Les cartes bancaires sans contact sont-elles fiables ?

C'est la question que se pose la CNIL, notre Commission Nationale informatique et libertés, après que plusieurs tests réalisés par des journalistes aient identifié des failles de sécurité.

En attendant les résultats de l'expertise, la prudence est de mise. Selon un ingénieur français, Renaud Lifchitz qui va même plus loin que la prudence, "la conséquence est claire : le système NFC embarqué sur les cartes de paiements doit être entièrement revu et ne pas être utilisé en l’état."

Le paiement sans contact, c'est quoi ?
Une puce NFC, acronyme de Near Field Communication est utilisée dans ces cartes pour échanger des informations entre une carte à puce et un terminal via une communication sans fil à courte portée et à haute fréquence.

C'est par exemple la technologie utilisée pour votre pass Navigo si vous habitez en Ile-de-France.S'il ne s'agit pas là de paiement à proprement parler la technologie est la même lorsqu'elle la puce est implémentée dans une carte bancaire ou un smartphone permettent le paiement.

Ces cartes bancaires permettent alors d'effectuer des transactions en approchant simplement la carte sur le terminal de paiement qui est lui-même équipé d'un capteur NFC.

Ce qui inquiéte c'est le risque dans la sécurisation des données personnelles qu'elles contiennent et l'utilisation frauduleuse qui peut en être faite lorsqu'elles sont récupérées illégalement.
Des tests démontrent que ces cartes ont capacité à communiquer au delà du périmètre du lecteur et sur plusieurs mètres, les informations relatives au porteur ou aux transactions effectuées, ce qui constitue un risque important d'interception des données.

La CNIL réalise donc actuellement des investigations techniques afin d'identifier les éventuels problèmes de sécurité et évaluer leurs conséquences en termes d'impact sur la vie privée, car la loi Informatique et libertés prévoit que les organismes mettant en oeuvre des traitements informatiques doivent assurer la sécurité des données qu'ils traitent afin notamment d'empêcher que des tiers non autorisés y aient accès.

Pour mémoire, le problème pourrait dépasser celui des cartes bancaires. Rappelons que les passeports biométriques, s'il ne permettent pas le paiement contiennent néanmoins plus encore de données personnelles et sont également équipés de cette petite puce NFC si bavarde ...

Déclarer ses impôts via son smartphone

Selon le gouvernement, plus de 12 millions de déclarations ont été effectuées par Internet l'an dernier, soit une hausse de 15 % par rapport à 2010 et de 64 % sur les trois dernières années.

L'application impots.gouv qui permet de déclarer ses impôts via un iPhone ou un téléphone Android et réalisée par la direction générales des finances publiques a été officiellement lancée jeudi dernier.

Il suffira de flasher le code QR imprimé en bas à droite de la déclaration des revenus pour y accéder.

Gratuite, heureusement (!) l'application est disponible sur les deux principaux systèmes d'exploitation mobiles, et selon Bercy, "les contribuables qui n'ont aucune modification à apporter à leur déclaration pré-remplie pourront la valider très simplement depuis leur téléphone mobile. Cette application pourra également servir à payer son impôt à compter du deuxième acompte dû au mois de mai".

Donc uniquement la validation et pas la modification. Pour modifier la déclaration il faudra donc impérativement passer par le site dédié. Alors, gadget ou progrès ?

Quand on sait que les applis ont accès parfois sans demander l'avis à l'utilisateur, au répertoire, aux contacts, calendriers, musique, photos etc, pas sûr que cette application somme toute limitée rencontre le succès espéré, sauf à ce que, comme il y a 10 ans lors de la mise en place de la télé-déclaration, Bercy sache rassurer ou récompenser les utilisateurs ...

Le manque de bonne volonté des banques européennes

Je viens de lire dans la Tribune la diatribe de Michel Barnier, commissaire européen aux Services financiers, contre les banques de la zone euro. Le constat est désastreux.

En France, mais pas seulement, le coût de certains services comme les prestations adossées aux cartes bancaires ne cesse de grimper.
Pour le mobilité, pas mieux : dans une étude publiée en février par la Commission européenne, on apprend que changer de banque s'avère problématique pour huit personnes sur dix. Quant à la question de l'exclusion bancaire, j'apprends avec surprise que près de 30 millions de personnes en Europe, ne disposent pas du service de base que représente un compte bancaire.
Dont six millions parce que les banques ont purement et simplement refusé ... de leur ouvrir un compte... Inadmissible ! Il est temps que les pratiques changent.

Résultat, Bruxelles va légiférer au plus tard dans le courant du second semestre 2012. On ne peut que s'en féliciter, car effectivement, comme le dit le commissaire européen, il est urgent de faire le ménage dans ces frais, "auxquels personne ne comprend vraiment rien" !

Si le sujet vous intéresse, Michel Barnier s'exprime aussi sur l'Europe en annonçant la nécessité de lancer une initiative européenne de croissance, dont une Banque européenne d'investissement (BEI) volontariste, à laquelle sera adossé un fonds d'investissement pour les PME. Comment ne pas être d'accord ?!

 

 

Edito de février : la protection des e-commerçants #in

L'année est à peine démarrée sur les chapeaux de roue que les questions récurrentes reviennent !

Je lisais hier le témoignage de ce e-commerçant. Edifiant !

On le sait tous, avec le e-commerce les arnaques augmentent. Mais elles ne touchent pas seulement les clients. Effectivement, le commerce en ligne réserve parfois de mauvaises surprises aussi aux commerçants.
Pour résumer l'histoire, Sébastien est installé depuis six mois à son compte, mais quatre arnaques à la carte bleue pourraient le mettre sur la paille.

« Quatre clients m'ont commandé du matériel. Et finalement, ils ont fait opposition au paiement, en affirmant qu'ils avaient perdu un chèque ou qu'on leur avait subtilisé leur carte bleue. Résultat, le paiement est annulé. J'ai perdu 1.700 euros. »

Evidemment, Sébastien a porté plainte à chaque fois. Les clients qui l'ont arnaqué sont clairement identifiés. Il a même eu l'un d'eux au téléphone. Une femme insolvable, interdite bancaire contre laquelle la gendarmerie a quarante plaintes, mais rien ne bouge.
Pour les autres escroqueries, Sébastien a saisi la répression des fraudes.

"Je veux dénoncer le fait que les commerçants ne sont pas vraiment protégés" explique Sébastien "le client a six mois pour faire opposition sur un paiement en carte bleue. Et avec le commerce par internet, les fraudes se multiplient. Les petits commerçants comme moi tablent sur le service de proximité, et voilà comment on les traite. Je ne sais plus à quelle porte frapper."

La mésaventure est vraiment désagréable et certes la loi protège mieux les consommateurs que les e-commerçants.

Je dédramatiserais cependant en disant, d'une part que le taux de ce genre de contestation est de 0,44% pour toute l'année 2011 chez BluePaid et, deuxièmement, qu'il faut aussi de la part des commerçants accepter qu'il y ait un minimum de casse, le risque zéro n'existe pas, d'un côté comme de l'autre.
Cela reste quand même moins pire que si le 3D secure, tel qu'il fonctionne aujourd'hui avec sa cohorte d'abandon de commandes, était généralisé à tous les sites, ce qui là serait vraiment la mort du petit e-commerce !

Lire l'article original.

L'édito de janvier 2012

Vous avez reçu un flot des voeux tout au long de ce long mois de janvier et depuis quelques jours c'est enfin calme ? Un dernier petit effort ;-)

C'est le moment que j'ai choisi, en ce dernier jour de janvier que les bons usages désignent comme l'ultime limite du politiquement correct, pour vous souhaiter une très belle année 2012 !

Si vous avez pris de bonnes résolutions le 1er janvier, j'espère que vous les tenez encore. Pour ma part, il faut être lucide, je n'ai pas le temps d'alimenter ce blog aussi régulièrement que je le souhaiterais. Aussi, pour 2012, je vais m'en tenir à un rendez-vous chaque fin de mois pour un édito.

L'année 2011, s'est achevée sur de très beaux résultats (voir le billet sur le blog de BluePaid) et de belles perspectives pour le secteur du e-commerce et du paiement.

Si cette période de soldes d'hiver n'est pas une réussite éclatante pour le commerce de détail en dur, la vente en ligne sauve les meubles, et l'arrivée du froid, au moins pour le secteur de l'habillement, devrait encore faire évoluer les choses.

Je vous souhaite à nouveau à toutes et tous, une belle année de ventes, de conquêtes de parts de marchés, de fidélisation de vos clients et d'encaissement facile avec BluePaid.

Allez, tout le monde au travail, nous avons de sites à faire tourner !

 

 

 

Risques de cyber-attaques de sites marchands pendant les fêtes de fin d'année ?

Le Cyber Monday est une journée traditionnelle aux Etats-Unis, le lundi juste après Thanksgiving, durant laquelle les magasins proposent des offres spéciales. La vente multi-canal aidant, le Cyber-Monday a fait son apparition sur de nombreux sites de e-commerce.

Synonyme de bon chiffre d'affaires pour les entreprises, et de bonnes affaires pour les clients, c’est hélas également un jour de fête pour les pirates en ligne !

C'est une journée entièrement dédiée au shopping, et la plus importante de l'année en volume pour le shopping en ligne.

C'est donc cette journée que les hackers, pirates et autres spécialistes du fishing affectionnent particulièrement pour exploiter les promotions de la grande distribution ou les termes de recherche les plus répandus.

Avec le développement des médias sociaux, ils créent de faux profils sur ces réseaux et sur les sites de e-commerce, de façon à imiter parfaitement des marques reconnues.

La plupart des consommateurs se méfient et pensent être à même d’identifier un lien malveillant. Pourtant, une enquête récente de Check Point Software montre que le phishing et les réseaux sociaux sont les sources les plus répandues des attaques "sociales" qui s’appuient sur des applications du Web 2.0 et des réseaux sociaux pour collecter des informations personnelles et professionnelles sur les individus. Il peut s’agir aussi bien du numéro d’une carte de crédit que d’informations confidentielles sur l’employeur de l’individu visé.

Dans un rapport intitulé The Risk of Social Engineering on Information Security - Les risques des techniques sociales pour la sécurité des informations - il apparaît que :

• 86 % des professionnels de l’informatique et de la sécurité sont conscients ou très conscients des risques liés aux techniques sociales,
• quasiment la moitié des entreprises interrogées reconnaissent qu’elles ont été victimes de ces techniques plus de 25 fois au cours des deux dernières années.

Parfois, le danger vient donc de l'intérieur : les entreprises doivent absolument prendre les précautions nécessaires et communiquer sur les bonnes pratiques auprès de leurs salariés, pour éviter qutant que faire se peut de subir une attaque.

Les bonnes pratiques sont souvent une question de bon sens qu'il convient de rappeler :

• Installer les dernières mises à jour de ses outils de prévention des intrusions qui constituent la première ligne de défense du réseau.
• Repérer, corriger et se protéger de l'éventuelle exploitation des vulnérabilités
• Sécuriser tous les points finaux.
• Contrôler les applications et éventuellement bloquer ou limiter leur utilisation par les collaborateurs, en fonction de leurs besoins professionnels spécifiques.
  Cette approche peut améliorer l’intégrité du système et aider les entreprises à sécuriser et à gérer l’accès à des milliers d’applications du Web 2.0 dans l’entreprise, sans pour autant entraver son activité.
• Encourager les salariés à ne consulter que des sites sécurisés par SSL. 
• Identifier les appareils mobiles qui accèdent aux ressources de l’entreprise et appliquer le bon niveau de contrôle des accès au réseau.
• Vérifier que les passerelles de sécurité peuvent gérer l’augmentation de trafic, en particulier si l'entreprise prévoit une forte augmentation des volumes (enseigne de grande distribution, banque ou site de commerce électronique ...).

Toutes ces recommandations sont particulièrement pertinentes pendant la période des fêtes de fin d'année car c'est une période à risque. En même temps que le chiffre d'affaire, le nombre d’escroqueries, d’attaques, d’e-cartes ou d’e-mails frauduleux ou de tentatives de pishing augmente. La rançon du succès sans doute, mais sûrement pas une fatalité !

 

Fraude à la carte bancaire : faut-il porter plainte ?

Très bon article sur le blog de BluePaid concernant l'affaiblissement de la lutte contre la fraude à la carte bancaire.

Où l'on comprend parfaitement que l'objectif est de faire baisser les statistiques de la délinquance mais ni de protéger les clients ni les commerçants !

Paiement en ligne et bon sens : comment réduire votre taux de fraude ?

"La fraude s'intensifie", "Augmentation du nombre de fraudes",
Voila ce que l'on pouvait lire ces derniers jours suite à la sortie du rapport de l'Observatoire de la sécurité des cartes de paiement (souvenez-vous !)

Le volume des transactions est certes en augmentation de plus de 27% mais le taux de fraude augmente aussi, alors qu'il devrait rester stable.

Il faut donc rester vigilant.
Bluepaid attire votre attention sur quelques points qui semblent être frappés au coin du bon sens.
Toutes les boutiques e-commerce sont concernées.

Certains montants de transaction meritent votre vigilance, en particulier en fonction des produits vendus.
Imaginons que la moyenne des articles vendus sur votre site web ne depasse pas 300 euros, lorsque vous voyez une transaction de 600€ :

1/Tentez un appel téléphonique pour voir si les informations correspondent aux éléments transmis lors de la commande

2/Verifiez que l'adresse indiquée pour la livraison est exacte. Au besoin, effectuez un recoupement sur un annuaire en ligne de type infobel.com, pagesblanche.fr ou meme free.fr .

3/Certains montants méritent encore plus de vigilance et feront l'objet d'une demande de documents de justification de domicile de type facture internet ou EDF.

4/Une autre règle de bon sens voudrait que dans un monde ideal, il est preferable de refuser une transaction et d'eviter un "impayé". Vous pouvez demander son remboursement à votre prestataire de paiement.

5/Appliquez systematiquement une politique satisfait ou remboursé.

6/Gardez toutes vos preuves de livraison et assurez vos colis.

Pourquoi toutes ces mesures?

La plupart des "petits" commercant ignorent que la loi autorise les porteurs de cartes à constester les transactions faites a distance durant une durée de 13 mois.
Or, tres souvent, plus que de transactions réellement frauduleuses, les petits commerçants sont victimes de contestations de la part de porteurs de carte qui ont oublié avoir fait un achat en ligne, ou tout simplement sont de mauvaises foi et abusent de leur droit de contestations auprès de leur établisssement bancaire.
Un simple PV de plainte auprès d'un service de police suffit à contester un achat auprès de la banque qui est tenue de rembourser son client.
Bien entendu le commerçant debité contestera la constestation, alimentant ainsi la polémique sur le paiement à distance par carte bancaire.

Vous pouvez reagir à cet article en laissant un commentaire, ou via nos profils twitter et linkedin.

La taxe Google définitivement abandonnée

Faire et défaire, c'est toujours travailler... mais quand même !

La France a la manie des taxes et des atermoiements. La taxe Google, visant à instaurer une taxe de 1% « sur l’achat des services de publicité en ligne réalisés par les professionnels de droit français” devait entrer en vigueur le 1er juillet. Elle avait été supprimée mi-juin par les députés, avant d’être ensuite rétablie il y a quelques jours par la commission des Finances du Sénat. Puis finalement abandonnée.

Mercredi dernier, le Sénat a définitivement supprimé l’amendement concernant la « taxe Google », défendue par Philippe Marini, le rapporteur général UMP de la commission des Finances au Sénat, du projet de loi de finances rectificative de 2011. Tant mieux, mais que de détours ... et de temps perdu !

Plus d'info sur Numerama.

Illustration via

 

Comment supprimer 95% du spam mondial simplement ?

On apprend dans le Journal du Net que trois banques seraient à l'origine de 95% des spams dans le monde. Etonnant ? Pas tant que ça.

Une équipe de chercheurs en informatiques d'universités californiennes a remonté la route du spam pour aboutir à une conclusion évidente en conduisant pendant trois mois une expérience inédite : ils ont systématiquement effectué des achats sur les sites promus par des emails de spam et essayé de recevoir le plus de spams possible.

Un milliard de spams et plusieurs milliers de dollars d'achat plus tard, il apparaît que 95 % de ces transactions par carte bancaire sont traitées par seulement trois institutions financières. L'une basée en Azerbaïdjan, l'autre au Danemark et la troisième dans les Caraïbes.

Selon les informaticiens de cette expérience,il suffirait que cette poignée de banques qui acceptent ces marchands douteux se mettent à leur refuser le paiement en ligne par carte bancaire et cela couperait le financement même de tout leur système de spam.

"C'est la composante bancaire de la chaîne du spam qui est à la fois la moins étudiée et, nous pensons, la plus critique", expliquent les chercheurs.

Aujourd'hui, environ 90 % des e-mails que nous recevons sont des spams. Selon leurs précédentes recherches, pour vendre pour 100 dollars de Viagra, un spammer doit envoyer 12,5 millions de messages... Quant on connait le chiffre d'affaires des ventes de Viagra hors filière légale ...

C'est une sorte d'adaptation de la vieille méthode utilisée pour faire tomber Al Capone, par leur sources de financement, comment ne pas y avoir pensé plus tôt ?...