lionel Mychkine
Le #25338532
In article (MV) wrote:

Je ne suis pas certain que le cryptogramme soit conservé par Apple.
Il doit être fourni à l'enregistrement de la CB pour valider le n° de
carte comme c'est le cas chez la plupart des vendeurs Internet mais il
ne semble pas conservé par la suite : en tout cas, il n'apparaît pas
quand je vais sur mon compte AppStore (par ailleurs, la date de validité
n'apparaît plus en clair).



Ce n'est pas parce que les informations n'apparaissent pas lors d'une
consultation du compte qu'elles ne sont pas mémorisées.

C'est bizarre, Amazon ne me demande pas ce cryptogramme lorsque
j'enregistre une nouvelle carte. Il m'est par contre demandé à chacun de
mes achats ce qui est « normal ».

--
Lionel Mychkine
mvaukois
Le #25338592
Lionel Mychkine
Ce n'est pas parce que les informations n'apparaissent pas lors d'une
consultation du compte qu'elles ne sont pas mémorisées.



Certes... et tu sembles penser que le cryptogramme est enregistré chez
Apple... D'où te vient cette hypothèse ?

C'est bizarre, Amazon ne me demande pas ce cryptogramme lorsque
j'enregistre une nouvelle carte. Il m'est par contre demandé à chacun de
mes achats ce qui est « normal ».



Ce qui ne prouve pas qu'Amazon n'enregistre pas malgré tout le
cryptogramme quelque part ! ;-)
--
Michel Vauquois
Que Dieu vous garde... Moi j'ai pas le temps (RD)
Publicité
Poster une réponse
Anonyme