Le 11.08.2014 11:19, Gilles Massen a écrit :

Bonjour Brent,

Bon email - et bien de l'avoir écrit. D'ailleurs l'administration des
impôts a également diffusé une note à ce sujet.

Je me permets de te donner quelques précisions techniques:

3) Dans un cas de page https, vérifier l'identité du serveur (cliquer
sur le cadenas, demander de voir le certificat, vérifier qui en est le
certificateur, ...) suivant votre navigateur web.

Optimiste :)

Il y a des plugins pour Firefox qui affichent automatiquement la localisation géographique du site sur lequel on se trouve. Toujours utile.
Si j'ai un doute, je vérifie toujours ce genre de chose. Même si le certificat n'est "plus valide", si on connaît l'émetteur et qu'on le sait, ça joue son rôle.

Ce que je trouve le pire, c'est que le domaine "impot.lu" n'utilise même pas le système SPF, qui permettrait de bloquer facilement le mail de fishing initial...

5) Ne _jamais_ renseigner votre "Card verification code" ou "Password 3D
secure" sur une page autre qu'appartenant à _une banque_, avec
certificat de la banque, et liaison http*s*.

Un vendeur doit demander le CVC pour ces transactions, et il faut bien
le transmettre via le site d'un vendeur (sauf vendeur qui utilise un
'payment provider'). Seul particularité: le vendeur n'a pas le droit de
stocker cette donnée.

C'est pour ça que je précise bien que cette info n'est pas nécessaire pour effectuer un remboursement.

Par ailleurs, étant commerçant capable de recevoir des payements par carte de crédit, je peux t'assurer que ce code n'est pas nécessaire.
Je peux te le prouver si tu veux me donner ton numéro de carte + date de fin de validité...

Le "3D 'secure'" est seulement à donner à la banque - sauf qu'au
Luxembourg (avec Cetrel) celà se traduit pour l'essentiel des banques
par une page provenant de 'acs.netcetera.ch'. A part la phrase choisie
lors de la mise en place de 3dsecure, rien n'identifie la transaction de
façon fiable (ou ne relie le site à la banque). D'un point de vue
sécurité technique c'est lamentable, mais pour l'utilisateur celà ouvre
une voie de défense en cas de problèmes....

C'est pas pire que Luxtrust...

6) Ne _jamais_ donner d'informations autres que votre numéro de carte
pour tout remboursement, et préférer les remboursements via virements
bancaires. Nous sommes en Union Européenne. Les virements européens
(SEPA) sont au même prix que les remboursements locaux _partout en
Europe_ (c'est la loi) et bien moins chers qu'un remboursement sur carte
de crédit.

Au Luxembourg il n'y a typiquement pas de frais liés aux transactions
par carte de crédit - pour le titulaire au moins. Que ce soit
remboursement ou non.

C'est une règle générale pour les cartes de crédit au niveau mondial: encore une fois, étant commerçant, j'ai du lire et signer les contrats avec l'acquéreur (la banque qui va me payer les montants): on doit s'engager à ne pas facturer le service d'acceptation des cartes. Pas fous, les vendeurs de ces services veulent en faire payer le coût par l'ensemble des clients, y compris ceux qui payent par d'autres moyens. Sinon, le coût est très faible pour le commerçant et proportionnel au montant débité (0,17% dans mon cas). Je ne comprend d'ailleurs pas pourquoi il y en a qui exigent un montant minimum pour l'utilisation des cartes. L'intérêt du système est évident lorsqu'on pense au risque et au temps perdu à aller porter la caisse régulièrement à la banque, sachant qu'on peut être tué pour moins de 200€...

D'ailleurs il faut bien une date d'expiration pour un remboursement -
d'un côté pour éviter de faire une opération avec une carte expirée,
donc hors contrat, et de l'autre parce que le le set "nom, numéro, date"
est souvent atomique dans les applications (mêmes fournies par les
banques). Pour les terminaux c'est à nouveau différent.

En pratique, j'ai pas absolument besoin du nom.
En fait, tout renseignement supplémentaire apporte plus de garantie pour le commerçant d'être payé. La garantie absolue étant l'introduction de la carte dans le terminal + code PIN vérifié on-line.
La date de fin de validité est nécessaire pour s'assurer que le numéro de la carte n'a pas été falsifié (je suppose qu'on peut générer des numéros "valides") mais aussi parce que certaines banques renouvellent des cartes avec un même numéro. Le commerçant, pour être assuré d'être payé, doit (par contrat) vérifier la date de fin de validité, ce qui permet aussi de s'assurer que des cartes "perdues" finiront par être inutilisables.

Mon expérience: étant bloqué à une barrière de péage sur autoroute en France au mois de septembre, ayant tenté de payer avec toutes les cartes à ma disposition (8 cartes en tout) sans succès (cartes "illisibles"), j'ai été obligé d'insérer une carte expirée qui traînait dans le cendrier (laissée là depuis le 1er janvier, fin de sa validité), et ça a parfaitement fonctionné. Et j'ai effectivement payé le péage via un débit exceptionnel (avec lettre d'accompagnement de la part de Visa) quelques semaines plus tard. Ils sont très au point.

Cordialement,
Gilles

Idem.