AntiGuide: ProtectionServicesBancairesInternet

20180226

aperçu solution google à construire sur un DigiSpark: http://www.clubic.com/internet/google/actualite-734365-google-security-key-popularise-cle-usb-fido-u2f.html

finalement pas limité à Internet, parle aussi d'autres risques

rappel des risques (liste non limitative)

• par un vendeur crapuleux:
  • réutilise la certe pour autre paiement
  • retire un montant différent de celui annoncé
  • force l'abonnement à divers services
• sur le poste utilisé:
  • capture code pin et numéro
  • caméra
• sur un DAB
  • modèle truqué par un lecteur de la piste magnétique
  • caméra radio pour enregistrer code pin
  • agression après frappe du code
  • agression avec vol de la carte
• en magasin:
  • utilisation d'un lecteur truqué (capture numéro sur la piste magnétique, code pin et CCV au dos par photo/coup d'oeil)
• par un "intermédiaire"
• retrait / paiement par piste magnétique au lieu de piste
• paiement par "fer à repasser"

diverses solutions pour luter contre la fraude (à la carte bancaire ou autre accès internet à la gestion du compte)

ci dessous mélanges d'offres de la banque et de bricolages

changement code PIN (voir le prix)

changement numéro de carte (voir le prix)

changement du code confidentiel au dos (voir le prix)

clé usb

• crédit mutuel peut-être lecteur carte à puce ci dessous

calculette

• hsbc
• banque populaire ????

par un lecteur de carte à puce (sur prise Usb )

• le matos n'est pas couteux, par exemple: 15 €: https://www.ldlc.com/fiche/PB00181633.html
• Credit mutuel https://www.creditmutuel.fr/cmo/fr/associations/quotidien/safetrans.html

par Sms/fixe, genre 3DSecure

• crédit mutuel
• banque postale: LaBanquePostaleCerticode

confirmation mobile

• crédit mutuel: avec une appli sur son smartphone

par mail

• la banque postale (dixit JF29)

par un code supplémentaire (mais qui peut être volé ????)

• MasterCardSecureCode

par écriture seulement depuis un mobile:

• MasterCardMasterPass

cartes "sans relief"

• interdit l'usage dans fer à repasser (rare)

carte avec photo

• limite peut-être actions au guichet de SA banque (l'agent au guichet va de moins en moins être capable de reconnaître le client)
• pas d'effet à distance, DAB, et autres automates

bricolages:
utiliser carte prépayée

supprimer Code confidentiel au dos

supprimer piste magnétique

• usage impossible dans les automate ne demandant pas le code Pin (autoroutes, parking)

supprimer "sans contact"

rêves

• interdire les paiement distants qui ne sont pas protégés par 3DSecure
• interdire ou blinder l'inscription d'un nouveau bénéficiaire du prélévement
• obtenir un signalement des opérations (à la manière "vous vous êtes connecté depuis un nouveau matos " de google)

Précautions

• utiliser seulement des DAB équipés d'une caméra de surveillanceà expliquer

---