Module PayPal bloquer les paiements par CB [Resolu]

[passicool]

Bonjour cher communauté Prestashop,

Question toute simple via le module PayPal le client peut payer avec son compte ou payer par carte.

Je souhaite savoir si un option permet de supprimer ce choix afin d'obliger l'utilisation du compte PayPal.

Merci

Objectif : via le paiement par carte pas de 3D secure donc les pirates passent tous par là.

Edited November 9, 2019 by passicool (see edit history)

[doekia]

Plutôt demander/imposer à Paypal de respecter la législation française/européenne en forçant le 3DS pour tout paiement

[passicool]

26 minutes ago, doekia said:

Plutôt demander/imposer à Paypal de respecter la législation française/européenne en forçant le 3DS pour tout paiement

Bonne idée, j'appel de suite je vais faire changer tout ça, hop hop hop.

[passicool]

J'ai donc bien au Paypal au téléphone.

On peut retirer ce bouton en allant sur sont compte pro sur l'engrenage dans "paramètre du compte" puis colonne de gauche "paiements sur site" puis "préférence de site marchand" puis compte Paypal facultatif cocher désactiver.

Voilà.

Paypal doit me recontacter ils vont remonter l'info sur le problème de sécurité.

Merci doekia même quand ce n'est pas du code, toujours de bon conseil.

Edited November 9, 2019 by passicool (see edit history)

[doekia]

Ce que je veux dire c'est que depuis le 14 Septembre c'est une obligation d'avoir une double vérification. Si personne ne demande à Paypal d'appliquer la règlementation vous pouvez à tout instant être en danger.

[doekia]

Je suis même étonné car pour chaque paiement Paypal, j'ai besoin de saisir mon code 3DS et de plus en reconsultant la documentation Paypal, Ils affirment être SCA/DSP2

https://www.paypal.com/fr/brc/article/psd2-payment-requirements-be-sure-to-be-ready

[passicool]

Je viens de le faire, il doivent me recontacter. J'ajouterai les nouvelle informations ici.

Le 3D secure sur ton compte tu peux le désactiver dans tes options Paypal ce qu'un pirate fera forcément d'où le problème de sécurité et la raison qui me pousse à couper

[passicool]

Pour info quand un client m'appel est demande de régler par téléphone je passe par paypal puis CB je n'ai jamais de 3DS avec les cartes de mes clients

[Eolia]

Euh... si ton compte Paypal se fait pirater c'est le même problème qu'avec un compte bancaire, non ?

[passicool]

2 minutes ago, Eolia said:

Euh... si ton compte Paypal se fait pirater c'est le même problème qu'avec un compte bancaire, non ?

C'est pas le piratage de mon compte qui me préoccupe mais des clients avec des numéro de CB pirate qui achète chez moi.

[Eolia]

il y a 10 minutes, passicool a dit :

Le 3D secure sur ton compte tu peux le désactiver dans tes options Paypal

Je ne comprends pas du coup ?

[passicool]

Apparement Paypal à mis le 3DS en place mais, ton client, dans les options de son compte Paypal peut désactiver cette option (3DS) et utiliser plus facilement des CB pirate sur un commerce proposant Paypal avec l'option utiliser une CB

J'espère que c'est plus clair.

[doekia]

Et c'est illégal depuis le 14 Septembre de ne pas faire d'authentification forte. Ils vont donc je pense corriger le problème très vite.

Pardon je corrige. Si ils connaissent sans aucun doute le compte (IBAN, Carte d'identité, ...) ils peuvent se passer du 3DS, car identification forte au compte Paypal, mais dans aucun autre cas

Edited November 9, 2019 by doekia (see edit history)

[passicool]

Dans le doute je viens de tester un achat par CB via Paypal sur mon shop et pas de 3DS. Si tu veux je peux tester avec ta CB 😛

[doekia]

Oui mais toi, lors de ton paiement, Paypal t'a reconnu et imposé un authentification forte avant de te laisser utiliser ta carte? Non? Si oui, c'est OK, si non c'est pas normal. Quel était le montant?

[passicool]

Il m'a reconnu comment ? Je passe même les CB de mes clients qui me donne leur numéro par téléphone, appel moi tu verra. N'importe quel CB passe.
Donc un pirate peut faire la même chose

[Eolia]

Vide tes cookies chez Paypal et re-tente

[passicool]

Parce que mes cookies enregistre toute les CB même celle des clients ? Et de toute façon le 3DS doit être systématique.
Un pirate effacera pas les cookies donc il y a un problème.
De plus a chaque essaie j'ai des frais Paypal donc je vais pas non plus enrichir Paypal avec des tests inutiles. sauf si tu me passe ta CB
 

[Eolia]

Personne n'enregistre un n° de CB dans un cookie il faudrait être marteau^^

grâce à ton cookie Paypal sait qui tu es (compte associé entre autre), s'il ne te demande pas le 3ds (ce qui me semble curieux) c'est qu'il a un autre moyen de t'identifier de manière formelle ou que tu as déjà validé un 3ds auparavant.

Si ton pirate arrive a utiliser une carte volée en utilisant Paypal c'est à Paypal de te rembourser car c'est à eux de s'assurer de la solvabilité de leurs utilisateurs.

[passicool]

Alors pour avoir déjà eu un achat frauduleux, sache que tu es obligé de rendre l'argent sans être indemnisé, tu l'as profond pour rester polis, est la carte était une Mastercard. Tu perds donc l'argent et la marchandise. C'était il y a 2 ans donc avant la double authentification.

Ce qui est valable avec mon cookie marche aussi pour un utilisateur malveillant donc ce n'est pas sécurisé même si Paypal reconnais le cookie de mon PC pourquoi il autorise n'importe quel CB que j'utilise.

C'est au marchand de s'assurer de la présence de 3DS pas à la banque, les banques ne perdent jamais, et en cas de défaillance de 3DS car parfois le service est indisponible tu n'es pas couvert en cas de fraude. L'info est sur chaque ticket de transaction par ce texte :

"Le titulaire de la carte a été identifié avec succès ! Code de vérification de la carte: OK"

et voilà une copie de 3DS indispo donc non couvert :

"Système d'identification de l'acheteur temporairement indisponible !!! Code de vérification de la carte: OK"

dans ce cas je prends un risque en livrant le client

[Eolia]

Paypal s'en fout de tes CB vu qu'il sait qui tu es. Si plainte il aura tous les éléments pour te retrouver (par rapport à ton propre compte Paypal par exemple)

D'ailleurs Paypal force l'ouverture de compte quand c'est une IP publique ou non fixe ou louche.

J'ai du des cas d'achat frauduleux et l'argent n'a pas toujours été repris si on peut prouver l'identité du fraudeur.

[passicool]

D'où il sais que c'est moi à cause d'un pauvre cookie sur un PC d'une entreprise dont l'adresse ip change à chaque reboot du modem et au max tout les 15 jours, qui n'a aucun mot de passe et est  accessible a tous. Tu m'excuse mais c'est light.

En plus rien ne dis que ça ne marche pas avec n'importe quel PC en dehors de mes locaux. Ca c'est une théorie donc à vérifier. Mais du coup, Paypal te connais pas avec ta CB chez toi quand tu essais ? t'as pas de cookies ? tu devrais pas avoir de 3DS non plus.

et je site doekia :
 

Quote

Et c'est illégal depuis le 14 Septembre de ne pas faire d'authentification forte

sauf qu'un simple cookie est une authentification forte donc et suffit à sécurisé efficacement une transaction bancaire. Finalement tout va bien au diable 3DS les cookies sont là.

Bref j'aurais bien fait l'essai en effaçant les cookies mais comme si ça passe Paypal garde les frais je m'en fou un peu je désactive les CB ça mange pas de pain, je suis plus tranquille.
D'ailleurs je viens de regarder quelques gros marchands ils ont aussi désactive cette possibilité de CB.

Voilà donc je vais pas chercher midi à 14h, je coupe et j'attends le retour de Paypal à ce sujet mais je reviendrai jamais arrière car je recommande à tous ceux qui ont un VAD de le faire.