[Okkazeo] [LBC] [Cwowd] Boire et déboires (la hutte du schtroumpf grognon)

Avant de venir semer le trouble ici (avec la moitié des infos), pourquoi ne pas répondre à mon mail que je t’ai envoyé et qui prend le temps de tout expliquer, et qui finit par « Je reste disponible pour répondre à toutes les questions qu’une telle situation peut susciter. » ? :face_with_monocle:

8 « J'aime »

Bonjour,

J’ai envoyé 3 mails en réponse à votre mail … les avez vous bien reçus ?

Il s’agissait de questions auxquelles il faut répondre afin de compléter le dossier ouvert auprès de l’office anti-cybercriminalité, merci de votre retour.

Quant a me qualifier de venir semer le trouble … je ne comprends pas votre remarque … j’alerte sur le fait qu’une arnaque dont j’ai été victime puisse avoir lieu à travers votre site et qu’il ne faudrait pas que cela se reproduise, je vous remercie ainsi également de tout mettre en oeuvre de votre côté afin de remonter à l’identité du malfaiteur.

1 « J'aime »

Oui, j’ai bien reçu vos mails. J’y réponds demain (mais je pense que vous avez déjà accès aux informations demandées).

J’ai déjà mis tout en oeuvre pour contrer le pirate et faire en sorte qu’il ne puisse pas récidiver (ajout de code de connexion temporaire quand une connexion suspecte est détectée etc).
Comme il exploite sans doute des mots de passe faible, je ne peux pas garantir une complète sécurité (puisqu’il peut tout à fait prendre le contrôle d’autres comptes, mais le code temporaire envoyé par mail devrait permettre de le stopper).
J’ai même pris le temps de contacter les acheteurs pour les avertir.

Mais le compte piraté ne pose désormais plus de problème. Donc pourquoi venir le citer ici ? Cet utilisateur est aussi une victime du piratage.
(si un admin passe dans le coin, ce serait bien de masquer le nom du compte sur les différents posts, merci).

2 « J'aime »

Fait.

2 « J'aime »

Si, c’est bien l’afficher.
Protéger qui ? C’est okkazeo lui même qui a alerté sur l’arnaque, et qui avait déjà adressé le problème.
Le propriétaire du compte s’est fait hacker, c’est assez explicite dans le message d’origine, ce n’est donc pas lui qui a arnaqué.

Je ne doute pas de la bonne intention, mais pas la peine d’exposer le compte/pseudo en question à la vindicte populaire ou au blacklistage. Il n’est pas responsable de l’arnaque. Là, c’est juste lui coller une double peine.

La tradition des fourches et des torches a la vie dure, semble-t-il, malheureusement. Ce n’est pas anodin de dénoncer quelqu’un sur Internet, même si ce n’est qu’un pseudo ou un compte utilisateur.
Mais bon, la modération a fait son taf, donc tout va bien.

3 « J'aime »

Ouah ça va loin dans l’interprétation … on va bientôt parler de triple peine à ce rythme, ne le prenez pas tant à cœur ^^’ … encore une fois il ne s’agit pas d’afficher publiquement une personne (on parle d’un pseudo), mais de la relation a un compte qui a été utilisé pour une ecroquerie d’un montant de 106 €, ce qui fait l’objet d’une enquête qui pourra remettre de l’ordre dans cette affaire.

Ba si tu as une transaction en cours avec ce compte cela peut permettre d’éviter de lancer le paiement au pirate. Cela a du sens.

Evidemment, dès que c’est réglé, et qu’il y a intervention d’okkazeo, on masque le speudo. Cela me semble tout à fait correct.

9 « J'aime »

Je trouve que le W*** est une bonne alternative.

1 « J'aime »

Tu peux aussi mettre en place un système d’OTP pour mieux sécuriser les comptes.

2 « J'aime »

Oui, c’est ce que j’ai fait et que j’appelle « code temporaire ».

Je me base sur ce que font les Netflix et consorts : quand une connexion depuis un nouvel appareil est détecté, je demande la saisie du code envoyé par mail.

J’ai mis ça en place très rapidement entre vendredi et samedi matin. Il faut que j’affine. Notamment pour ceux qui ne recevraient pas le mail (dans les spams ou autre).

Je ne souhaite pas obliger la saisie d’un OTP à chaque connexion. Ca serait vite galère pour les utilisateurs.

1 « J'aime »

Tu peux aussi mettre en place les OTP par google authenticator par exemple, c’est pas très dur à faire.
Comme tu dis, il faut laisser le choix à l’utilisateur mais le mettre en avant quand même (j’ai pas vu de mail de ta part à xe sujet mais tu peux par exemple envoyé un mail à ta base d’utilisateurs pour les avertir que cette fonctionnalité est disponible)

1 « J'aime »

Je ne mettrais pas trop d’espoir là-dessus. Il n’y aura sans doute jamais d’enquête, et la plainte viendra juste gonfler des statistiques étatiques…
Car sans vouloir minimiser la perte de 100€ :frowning:, il faut que le préjudice soit bien supérieur (généralement 1000 à 1500€) pour qu’une procédure soit lancée (et cela prend ensuite des mois).

Par contre, de mon côté, j’ai mené ma propre enquête pour définir le mode opératoire du pirate et j’ai mis en place des protections supplémentaires nécessaires.

Mais tout risque ne peut pas être écarté lorsque les utilisateurs mettent des mots de passe (trop) faibles.
Et si un utilisateur se fait pirater sa messagerie, le code temporaire mis en place ne protègera pas du piratage…

Cela dit, ne cédons pas à la paranoïa. Comme toujours, en tant qu’acheteur, il faut savoir conserver les bons réflexes qui permettent de détecter ce type d’arnaque (prix trop attractif, paiement par un mode de paiement non sécurisé : virement, transcash…)

Pour la petite histoire : le pirate a tenté de se faire payer par Paypal, mais le compte qu’il a indiqué était déjà identifié par Paypal comme frauduleux, et Paypal bloquait les paiements vers ce compte.
Alors qu’avec le virement, il n’y a aucune vérification faite par les établissements bancaires.
Je vais donc retirer le virement des options de paiement du site.

Et si tout va bien, le paiement sécurisé arrivera en novembre…

14 « J'aime »

En effet, une fois le chantier du paiement sécurisé en place, je compte revoir la partie authentification.
Pour permettre les connexions via le compte Google / Apple (plus simple pour les utilisateurs que de créer un compte).
Et je verrai ensuite pour ajouter une couche d’OTP (je mettrai en avant les solutions Proton :wink:).

1 « J'aime »

tiens, je viens de recevoir une alerte actu de service-public.fr qui fait écho aux récents échanges sur le hacking / arnaque d’un compte okkazeo :
Sécurité -Les virements bancaires plus sécurisés grâce à une nouvelle étape de vérification | Service-Public.fr

(pas certain que ça aurait évité à Ti_Punch de faire les frais du hacking, mais ça aurait sans doute aidé à suspecter un truc louche …)

Pas totalement,
Ce que ça dit, c’est que ça ajoute un contrôle du nom ou la raison sociale du bénéficiaire du virement entre ce que l’émetteur saisit et le réel titulaire du compte.

Genre mon interlocuteur demande d’envoyer avec bénéficiaire : M trucmuche, alors que le compte appartient à M. untel. Tu as une notification de l’incohérence. Si tu passes outre pour ta pomme.
Si la personne malhonnête donne le vrai nom du bénéficiaire, tu n’as même pas la notification.

Contrairement à Paypal, les virements n’ont pas été conçus pour sécuriser des achats sur internet.

C’est l’avancée des technologies et les attentes des clients (qui veulent plus d’instantané) qui ont poussé la règlementation et les banques à proposer plus largement ce mode de paiement. Mais il est à réserver pour les transferts d’argent entre proches. Pas pour des transactions en ligne avec des inconnus…

Et je pense que c’est la même chose pour Wero / Paylib. A n’utiliser qu’entre proches.
(en gardant en tête que l’UE vous traque à travers ces flux d’argent).

1 « J'aime »

Ça dépend où. En Allemagne c’est un mode de paiement très répandu depuis plusieurs décennies, alors que la carte bancaire l’est beaucoup moins.
Encore récemment j’ai acheté du matos de prototype sur un site allemand et le paiement devait être effectué par virement à réception de la marchandise.

Je ne parle pas des usages. Mais plutôt de la sécurité intrinsèque.
Quand on fait un virement, il n’est pas possible par la suite de l’annuler (surtout avec l’arrivée des virements instantanés, qui commencent déjà à appliquer de nouveaux garde-fous). Et je ne pense pas que les banques vérifient si un IBAN est frauduleux.

Et je pense qu’il y a les mêmes risques pour les allemands. Ils sont peut-être moins concernés par les fraudes aujourd’hui que nous. Mais ça ne veut pas dire qu’ils sont à l’abri je pense (car le système SEPA est européen).

Euh, une fois un paiement effectué, il n’est pas possible de revenir en arrière.
Après, certains supports proposent des assurances (Paypal), mais le paiement en lui-même n’est pas plus sécurisé. Cette assurance étant prise sur les commissions de frais.
Par exemple Paypal, si tu fais entre proche, si tu envoies à un fraudeur, tu ne récupères rien