La Cour de cassation a renversé la vapeur dans les litiges bancaires. Les banques ne pourront plus se défausser si facilement sur leurs clients victimes, contrairement à ce que la juridiction avait pu dire au début de l’année.
Ah mince alors … donc une banque serait responsable en cas de virement à un faux Brad Pitt, Matt Damon ou autre ? Sérieusement ?
Le principe de responsabilité individuelle doit prévaloir car dans les faits, ce qui va se passer si on généralise la responsabilisation des banques, c’est qu’elles vont simplement couvrir ce type de frais en les répercutant sur les frais payés par les gens responsables. Et franchement, on a aucunement vocation à payer pour le manque de jugeote des autres.
3 « J'aime »
Après dans ce cas précis, il serait sincèrement bon d’appliquer aux virements le même niveau de sécurité et de vérification que pour les paiements bancaires par carte bleue avec un MFA au travers d’une obligation de validation biométrique depuis une application smartphone.
Idem pour toute connexion à l’interface bancaire. Ca éviterait la possibilité via des chevaux de Troie d’aller récupérer les credentials de connexion via des keyboard logger et des screen recorder puis se connecter à l’interface et vider des comptes.
C’est pas déjà une obligation ça ?
Dans mes banques en tout cas à chaque fois que je fais un virement externe je dois valider sur l’appli mobile. Parfois même pour des virements internes.
1 « J'aime »
Je viens de tester une authentification web vers ma banque et MFA en mode navigation privée mais aucun MFA en connexion normale (il doit y avoir une cookie ou quelque chose qui fait que le browser est gardé en « PC de confiance » depuis ma dernière connexion MFA).
Donc avec un cheval de Troie, si tu as le contrôle sur la machine, si c’est le même cas avec un browser reconnu comme PC/Périphérique de confiance, tu peux faire ce que tu veux…
1 « J'aime »
Autre problème plus grave pour les smartphones infectés… Il n’y devrait y avoir une obligation de désactivation des applications bancaires sur les version d’OS mobile dont les EOL secuity sont dépassées mais également pourquoi pas un refus d’installation si le mobile n’est pas équipé d’une solution antivirus.
Personnellement, j’ai un antivirus sur mes ordinateurs ET mes smartphones ET mes tablettes. On oublie trop souvent que ces périphériques sont également vulnérables.
Je n’ai eu que 2 problèmes avec les banques. Le premier, des chèques émis sans provision en paiement en plusieurs fois. La société avait encaissé tous les chèques d’un coup. C’était pour refaire une installation électrique de mon appart après un dégât des eaux, une grosse inondation à travers les murs et dans le logement. A l’époque il fallait refaire le compteur, le tableau électrique aussi avec disjoncteur. J’ai pris en charge les travaux sur moi en tant que locataire parce que c’était urgent. La banque a laissé passé les chèques et m’a aidé avec une carte de crédit sur laquelle je devait vivre en attendant le remboursement intégral de la dette. J’étais content. 
La deuxième, c’est à cause d’un TPE informatique bugué d’une société qui me débitait 7 fois tous les mois pour un paiement en plusieurs fois. Je n’étais pas le seul, la société a reconnu sa défaillance avec mes relevés de compte et me remboursait intégralement tous les mois. Mais là, pas de véritable problème bancaire.
C’est bien quand les banques savent écouter et même deviner.
Je ne sais pas ce que cela donnerait avec une IA…lol
Mais as-tu pensé à mettre un préservatif autour de ton téléphone avant de taper ton code pour éviter de laisser des trâces douteuses de gras de doigt sur l’écran ?
Et puis aussi, as tu pensé à mettre ton téléphone dans une boite métallique fermée avant de l’utiliser pour éviter l’exfiltration du signal de ton écran via les ondes électromagnétiques qu’il émet?
Il y a des choses à mettre en place assez simplement pour les banques.
Du genre, allez vous faire des virement à l’étranger « Non », on bloque toute tentative.
Allez vous faire des virement Western Union, « Non », on bloque.
Déjà rien que ça.
Après il y a des choses aberrante. Même si le client est fautif.
J’ai eut l’exemple chez un client, arnaque typique au faux livreur Mondial Relay.
Bref, la cliente n’avait que 297€ sur son compte, le pirate a prit la main sur son compte, s’est fait un virement Western Union de 3000€, puis a activé un crédit à la consommation de 3000€ et bim, re-virement.
La cliente s’est donc retrouvé avec un découvert de 2703€ et un crédit de 3000€, alors qu’elle a contacté sa banque 1h après s’être aperçue de l’arnaque. Sa banque lui a dit ne rien pouvoir faire.
C’est un peu fort, je trouve.
Idem pour les nouveaux bénéficiaires de virement. Dans ma banque il faut patienter 48h, avant que celui si soit prit en compte. Mais dans certaine banque c’est instantanée. Donc plus risqué…
Un autre exemple, à la banque postale, avant on avez son n° de compte, et son mot de passe, pour se loguer. Puis, un autre code « certicode plus », pour valider les opérations « sensible ».
Depuis quelque mois, ce fameux code « certicode plus » est identique au code pour se loguer. Pourquoi? Parce que les gens se tromper tout le temps, alors on a décider de faire comme ça, au dépit de la sécurité. C’est idiot!
Et il ne faut pas se croire malin, un jour ou l’autre, on est tous susceptible de se faire avoir!
1 « J'aime »
Il n’est pas question de préservatif mais un smartphone avec un OS dont l’EOL est passée, c’est juste pas sécurisé du tout donc interdire l’installation d’applications nécessitant un environnement sécurisé sur des périphériques non sécurisés ne me paraît pas du tout disproportionné.
Je suis à la Banque Postale et il y a 2 sécurités lors d’un achat : la réception d’un code certicode à taper puis on retape le code pour se connecter. Et ceci est toujours d’actualité, je l’ai encore fait il y a 3 jours.
Je crois que chaque banque a son propre système. Dans la mienne, j’ai un abonnement lié à un Digipass qui doit générer un code à 6 chiffres pour valider un achat ou un virement.
Dans celle de ma belle-mère, elle a aussi un appareil type Digipass, mais elle doit y introduire sa carte bancaire, ce que je ne dois pas faire. Elle peut aussi remplacer les piles de son appareil si nécessaire. Alors que le mien est scellé et que je dois en demander un nouveau (gratuit) à ma banque lorsqu’il signale que sa batterie faiblit, ce qui n’est arrivé qu’au bout de plusieurs années d’usage.
idem au Crédit Mutuel, je pensais également que c’était pratiqué partout…
Et pour les étourdis, on nous précise bien :
« Vous vous apprêtez à payer une somme de …, confirmez-vous votre paiement ? »
Bjr
Le problème c’est que les banques vont rétorquer que pour atteindre ce qu’impose ce jugement, il faudrait renforcer les droits des banques sur leurs clients.
En gros les banques demanderont d’avoir un controle encore plus grand sur l’argent déposée chez eux.
Déjà , quand tu dépasses un certains age et alors que rien ne prouve que tu sois devenu gâteux, la banque peut te refuser l’accès à ton argent, sans raison claire, sauf celle de prétendre te protéger contre toi même.
Un jugement n’est pas une loi et donc dire aux banques qu’elles doivent faire des choses pour ceci ou cela sans encadrer clairement les buts à atteindre ni les moyens qui seront autorisés par la loi, c’est comme prétendre, comme le font les chantres du capitalisme/libre entreprises, que les multinationales, d’elles mêmes, sont contraintes, par la magie du système capitaliste , à adopter des bonnes pratiques quels que soient les domaines sans que la loi n’ait à encadrer leurs actions.
Mais on sait très bien où mène ce système de bonnes pratiques, il suffit de voir l’état de la planète et des populations qui subissent ces bonnes pratiques.
Avec tous les IBAN dans la nature, une meilleure vérification ou protection des prélèvements serait bienvenue.
NOUVEAU ! Si vous utilisez la nouvelle application mobile, plus besoin du code personnel Certicode Plus : saisissez le même mot de passe que celui utilisé à la connexion.
Là
Oui c’est le même mot de passe, mais en le saisissant sur le téléphone. Ce qui valide que tu as en main le téléphone que tu avais préalablement associé à ton compte.
Ça reste donc bien une authentification à deux facteurs, un mot de passe et un objet.