Une faille majeure touche des centaines de milliers de sites, Réactions à la publication du 10/01/2013

[Lionel]

Une faille majeure a été découverte dans la Framework libre Ruby on Rails utilisée par environ 240 000 sites web dans le monde. Elle est utilisée comme pierre angulaire dans la création de nombreux sites web, y compris de très gros comme Hulu.
La faille découverte touche toutes les versions déployées depuis 6 ans et permet à des pirates de prendre le contrôle à distance des serveurs et de piller leurs bases de données.
Déjà des pirates particulièrement malveillants développeraient des outils capables de chercher systématiquement ces serveurs afin de les attaquer, et certainement d'installer dessus des portes dérobées avant que la faille ne soit comblée.
Il est très fortement conseillé à tous les adminstrateurs de mettre à jour au plus vite leur Ruby On Rail vers les rares versions non touchées, les 3.2.11, 3.1.10, 3.0.19 et 2.3.15.
Par Lionel

[danyaile]

La faille découverte touche toutes les versions déployées depuis 6 ans et permet à des pirates de prendre le contrôle à distance des serveurs et de piller leurs bases de données.
Déjà des pirates particulièrement malveillants développeraient des outils capables de chercher systématiquement ces serveurs afin de les attaquer, et certainement d'installer dessus des portées dérobées avant que la faille ne soit comblée.

Quid des "nuages" et des sites qui prétendent conserver nos données confidentielles tel que les infos sur les cartes de crédit ?

On vit une époque moderne...
Daniel

[SpacetitoX]

La faille découverte touche toutes les versions déployées depuis 6 ans et permet à des pirates de prendre le contrôle à distance des serveurs et de piller leurs bases de données.
Déjà des pirates particulièrement malveillants développeraient des outils capables de chercher systématiquement ces serveurs afin de les attaquer, et certainement d'installer dessus des portées dérobées avant que la faille ne soit comblée.

Quid des "nuages" et des sites qui prétendent conserver nos données confidentielles tel que les infos sur les cartes de crédit ?

On vit une époque moderne...
Daniel

La carte de crédit c'est vraiment le truc qui me feras jamais peur... On peut me la piqué autant qu'on veut cela m'est égal la banque rembourseras toujours et rapidement sans sourciller...

[r@net54]

La faille découverte touche toutes les versions déployées depuis 6 ans et permet à des pirates de prendre le contrôle à distance des serveurs et de piller leurs bases de données.
Déjà des pirates particulièrement malveillants développeraient des outils capables de chercher systématiquement ces serveurs afin de les attaquer, et certainement d'installer dessus des portées dérobées avant que la faille ne soit comblée.

Quid des "nuages" et des sites qui prétendent conserver nos données confidentielles tel que les infos sur les cartes de crédit ?

On vit une époque moderne...
Daniel

Tu as raison, croire que le "Cloud" peut etre sécurisé c'est faire preuve soit d'une totale ignorance du sujet soit d'une naïveté incroyable.

Ceci dit, si RoR souffre de failles comme les autres architectures serveurs, ce n'est pas nouveau. Actuellement, RoR n'est pas le plus représente, il est loin derrière PHP et Java (sans parler d' Active Server Pages...), qui eux aussi souffrent de failles régulièrement découvertes et souvent conséquentes.
A cela s'ajoutent les failles de toute la chaine: logiciel serveur, SGDB, OS, ... bref autant de risques que le système soit attaque et tombe. On peut rajouter a cela les failles liees aux erreurs de conceptions et de programmation avec les applicatifs serveurs (PHP, JAVA, RoR,...) ou meme du cote client (Javascript, flash...)

Une des failles les plus répandue et la plus facile d'acces c'est l'injection SQL, permettant extraire des donnees d'une base de donnees par un "intrus". Bien que ce risque soit tres documente, rien a faire, c'est encore la faille la plus exploite, car souvent les concepteurs de sites n'ont pas les connaissances de base permettant d'éviter ces erreurs.

Bref la question n'est pas de savoir SI les données personnelles ou financières (numéro de CB...) seront volées, mais QUAND elles les seront.
Certes la failles en question va etre comblée, mais on va en découvrir une nouvelle dans un serveur bien plus repandu (ASP, Java, PHP...). A l'utilisateur de prendre ses responsabilités et d'être un peu conscient des risques et des précautions a prendre (utilisation d'une e-carte bancaire pour des transaction ponctuelles, limiter la divulgation de ses informations personnelles aux seuls autorités et pas a n'importe quel site marchand,...)

Ceci dit, malgre la publicite autour de cette faille, RoR offre un environnement plus securisable (et sécurise) que d'autres...

[BdeHOGUES]

La carte de crédit c'est vraiment le truc qui me feras jamais peur... On peut me la piqué autant qu'on veut cela m'est égal la banque rembourseras toujours et rapidement sans sourciller...

C'est de la théorie et tu peux demander à l'AFUB le nombre incroyable de dossiers en souffrance malgré la loi !!!

J'ai vécu l'histoire il y a quelques mois sur le Web et malgré ma connaissance de la procédure ma banque a mis exactement... 3 mois pour me rembourser + de 3000€.

Sans rentrer dans les détails, elle a eu une attitude de voyou à mon égard !!! (son logo est vert, commence par un C et finit par un A)

Ce message a été modifié par BdeHOGUES - 10 Jan 2013, 14:06.

[Zazen]

La carte de crédit c'est vraiment le truc qui me feras jamais peur... On peut me la piqué autant qu'on veut cela m'est égal la banque rembourseras toujours et rapidement sans sourciller...

Jusqu'au jour ou une banque obtiendra une décision de justice admettant la "négligence" du client qui enregistre volontairement ses données de CB sur le net, et là, fini le remboursement automatique. Droit au remboursement qui, pour le moment, est effectivement écrit dans les textes, mais loin d'être appliqué par toutes les banques, comme le souligne BdeHOGUES.

[Cronos]

Devant le côté lâche et malveillant de la nature humaine, les données confidentielles ne seront jamais bien protégées sur le net surtout si les attaques sont facilement anonymes.Pour moi, cela condamne toute confiance pour placer mes données en iCloud par exemple ou d'ailleurs dans tout serveur .
de même je n'utilise ni facebook ni twitter ni réseau social de ce genre.
C'est l'anonymat qui encourage le non droit; à voir les arnaques de Carte bancaire qui explosent.
De toute façon, j'utilise de plus en plus les commerces physiques connues dans mon environnement et encourage les vraies relations humaines opposées au virtuel.


Ce message a été modifié par Cronos - 10 Jan 2013, 06:15.

[wolfhouse]

La carte de crédit c'est vraiment le truc qui me feras jamais peur... On peut me la piqué autant qu'on veut cela m'est égal la banque rembourseras toujours et rapidement sans sourciller...

C'est de la théorie et tu peux demander à l'AFUB le nombre incroyable de dossiers en souffrance malgré la loi !!!

J'ai vécu l'histoire il y a quelques mois sur le Web et malgré ma connaissance de la procédure ma banque a mis exactement... 3 mois pour me rembourser + de 3000€.

Sans rentrer dans les détails, elle a eu une attitude de voyou à mon égard !!! (son logo est vert, commence par un C et fini par un A)

De l'intérêt à avoir une carte avec débit différé. S'il y a contestation, la charge n'est pas débitée à la fin du mois.

[Beaubarre]

La carte de crédit c'est vraiment le truc qui me feras jamais peur... On peut me la piqué autant qu'on veut cela m'est égal la banque rembourseras toujours et rapidement sans sourciller...

C'est voir à court terme parce que s'il y a des pertes, c'est sûr que la banque va augmenter ses tarifs pour compenser, et c'est ses clients qui vont surpayer, pas les fraudeurs. Un peu comme si tu disais que tu t'en fous de mettre ton vieux frigo dans la rue puisque de toute façon un autre devra s'en occuper.

Pour avoir vu un certain nombre de dossiers de fraude sur CB, la moitié au moins sont suspects (du genre 20 euros toutes les semaines), bref il y a de fortes présomptions que le fraudeur c'est le client ou sa famille proche (bah oui qui peut facilement avoir votre CB, le code confidentiel ou de sécurité etc ?). Reste à voir jusqu'à quand les banques vont accepter sans sourciller.

[GhisDiem]

…/…
De toute façon, j'utilise de plus en plus les commerces physiques connues dans mon environnement et encourage les vraies relations humaines opposées au virtuel.

Quand ils existent encore, ce qui n'est pas le cas dans mon coin, hélas… 

[Ze Clubbeur]

Une faille majeure a été découverte dans la Framework libre Ruby on Rails utilisée par environ 240 000 sites web dans le monde. Elle est utilisée comme pierre angulaire dans la création de nombreux sites web, y compris de très gros comme Hulu.
La faille découverte touche toutes les versions déployées depuis 6 ans et permet à des pirates de prendre le contrôle à distance des serveurs et de piller leurs bases de données.

Oh ben tiens...
De toute façons, il n'y a pas de secrets... A force de jouer les flemmards, on finit par voir ce que ça donne... Ouiiiiiiii, les framworks, c'est génial, ça permet de développer un site rapidement...
Tout comme les CMS c'est à connaître... Mais à vite oublier...
Dès qu'on veut un projet de qualité, rien ne vaut 10 doigts et un cerveau plutôt que de confier une partie de son code à un framwork douteux...

On est dans une époque où on doit aller de plus en plus vite... Et au final, on fait de la m...

Sur ce, bonne journée

[cris_]

Une faille majeure a été découverte dans la Framework libre Ruby on Rails utilisée par environ 240 000 sites web dans le monde. Elle est utilisée comme pierre angulaire dans la création de nombreux sites web, y compris de très gros comme Hulu.
La faille découverte touche toutes les versions déployées depuis 6 ans et permet à des pirates de prendre le contrôle à distance des serveurs et de piller leurs bases de données.

Oh ben tiens...
De toute façons, il n'y a pas de secrets... A force de jouer les flemmards, on finit par voir ce que ça donne... Ouiiiiiiii, les framworks, c'est génial, ça permet de développer un site rapidement...
Tout comme les CMS c'est à connaître... Mais à vite oublier...
Dès qu'on veut un projet de qualité, rien ne vaut 10 doigts et un cerveau plutôt que de confier une partie de son code à un framwork douteux...

On est dans une époque où on doit aller de plus en plus vite... Et au final, on fait de la m...

Sur ce, bonne journée

+ 10000

[tenets]

La carte de crédit c'est vraiment le truc qui me feras jamais peur... On peut me la piqué autant qu'on veut cela m'est égal la banque rembourseras toujours et rapidement sans sourciller...

Le service eCarte payant (quelques € par an), permet d'avoir pour chaque transaction un N° unique, pour un montant donné, utilisable
une seule fois pour payer et même pour se faire rembourser un trop perçu.
Certains sites (SNCF, ...), ou les hôtels ne l'acceptent pas (encore).
Je me demande bien pourquoi les banques ne l'imposent pas au lieu de continuer à payer pour des fraudes.
Moi j'ai dit bizarre ?

[zedbee]

c'est pas vraiment le sujet, mais je ne vois pas l'intérêt de réinventer la roue à chaque conception de site.
le concept du framework et quand même génial... après y'a rien de sécure à 100%

de plus pour avoir vu les usines à gaz développées par certains from scratch, je vois pas l'intérêt. Sans parler que quand le dev est en vacances, ou a disparu de la circulation, le site on peut le mettre à la poubelle, personne n'est foutu de faire la moindre modification, et souvent le dev est lui même infoutu d'assurer le suivi et la sécurisation dans le temps.

Combien de site sont encore développées sans Xpdo pour leur échanges de données...

bref je préfère de loin faire confiance à un team qui suis de près un framework, plutôt qu'à une seule personne, même si c'est le roi du code.

[hypee]

Une faille majeure a été découverte dans la Framework libre Ruby on Rails utilisée par environ 240 000 sites web dans le monde. Elle est utilisée comme pierre angulaire dans la création de nombreux sites web, y compris de très gros comme Hulu.
La faille découverte touche toutes les versions déployées depuis 6 ans et permet à des pirates de prendre le contrôle à distance des serveurs et de piller leurs bases de données.

Oh ben tiens...
De toute façons, il n'y a pas de secrets... A force de jouer les flemmards, on finit par voir ce que ça donne... Ouiiiiiiii, les framworks, c'est génial, ça permet de développer un site rapidement...
Tout comme les CMS c'est à connaître... Mais à vite oublier...
Dès qu'on veut un projet de qualité, rien ne vaut 10 doigts et un cerveau plutôt que de confier une partie de son code à un framwork douteux...

On est dans une époque où on doit aller de plus en plus vite... Et au final, on fait de la m...

Sur ce, bonne journée

Ce genre de commentaire ne peut provenir que d'une personne qui n'est pas développeur d'application pour osé dire de tel aberration !

Je ne vais chercher ici à vous démontrer par A+B l'intérêt d'utiliser un framework ou CMS pour développer vos site / applicatif.
D'ailleurs si c'était vraiment inutile, je me demande bien pourquoi Twitter, Hulu, AirBnB, BaseCamp, GitHub, Reedit, Slideshare et j'en passe ont été développés sous Rails.

Les développements "from scratch" sont les développements les plus dangereux qu'ils existent en terme de sécurité ! Comment voulez-vous qu'une seule personne / équipe puisque développer une solution complète sans faire des erreurs basiques de sécurité à savoir : injection SQL, XSS, XST, et j'en passe. Sans compter que ce qui va être "refait", par exemple une Class qui expose la connection à la BD, ce que fait magnifiquement bien ActiveRecord, le sera nettement en moins bien.

A l'instar, lorsqu'un problème de sécurité est découvert sous une solution type Rails, c'est toute une communauté qui est derrière. Le Patch correctif est disponible dans la journée.. et l'info circule assez rapidement pour que les sites soient mis à jour !

Sans compter que ce type d'annonce restent racisme !
Et nous venons de faire le test sur notre appli, ils nous a fallu 4 heures d'acharnement pour arriver à un résultat très peu exploitable alors que nous connaissions l'architecture et le schema de donnée (chose qu'un cracker ne connait pas lorsqu'il essai de violer votre appli.)

Sur ceux, ménagé vos propos quand vous ne connaissez mal ou pas bien votre sujet.

Maxime

[SartMatt]

Le service eCarte payant (quelques € par an)

Et même de plus en plus souvent gratuit.

Certains sites (SNCF, ...), ou les hôtels ne l'acceptent pas (encore).

Ce sont des cas où la carte physique est utilisée par la suite comme moyen d'authentification, c'est pour ça qu'ils ne peuvent pas l'accepter.
Par exemple, quand tu commandes des billets à la SNCF avec retrait en distributeur, il faut, en plus du numéro de dossier, insérer la carte qui a servi au paiement en ligne dans le distributeur.

Je me demande bien pourquoi les banques ne l'imposent pas au lieu de continuer à payer pour des fraudes.

Parce qu'il y a des cas où tu peux te retrouver dans l'impossibilité de générer un numéro e-carte, et donc, si c'était imposé, tu ne pourrais pas faire ton achat (déjà avec le 3D Secure y a des problèmes... mon frère, qui ne peut pas recevoir de SMS à l'étranger ne peut pas faire de paiement avec sa carte sur un site 3D Secure, parce que le seul moyen de contrôle proposé par sa banque, c'est l'envoi d'un code par SMS...).
Et il y a aussi des cas où il est nécessaire d'avoir un numéro de carte avec une période de validité supérieure à deux mois (paiement en plusieurs fois, enregistrement des coordonnées de paiement sur un site genre iTunes ou Amazon, etc...).

[alpseb]

Une faille majeure a été découverte dans la Framework libre Ruby on Rails utilisée par environ 240 000 sites web dans le monde. Elle est utilisée comme pierre angulaire dans la création de nombreux sites web, y compris de très gros comme Hulu.
La faille découverte touche toutes les versions déployées depuis 6 ans et permet à des pirates de prendre le contrôle à distance des serveurs et de piller leurs bases de données.

Oh ben tiens...
De toute façons, il n'y a pas de secrets... A force de jouer les flemmards, on finit par voir ce que ça donne... Ouiiiiiiii, les framworks, c'est génial, ça permet de développer un site rapidement...
Tout comme les CMS c'est à connaître... Mais à vite oublier...
Dès qu'on veut un projet de qualité, rien ne vaut 10 doigts et un cerveau plutôt que de confier une partie de son code à un framwork douteux...

On est dans une époque où on doit aller de plus en plus vite... Et au final, on fait de la m...

Sur ce, bonne journée

Ce genre de commentaire ne peut provenir que d'une personne qui n'est pas développeur d'application pour osé dire de tel aberration !

Je ne vais chercher ici à vous démontrer par A+B l'intérêt d'utiliser un framework ou CMS pour développer vos site / applicatif.
D'ailleurs si c'était vraiment inutile, je me demande bien pourquoi Twitter, Hulu, AirBnB, BaseCamp, GitHub, Reedit, Slideshare et j'en passe ont été développés sous Rails.

Les développements "from scratch" sont les développements les plus dangereux qu'ils existent en terme de sécurité ! Comment voulez-vous qu'une seule personne / équipe puisque développer une solution complète sans faire des erreurs basiques de sécurité à savoir : injection SQL, XSS, XST, et j'en passe. Sans compter que ce qui va être "refait", par exemple une Class qui expose la connection à la BD, ce que fait magnifiquement bien ActiveRecord, le sera nettement en moins bien.

A l'instar, lorsqu'un problème de sécurité est découvert sous une solution type Rails, c'est toute une communauté qui est derrière. Le Patch correctif est disponible dans la journée.. et l'info circule assez rapidement pour que les sites soient mis à jour !

Sans compter que ce type d'annonce restent racisme !
Et nous venons de faire le test sur notre appli, ils nous a fallu 4 heures d'acharnement pour arriver à un résultat très peu exploitable alors que nous connaissions l'architecture et le schema de donnée (chose qu'un cracker ne connait pas lorsqu'il essai de violer votre appli.)

Sur ceux, ménagé vos propos quand vous ne connaissez mal ou pas bien votre sujet.

Maxime

ca devait etre une blague son message ;-)

[marc_os]

La carte de crédit c'est vraiment le truc qui me feras jamais peur... On peut me la piqué autant qu'on veut cela m'est égal la banque rembourseras toujours et rapidement sans sourciller...

C'est de la théorie et tu peux demander à l'AFUB le nombre incroyable de dossiers en souffrance malgré la loi !!!

J'ai vécu l'histoire il y a quelques mois sur le Web et malgré ma connaissance de la procédure ma banque a mis exactement... 3 mois pour me rembourser + de 3000€.

Sans rentrer dans les détails, elle a eu une attitude de voyou à mon égard !!! (son logo est vert, commence par un C et fini par un A)

De l'intérêt à avoir une carte avec débit différé. S'il y a contestation, la charge n'est pas débitée à la fin du mois.

Pas si sûr que ça change grand chose, car cela ne concerne pas le commerçant qui est payé par la banque avec un délais indépendant de votre type de carte. Vous êtes débité à la fin du mois, mais cela ne veut pas dire que le commerçant n'est pas payé avant. La carte à débit différé est une facilité que vous offre votre banque, un type de crédit gratuit qui vous est "offert" par votre banque.

[Digger]

Mais arrêtez, j'ai peur!!!

[duncan]

La faille découverte touche toutes les versions déployées depuis 6 ans et permet à des pirates de prendre le contrôle à distance des serveurs et de piller leurs bases de données.

Dans le genre catastrophisme on ne fait pas mieux.
Puisqu'aucune information n'est apportée sur la faille, en voici (source le monde informatif)

L'une des failles, numérotée CVE-2013-0156, se situe dans le code d'analyse des paramètres de Ruby on Rails. Elle autoriserait les hackers à contourner les systèmes d'authentification pour mener une attaque par injection de code SQL ou par déni de service contre des applications utilisant Rails, selon le bulletin publié hier. Une attaque par injection de code SQL met en oeuvre l'envoi de commandes via un formulaire web vers la base de données d'un site web qui, si elle n'est pas correctement protégée, peut renvoyer des données sensibles.

L'autre faille, CVE-2013-0155, permettrait à un attaquant d'envoyer vers la base des requêtes avec la commande « IS NULL » en raison de la façon dont Active Record interprète les paramètres en combinaison avec le mode d'analyse des paramètres JSON. Il s'agit d'une variante des failles CVE-2012-2660 et CVE-2012-2694.

Bref, on est très loin de la 'prise de contrôle à distance des serveurs'.

Déjà des pirates particulièrement malveillants développeraient des outils capables de chercher systématiquement ces serveurs afin de les attaquer, et certainement d'installer dessus des portes dérobées avant que la faille ne soit comblée.Il est très fortement conseillé à tous les adminstrateurs de mettre à jour au plus vite leur Ruby On Rail vers les rares versions non touchées, les 3.2.11, 3.1.10, 3.0.19 et 2.3.15.

La faille a été comblée, justement dans ces mises à jour.

Quatre mises à jour de Rails ont été livrées ce mardi : 3.211, 3.1.10, 3.0.19 et 2.3.15. « Elles comportent deux correctifs de sécurité tout à fait critiques à installer immédiatement ».

[r@net54]

Le service eCarte payant (quelques € par an)

Et même de plus en plus souvent gratuit.

Certains sites (SNCF, ...), ou les hôtels ne l'acceptent pas (encore).

Ce sont des cas où la carte physique est utilisée par la suite comme moyen d'authentification, c'est pour ça qu'ils ne peuvent pas l'accepter.
Par exemple, quand tu commandes des billets à la SNCF avec retrait en distributeur, il faut, en plus du numéro de dossier, insérer la carte qui a servi au paiement en ligne dans le distributeur.

Je me demande bien pourquoi les banques ne l'imposent pas au lieu de continuer à payer pour des fraudes.

Parce qu'il y a des cas où tu peux te retrouver dans l'impossibilité de générer un numéro e-carte, et donc, si c'était imposé, tu ne pourrais pas faire ton achat (déjà avec le 3D Secure y a des problèmes... mon frère, qui ne peut pas recevoir de SMS à l'étranger ne peut pas faire de paiement avec sa carte sur un site 3D Secure, parce que le seul moyen de contrôle proposé par sa banque, c'est l'envoi d'un code par SMS...).
Et il y a aussi des cas où il est nécessaire d'avoir un numéro de carte avec une période de validité supérieure à deux mois (paiement en plusieurs fois, enregistrement des coordonnées de paiement sur un site genre iTunes ou Amazon, etc...).

Effectivement les numéro temporaire de carte de crédits utilises avec les cartes bancaires "virtuelles" (e-carte bleue) sont la meilleures solutions qui soit.
Par contre il n'y a aucune justification, autre que la captivité du client, pour les refuser.
Pour ma part je dispose depuis le debut d'une telle carte, et je peux payer autant des achats ponctuels que des versements réguliers.

En ce qui concerne la SNCF qui demande de presenter la carte bancaire pour retirer le billet, c'est du grand n'importe quoi. On dispose d'une numero de dossier et il est nominatif en plus. Donc le numero de dossier devrait suffire, au pire l'agent pourrait demander la carte d'identité. L'attitude de la SNCF est injustifiable. De toute façon il suffit de se faire envoyer le billet par la poste c'est gratuit...

Quand a la pratique imbecile du SMS pour valider les transactions c'est aussi totalement stupide et je pense illégal. Il suffit d'etre en zone non couverte pour ne plus pouvoir utiliser sa CB et cela nécessite evidement d'avoir un portable... C'est un moyen pour les banque de ne pas investir dans des boitiers recepteurs spécifiques, bref une economie sur le dos du consommateur. Pourquoi du SMS et pas du mail d'ailleurs...

Bref il y a des contraites techniques reelles et plus souvent des abus veritables de la part des commerçant/banques.

[Alcmene_]

Pourquoi du SMS et pas du mail d'ailleurs...

Parce que si quelqu’un a exploité une faille numérique suffisamment large pour obtenir un numéro de CB, il y a des chances que l'adresse email ait été également compromise. Le téléphone portable est une bien meilleure garantie : le seul moyen de l'obtenir est d'avoir physiquement rencontré la personne volée.

C'est le principe de base de l'authentification en deux étapes (cf. Google).

Idem pour la SNCF. Je suis personnellement plutôt rassuré par le fait qu'il ne suffisse pas d'accéder à mes mails pour retirer mes billets de train. On notera d'ailleurs que depuis quelques semaines, les e-billets sont accessibles sans retrait, donc sans CB, directement sur la carte de fidélité, qui sert de sésame physique indépendant du moyen de paiement.

[SartMatt]

Par contre il n'y a aucune justification, autre que la captivité du client, pour les refuser.
Pour ma part je dispose depuis le debut d'une telle carte, et je peux payer autant des achats ponctuels que des versements réguliers.

Perso, je trouve pas que laisser mes informations de cartes à Amazon ou PayPal me rend plus captif.
Par contre, ça me rend service, parce que c'est quand même bien plus pratique à l'usage.

Et pour les versements réguliers, tu fais comment par exemple quand tu fais un paiement en x fois ? J'ai jamais vu un site proposant du paiement en x fois qui permette de changer le numéro de carte d'un paiement à l'autre...

En ce qui concerne la SNCF qui demande de presenter la carte bancaire pour retirer le billet, c'est du grand n'importe quoi. On dispose d'une numero de dossier et il est nominatif en plus. Donc le numero de dossier devrait suffire, au pire l'agent pourrait demander la carte d'identité. L'attitude de la SNCF est injustifiable. De toute façon il suffit de se faire envoyer le billet par la poste c'est gratuit...

Je parles de retraits en distributeur, pas de retrait en guichet. Donc pas de contrôle d'identité possible.
Bien sûr, ils pourraient faire un système avec un identifiant plus compliqué (parce que l'actuel identifiant à 5-6 caractères, c'est pas terrible...).
Mais est ce que ça simplifierait la vie de l'utilisateur ? Non. Pour l'utilisateur, c'est bien plus simple d'avoir un numéro de dossier assez court et d'insérer sa carte qu'un truc long avec un mot de passe en plus...

Surtout que même avec un numéro de dossier plus long, c'est pas forcément gagné... Le numéro de dossier est envoyé par mail. Celui qui accède à tes mails, il connait sans doute ton nom (surtout qu'il y a des chances qu'il soit aussi dans le mail de la SNCF...). Et hop, il a toutes les infos pour aller dans un distributeur de gare récupérer tes billets, et il n'aura plus qu'à trouver quelqu'un pour les lui racheter.

Quand a la pratique imbecile du SMS pour valider les transactions c'est aussi totalement stupide et je pense illégal. Il suffit d'etre en zone non couverte pour ne plus pouvoir utiliser sa CB et cela nécessite evidement d'avoir un portable... C'est un moyen pour les banque de ne pas investir dans des boitiers recepteurs spécifiques, bref une economie sur le dos du consommateur. Pourquoi du SMS et pas du mail d'ailleurs...

Des boitiers récepteurs spécifiques... Qui utiliseraient quel réseau ? Parce que bon, si c'est pour avoir des boîtiers passant par le réseau GSM, c'est pas franchement mieux qu'un téléphone, hein...

Et le SMS plutôt que le mail, je le comprends, même si je préfère le mail, plus pratique : c'est une authentification basée sur la possession, en complément de la connaissance (identifiant/mot de passe). Il faut avoir en main le bon téléphone (ou au moins sa carte SIM) pour recevoir le SMS. Typiquement, le type qui choppe un numéro de CB avec un keylogger, c'est quasi certain qu'il aura aussi l'adresse mail et le mot de passe qui vont avec. Il n'aura par contre pas la carte SIM.

Personnellement, la seule solution que je trouve meilleure, c'est les trucs type RSA SecureId, indépendants du réseau. Mais ça fait un truc de plus à se trimballer si c'est pas intégré directement à la carte (mais ça commence à arriver les systèmes intégrés aux cartes, j'avais fait une news à ce sujet il y a quelques mois).

Par contre, je vois pas pourquoi l'envoi d'un code par SMS serait illégal...

[r@net54]

Par contre il n'y a aucune justification, autre que la captivité du client, pour les refuser.
Pour ma part je dispose depuis le debut d'une telle carte, et je peux payer autant des achats ponctuels que des versements réguliers.

Perso, je trouve pas que laisser mes informations de cartes à Amazon ou PayPal me rend plus captif.
Par contre, ça me rend service, parce que c'est quand même bien plus pratique à l'usage.

Et pour les versements réguliers, tu fais comment par exemple quand tu fais un paiement en x fois ? J'ai jamais vu un site proposant du paiement en x fois qui permette de changer le numéro de carte d'un paiement à l'autre...

Paypal est un service bancaire, soumis a des normes et une législation precise, pas un site marchand. Il est nécessaire qu'ils disposent de tes identifiants civils... Il sont responsables légalement (et pénalement) de la sécurisation de leurs données.

Par contre pour Amazon, ou Apple ou xxx, qu'ils disposent de ton numero de carte n'est nullement nécessaire.
A chaque transaction tu vas devoir t'identifier puis confirmer, et de leur cote ils vont verifier la transaction, tout comme les deux banques derrière.
Disposer de ton numero de carte sur leurs base de données ne se justifie pas, et cela n'est pas avantageux pour toi (a part la facilite d'achat 1-click permettant l'achat compulsif et immédiat, mais meme la il faudra valider la transaction a un moment).

Par contre, lorsque leur site sera pirate, le criminel sera bien content de pouvoir récupérer ton numero de carte ainsi que l'historique de tes transactions (surtout avec les montant et la fréquence).

Pour les versements réguliers, soit on est dans le cadre d'un abonnement, ce que permettent les e-cartes bancaire. Soit on est dans le cas d'un crédit et il y a un dossier a constituer aupres d'un organisme bancaire habilite au crédit et le versement se fait généralement par virement, donc opération de banque a banque, ce qui est la meilleure solution.
L'utilisation d'une carte bancaire est inutile dans ce cas.

En ce qui concerne la SNCF qui demande de presenter la carte bancaire pour retirer le billet, c'est du grand n'importe quoi. On dispose d'une numero de dossier et il est nominatif en plus. Donc le numero de dossier devrait suffire, au pire l'agent pourrait demander la carte d'identité. L'attitude de la SNCF est injustifiable.
De toute façon il suffit de se faire envoyer le billet par la poste c'est gratuit...

Je parles de retraits en distributeur, pas de retrait en guichet. Donc pas de contrôle d'identité possible.
Bien sûr, ils pourraient faire un système avec un identifiant plus compliqué (parce que l'actuel identifiant à 5-6 caractères, c'est pas terrible...).
Mais est ce que ça simplifierait la vie de l'utilisateur ? Non. Pour l'utilisateur, c'est bien plus simple d'avoir un numéro de dossier assez court et d'insérer sa carte qu'un truc long avec un mot de passe en plus...

Surtout que même avec un numéro de dossier plus long, c'est pas forcément gagné... Le numéro de dossier est envoyé par mail. Celui qui accède à tes mails, il connait sans doute ton nom (surtout qu'il y a des chances qu'il soit aussi dans le mail de la SNCF...). Et hop, il a toutes les infos pour aller dans un distributeur de gare récupérer tes billets, et il n'aura plus qu'à trouver quelqu'un pour les lui racheter.

Si tu fais un retrait au distributeur, cela signifie que tu te déplaces avec ta cate de crédit jusqu'a un distributeur...
Le seul cas ou il faille alors d'abord payer puis aller ensuite retirer le billet, c'est dans le cas d'un achat par internet. Dans ce cas, puisque tu es livre par la poste, je ne vois pas l'intérêt d'aller chercher ton billet au distributeur.

Mais si tu tiens tout de même a faire ta transaction en deux temps (achat par Internet+retrait a un distributeur automatique) et aller récupérer ton billet toi même sans utiliser les services de la Poste (dont les agent sont responsables de la livraison), il est probable que tu ais une carte d'abonnement, qui serait alors la plus légitime pour retirer ton billet!

Non le fait de conserver des numeros de carte et d'interdire ainsi l'utilisation d'une e-carte bancaire, c'est juste un truc qui permet au marchand de clamer sur les marches speculatifs qu'il détient n clients identifies par leur carte bancaire physique et de revendre du fichier clients certifie, ce qui vaut une fortune!
Il y a meme des cas ou ces numéro sont utilises pour profiler les clients: c'est illégal mais ca a déjà ete fait!

Quand a la pratique imbecile du SMS pour valider les transactions c'est aussi totalement stupide et je pense illégal. Il suffit d'etre en zone non couverte pour ne plus pouvoir utiliser sa CB et cela nécessite evidement d'avoir un portable... C'est un moyen pour les banque de ne pas investir dans des boitiers recepteurs spécifiques, bref une economie sur le dos du consommateur. Pourquoi du SMS et pas du mail d'ailleurs...

Des boitiers récepteurs spécifiques... Qui utiliseraient quel réseau ? Parce que bon, si c'est pour avoir des boîtiers passant par le réseau GSM, c'est pas franchement mieux qu'un téléphone, hein...

Et le SMS plutôt que le mail, je le comprends, même si je préfère le mail, plus pratique : c'est une authentification basée sur la possession, en complément de la connaissance (identifiant/mot de passe). Il faut avoir en main le bon téléphone (ou au moins sa carte SIM) pour recevoir le SMS. Typiquement, le type qui choppe un numéro de CB avec un keylogger, c'est quasi certain qu'il aura aussi l'adresse mail et le mot de passe qui vont avec. Il n'aura par contre pas la carte SIM.

Personnellement, la seule solution que je trouve meilleure, c'est les trucs type RSA SecureId, indépendants du réseau. Mais ça fait un truc de plus à se trimballer si c'est pas intégré directement à la carte (mais ça commence à arriver les systèmes intégrés aux cartes, j'avais fait une news à ce sujet il y a quelques mois).

Par contre, je vois pas pourquoi l'envoi d'un code par SMS serait illégal...

Pour le boitier de securisation de transaction c'est une solution qui est employee depuis des années dans plusieurs pays europeen et ( je me souviens plus si c'est la Suisse ou l'Allemagne qui a ete précurseur).
Tu fais ta transaction avec le marchand, tu vas sur le site de ta banque, et la tu valides la transaction avec un numéro recu par ton boitier.
Les boitiers utilisent une frequence radio specifique et independante. Ca marche tres bien et c'est une des solutions les plus sécurisées actuelles. Pas de smartphone risquant d'etre pirate ou hors réseau dans le processus.

Ce n'est pas l'envoi de code qui est illégal (encore que vu les risques d'interception, c'est discutable) mais le fait d'imposer de disposer d'un mobile pour pouvoir realiser une transaction:
-Si tu n'as pas de mobile tu ne peux pas faire de transaction de ce type, tu es lésé.
-Si ton mobile n'est pas dans une zone de couverture, tu ne peux pas faire la transaction, tu es lésé (j'ai le cas chez moi ou en rdc d'un immeuble on ne capte aucun réseau).
-Si le réseau est en panne tu ne peux pas faire la transaction: tu es lésé!
De plus tu es entrave dans la liberte de changement d'opérateur, puisque cela implique de recertifier ton mobile.
Bef, c'est le fait de faire dépendre la possibilité de transaction par un moyen non universel, non fiable, et faisant intervenir un tiers sans qu'il soit contractuelement lie qui serait illégal..

Apres, c'est vrai que ton ordinateur peut etre vérole par un troyen qui va permettre au criminel de récupérer tes mails. Je t'accordes que c'est moins sécurise qu'une solution employant deux terminaux différents pour valider la transaction. Mais un telephone ca ce pirate aussi, ca ce vole egalement. Actuellement tu as une majorite de vendeurs de soft qui passent par l'envoi d'un numero d'activation par email pour valider l'achat d'un logiciel, et ca marche plutôt bien. Et puis si ton ordinateur est vérole, il est quasi certain que toutes tes donnees sont deja en possession du criminel...

Si une donnees est mise sur le Net, elle n'est plus privée ni sécurisée. Mettre son numero de carte sur le Net, c'est un peu comme mettre une enorme affiche avec son nom et son numero de carte placardée sur un panneau publicitaire...

Et j'attends de voir l'explosion des arnaques a venir avec les smarphones NFS qui vont permettre a la fois d'initier la transaction et de la valider (avec l'identifiant NFS). Meme les scriptskiddies vont s'amuser avec ça...

Ce message a été modifié par r@net54 - 10 Jan 2013, 17:57.

[SartMatt]

Paypal est un service bancaire, soumis a des normes et une législation precise, pas un site marchand. Il est nécessaire qu'ils disposent de tes identifiants civils...
Par contre pur Amazon, ou Apple ou xxx, qu'ils disposent de ton numero de carte n'est nullement nécessaire. A chaque transaction tu vas devoir t'identifier et confirmer, et de leur cote ils vont verifier la transaction, tout comme la banque derrière. Disposer de ton numero de carte sur leurs base de données ne se justifie pas, et cela n'est pas avantageux pour toi (a part l'a facilite d'achat 1-click permettant l'achat compulsif et immédiat, mais meme la il faudra valider la transaction a un moment).
Par contre, lorsque leur site sera pirate, le criminel sera bien content de pouvoir récupérer ton numero de carte ainsi que l'historique de tes transactions (surtout avec les montant et la fréquence).

Ils ne conservent normalement pas le numéro de carte (certains le font, oui, mais ce n'est pas une bonne pratique), mais un identifiant unique qui leur permet de redébiter la même carte auprès de la banque (identifiant que la banque leur a communiqué lors de la première transaction) et une partie du numéro de la carte pour servir d'aide mémoire (pour que tu puisses voir lesquels de tes numéros de carte ils ont).
C'est parce qu'ils stockent cet identifiant unique et non le numéro de la carte qu'ils n'ont pas besoin de redemander le CVV2 (dont le stockage dans les bases des sites commerçant est normalement interdit).
Un attaquant ne pourra pas l'exploiter, car cet identifiant est associé à un couple (CB, débiteur) et ne pourra donc pas être utilisé au crédit d'un autre débiteur.
Mais cet identifiant unique expire en même temps que la carte.

Du coup, ça peut même devenir un avantage pour la sécurité... Par exemple, si je dois faire un achat sur Amazon depuis un ordinateur qui n'est pas le mien, le seul identifiant que j'ai à saisir est celui de mon compte Amazon. Sans ça, je devrais saisir en plus soit mon numéro de CB, soit mes identifiants banque en ligne pour aller générer une e-carte, puis mes identifiants mail pour aller récupérer le code de confirmation de ma banque... J'expose donc beaucoup plus d'informations à un éventuel keylogger (sachant que si un hacker récupère juste mon identifiant Amazon, il ne pourra pas en faire grand chose, puisqu'il me semble qu'on ne peut pas utiliser un numéro de CB pré-enregistré pour payer une commande livrée à une nouvelle adresse...).

Les cas de fraudes par Internet qui proviennent du piratage d'une base marchand ne sont sans doute qu'une toute toute petite proportion des fraudes. Le gros du paquet vient des keyloggers et autres techniques ciblant l'utilisateur, pas les commerçants.

Pour les versements réguliers, soit on est dans le cadre d'un abonnement, ce que permettent les e-cartes bancaire.

Je vois pas comment une e-carte bancaire permet un abonnement...
En tout cas, pas celles que me propose ma banque, puisque j'ai une date d'expiration au mois suivant celui de la génération... Donc ça va pour des abonnements de deux mois, pas plus...

Après, peut-être que ta banque te propose une date d'expiration plus lointaine, et là du coup tu peux l'utiliser.

Mais dans ce cas, je vois pas de toute façon ce qui t'empêche de l'utiliser chez n'importe quel commerçant, tant que c'est pas un commerçant qui te demandera de présenter physiquement ta carte à un moment (comme la SNCF pour un retrait guichet) : il me semble que les commerçants n'ont pas la possibilité de savoir si le numéro que tu as entré est un numéro de carte physique ou une e-carte...

D'ailleurs, la SNCF indique dans sa FAQ qu'en cas de paiement par e-carte, il faut choisir l'envoi postal ou l'impression à domicile des billets... Ce qui laisse bien entendre qu'ils n'ont pas les moyens de savoir que tu as utilisé une e-carte et de t'empêcher alors d'opter pour le retrait en distributeur.

Si tu fais un retrait au distributeur, cela signifie que tu te déplaces avec ta cate de crédit jusqu'a un distributeur... Le seul cas ou il faille alors d'abord payer puis aller ensuite retirer le billet, c'est dans le cas d'un achat par internet. Dans ce cas, puisque tu es livre par la poste, je ne vois pas l'intérêt d'aller chercher ton billet au distributeur.
Mais si tu tiens tout de même faire ta transaction en deux temps (achat par Internet+retrait a un distributeur automatique) et aller récupérer ton billet toi même sans utiliser les services de la Poste (dont les agent sont responsables de la livraison), il est probable que tu ais une carte d'abonnement, qui serait alors la plus légitime pour retirer ton billet!

Je préfère effectivement faire mon achat par Internet puis retirer en distributeur au dernier moment.
Tout simplement pour éviter que je perde mon billet entre l'achat et l'utilisation, sachant qu'il y a généralement pas loin de deux mois entre les deux (je suis du genre bordélique ^^), ou d'oublier mon billet retour en partant pour l'aller.
Et non, je n'ai pas de carte d'abonnement, je prends trop peu le train pour que ça se justifie.

Et je refuse de me les faire envoyer par La Poste, depuis la première fois que je l'ai fait : ils sont envoyés sans suivi.
Alors je sais bien qu'en cas de perte, c'est pas moi le responsable, et je serais remboursé par la SNCF. Mais je sais aussi que ça sera quand même source d'emmerdement, et je préfère donc perdre 5 minutes la veille de mon voyage pour aller retirer mon billet en distributeur.

Pour le boitier de securitsation de transaction c'est une solution qui est employee dans plusieurs pays europeen et en Suisse. Tu fais ta transaction avec le marchand, tu vas sur le site de ta banque, et la tu valides la transaction avec un numéro recu par ton boitier. Les boitiers utilises une frequence radio specifique et independante. Ca marche tres bien et c'est une des solutions les plus sécurisée actuelle. Pas de smartphone risquant d'etre pirate ou hors réseau dans le processus.

Une fréquence radio spécifique et indépendante... Et donc quand par exemple tu es à l'autre bout du monde, ça marche toujours aussi bien ?
Tu retombes en fait exactement sur le même problème qu'avec les SMS, y a plein d'endroits où ça va pas marcher.
Sauf qu'en plus, tu dois te trimbaler un appareil en plus.

Ce n'est pas l'envoi de code qui est illégal (encore que vu les risques d'interception, c'est discutable) mais le fait d'imposer de disposer d'un mobile pour pouvoir realiser une transaction. Si tu n'as pas de mobile tu ne peux pas faire de transaction de ce type, tu es lésé. Si ton mobile n'est pas dans une zone de couverture, tu ne peux pas faire la transaction, tu es lésé (j'ai le cas chez moi ou en rdc d'un immeuble on ne capte aucun réseau). Si le réseau est en panne tu ne peux pas faire la transaction: tu es lésé!
C'est le fait de faire dépendre la possibilité de transaction par un moyen non universel, non fiable, et faisant intervenir un tiers sans qu'il soit contractuelement lie qui serait illégal..

Je vois pas en quoi ça serait illégal...
Il y a énormément de services qui sont liés à la possession d'un appareil, pourquoi dans ce cas particulier ça serait illégal ?

[elub88]

je ne connais pas vraiment les e-CB pour ne pas en utiliser, mais pour savoir Sartmatt, ils commencent par quoi tes numéros de e-CB ? Car pour avoir déjà observé, chaque type de CB a une base commune (comme les numéros de téléphone ont une base par exemple 06 08 08 xx xx )

[SartMatt]

je ne connais pas vraiment les e-CB pour ne pas en utiliser, mais pour savoir Sartmatt, ils commencent par quoi tes numéros de e-CB ? Car pour avoir déjà observé, chaque type de CB a une base commune (comme les numéros de téléphone ont une base par exemple 06 08 08 xx xx )

De mémoire, par 5132, comme la carte à laquelle ils sont associés.

[Bicougnot]

La carte de crédit c'est vraiment le truc qui me feras jamais peur... On peut me la piqué autant qu'on veut cela m'est égal la banque rembourseras toujours et rapidement sans sourciller...

Je peux te dire que sans l'aide d'un avocat je n'aurais jamais revu les 20k qu'on a dépensé avec ma CB volée...

[elub88]

La carte de crédit c'est vraiment le truc qui me feras jamais peur... On peut me la piqué autant qu'on veut cela m'est égal la banque rembourseras toujours et rapidement sans sourciller...

Je peux te dire que sans l'aide d'un avocat je n'aurais jamais revu les 20k qu'on a dépensé avec ma CB volée...

J'ai pas peur moi ^^ j'ai pas 20k sur mon compte courant

[gbws]

De toute façons, il n'y a pas de secrets... A force de jouer les flemmards, on finit par voir ce que ça donne... Ouiiiiiiii, les framworks, c'est génial, ça permet de développer un site rapidement...
Tout comme les CMS c'est à connaître... Mais à vite oublier...
Dès qu'on veut un projet de qualité, rien ne vaut 10 doigts et un cerveau plutôt que de confier une partie de son code à un framwork douteux...

C'est un peu hâtif et simpliste comme jugement.
Les frameworks sont très utiles et sont des outils qu'il faut savoir utiliser et maintenir.
La définition d'un projet de qualité que tu donnes se rapproche plutôt d'un project comme t'aime bien