Protection de la carte bancaire : et si le problème n'était pas que dans le monde numérique ?


  • Admin

    Si certains ont encore parfois peur de se faire pirater leurs informations de paiement lors d’un achat en ligne, il est plus rare de voir des utilisateurs se méfier lorsqu’un commerçant ou un téléconseiller leur demande la transmission d’une telle information. C’est pourtant bien plus risqué.

    0_1511204639554_583976a3-4daa-44e1-bb21-702ab36f26f4-image.png

    Avec la montée en puissance de la vente en ligne à coup de « 1-click » et des services de paiement ou de transfert d’argent nouvelle génération, un élément devient de plus en plus crucial à protéger : les informations relatives à votre carte bancaire.

    Les dispositifs en place sont plutôt bons en la matière, et la fraude à un niveau assez bas. Ainsi, ce ne sont le plus souvent pas les informations de votre carte qui sont stockées par les sites, mais un simple « jeton » (ou token) lié à une autorisation qui peut être révoquée. Et ceux qui utilisent ce genre d’outils sont soumis aux normes PCI-DSS.

    En ligne, des règles claires

    De son côté, la CNIL dispose depuis des années de recommandations claires sur ce qu’il est possible de faire ou non. La semaine dernière, elle a publié un rappel sur le sujet suite à une délibération intervenue cet été. Elle y précise que le numéro de la carte, la date d’expiration et le cryptogramme visuel ne doivent être conservés au-delà de la transaction.

    Il y a bien sur des exceptions possibles, comme en cas d’abonnement à tacite reconduction, ou la facilitation des achats ultérieurs si le client a exprimé son consentement qui « doit prendre la forme d’un acte de volonté explicite, par exemple au moyen d’une case à cocher et non pré-cochée par défaut ». Dans tous les cas « la conservation du cryptogramme est interdite après la réalisation de la première transaction ».

    […]

    IRL, vos données de carte bancaire en mode YOLO

    Contrairement à ce que l’on pense, c’est dans le monde physique que les choses se gâtent. Si une fuite en ligne peut rapidement être massive, une attaque « In Real Life » (IRL) est plus limitée, mais aussi bien plus simple.

    L’un des dangers identifiés est celui du paiement sans contact, à travers une carte bancaire ou un smartphone. Très bavard au départ, ce dispositif a été largement renforcé ces dernières années. Mais comme l’a encore montré récemment le blogueur Numendil, c’est loin d’être parfait.

    […]

    Hôtels, achat par correspondance, centres d’appel : CB partout, protection nulle part

    Ceux qui vont couramment dans des hôtels en dehors des grandes chaînes savent qu’il est souvent demandé de fournir une carte au moment du « Check-in ». Et là, les informations de la cartes sontparfois stockées directement dans la base de données client ou même simplement écrites sur une fiche papier.

    Ce, alors que les TPE prennent parfaitement en charge l’empreinte bancaire permettant aux commerçants de se couvrir en cas de problème. Et sur le sujet, il est bien plus difficile de trouver la trace de recommandations de la CNIL, ou même de savoir si elle effectue concrètement des vérifications sur les procédures de paiement des commerçants.

    Un conseil, donc, si vous allez souvent d’un hôtel à un autre : pensez à utiliser une carte de paiement secondaire à autorisation systématique, sur laquelle vous laissez assez peu de fonds. En cas de problème, le risque sera ainsi limité.

    Cette pratique se retrouve d’ailleurs dans d’autres secteurs que l’hôtellerie. Pour l’abonnement à la presse papier, ou l’achats de produits par catalogue, on retrouve encore souvent des formulaires proposant au client d’inscrire les informations de sa carte bancaire. Des informations qui seront protégées par une simple enveloppe lors du transport

    text alternatif

    Parfois, c’est au téléphone que l’employé du centre d’appel d’un organisme de crédit ou d’une société où vous êtes client pourra vous proposer de vous proposera de lui donner les informations de votre carte bancaire. Qui vous assurera qu’il ne le met pas de côté pour une utilisation ultérieure ? Rien, si ce n’est le risque de se faire prendre par son employeur.

    On se demande alors à quoi cela peut bien servir de mettre en place des solutions de chiffrement comme TLS si c’est pour au final transmettre ce genre de données dans un simple courrier ou au téléphone. Surtout qu’en cas de problème, il sera bien compliqué d’identifier la fuite de manière certaine.

    La protection des données de paiement doit être assurée partout

    […]

    Source et article complet : nextinpact.com (article en libre accès)



Il semble que votre connexion ait été perdue, veuillez patienter pendant que nous vous re-connectons.