Re: securite distributeur et terminal de paiement.

Sujet: Re: securite distributeur et terminal de paiement.
De: fgrieu (l' arobase) francenet.fr (Francois Grieu)
Groupes: fr.comp.carte-a-puce
Organisation: Guest of ProXad - France
Date: 17. Nov 2005, 16:00:37

"spammy2005" <sg_spam2005@tele2.fr> a écrit:

Il parait qu'il y a des yes cards qui circulent. Est-ce une rumeur
ou peut avoir aussi des impayés si le terminal est relie et procede
a un appel avant une transaction.

C'est une rumeur qui a été vraie, mais à ma connaissance une telle
fraude est devenue rarissime voire impossible, suite à des
évolutions techniques, pour les CB à puce.

Un commerçant utilisant "normalement" un TPE, c'est à dire sous
supervision d'un opérateur humain, est garanti (sauf exceptions)
contre les impayés et les fraudes techniques par la banque ou
l'organisme auprès de qui il compense ses transactions, et qui
perçoit une dîme pour ce service. Parmi les exceptions, il y a
une fraude avec complicité de l'opérateur, et (au moins à une
époque et pour certains contrats) les cas où le commerçant
"force" une transaction à se faire sans appel; et des (gros)
contrats où le commerçant gère de fait ce risque.

Est ce que ces cartes fonctionnent réellement

Oui, à une époque.

et peut on s'en protéger.

Pour un commerçant, il est utile de vérifier l'aspect de la carte:
présence des marques de sécurité (hologramme), puce bien ajustée
à la carte. Il est essentiel de ne pas bricoler un automate de
distribution automatique sur la base d'un TPE; cela s'est vu.

Pour un usager de carte, il faut essentiellement surveiller ses
relevés et récuser auprès de sa banque toute transaction fantôme;
ne pas divulguer ni laisser voir son code; essayer de juger
tant bien que mal si un appareil auquel on confie carte et/ou
code est, ou non, suspect; et être particulièrement suspicieux
si il conserve la carte.

Je n'ai jamais entendu parler de telles cartes fonctionnant
dans les distributeurs (automatiques de billet), pourquoi ?

Les distributeurs font un contrôle plus poussé, incluant des
données de la piste magnétique et/ou des calculs que la puce de
la carte sait faire et le (réseau informatique du) DAB vérifier,
alors que le TPE (au moins sans appeler son réseau) en est
incapable.
Cependant il existe une fraude significative dans les DAB quand
la carte, ou le DAB, ne traite pas la puce (ce dernier cas ne
touchant plus la France).

Un lien un peu sur le sujet:
http://www.banque-france.fr/observatoire/rap_act_fr_04.htm

François Grieu

Date

Sujet

Auteur

14.11.