Devant la Cour de cassation, le Crédit Agricole s’est retrouvé au cœur d’un débat juridique majeur concernant la sécurité des transactions en ligne et l’authentification forte. Un client pas assez prudent, d’abord lésé par la Cour d’appel, a finalement obtenu gain de cause.
Et même s’il y avait eu une authentification forte, le pigeon aurait aussi transmis ou approuvé la demande face à ses arnaqueur…
2 « J'aime »
Je ne suis pas d’accord avec le verdict…
Partout il est écrit de ne pas communiquer son code confidentiel même à son banquier… alors bon faut être ding-ding pour le faire…
2 « J'aime »
Oui, mais le jugement porte sur le comportement de la banque qui n’a pas respecté son obligation. Le fait que le client ait été négligeant ne rentre pas en ligne de compte dans ce cas.
Attention à ne jamais se croire plus malin que les autres. Les escrocs savent manipuler les gens, on est jamais à l’abri d’un problème… On va faire une analogie avec les tours de magie: ce n’est pas parce que l’on connait le mécanisme d’un tour qu’un bon prestidigitateur ne peut pas arriver à faire des choses que tu ne comprends pas.
3 « J'aime »
Je suis intrigué dans cette gestion de ce code, pour certaines action comme un achat à crédit ou application de remboursement on passe par un serveur qui est sécurisé théoriquement mais qui demande ce fameux code. Du coup on se retrouve comment dans les faits si une transaction se produit sans notre accord.
Pour être plus précis si on fait un achat all acces pour une Xbox chez MS en ligne il nous est demandé de donner ses infos dans une session dite chiffrée , peut on avoir confiance ? Même si c’est validé par la bnf ?
Idem avec l’application Naomi du groupe Auchan ?
1 « J'aime »
J’ai eu 2 collègues qui ont eu le soucis d’un appel d’un soit disant banquier… Ils avaient toute les infos nécessaire pour mettre à l’aise les personnes (date de naissance, noms, adresse, IBAN…).
Une s’est fait avoir et l’autre non.
Celle qui c’est fait avoir est en galère auprès de la banque et des assurances…
3 « J'aime »
Non quand même, tu ne files pas ton code même à ton banquier.
C’est de la négligence, la banque a raison…
Je ne me prétends pas plus malin que ça, les escrocs peuvent m’avoir autrement, je ne dis pas le contraire, comme les tentatives sont de plus en plus élaboré, mais ce cas-ci n’a rien d’élaboré, et la victime, successivement, répond au téléphone puis au message, même pas une seconde il réfléchit.
Métaphoriquement, on ne donne pas le code de son coffre-fort même à son banquier.
Je ne suis donc pas d’accord avec le verdict. Le verdict le plus juste aurait été d’obliger la banque à améliorer la sécurité, mais pas d’indemniser la victime qui a clairement enfreint les règles les plus élémentaires de sécurité.
2 « J'aime »
Pour avoir eu le même genre d’appel téléphonique, je confirme qu’il est facile de se faire piéger…
J’ai eu la chance que mon arnaqueur avait en sa possession mon ancien numéro de carte bancaire, la mienne ayant été renouvelée quelque temps auparavant.
1 « J'aime »
« Je ne suis donc pas d’accord avec le verdict. Le verdict le plus juste aurait été d’obliger la banque à améliorer la sécurité, mais pas d’indemniser la victime qui a clairement enfreint les règles les plus élémentaires de sécurité. »
Tu n’es pas d’accord? donc la banque ne devrait avoir aucune obligation de sécurisation? c’est bien sur ça que repose le verdict final.
Ce n’est pas son problème si elle a un accès simplifié au compte bancaire où un seul code à 4 chiffres serait demandé?
Encore heureux qu’il y ai des lois pour contraindre les banques à avoir un minimum de sécurité…
3 « J'aime »
Je n’ai pas compris pourquoi au sens légal l’envoi du code 3D secure n’est pas une authentification forte? c’est quoi sinon? une application d’authentification?
1 « J'aime »
Ce que je comprends dans cette affaire, c’est que la personne a elle même transmis le code d’authentification… (puisque ça parle de 3d secure)
Pas un accès simplifié donc.
1 « J'aime »
Je suis d’accord. Ne jamais dire jamais !!!.
1 « J'aime »
En l’occurrence, qu’est ce qu’une authentification forte ? du MFA?
Car il y a encore pléthore de site légaux et reconnus qui ne le déclenchent pas durant une transaction…
Sauf que la réglementation est qu’un seul code est insuffisant… il faut une authentification « forte ».
Un simple code ne répond pas aux normes actuelles.
2 « J'aime »
Oui, ok mais non…
Ce que je veux dire, c’est que la décision aurait du sanctionner la banque (obligation de respecter la réglementation comme tu dis) sans plus (comme indemniser la personne qui a fait n’importe quoi).
Sinon c’est la porte ouverte à des fausses escroqueries…
Je pourrais faire ça, acheter du matériel à 3000€ via un pote ou un faux numéro, et se dire « c’était pas moi, j’ai pas eu l’authentification ! ». C’est peut être le cas pour cette affaire, qu’est ce qu’on en sait ?
Pas justifié comme verdict.
1 « J'aime »
Oui et Non.
3D Secure est une opération faite lors des achats en ligne dès lors que le site marchand effectue une demande de paiement sur une CB.
3D Secure peut avoir plusieurs écrans de vérification (perso , j’en ai 2).
Parmi les écrans de vérification tu peux trouver suivant le choix fait par ta banque :
- la saisie d’un code reçu par SMS (6 à 10 chiffres)
- la validation de l’opération via l’application de ta banque sur ton téléphone (genre ms authenticator)
- la saisie d’un mot de passe spécifique
- la saisie d’un code numérique depuis un clavier où les touches se positionnent de manière aléatoire
- …
1 « J'aime »
L’escroc lui a sorti un scénario de contrôle du 3D Secure où la victime doit transmettre le code reçu par SMS ou valider l’opération sur un Authenticator.
Et pendant le discours, l’escroc est en train de valider son panier sur un site marchand à ouate-mille euros.
Oui, mais si.
Si la banque ne sécurise pas suffisamment ses traitements, ce n’est pas au client d’en payer les pots cassés. Dérober des mots de passe est aujourd’hui très très facile, ce n’est pas seulement au client d’en payer les pots cassés quand des technologies existent pour limiter cela!
Qui plus est, les textes de lois obligent les banques à rembourser! Et c’est aux banques de démontrer qu’elles ont tout fait correctement et que la faute incombe complètement au client.
J’invente rien, c’est ainsi.
Du moment que la banque ne respecte pas ses obligations, elle est responsable.
1 « J'aime »
Moi ce qui m’inquiète ce sont les commentaires qui disent que l’arnaqueur avait toutes vos informations bancaires…
La règle c’est par téléphone/email/SMS, on ne donne RIEN.
Là on rentre dans un grand débat… La justice traite de la légalité, pas de moralité ou de « justice » telle que tu l’entends. Une faute « raisonnable » de l’utilisateur ne doit en aucun cas être opposé au non respect d’une obligation de la banque. Après il serait intéressant de savoir si les 3000€ sont juste la somme dérobée ou si il y a un dédommagement important en plus, ou là on peut effectivement estimer que c’est « trop » du fait de l’erreur du client.