La sécurité des paiements chez rueducommerce.com

Parfois la sécurité informatique telle qu’elle est mise en oeuvre par les commerçants en ligne me fait rigoler… jaune.

Hier soir j’ai réalisé une commande de Noël payée par carte bancaire sur www.rueducommerce.com.

Ce matin je reçois de leur part un courrier électronique dont voici un extrait :

Nous vous demandons de nous adresser, afin de valider votre commande, une copie recto verso de la carte bancaire ayant servi au règlement de votre commande en prenant soin de ne laisser apparaître que les 4 premiers et 2 derniers chiffres du numéro sur l’avant et en masquant le cryptogramme sur l’arrière de la carte (ce qui garantit la sécurité totale de votre envoi et empêche toute utilisation de la carte). Nous vous remercions d’accompagner ce document d’une copie de votre pièce d’identité.

Je passe sur les entêtes MIME incomplets du courrier en question qui bousillent la visibilité correcte des accents, et sur le laïus habituel « c’est pour votre sécurité ».

J’ai l’impression que rueducommerce.com se bidouille elle-même sa propre procédure de sécurité avec un résultat imparfait : je n’ai jamais vu ça ailleurs. En somme, rueducommerce.com me demande de compromettre ma propre sécurité au bénéfice de la sienne. Ce n’est pas explicité dans les conditions générales de vente, qui parlent uniquement de justificatif de domicile et d’identité et se gargarisent de l’utilisation de SSL pour protéger la transaction ; ce n’est pas non plus cité dans les engagements de la société. Je trouve ce procédé limite en ce qui concerne la franchise préalable à l’égard du client potentiel. Et alors que ma banque prévoit une vraie procédure de sécurité renforcée avec mot de passe à utilisation unique pour protéger les transactions carte bancaire via leur site web, celle-ci n’a pas été utilisée par rueducommerce.com. D’autres banques proposent des procédures similaires (vérification de la date de naissance du porteur, etc).

D’ailleurs, petit jeu : qui voit où est le problème de sécurité si on applique à la lettre les instructions ci-dessus ? C’est tout bête.

Apparemment cette procédure n’est pas nouvelle et je ne suis pas le seul à la trouver pénible.

Extraits de la réponse du modérateur de leur forum :

La vérification d’identité est pratiquée par tous les grands sites internet dans le monde, pour lutter contre la fraude à la carte bancaire

Faux : amazon, un des plus gros sites de vente, ne le fait pas.

Si notre service vous demande des pièces et que l’adresse est de RueDuCommerce, alors la demande est valable.

Faux : si on pouvait compter sur l’adresse d’origine indiquée dans les mails, ça se saurait… rueducommerce.com ne semble pas connaître le phishing.

Je n’ai rien contre les mesures de sécurité, mais encore faut-il qu’elles ne soient pas à moitié stupides… J’espère au moins que cette procédure surprise qui a déjà fait perdre une journée à ma commande ne me fera pas louper la livraison avant Noël. Si vous faites des commandes de dernière minute sur leur site, méfiez-vous !

 

Mise à jour 5 juin 2014

Laurent Penou me signale sur twitter que la recommandation suivante a été adoptée en novembre 2013, J.O. du 6 décembre 2013 :

La commission considère également que le responsable de traitement, ou son prestataire, ne peut demander la transmission de la photocopie ou de la copie numérique du recto et/ou du verso de la carte de paiement même si le cryptogramme visuel et une partie des numéros sont masqués. En effet, la transmission de ce document n’est pas compatible avec les obligations de sécurité et les conditions d’utilisation que doit respecter le titulaire de la carte de paiement conformément à l’article L. 133-16 du code monétaire et financier.

Mise à jour 6 juin 2014

@bituur_esztreym sur twitter me signale cette délibération n°2013-045 du 28 février 2013 qui demande explicitement l’arrêt du système par courriel :

Par ailleurs, la société RdC reçoit les pièces justificatives susmentionnées par courriel.
Or, l’article 34 de la loi du 6 janvier 1978 modifiée dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Conformément à ces dispositions, la société RdC s’est engagée à assurer une transmission sécurisée des pièces justificatives en mettant à la disposition de ses clients, sur la page de leur compte individuel en ligne, un formulaire spécifique permettant le téléchargement de ces pièces.

13 thoughts on “La sécurité des paiements chez rueducommerce.com”

  1. Moi, j’aurais annulé ma commande ! D’ailleurs, je ne vois plus l’intérêt de commander sur Internet dans ces conditions. Quant aux mesures de sécurité en question, je ne les trouve pas à moitié, mais complètement stupides !

  2. La dernière fois qu’un site m’a demandé ça, j’ai demandé un K-Bis, pour me prouver que c’était bien la société avec laquelle je contractais qui me demandais ces pièces.

    Ils n’ont jamais répondu…

  3. Par ailleurs pour le problème de sécurité : numéro de carte, nom et signature du porteur vont passer en clair, et il sera facile de faire une carte semblable passant dans un sabot…

  4. Erwan, modulo les dix chiffres du milieu à deviner, quand même. Sachant que pour une CB française, les trois premiers seront probablement 4975 ou 4976, les chiffres n’apportent pas beaucoup d’information.

    Par contre on va effectivement avoir le nom et la signature du titulaire, et le nom de sa banque.

  5. Thomas: a priori, 8 chiffres à deviner, pas 10, car à l’arrière se trouvent les quatre derniers chiffres. En plus, les 8 chiffres ne peuvent pas être quelconque car le numéro utilise la clé de Luhn.

    Pire, les numéros étant en général embossés, un scan de l’arrière laisse deviner la totalité des numéros de la carte.

  6. Ganmé13 : on peut tout de même envoyer le bazar par Internet (email), mais c’est vrai que je me suis posé la question d’annuler la commande.

    Thomas : les 4 premiers chiffres s’appellent le BIN (bank identification number) et il y en a assez peu effectivement, mais plus que tu ne dis. Cf cette page non complète.

    Samuel Tardieu : bien vu, c’est ça, les chiffres embossés se voient au dos :-). C’est même plus que « laisse deviner »; on les voit carrément très très bien, il suffit juste de savoir lire à l’envers.

  7. Olive : parce que le truc en question n’est disponible chez Amazon que via des vendeurs tiers… pas forcément plus rapide (ça va venir d’Angleterre au lieu de France), pas forcément plus sûr, pas forcément moins cher , et pas forcément avec un manuel en français. Cela résoud donc le problème du paiement… en en introduisant plein d’autres 🙂

  8. Bonjour,

    j’ai reçu récemment de ma banque (Banque Populaire) un document m’informant d’une nouvelle procédure de sécurisation des paiements en ligne intitulée “Lancement du programme 3D SECURE”.

    En fait, d’une manière pratique, il faudra saisir, en plus des informations demandées (n° carte, n°ccv), sa date de naissance, une information que l’on peut trouver sur le net en 5 minutes! (attention! à ceux qui diffusent leur CV!).

    Ce système, pompeusement baptisé “3D SECURE”, a été créé par Visa et MasterCard.

    Il est même précisé que ce programme était mis en place “gratuitement” par ma banque. Ouf! j’ai eu peur de devoir payer pour ce service à la noix.

  9. Effectivement ce système 3D secure n’est pas très sûr…
    Par contre la banque populaire déploie des petits lecteurs de cartes qui génèrent un OTP à l’aide de la CB (c’est une fonction des CB EMV). Ce n’est utilisé pour l’instant que pour les virement par internet, mais ils disent que “plus tard” ça sera étendu à certains achats. Étant donné que certains sites redirigent sur le site de la banque du porteur de la carte c’est en effet possible de le faire, et là la sécurité est celle de la CB + PIN.

  10. @Erwan: oui, j’ai reçu un lecteur carte au format d’une petite calculatrice que j’utilise pour effectuer des virements. Si son utilisation pour des achats sur le net est programmée, ce sera un grand pas … parce que l’histoire de la date de naissance ce n’est pas vraiment une information confidentielle.

Comments are closed.