In article <
YNidnXdPt7aZyfTM...@giganews.com>,
Lionel Mychkine <mych...@nowhere.invalid> wrote:
> In article
> <
Patrick.Stadelmann-C...@news.individual.net>,
> Patrick Stadelmann <
Patrick.S...@unine.ch> wrote:
>
> > Normal, le code sert justement � cela : �viter qu'on puisse utiliser une
> > carte sans le conna�tre !
>
> A ceci pr�s que le cryptogramme doit �tre connu du titulaire de la carte
> et de personne d'autre. Pourquoi dans ces conditions le communiquer �
> Apple ?
De la m�me mani�re que tu "communiques" ton code NIP au terminal de
payement quand tu fait un achat dans un magasin : cela t'identifie.
Pour les transaction �lectronique, on ne peut pas s'identifier. Pour
r�duire le risque de fraude (obtention frauduleuse des num�ro + date
d'expiration de la carte), on utilise en plus le cryptogramme, car
contrairement aux autres informations, il n'est pas enregistr� sur la
piste magn�tique de la carte. La tactique standard de piratage de carte
(terminal de payement trafiqu� pour r�cup�rer le contenu de la piste
magn�tique) ne permettrait donc pas d'y avoir acc�s.
> Pourquoi le demander dans ce cas ?
Parce que �a "prouve" que tu as bien la carte sous les yeux, et pas
simplement les donn�es r�cup�r�es sur la bande magn�tique.
> Et puis on sait tous qu'il suffit que
> Visa ou Mastercard interdisent de conserver ce code pour que tous les
> commer�ants de la plan�te respectent religieusement leurs directives, le
> doigt sur la couture du pantalon.
J'en sais rien, mais en cas de fraude s'il s'av�re que cette directive
n'a pas �t� respect�e, l'�metteur de la carte pourrait se retourner
contre le vendeur.
> > Pas s�r non plus que les autres informations soient conserv�es [...]
>
> Mais alors, pourquoi les demander ?
Ca tombe sous le sens : pour pouvoir les v�rifier aupr�s de l'�metteur
de la carte.
> En quoi le fait de d�tenir le cryptogramme sous forme de token change
> quoi que se soit aux probl�mes de s�curit� que j'ai �voqu�s ?
Si un pirate r�cup�re les informations brutes chez un vendeur, il pourra
essayer de les exploiter. Si tout ce qu'il obtient c'est un jeton, il ne
pourra rien en faire.
> Que l'on me demande le cryptogramme � l'occasion d'un achat, c'est bien
> normal puisque justement ce code sert � s�curiser la transaction, tant
> vis � vis du client que du commer�ant. Mais il n'est pas normal que ce
> code soit stock� chez mon fournisseur, qu'il soit en l'�tat ou sous
> forme de ��token��.
Il n'est tr�s probablement pas stock� du tout. L'�metteur de la carte a
simplement not� qu'un jour Apple a �t� en mesure de fournir ce
cryptogramme, ce qui signifie que tu l'as transmis � Apple et que donc
tu es un client d'Apple.
> Que dirais-on si un commer�ant demandait le code
> confidentiel � quatre chiffres de la carte bancaire d'un individu,
> quelques soient les motifs invoqu�s ?
Il le fait par l'interm�diaire de son terminal de payement pour pouvoir
le transmettre � l'�metteur de la carte.
Exactement comme Apple, par l'interm�diaire de ses serveurs, te demande
le cryptogramme !