Retrait carte bancaire sans code.
JPM
>livre de Serge Humpich qui permet d'imputer une opération à une carte
>bancaire dont on ignore le code. Elle s'appuie sur un (autre) vice de
>conception de la procédure de vérification de la puce.
Faux : Ca ne marche pas en retrait.
>Elle consiste à faire une manipulation astucieuse à l'aide de 2 cartes
>bancaires à puce et qui fonctionne au moins dans les cabines téléphoniques.
>Voir ce livre pour les détails.
Faux : Ca ne marche pas en retrait.
>Dans les distributeurs, c'est plus difficile de faire cette manipulation
car
>la carte est avalée.
Bravo ça c'est vrai.
>La personne qui "trouve" la carte d'un tiers dispose de 6 chances sur 9990
>environ de trouver le code : 3 essais de code sur la puce et 3 essais de
>code sur la piste magnétique. Il y a tellement de fraudes que cela doit
tout
>de même arriver de temps en temps que les fraudeurs retrouvent le code par
>hasard.
Faux : Je t'ai déjà expliqué le mécanisme quand tu me l'as demandé il y a
quelques semaines. Relis tes mails.
>Il existe aussi peut être des moyens utilisés par les fraudeurs pour faire
>des opérations de retrait à l'aide d'une carte dont le code est ignoré.
>Toutes les associations de consommateurs sont assaillies de cas similaires.
Faux : C'est impossible et tu ne trouveras personne qui l'a fait. Je t'offre
une caisse de champ si tu y arrives.
>C'est même la vérité judiciaire qui admet la possibilité de retrouver le
>code voir arrêt de la Cour d'appel de Versailles du 21/12/1990 qui disait
>texto "l'expérience a hélas révélé, qu'une carte bancaire peut être
utilisée
>dans les billetteries sans connaissance par le fraudeur du code
>confidentiel"
Faux : Double DES, 2 clés de validation stockées sur enceintes sécuritaires
chez l'émetteur. Tu fais comment pour frauder ?
>Ca ne s'invente pas !"
Ben si : la preuve.
JP
CG
<_@_._> wrote in message news:--_@_._...
> Grossier et ridicule...
JL
95e64s$mjt$1...@nnrp1.deja.com...
> Je suis d'accord avec toi, mais les pourcentages que j'avance sont pour
> le commerce en ligne (tu parles du commerce de détail).
Non non, je parlais aussi du commerce en ligne.
> Lorsqu'une
> carte étrangère est utilisée sur un site marchand, les comissions
> peuvent encore être plus importantes!
Alors c'est que vraiment le marchand a négocié son contrat comme un pied (ou
alors qu'il inclut une assurance de paiement, ce qui est la dernière chose à
faire).
JL.
Luc Legrand
une chose.
Personne n'a pu prendre mon code, puisque je ne l'ai pas tapé. Je ne pense
pas
non plus être espionné ou quoi que se soit donc, moi mis à part, personne ne
connaissait mon code.
Pourtant j'ai bien eu un retrait frauduleux quelques minutes avant mon
opposition
à un distributeur BNP situé à quelques centaines de mètres (il faut 3
minutes en
métro) de celui où ma carte a été dérobée.
Alors je veux bien que vous ne sachiez pas le mécanisme mis en oeuvre mais
ne
dites pas que "c'est impossible" puisque ça m'est arrivé et que je ne
l'invente pas.
Patrick Soquet
sécuritaires
> chez l'émetteur. Tu fais comment pour frauder ?
bancaire, cela n'a pas de rapport avec le pin (authentification
utilisateur - carte).
si on recupere la clé double DES sur la carte (ben oui, il y en a forcement
une sur la carte si elle veut s'authentifier, elle est dérivée d'une clé
maitre jalousement gardée enfin d'apres ce qque je crois savoir), on peut
donc, sans doute, s'authentifier sur le reseau avec une "yes card"
bon recuperer la clé sur la carte demande des moyens qui ne sont pas a la
porté de tout le monde...
pourquoi tant d'enervement des que l'on parle des cartes banquaires??
Patrick S.
Pierre Vandevenne
>Je suis d'accord avec toi, mais les pourcentages que j'avance sont pour
>le commerce en ligne (tu parles du commerce de détail). Lorsqu'une
>carte étrangère est utilisée sur un site marchand, les comissions
>peuvent encore être plus importantes!
Dans notre cas, cela doit tourner autour de 2.50% quelle que soit l'origine
de la carte. Par contre, si on passe effectivement par un site marchand, on
paie de 8 à 12 % pour le service complet, dont le payement sécurisé n'est
qu'une petite partie.
Nous utilisons en fait un mélange des deux méthodes : d'une part
l'autorisation ici après fax, mail sécurisé, bon de commande; d'autre part
le renvoi vers un e-store (www.regsoft.com ici).
Le système de e-store peut-être intéressant pour une société ou un petit
développeur qui ne remplit pas les conditions pour un "compte marchand par
correspondance" dans un centre d'autorisation.
Nous avons des comptes marchands en Belgique et aux USA, mais l'e-store est
attractif pour d'autres raisons
- il est ouvert 24H sur 24H
- tous les clients n'aiment pas commander en international (très vrais pour
les américains qui ont toujours peur de commander dans une république
bananière), qui ne savent pas comment composer un uméro international...
- il permet de créer des vitrines rapidement, de gérer des programmes
d'affiliés.
- Surtout, il regroupe les commandes et nous évite de la paperasserie
(facturation, notes d'exportation, etc...). 30 commandes sur un mois, c'est
une seule facture à gérer.
- ils épargnent éventuellement pas mal de tracas de configuration de
machines, de surveillance du parc, de responsabilité.
Les 8 à 12% apportent donc beaucoup plus que le payement en ligne.
C'est tellement vrai que même les très grosses sociétés font appels aux
services de ces e-stores.
Vu de l'extérieur, cela peut paraître n'être qu'un terminal de payement,
mais en fait cela peut être plus que cela.
JPM
d'authentification.
Je te confirme donc, puisque je travaille dans la partie, qu'un contrôle de
code par rapport à la piste ISO 2 est bien basé sur un double DES et que le
contrôle se fait sur enceintes sécuritaires, chez l'émetteur.
Est-ce que tout le monde est d'accord sur ce point ?
Il n'y a pas d'énervement sur les cartes bancaires. Juste plein de personnes
qui crient à la fraude là où elle n'existe pas et qui ne la voit pas là où
elle est vraiment.
Je ne détiens pas la vérité mais moi je peux prouver ce que je dis.
Maintenant si quelqu'un me prouve qu'il peut fabriquer une carte et faire un
retrait sans code, je serai le premier à dire qu'il y a un grave problème.
Dans le cas qui nous intéresse, je ne comprends pas comment quelqu'un a fait
un retrait avec une carte qui venait d'être avalée. Sauf si le DAB était un
faux. C'est arrivé assez souvent. Ensuite il faut que le voleur récupère le
code. Il l'a forcément "volé" avant, un autre jour.
En tout cas ce cas est assez bizarre je dois l'avouer.
JP
Laurent PELE
"JPM" <j...@magellan-online.com> a écrit dans le message news:
95e8qp$7t6$1...@s1.read.news.oleane.net...
> >Cela dépend, il existe au moins une toute nouvelle faille décrite dans le
> >livre de Serge Humpich qui permet d'imputer une opération à une carte
> >bancaire dont on ignore le code. Elle s'appuie sur un (autre) vice de
> >conception de la procédure de vérification de la puce.
>
> Faux : Ca ne marche pas en retrait.
J'ai bien parlé de cabine téléphoniques, voir plus loin
>
> >Elle consiste à faire une manipulation astucieuse à l'aide de 2 cartes
> >bancaires à puce et qui fonctionne au moins dans les cabines
téléphoniques.
> >Voir ce livre pour les détails.
>
> Faux : Ca ne marche pas en retrait.
Depuis quand fait on des retraits sur les cabines téléphoniques
> >Dans les distributeurs, c'est plus difficile de faire cette manipulation
> car
> >la carte est avalée.
>
> Bravo ça c'est vrai.
Comme le reste
> >La personne qui "trouve" la carte d'un tiers dispose de 6 chances sur
9990
> >environ de trouver le code : 3 essais de code sur la puce et 3 essais de
> >code sur la piste magnétique. Il y a tellement de fraudes que cela doit
> tout
> >de même arriver de temps en temps que les fraudeurs retrouvent le code
par
> >hasard.
>
> Faux : Je t'ai déjà expliqué le mécanisme quand tu me l'as demandé il y a
> quelques semaines. Relis tes mails.
J'ai un lecteur xiRing connecté à rien du tout, je peux faire 3 essais de
code sur la puce avant qu'elle ne soit grillée,
une fois la puce grillée (la banque n'est pas prévenue) je vais à un
distributeur qui ne lit que la piste magnétique.
A force de dire n'importe quoi, vous vous ridiculisez.
Je vous rappelle que le code de la puce est le même que celui de la piste
magnétique.
Vu le nombre de vol de cartes et de cartes gobées retrouvées dans les
distributeurs,
il doit arriver de temps en temps que le voleur retrouve le code.
Le porteur de carte n'est responsable de l'utilisation de la carte que si il
a divulgué le code.
> >Il existe aussi peut être des moyens utilisés par les fraudeurs pour
faire
> >des opérations de retrait à l'aide d'une carte dont le code est ignoré.
> >Toutes les associations de consommateurs sont assaillies de cas
similaires.
>
> Faux : C'est impossible et tu ne trouveras personne qui l'a fait. Je
t'offre
> une caisse de champ si tu y arrives.
Il y a le mot "peut être",
d'une part, je ne suis pas un escroc et l'attitude des banques n'incite
guère à faire ce genre d'expérience,
d'autre part, depuis l'éclatement de cette affaire, on a découvert bon
nombre de failles inconnues du plus grand nombre jusque là.
Il est exact que les fraudeurs arrivent à se procurer le code de temps en
temps mais il est souvent très difficile d'élucider comment ils ont réussi :
ils ne disent jamais s'ils ont fait des observations, capter le code ou des
essais...
il est donc intéressant pour lui de démontrer qu'il n'a pas divulgué le code
pour pouvoir être remboursé.
Parfois, il peut le démontrer assez facilement, par exemple dans le cas des
cartes volées au niveau du courrier ("carte non parvenue") avant qu'elle ne
parvienne au destinataire.
> >C'est même la vérité judiciaire qui admet la possibilité de retrouver le
> >code voir arrêt de la Cour d'appel de Versailles du 21/12/1990 qui disait
> >texto "l'expérience a hélas révélé, qu'une carte bancaire peut être
> utilisée
> >dans les billetteries sans connaissance par le fraudeur du code
> >confidentiel"
>
> Faux : Double DES, 2 clés de validation stockées sur enceintes
sécuritaires
> chez l'émetteur. Tu fais comment pour frauder ?
C'est la vérité judiciaire, c'est pas moi qui le dit, c'est la cour d'appel
de Versailles.
Peut importe que cela soit techniquement possible, cette vérité est
opposable à tous.
Il est exact que la cour d'appel de Versailles a dit cela ce jour là.
Je n'ai pas le droit de le contester.
C'est un argument juridique, cela s'appelle de la jurisprudence.
Résultat : tout ce que vous dites est faux et ce que j'ai dit est exact,
vous vous ridiculisez
--
Laurent PELE 13 rue Lantiez 75017 PARIS
Tél/Fax +33 1 40 25 08 50 mob + 33 6 08 21 96 69
mailto:lau...@pele.org http://www.pele.org
Convertisseur euro et multi-devises sur http://fxtop.com/fr/
Nicolas GREGOIRE
>
> [snip]
> Je ne détiens pas la vérité mais moi je peux prouver ce que je dis.
OK, c'est pile poil ce que je préfere chez les gens, ceux qui prouvent
techniquement et scientifiquement leurs dires.
Voyons la suite ...
> [snip]
> Ensuite il faut que le voleur récupère le
> code. Il l'a forcément "volé" avant, un autre jour.
Bon, voila le problème :
- "il faut que le voleur récupère le code"
Pouvez-vous prouver qu'un retrait sans code soit inenvisageble ?
(preuve au sens mathématique du terme)
- "Il l'a forcément "volé" avant, un autre jour."
Même question ....
Si vous avez ces réponses, alors OK, le retrait sans code est
impossible.
Mais je doute ...
Du coup, autant arrêter de dire "je prouve ce que je dis" et ne rien
prouver !
Il vaut mieux se taire ou faire comme certains et dire :
"[...] je ne prétend déjà pas connaître toutes les failles du système
alors dire [...] que c'est "impossible" qu'un débit ait lieu
sans connaître le code me fait bien marrer."
Laurent Pele in 95c3tf$1kbe$1...@news4.isdnet.net
Mais bon, si vous avez des __preuves__, je suis preneur !!!
Nicob
JL
95efuh$o0k$1...@news5.isdnet.net...
> J'ai un lecteur xiRing connecté à rien du tout, je peux faire 3 essais de
> code sur la puce avant qu'elle ne soit grillée
Pas grillée, juste bloquée. Il est possible de la faire débloquer dans une
agence de la banque, on en a déjà parlé (exactement comme les cartes SIM des
GSM, au bout de 3 codes PIN erronés il faut entrer le code PUK à 10 chiffres
pour la débloquer).
JL.
JL
sMye6.1912$YM2.8...@nnrp2.proxad.net...
> Personne n'a pu prendre mon code, puisque je ne l'ai pas tapé.
Tu as inséré ta carte, qui a immédiatement été avalée, c'est bien cela ? Et
qu'a alors indiqué l'automate ?
> Alors je veux bien que vous ne sachiez pas le mécanisme mis en oeuvre mais
> ne dites pas que "c'est impossible" puisque ça m'est arrivé et que je ne
> l'invente pas.
Alors disons que personne ici ne sait comment c'est possible, ou que ceux qui
le savent ne le disent pas...
JL.
JPM
le
> > >livre de Serge Humpich qui permet d'imputer une opération à une carte
>> >bancaire dont on ignore le code. Elle s'appuie sur un (autre) vice de
>> >conception de la procédure de vérification de la puce.
>>
> >Faux : Ca ne marche pas en retrait.
>J'ai bien parlé de cabine téléphoniques, voir plus loin
Nous sommes donc d'accord : Tu parles de cabines téléphoniques, tu aurais pu
parler de chili con carne aussi, en tout rien à voir avec le retrait donc
hors sujet.
>
>> >Elle consiste à faire une manipulation astucieuse à l'aide de 2 cartes
>> >bancaires à puce et qui fonctionne au moins dans les cabines
téléphoniques.
>> >Voir ce livre pour les détails.
>>
>> Faux : Ca ne marche pas en retrait.
>Depuis quand fait on des retraits sur les cabines téléphoniques
Qui se ridiculise, là ?
>> >Dans les distributeurs, c'est plus difficile de faire cette manipulation
> >car
> >>la carte est avalée.
>
> >Bravo ça c'est vrai.
>Comme le reste
Sacré Lagaff, je t'ai reconnu.
>> >La personne qui "trouve" la carte d'un tiers dispose de 6 chances sur
9990
>> >environ de trouver le code : 3 essais de code sur la puce et 3 essais de
>> >code sur la piste magnétique. Il y a tellement de fraudes que cela doit
>> tout
> >>de même arriver de temps en temps que les fraudeurs retrouvent le code
par
> >>hasard.
>>
> >Faux : Je t'ai déjà expliqué le mécanisme quand tu me l'as demandé il y a
> >quelques semaines. Relis tes mails.
>J'ai un lecteur xiRing connecté à rien du tout, je peux faire 3 essais de
>code sur la puce avant qu'elle ne soit grillée,
>une fois la puce grillée (la banque n'est pas prévenue) je vais à un
>distributeur qui ne lit que la piste magnétique.
Sur ton lecteur c'est vrai mais sur TPE et DAB ta banque est prévenue.
En plus je te rappelle pour la n-iéme fois qu'on parle de retrait. Retrait.
RETRAIT !!! OK ?
>A force de dire n'importe quoi, vous vous ridiculisez.
>Je vous rappelle que le code de la puce est le même que celui de la piste
magnétique.
En pratique c'est vrai mais techniquement pas forcément.
>Vu le nombre de vol de cartes et de cartes gobées retrouvées dans les
distributeurs,
>il doit arriver de temps en temps que le voleur retrouve le code.
Comme tu dis : de temps en temps. Le voleur qui fait ça joue au loto en
parallèle.
>Le porteur de carte n'est responsable de l'utilisation de la carte que si
il
a divulgué le code.
>> >Il existe aussi peut être des moyens utilisés par les fraudeurs pour
faire
>> >des opérations de retrait à l'aide d'une carte dont le code est ignoré.
>> >Toutes les associations de consommateurs sont assaillies de cas
similaires.
>>
>> Faux : C'est impossible et tu ne trouveras personne qui l'a fait. Je
t'offre
>> une caisse de champ si tu y arrives.
>Il y a le mot "peut être",
>d'une part, je ne suis pas un escroc et l'attitude des banques n'incite
>guère à faire ce genre d'expérience,
>d'autre part, depuis l'éclatement de cette affaire, on a découvert bon
>nombre de failles inconnues du plus grand nombre jusque là.
>Il est exact que les fraudeurs arrivent à se procurer le code de temps en
>temps mais il est souvent très difficile d'élucider comment ils ont réussi
:
>ils ne disent jamais s'ils ont fait des observations, capter le code ou des
>essais...
voir dessous.
>il est donc intéressant pour lui de démontrer qu'il n'a pas divulgué le
code
>pour pouvoir être remboursé.
voir dessous.
>Parfois, il peut le démontrer assez facilement, par exemple dans le cas des
>cartes volées au niveau du courrier ("carte non parvenue") avant qu'elle ne
>parvienne au destinataire.
Nous sommes enfin d'accord : C'est la seule fraude possible en retrait.
> >C'est même la vérité judiciaire qui admet la possibilité de retrouver le
> >code voir arrêt de la Cour d'appel de Versailles du 21/12/1990 qui disait
> >texto "l'expérience a hélas révélé, qu'une carte bancaire peut être
> utilisée
> >dans les billetteries sans connaissance par le fraudeur du code
> >confidentiel"
>
> Faux : Double DES, 2 clés de validation stockées sur enceintes
sécuritaires
> chez l'émetteur. Tu fais comment pour frauder ?
>C'est la vérité judiciaire, c'est pas moi qui le dit, c'est la cour d'appel
>de Versailles.
>Peut importe que cela soit techniquement possible, cette vérité est
>opposable à tous.
>Il est exact que la cour d'appel de Versailles a dit cela ce jour là.
>Je n'ai pas le droit de le contester.
>C'est un argument juridique, cela s'appelle de la jurisprudence.
Le problème c'est que c'était en 1990. Si tu veux on peut aussi parler de la
carte à puce dans les années 80 mais tout ça n'a qu'un intérêt historique et
une fois de plus tu es hors sujet.
>Résultat : tout ce que vous dites est faux et ce que j'ai dit est exact,
>vous vous ridiculisez
Oui tu es trop fort je me sens ridicule je vais changer de métier.
Merci d'avoir éclairé ma vie.
JP
JPM
Donc je t'invite cordialement à venir dans ma société. Et tu crackes la BNT
puisque tu dois bien connaitre le sujet si tu t'exprimes ici.
Et je t'offre la caisse de champ comme convenu.
Mais pour t'éviter le déplacement tu peux commencer par m'expliquer comment
tu comptes casser l'algo ?
Patrick Soquet
Nicolas GREGOIRE
> [...] Et tu crackes la BNT
> puisque tu dois bien connaitre le sujet si tu t'exprimes ici.
Ah bon, on est obligé de s'y connaitre pour participer ?
Petite précison : je ne connais $rien$ a vos histoires de cartes
bleues/bancaires/a puces
C'est juste que ca me gave quand je vois d'un coté des gens qui disent :
"apparement, il y a des failles non-connues car le nombre de retraits
(par des bandits) dans les cas ou les gens disent n'avoir pas donné le
code est trop important pour que ce soit le coup du hasard"
et de l'autre coté, certains disent :
"Je sais et je prouve !!" suivi de "Il l'a forcément volé avant" sans
aucune preuve
Je suis un scientifique logique, ma spécialité est la sécu informatique
Quand quelqu'un me dit "mon reseau est sur a 100%", je lui ris au nez
Quand quelqu'un me dit "ma CB est sure a 100% pour les retraits sans
code", je demande a voir des preuves, c'est tout
C'est vous qui affirmez des choses, c'est donc a vous a prouver.
La balle est dans votre camp ...
Nicob
:-)
l'auteur (à moins que le header ne soit bidon...)
Path:
wagner.videotron.net!wesley.videotron.net!teaser.fr!fr.usenet-edu.net!usenet
-edu.net!news.tele.dk!194.109.6.150!transit.news.xs4all.nl!news2.euro.net!ne
ws.wanadoo.nl!_._._
From: _@_._ ( )
Newsgroups: fr.misc.cryptologie
Subject: _
Date: Fri, 2 Feb 2001 00:00:00 +0100
Organization: _
Lines: 1
Message-ID: <--_@_._>
References: <95c6to$dnf$1...@s1.read.news.oleane.net>
NNTP-Posting-Host: dial-56-179.wanadoo.be
X-Trace: buty.wanadoo.nl 981057481 44174 212.65.56.179 (1 Feb 2001 19:58:01
GMT)
X-Complaints-To: ab...@wanadoo.be
NNTP-Posting-Date: Thu, 1 Feb 2001 19:58:01 +0000 (UTC)
Xref: wesley.videotron.net fr.misc.cryptologie:15200
"CG" <c...@magellan-online.com> a écrit dans le message news:
95e93j$80k$1...@s1.read.news.oleane.net...
JPM
>Petite précison : je ne connais $rien$ a vos histoires de cartes
>bleues/bancaires/a puces
Justement pourquoi dis-tu que je n'ai pas raison ?
>C'est juste que ca me gave quand je vois d'un coté des gens qui disent :
>"apparement, il y a des failles non-connues car le nombre de retraits
>(par des bandits) dans les cas ou les gens disent n'avoir pas donné le
>code est trop important pour que ce soit le coup du hasard"
Et ta logique scientifique n'est pas choquée par les mots "apparement",
"non-connues" ou par des simples citations sans démonstrations ?
Moi ça me gêne un peu.
>et de l'autre coté, certains disent :
>"Je sais et je prouve !!" suivi de "Il l'a forcément volé avant" sans
>aucune preuve
Justement j'ai expliqué le principe sécuritaire des contrôles de codes par
rapport à la piste ISO 2.
Donc au contraire ça m'interesse quelqu'un qui arrive à trouver le code dans
ce cas.
Si tu as compris le principe, en tant que scientifique tu dois penser que
c'est impossible.
Connais-tu quelqu'un qui arrive à faire un retrait sans code (sur un vrai
GAB en production bien sûr) ?
On peut faire courrir une rumeur comme quoi soit disant quelqu'un aurait
réussi par une certaine manipulation à faire plus ou moins quelque chose.
C'est ce que dit Laurent PELE en citant des cas qui ont 10 ans ou en parlant
de cabines téléphoniques qui n'ont rien à voir avec un DAB.
Donc pour moi c'est cette attitude qui n'est ni scientifique ni logique.
>Je suis un scientifique logique, ma spécialité est la sécu informatique
>Quand quelqu'un me dit "mon reseau est sur a 100%", je lui ris au nez
>Quand quelqu'un me dit "ma CB est sure a 100% pour les retraits sans
>code", je demande a voir des preuves, c'est tout
Justement, comment fais-tu un retrait sans code ?
>C'est vous qui affirmez des choses, c'est donc a vous a prouver.
>La balle est dans votre camp ...
Je te repose donc la question : tu as ton DAB, ta carte et ta BNT, comment
tu fais ?
C'est plutôt à toi (ou à quelqu'un d'autre) de prouver que cette sécurité
est contournable.
Normalement il faudrait casser ce cryptosystème pour prouver sa faiblesse.
Tu ne crois pas, non ?
Il ne suffit pas de dire : facile, le cousin du voisin de mon charcutier
connait quelqu'un qui aurait etc...
Pour gérer ta sécurité informatique, tu te contentes de bruler un cierge en
pensant que forcément un problème va arriver un jour ou alors tu testes ton
système et tu vérifies si ça tient ?
Nicob
Laurent PELE
95ehpg$eb4$1...@s1.read.news.oleane.net...
> Je viens d'expliquer le principe du controle sur enceinte sécuritaire.
Cette histoire "d'enceinte sécuritaire" des serveurs d'autorisation cartes
bancaires me fait penser à cette histoire d'un lyonnais produite en juin
2000
Ce porteur de carte était à découvert et avait demandé à sa banque un prêt
de 200 ou 300 francs, celle ci a refusé.
Il a alors essayé de retirer de l'argent à un distributeur et contre toute
attente, le retrait a fonctionné.
Il a même essayé d'autres retraits, cela marchait encore et encore.
Au bout d'une journée, il a ainsi amassé 500 000 Francs en procédant à
divers retraits
La faille provenant du serveur d'autorisation de la banque qui avait attrapé
un virus et donnait des autorisations systématiques.
D'accord, c'est une petite banque mais comme quoi les serveurs
d'autorisation ne sont pas tous sur enceinte sécuritaire ou alors ces
enceintes sécuritaires ne sont pas étanches.
voir http://parodie.com/monetique/breveretrait_500000_09062000.htm
Il a dû rembourser après coup
JPM
au retrait, généralement un plafond rotatif sur n jours donc généralement
indépendant du solde du compte du porteur.
Si le serveur d'autor est mal conçu (comme dans le cas que tu cites) il peut
délivrer à tort des autorisations (virus, bug ou juste un mauvais
paramétrage).
Dans ton exemple le DAB a quand même demandé systématiquement une saisie du
code.
Ensuite, est-ce que le serveur a contrôlé le code ou ne faisait-il aucun
contrôle ? c'est un autre problème.
En tout cas le RCB oblige l'utilisation d'enceintes sécuritaires à
différents niveaux, dont le contrôle de code.
JPM
ensuite, l'agence ne pouvant la restituer à n'importe qui ?
JPM
Nicolas GREGOIRE
>
> >Ah bon, on est obligé de s'y connaitre pour participer ?
> Pour dire qu'on connait mieux qu'un autre il faut connaitre un minimum oui.
J'ai jamais dit que je savais plus que quiconque dans ce domaine
(cf. post précédent)
> >Petite précison : je ne connais $rien$ a vos histoires de cartes
> >bleues/bancaires/a puces
> Justement pourquoi dis-tu que je n'ai pas raison ?
J'ai jamais dit que vous n'aviez pas raison
(cf. post précédent)
> >C'est juste que ca me gave quand je vois d'un coté des gens qui disent :
>
> >"apparement, il y a des failles non-connues car le nombre de retraits
> >(par des bandits) dans les cas ou les gens disent n'avoir pas donné le
> >code est trop important pour que ce soit le coup du hasard"
> Et ta logique scientifique n'est pas choquée par les mots "apparement",
> "non-connues" ou par des simples citations sans démonstrations ?
> Moi ça me gêne un peu.
Une hypothèse est une hypothèse.
Je n'ai pas vu vu d'affirmations, je ne demande donc pas de preuves.
> [...]
> >Je suis un scientifique logique, ma spécialité est la sécu informatique
> >Quand quelqu'un me dit "mon reseau est sur a 100%", je lui ris au nez
> >Quand quelqu'un me dit "ma CB est sure a 100% pour les retraits sans
> >code", je demande a voir des preuves, c'est tout
> Justement, comment fais-tu un retrait sans code ?
Je n'en fais pas, je ne dit pas que c'est possible, je ne dis pas que
c'est impossible.
> [...]
> Pour gérer ta sécurité informatique, tu te contentes de bruler un cierge en
> pensant que forcément un problème va arriver un jour ou alors tu testes ton
> système et tu vérifies si ça tient ?
Je vérifie mes systèmes en fonction de mes connaissances,
je pense qu'un problème va arriver un jour (vaut mieux être parano),
et je ne brule pas de cierges pour autant.
Nicob
Pierre Vandevenne
<95ehpg$eb4$1...@s1.read.news.oleane.net>:
>Je viens d'expliquer le principe du
> controle sur enceinte sécuritaire.
Non, vous n'avez rien expliqué du tout. Désolé. Juste mentionné le terme
"sécuritaire". C'est comme si je parlais de mon système "inviolable parce
qu'inviolable".
Un système n'est pas sûr parce qu'il est qualifié de "sécuritaire".
>Mais pour t'éviter le déplacement tu peux commencer par m'expliquer
>comment tu comptes casser l'algo ?
Cette phrase révèle énormément sur votre mode de pensée. "C'est sûr parce
que l'algo est sûr". Même Schneier en est sorti de ces idées. Sans
Torquemada, sans Ignace de Loyola. PCGuard Corporate utilisait du DES
aussi. Un HD se déchiffre en... le temps qu'il faut pour l'écrire. C'était
aussi un système sûr parce qu'il est sûr.
Vous semblez ( je dis semblez, c'est peut être simplement parce que vous
vous emportez - ok ? ) manquer de l'ouverture d'esprit nécessaire à
l'analyse de la sécurité d'un système. Un hyper spécialiste n'est jamais
idéal dans ce rôle, il n'a tendance qu'à voir son aspect du problème.
Pierre Vandevenne
<95eqq0$k18$1...@s1.read.news.oleane.net>:
>peut délivrer à tort des autorisations (virus, bug ou juste un mauvais
>paramétrage).
Un virus est un programme qui se réplique. Pas un programme qui provoque la
délivrance erronée d'autorisations.
>En tout cas le RCB oblige l'utilisation d'enceintes sécuritaires à
>différents niveaux,
J'espère que vous définissez le terme d'"enceinte sécuritaire" d'une façon
plus rigoureuse que vous n'abordez le problème virus...
Pierre Vandevenne
<95eh8m$dnn$1...@s1.read.news.oleane.net>:
>
>Le problème c'est que c'était en 1990. Si tu veux on peut aussi parler
>de la carte à puce dans les années 80 mais tout ça n'a qu'un intérêt
>historique
Pas nécessairement. J'ai gardé ma carte bancaire précédente pendant plus de
dix ans. En tant que spécialiste, vous voyez déjà le problème de votre
point de vue, exclusivement.
>>Résultat : tout ce que vous dites est faux et ce que j'ai dit est
>>exact, vous vous ridiculisez
>Oui tu es trop fort je me sens ridicule je vais changer de métier.
>Merci d'avoir éclairé ma vie.
Non, vous avez peut-être des choses intéressantes à dire, mais vous vous
êtes simplement lancé dans une attaque ad-hominem débile contre Laurent
Pelé et vous avez perdu votre sang-froid.
( et avant que l'on ne m'accuse d'être un des potes de Laurent Pelé, je
tiens à préciser qu'en plusieurs années je ne dois pas avoir échangé plus
de 3 mails avec lui )
Luc Legrand
>
>Tu as inséré ta carte, qui a immédiatement été avalée, c'est bien cela ? Et
>qu'a alors indiqué l'automate ?
>
L'automate a indiqué ensuite : HORS SERVICE puis un numéro indiquant de
faire opposition immédiatement.
Luc Legrand
JPM a écrit dans le message <95er14$k46$1...@s1.read.news.oleane.net>...
>Je suis d'accord avec toi. Comment une carte avalée a pu être utilisée
>ensuite, l'agence ne pouvant la restituer à n'importe qui ?
>
Le problème n'est pas là. Il n'est pas difficile d'imaginer qu'avec un petit
système débile on puisse bloquer la carte pour pouvoir la retirer ensuite.
Le problème c'est "comment quelqu'un qui recupère une carte sans code peut
retirer ensuite de l'argent dans des distributeurs de billets ?".
JL
> L'automate a indiqué ensuite : HORS SERVICE puis un numéro indiquant de
> faire opposition immédiatement.
Dans ce cas, si un escroc a pu retirer la carte alors qu'elle a semblé avoir
été avalée, voir devriez pouvoir faire valoir que la responsabilité du
propriétaire de l'automate est engagée, et donc vous faire dédommager du
préjudice subi.
Contactez-le pour essayer de régler l'affaire à l'amiable, et allez devant
les tribunaux si cela échoue.
JL.
Fabien Spagnolo
"JL" <J...@jlamy.com> a écrit dans le message news:
nHTe6.2810$bv5.6...@nnrp4.proxad.net...
> Dans ce cas, si un escroc a pu retirer la carte alors qu'elle a semblé
avoir
> été avalée, voir devriez pouvoir faire valoir que la responsabilité du
> propriétaire de l'automate est engagée, et donc vous faire dédommager du
> préjudice subi.
>
> Contactez-le pour essayer de régler l'affaire à l'amiable, et allez devant
> les tribunaux si cela échoue.
Je ne pense pas que cela soit nécessaire. J'ai une assurance pour les
"retraits frauduleux" en dessous
de 5000F. J'ai contacté ma banque qui m'a demandée d'aller porter plainte.
Je suis donc allé au commissariat pour deposer une plainte pour escroquerie.
Soit dit en passant
je suis tombé sur "pinot simple flic" qui m'a regardé avec es yeux tous
ronds quand je lui ai dit
que je n'avais jamais tapé le code. Il a fini l'entretient en disant "Mais
moi je pense que de toute façon
vous avez tapé le code, meme sans vous en rendre compte" ....
Peu importe pour moi je veux simplement être remboursé. J'espère simplement
que l'assurance de la banque
ne va pas utiliser comme argument que "Il est impossible de retirer à un
distributeur de billets sans avoir le
code donc vous avez retiré vous meme l'argent, ou vous avez donné
volontairement voter code à un tiers, etc..."
D'ailleurs aurait-elle le droit d'invoquer un tel argument ?
JL
YzUe6.2119$YO.99...@nnrp2.proxad.net...
> J'espère simplement
> que l'assurance de la banque
> ne va pas utiliser comme argument que "Il est impossible de retirer à un
> distributeur de billets sans avoir le
> code donc vous avez retiré vous meme l'argent, ou vous avez donné
> volontairement voter code à un tiers, etc..."
>
> D'ailleurs aurait-elle le droit d'invoquer un tel argument ?
C'est justement tout le problème. Si la banque peut démontrer qu'il est
impossible de retirer de l'argent sans taper le code, et qu'il est
impossible d'obtenir le code, (c'est à dire en pratique qu'un expert désigné
par le tribunal arriverait à ces conclusions) vous aurez fort peu de chance
d'obtenir gain de cause.
Dans ce cas, plaider la responsabilité du propriétaire de l'automate me
semble moins risqué.
JL.
Will
D'abord une bonne moitié (au moins) des distributeurs n'utilise pas la puce,
mais la piste.
Ensuite, il arrive sur certains TPE (tous ?)que les transactions soient
enregistrées sans qu'il y ait besoin de codes, alors que dans 99,99999...%
des cas, avec cette carte et ce terminal précis, le code sera demandé.
J'imagine que pour les distributeurs, c'est pareil.
Enfin, il y a des petites astuces que je ne vais pas détailler, pour
récupérer des cartes insérées dans les DAB et le faire mettre HS.
Will
--
Site (embryonnaire) http://mac-software.ctw.net
Site (miroir) : http://macsoftware.cjb.net
BDR, Dos, Win 9x, ...
mac-so...@ctw.net
Fred et surtout Fred
salut Will,
affirmations gratuites fausses !
et pour les gab/dab
et pour les TPE.
Ciao
FF2001
Pierre Vandevenne
>"Fabien Spagnolo" <spag...@epita.fr> a écrit dans le message news:
>> code donc vous avez retiré vous meme l'argent, ou vous avez donné
>> volontairement voter code à un tiers, etc..."
>>
>> D'ailleurs aurait-elle le droit d'invoquer un tel argument ?
>Dans ce cas, plaider la responsabilité du propriétaire de l'automate me
>semble moins risqué.
Mais le propriétaire de l'automate ne peut-il pas simplement invoquer le
même argument ?
AMHA, le problème devrait se régler en douceur avec la banque,
éventuellement l'assurance. Il y a deux ou trois ans, nous avons eu à Liège
une très sombre histoire, avec un distributeur de billet situé aux environs
du pont Kennedy. Plusieurs personnes ont été victimes de retraits
frauduleux (dont une que je connais personnellement) et ont été remboursées
immédiatement, sans problème et sans la moindre discussion. Un affaire très
proprement étouffée. Petite news à la radio locale, invitation à se faire
connaitre et rembourser, journalistes nationaux gentiment renvoyés à leurs
études en soirée... Au moins, le consommateur n'a pas été lésé. Dans ce
cas, le problème était inverse, on pouvait imaginer comment les escrocs
avaient pu obtenir le code, mais pas la carte...
Ces histoires de cartes, c'est vraiment de la M..... - tous ceux qui ont un
vrai boulot n'ont pas vraiment grand intérêt à frauder et n'ont aucune
motivation à investiguer le système vu les emmerdes auxquelles ils
s'exposent...
JPP
Bonjour
Malgré tout, si l'autorisation peut être délivrée à tort du fait d'un
dépassement du plafond, je doute que vous puissiez me démontrer que
le même programme ne puisse pas délivrer une autorisation à tort avec
un code faux.
Le fait qu'il soit impossible de déchiffrer le code secret n'ayant dans
ce cas rien à voir. Le chiffrage du dit code et de la liaison n'apporte
rien à la sécurité, de ce point de vue.
La sécurité est un concept global, dont le bniveau est limité par le
maillon le plus faible.
Salutations
JPP
JPP
>
> Pas vraiment car les cartes seront en opposition avant les 230 jours.
Bonjour
Il est évident que l'essai se fait dans les 5 minutes suivant le vol.
Un peu d'imagination que diable.
Salutations
JPP
JPP
> > Parfois, il peut le démontrer assez facilement, par exemple dans le
> > cas des cartes volées au niveau du courrier ("carte non parvenue")
> > avant qu'elle ne parvienne au destinataire.
> Nous sommes enfin d'accord : C'est la seule fraude possible en
> retrait.
Bonjour
Un peu exagéré votre propos. Nombre de personnes se sont fait voler
leur carte et code secret simultanément, par détournement d'attention
lors du retrait (technique simple et connue, mais qui marche toujours).
Pour le seul bloquage de carte (dont a visiblement été victime
M. Legrand) il faut se rendre à l'évidence :
- il est trés difficile de cacher ce que l'on tape sur le clavier
à une personne dérrière soi, et les banques sont coupables sur le
sujet, car leurs installations ne le permet pas.
Enfin des cas d'installation de faux distributeur sont connus.
Bien sûr, les banques préférent salir leurs clients en les soupçonnant
de vol ou de malversation, plutôt que de reconnaitre que :
- la sécurité, ça coute cher, donc on en fait le minimum,
- 4 chiffres, c'est peu pour la sécurité, mais trop pour certains
clients.
D'ailleurs, à quoi bon faire un double DES sur un code de 4 chiffres ?
Salutations
JPP
Will
Je bosse dans ce secteur, je sais (au moins un peu) de quoi je parle...
Mais tu dois connaître TOUS les TPE, dis moi ?
Je rencontre le cas que j'ai évoqué (pas de code) au moins une fois par mois
sur les 1880 Ingenico (que je connais plus particulièrement), entre autres,
mais je n'ai pas vent de tous les cas.
Me contradiras tu en disant que tous les DAB gérent la puce ?
Quand à l'astuce pour récupérer la carte, on en a déjà parlé suffisemment...
Alors ?
Will
Ygster
> Personne n'a pu prendre mon code, puisque je ne l'ai pas tapé. Je ne pense
> pas
> non plus être espionné ou quoi que se soit donc, moi mis à part, personne
ne
> connaissait mon code.
Comment pouvez-vous en être sûr?
A+
Xavier.
Ygster
> Sans vouloir offenser ta suffisance, indique moi une seule partie de mon
> message qui serait erroné.
> Ensuite affirmer péremptoirement que toutes les victimes ont montré leur
> code est totalement contraire à la réalité.
> On découvre de nouveaux types de fraude tous les jours et je ne prétend
déjà
> pas connaître toutes les failles du système
> alors dire qu'il comme certains que c'est "impossible" qu'un débit ait
lieu
> sans connaître le code me fait bien marrer.
Je ne comprends pas comment vous pouvez dire que cela est possible alors que
vous le dites vous même, vous ne savez pas tout.
Les médias adorent se genre de déclaration et après on voit n'importe quoi
comme sur Canal+ avec PGP.
Je ne dis pas que ce que vous avancez est faux, mais je ne comprends pas
qu'on puisse dire que c'est possible en n'ayant aucune preuve.
A+
Xavier.
Fred et surtout Fred
salut Will,
Alors, je repete ces affirmations sont fausses.
P'tre un jour il faudra que je me presente sur ce groupe de discussions, la
formation que j'ai, d'ou je viens, dans quelles boites je suis passe et
surtout ce que je fais actuellement. Un jour p'tre. :-)
Je donne des noms a tout hasard :
DAB/GAB :
Bull, Dassault et NCR.
TPE :
Ascom Moneytel et Elsydel, CKD, Fischer (Gemplus), G&D, Ingenico, KDI,
Krone, Schlum pour les plus connus.
Cybercom, tant prise par le GIE carte bancaire.
Ah, j'oubliais on peut rajouter les terminaux Banksys, ca va faire
plaisir aux Belges. :-)
Alors je n'echangerai pas mon carnet d'adresses contre le tien, ce serait de
la vantardise.
Ciao
FF2001
> Alors ?
Will
code sur des TPE.
Je n'ai pas d'explications, je me contente de le constater.
Cas constaté régulièrement sur des Elite 510-16 4 Mo avec les applis 141v27+
et 101 v6+ et l'OS v17 famille 71, par exemple.
Ton carnet d'adresse ne m'intéresse pas, la réponse à ma question, oui.
Will
Pierre Vandevenne
<95i1fm$qjp$1...@wanadoo.fr>:
>et surtout ce que je fais actuellement. Un jour p'tre. :-)
>Je donne des noms a tout hasard :
>DAB/GAB :
> Bull, Dassault et NCR.
>TPE :
> Ascom Moneytel et Elsydel, CKD, Fischer (Gemplus), G&D, Ingenico,
> KDI,
>Krone, Schlum pour les plus connus.
> Cybercom, tant prise par le GIE carte bancaire.
> Ah, j'oubliais on peut rajouter les terminaux Banksys, ca va faire
>plaisir aux Belges. :-)
On vous a viré tous les six mois ? ;-)
Moi, j'adore les gens importants qui postent de façon anonyme. Mon
raisonnement est le suivant : le Pr Quisquater poste ici régulièrement de
façon non anonyme. Or le Pr Quisquater est quelqu'un d'important. Cela
suggère que les gens qui sont obligés de poster anonymement doivent être
bien plus important que lui. C'est donc une chance inouïe que nous avons de
cotoyer des gens si importants et si qualifiés. Dommage qu'ils n'assument
pas la responsabilité des lumières qu'ils nous dispensent si gentiment.
Notez que la dernière personne a avoir fait étalage de ses compétences en
"enceintes sécuritaires" a démontré des nerfs fort peu solides, une légère
tendance à l'imprécision et, une confiance inébranlable en l'Algorithme...
Fred et surtout Fred
salut Pierre,
1 - On ne me vire pas, je demissionne :-)
2 - Pour ce qui est de l'importance, je communique mon CV en prive a des
personnes de confiance.
Peut-etre que tu n'es pas au courant que dans le monde de la monetique, il
n'est pas besoin de faire des esclandres et encore moins le malin pour se
faire taper sur les doigts. Ici meme, il y a quelques mois Serge Humpich n'a
eu que la rancon de la gloire pour avoir agi a visage decouvert sans aucune
precaution.
2 bis - Pas la peine non plus d'etre le professeur machin pour s'exprimer.
Enfin j'espere. Et combien meme sa parole n'est pas plus credible qu'un
autre, s'il n'a pas fait de demonstration de ce qu'il avance.
2 ter - Dans le monde de la monetique, j'ai appris a rester modestement
discret pour ne pas eveiller l'attention.
Pour ce qui est d'assumer les responsabilites, merci je le fais tous les
jours face a mes clients ou face a mes employeurs. Ici, je ne serais pas
assez fou pour devoiller le peu de chose que je sais, surtout par
vantardise. Toutefois je rectifie des contre-verites quand je les reconnais.
2 quarte - le professeur machin n'a certainement pas a proteger des secrets
de fabrication et encore moins a implementer des systemes de securite - En
tant que professeur, il n'est surement pas soumis a un domaine de
concurrence !
3 - Je n'ai pas pete les plombs jusqu'a maintenant. Contrairement a certains
qui prononcent des noms d'oiseau, je n'ai pas besoin d'insulter pour
m'affirmer. (Ce n'est pas toi que je vise - mais je lis tous les jours ce
groupe de discussions pour etre suffisamment effare de ce qui ce dit).
Ciao
FF2001
Fred et surtout Fred
salut Will,
j'ai plusieurs explications parmi tant d'autres, tu choisiras celles qui te
plaisent.
- l'une des toutes premieres est l'utilisation de cartes de credit
etrangeres a piste en France. La puce n'est pas lue puisqu'il n'y en a pas.
Donc pas de code a taper.
- la suivante est liee a la premiere. Je vois mal une demande d'autorisation
en ligne pour des petits montants. La connexion au centre d'autorisation
seraient plus cheres que la commission percue. En consequence, il n'y a pas
de demande de code puisqu'il n'y a pas de code a verifier.
- une autre c'est le montant plancher couvert qu'accepte de prendre a sa
charge le commercant pour payer moins de commission sur les petits montants
ou le montant par exemple de la commission forfaitaire a payer est plus
importante que la commission au pourcentage a payer.
- une autre encore est le fait que la carte est connue dans le terminal et
l'autorisation n'a pas besoin d'etre refaite. Il y a eu verification de la
liste noire et il y a eu une transaction recente avec la meme carte
- une autre, c'est sur la puce que ca se passe. Les anciennes puces a
memoire trop petite ne pouvaient pas garder l'ensemble des transactions,
donc apres un certain nombre d'operations n'enregitraient plus rien.
- une hypothetique, apres verification des dernieres transactions dans la
puce, le terminal se souvient d'avoir deja vu passe cete puce...
- ...
Interroge Ingenico, si tu sais qu'il y a une faille dans la programmation !
Ciao
FF2001
Quisquater
> 2 quarte - le professeur machin n'a certainement pas a proteger des secrets
> de fabrication et encore moins a implementer des systemes de securite - En
> tant que professeur, il n'est surement pas soumis a un domaine de
> concurrence !
Hum ! Je fais assez souvent des audits de systèmes de sécurité dont je ne suis
pas autorisé à dévoiler les caractéristiques, bien sûr. J'ai participé
d'une façon ou d'une autre à l'élaboration de la plupart des cartes à puce
(génériques) sur le marché. Vous avez une vision très très restrictive
de ce que fait un professeur ... (j'ai aussi travaillé chez Philips durant
20 ans et fondé 2 sociétés ...).
Un professeur donne cours et, surtout, fait de la recherche, ce qui, ces jours
et depuis toujours, demande souvent de participer à la vie industrielle.
Allez voir la page de mon groupe (incomplète) à
Et voilà une demi-contre-vérité de corrigée :-)
Fred et surtout Fred
salut Quisquater,
Desole de vous avoir froisse, ce n'etait pas mon intention.
Quelle chance vous avez de pouvoir faire ce que vous voulez de notre temps,
de vos activites, de votre vie en generale.
Si vous etiez en France vous n'auriez sans doute pas ces libertes. En effet,
un fonctionnaire est oblige de se consacrer uniquement a son activite pour
laquelle il est remunere :
article 25
" Les fonctionnaires consacrent l'intégralité de leur activité
professionnelle aux tâches qui leur sont confiées. Ils ne peuvent exercer à
titre professionnel une activité privée lucrative de quelque nature que ce
soit. Les conditions dans lesquelles il peut être exceptionnellement dérogé
à cette interdiction sont fixées par décret en Conseil d'Etat. "
Faute de texte du Conseil d'Etat, la réglementation reste fixée par le
décret du 29 octobre 1936.
Le cumul d'une fonction publique et d'une activité privée (R.l.r. 200-5,
700-3, 810-1)
Le principe est celui de l'interdiction tel qu'il est rappelé à l'article 25
du statut général. Ainsi énoncée, la règle d'interdiction a seulement deux
limites:
...
Donc pas de creation de societe, pas de recherche a but lucrtif, en gros pas
de concurrence, pas de domaine prive engeneral.
J'attends de voir votre page, indisponible actuellement, pour continuer sur
ce theme, voire en prive si besoin est.
Ciao
FF2001
Quisquater
française (bien qu'elle s'assouplisse) est fort "bloquée".
Il est toujours nécessaire d'avoir des lieux de référence, des endroits
où se développent "l'objectivité", etc, mais sans perdre le
contact avec la réalité. Cela doit se faire avec prudence pour éviter
d'être seulement "industriel". C'est ce que nous appellons le "service
à la Société".
Ma situation, en Belgique, n'est pas exceptionnelle et elle est très
fréquente dans d'autres pays. Je ne suis pas fonctionnaire bien que
payé par l'Etat (enfin, je crois).
Au risque de paraître fort hors sujet, voir aussi
http://www.inra.fr/Internet/Produits/dpenv/levylc31.htm
J'arrête ici pour l'instant, je prépare un exposé pour demain :
désolé pour le lien inactif (un serveur aux USA est en panne) :
voir
http://www.dice.ucl.ac.be/crypto/
et aussi ...
J.P. Kuypers
Fred <jm...@hotmail.com> wrote (écrivait) :
> Si vous etiez en France vous n'auriez sans doute pas ces libertes. En effet,
> un fonctionnaire est oblige de se consacrer uniquement a son activite pour
> laquelle il est remunere...
Euh ! c'est peut-être chiffré, mais le professeur, il a pas écrit qu'il
ne se consacrait pas uniquement à l'activité pour laquelle il est
rémunéré. Il a écrit que, aujourd'hui et depuis toujours, l'activité de
recherche demande souvent une participation à la vie industrielle.
Cela ne signifie pas que l'industrie verse de l'argent sur le compte
personnel sur professeur. Par contre, en Gelbique, les universités ne
pourraient mener leur recherche sans le financement qu'elles reçoivent
des secteurs autres que l'État.
--
Jean-Pierre Kuypers
Veuillez émailler les phrases dans leur con-
texte avant de câbler sciemment.
Le présent article étant d'affliction pure, toute ressemblance avec une
opinion exprimée ne pourra être attribuée qu'au hasard et, en aucun cas,
être considérée comme celle de mon employeur.
JPP
>
> qui te plaisent.
> - l'une des toutes premieres est l'utilisation de cartes de credit
> etrangeres a piste en France. La puce n'est pas lue puisqu'il n'y
> en a pas.
> Donc pas de code a taper.
>
> - la suivante est liee a la premiere. Je vois mal une demande
> d'autorisation en ligne pour des petits montants. La connexion au
> centre d'autorisation seraient plus cheres que la commission
> percue. En consequence, il n'y a pas de demande de code puisqu'il
> n'y a pas de code a verifier.
Bonjour
Cela signifie t'il que l'on peut contester touts les achats de faible
valeur ?
> - une autre c'est le montant plancher couvert qu'accepte de prendre a
> sa charge le commercant pour payer moins de commission sur les
> petits montants ou le montant par exemple de la commission
> forfaitaire a payer est plus importante que la commission au
> pourcentage a payer.
Pourtant, les commençants fixent un montant minimum de transaction par
CB pour contourner cette difficulté.
> - une autre encore est le fait que la carte est connue dans le
> terminal et l'autorisation n'a pas besoin d'etre refaite. Il y a eu
> verification de la liste noire et il y a eu une transaction recente
> avec la meme carte
Si une telle fonctionnalité était avérée, ce serait gravissime.
En effet, la saisie du code secret à pour objet de vérifier que
l'utilisateur est propriétaire de la carte, et non que la carte
est valide (pour cela la puce se débrouille toute seule). S'il
s'agit d'une carte uniquement à piste, la mémorisation de la
validité de la carte peut se défendre, pas l'autorisation de
transaction sans code secret.
> - une autre, c'est sur la puce que ca se passe. Les anciennes puces
> a memoire trop petite ne pouvaient pas garder l'ensemble des
> transactions, donc apres un certain nombre d'operations
> n'enregitraient plus rien.
D'ailleurs, elle n'autorisaient plus d'opération non plus. Ce ne
saurait être la raison.
> - une hypothetique, apres verification des dernieres transactions
> dans la puce, le terminal se souvient d'avoir deja vu passe cete
> puce...
Et la caméra cachée dans le terminal vérifie si le détenteur de
la carte n'a pas changé entre temps.
Toutes ces affirmations ne sont pas trés crédibles, car vous n'évoquez
pas la fonction réelle liée à la saisie du code secret.
Salutations
JPP
PS : Si quelqu'un sait positionner le FU2, qu'il ne se prive pas.
Pierre Vandevenne
>Peut-etre que tu n'es pas au courant que dans le monde de la monetique,
>il n'est pas besoin de faire des esclandres et encore moins le malin
Si, je suis au courant. Je ne travaille pas dans ce secteur mais on m'a
déjà fait une ou deux remarques ;-)
>2 bis - Pas la peine non plus d'etre le professeur machin pour
>s'exprimer. Enfin j'espere.
Moi aussi, j'aurais des difficultés à la fermer ! ;-)
>Et combien meme sa parole n'est pas plus credible qu'un autre
Elle l'est, au minimum parce qu'il ne poste pas de façon anonyme (enfin,
j'espère). Poster sous son vrai nom, cela responsabilise. Si tu dis une
grosse bêtise, cela reste. Faut pas en faire une maladie, tout le monde en
dit un jour ou l'autre de toute façon, mais naturellement, on fait un petit
peu plus attention. Anonyme, vous pouvez si vous le souhaitez, entretenir
une controverse publique avec vous même...
Comme je le disais dans un autre fil, il y a quelque temps, un anonyme
démarre toujours avec 0% de crédibilité. Il peut en gagner au fil des
posts, mais ce n'est pas fréquent...
Fred et surtout Fred
salut JPP,
que ces affirmations ne te convainquent pas c'est une chose, quelles ne
soient pas credibles en est une autre.
Explique-moi pourquoi, alors dans une majorite des cas, les commercants
refusent d'utiliser les cartes de credit pour des petits montants, comme tu
l'indiques si bien. Pourtant techniquement le montant tape n'influe pas sur
le comportement du TPE.
...
Avant de crier au scandal, verifie comment se fait un retrait de K7 dans un
automate video (tout petit montant) et comment la "caution / garantie" est
geree. Demande ensuite au GIE CB, si ca les derange que chaque integrateur
fasse sa sauce et si les methodes vont changer dans l'avenir. Ce qui
interesse les banques c'est de percevoir la commission, pas de savoir
comment elle est recuperee. Alors la procedure de saisie du code secret je
me marre, autant que la refutation de la transaction...
Je ne faisais effectivement pas reference aux DAB / GAB ou l'autorisation se
fait toujours en ligne.
Ciao
FF2001
PS.: tu peux positionner le suivi de la discussion ou bon te semble.
> Cela signifie t'il que l'on peut contester touts les achats de faible
> valeur ?
...
Erwann ABALEA
pie...@datarescue.be (Pierre Vandevenne) wrote:
> ( et avant que l'on ne m'accuse d'être un des potes de Laurent Pelé,
je
> tiens à préciser qu'en plusieurs années je ne dois pas avoir échangé
plus
> de 3 mails avec lui )
T'as des preuves? C'est facile ça comme argumentation... ;-)
--
Erwann ABALEA
erw...@abalea.com
- RSA PGP Key ID: 0x2D0EABD5 -
Sent via Deja.com
http://www.deja.com/
JPM
JPM
parler.
A part ça tu n'as pas d'autres arguments ?
Alain
"Luc Legrand" <fsh...@free.fr> wrote in message
news:sMye6.1912$YM2.8...@nnrp2.proxad.net...
> Devant l'avalanche de posts suite à mon post original je tiens à préciser
> une chose.
>
> Personne n'a pu prendre mon code, puisque je ne l'ai pas tapé. Je ne pense
> pas
> non plus être espionné ou quoi que se soit donc, moi mis à part, personne
ne
> connaissait mon code.
>
> opposition
> à un distributeur BNP situé à quelques centaines de mètres (il faut 3
> minutes en
> métro) de celui où ma carte a été dérobée.
>
> Alors je veux bien que vous ne sachiez pas le mécanisme mis en oeuvre mais
> ne
> dites pas que "c'est impossible" puisque ça m'est arrivé et que je ne
> l'invente pas.
>
Bonjour,
Comme personne ne s'est exprimé clairement (AMHA), voici ce qui a du
probablement arriver (c'est purement hypothètique).
Comme il l'a été affirmé, ce qui t'est arrivé est THEORIQUEMENT impossible
(lisez bien le théorique avant de me flamer).
La théorie c'est bien joli mais après il y a la pratique. La pratique nous
dit qu'il n'est pas rare qu'il reste des bugs dans les produits
informatiques en service (Windows en est un exemple) et/ou que les personnes
humaines utilisant ce produit ne sont elles-même pas parfaites. Donc il est
probable que la machine sur laquelle on a debité ton compte ne vérifiait pas
le PIN présenté, soit qu'elle soit boguée, soit qu'on (par exemple la
personne qui entretient la machine) l'ait malencontreusement laissée dans un
mode de test particulier où le code n'était pas demandé ou pas vérifié. Ca
arrive (dans ma boîte, on a régulierement le café gratuit parce que le
technicien chargé de remplir la machine oublie de la remettre correctement
en service).
Alain
Emmanuel Bresson
>
> Desole de vous avoir froisse, ce n'etait pas mon intention.
>
> Quelle chance vous avez de pouvoir faire ce que vous voulez de notre temps,
> de vos activites, de votre vie en generale.
> Si vous etiez en France vous n'auriez sans doute pas ces libertes. En effet,
> un fonctionnaire est oblige de se consacrer uniquement a son activite pour
> laquelle il est remunere
Rassurez-vous, il existe en France de tres nombreux chercheurs (fonctionnaires) qui travaillent en
collaboration etroite avec leurs collegues (salaries) des branches R&D dans les entreprises.
C'est ce qu'on appelle un "contrat" entre l'unite machin-truc du CNRS et la societe bidule. :-)
Bien sur, la clause du contrat fixe ensuite les restrictions qui peuvent s'appliquer aux decouvertes
faites par les uns ou les autres, etc.
Par ailleurs, un mecanisme appele "autorisation de cumul" permet a un fonctionnaire de "rendre des
services a des societes", pour reprendre l'expression de nos collegues belges...
Cordialement,
Emmanuel Bresson
Emmanuel Bresson
>
> affirmations gratuites fausses !
> et pour les gab/dab
> et pour les TPE.
> > puce, mais la piste.
Sauf erreur:
Tous les DAB qui veulent etre compatibles avec les cartes etrangeres sans puce doivent etre capables
d'utiliser la piste.
Or:
Le code a 4 chiffres n'est evidemment pas sur la piste, lisible facilement.
Par consequent,
un DAB utilisant la piste est *contraint* a consulter la banque s'il veut effectuer une verification
du PIN. C'est la seule facon qu'il a de faire le test de validite du PIN code.
Cette "contrainte" qui n'en est pas une empeche de faire un retrait sans code, ou avec une carte
dont on aurait grille la puce.
Sauf si le code n'est pas verifie lors de la procedure, ou sauf si le DAB a decide d'utiliser la
puce, ou sauf si la banque a decide de repondre toujours "oui". Les fraudes viennent peut-etre de
ces situations.
Cordialement,
Emmanuel Bresson
Cequoidon
transaction etait en ligne, que la verification du code PIN ne se fait
pas avec la piste (ou le PIN ne figure pas) mais directement au niveau
du central.
La transaction d'Humpich n'a pas ete l'utilisation d'un tiers mais la
reponse a une requete du terminal.
D'autre part, dans le cas de transaction sans verification en central de
la validite de la carte, c'est le module commercant qui est utilisé. Des
600F (je crois), il y a une verification centrale, ainsi
qu'aleatoirement pour eviter que l'on puisse faire x transactions de -
de 600F de suite.
Enfin, il me semble que losrque l'on connecte les modules commercant au
central pour rappatrier les transactions, une liste de cartes sur liste
moire remponte vers le terminal qui ne les acceptera plus par la suite.
frauder c'est possible, mais a partir d'un moment, c'est sufisament
compliquer pour qu'il soit plus facile d'aller piquer un sac a une grand
mere ou construire un faux DAB, ou piquer un DAB ou je ne sais quoi.
Ben alors... :-)
JL
95epvs$25cd$1...@nef.ens.fr...
> Quelqu'un qui volerait 10 cartes par jour, aurait au bout de
> 230 jours environ une chance sur deux d'avoir pu faire un
> retrait.
115 jours seulement, puisqu'avec la piste magnétique et la puce il est
possible de tenter 6 codes par carte.
Mais sachant que le plafond de retrait est de 5000F pour une carte classique,
ça fait quand même pas très cher l'heure de travail.
Pour quelqu'un qui disposerait d'une machine permettant de tester le code des
cartes de manière rapide et automatique (donc en utilisant seulement la puce,
avec seulement 3 essais), une carte volée vaudrait environ 1,50 F (
5000*(1-(1-1/9990)^3) ).
Donc pas de quoi en faire une industrie, amha.
JL.
Fred et surtout Fred
salut Emmanuel,
je n'ai pas besoin d'etre rassure. Et l'apport de votre contribution n'est
pas en contradiction avec mes declarations.
Toutefois, il n'faut peut-etre pas non plus melanger torchon et serviette.
Les chercheurs du CNRS ne sont pas des professeurs dans le sens enseignant,
meme si certains cumulent deux responsabilites et aussi malgre la volonte de
notre ancien ministre Alegre. Dans aucun cas, le fonctionnaire n'est paye ou
touche une remuneration pour la cooperation qu'il a avec la societe privee.
Cette cooperation reste quand meme dans le cadre de sa recherche et les
themes de recherche de son laboratoire de recherche.
De plus les derniers textes de loi parus sur le sujet (Juillet-octobre 1999)
ont montre une volonte d'ouverture (mais avant tout un besoin de financer le
secteur publique) pour "autoriser" les chercheurs a creer leur entreprise.
Quelle que soit l'option choisie le fonctionnaire / enseignant chercheur a
environ deux ans pour choisir entre le secteur publique et le secteur prive.
Ce n'est peut-etre pas le cas de Quisquater qui mentionne : "(j'ai aussi
travaillé chez Philips durant 20 ans et fondé 2 sociétés ...)." Je ne sais
pas ce qu'il en est des deux societes.
Ciao
FF2001
Fred et surtout Fred
"Je ne faisais effectivement pas reference aux DAB / GAB ou l'autorisation
se fait toujours en ligne."
> Par consequent,
JPM
parler de moi alors que tu réponds à quelqu'un d'autre), j'ai été très
précis (ceux qui connaissent le sujet ont compris), et tu n'as toujours pas
réussi à ce jour à prouver la faille du système. Il suffit de constater.
ff...@my-deja.com
"JPM" <j...@magellan-online.com> wrote:
> Ici on parle de contrôle de code confidentiel. Pas du tout
> d'authentification.
> Je te confirme donc, puisque je travaille dans la partie, qu'un
contrôle de
> code par rapport à la piste ISO 2 est bien basé sur un double DES et
que le
> contrôle se fait sur enceintes sécuritaires, chez l'émetteur.
Justement à ce sujet j'ai une question.
Est ce qu'il n'y aurai pas un moyen pour un attaquant de réécrire la
piste magnétique da manière à remplacer le code écrit sur la piste ISO
par un code dont l'attaquant connaît le code PIN correspondant tout en
conservant sur la piste l'information sur l'identité du possesseur de
la carte.
A mon avis ca n'est pas possible, cepandant ca pourrait expliquer la
mésaventure de notre ami Luc.
Fred et surtout Fred
Salut ffdd,
- Ca parait tres improbable pour une bonne raison, c'est que les champs de
la piste ISO 2 repondent tous a des exigences particulieres controlees par
des limites. Je ne citerais que plage de Bins, separateur, code service pour
les plus connus.
- il y a d'autres preoccupations que je ne fais qu'evoquer ici, dans le cas
du DAB/GAB c'est le centre d'autorisations qui fait la demande de signature,
pas la carte elle-meme.
Ciao
FF2001
> > Ici on parle de contrôle de code confidentiel. Pas du tout
> > d'authentification.
...
ff...@my-deja.com
> Salut ffdd,
>
> - Ca parait tres improbable pour une bonne raison, c'est que les
champs de
> la piste ISO 2 repondent tous a des exigences particulieres
controlees par
> des limites. Je ne citerais que plage de Bins, separateur, code
service pour
> les plus connus.
> - il y a d'autres preoccupations que je ne fais qu'evoquer ici, dans
le cas
> du DAB/GAB c'est le centre d'autorisations qui fait la demande de
signature,
> pas la carte elle-meme.
>
> Ciao
> FF2001
Fred,
Je n'ai pas bien compris ta réponse, en fait je me suis peut être mal
exprimée.
JPM disait dans son post que que le controle par rapport à la piste est
basé sur un double DES.
Imagine par exemple que j'extraît de la piste magnetique de ma carte
bleue (dont je connais le code) cette partie qui correspond donc à mon
code PIN. Et qu'ensuite je la recopie sur une autre carte (la tienne
par exemple) tout en laissant sur ta piste l'information sur ton
identité. Lorsque j'irai sur un DAB retirer de l'argent avec ta carte,
je taperai mon code mais le DAB pensera que c'est toi et retirera
l'argent sur ton compte.
Bon je sais que ca paraît très con comme idée, ne serai-ce parcequ'à
mon avis l'identité du porteur de la carte et l'information concernant
son code PIN doivent être liées par une fonction quelconque. Cependant
ce qui est arrivé à Luc est assez mysterieux, aussi ce pourrait être
une explication.
A plus
Vincent DUPAQUIS
Ca serait etonant que cela marche ... il doit exister un moyen d'
autentifier la totalite des champs d'un coup, ca serait un tres gros
defaut de conception (et une faille qui ressemblerait plutot a un
goufre).
A+
ff...@my-deja.com
> Ca serait etonant que cela marche ... il doit exister un moyen d'
> autentifier la totalite des champs d'un coup, ca serait un tres gros
> defaut de conception (et une faille qui ressemblerait plutot a un
> goufre).
>
Oui en fait je me suis renseigné et apparement le DES est calculé à
partir d'une clé dérivé de l'ID. Ce qui était assez prévisible.
JPM
Une clé dîte de validation, impossible à connaitre (a priori) par le simple
fraudeur.
FWI
Euh ! t'es sur de toi,
A mon avis tu racontes n'importe quoi...
En plus tu t'énerves !
Puisque que je te dis que c'est possible de retirer dans une cabine
téléphonique.
Tu es bouché ?
En plus, tu n'as rien démontré mathématiquement
Et puis, il parait que ta boite est experte dans pleins de domaines, t'as
pas la grosse tête ?
Mon papa est dans la police et il m'a dit que la clé des cartes utilisait
une parité paire.
ça t'en bouche un coin !
FWI.
Laurent PELE
"Will" <yolu...@wanadoo.fr> a écrit dans le message news:
95i4dc$i6t$1...@wanadoo.fr...
> Alors explique moi pourquoi il arrive que certaines cartes passent SANS le
> code sur des TPE.
Ca c'est tout à fait possible,
toutes les informations nécessaires pour une transaction avec la carte
bancaire à puce peuvent être lues sans avoir le code secret à 4 chiffres.
On peut ainsi lire notamment sur la puce, le numéro à 16 chiffres, la date
d'expiration, le nom du porteur et la valeur d'authentification (VA)
vérifiée par le terminal de paiement.
Cela est valable aussi bien pour les cartes bancaires émises avant novembre
1999 ne comportant qu'une VA de 320 bits que pour les cartes émises après
comprenant 2 VA, l'une de 320 bits et l'autre de 768 bits (l'une de ces 2 VA
requiert cependant le code secret à 4 chiffres)
Conséquence : non seulement cela génère la faille décrite dans le livre de
Serge Humpich et testé sur des cabines téléphoniques
voir http://parodie.com/monetique/brevelivre_humpich_31012001.htm
Mais aussi, il est possible de cloner une puce d'une carte bancaire
(quelleque soit sa date d'émission) sans avoir le code secret à 4 chiffres.
voir
http://parodie.com/monetique/brevetaille_cles_03022001.htm
En effet, le code n'est utilisé que pour accéder à certaines zones de la
puce de la carte bancaire telle que... l'historique des transactions
(inutile car la devise de la transaction fran ou euro n'est pas indiquée
dans l'historique) ou la génération d'un certificat de paiement (inutile car
pas utilisé lors du paiement puisqu'il n'est recalculé par la banque
émettrice qu'a posteriori en cas de litige).
Comme quoi, le code secret à 4 chiffres des puces des cartes bancaires est
malheureusement utilisé comme un gadget marketing.
> Je n'ai pas d'explications, je me contente de le constater.
> Cas constaté régulièrement sur des Elite 510-16 4 Mo avec les applis
141v27+
> et 101 v6+ et l'OS v17 famille 71, par exemple.
--
Laurent PELE 13 rue Lantiez 75017 PARIS
Tél/Fax +33 1 40 25 08 50 mob + 33 6 08 21 96 69
mailto:lau...@pele.org http://www.pele.org
Convertisseur euro et multi-devises sur http://fxtop.com/fr/
JPM
Pierre Vandevenne
@s1.read.news.oleane.net>:
>Mais il y a quelque chose entre Humpich et toi ?
Il y a un rapport avec la crypto ?
JPM
Pierre Vandevenne
@s1.read.news.oleane.net>:
>Il y a quelque chose entre Laurent et toi ?
En tout cas, j'espère que tu es le patron de ta boîte, parce que si un jojo
dans ton genre travallait chez moi et donnait une aussi mauvaise image de
ma société en public...
JPM
Luc Legrand
Ce newsgroup n'est peut être pas le plus approprié pour cette question mais
les
gens qui s'intéressent à la cryptograhpie sont a priori les plus avisés pour
répondre à mon problème.
J'ai voulu faire un retrait avec ma mastercard sur un distributeur société
général
il y a deux jours à Paris. Sans que j'aie rentré le code ni quoi que se soit
la carte
est restée bloquée dans le distributeur, celui affichant ensuite "hors
service".
J'ai fait 500 mètres pour rentrer chez moi et faire immédiatement opposition
sur
ma carte, soit 15 minutes environ.
Or en consultant mon compte aujourd'hui j'ai constaté un retrait de 1000f,
quelques
minutes après mon départ, sur mon compte, ce retrait ayant été fait à
quelques
centaines de mètres de là, sur un distributeur BNP, juste avant mon
opposition.
Je voudrais savoir comment il est possible que quelqu'un qui a pu récupéré
ma
carte ait pu faire un retrait sans avoir mon code.
J'espère me faire rembourser, ayant une assurance.
Cette situation est-elle arrivée à quelqu'un ici ?
Je voudrais surtout savoir comment cela est possible.
Merci.
Kim-Thibault DANG
bloquer ta carte dans le distributeur, la récupérer, tout cela sans te
regarder taper ton code PIN. Tu peux regarder sur www.parodie.com, il y
aura peut-être la description de la forme de l'attaque à la carte
bancaire que tu as subi. Mais je pense que la tienne va s'additionner à
la longue liste de toutes celles déjà répertoriées.
JL
Xl0c6.530$dB7.5...@nnrp4.proxad.net...
> Je voudrais savoir comment il est possible que quelqu'un qui a pu récupéré
> ma carte ait pu faire un retrait sans avoir mon code.
Vu comme ça c'est impossible, les fraudeurs ont dû récupérer votre code d'une
manière ou d'une autre.
Cela dit, dans ce genre de cas le réflexe à avoir c'est d'aller immédiatement
réclamer dans l'agence du distributeur, tout en le surveillant du coin de
l'œil. Si elle est fermée, on peut faire mine de partir tout en surveillant le
distributeur. Si on est obligé de quitter les lieux, il faut faire opposition
sur le champ, à partir d'un téléphone mobile ou d'une cabine.
JL.
[[ou[[ou
il existe un petit dispositif qui permet de "bloquer" la carte après que
l'utilisateur ait tappé son code.
Ce qui doit être ton cas.
L'escroq récupère ensuite la carte, ayant noté ton code visuellement, et
s'empresse de faire un ou plusieurs retraits dans un distributeur proche.
Belle arnaque classique.
"Luc Legrand" <fsh...@free.fr> a écrit dans le message news:
Xl0c6.530$dB7.5...@nnrp4.proxad.net...
Laurent PELE
"JL" <J...@jlamy.com> a écrit dans le message news:
Yfcc6.631$3l.7...@nnrp4.proxad.net...
> "Luc Legrand" <fsh...@free.fr> a écrit dans le message news:
> Xl0c6.530$dB7.5...@nnrp4.proxad.net...
>
> > Je voudrais savoir comment il est possible que quelqu'un qui a pu
récupéré
> > ma carte ait pu faire un retrait sans avoir mon code.
>
> Vu comme ça c'est impossible, les fraudeurs ont dû récupérer votre code
d'une
> manière ou d'une autre.
Cela dépend, il existe au moins une toute nouvelle faille décrite dans le
livre de Serge Humpich qui permet d'imputer une opération à une carte
bancaire dont on ignore le code. Elle s'appuie sur un (autre) vice de
conception de la procédure de vérification de la puce.
Elle consiste à faire une manipulation astucieuse à l'aide de 2 cartes
bancaires à puce et qui fonctionne au moins dans les cabines téléphoniques.
Voir ce livre pour les détails.
Dans les distributeurs, c'est plus difficile de faire cette manipulation car
la carte est avalée.
La personne qui "trouve" la carte d'un tiers dispose de 6 chances sur 9990
environ de trouver le code : 3 essais de code sur la puce et 3 essais de
code sur la piste magnétique. Il y a tellement de fraudes que cela doit tout
de même arriver de temps en temps que les fraudeurs retrouvent le code par
hasard.
Il existe aussi peut être des moyens utilisés par les fraudeurs pour faire
des opérations de retrait à l'aide d'une carte dont le code est ignoré.
Toutes les associations de consommateurs sont assaillies de cas similaires.
C'est même la vérité judiciaire qui admet la possibilité de retrouver le
code voir arrêt de la Cour d'appel de Versailles du 21/12/1990 qui disait
texto "l'expérience a hélas révélé, qu'une carte bancaire peut être utilisée
dans les billetteries sans connaissance par le fraudeur du code
confidentiel"
Ca ne s'invente pas !
JPM
JP
Thdu
JPM
Un bon vieux vrai rire sincère devant tant de bétise !
Laurent PELE
95bogb$4v2$1...@s1.read.news.oleane.net...
> Pas du tout !
> Un bon vieux vrai rire sincère devant tant de bétise !
Sans vouloir offenser ta suffisance, indique moi une seule partie de mon
message qui serait erroné.
Il y a des victimes de fraude, le système n'est pas totalement fiable et ils
n'ont pas à payer pour cela.
Ensuite affirmer péremptoirement que toutes les victimes ont montré leur
code est totalement contraire à la réalité.
On découvre de nouveaux types de fraude tous les jours et je ne prétend déjà
pas connaître toutes les failles du système
alors dire qu'il comme certains que c'est "impossible" qu'un débit ait lieu
sans connaître le code me fait bien marrer.
Cordialement.
FWI
s'imaginent détenir la vérité et qui nous débalent par le biais de leurs
petits
sites un gros paquet de conneries; les médias ont encore de beaux jours
devant eux.
Et ton site, parlons de ton site, sur lequel tu affiches une multitude de
photos :
moi et mon chameau, moi et ma femme, mon chien sous une couette,
moi et mon hamster, ma fosse septique et mon concierge, ma carte bancaire
avec
sa pupuce à poils longs.
C'est vraiment trop ringard...15 ans d'age mental et encore je suis gentil.
Allez !, tu me donnes une idée : tu utilises un de tes fameux trucs pour
retirer 1000 francs sur
un distributeur, tu prends des photos avant, pendant, après et tu consacres
une superbe
rubrique pour débaler la vérité toute vraie au monde qui nous entoure.
Chiche ?
Franck.
"Laurent PELE" <lau...@pele.org> wrote in message
news:95c3tf$1kbe$1...@news4.isdnet.net...
Laurent PELE
95c6to$dnf$1...@s1.read.news.oleane.net...
> Et dire, qu'il y a d'autres types dans ton genre encore en liberté qui
> s'imaginent détenir la vérité
Ben voila, cela ne répond nullement à la question : QU'EST CE QUI EST ERRONE
DANS MON MESSAGE ?
Rien, désolé si cela ne te plait pas.
Faudrait un jour avoir une approche constructive plutôt que d'insulter les
gens.
Il me semblait avoir dit que je ne savais pas tout et que je déplorais
l'opacité des banques.
Vincent DUPAQUIS
'fr.bac_a_sable.gamineries' ?
:-))))))))
On Thu, 1 Feb 2001 18:54:44 +0100, "Laurent PELE" <lau...@pele.org>
wrote:
Laurent PELE
i9fj7tcidh9thvc81...@4ax.com...
> Vous voulez peut etre que on vous mette a disposition un groupe
> 'fr.bac_a_sable.gamineries' ?
Allez y jouer tout seul,
moi je ne m'intéresse qu'aux failles de sécurité, pas aux joutes verbales.
Encore une fois, mon message ne comportait aucune erreur ni exactitude,
alors le jour où vous cesserez de remuer du vent parce
que je dis ne vous plais pas,
on pourra peut être avoir un échange constructif
Je rappelle mon message destiné à répondre à la question d'une victime
réllement fraudé dont vous semblez vous moquer éperdûment :
--
Thierry Thomas
>Cela dépend, il existe au moins une toute nouvelle faille décrite dans le
>livre de Serge Humpich qui permet d'imputer une opération à une carte
>bancaire dont on ignore le code. Elle s'appuie sur un (autre) vice de
>conception de la procédure de vérification de la puce.
À propos de Serge H.: il causera demain dans le poste, sur France Inter,
dans l'émission de M. Albert entre 6 et 7 heures.
--
Th. Thomas, ICQ : 8823153
Il y a sûrement des pays qui valent le coup. [MS]
Kim-Thibault DANG
Elle freine d'ailleurs terriblement le développement du commerce en
ligne.
70% des européens ont peurs de l'utiliser pour effectuer un achat.
C’est devenu une phobie mondiale.
La tentative de solution de sécurisation avec des lecteurs de carte à
puce ressemble au plus gros challenge jamais lancé (il n'est d'ailleurs
pas rentable pour les banques). En effet, elles doivent "récréer" un
nouveau réseau de marchands partenaires, déployer des lecteurs coûteux
et surtout acquérir une certaine confiance des utilisateurs. A l'heure
actuelle, le projet "recule", d'autant plus que la grande majorité des
fraudes existeront toujours tant que des marchands accepterons encore
d'effectuer des paiements simplement avec la date de validité et le
numéro. En d'autre terme, pour réussir a éliminer efficacement les
fraudes, il faudrait que du jour au lendemain tout le monde se trouvent
en possession d’une carte à puce (et il n'y a que la France
d'opérationnelle, le remplacement du parc mondial des 1,5Md de VISA en
smart card ne sera pas fini avant 2005...), que tout le monde possède
un lecteur de carte!!!, et que tous les marchands changent tous leurs
méthodes de paiement. Toutes ces conditions me laissent véritablement
perplexe sur l'avenir de la carte bancaire sur Internet. Car un
déploiement progressif de la carte à puce semble inutile, les fraudeurs
pourront toujours trouver des boutiques "classiques"...
Ne faudrait-il pas trouver une nouvelle solution plus sûre?
Pierre Vandevenne
>Pensez-vous que la carte bancaire a un avenir pour Internet?
Quelle carte bancaire ? La carte à puce à la française, la carte à piste, la
carte de crédit ?
>Elle freine d'ailleurs terriblement le développement du commerce en
>ligne.
Le fait-elle vraiment ? C'est vrai que VISA et MC ont abusé de leur position
pour écraser les concepts concurrents, mais sont-elles vraiment un frein ? Le
commerce en ligne se développe plutôt bien. Ce qui ne se développe pas, ce sont
les idées pas trop intelligentes du style acheter ses légumes ou ses jeans...
Mais est-ce surprenant ?
>70% des européens ont peurs de l'utiliser pour effectuer un achat.
70% des européens ne sont simplement pas connecté.
>La tentative de solution de sécurisation avec des lecteurs de carte à
>numéro. En d'autre terme, pour réussir a éliminer efficacement les
>fraudes, il faudrait que du jour au lendemain tout le monde se trouvent
>en possession d’une carte à puce (et il n'y a que la France
Parce que vous trouvez que la carte à puce est la panacée ? Que la carte à puce
française à bonne réputation auprès du public (à tort ou à raison, là n'est pas
la question). Quand on parle de carte à puce française à un Texan, il avale son
coca de travers.
>méthodes de paiement. Toutes ces conditions me laissent véritablement
>perplexe sur l'avenir de la carte bancaire sur Internet. Car un
Oui, là on est d'accord.
En Belgique, des projets conjoints entre les sociétés qui développent des
porte-feuilles électroniques et Belgacom se sont lamentablement plantés, avec
des chiffres d'affaires de 300 à 500 EUR par jours.
Faut dire qu'acheter un lecteur proton que l'on connecte à son ordinateur pour
dépenser de l'argent en ISP et téléphone dans le but d'acquérir sur un portail
sans stock des articles de mauvais goût qui coûtent 20% plus cher que dans le
commerce de détail, c'est pas très attractif, hein ? En plus, on a le temps d'y
réfléchir faisant la queue au bureau de poste pour récupérer son paquet...
>déploiement progressif de la carte à puce semble inutile, les fraudeurs
>pourront toujours trouver des boutiques "classiques"...
>Ne faudrait-il pas trouver une nouvelle solution plus sûre?
Plus sûre ou mieux adaptée à la situation ? Pourquoi pas ? Mais, d'une part le
problème n'est pas si énorme que cela et d'autre part on se trouve dans une
situation assez proche du monopole des pétroliers sur la motorisation des
véhicules automobiles : il n'y a pas de solution de rechange évidente, les
inconvénients sont connus, l'infrastructure est en place....
Kim-Thibault DANG
> Quelle carte bancaire ? La carte à puce à la française, la carte à
piste, la carte de crédit ?
elles ont toutes un numéro et une date de validité.
> Plus sûre ou mieux adaptée à la situation ? Pourquoi pas ? Mais,
d'une part le problème n'est pas si énorme que cela et d'autre part on
se trouve dans une situation assez proche du monopole des pétroliers
sur la motorisation des véhicules automobiles : il n'y a pas de
solution de rechange évidente, les inconvénients sont connus,
l'infrastructure est en place....
Je suis assez d'accord mais lorsque l'on adoptera progressivement tous
la signature électronique comme dans le BtoB actuellement, nous
n'aurons plus besoin d'utiliser notre carte. Les virements types ACH,
Swift, EFT... seront plus adapté et surtout sans comission au
pourcentage. Car malgré tout, en ce moment les grands gagnants sont
VISA and co qui, sous pretexte qu'il y a des fraudes touchent entre 2 à
7 % de commissions! soit 10 fois plus que dans le réel. Ils n'ont aucun
intêret à que cela change. Mais ils risquent peut-être à long terme de
tout perdre (en tout cas c'est déjà fait pour la confiance).
JL
95e2j3$k0n$1...@nnrp1.deja.com...
> Car malgré tout, en ce moment les grands gagnants sont
> VISA and co qui, sous pretexte qu'il y a des fraudes touchent entre 2 à
> 7 % de commissions! soit 10 fois plus que dans le réel.
Je ne sais pas où tu as vu des taux comme ça, mais vu que les banques
facturent moins de 1% aux commerçants quand c'est négocié un minimum
correctement, et de 0 à 2% aux particuliers pour les paiements à l'étranger,
je vois mal comment VISA pourrait toucher de 2 à 7% !
JL.
Laurent Jumet
Kim-Thibault DANG <k...@creamix.com> wrote:
KD> Pensez-vous que la carte bancaire a un avenir pour Internet?
KD> Elle freine d'ailleurs terriblement le développement du commerce en
KD> ligne.
Ce que j'ai déjà utilisé et qui a un avenir, c'est un site sécurisé qui
ne fait que gérer les transactions.
Exemple: je vends des jacquets et tu veux en acheter un.
Tu vas sur mon site, tu cliques sur la marchandise et tu es envoyé vers
un site en Allemagne par exemple, qui sécurise la connexion et te demande
tes renseignements. Il va gérer non seulement la transaction mais aussi la
TVA, car il y a cela aussi. Puis je reçois un e-mail "Bon à Livrer".
Ton numéro de carte n'est connu que par le site.
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xB9973375
[Restore address to laurent.jumet for e-mail reply.]
Kim-Thibault DANG
> > 7 % de commissions! soit 10 fois plus que dans le réel.
>
> Je ne sais pas où tu as vu des taux comme ça, mais vu que les banques
> facturent moins de 1% aux commerçants quand c'est négocié un minimum
> correctement, et de 0 à 2% aux particuliers pour les paiements à
l'étranger,
> je vois mal comment VISA pourrait toucher de 2 à 7% !
Je suis d'accord avec toi, mais les pourcentages que j'avance sont pour
le commerce en ligne (tu parles du commerce de détail). Lorsqu'une
carte étrangère est utilisée sur un site marchand, les comissions
peuvent encore être plus importantes!
philippe...@gmail.com
Elephant Man
>
> Il.sagit.delatechniqueducolletunmorceaeudeplastiquetypecbquirecoltelacartepluslecode.ilauraitfaluelesgnaler.al.agence.depluslabanquesedoitdevousrembourseelasomme1000eurprouvantvotrebonnefoideplusvouspouvezafaireuneverif/sécurité.camera.sinonadressezvous.afubquiesttrescompetente.
Problème de clavier Philippe ?
