570

Ah mais complètement. Du reste, je vais ouvrir plein de comptes pour vous remercier tous trioui

571

grin
avatar

572

Godzil (./566) :
C'est quoi l'intérêt d'avoir 36 comptes courants et au moins autant de cartes de débit ?
Pas 36, 3. Pas plus de cartes (sauf si tu comptes la carte ticket-resto).
J'ai assez clairement indiqué mon orga: 1/compte principal avec mes sous (dans laquelle je place une confiance "éthique") 2/banque à cartes : 2 car 1 pour compte joint 3/complètement optionnelle: une banque avec l'autre type de carte (mastercard). Je suis d'accord que cette dernière n'a pas de vraie raison d'être, je lui ai donc dédié un usage "bidon", les dépenses pros.
Et encore, quand j'étais frontalier j'avais aussi une banque suisse... je l'ai fermé.
Fletsh (./567) :
manifestement Redangel a déjà assez de sous avec tous ses comptes en banque grin tongue
Tu as mal lu gni Je n'ai pas un rond dans 2 de mes 3 banques hehe.
Folco (./568) :
j'espère que ça ne vous empêchera pas de me conseille pour autant
Pour une fois que j'ai quelques retours à filer, bien sûr happy
Zeph (./569) :
Avec tous ces gens qui te proposent de te parrainer de façon désintéressée, j'espère que tu es ému grin
trisotfl
avatar
Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel

573

redangel (./572) :
j'avais aussi une banque suisse... je l'ai fermé.
J'espère que les employés ont retrouvé du boulot ailleurs.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

574

Avec ce qu'ils ont gagné, pas besoin embarrassed
avatar
Highway Runners, mon jeu de racing à la Outrun qu'il est sorti le 14 décembre 2016 ! N'hésitez pas à me soutenir :)

https://itunes.apple.com/us/app/highway-runners/id964932741

575

PTDR vous 2 gni
avatar
Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel

576

grin
avatar

577

Je viens de découvrir un changement effectué par ma banque (Fortuneo) qui me semble refléter un gros problème de sécurité, je serais curieux d'avoir votre avis :

Jusqu'à il y quelques jours, pour valider un achat internet on devait passer par un "3d secure" (jamais compris le "3" d'ailleurs) en utilisant soit leur application soit un code reçu par SMS. La validation en elle-même se fait via une page intermédiaire (iframe souvent) hébergée par un tiers, parce que je suppose que ce service est délégué. Techniquement ça veut dire que le formulaire dans lequel je saisis mon code SMS est hébergé derrière un domaine qui n'appartient pas à ma banque, donc ils leur ont communiqué mon numéro de téléphone et je ne suis pas sûr d'avoir accepté ça, mais passons.

Sauf qu'il y a une nouveauté : maintenant il y a une étape supplémentaire et après avoir saisi mon code SMS, je dois également rentrer mon mot de passe client dans le même formulaire (le même que celui qui me permet de me connecter au site de la banque). Du coup ce prestataire se retrouve à connaître mon numéro de téléphone, les codes envoyés par SMS, et maintenant mon mot de passe. Je n'ai à nouveau pas accepté ça, mais surtout ça commence à me sembler gênant et risqué d'un point de vue sécurité.

Vous en pensez quoi ? J'ai tenté d'évoquer le problème au support, qui m'a répondu comme j'aurais pu m'y attendre totalement à côté de la plaque, mais pour une fois je ne suis pas sûr de vouloir lâcher l'affaire aussi rapidement, sans pour autant savoir quelle serait la bonne démarche à suivre ?
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

578

Euh ça me semble clairement anormal, déjà pour les raisons que tu indiques, mais aussi parce que c'est contraire aux recommandations du type "ne tapez jamais votre mot de passe si vous n'êtes pas 100% certain d'être sur le site de votre banque" que toutes les banques rappellent régulièrement. Rien n'empêcherait un commerçant malhonnête de faire une page qui ressemble exactement au vrai formulaire pour récupérer tes identifiants bancaires, et je ne vois pas comment un utilisateur lambda pourrait s'en apercevoir.

Essaie de demander s'ils n'ont pas d'autres moyens d'authentification (et si on peut désactiver celui-là). Et s'ils te disent non... ben à part changer de banque, je ne vois pas vraiment de solution :/
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

579

Ce qui est dans l'iframe est normalement servit par Mastercard ou Visa, et personne d'autre.

Apres 3D c'est pour "Three Domain"
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

580

Mais MasterCard n'a pas à connaître ton mot de passe de banque, justement.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

581

pareil avec BPCE
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

582

Zerosquare (./578) :
Essaie de demander s'ils n'ont pas d'autres moyens d'authentification (et si on peut désactiver celui-là). Et s'ils te disent non... ben à part changer de banque, je ne vois pas vraiment de solution :/
Mais ils n'ont pas d'obligation légales, en tant qu'établissement bancaire, de fournir un minimum de garanties sur la sécurité ? Parce que oui je peux changer de banque, mais là j'aimerais surtout leur faire réaliser qu'ils font n'importe quoi :/
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

583

Zeph (./582) :
j'aimerais surtout leur faire réaliser qu'ils font n'importe quoi :/
Si c'est une politique globale de la banque, ça me paraît très mal barré pour que tu obtiennes une réponse autre que "vous inquiétez pas, tout est sous contrôle, il n'y aucun risque"... Tu peux toujours interpeller leur service de sécurité sur Twitter (vu que ça semble être le seul moyen aujourd'hui d'obtenir une réponse de la part des grosses boîtes), et si jamais ça devient viral, il y a peut-être une toute petite chance d'arriver à quelque chose ?
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

584

Ça me parait pas gagné grin Non, je me disais naïvement qu'il doit y avoir des critères de sécurité minimums auxquels une banque devrait se soumettre, et que si c'est le cas alors "ne pas transmettre les mots de passe de mes clients à des tiers" pourrait en faire partie, mais peut-être que je mérite un point Nil smile
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

585

peut être un binaire à la con tournant sur le serveur du vendeur, fourni par la banque, comme c'était la norme il y a 15 ans ?
mais c'est clairement pas ouf non, et en aucun cas donner le pass, wtf
et la le mec il le pécho par le bras et il lui dit '

586

Zeph > Je pense cheeky

Il est probable qu'un document de ce genre existe, mais à tous les coups :
- il est rédigé dans un jargon incompréhensible pour les gens comme toi et moi
- il est suffisamment vague ou peu contraignant pour qu'ils puissent s'en sortir avec une pirouette ("ah oui on délègue à un tiers, mais c'est un tiers de confiance tel que défini à l'article 2.9.5.3.4 alinéa b, et d'ailleurs ils sont soumis à un audit annuel conformément à la norme ISO trucmachin, donc en fait ça compte pas")

Et si tu n'as pas l'appui d'un avocat, je doute même que la discussion aille jusqu'à ce stade-là...
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

587

Ce n’est pas dit ; par exemple les règles pour les SIIV des OIV sont raisonnablement explicites et l’ANSSI a des moyens pour leur taper dessus si elles ne sont pas respectées.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

588

Ah c'est pas bête en effet, Zeph pourrait essayer de signaler ça à l'ANSSI.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

589

@zeph

justement, j'ai interrogé ma banque (et son DPO) et en gros "c'est réglementaire"

en vrai, ce qui est réglementaire c'est d'avoir du 2FA qui ne soit pas juste un simple SMS.

les banques ont donc essayé d'imposer leur app (bardées de trackers et pompant tes datas) pour gérer ça et dans le cas où tu n'as pas l'application c'est SMS + code d'accès à ton espace client pour la plupart. Dans certains cas c'est dans une popup mais dans d'autres c'est effectivement embeded dans le site du commerçant

(bourso a une autre méthode, au lieu de te demander le mdp de ton espace client, ils te disent de t'y connecter dans un autre onglet ou sur un autre device pour valider le paiement)
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

590

Pour le Crédit Agricole, leur application ne marche pas sur mon téléphone parce qu'elle le considère rooté, alors qu'il ne l'est pas : j'ai juste une installé un ROM Android basique sans les merdes de Xiaomi.
Du coup j'ai demandé à désactiver l'authentification par l'application. Maintenant pour chaque achat, on me demande le code secret permanent qui m'a été envoyé par la poste en plus d'un code envoyé par SMS.
avatar

591

A La Banque Postale, si tu n'as pas activé le Certicode via l'application, tu dois entrer ton mdp en plus du code par SMS pour valider tes achats sur les sites non considérés comme "fiables" ou pour certaines sommes (le plancher varie).
Autrement c'est le Certicode que tu as créé (5 chiffres) qui te servira.
avatar
"- Nigga you know what the fuck I want, nigga: I want your motherfuckin' Daytons, and your motherfuckin' stereo! And I'll take a double burger with cheese!
- WHUT?"
I LOVE TO HATE/I HATE YOUR LOVE -AND I CAN'T FEEL AFFECTION FOR PEOPLE LIKE YOU!
CAALGOOONNNNN [TELLMESOMETHINGIDONTKNOW SHOWMESOMETHINGICANTUSE PUSHTHEBUTTONS CONNECTTHEGODDAMNDOTS] (Si Dieu existe il doit me détester...)

592

C'est pas con l'ANSSI, je vais me renseigner smile

Ce qui m'agace dans cette histoire, c'est qu'à cause d'une réglementation qui visait au départ à diminuer la fraude (bonne intention, même si je n'ai rien demandé et que j'aurais voulu pouvoir opt-out), on se retrouve avec des implémentations faites n'importe comment qui sont au final moins sécurisées que s'ils n'avaient rien changé sorry
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

593

pencil
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

594

Tu es sur que le domaine appartient à un tiers ? Qui ça ?
avatar
Highway Runners, mon jeu de racing à la Outrun qu'il est sorti le 14 décembre 2016 ! N'hésitez pas à me soutenir :)

https://itunes.apple.com/us/app/highway-runners/id964932741

595

Zeph > pencil

Je suis bien content d'avoir réussi à obtenir un lecteur de cartes (mais j'ai dû insister auprès du conseiller)...
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

596

Brunni (./594) :
Tu es sur que le domaine appartient à un tiers ? Qui ça ?
wlp-acs.com donc "Worldline France" d'après le whois.

Et je ne suis visiblement pas le seul à me poser des questions grin https://linuxfr.org/users/mat_/journaux/ils-sont-devenu-fous
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

597

D'ailleurs, dans les commentaires de cet article :
Beaucoup de banque on choisi un code ou mot de passe spécifique pour les achats Internet. Fortuneo a pété un plomb et réutilise le mot de passe d'accès aux comptes…
Boursorama également (expérience vécue en Allemagne dernièrement, mais jamais ailleurs)
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

598

Ça date un peu, mais on n'en avait pas parlé ici :
https://www.nextinpact.com/article/70794/virement-instantane-bientot-gratuite-pour-tous
Si les autres acteurs traditionnels français n’ont pas encore suivi, la proposition de loi de la Commission européenne annonce clairement la couleur. Elle s’appuie sur quatre piliers, dont une exigence de « garantir la disponibilité universelle des paiements instantanés en euros », l’exigence de renforcer la confiance dans les paiements instantanés » et celle d’ « éliminer les freins dans le traitement des paiements instantanés tout en préservant l’efficacité du mécanisme de filtrage des personnes faisant l’objet de sanctions ».

Le quatrième pilier porte sur l’obligation « pour les prestataires de service de paiement de ne pas facturer les paiements instantanés en euros à un prix supérieur à celui des virements classiques ». En France, où l’immense majorité des virements traditionnels sont gratuits, cela se traduit, de fait, par une exigence de gratuité pour tous les virements instantanés.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

599

Apple transforme l’iPhone en terminal de paiementZDNet FranceAvec sa fonctionnalité Tap to Pay, Apple propose aux commerçants français d’utiliser leur smartphone pour encaisser leurs clients en mode sans contact. Les Banques Populaires et la Caisse d’Epargne font partie des banques partenaires en attendant BNP Paribas et le Crédit Coopératif.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

600

Ah bin oui, un TPE à 1000€ avec une bonne puce 4/5G, pas bête...
Ca me fait peur cela-dit.
avatar
Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel