Payer en ligne devient de plus en plus compliqué avec la Société Générale
Par Laurentj le vendredi, octobre 30 2009, 13:06 - Geek-log - Lien permanent
Payer sur Internet, ça devient vraiment le parcours du combattant, en tout cas pour ceux qui sont à la Société Générale. De quoi vraiment dégouter les gens d'acheter quelque chose. Jugez plutôt.
Dans les débuts du commerce électronique sur internet, payer sur internet consistait à donner votre numéro de carte et la date de validité. Pour cela, vous êtiez redirigés vers une page de la banque de la boutique électronique (c'est toujours le cas aujourd'hui).
Mais cela ne suffisait plus, ils décidèrent alors qu'il fallait aussi donner un numéro à trois chiffres situé derrière votre carte.
Puis il y a 2-3 ans (je crois), ils décidèrent qu'il fallait indiquer en plus d'autres données, comme votre date de naissance et ceci dans une autre page vers laquelle vous étiez redirigés après le premier formulaire, page fournie par votre banque. La première fois, j'ai cru que j'avais été redirigé vers une page de pishing, tellement le nom de domaine ne ressemblait à rien, et tellement ma banque ne m'avait pas informé d'un tel nouveau dispositif. Résultat, j'avais annulé ma commande en attendant d'en savoir plus.
Au passage, on constatera qu'on a deux redirections, et donc au total trois formulaires à remplir : celui du commerçant pour vos coordonnées pour la livraison ou autre, celui de la banque du commerçant, et enfin celui de votre banque.
À ce stade, ça commençait à m'agacer.
Et voilà que la Société Générale a décidé d'emmerder encore plus ses clients (pour notre sécurité parait-il). Ils ont remplacé le formulaire de saisie de la date de naissance par un autre formulaire, dans lequel vous devez indiquer un code. Ce code vous est envoyé automatiquement par la banque, par SMS, sur votre téléphone portable. Le souci, c'est que pour recevoir ce code, il faut s'être inscrit auprès de votre agence ou par un service vocale (je ne sais plus), pour activer le service de paiement sur le web, et indiquer votre numéro de téléphone. J'avais bien reçu il y a quelques semaines un courrier m'avertissant de ce changement, mais je n'ai pas eu le temps et oublié de faire cette activation, et surtout ça me faisait chier.
Ça me faisait chier de m'inscrire parce que d'une part, les trucs administratifs, ça me gonfle à un point que vous ne pouvez imaginer, et d'autre part, je trouve ce système idiot. Vous avez perdu ou oublié votre téléphone ? Il n'a plus de batterie ? Tant pis pour vous, allez voir ailleurs, ne payez pas ce que vous devez payer. Et hop, un client de moins pour le commerçant. Et tant pis si c'est un achat urgent (comme, au hasard, un renouvellement de nom de domaine).
Et voilà, j'ai un truc à payer, là, maintenant, et je me retrouve coincé, je ne peux pas recevoir ce pu*** de code parce que j'ai omis de m'inscrire (et bien sûr, je n'ai pas sur moi les numéros de comptes, de code en tout genre ou je ne sais quoi d'autres pour activer de suite le service).
Vous allez voir que ça ne va pas suffire pour contrer les fraudes, parce que bien sûr, ça ne va pas empêcher les voleurs de sacs à main d'aller acheter sur internet, puisqu'ils auront votre carte bleu et votre téléphone[1], et que dans 2 ans, il va falloir vous trimballer avec un lecteur d'empreinte digitale pour payer sur internet[2]. Et dans 3 ans, ça va être quoi ? un lecteur d'empreinte génital ? rectal[3] ? Il va falloir prouver 15 fois que c'est bien vous le propriétaire de la carte bleue avant de valider le paiement ?
Du grand n'importe quoi. Déjà que je n'avais pas une haute estime de la relation des banques avec internet, avec entre autre leurs API de paiement[4] pour ajouter un système de paiement dans votre site web, mais là, ça commence à friser le ridicule. Pour votre bien on vous dit ![5]
Notes
[1] certes, il y a moins de vols de sac à main que de piratage de carte bleue sur internet
[2] j'ai cru comprendre que certaines banques proposaient déjà un tel ustensile
[3] classe de payer au bureau, devant les collègues, non ?
[4] SIPS par exemple, qui fournit quasiment le même binaire depuis 8 ans, binaire qui ne fonctionne que sur des vieux noyaux linux plus maintenu (on peut en obtenir un plus récent, seulement après avoir donné 15 coups de téléphone) , avec une API pourrie, qui génère du code HTML pourri, etc. Il y aurait tant à dire, peut être un jour j'en ferais un billet tiens.
[5] Bien sûr, ce billet contient une pincée de mauvaise foi :-)
Commentaires
PayPal
Sips et spplus, je viens de galérer à les installer sous lenny:) ; une pincée de mauvaise foi ? je ne sais pas... le niveau de sécurité me paraît acceptable aujourd'hui, on devrait s'en tenir là et ne pas demander l'âge des parents et des grands parents en multipliant les formulaires !
Peut-être inciter les banques à utiliser leur nom de domaine pour le paiement en ligne serait un plus pour les e-commerçants : caisse d'épargne = spplus.com, ça ne met pas les clients en confiance.
Le but est très simple, donner au fur et à mesure une impression de sécurité pour plus tard pouvoir dire "on ne rembourse plus les paiements en ligne sur demande : le système est sécurisé donc maintenant vous êtes responsable de toute utilisation de votre carte, si on arrive à l'utiliser c'est de votre faute".
Bien entendu en plus ils font payer ses services aux commerçants (comme ça on joue sur les deux tableaux).
La sécurité de votre carte bancaire sur Internet, c'est intéressant pour votre banque (vu qu'elle doit rembourser sur simple demande), pas pour vous.
Hello,
C'est le même bordel au crédit agricole avec un code àlacon à saisir pour finaliser la transaction.
Notez que ce code est très simple à modifier si vous l'avez oublié... ri di cu le.
++
C'est bizarre, je suis aussi à la société générale et je n'ai jamais eu besoin de saisir tous ces trucs, au moins pour les 2 achats que je fais régulièrement : des livres sur amazon.fr et des billets de trains sur voyages-sncf.com...
Cette authentification supplémentaire n'est pas propre à la SG mais à toutes les banques. Il n'y a que le moyen d'authentification qui change selon les banques (mot de passe, date de naissance, SMS, etc.).
Cela s'appelle le "3D Secure".
Mais la solution mise en place est vraiment pourri en effet : ca craint franchement !
Mais le pire c'est que cela n'a d'intérêt que pour les banques, car c'est à vous de protéger ces informations. En clair si quelqu'un utilise votre carte à votre place, vous n'aurez plus aucun recourt auprès de votre banque... car cette authentification est la "preuve" que c'est vous qui avez fait le paiement !!!
@Pingouin Migrateur : c'est parce que les commerçants n'utilise pas encore 3D-Secure. Surement pour ne pas faire peut aux client tant que cela ne s'est pas améliorer :D
a++
J'ai eu le même tour cette semaine. Je voulais simplement faire un virement vers un compte externe, c'est incroyable comme c'est devenu complexe (Crédit Mutuel).
A noter la version "open source" du système CIC qui n'utilise que du PHP, presque un bonheur...
@Pingouin Migrateur : c'est très récent, je crois que c'est actif seulement depuis quelques jours. Donc si tu n'as pas rien acheté ces derniers jours...
Comme le dit @adiGuba, il s'agit de l'activation de la norme 3D Secure, activation réalisé par le commerçant. Si la norme n'est pas encore active de partout (il s'agit d'une recommandation) - pour plusieurs raisons, comme le coût et les contraintes que cela apporte à l'usager; cette norme devrait devenir OBLIGATOIRE très bientôt. Je ne me rappelle plus de la date, mais il me semble que c'est début 2010 ou quelque chose comme ça. On va devoir s'y faire...
3D Secure a été mis en place par les banques petit à petit sans avertir les petits marchands en ligne.
J'ai plusieurs clients qui ont été surpris d'avoir des dizaines de commandes qui ont échoués au niveau de la carte bleue.
Le problème, c'est que les particuliers n'ont pas aussi été averti par leurs établissements banquaires et certains particuliers n'avaient donné les informations (numéro de portable, date de naissance, ...).
Ma femme s'est fait bloqué sa carte bleue car elle avait entré 3 fois sa bonne date de naissance.
Tiens, je viens de commander il y a 5 minutes quelques bouquins sur amazon.fr et pas de galère (pourtant je suis à la société générale). Ceci dit, je paie toujours par e-carte bleue, alors peut-être qu'il n'y a pas les mêmes galères avec ça. Ou bien qu'amazon ne s'y est pas mis...
En tant que marchand et client, 3D Secure est la galère totale:
- marchand: les clients n'osent plus payer par carte car, comme Laurent, ils croient se retrouver sur une page de phishing, ou bien leur banque ne les a pas prévenus
- client: mon interlocuteur à ma banque patauge pour activer l'option sur ma carte bleue.
Pour moi c'est clair, ce système a été inventé par:
- quelqu'un qui n'a jamais rien acheté sur Internet
et/ou:
- quelqu'un qui n'a pas deux sous de jugeotte en matière de psychologie de base d'un client
Bref, un Raté avec un grand R.
3D Secure divise par 10 le nombre de transaction : aucune communication n'a été faite auprès du grand public (spots TV, radio, ...). Un grand flop.
Il faut savoir que les Visa et autres Mastercard, JCB, AE, etc par ailleurs désormais associés au sein du PCI council imposent des contraintes aux émetteurs de cartes (les banques) et aux marchands (via PCI-DSS).
Le but du jeu, comme le sous-tend Eric, est de déplacer la responsabilité vers le marchand et, au travers de lui, vers le consommateur.
Ce transfert de responsabilité sur les marchands en ligne se dénomme 3DSecure et est à l'initiative de Visa.
En principe toutes les banques doivent y souscrire depuis la fin de l'année dernière.
L'objectif est de tenter de réduire la fraude à l'identité sur les sites en ligne. Il ne s'agit pas là de limiter la fraude par vol massif de n°. Cela est traité par la suite.
L'opérateur français pour 3DSecure est Atos World Line.
3Dsecure impose effectivement, entre autres choses, un "secret" que doit fournir le consommateur sur le site de l'opérateur (une fois qu'il a été redirigé sur ce dernier depuis le marchand).
Le choix de la nature de ce secret est à la charge de la banque de domiciliation (non de l'opérateur, ni du marchand, ni de la banque du marchand, ni du consommateur).
La nature de ce "secret" est TRES variable selon la banque : au CACE il s'agit d'un mot de passe, bon soit. Faut juste ne pas l'oublier.
Au Crédit du Nord, c'est la date de naissance. Vachement secret !
A moins d'en saisir une fausse.
Ca c'est pour la vente à distance.
Maintenant, les marchands (et, en principe les banques) sont tenus d'être certifiés PCI-DSS afin de décharger sa responsabilité en cas de fraude massive (vol de numéros).
En clair, si un marchand certifié est victime de fraude, sa responsabilité ne sera pas engagée.
En revanche, s'il n'est pas certifié et qu'il y a fraude, alors ça lui coutera bonbon (c'est Visa-Mastercard-JCB-AE etc qui lui demanderont l'amende) et il risque de perdre l'usage des cartes bancaires. Autant dire que pour un marchand en ligne c'est la clé sous la porte.
En résumé que constate-t-on ?
C'est que progressivement il devient effectivement plus sûre (et donc plus compliquer) d'acheter en ligne comparativement à consulter et agir sur ses comptes en ligne (marrant non ?)
On constate également que les banques sont bien plus promptes à se sécuriser elles-mêmes, entre elles et vis-à-vis des places financières (bon, les enjeux ne sont pas les mêmes) que de sécuriser leurs clients. Et encore, les clients professionnels sont bien mieux traités que les clients non-pro. La BNP propose ainsi un OTP pour ses clients pro.
Mais, ELLES n'oublient JAMAIS de facturer !
En clair, ce que leur impose l'Europe des paiements (SEPA), les émetteurs Visa/Mastercard, etc, les places financières (TARGET, etc) tant en terme d'investissement que de manque à gagner (pour SEPA) sera dûment rétribué d'une manière ou d'une autre.
Surveiller vos comptes et n'oubliez jamais que vous pouvez changer de banque.
Depuis le 1er janvier 2009, votre banque d'accueil est obligée (elles le faisaient déjà toutes au titre du service) de prendre en charge les frais inhérents à vos transferts de compte (opérateurs de téléphonie, Internet, EDF, etc).
db
J'ai essayé aujourd'hui d'effectuer un paiement en ligne et j'ai en effet cru à du phishing. Je trouve ça tellement idiot de devoir PAYER (numéro 0800 ou SMS) pour pouvoir PAYER en ligne. Donc là dans mon cas (appareil à raclette), j'aurai dû payer le produit + frais de port + éco taxe + appel ou SMS. Du coup, mon envie de raclette est de suite retombée (comme un soufflé !). J'appelle demain le service client pour râler (ça ne va pas faire grand chose...mais bon).
@cla : note quand même qu'on ne paye qu'une fois pour le numéro 800/SMS. Tu n'a pas à faire ça à chaque fois. Et tu peux aussi te déplacer dans ton agence pour activer le truc. (en croisant les doigts pour que ton interlocuteur sache de quoi tu parles, parce que dans mon agence, la nana ne savait même pas de quoi je parlais)
Je viens de découvrir 3D Secure version Société Générale. Putain, mais qu'est-ce que c'est que cette connerie !?
Je n'ai pas de portable. Du coup, ils appellent sur mon téléphone fixe. Donc, impossible d'acheter par Internet quand je ne suis pas chez moi. C'est complètement débile.
Je pense sérieusement à changer de banque. Apparemment, la plupart ont un système bien moins contraignant. Celui là est ultra lourdingue.