Par contre, dès que je programme un mouvement d'argent, le serveur du CCM me demande, aléatoirement, par exemple le code contenu dans la case E6. Je regarde ma carte, et je réponds ce qui y figure.
Est-ce que ça signifie que si tu annules à ce moment et recrée le mouvement, il est susceptible de te demander une autre case ? Est-ce que le système bloque après X annulations ?
Par contre, dès que je programme un mouvement d'argent,
le serveur du CCM me demande, aléatoirement, par exemple
le code contenu dans la case E6.
Je regarde ma carte, et je réponds ce qui y figure.
Est-ce que ça signifie que si tu annules à ce moment et recrée le
mouvement, il est susceptible de te demander une autre case ?
Est-ce que le système bloque après X annulations ?
Par contre, dès que je programme un mouvement d'argent, le serveur du CCM me demande, aléatoirement, par exemple le code contenu dans la case E6. Je regarde ma carte, et je réponds ce qui y figure.
Est-ce que ça signifie que si tu annules à ce moment et recrée le mouvement, il est susceptible de te demander une autre case ? Est-ce que le système bloque après X annulations ?
Je regarde ma carte, et je réponds ce qui y figure. Exemple: 1234.
Si ce nbre correspond au nombre connu par le serveur, la transaction est acceptée.
Simple et efficace, non?
Cdlt à tous, Petit Pierre pour moi ca ne vaut pas un digipass ... lors d'un virement international, ma
banque me donne un code à 12 chiffres à taper sur mon digipass, je tape mon pin, et je tape le code à 8 chiffres donné par le digipass. le digipass c'est quelquechose que je possède (comme la carte) mais qui n'est pas copiable. Si on me le vole, il y a le code pin (que je sais) qui empeche le voleur de l'utiliser. et si je le laisse qqpart et que je donne mon pin à un tiers pour qu'il me lise le code, il y a une autre information, le numero d'utilisateur (info privée) que je dois entrer et qui n'est pas connu par ce tiers.
Petit Pierre wrote:
Je regarde ma carte, et je réponds ce qui y figure.
Exemple: 1234.
Si ce nbre correspond au nombre connu par le serveur,
la transaction est acceptée.
Simple et efficace, non?
Cdlt à tous, Petit Pierre
pour moi ca ne vaut pas un digipass ... lors d'un virement international, ma
banque me donne un code à 12 chiffres à taper sur mon digipass, je tape mon
pin, et je tape le code à 8 chiffres donné par le digipass. le digipass
c'est quelquechose que je possède (comme la carte) mais qui n'est pas
copiable. Si on me le vole, il y a le code pin (que je sais) qui empeche le
voleur de l'utiliser. et si je le laisse qqpart et que je donne mon pin à
un tiers pour qu'il me lise le code, il y a une autre information, le
numero d'utilisateur (info privée) que je dois entrer et qui n'est pas
connu par ce tiers.
Je regarde ma carte, et je réponds ce qui y figure. Exemple: 1234.
Si ce nbre correspond au nombre connu par le serveur, la transaction est acceptée.
Simple et efficace, non?
Cdlt à tous, Petit Pierre pour moi ca ne vaut pas un digipass ... lors d'un virement international, ma
banque me donne un code à 12 chiffres à taper sur mon digipass, je tape mon pin, et je tape le code à 8 chiffres donné par le digipass. le digipass c'est quelquechose que je possède (comme la carte) mais qui n'est pas copiable. Si on me le vole, il y a le code pin (que je sais) qui empeche le voleur de l'utiliser. et si je le laisse qqpart et que je donne mon pin à un tiers pour qu'il me lise le code, il y a une autre information, le numero d'utilisateur (info privée) que je dois entrer et qui n'est pas connu par ce tiers.
Droger Jean-Paul
Je regarde ma carte, et je réponds ce qui y figure. Exemple: 1234.
tu es sur que cette carte est unique?
et les données de TA carte sont bien inscrite sur le DD de ta banque, donc ils peuvent être lu par un pirate; cela ne lui demande que quelques minutes de plus je pense!
Si ce nbre correspond au nombre connu par le serveur, la transaction est acceptée.
Simple et efficace, non?
simple, oui, mais efficace là je demande à voir!
Cdlt à tous, Petit Pierre
-- Jean-Paul DROGER (pour me joindre en direct: enlever "anti." et remplacer "allamou" par "wanadoo"; to write me directly :, remove "anti." and replace "allamou" by "wanadoo".
Je regarde ma carte, et je réponds ce qui y figure.
Exemple: 1234.
tu es sur que cette carte est unique?
et les données de TA carte sont bien inscrite sur le DD de ta banque,
donc ils peuvent être lu par un pirate; cela ne lui demande que
quelques minutes de plus je pense!
Si ce nbre correspond au nombre connu par le serveur,
la transaction est acceptée.
Simple et efficace, non?
simple, oui, mais efficace là je demande à voir!
Cdlt à tous, Petit Pierre
--
Jean-Paul DROGER (pour me joindre en direct:
anti.droger.jean-paul@allamou.fr enlever "anti." et remplacer "allamou"
par "wanadoo"; to write me directly :anti.droger.jean-paul@allamou.fr,
remove "anti." and replace "allamou" by "wanadoo".
Je regarde ma carte, et je réponds ce qui y figure. Exemple: 1234.
tu es sur que cette carte est unique?
et les données de TA carte sont bien inscrite sur le DD de ta banque, donc ils peuvent être lu par un pirate; cela ne lui demande que quelques minutes de plus je pense!
Si ce nbre correspond au nombre connu par le serveur, la transaction est acceptée.
Simple et efficace, non?
simple, oui, mais efficace là je demande à voir!
Cdlt à tous, Petit Pierre
-- Jean-Paul DROGER (pour me joindre en direct: enlever "anti." et remplacer "allamou" par "wanadoo"; to write me directly :, remove "anti." and replace "allamou" by "wanadoo".
On Sun Jan 15 2006 at 15:17, Droger Jean-Paul wrote:
et les données de TA carte sont bien inscrite sur le DD de ta banque, donc ils peuvent être lu par un pirate
Pas forcément. Et si le pirate arrive jusqu'à la banque, il a peut-être des choses plus intéressantes à faire, non ?
Laurent Blume
Petit Pierre wrote:
Simple et efficace, non?
À voir:
- arrivée par courrier normal, et moins visuellement protégé qu'un code de carte, forcément;
- il n'y a aucune information sur la durée de vie de la table de code (date d'expiration?), ou sur la possibilité de les rejouer (usage unique?);
- une seule table de codes est partagée par tous les utilisateurs du compte, même s'ils ont maintenant des logins différents -> la méthode officielle, c'est la photocopie;
- l'utilisation du système de numéros de carte de crédit à usage unique n'est pas soumise à l'entrée d'un code de la table, les mouvements d'argent ne sont donc pas impossibles.
Laurent
Petit Pierre wrote:
Simple et efficace, non?
À voir:
- arrivée par courrier normal, et moins visuellement protégé qu'un
code de carte, forcément;
- il n'y a aucune information sur la durée de vie de la table de code
(date d'expiration?), ou sur la possibilité de les rejouer (usage unique?);
- une seule table de codes est partagée par tous les utilisateurs du
compte, même s'ils ont maintenant des logins différents -> la méthode
officielle, c'est la photocopie;
- l'utilisation du système de numéros de carte de crédit à usage
unique n'est pas soumise à l'entrée d'un code de la table, les
mouvements d'argent ne sont donc pas impossibles.
- arrivée par courrier normal, et moins visuellement protégé qu'un code de carte, forcément;
- il n'y a aucune information sur la durée de vie de la table de code (date d'expiration?), ou sur la possibilité de les rejouer (usage unique?);
- une seule table de codes est partagée par tous les utilisateurs du compte, même s'ils ont maintenant des logins différents -> la méthode officielle, c'est la photocopie;
- l'utilisation du système de numéros de carte de crédit à usage unique n'est pas soumise à l'entrée d'un code de la table, les mouvements d'argent ne sont donc pas impossibles.
Laurent
Petit Pierre
"cut"
- l'utilisation du système de numéros de carte de crédit à usage unique n'est pas soumise à l'entrée d'un code de la table, les mouvements d'argent ne sont donc pas impossibles. "cut"
au CCM, l'attribution d'un N° de carte à usage unique, et pour un montant précis donné,
est bien soumis à l'authentification par un code de table.
Voilà,
Petit Pierre
"cut"
- l'utilisation du système de numéros de carte de crédit à usage unique
n'est pas soumise à l'entrée d'un code de la table, les mouvements d'argent
ne sont donc pas impossibles.
"cut"
- l'utilisation du système de numéros de carte de crédit à usage unique n'est pas soumise à l'entrée d'un code de la table, les mouvements d'argent ne sont donc pas impossibles. "cut"
au CCM, l'attribution d'un N° de carte à usage unique, et pour un montant précis donné,
est bien soumis à l'authentification par un code de table.
Voilà,
Petit Pierre
Michel Arboi
On Mon Jan 16 2006 at 07:11, Erwan David wrote:
Donc la sécurité est celle de la distribution du courier : très faible.
N'exagérons rien... Ça protège au moins contre le pirate planqué au fin fond de l'Oural, à moins qu'il ait acquis subitement la faculté de se téléporter.
Ce qui me dérange, c'est plutôt certains défauts que je pressens : le nombre de "défis" étant limité, il suffit peut-être d'en intercepter un et d'être suffisamment patient pour qu'il se repointe.
On Mon Jan 16 2006 at 07:11, Erwan David wrote:
Donc la sécurité est celle de la distribution du courier : très
faible.
N'exagérons rien...
Ça protège au moins contre le pirate planqué au fin fond de l'Oural, à
moins qu'il ait acquis subitement la faculté de se téléporter.
Ce qui me dérange, c'est plutôt certains défauts que je pressens : le
nombre de "défis" étant limité, il suffit peut-être d'en intercepter
un et d'être suffisamment patient pour qu'il se repointe.
Donc la sécurité est celle de la distribution du courier : très faible.
N'exagérons rien... Ça protège au moins contre le pirate planqué au fin fond de l'Oural, à moins qu'il ait acquis subitement la faculté de se téléporter.
Ce qui me dérange, c'est plutôt certains défauts que je pressens : le nombre de "défis" étant limité, il suffit peut-être d'en intercepter un et d'être suffisamment patient pour qu'il se repointe.
Michel Arboi
On Mon Jan 16 2006 at 17:28, Benoit Leraillez wrote:
Je vais passer pour un débutant mais comment on intercepte et décode ce flux si c'est du https ?
Je pensais plutôt à un cheval de Troie qui serait sur le PC du client de la banque, avec un keylogger, par exemple.
Parce que tous les revendeurs utilisant un payement par CB sont dans une situation pire. La CB a une seule utilisation étant le seule issue.
On dévie du sujet, mais sur ce point, j'ai une réponse simple : ce n'est pas mon problème. Les banques vendent le service "e-carte bleue" à leurs clients, qui sont protégés par le contrat et la jurisprudence, alors que ceux qui ont besoin de sécurité sont justement les vendeurs. Au fond, ce problème est vieux comme la vente par correspondance...
On Mon Jan 16 2006 at 17:28, Benoit Leraillez wrote:
Je vais passer pour un débutant mais comment on intercepte et décode
ce flux si c'est du https ?
Je pensais plutôt à un cheval de Troie qui serait sur le PC du client
de la banque, avec un keylogger, par exemple.
Parce que tous les revendeurs utilisant un payement par CB sont dans
une situation pire. La CB a une seule utilisation étant le seule issue.
On dévie du sujet, mais sur ce point, j'ai une réponse simple : ce
n'est pas mon problème. Les banques vendent le service "e-carte
bleue" à leurs clients, qui sont protégés par le contrat et la
jurisprudence, alors que ceux qui ont besoin de sécurité sont
justement les vendeurs.
Au fond, ce problème est vieux comme la vente par correspondance...
On Mon Jan 16 2006 at 17:28, Benoit Leraillez wrote:
Je vais passer pour un débutant mais comment on intercepte et décode ce flux si c'est du https ?
Je pensais plutôt à un cheval de Troie qui serait sur le PC du client de la banque, avec un keylogger, par exemple.
Parce que tous les revendeurs utilisant un payement par CB sont dans une situation pire. La CB a une seule utilisation étant le seule issue.
On dévie du sujet, mais sur ce point, j'ai une réponse simple : ce n'est pas mon problème. Les banques vendent le service "e-carte bleue" à leurs clients, qui sont protégés par le contrat et la jurisprudence, alors que ceux qui ont besoin de sécurité sont justement les vendeurs. Au fond, ce problème est vieux comme la vente par correspondance...
