En consultant notre site, vous acceptez l’utilisation de cookies pour rendre votre visite plus agréable, vous proposer des publicités adaptées à vos centres d’intérêt, vous permettre de partager des contenus sur les réseaux sociaux, et réaliser des statistiques de visites. En savoir plus

Moyens de Paiement
La communauté ING Direct répond à toutes vos interrogations concernant vos moyens de paiement : chèque, carte bancaire... N'hésitez pas à poster vos messages sur notre Web Café.
annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
paspseudo
Visiteur fréquent

Votre nouveau 3D secure : Une faille majeure

Qui a eue l'idée de demander le mot de passe d'authentification du portail de gestion, lors de chaque paiement sur un site tiers, avant le 3D secure ?

Une façon polie de le dire : C'est une très mauvaise pratique en terme de sécurité. En fait ce n'est pas une pratique du tout. Il faut être complètement fondu pour faire ça !!!!

D'une part, vous avez un système d'authentification relativement faible au regard de l'état de l'art actuel. Mais bon ... c'est historique chez vous ...

Alors, se servir du même mot de passe pour faire autre chose, c'est prendre un risque énorme. C'est une absurdité totale ! On ne réutilise pas le même code secret pour deux fonctions différentes : règle de base.

D'autre part, le 3D secure s'ouvre dans une sous fenêtre modale. On ne voit donc par l'URI (cross domain, TLS, nom du domaine, ... l'utilisateur ne voir rien du tout). Il est TRES facile de faire une fausse fenêtre, ou une fenêtre proxy, pour aspirer le mot de passe utilisateur. Vous venez d'ouvrir en grand les portes au fishing !!! Bravo !

Et pour finir, vous demandez le mot de passe d'authentification AVANT le code SMS d'OTP. C'est inepte en terme de sécurité. Normalement on demande l'information la plus discriminante, avant la plus générique. En clair, le mot de passe d'authentification utilisateur est toujours le même. Alors que le code SMS change à chaque fois. Donc en demandant le secret invariant, avant le secret variant, sécurité zéro.

 

Dans l'hypothèse très probable où votre service technique vous répondra "c'est normal qu'on fasse comme ça, c'est la nouvelle norme 3D secure", vous pourez leur répondre que ce sont, au choix, des menteurs, ou des incompétents.  Dans tous les cas, à virer de toute urgence.

Si la CNIL a un jour le temps de s'intesser à vous, ils vont faire des bonds en voyant votre solution de 3D secure. Champion les mecs !

 

25 RÉPONSES 25
tropcher
Contributeur d'honneur

Re: Votre nouveau 3D secure : Une faille majeure

communaute.ing.fr/t5/Moyens-de-Paiement/Plus-de-s%C3%A9curit%C3%A9-pour-vos-achats-en-ligne/td-p/169618/page/3

 

"

Une fenêtre sécurisée s'ouvre pour vous permettre de renseigner votre code d'accès.

 

Cette fenêtre est une passerelle sur votre espace client.

 

La double authentification dans le cadre de vos achats est une obligation réglementaire. 

 

Tous les commerçants et banques devront s'y conformer."

 

La fenêtre qui s'ouvre fait partie de votre espace client, c'est juste que vous n'avez que le mot de passe à saisir et non le numéro de client et la date de naissance (comme quand ils sont mémorisés). Si tel est bien le cas il n'y a pas de raison pour qu'il y ait une faille.

Vous validez vos achats en ligne sur votre espace client et pour ces opérations seulement on ne vous demande que le code d'accès et non les identifiants préalables (numéro de client et date de naissance).

 

 

 

 

 

tropcher
Contributeur d'honneur

Re: Votre nouveau 3D secure : Une faille majeure

Pour faire simple : Quand vous donnez votre numéro de carte, sa date de validité et son cryptogramme c'est au commerçant que vous les donnez, quand vous donnez le code 3D secure qu'ING vous a envoyé sur votre téléphone c'est au commerçant que vous le donnez pour qu'il puisse comparer avec celui qui lui a été aussi envoyé, mais quand vous donnez votre code d'accès à votre espace client c'est à ING que vous le donnez, le commerçant ne peut le lire.

paspseudo
Visiteur fréquent

Re: Votre nouveau 3D secure : Une faille majeure

Bon, ok .... vous m'avez fait la réponse standard qui fait semblant d'ignore la réalité du problème. C'est votre communication sur un forum public, ça vous regarde. C'est normal.

 

Mais dans le fond :

- NON la fenêtre n'est absolument pas sécurisée !!!!! Oui, je sais, vous n'avez pas les connaissances suffisantes pour le vérifier. Ce n'est pas votre métier. Donc vous faites confiance à vos collèges qui vous disent ça. Mais je sais ce que je dis, ce n'est pas infaillible, et on ne peut même pas la considérer comme "sécurisée", de part sa nature.

- NON la norme 3D secure n'impose pas le mot de passe d'authentification principal. Ce que vous faites n'est pas réglementaire. C'est archi faux !!!

- Le 3D secure ne doit JAMAIS être fait dans le contexte de l'espace client. Il est fait EXPRES pour ne pas avoir à se connecter dans l'espace sécurisé de gestion, afin de ne pas le compromettre. Car on ne cherche qu'à authentifier le payeur pour une seule transaction, dans un environnement tiers. On ne doit pas débloquer et ouvrir toutes les fonctions ! Et par extension, on ne doit pas demander le secret, tout ou partie, qui donne accès à toutes les fonctions. Quand vous saisissez le code PIN de votre CB, c'est le code de cette carte en particulier, sur le terminal du commerçant, et uniquement utilisé pour cette transaction qui est résolue en physiquement dans la puce de cette carte. On ne vous demande pas les clés de votre banque.

- L'authentification forte est réglementaire, ça oui. Vous pouvez demander l'age du capitaine, le nombre de dents, le temps qu'il fait, n'importe quel secret entre vous et le client, et autant que vous le voulez .... mais pas son code d'accès au portail de gestion ! Pourquoi croyez-vous qu'on utilise l'OTP pour 3D secure ??? C'est justement pour que la banque ne demande pas un secret invariable, et encore moins le mot de passe principal. Vous avez tout fait à l'envers, et contre l'intension de la norme !!!! C'est incroyable de nullité !

- Pas de confusion. Tous les commerçants doivent utiliser l'authentification forte de la banque du moyen de paiement, avec 2, 3, ou 50 facteurs si ça vous dit. Mais chaque banque produit sa procédure 3D secure. Donc par le fait, c'est par votre choix arbitraire que vous imposez la saisie du code d'authentification principal à l'ensemble des sites commerçant. Les commerçants n'ont rien à voir dans cette histoire.

 

Vous dites "il n'y a pas de raison pour qu'il y ait une faille".

Si, un jour, vous cassez votre tire lire pour vous payer un audit de sécurité, ce point sera signalé en "Faille majeure", écrit en rouge. Ce seront les mots exacts employés. Le coût de l'audit vous passera peut être l'envie de contester le mot "faille".

En attendant, ce n'est pas parce que c'est gratuit, que mes propos n'ont pas de valeur. Remontez l'info à qui de droit. Ou ne faites rien.

Moi j'ai fais ma b.a.

tropcher
Contributeur d'honneur

Re: Votre nouveau 3D secure : Une faille majeure

Tout est là :

"NON la fenêtre n'est absolument pas sécurisée !!!!! Oui, je sais, vous n'avez pas les connaissances suffisantes pour le vérifier. Ce n'est pas votre métier. Donc vous faites confiance à vos collèges qui vous disent ça. Mais je sais ce que je dis, ce n'est pas infaillible, et on ne peut même pas la considérer comme "sécurisée","

de votre coté et :

 

"Une fenêtre sécurisée s'ouvre pour vous permettre de renseigner votre code d'accès.
Cette fenêtre est une passerelle sur votre espace client"

du coté ING.

 

Les deux ne peuvent avoir raison en même temps.

 

Je n'ai pas pour le moment été confronté au problème, mais, bien entendu, lorsque je le serai, je vérifierai que la fenêtre qui s'ouvre pour me demander mon code d'accès à mon espace client ING est bien sécurisée par ING comme je le fais (ou comme je devrais le faire Smiley fou) à chaque fois que je me connecte à la page d'accès normal à mon espace client.

FabriceR
Visiteur fréquent

Re: Votre nouveau 3D secure : Une faille majeure

Le 3D sécure ne fonctionne absolument pas

Aucune notification recue (15 essais), authentification à double facteur (3 chiffres du code d'accès + code reçu par SMS) qui ne fonctionne pas non plus "authentification non reconnue" et qui pr dessus le marché bloque tout accès à mes comptes (je dois envoyer un courrier et attendre - carte bloquée en attendant par sécurité).

Essai avec la carte de mon conjoint : idem

Service client totalement injoignable (78 tentatives sur 2 jours).

Du coup, la sécurité est maximale : je n'ai plus de possibilité de payer par carte et aucun moyen d'accéder à mes comptes.

Je vais revenir à une banque classique pour au moins avoir un interlocuteur.

Maryne-H
Modérateur

Re: Votre nouveau 3D secure : Une faille majeure

Bonjour FabriceR

 

Bienvenue sur la communauté ING.

 

Je suis vraiment navrée de cette situation. 

 

Avez-vous réussi à joindre notre Centre de Relation Clients depuis ? 

 

A bientôt. 

 

Maryne-H

FabriceR
Visiteur fréquent

Re: Votre nouveau 3D secure : Une faille majeure

Bien sûr que non !

Toujours la même réponse ( après avoir chosi 3 puis 2) : Ing vous informe...en rasion d'un grand nombre d'appels...

Une centaine d'essais infructueux...

J'ai envoyé un courrier par la poste (qui est en libre réponse donc arrivera...peut-être un jour) mais n'ai aucun moyen de paiement et (pire) aucun moyen de vérifier que mon compte n'a pas été piraté !

Le service mail d'information sécurité ne réponds pas non plus aux mails.

Maryne-H
Modérateur

Re: Votre nouveau 3D secure : Une faille majeure

FabriceR

 

Merci pour votre retour.

A quelle date avez-vous envoyé votre courrier ? 

 

A bientôt. 

 

Maryne-H

FabriceR
Visiteur fréquent

Re: Votre nouveau 3D secure : Une faille majeure

hier 31/9

Maryne-H
Modérateur

Re: Votre nouveau 3D secure : Une faille majeure

FabriceR

 

Nous allons vous faire un retour au plus vite.

 

N'hésitez pas à revenir vers moi la semaine prochaine si vous n'avez pas de retour. 

 

Bon après-midi. 

 

Maryne-H

FabriceR
Visiteur fréquent

Re: Votre nouveau 3D secure : Une faille majeure

Merci

Mais cela ne règle rien ou presque : le web secure ne fonctionne pas (pas plus sur le site officiel d'un festival que sur oui.sncf) pas plus pour moi que pour mes proches (oui, nous avons vérifié, nous avons le bon équipement informatique mais le système lui-même bugge) donc impossible d'acheter sur internet.

Et le service client ING est absolument injoignable ce qui, pour une banque en ligne est non seulement intolérable mais surtout très inquiétant.

La question n'est donc pas tant de savoir quand vous allez rétablir mes accès (j'imagine que ce sera fait sans soucis) que de savoir comment nous allons faire avec ce système inopérant dont les bugs nous rendent...sans solutions et si vous allez mettre en place des interlocuteurs. 

Gwladys-W
Modérateur

Re: Votre nouveau 3D secure : Une faille majeure

Bonjour FabriceR

 

Je vous invite à réitérer votre appel dans l'après-midi.

 

Un de nos conseillers sera en mesure de vous accompagner sur la création d'un incident. 

 

Bon après-midi.

 

Gwladys-W

FabriceR
Visiteur fréquent

Re: Votre nouveau 3D secure : Une faille majeure

Ce service client étant injoignable, je ne vois pas comment faire !
Comme j'entends le même message "ing vous informe...trop grand nombre d'appels..." depuis avant hier quelle que soit l'heure, je me demande si ce fameux service client n'est pas tout simplement fermé sans oser le dire.

Ne pouvant passer mes journées à attendre une hypothétique ouverture d'un hypothétique "service" client... 

Gwladys-W
Modérateur

Re: Votre nouveau 3D secure : Une faille majeure

FabriceR,

 

Je vous ai répondu en privé. 

 

A très vite.

 

Gwladys-W

Meilleurs auteurs de solution

Une claire

Ici, pas de blabla ni de frais cachés, mais de l’aide et des conseils quand vous le souhaitez.

Simple et performante

Nous pensons qu’une banque en ligne doit être performante avec des produits simples à gérer.

Accessible et pratique au quotidien

Tout est pensé pour vous faciliter la vie : grâce à notre appli et à votre espace client, vous êtes complètement autonomes 7j/7. Et en cas de besoin, nos conseillers sont à vos côtés.

Adaptée à votre rythme

Nos conseillers sont disponibles du lundi au vendredi de 8h à 21h et le samedi de 8h à 18h (cout d’un appel local).