Francois38, Posté le: Jeu 22 Fév 2024, 15:58 Sujet du message:
1412112472
Renard des ondes a écrit:
Le sujet est la connexion sur un espace abonné , pas un paiement en ligne ...le problème est qu'avec le SMS qui valide les transactions ou autres opérations genre ajout de RIB , la ligne mobile est devenue source de convoitises..
Sauf que depuis cet espace abonné tu peux également faire des achats en ligne et quand on lit en détail:
Citation:
Concrètement, au moment de payer son achat sur Internet, le client doit fournir deux des trois éléments d’identification suivants :
- un mot de passe ou code numérique (dît élément de connaissance)
- son portable ou sa ligne téléphonique (dît élément de possession)
- son empreinte digitale ou faciale ou le son de sa voix (dît élément d’inhérence)
Le fameux code par contre peut bien être envoyer par mail a condition que l'on renseigne également le numéro de téléphone mobile
Ou alors il faudrait les demander uniquement si l'on fait une transaction (achat, prise de forfait, RIB etc ...)
--> Mais effectivement il y a intérêt a sécurisé l’accès au compte de la ligne puisqu'elle va servir pour autoriser tous les paiements
freewhynot, Posté le: Jeu 22 Fév 2024, 16:15 Sujet du message:
1935016622
@Francois38
Merci pour le lien. Il permet de clarifier qui fait quoi en matière d’authentification MFA des achats à distance :
francenum.gouv.fr a écrit:
En France, l’authentification forte est obligatoire depuis le 15 mai dès 30 euros pour un achat en ligne. Toutefois, les commerçants peuvent demander à leur banque d’autoriser des exemptions à la double authentification dans les cas suivants :
• les achats de plus de 30 € jugés peu risqués ;
• les abonnements ou les dépenses régulières sur un même site : l’authentification forte ne sera alors exigée que la première fois ;
• les paiements effectués chez un e-commerçant que le client a désigné comme bénéficiaire de confiance ;
• les paiements effectués chez un e-commerçant affichant un faible taux de fraude...
francenum.gouv.fr a écrit:
Se faire accompagner par son prestataire de paiement
La mise en place de l’authentification forte, si elle rassure les clients, peut aussi générer des frottements dans le parcours d’achat. Pour éviter des difficultés qui peuvent entrainer l’abandon, faites vous accompagner par votre prestataire de paiement, pour sa mise en place de la DSP2 et son adaptation à votre site.
Il peut vous aider à comprendre l'impact total de la DSP2 sur la base des statistiques d’usages de votre système de paiement : les abandons, les échecs et le taux de conversion des transactions.
Sur la base des tentatives de fraude constatées il peut ajuster les exemptions dont votre système de paiement peut bénéficier. Il peut aussi vous aider à faire en sorte que vos indicateurs restent en dessous des seuils requis pour bénéficier des exemptions quand cela est possible.
Prenez contact avec votre prestataire de paiement qui vous aidera à :
• mettre en place l’authentification forte ;
• ajuster les exemptions éventuelles ;
• et optimiser le parcours d’achat de vos clients.
_________________ Mini 4K Fibre 29,99€/mois Édition Collector <> FM VP 5G 350 Go 9,99€/mois <> FM Booster 4G 5 Go 2,99€/mois <> FM 50Mo 2€/mois
freewhynot, Posté le: Jeu 22 Fév 2024, 16:20 Sujet du message:
1935016622
francenum.gouv.fr a écrit:
...Le contrat de vente à distance présente pour le commerçant un double intérêt :
• au moment de procéder au paiement le fait pour le client d’être redirigé vers une page Internet spécifique affichant le logo d’une banque classique rassure les clients sur la protection de leurs données bancaires.
• mais surtout avec le contrat VAD légalement c’est votre banque qui est entièrement responsable des paiements pour lesquels elle donnera son aval. Le contrat offre une garantie de paiement sur chaque transaction réalisée en ligne (sous réserve bien sûr du respect des mesures de sécurité prévues dans votre contrat d’acceptation). Cette protection est aussi assortie de garanties en cas de fraude ou de litige avec un client.
freewhynot, Posté le: Jeu 22 Fév 2024, 16:30 Sujet du message:
1935016622
Francois38 a écrit:
...--> Mais effectivement il y a intérêt a sécurisé l’accès au compte de la ligne puisqu'elle va servir pour autoriser tous les paiements Quel bourbier ...
Oui ! Encore faut-il s'y prendre correctement...
J+31 _________________ Mini 4K Fibre 29,99€/mois Édition Collector <> FM VP 5G 350 Go 9,99€/mois <> FM Booster 4G 5 Go 2,99€/mois <> FM 50Mo 2€/mois
Busyspider, Posté le: Jeu 22 Fév 2024, 16:36 Sujet du message:
1313311589
L’authentification 2FA n'est pas toujours obligatoire et peut tout à fait n'être demandé que tous les 180 jours et mieux encore pas demandée si le terminal est reconnu. Free Mobile n'a vraiment aucun moyen de reconnaitre notre IP de connexion Freebox ? (c'est une vraie question ) ce serait le plus simple des contrôles. Pour l'accès depuis notre smartphone la question ne se pose pas, car on est reconnu sur le réseau par Free Mobile avec le code IMEI de notre téléphone.
Pour les achats en ligne selon la banque cela peut être différent.
Par exemple pour un achat de faible somme .. on ne me demande rien à part les infos bancaires, et pas authentification 2FA non plus.
Mais dès que la somme a prélever est importante en plus de mes informations bancaires... la banque va demander le Certicode. Et là c'est bien un double contrôle.
Le certicode, peut être enregistré sur une application de la banque et sera trouvé depuis le smartphone, mais on peut tout a fait ne pas avoir d'application et avoir reçu un courrier papier de la banque et le mentionner en 2ème authentification manuellement.
Pour ma part c'est ce que je fais pour les achats en ligne, le 2ème code est dans ma tête pas dans une appl qui pourrait se faire pirater : c'est je pense la meilleure des précautions de sécurité.
Mais çà c'est pour l'accès aux banques et pour les achats en ligne.
D'ailleurs je pense que si j'achetais un téléphone sur le site de Free ou via mon espace abonné. Lors de la transaction il y a interrogation de la banque et à ce moment là c'est la banque qui demande le certicode pas le site Free Mobile.
Donc la vérification sur le compte Free Mobile ne sert qu'à s'authentifier pour accéder au compte, rien de plus.
freewhynot, Posté le: Jeu 22 Fév 2024, 16:39 Sujet du message:
1935016622
chrispas a écrit:
pour les achats sur Amazon rien ne m'est demandé (pas de notification, pas de mail pas de SMS de ma banque pour valider l'achat).
Si j'ai bien compris avec ma fille qui travaille en banque, elle m'a expliqué que le siège d'Amazon n'étant pas en Europe ne suivait ces règles !
C'est pourquoi, par sécurité, je n'enregistre jamais ma carte bancaire sur le site Web d'Amazon. Des fois qu'il se ferait pirater lui aussi...
Je préfère faire des achats au coup par coup, quitte à saisir à chaque fois les champs C.B appropriés. _________________ Mini 4K Fibre 29,99€/mois Édition Collector <> FM VP 5G 350 Go 9,99€/mois <> FM Booster 4G 5 Go 2,99€/mois <> FM 50Mo 2€/mois
Francois38, Posté le: Jeu 22 Fév 2024, 16:40 Sujet du message:
1412112472
Même si je ne suis pas spécialiste en MFA, après avoir lu et relu le fameux document voila ce qui pourrait être possible et qui arrangerait tout le monde (Free, ses Clients, la directive MFA). Le tout en préservant les conditions d'application de la directive MFA et en sécurisant l’accès au compte de la ligne qui, il ne faut pas oublier, va servir à validé des achats sur le Web.
- Free donne le choix au client de recevoir le code soit par SMS soit par Mail (le client est content et peu avoir son code ou il le souhaite suivant les circonstances).
- Cas SMS: Free demande de retaper le numéro de téléphone préalablement affiché, mais masqué partiellement et envoie le code par SMS (directive MFA respecté qui impose de donné son numéro de téléphone + code reçu par SMS)
- Cas Mail: Free demande de retaper le numéro de téléphone préalablement affiché mais masqué partiellement ET de retaper l'adresse mail associée au compte également masquée partiellement ou arrivera le code (directive MFA respecté qui impose de donné son numéro de téléphone + code reçu par Mail)
A Free de jouer mais rapidement :
Edit: Je rajouterais pour aller dans le sens de Busyspider (et dont j'ai déjà évoqué la possibilité plus haut) une case a cocher si l'on souhaite ne pas se ré-identifier par code pendant 180 jours.
Francois38, Posté le: Jeu 22 Fév 2024, 17:09 Sujet du message:
1412112472
Busyspider a écrit:
L’authentification 2FA n'est pas toujours obligatoire et peut tout à fait n'être demandé que tous les 180 jours et mieux encore pas demandée si le terminal est reconnu. Free Mobile n'a vraiment aucun moyen de reconnaitre notre IP de connexion Freebox ? (c'est une vraie question ) ce serait le plus simple des contrôles. Pour l'accès depuis notre smartphone la question ne se pose pas, car on est reconnu sur le réseau par Free Mobile avec le code IMEI de notre téléphone.
L'IP seule n'est pas un moyen de contrôle 100% fiable, elle peu facilement être usurpée par certains logiciels de piratage.
Pour le contrôle de l'IMEI, c'est trop compliquer car n'est pas dans la base client (ou il y a correspondance numéro -> SIM) mais dans la base réseau avec localisation etc... (théoriquement).
Pour le contrôle par smartphone de toute façon cela ne peut être fiable, si aux mains de personnes mal intentionnées par exemple (sauf si empreintes ou reconnaissance facial comme indiqué dans la directive MFA)
Busyspider a écrit:
Pour les achats en ligne selon la banque cela peut être différent.
Par exemple pour un achat de faible somme .. on ne me demande rien à part les infos bancaires, et pas authentification 2FA non plus.
Mais dès que la somme a prélever est importante en plus de mes informations bancaires... la banque va demander le Certicode. Et là c'est bien un double contrôle.
Le certicode, peut être enregistré sur une application de la banque et sera trouvé depuis le smartphone, mais on peut tout a fait ne pas avoir d'application et avoir reçu un courrier papier de la banque et le mentionner en 2ème authentification manuellement.
Pour ma part c'est ce que je fais pour les achats en ligne, le 2ème code est dans ma tête pas dans une appl qui pourrait se faire pirater : c'est je pense la meilleure des précautions de sécurité.
Mais çà c'est pour l'accès aux banques et pour les achats en ligne.
Dans notre cas il y a 2 conditions a réunir, le fameux MFA pour certifier les achats chez Free, mais aussi et surtout la sécurisation du compte de la ligne elle même, ligne qui peut servir elle même pour valider des paiements en ligne
Busyspider a écrit:
D'ailleurs je pense que si j'achetais un téléphone sur le site de Free ou via mon espace abonné. Lors de la transaction il y a interrogation de la banque et à ce moment là c'est la banque qui demande le certicode pas le site Free Mobile.
Donc la vérification sur le compte Free Mobile ne sert qu'à s'authentifier pour accéder au compte, rien de plus.
Oui tu auras ton identification par ta banque au moment de payer mais Free est également obligé par la directive MFA (voir le lien francenum.gouv.fr) de faire une 2FA sur ton compte en tant que e-commercant tout simplement car tu peux payer par RIB en prélèvement automatique etc... et ses infos bancaires restent elles sur le site Free.
Dernière édition par Francois38 le Jeu 22 Fév 2024, 17:34; édité 1 fois
freewhynot, Posté le: Jeu 22 Fév 2024, 17:34 Sujet du message:
1935016622
Francois38 a écrit:
Oui tu auras ton identification par ta banque au moment de payer mais Free est également obligé par la directive MFA (voir le lien francenum.gouv.fr) de faire une 2FA sur ton compte en tant que e-commercant tout simplement car tu peux payer par RIB en prélèvement automatique etc... et ses infos bancaires restent elles sur le site Free.
À mon avis, c'est un peu plus subtil que ça. Comme je l'ai déjà dit dans un de mes posts précédents, Free n'est pas concerné en première ligne par l'obligation MFA paiements à distance.
Free doit effectivement s'assurer avec son "prestataire de paiement" que les paiements sur son site Web sont conformes DSP2.
Mais il est clair que si l'accès à son site Web n'est pas suffisamment sécurisé, le "prestataire de paiement" pourrait se dégager de sa responsabilité vis-à-vis de la DSP2. _________________ Mini 4K Fibre 29,99€/mois Édition Collector <> FM VP 5G 350 Go 9,99€/mois <> FM Booster 4G 5 Go 2,99€/mois <> FM 50Mo 2€/mois
Dernière édition par freewhynot le Jeu 22 Fév 2024, 18:11; édité 1 fois
CurtisNewton, Posté le: Jeu 22 Fév 2024, 18:21 Sujet du message:
1346111885
freewhynot a écrit:
Francois38 a écrit:
Oui tu auras ton identification par ta banque au moment de payer mais Free est également obligé par la directive MFA (voir le lien francenum.gouv.fr) de faire une 2FA sur ton compte en tant que e-commercant tout simplement car tu peux payer par RIB en prélèvement automatique etc... et ses infos bancaires restent elles sur le site Free.
À mon avis, c'est un peu plus subtil que ça. Comme je l'ai déjà dit dans un de mes posts précédents, Free n'est pas concerné en première ligne par l'obligation MFA paiements à distance.
BarJo, Posté le: Jeu 22 Fév 2024, 18:51 Sujet du message:
8689380903
CurtisNewton a écrit:
freewhynot a écrit:
Francois38 a écrit:
Oui tu auras ton identification par ta banque au moment de payer mais Free est également obligé par la directive MFA (voir le lien francenum.gouv.fr) de faire une 2FA sur ton compte en tant que e-commercant tout simplement car tu peux payer par RIB en prélèvement automatique etc... et ses infos bancaires restent elles sur le site Free.
À mon avis, c'est un peu plus subtil que ça. Comme je l'ai déjà dit dans un de mes posts précédents, Free n'est pas concerné en première ligne par l'obligation MFA paiements à distance.
+1 !
Je ne suis pas d'accord, la sécurité est utile pour tout system connecté à un réseau. Par principe, tout est utile à un pirate, et tout est piratable. La sécurité absolue n'existe pas.
Arrêté de croire que Free a mis en place la 2FA pour em*****der ces clients. C'est faux ! Ils le font comme toutes les entreprises dignes de ce nom. Ils rajouteront surement le 2FA sur les comptes Free et les Freebox OS (moi, c'est ce que je ferais).
Et de plus, il vaut mieux avoir trop de sécurité maintenant, plutôt que de venir pleurer de s'être fait hacker son compte.
C'est comme les sauvegardes, c'est quand on en a besoin, qu'on aperçoit que l'on n'en a pas. Donc, la sécurité, c'est l'amélioration des authentifications et la sauvegardes de ces données. Le reste, c'est du blabla !
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
: