Le 3D Secure n’est pas sûr contre les vols à la carte bancaire

Les fraudes aux cartes bancaires ont explosé.

Si la banque a (en France), l’obligation de rembourser le client qui déclare un vol d’argent sur sa carte, sans qu’il ait entré son code ou effectué le fameux 3D Secure. C’est à la banque d’apporter la preuve d’une faute ou d’une négligence du client.

Le problème est que maintenant, le 3D Secure est aussi piraté et les banques ne remboursent pas !

Déjà en juin 2018, l’ABE (Autorité Bancaire Européenne) avait jugé que 3D Secure était faible, notamment car il repose seulement sur la possession physique d’un smartphone, sans identification biométrique.

Les voleurs ont depuis longtemps adopté le “Sim Swap” où ils prennent l’identité du titulaire légitime de la ligne en se faisant par exemple remettre une autre carte, en expliquant qu’ils ont perdu la leur.

En général, les victimes reçoivent un mail de phishing ressemblant à un mail d’opérateur, qui leur demande leurs coordonnées suite à un “problème”. Le voleur peut ainsi ensuite demander une carte SIM.

Dans ce cas donc, les banques ne remboursent pas et les victimes doivent faire le parcours du combattant (service clients, médiateur, voir même tribunal) pour obtenir réparation.

Au 14 Septembre 2019, une directive européenne a décidé que le SMS ne suffira plus.

Il faudra que le porteur de la carte bancaire donne 2 éléments parmi les suivants:

– une information connue de lui seul

– une caractéristique biométrique

Comme d’habitude les banques essaient de contourner cette obligation et réclament un report de la mise en application.

Les banques sont déjà arrivées à faire en sorte que le SMS suffise quand même pour les paiements inférieurs à 30 euros OU si elles estiment que le risque est faible..

Il y a donc fort à parier que la sécurité ne sera pas vraiment gagnante avant quelques temps..

Par ailleurs, comme cette procédure de vérification par un code envoyé par SMS est aussi très utilisée pour récupérer un code ou mot de passe oublié, elle pose (de par sa fragilité) d’énorme problèmes dans plein d’autres domaines de l’Internet.

La Cour de cassation rappelle à chaque fois aux banques qui refusent de rembourser des clients victimes de fraude à la carte bancaire, lors d’un paiement 3D Secure,  que l’ « utilisation » du moyen de paiement sécurisé 3D Secure (version 1) ne « prouve » pas que le client a autorisé l’opération.

(Voir par exemple cette décision de justice)

 

Laissez un commentaire ou posez une question

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Les cookies permettent de personnaliser contenu et annonces, d'offrir des fonctionnalités relatives aux médias sociaux et d'analyser notre trafic. Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer