{"id":301,"date":"2009-12-21T18:12:09","date_gmt":"2009-12-21T17:12:09","guid":{"rendered":"http:\/\/signal.eu.org\/blog\/?p=301"},"modified":"2014-06-06T13:15:38","modified_gmt":"2014-06-06T12:15:38","slug":"la-securite-des-paiements-chez-rueducommerce-com","status":"publish","type":"post","link":"https:\/\/signal.eu.org\/blog\/2009\/12\/21\/la-securite-des-paiements-chez-rueducommerce-com\/","title":{"rendered":"La s\u00e9curit\u00e9 des paiements chez rueducommerce.com"},"content":{"rendered":"\n
Tweet<\/a><\/div>\n

Parfois la s\u00e9curit\u00e9 informatique telle qu’elle est mise en oeuvre par les commer\u00e7ants en ligne me fait rigoler… jaune.<\/p>\n

Hier soir j’ai r\u00e9alis\u00e9 une commande de No\u00ebl pay\u00e9e par carte bancaire sur www.rueducommerce.com<\/a>.<\/p>\n

Ce matin je re\u00e7ois de leur part un courrier \u00e9lectronique dont voici un extrait :<\/p>\n

Nous vous demandons de nous adresser, afin de valider votre commande, une copie recto verso de la carte bancaire ayant servi au r\u00e8glement de votre commande en prenant soin de ne laisser appara\u00eetre que les 4 premiers et 2 derniers chiffres du num\u00e9ro sur l’avant et en masquant le cryptogramme sur l’arri\u00e8re de la carte (ce qui garantit la s\u00e9curit\u00e9 totale de votre envoi et emp\u00eache toute utilisation de la carte). Nous vous remercions d’accompagner ce document d’une copie de votre pi\u00e8ce d’identit\u00e9.<\/em><\/p><\/blockquote>\n

Je passe sur les ent\u00eates MIME incomplets du courrier en question qui bousillent la visibilit\u00e9 correcte des accents, et sur le la\u00efus habituel \u00ab c’est pour votre s\u00e9curit\u00e9 \u00bb.<\/p>\n

J’ai l’impression que rueducommerce.com se bidouille elle-m\u00eame sa propre proc\u00e9dure de s\u00e9curit\u00e9 avec un r\u00e9sultat imparfait : je n’ai jamais vu \u00e7a ailleurs. En somme, rueducommerce.com me demande de compromettre ma propre s\u00e9curit\u00e9 au b\u00e9n\u00e9fice de la sienne. Ce n’est pas explicit\u00e9 dans les conditions g\u00e9n\u00e9rales de vente, qui parlent uniquement de justificatif de domicile et d’identit\u00e9 et se gargarisent de l’utilisation de SSL pour prot\u00e9ger la transaction ; ce n’est pas non plus cit\u00e9 dans les engagements<\/a> de la soci\u00e9t\u00e9. Je trouve ce proc\u00e9d\u00e9 limite en ce qui concerne la franchise pr\u00e9alable \u00e0 l’\u00e9gard du client potentiel. Et alors que ma banque pr\u00e9voit une vraie<\/strong> proc\u00e9dure de s\u00e9curit\u00e9 renforc\u00e9e avec mot de passe \u00e0 utilisation unique pour prot\u00e9ger les transactions carte bancaire via leur site web, celle-ci n’a pas \u00e9t\u00e9 utilis\u00e9e par rueducommerce.com. D’autres banques proposent des proc\u00e9dures similaires (v\u00e9rification de la date de naissance du porteur, etc).<\/p>\n

D’ailleurs, petit jeu : qui voit o\u00f9 est le probl\u00e8me de s\u00e9curit\u00e9<\/strong> si on applique \u00e0 la lettre les instructions ci-dessus ? C’est tout b\u00eate.<\/p>\n

Apparemment cette proc\u00e9dure n’est pas nouvelle et je ne suis pas le seul<\/a> \u00e0 la trouver p\u00e9nible<\/a>.<\/p>\n

Extraits de la r\u00e9ponse du mod\u00e9rateur de leur forum :<\/p>\n

La v\u00e9rification d’identit\u00e9 est pratiqu\u00e9e par tous les grands sites internet dans le monde, pour lutter contre la fraude \u00e0 la carte bancaire<\/em><\/p><\/blockquote>\n

Faux : amazon<\/a>, un des plus gros sites de vente, ne le fait pas.<\/p>\n

Si notre service vous demande des pi\u00e8ces et que l’adresse est de RueDuCommerce, alors la demande est valable.<\/em><\/p><\/blockquote>\n

Faux : si on pouvait compter sur l’adresse d’origine indiqu\u00e9e dans les mails, \u00e7a se saurait… rueducommerce.com ne semble pas conna\u00eetre le phishing.<\/p>\n

Je n’ai rien contre les mesures de s\u00e9curit\u00e9, mais encore faut-il qu’elles ne soient pas \u00e0 moiti\u00e9 stupides… J’esp\u00e8re au moins que cette proc\u00e9dure surprise qui a d\u00e9j\u00e0 fait perdre une journ\u00e9e \u00e0 ma commande ne me fera pas louper la livraison avant No\u00ebl. Si vous faites des commandes de derni\u00e8re minute sur leur site, m\u00e9fiez-vous !<\/p>\n

 <\/p>\n

Mise \u00e0 jour 5 juin 2014<\/strong><\/p>\n

Laurent Penou me signale sur twitter<\/a> que la recommandation suivante a \u00e9t\u00e9 adopt\u00e9e en novembre 2013, J.O. du 6 d\u00e9cembre 2013<\/a> :<\/p>\n

La commission consid\u00e8re \u00e9galement que le responsable de traitement, ou son prestataire, ne peut demander la transmission de la photocopie ou de la copie num\u00e9rique du recto et\/ou du verso de la carte de paiement m\u00eame si le cryptogramme visuel et une partie des num\u00e9ros sont masqu\u00e9s. En effet, la transmission de ce document n’est pas compatible avec les obligations de s\u00e9curit\u00e9 et les conditions d’utilisation que doit respecter le titulaire de la carte de paiement conform\u00e9ment \u00e0 l’article L. 133-16 du code mon\u00e9taire et financier<\/a>.<\/p>\n

Mise \u00e0 jour 6 juin 2014<\/strong><\/p>\n

@bituur_esztreym sur twitter<\/a> me signale cette d\u00e9lib\u00e9ration n\u00b02013-045 du 28 f\u00e9vrier 2013<\/a> qui demande explicitement l’arr\u00eat du syst\u00e8me par courriel :<\/p>\n

Par ailleurs, la soci\u00e9t\u00e9 RdC re\u00e7oit les pi\u00e8ces justificatives susmentionn\u00e9es par courriel.
\nOr, l\u2019article 34 de la loi du 6 janvier 1978 modifi\u00e9e dispose que \u00ab le responsable du traitement est tenu de prendre toutes pr\u00e9cautions utiles, au regard de la nature des donn\u00e9es et des risques pr\u00e9sent\u00e9s par le traitement, pour pr\u00e9server la s\u00e9curit\u00e9 des donn\u00e9es et, notamment, emp\u00eacher qu’elles soient d\u00e9form\u00e9es, endommag\u00e9es, ou que des tiers non autoris\u00e9s y aient acc\u00e8s \u00bb.
\nConform\u00e9ment \u00e0 ces dispositions, la soci\u00e9t\u00e9 RdC s\u2019est engag\u00e9e \u00e0 assurer une transmission s\u00e9curis\u00e9e des pi\u00e8ces justificatives en mettant \u00e0 la disposition de ses clients, sur la page de leur compte individuel en ligne, un formulaire sp\u00e9cifique permettant le t\u00e9l\u00e9chargement de ces pi\u00e8ces.<\/p>\n","protected":false},"excerpt":{"rendered":"

Parfois la s\u00e9curit\u00e9 informatique telle qu’elle est mise en oeuvre par les commer\u00e7ants en ligne me fait rigoler… jaune. Hier soir j’ai r\u00e9alis\u00e9 une commande de No\u00ebl pay\u00e9e par carte bancaire sur www.rueducommerce.com. Ce matin je re\u00e7ois de leur part un courrier \u00e9lectronique dont voici un extrait : Nous vous demandons de nous adresser, afin … Continue reading La s\u00e9curit\u00e9 des paiements chez rueducommerce.com<\/span> →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[15,13],"tags":[],"_links":{"self":[{"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/posts\/301"}],"collection":[{"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/comments?post=301"}],"version-history":[{"count":39,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/posts\/301\/revisions"}],"predecessor-version":[{"id":1189,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/posts\/301\/revisions\/1189"}],"wp:attachment":[{"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/media?parent=301"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/categories?post=301"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/tags?post=301"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}