Tunz.com présente un problème de sécurité gigantesque
Ces dernières semaines ont été chargées en événements dans le secteur des paiements par mobile. Banksys a présenté mardi sa plate-forme m-banxafe élargie. Jeudi 15 mars, tunz.com dévoilait sa solution. Difficile d’échapper à l’inévitable comparaison. Si les deux présentent des avantages indéniables, un point essentiel vient ternir le tableau de tunz.com : la sécurité.
Banksys a opté pour une solution qui utilise une interface propre avec une carte SIM qui incorpore de nouvelles fonctionnalités. Ainsi, lorsque le client confirme le paiement émis par un marchand, il introduit un code PIN qui n’est pas sauvegardé au sein du téléphone. Chez tunz.com, lorsque le client émet un transfert de fonds, il doit d’abord s’assurer que le numéro de téléphone est correct. Dans le cas contraire, il pourrait verser de l’argent à un inconnu puisqu’il n’existe aucun mécanisme de vérification. Mais cela n’est rien à côté d’un soucis bien plus inquiétant. Envoyer de l’argent vers un numéro de téléphone requiert d’introduire une syntaxe SMS comprenant un code PIN. Or, la plupart des téléphones modernes sauvegardent les messages envoyés. Du coup, ce fameux code PIN, garant de la sécurité chez tunz.com, est sauvé en clair dans le téléphone. A peu de choses près, on pourrait comparer cela à une impression d’extraits de banque dans lesquels le code PIN de la carte Bancontact est imprimé.
Avant de continuer dans une comparaison plus profonde, il sera essentiel de tester tunz.com afin de s’assurer que les inquiétudes décrites dans ce billet ne sont pas fondées.
Il faut comparer tunz avec proton. Il y a le même problème de sécurité. En cas de vol de la carte, le solde proton peut être utilisé.
Banksys l’avait souligné il y a deux semaines
"Que pense Banksys et les opérateurs de la concurrence directe qui s’annonce avec Tunz.com ? "Tunz est une nouvelle banque, avec des comptes à ouvrir et approvisionner, comme Crandy.com pour payer son parking à Gand par exemple, pas un opérateur bancaire en relation directe avec les comptes bancaires des utilisateurs." clame Banksys. "En plus, les transactions ne sont pas sécurisées, Tunz ne nous a jamais contacté à ce sujet" renchérit Proximus. "Le code PIN se trouve dans le menu des SMS envoyés par l’utilisateur, pas très sécurisant !". Tunz est en fait plutôt assimilable à Proton. Il se revendique d’ailleurs comme porte-monnaie mobile et a placé sa limite à 150 € (125 € pour Proton)."
source : astel
Je suis d’accord avec Nico, Tunz apparaît plus comme un Proton mobile et n’est pas vraiment comparable avec mbanxafe
En gros c’est comme un portefeuille: si tu le perds, ton cash, tu peux faire une croix dessus. L’avantage de la solution electronique: si tu préviens Tunz à temps, Tunz peux bloquer ton compte. Appeler son portefeuille pour qu’il empêche le cash de sortir, c’est pas possible 🙂
Tunz-portefeuille: 1-0 !
Il existe tout de même une différence diamétrale avec Proton. Proton exige d’insérer une carte à puce dans un terminal, d’attendre une requête de paiement et d’accepter. Dans le cas de tunz.com, le téléphone est un terminal de paiement, il n’existe pas de requête et donc, le transfert d’argent est immédiat. Je suis peut-être complètement parano mais vu le nombre de vol de GSM chaque année, je me dis que si le système se généralise, on peut tout de même prendre garde à la sécurité. Et si on considère que le danger de l’usurpation de l’identité est réel…
@Laurent : Proton, il faut glisser sa carte dans un terminal, mais il ne faut pas taper de code PIN, juste dire Ok et le transfert d’argent a lieu. Apparement, pout tunz, il faut envoyer une instruction par SMS. Je ne vois pas vraiment la différence, dans les deux cas, c’est l’utilisateur qui initie le paiement et qui accepte la transaction. Et puis, il suffit d’effacer ses messages si j’ai bien compris mais le site de tunz n’est pas très explicite pour li’nstant 😉
Il me semble que tout le monde oublie une chose :
combien de personnes vont choisir und code PIN different a celui employe pour la SIM elle meme -ou encore la Banco ? Je ne parle pas de personnes concientes a la securite qui changes de PIN/ mot de passe tous les 14 jours. Je parle ici de Jean/Jeanette Dupont et cie, donc 99% de la poupulation.
Oui – c’est un peu pres comme Proton (ou comme un portefeuille classique) mais neansmoins – laisser le code PIN trainer en clair….
Tunz est un effet d’annonce, pas grand-chose de plus à mon avis. Soyons clair, la sécurité est insuffisante face à Banxafe et le concept un peu simplet. Demander aux clients d’effacer ses sms, et choisir ceux ayant trait à une tansaction, ce n’est pas très sérieux et ça augmente fameusement le nombre de manipulations. De plus, les trois opérateurs n’ont pas investi dans une nouvelle carte Java pour ne pas s’en servir et promotionner un service amateur pas très clair.
Belgacom a payé et fait le succès de Skynet, Le Crédit Agricole a payé et fait le succès de Keytrade, Banksys ne payera pas et ne fera pas le succès de Tunz !
Mauvais calcul industriel. C’est la fin de la récréation. Internet, fini de jouer !
Pour moi, m-banxafe c’est comme le bancontact pour des payements importants. Tunz c’est comme proton, pour des petits payements.
Le public n’est peut être pas non plus le même …
Si j’ai bien compris le principe des deux systèmes :
Banxafe = professions dites "normales"
Tunz = professions "e-commerce"
Banxafe ne peut en rien être un moyen de paiement valide pour l’e-commerce étant donné que ce système nécessite une réponse du commercant. L’idée de l’e-commerce est pourtant de pouvoir acheter/réserver 24h/24h … un e-commerce ne va pas rester éveillé 24h/24h pour donner réponse au sms du client.
Juste ou non ?
10.09.2007, 20h57
Tunz est bcp trop complexe hélas.
Je n’arrive pas à faire des adeptes….
Banxafe est bcp plus populaire et clair.Les clients sont moins effrayés.