Je n'aime pas VISA ...

Article un peu moins gratuit que celui sur Symantec (mais j'avais déjà des antécédents avec TrendMicro, donc je ne suis plus à ça près :p) qui fait double usage.

  1. Tirer dans les pattes de VISA
  2. Vous présentez une nouvelle catégorie, la bien nommée 'Je n'aime pas'

Je n'aime pas VISA, sans doute historiquement, car ma banque fournissait "par défaut" des CB (Cartes Bancaires) de marque MasterCard. N'ayant jamais eu de problème avec ma CB (si ce n'est sa perte à six reprises en moins de deux  ans), je n'avais aucune raison de changer.

J'ai récemment fait l'amer constat qui va sans doute sceller mon choix...

J'apprends à personne que de plus en plus de CB vont petit à petit se faire remplacer par des versions pourvues de la technologie NFC (near field communication), mais si, vous savez, ce qui permet de vous "simplifier la vie".

Sauf que, me simplifier la vie, d'accord, mais pas au dépend de ma vie privée ! Je m'explique avec cette petite mise en situation.

Flo, un comparse ayant voyagé avec moi au Japon l'année dernière, s'est rendu compte que nos cartes de transport (Suica) supportaient cette technologie, et qu'avec une simple application disponible sur le Play Store de Google, il etait possible de connaître nos stations de départ/arrivée, le prix des voyages, etc, etc ..

Nous vient donc l'idée de 'tester la sécurité de nos CB' :

  • MasterCard Maestro : Rien
  • MasterCard : Rien
  • MasterCard Gold : Rien
  • Visa : Des données, mais illisible/inutilisable
  • Visa premier : Idem, des données, mais non exploitable

Lui vient l'idée de tester NFCCreditCardTool ou ReadNFCcc, un outils spécialement prévu pour lires les informations des différentes CB.

Constat édifiant :

  • MasterCard Maestro : Rien
  • MasterCard : Rien
  • MasterCard Gold : Rien
  • Visa :
<td>
  <a target="_blank" href="http://blog.m0le.net/wp-content/uploads/2013/02/visa_nfc.png"><img loading="lazy" class="aligncenter size-full wp-image-5915" alt="visa_nfc" src="http://blog.m0le.net/wp-content/uploads/2013/02/visa_nfc.png" width="300" height="532" srcset="//hugo.m0le.net/wp-content/uploads/2013/02/visa_nfc.png 720w, //hugo.m0le.net/wp-content/uploads/2013/02/visa_nfc-576x1024.png 576w" sizes="(max-width: 300px) 100vw, 300px" /></a>
</td>
visa
  • Une Visa premier :
<td>
  <a target="_blank" href="http://blog.m0le.net/wp-content/uploads/2013/02/visa_premier_nfc.png"><img loading="lazy" class="aligncenter size-full wp-image-5917" alt="visa_premier_nfc" src="http://blog.m0le.net/wp-content/uploads/2013/02/visa_premier_nfc.png" width="300" height="531" /></a>
</td>
visa_premier

Personnellement, je sais pourquoi je n'utilise pas de carte visa ...

Note : Par défaut, de plus en plus de banque vous donnerons des cartes dotées de la technologie NFC ; précisez à votre banque que vous n'en voulez pas, c'est encore possible (mais peut être plus pour longtemps).

Comments

Comment by Guillaume on 2013-02-25 10:54:57 +0100

Personnellement, j'ai signifié à ma banque (Banque Populaire) que je ne voulait pas du NFC. Elle me proposait de refaire la carte (sans garantie que le NFC en soit retiré - le guichetier n'y connaissant rien) ou désactiver le NFC. J'ai donc signé un avenant au contrat carte pour désactiver le NFC.

Comment by Gilles on 2013-02-26 01:50:21 +0100

Et ça peut pas se désactiver, genre en grattant un endroit ou en la passant au micro-onde ? :p

Comment by Nono on 2013-02-26 02:11:16 +0100

Je viens de tester à l'instant : en m'étant de l'aluminium entre mon (petit récepteur ) NFC de mon galaxy S3 et une carte visa : aucune donnée ne passe (j'ai testé dans les deux sens)

Comment by Briced on 2013-02-26 14:11:50 +0100

Par curiosité, tu pourrais nous passer le lien (ou le nom) de l'application sur google play ?
J'ai quelques trucs a tester :p

Comment by Nono on 2013-02-26 14:21:10 +0100

C'était déjà le cas, c'est le lien sur le(s) nom(s) du tools : NFCCreditCardTool ou ReadNFCcc
dispo sur https://code.google.com/p/readnfccc/

Comment by Briced on 2013-02-26 15:16:39 +0100

En effet, merci donc.

Comment by Nicolas on 2013-03-09 22:31:03 +0100

Il existe des portefeuilles spéciaux pour cartes NFC qui les isolent du monde extérieur, comme ton système en aluminium en un peu plus pratique. Mais c'est vrai que le mieux est encore de ne pas l'avoir intégré sur sa carte.

Je serais curieux de connaitre les justification des personnes qui ont développé ce protocole de paiement sans-fil. Pourquoi permettre à tous les TPE de connaitre les dernière transactions de tous les clients ?

Comment by sebsauvage via http://sebsauvage.net/links/?Q2DVvg on 2013-06-06 10:08:24 +0200

[Edit2 de Nono: Ce commentaire à été posté (par une personne), qui l'a recopié depuis : http://sebsauvage.net/links/?Q2DVvg%5D
Et en plus Visa n'est même pas foutu de faire de l'XML correcte: http://www.sanin.org/xmlsec/faq.html#section_3_4
(Je le sais pour avoir bossé avec des protocoles de signature crypto Visa pour le paiement.)

Visa sait très bien que son XML est incorrecte (tout le monde lui a dit), mais a refusé de corriger pendant des années. Conséquence ? Tout le monde est obligé d'utiliser un hack des librairies XML pour réussir à les lire (Il y a un putain de flag: XMLSEC_DSIG_FLAGS_USE_VISA3D_HACK. Le nom est assez explicite, non ?)

LE MONDE ENTIER a dû s'adapter parce que Visa refuse de faire de l'XML valide. Doh.

Comment by julien et nel on 2013-06-06 11:27:47 +0200

Il faudrait arrêter de piquer le pseudo de seb, merci ...

Comment by Gopi on 2013-06-06 11:34:33 +0200

En fait la personne a juste l'air d'avoir copié le commentaire de seb sur http://sebsauvage.net/links/?Q2DVvg, donc en fait si, ça provient de sebsauvage.net 🙂

Est-ce que ce n'est pas quelqu'un qui essaye (mais ok, il aurait fallu qu'il prévienne avant) de faire un truc qui pousse les commentaires de shaarli en commentaires de blogs ?

Comment by Nono on 2013-06-06 11:36:23 +0200

Nous avons trouvé le 'coupable', une discussion s'entame, et je vous tiendrais informé ici,
sur mon shaarli : http://shaarli.m0le.net et seb devrait en faire de même sur le sien 🙂

Comment by fonds d'écran on 2013-06-06 11:45:30 +0200

en tous cas, sebsauvage ne laisse rien passer maintenant ET il a bien raison 😉
perso j'ai relayé aussi via "mon shaarli" 😉
http://sebsauvage.net/links/?xc9-8A
super ce truc ... 🙂
mais quand tu dis 'nous avons trouvé le coupable' = des noms !!!
c'est le site cité avec UN LIEN en plus ???

Comment by julien et nel on 2013-06-06 11:52:26 +0200

Même si la personne veut rendre service à un blogueur en copiant un poste d'un shaarli directement dans un commentaire, il serait bien que cette personne le fasse en citant le message ... mais pas en le postant en utilisant le lien du blog et de le pseudo de la personne qui a posté à l'origine le message. C'est un peu de l' usurpation d'identité et le blogueur risque moyennement d'apprécier qu'on lui vole en quelque sorte son identité ... il arrive souvent que des fans ou des personnes avec bonne intentions fasse ça, mais il ne faut pas le faire. Nos identités ne sont pas à vendre, à louer, à donner, à prêter, etc ...

Comment by 0t0tme on 2013-06-06 12:40:42 +0200

Où qu'il est le brevet ? Sebsauavge n'est pas une exclusivité au seb que tu connais et oser dire que c'est "usurpateur" c'est abusé

Comment by X3N on 2013-06-06 12:46:11 +0200

Perso j'ai une Visa du CM et l'appli n'affiche rien.

Comment by Nono on 2013-06-06 13:03:24 +0200

A partir du moment ou :
Le pseudo (sebsauvage), l'url (http://www.sebsauvage.net) et le mail (que je ne vais pas copier ici) sont STRICTEMENT les mêmes qu'une personne, et qu'on à la preuve que cette même personne n'est pas la personne qui à commenté (IP à l'appuie), je pense que appeler cela "usurpateur", c'est pas trop.

Quoi qu'il en soit, c'est mon blog, j'en fais encore ce que je veux 🙂

Comment by Nono on 2013-06-06 13:05:05 +0200

Peut-être des modifs de faites entre le 25 Février et aujourd'hui ?!
Les VISA ne venaient (photo à l'appuie) pas du CM cela dit. Je ne sais pas si une VISA de CM ou d'ailleurs puisse différer ou non.

Comment by Nono on 2013-06-06 13:49:16 +0200

Suite et fin : http://sebsauvage.net/links/?HqPXMQ
La personne s'excuse et arrête de re-poster sur les sites.

Comment by Usurpateur on 2013-06-06 13:52:03 +0200

Cela ne se reproduira plus.

Comment by Nono on 2013-06-06 14:01:44 +0200

Pour moi, du moment qu'on rend à Cesar, ce qui est à Cesar, ca me va, par-contre, plus grave, c'est quand on se trompe !
Il me semble (je ne sais pas si c'est toi), que tu as posté un commentaire shaarli d'un AUTRE liens, sur un post qui n'avait pas de rapport :
Lien : http://www.zplay.eu/article/44
Le (vrai) commentaire de seb : http://sebsauvage.net/links/?e964iQ
le (faux) commentaire, traitant d'un autre lien : http://sebsauvage.net/links/?EEScnQ
Ca, c'est autrement plus "grave".

Cela dit, c'est reglé, n'en parlons plus 🙂

Comment by sioban on 2013-06-07 08:16:11 +0200

Heu, en fait readnfcc est volontairement limité à VISA par son auteur.
C'est un Proof-Of-Concept.

Mastercard peut aussi bien être lue avec d'autres outils plus underground ou si on plonge les mains dans readnfcc.

Pour ma part, j'ai renvoyé ma Master avec NFC à ma banque pour en demander une autre sans.