~bohwaz/blog/

Avec de vrais morceaux de 2.0 !

Compte courant ING Direct : Modification du contrat porteur CB

ING Direct met en place le Mastercard Secure Code pour les transactions en ligne avec sa carte Mastercard distribuée avec le compte courant. En pratique sur les sites qui ont fait la démarche de s'inscrire à ce programme, au moment de payer vous recevrez par SMS un code que vous devrez entrer sur le site. Ce code est à usage unique, ce qui est un sacré plus car le programme "Secure Code" est habituellement utilisé par les banques avec simplement un code que vous choisissez et qui ne change jamais. Donc pour la sécurité c'est tout bénéf, mais par contre je ne connaît aucun site qui propose le SecureCode, donc pour le moment c'est pas vraiment très utile.

Message reçu de la part d'ING Direct :

Dans le cadre de l'utilisation de votre carte bancaire Gold MasterCard, vous réalisez probablement des achats en ligne.

A compter du 1er mars 2010, nous renforçons la sécurité de vos transactions en ligne sur tous les sites marchands affiliés au programme Mastercard Secured Code. Au moment d'entrer les informations relatives à votre carte de paiement sur l'espace sécurisé du site marchand, ING Direct vous fera parvenir par SMS un code d accès que vous devrez saisir pour valider la transaction.

Nous sommes donc amenés à modifier le contrat porteur CB en y introduisant l'article 3.2. Vous trouverez le contrat porteur CB mis à jour dans votre Espace Client, rubrique « conditions générales, tarifs »

Et l'article 3.2 ainsi créé :

3.2 Autre dispositif de sécurité personnalisé.

L'utilisation d'un dispositif de sécurité personnalisé autre que le code confidentiel peut être nécessaire pour réaliser une opération de paiement sur un site de vente par Internet « Mastercard secure code ». Pour que le Titulaire de la carte effectue un paiement sur Internet, celui-ci doit saisir en plus de son numéro de carte et du cryptogramme visuel, un code qui lui sera envoyé par SMS par ING Direct sur son téléphone mobile (ci-après le « Code de Sécurité »), dont le numéro aura été communiqué préalablement par le Titulaire de la carte.

Le Code de Sécurité est à usage unique et ne peut être utilisé que pendant une durée limitée. Le Titulaire de la carte doit utiliser le Code de Sécurité chaque fois qu'il en reçoit l'instruction par le site de vente par Internet. Le nombre d'essais successif de composition du Code de Sécurité est de trois. Au troisième essai infructueux, le Titulaire de la carte provoque l'annulation de la transaction en cours sur le site de vente sur lequel le Titulaire de la carte a entré le Code de Sécurité. Le Titulaire de la carte doit prendre toutes les mesures propres à assurer la sécurité du Code de Sécurité. Il doit notamment le tenir secret et ne pas le communiquer à qui que ce soit.

Écrire un commentaire
(facultatif)
(facultatif)
(obligatoire)
   _           _                            _   
  (_)_   _ ___| |_ ___ _ __ ___   ___ _ __ | |_ 
  | | | | / __| __/ _ \ '_ ` _ \ / _ \ '_ \| __|
  | | |_| \__ \ ||  __/ | | | | |  __/ | | | |_ 
 _/ |\__,_|___/\__\___|_| |_| |_|\___|_| |_|\__|
|__/                                            
(obligatoire)

Les adresses internet seront converties automatiquement.
Tags autorisés : <blockquote> <cite> <pre> <code> <var> <strong> <em> <del> <ins> <kbd> <samp> <abbr>

sebsauvage

J'ai écrit un petit article là dessus, pour expliquer:

www.commentcamarche.net/f...

(Je connais un peu pour avoir bossé sur la mise en place de 3DSecure pour 2 banques françaises.)

Dans la théorie c'est bien, dans la pratique ça dépend franchement des choix de la banque, et ce n'est généralement pas brillant (beaucoup de banques se contentent de la date de naissance comme code 3DSecure, c'est totalement scandaleux.)

BohwaZ

Cool, merci pour l'info :)

Je pense que l'idée d'ING Direct est pas mauvaise, un code à usage unique est bien plus sûr et simple (pas besoin de retenir un nouveau code). Chez ING en belgique c'est encore mieux, tout paiement en ligne avec la carte (Maestro pour le coup) passe par le site de la banque où doit donc utiliser le moyen d'authentification qu'on utilise pour son compte en ligne (soit le digipass soit une clé SSL client je crois). Par contre ça reste une solution qui n'est utilisée que chez les vendeurs qui font la démarche d'adopter ce nouveau système, les achats frauduleux sont toujours possibles ailleurs...

sebsauvage

>les achats frauduleux sont toujours possibles ailleurs...

Tout à fait. Mais ça va se réduire.

VISA (qui à l'origine du système) pousse vraiment les banques et tout site qui manipule des numéros de carte à adopter le système (pour les banques, c'est carrément obligatoire sous peine de ne plus travailler avec Visa ; Peu de banques vont refuser.).

Pour les commerçants, ça va se répandre étant donné que c'est à leur avantage (avec une transaction 3DSecure validée, ils sont certains de toucher leur argent).

Et puis pour les sites utilisant les pages de paiement des banques, c'est automatique.

Même les administrations s'y mettent, par exemple Enerest (GDF Strasbourg) ne permet carrément plus du tout de payer en ligne si vous n'êtes pas 3DSecure (alors que franchement, la fraude sur le paiement des factures de gaz, hein... je ne vois pas qui voudrait frauduleusement payer ma facture de gaz avec un numéro de carte volé.)