paiement par internet: communiquer cryptogramme visuel au marchand?

[Bounoume]

Bonjour,
je suis peut-être suspicieux, mais je viens de refuser de donner directement le cryptogramme de ma carte bancaire pour payer une petite somme sur un site en https...... car d'habitude dès que le choix Carte est confirmé, les sites orientent directement soit sur un site de paiement supposé connu, soit sur ma banque -dont je connais l'adresse https- (et alors il y a le + souvent double authentification par le sms sur téléphone)
[ peu de temps avant, voulant faire un don à une association autrefois très honorable, j'ai constaté que son adresse web et le contenu du site semblaient contrefaites.... repiquant des informations soit anciennes, soit probablement déjà publiées ailleurs... et par prudence je m'en était abstenu........quoique le site était quand même en https]
Je craignais que le site puisse être compromis et que cette information puisse être lue par le pirate y ayant accès....

Dans le cas du site très probablement honnête (mais pas à l'abri d'un piratage inapparent...) j'ai bien rempli la ligne 'cryptogramme'.... mais par une valeur fantaisiste..... Apparemment accepté!
Etrange....

Alors ma question:
pour une très 'petite' somme est-ce que la banque exige le cryptogramme de la carte bancaire pour honorer un paiement à un site connu pour être honorable?

et
est-il prudent de communiquer le dit cryptogramme directement à un site marchand? ou seulement aux sites de paiement dits 'sécurisés' vers lesquels il pourrait rediriger le client?

merci d'avance, cordialement
-----

[umfred]

Pour moi ça fait partie des informations à rentrer sur le site pour payer: n° CB + Nom + date de validité + cryptogramme; après validation, selon les sites, ça peut éventuellement demander un code supplémentaire lors de la vérification de la transaction (le SecureCode donné par la banque et/ou un code SMS de validation de la transaction).

https veut juste dire que les données sont sécurisées entre le navigateur et le site, pas que le site est fiable.

Si tu veux notre avis sur tes 2 sites, mets nous leur lien.

[bisou10]

Tu prends le pb à l'envers. La sécurisation ajd c'est la 2FA que demande ta banque pour autoriser la transaction (la validation par téléphone ou application ou email) *OU* le code secret *OU* la détention physique de la carte (NFC, paiement sans contact).
Le reste est trop facilement copiable (n° CB, titulaire, CVC, date d'expi), du coup, que ce soit redirigé vers le site de ta banque ou effectué par le site marchand via des APIs, importe finalement assez peu.
Bien sûr le commercant peut ne jamais te livrer le bien, mais comme n'importe quelle autre arnaque.