;
fév
25
2013

Je n'aime pas VISA ...

Article un peu moins gratuit que celui sur Symantec (mais j'avais déjà des antécédents avec TrendMicro, donc je ne suis plus à ça près :p) qui fait double usage.

  1. Tirer dans les pattes de VISA
  2. Vous présentez une nouvelle catégorie, la bien nommée 'Je n'aime pas'

Je n'aime pas VISA, sans doute historiquement, car ma banque fournissait "par défaut" des CB (Cartes Bancaires) de marque MasterCard. N'ayant jamais eu de problème avec ma CB (si ce n'est sa perte à six reprises en moins de deux  ans), je n'avais aucune raison de changer.

J'ai récemment fait l'amer constat qui va sans doute sceller mon choix...

J'apprends à personne que de plus en plus de CB vont petit à petit se faire remplacer par des versions pourvues de la technologie NFC (near field communication), mais si, vous savez, ce qui permet de vous "simplifier la vie".

Sauf que, me simplifier la vie, d'accord, mais pas au dépend de ma vie privée ! Je m'explique avec cette petite mise en situation.

Flo, un comparse ayant voyagé avec moi au Japon l'année dernière, s'est rendu compte que nos cartes de transport (Suica) supportaient cette technologie, et qu'avec une simple application disponible sur le Play Store de Google, il etait possible de connaître nos stations de départ/arrivée, le prix des voyages, etc, etc ..

Nous vient donc l'idée de 'tester la sécurité de nos CB' :

  • MasterCard Maestro : Rien
  • MasterCard : Rien
  • MasterCard Gold : Rien
  • Visa : Des données, mais illisible/inutilisable
  • Visa premier : Idem, des données, mais non exploitable

Lui vient l'idée de tester NFCCreditCardTool ou ReadNFCcc, un outils spécialement prévu pour lires les informations des différentes CB.

Constat édifiant :

  • MasterCard Maestro : Rien
  • MasterCard : Rien
  • MasterCard Gold : Rien
  • Visa :
visa visa_nfc
  • Une Visa premier :
visa_premier visa_premier_nfc

Personnellement, je sais pourquoi je n'utilise pas de carte visa ...

Note : Par défaut, de plus en plus de banque vous donnerons des cartes dotées de la technologie NFC ; précisez à votre banque que vous n'en voulez pas, c'est encore possible (mais peut être plus pour longtemps).

Related Posts

Nono

A propos de l'auteur: Nono

21 Comments + Add Comment

  • Personnellement, j'ai signifié à ma banque (Banque Populaire) que je ne voulait pas du NFC. Elle me proposait de refaire la carte (sans garantie que le NFC en soit retiré - le guichetier n'y connaissant rien) ou désactiver le NFC. J'ai donc signé un avenant au contrat carte pour désactiver le NFC.

  • Et ça peut pas se désactiver, genre en grattant un endroit ou en la passant au micro-onde ? :p

  • Nono

    Je viens de tester à l'instant : en m'étant de l'aluminium entre mon (petit récepteur ) NFC de mon galaxy S3 et une carte visa : aucune donnée ne passe (j'ai testé dans les deux sens)

  • Par curiosité, tu pourrais nous passer le lien (ou le nom) de l'application sur google play ?
    J'ai quelques trucs a tester :p

  • Il existe des portefeuilles spéciaux pour cartes NFC qui les isolent du monde extérieur, comme ton système en aluminium en un peu plus pratique. Mais c'est vrai que le mieux est encore de ne pas l'avoir intégré sur sa carte.

    Je serais curieux de connaitre les justification des personnes qui ont développé ce protocole de paiement sans-fil. Pourquoi permettre à tous les TPE de connaitre les dernière transactions de tous les clients ?

  • [Edit2 de Nono: Ce commentaire à été posté (par une personne), qui l'a recopié depuis : http://sebsauvage.net/links/?Q2DVvg
    Et en plus Visa n'est même pas foutu de faire de l'XML correcte: http://www.sanin.org/xmlsec/faq.html#section_3_4
    (Je le sais pour avoir bossé avec des protocoles de signature crypto Visa pour le paiement.)

    Visa sait très bien que son XML est incorrecte (tout le monde lui a dit), mais a refusé de corriger pendant des années. Conséquence ? Tout le monde est obligé d'utiliser un hack des librairies XML pour réussir à les lire (Il y a un putain de flag: XMLSEC_DSIG_FLAGS_USE_VISA3D_HACK. Le nom est assez explicite, non ?)

    LE MONDE ENTIER a dû s'adapter parce que Visa refuse de faire de l'XML valide. Doh.

    • Il faudrait arrêter de piquer le pseudo de seb, merci ...

      • Où qu\'il est le brevet ? Sebsauavge n\'est pas une exclusivité au seb que tu connais et oser dire que c\'est \"usurpateur\" c\'est abusé

        • Nono

          A partir du moment ou :
          Le pseudo (sebsauvage), l'url (http://www.sebsauvage.net) et le mail (que je ne vais pas copier ici) sont STRICTEMENT les mêmes qu'une personne, et qu'on à la preuve que cette même personne n'est pas la personne qui à commenté (IP à l'appuie), je pense que appeler cela "usurpateur", c'est pas trop.

          Quoi qu'il en soit, c'est mon blog, j'en fais encore ce que je veux :)

  • En fait la personne a juste l'air d'avoir copié le commentaire de seb sur http://sebsauvage.net/links/?Q2DVvg, donc en fait si, ça provient de sebsauvage.net :)

    Est-ce que ce n'est pas quelqu'un qui essaye (mais ok, il aurait fallu qu'il prévienne avant) de faire un truc qui pousse les commentaires de shaarli en commentaires de blogs ?

  • Nono

    Nous avons trouvé le 'coupable', une discussion s'entame, et je vous tiendrais informé ici,
    sur mon shaarli : http://shaarli.m0le.net et seb devrait en faire de même sur le sien :)

    • Même si la personne veut rendre service à un blogueur en copiant un poste d'un shaarli directement dans un commentaire, il serait bien que cette personne le fasse en citant le message ... mais pas en le postant en utilisant le lien du blog et de le pseudo de la personne qui a posté à l'origine le message. C'est un peu de l' usurpation d'identité et le blogueur risque moyennement d'apprécier qu'on lui vole en quelque sorte son identité ... il arrive souvent que des fans ou des personnes avec bonne intentions fasse ça, mais il ne faut pas le faire. Nos identités ne sont pas à vendre, à louer, à donner, à prêter, etc ...

  • en tous cas, sebsauvage ne laisse rien passer maintenant ET il a bien raison ;)
    perso j'ai relayé aussi via "mon shaarli" ;)
    http://sebsauvage.net/links/?xc9-8A
    super ce truc ... :)
    mais quand tu dis 'nous avons trouvé le coupable' = des noms !!!
    c'est le site cité avec UN LIEN en plus ???

  • Perso j'ai une Visa du CM et l'appli n'affiche rien.

    • Nono

      Peut-être des modifs de faites entre le 25 Février et aujourd'hui ?!
      Les VISA ne venaient (photo à l'appuie) pas du CM cela dit. Je ne sais pas si une VISA de CM ou d'ailleurs puisse différer ou non.

  • Nono

    Suite et fin : http://sebsauvage.net/links/?HqPXMQ
    La personne s'excuse et arrête de re-poster sur les sites.

  • Cela ne se reproduira plus.

    • Nono

      Pour moi, du moment qu'on rend à Cesar, ce qui est à Cesar, ca me va, par-contre, plus grave, c'est quand on se trompe !
      Il me semble (je ne sais pas si c'est toi), que tu as posté un commentaire shaarli d'un AUTRE liens, sur un post qui n'avait pas de rapport :
      Lien : http://www.zplay.eu/article/44
      Le (vrai) commentaire de seb : http://sebsauvage.net/links/?e964iQ
      le (faux) commentaire, traitant d'un autre lien : http://sebsauvage.net/links/?EEScnQ
      Ca, c'est autrement plus "grave".

      Cela dit, c'est reglé, n'en parlons plus :)

  • Heu, en fait readnfcc est volontairement limité à VISA par son auteur.
    C'est un Proof-Of-Concept.

    Mastercard peut aussi bien être lue avec d'autres outils plus underground ou si on plonge les mains dans readnfcc.

    Pour ma part, j'ai renvoyé ma Master avec NFC à ma banque pour en demander une autre sans.

Leave a comment