Le 11.08.2014 11:19, Gilles Massen a écrit :
> Bonjour Brent,
>
> Bon email - et bien de l'avoir écrit. D'ailleurs l'administration des
> impôts a également diffusé une note à ce sujet.
>
> Je me permets de te donner quelques précisions techniques:
>
>> 3) Dans un cas de page https, vérifier l'identité du serveur (cliquer
>> sur le cadenas, demander de voir le certificat, vérifier qui en est le
>> certificateur, ...) suivant votre navigateur web.
> Optimiste :)
Il y a des plugins pour Firefox qui affichent automatiquement la
localisation géographique du site sur lequel on se trouve. Toujours utile.
Si j'ai un doute, je vérifie toujours ce genre de chose. Même si le
certificat n'est "plus valide", si on connaît l'émetteur et qu'on le
sait, ça joue son rôle.
Ce que je trouve le pire, c'est que le domaine "impot.lu" n'utilise même
pas le système SPF, qui permettrait de bloquer facilement le mail de
fishing initial...
>> 5) Ne _jamais_ renseigner votre "Card verification code" ou "Password 3D
>> secure" sur une page autre qu'appartenant à _une banque_, avec
>> certificat de la banque, et liaison http*s*.
> Un vendeur doit demander le CVC pour ces transactions, et il faut bien
> le transmettre via le site d'un vendeur (sauf vendeur qui utilise un
> 'payment provider'). Seul particularité: le vendeur n'a pas le droit de
> stocker cette donnée.
C'est pour ça que je précise bien que cette info n'est pas nécessaire
pour effectuer un _remboursement_.
Par ailleurs, étant commerçant capable de recevoir des payements par
carte de crédit, je peux t'assurer que ce code _n'est pas nécessaire_.
Je peux te le prouver si tu veux me donner ton numéro de carte + date de
fin de validité...
> Le "3D 'secure'" est seulement à donner à la banque - sauf qu'au
> Luxembourg (avec Cetrel) celà se traduit pour l'essentiel des banques
> par une page provenant de 'acs.netcetera.ch'. A part la phrase choisie
> lors de la mise en place de 3dsecure, rien n'identifie la transaction de
> façon fiable (ou ne relie le site à la banque). D'un point de vue
> sécurité technique c'est lamentable, mais pour l'utilisateur celà ouvre
> une voie de défense en cas de problèmes....
C'est pas pire que Luxtrust...
>> 6) Ne _jamais_ donner d'informations autres que votre numéro de carte
>> pour tout remboursement, et préférer les remboursements via virements
>> bancaires. Nous sommes en Union Européenne. Les virements européens
>> (SEPA) sont au même prix que les remboursements locaux _partout en
>> Europe_ (c'est la loi) et bien moins chers qu'un remboursement sur carte
>> de crédit.
> Au Luxembourg il n'y a typiquement pas de frais liés aux transactions
> par carte de crédit - pour le titulaire au moins. Que ce soit
> remboursement ou non.
C'est une règle générale pour les cartes de crédit au niveau mondial:
encore une fois, étant commerçant, j'ai du lire et signer les contrats
avec l'acquéreur (la banque qui va me payer les montants): on _doit_
s'engager à ne pas facturer le service d'acceptation des cartes. Pas
fous, les vendeurs de ces services veulent en faire payer le coût par
_l'ensemble_ des clients, y compris ceux qui payent par d'autres moyens.
Sinon, le coût est très faible pour le commerçant et proportionnel au
montant débité (0,17% dans mon cas). Je ne comprend d'ailleurs pas
pourquoi il y en a qui exigent un montant minimum pour l'utilisation des
cartes. L'intérêt du système est évident lorsqu'on pense au risque et au
temps perdu à aller porter la caisse régulièrement à la banque, sachant
qu'on peut être tué pour moins de 200€...
> D'ailleurs il faut bien une date d'expiration pour un remboursement -
> d'un côté pour éviter de faire une opération avec une carte expirée,
> donc hors contrat, et de l'autre parce que le le set "nom, numéro, date"
> est souvent atomique dans les applications (mêmes fournies par les
> banques). Pour les terminaux c'est à nouveau différent.
En pratique, j'ai pas absolument besoin du nom.
En fait, tout renseignement supplémentaire apporte plus de garantie pour
le commerçant d'être payé. La garantie absolue étant l'introduction de
la carte dans le terminal + code PIN vérifié on-line.
La date de fin de validité est nécessaire pour s'assurer que le numéro
de la carte n'a pas été falsifié (je suppose qu'on peut générer des
numéros "valides") mais aussi parce que certaines banques renouvellent
des cartes avec un même numéro. Le commerçant, pour être assuré d'être
payé, _doit_ (par contrat) vérifier la date de fin de validité, ce qui
permet aussi de s'assurer que des cartes "perdues" finiront par être
inutilisables.
Mon expérience: étant bloqué à une barrière de péage sur autoroute en
France au mois de septembre, ayant tenté de payer avec _toutes_ les
cartes à ma disposition (8 cartes en tout) sans succès (cartes
"illisibles"), j'ai été obligé d'insérer une carte expirée qui traînait
dans le cendrier (laissée là depuis le 1er janvier, fin de sa validité),
et ça a parfaitement fonctionné. Et j'ai effectivement payé le péage via
un débit exceptionnel (avec lettre d'accompagnement de la part de Visa)
quelques semaines plus tard. Ils sont très au point.
> Cordialement,
> Gilles
>
Idem.
Je reçoit un e-mail pour l'une des sociétés dont je m'occupe: (fishing ?
Kezako ? <http://fr.wikipedia.org/wiki/Hame%C3%A7onnage>)
> Après un dernier calcul de votre activité financière,
>
> nous avons déterminé que vous êtes admissible à recevoir un
> remboursement 411,00 EUR.
>
>
> Cliquez ici et obtenir un remboursement d'impôt.
> <http://zayamsports.com/mimi>
>
>
>
> ----------------------------------------------------------------------------------------------------------
>
> Cordialement,
>
> Administration des contributions directes du Grand-Duché de Luxembourg
>
Premier réflexe: vérifier le lien (en mettant la flèche dessus).
On voit apparaître (sur un bon navigateur web) le lien qui se cache
là-dessous. C'est
"http://tiddus.com/refund-luxembourg.lu/5a380c0e957bcfa593ab6ece058c6804"
Tiddus.com n'a rien à voir avec l'Etat luxembourgeois et est un site
américain.
Si on suit le lien, on tombe sur ceci:
Il n'y a pas plus proche du site réel des contributions
luxembourgeoises. Tout a été copié (très facile). Seul un texte est
"original" et donc plein de fautes de style, de syntaxe et d'orthographe:
"/S'il vous plaît remplir le formulaire ci-dessous afin de continuer à
recevoir la amound de EUR 411,00 retourné à votre compte par
l'Administration des contributions directes, du Grand-Duché de Luxembourg/"
Non seulement le remboursement d'impôts ne se fait pas par carte de
crédit, mais en plus il n'a lieu que si on cesse l'activité (sinon c'est
un avoir sur l'impôt de l'année suivante).
Au pire, l'administration rembourse par virement. Jamais par "re-crédit"
d'une carte bancaire.
De plus, ici, toute les informations confidentielles sont demandées,
dont (ce qui est anormal):
* Date de naissance
* "Card verification code"
* "Password 3D secure"
Aucune de ces trois informations n'est nécessaire pour être remboursé. A
mon avis, la date de fin de validité non plus (_pour être remboursé_).
Par contre, muni de ces informations, le pirate pourra effectivement
passer des achats sur Internet dans les limites du crédit de la carte,
et se faire livre où bon lui semble (poste restante, point de dépôt, ...)
La page n'est même pas en http*s* (http sécurisé) car il n'a même pas
investi dans un faux certificat... (vérifier l'authenticité d'un
certificat
<https://www.bcee.lu/Agences/Agence-Online2/S-net/S%C3%A9curit%C3%A9/V%C3%A9…>)
Bref, grossière arnaque.
Comment déjouer:
1) Personne (ni compagnie d'électricité, ni service public, ni
e-marchant, ni banque) ne vous demandera vos coordonnées
bancaires/cartes de crédit/identité/... par Internet.
2) Surtout pas sur une page web non cryptée (http*s***)
3) Dans un cas de page https, vérifier l'identité du serveur (cliquer
sur le cadenas, demander de voir le certificat, vérifier qui en est le
certificateur, ...) suivant votre navigateur web.
4) Toujours vérifier le nom du site sur lequel vous naviguez. Ici, on
part d'un e-mail apparemment émit par "impot.lu" et on aboutit sur un
site qui n'a rien à voir.
5) Ne _jamais_ renseigner votre "Card verification code" ou "Password 3D
secure" sur une page autre qu'appartenant à _une banque_, avec
certificat de la banque, et liaison http*s*.
6) Ne _jamais_ donner d'informations autres que votre numéro de carte
pour tout remboursement, et préférer les remboursements via virements
bancaires. Nous sommes en Union Européenne. Les virements européens
(SEPA) sont au même prix que les remboursements locaux _partout en
Europe_ (c'est la loi) et bien moins chers qu'un remboursement sur carte
de crédit.
7) Pour des achats sur Internet, préférer des sites connus et réputés.
Sinon, vérifier l'existence et la localisation (Ex: Monaco ou Andorre ne
sont pas en Europe donc non soumis au droit européen) de la société.
Envisager l'usage de numéros de cartes électroniques éphémères (cartes
"one-shot") que fournissent certaines banques. Pour des achats auprès de
vendeurs inconnus, les services de garantie de transactions fournis par
e-Bay ou Amazon (par exemple) sont très utiles.
Et enfin, _dénoncez immédiatement_ tout site frauduleux aux autorités.