Ce genre de remarque est une affirmation gratuite qui est sans grand intérêt : elle ne prend pas en compte le contexte d’utilisation. Dans certains contextes par exemple, un papier peut-être accessible et facilement copié sans que l’utilisateur le sache (c’est même un cas assez courant malheureusement).
Plus généralement, cette remarque ne prend pas en compte la gestion de risques qui est une affaire personnelle et compliquée, surtout que dans ce domaine, peu de gens ont les compétences pour la faire.
Pour s’en sortir, il faut que les logiciels de sécurité expliquent le contexte d’utilisation visé. A chacun de voir ensuite s’il est adapté ou pas à son cas personnel.
Le Digipass de la Deutsche Bank est une bonne approche. Mais pour le secteur bancaire, il y a aussi le procédé Mastercard (utilisé par les autres réseaux également) qui consiste à faire calculer ce code par la carte bancaire elle-même via une calculette (l’équivalent du Digipass), ce qui est encore plus sûr car on n’a pas à se préoccuper de la sécurité de la calculette elle même.
Ce procédé est malheureusement peu utilisé en France (la BPCE le propose). Il a surtout eu du succès dans les pays du Nord de l’Europe et le comble est que les principaux fournisseurs de matériels pour les clients des banques étaient français !
Cela fait des années que le code sur ma carte n’est plus visible.
Dés que je reçois une nouvelle carte, je gratte le code immédiatement.
Après faut se rappeler le code…
Ce qui rendra difficile de le découvrir pour quelqu’un qui me fait les poches ou quand je fais un payement chez un commerçant indélicat qui aurait l’idée de photographier ou filmer ma carte.
Je n’ai jamais compris pourquoi le code était marqué au dos de la carte.
Pour avoir « un peu » travaillé sur ce sujet, c’est surtout horriblement compliqué… Pour ce qui est du circuit de recyclage des cartes en fin de vie.
Pour l’aspect sécurité, ça améliore un peu le principe du CVV qui de toute façon n’est pas très bon. Et ça permet surtout de proposer des cartes « haut de gamme » à certains clients « importants ».
Un petit peu, mon neveu ! comme on dit ! Ce truc, a failli, m’arriver J’étais entrain de discuter, le serveur arrive, avec la note, je lui donne ma carte…Je tourne la tête, il était parti, avec ma carte, non mais ! je l’ai prié de me la rendre, et d’effectuer l’opération, a ma table, avec le terminal, qu’en plus, il avait en main !J’ai eu l’impression, qu’il faisait un peu la grimace ! Après, tu t’étonne de te faire dévaliser !!
Reçu ce midi par SMS, de la part de Chronopost, disant que la livraison de mon colis a été suspendue en raison de frais supplémentaires.Suivez les instructions etc…Suit une adresse mail : https:// chronopost-express etc…etc…
Evidemment, je n’ai pas été sur ce site, et j’ai été voir, effectivement il s’agit bien d’une arnaque à grande échelle
Par contre, ce qui me g^ne, c’est que j’avais cru comprendre qu’un site http avec le S était un site sécurisé avec lequel il n’y a pas de problémes.??? ça a donc changé ??
Non. Un site en https signifie seulement qu’il est authentifié par une clé publique reconnue par une autorité de certification (signée par l’autorité de certification dans ce que l’on appelle un certificat) elle même reconnue par le navigateur et que les communications sont chiffrées.
Sauf que n’importe qui ou presque peut avoir une clé et un certificat tout à fait valides et reconnus par une autorité de certification pour un site donné.
On expliquait dans le passé que les communications étaient sécurisée parce que personne ne pouvait intercepter le PAN de votre carte lors des paiement à distance et que le nom de domaine du site correspondait à celui du certificat de sa clé signée par l’autorité de certification (ça a été la première motivation de la généralisation du https).
Ex: si je créé un site appelé laposte-reclamation.fr (ou lapost.fr, etc), je peux obtenir une certificat de clé valide pour ce site. Et donc, le navigateur considèrera à raison que l’authentification avec laposte-reclamation.fr est réussie (certificat valide, autorité de certification reconnue) et continuera le dialogue normalement. Vous serez connecté à un site pirate parfaitement en règle.
Ça sert à ce pourquoi c’est prévu. Le problème vient des journalistes (et de certains prestataires) qui propagent des informations approximatives qui trompent les utilisateurs.
Quelques conseils :
lorsqu’on connait le nom de domaine du prestataire (banque, poste, site commerçant, etc.), il faut vérifier que le lien sur lequel on vous propose de cliquer correspond à ce nom de domaine : xxxxx.nom de domaine.suffixe. Attention : pas celui que l’on vous présente (dans un courriel, sur un site) mais celui que vous indique le navigateur.
on peut activer l’option OCSP du navigateur. Si elle est activée, le navigateur interroge l’autorité de certification pour vérifier si le certificat n’a pas été révoqué. Ce n’est pas une protection absolue (par exemple, site récent qui n’a pas fait l’objet d’une plainte) mais ça participe à l’amélioration de la sécurité (ceci dit, personnellement, je n’utilise pas).
suivre la sensibilisation Secnumacademie pour en savoir un peu plus (ça me fera plaisir !). Elle est très bien faite
Rien que ça, sur la page d’accueil, me donne envie de fuir !!
" Vous y trouvez l’ensemble des informations pour vous-initier à la cybersécurité, 101 vos connaissances, et plus être agi efficace sur la protection de vos outils numériques. Ce dispositif est accessible gratuitement. Le suivi intégral de ce dispositif vous fait bénéficier de l’attestation de réussite."
C’est probablement un académicien qui a écrit cela !!
Doctsf (Modèles & Marques)
Annonces
Ce truc, a failli, m’arriver J’étais entrain de discuter, le serveur arrive, avec la note, je lui donne ma carte…Je tourne la tête, il était parti, avec ma carte, non mais ! je l’ai prié de me la rendre, et d’effectuer l’opération, a ma table, avec le terminal, qu’en plus, il avait en main !J’ai eu l’impression, qu’il faisait un peu la grimace ! Après, tu t’étonne de te faire dévaliser !!
