• Guillaume@jlai.lu
    link
    fedilink
    Français
    arrow-up
    3
    ·
    3 months ago

    [ CB piratée : opposition effectuée. Signalements sur la plateforme PERCEVAL qui n’aboutissent pas + que faire d’autre ? Bonnes pratiques de sécurité ? ]

    Bonjour le Jeudi Tech,

    Double question d’accessibilité Web et de sécurité à vous soumettre.

    Je me suis fait pirater ma CB (voir 2. pour les causes possibles et les remèdes / conseils de sécurité).

    1. J’ai essayé de le signaler une quinzaine de fois sur la plateforme PERCEVAL idoine, sans succès.

    A la fin j’ai tout le temps ce message d’erreur :

    “ATTENTION, votre demande n’a pas été transmise”

    alors que les informations ont l’air bonnes et les champs remplis correctement. J’ai essayé :

    • sur 1 Mac et 3 PC (Windows 10 et 11)

    • dans Chrome / Firefox / Safari / Edge / Arc

    • avec les extensions désactivées et en navigation privée

    • en WiFi et en partage de connexion 4G si jamais mon IP avait un souci

    Si vous avez déjà utilisé PERCEVAL avec succès ou si vous savez comment déjouer les pièges de ses formulaires ou quel navigateur / configuration utiliser, hésitez pas à partager vos astuces (voire si vous travaillez pour service-public.fr dont ce service dépend).

    J’ai contacté l’adresse email du service Perceval à la Gendarmerie. Mais si vous avez des idées en attendant pour vider le cache d’un navigateur “proprement” sans perdre des “informations” utiles (login / mdp enregistrés sur les sites. Je crois que je peux tenter mais j’ai peur d’avoir la même erreur, je suis à court d’idées :( elles sont les bienvenues :)

    Quelque chose de bizarre quand je remplissais le formulaire est qu’entre 2 PC, sur Firefox ou Chrome par exemple, les champs s’auto-remplissaient, même en navigation privée. Donc j’ai peur que les navigateurs aient gardé en mémoire des choses et que j’ai toujours cette erreur…

    Car j’aurais besoin du récépissé Perceval pour ma banque.

    ( update : la banque confirme qu’ils ont besoin de Perceval :(


    1. D’où la fuite du numéro de la CB pourrait-elle venir, pour ne pas que cela se reproduise ?

    Seuls eCommercants où j’avais renseigné ma CB par le passé (sans l’enregistrer) pour effectuer des paiements :


    eCommercant où j’avais renseigné ma CB en l’enregistrant sur mon compte :

    J’ai fait appel au support Amazon récemment. Je ne veux accuser à tort leur support, il y a sûrement des sécurités. Ont-ils accès aux CB ? Je suppose que non (je ne leur ai pas communiqué la CB ni par chat ni téléphone).


    Skimmer très peu probable (je n’ai retiré de l’argent liquide avec cette CB assez récente que dans l’agence locale de ma banque où il y a des caméras de surveillance et c’était il y a assez longtemps).

    Aucun paiement dans des stations essence.

    Pas d’achat dans des magasins ou des situations (bars, restaurants) où la CB aurait pu être recopiée ou photographiée. Ni de réservation d’Hôtel ou sur Booking ou les numéros se baladent.

    Zéro séjour à l’étranger dans les 3 dernières années.

    Je n’étais pas client SFR (ils ont eu un piratage récemment) aux dates où cette CB était valide.


    1. Comment savoir s’il y a un Keylogger sur mon ThinkPad sous Windows 11 ou sur mon Mac sous macOS 14.5 Sonoma ?

    2. Ma CB s’était peut-être enregistrée dans mon navigateur. Est-ce que cela pourrait venir de là ? Mais comment le pirate aurait eu accès au contenu “interne” d’un navigateur ?


    1. J’ai changé le mot de passe maître de mon gestionnaire de mots de passe.

    J’utilisais avant un autre gestionnaire de mot de passe qui avait eu des soucis de sécurité. Que dois-je faire ? J’ai aussi rechangé le master password sur ce gestionnaire. Dois-je supprimer mon compte dessus ?

    Je suis en train de passer en revue le Google Passwords checkup.


    1. Remèdes et conseils pour que cela ne se reproduise pas :

    Physiquement

    • toujours avoir un oeil sur sa CB (pour ne pas que quelqu’un recopie les numéros)

    • mettre une gommette sur le CVV derrière

    SOLUTIONS

    1. J’avais commencé, mais je continue, à mettre la double authentification partout où c’est possible.

    2. Les PassKeys ?

    3. Que pensez-vous de flare.io qui dit monitorer nos informations sur le darkweb, entre autres ?


    Un liens utile. il apporte des infos mais pas forcément de solution :(

    https://www.quechoisir.org/billet-du-president-fraudes-bancaires-les-banques-de-nouveau-rappelees-a-l-ordre-n108010/


    Merci BEAUCOUP pour votre aide, surtout si vous avez des idées pour faire aboutir le signalement sur PERCEVAL…

    • Sprokes@jlai.lu
      link
      fedilink
      Français
      arrow-up
      4
      ·
      3 months ago

      Les e-commerçants n’ont pas accès aux numéros de carte et utilisent tous un prestataire pour les paiements. Ils ne voient pas les numéros de carte. Même quand c’est enregistrée chez eux, ils n’ont qu’un token. Même les gens qui travaillent dans les sociétés de paiement n’ont pas accès aux numéros de carte à moins que la boîte fait n’importe quoi mais ça va se voir rapidement.

      Je dirais que la plupart des fuites viennent via le phishing. On te fait croire qu’il faut payer les frais de douane pour récupérer ton colis et tu le fais sans se poser de question car tu attends bien un colis. Mais je ne suis pas expert sur le sujet.

      • Guillaume@jlai.lu
        link
        fedilink
        Français
        arrow-up
        2
        ·
        3 months ago

        Bonjour Sprokes,

        Merci pour ta réponse.

        Les e-commerçants n’ont pas accès aux numéros de carte et utilisent tous un prestataire pour les paiements. Ils ne voient pas les numéros de carte. Même quand c’est enregistrée chez eux, ils n’ont qu’un token. Même les gens qui travaillent dans les sociétés de paiement n’ont pas accès aux numéros de carte à moins que la boîte fait n’importe quoi mais ça va se voir rapidement.

        Merci beaucoup pour l’info, c’est rassurant.

        Je dirais que la plupart des fuites viennent via le phishing. On te fait croire qu’il faut payer les frais de douane pour récupérer ton colis et tu le fais sans se poser de question car tu attends bien un colis. Mais je ne suis pas expert sur le sujet.

        Certes mais je n’ai pas souvenir d’avoir cliqué sur un tél lien de phishing… (je survole toujours les URL avec la souris et vérifie l’expéditeur dans les emails reçus).

        • Sprokes@jlai.lu
          link
          fedilink
          Français
          arrow-up
          4
          ·
          3 months ago

          Il ne faut pas se fier à l’expéditeur car c’est un truc qu’on peut changer. Il ne faut pas cliquer sur les liens et aller se connecter à ton compte (pas toujours possible) et normalement tu pourras faire l’action demandé si c’est un email authenticatique. Après il y a certainement des fuites où ce n’est pas toi le responsable.

          J’imagine que tu n’a pas validé les paiements via l’authentification via l’application de ta banque ou SMS ?

          • Guillaume@jlai.lu
            link
            fedilink
            Français
            arrow-up
            1
            ·
            3 months ago

            Il ne faut pas se fier à l’expéditeur car c’est un truc qu’on peut changer.

            OK

            Il ne faut pas cliquer sur les liens et aller se connecter à ton compte (pas toujours possible)

            Oui, si au survol l’(extension du) nom de domaine / TLD ou l’URL ou autre sont louche je ne clique surtout pas.

            et normalement tu pourras faire l’action demandé si c’est un email authenticatique.

            Oui, je peux aller sur le site authentique via le navigateur et pas les emails reçus.

            Après il y a certainement des fuites où ce n’est pas toi le responsable.

            Oui, les fuites SFR ou France Travail récemment :(

            J’imagine que tu n’a pas validé les paiements via l’authentification via l’application de ta banque ou SMS ?

            Exact, je n’ai jamais fourni par téléphone le code ou cliqué sur le 3D Secure pour des opérations illégitimes.

            Merci encore

    • Որբունի@jlai.lu
      link
      fedilink
      Français
      arrow-up
      3
      ·
      3 months ago

      Fortuneo propose une carte Mastercard Gold avec des bonnes assurances, gratuite, avec des conditions pas trop drastiques. Tu peux t’en servir comme support pour des cartes bleues à usage unique (CB & MasterCard) qui fonctionnent partout en ligne.

      Revolut a un service similaire mais sans plafonds par numéro de carte de mémoire.

      Ça rajoute une sécurité au cas où un prestataire de paiement a un problème de sécurité mais je m’en sers surtout pour éviter qu’on me surfacture.

    • Baleine@jlai.luM
      link
      fedilink
      Français
      arrow-up
      3
      ·
      3 months ago

      Pour vider le cache tu peux faire clique droit -> oublier le site dans l’historique ce qui supprime toutes les données mais juste pour le site