| 27-07-2009 03:23:47 | #1 | |
| neko.miaou | Bon, j'ai relu le LDB pour être sur, et à moins que cela ai été changé dans SR4A, le jet pour detecter une fausse ID est un jet opposé entre l'indice du detecteur et l'indice de la fausse ID. Ce qui fait qu'un detecteur 1 a une chance de griller une fausse ID 6 (si le jet de l'ID est vraiment poissard). Certe, les MJs que je connait ne font pas le jet, sauf situation dramatique, mais pourquoi ne pas adapter la rêgle pour en faire un truc plus logique? Je me disait, pourquoi le seuil du jet du detecteur ne serait il pas tout simplement l'indice de la fausse SIN? Ainsi, un detecteur de base (indice 1) ne grilleras pas une ID 4 (celle du runner de base). Comme le dit detecteur ne pourrait pas non plus griller une fausse ID 2 (pourtant guère meilleur), chaque niveau du detecteur pourrait correspondre à 3 dés à lancer. Ainsi, un detecteur de base pourrait griller une fausse ID jusque 3, mais n'embeterais pas un runner avec sa fake SIN 4. Et en lançant 18 dés (voir plus sur du mega matos indice + de 6), il devient tout à fait possible, et même probable, de griller une ID 4 voir 6. Pour accompagner ce lancé de dés d'une phase RP, une echelle de réussite me parait bien, un truc dans ce genre là : 0 succès net : Une erreur est détecté, mais ça peut carrément être un bug du détecteur. Celon son niveau de professionnalisme, l'agent derrière le détecteur pourra ignorer le truc, ou assez facilement ce faire acheter ou bobarder (ou autre). 1 succès net : Il y a une erreur de détectée, l'agent ne sait pas quoi, mais l'ID a clairement un problème. Là, ils doit vraiment vérifier, ce n'est à priori pas un bug du sytème. 2 succès net : Une erreur apparait, celle ci est clairement indiqué à l'agent, et ses supérieur sont notifié. L'agent doit interroger et surtout retenir le suspect le temps que ses supérieurs arrivent. 3 succès net ou plus : Plusieurs erreurs sont detectées sur l'ID et portées à la connaissance de l'agent, avec en plus des indications dessus si la SIN en question est recherchée. Les collègue, les supérieur de l'agent et la police (celon le contexte) sont notifiés. L'agent doit retenir le suspect le temps que les renforts arrivent, et là, ça va être dur de le bobarder, il sait qu'il a potentiellement un dangereux terroriste devant lui... Vous en pensez quoi? | |
| 27-07-2009 09:30:16 | #2 | |
| okhin | ID 6 contre indice de 1? J'achètes un succès, et j'en tente un second avec les deux dés qu'il me reste. Ensuite, faut se poser la question du pourquoi cette règle existe. Elle est là pour donner des sueurs froides aux runners lors d'un contrôle et les inciter à les éviter dans la mesure du possible. Elle n'est pas réaliste sur les jets extrème (le détecteur niveau 1 qui fait un succès alors que la SIN 6 N'en sort pas, c'ets un cas de probabilité extrème), mais globalement à peu près autant que les jets de tir, de fight, de hacking ou de magie sur ces mêmes valeurs (un mage avec Invocation et Magie à 6 qui rate l'invocation de son veilleur ça s'est déjà vu et ça ne gène personne). Si il suffit d'avoir une SIN niveau 6 pour être tranquille, tout le monde en aura une et, du coup, les contrôles d'ID ne servent plus à rien et ne mettent lpsu la pression aux runners. Mais je suis de ceux qui pense que les runners ont la vie trop facile aussi  Okhin | |
| 27-07-2009 09:57:02 | #3 | |
| Guibod | Bah là encore, les règles indiquent ce que les concepteurs voulaient. Ici, considérer qu'un controle d'identité simple *puisse* démasquer une fausse ID de folie, ou que cela soit du domaine de l'impossible dépend de la volonté des créateurs. Tout d'abord, il ne faut pas perdre par ailleurs de vu qu'une FAKE SIN d'indice 4 est le maximum achetable à la création (ce qui correspond à une fausse sin d'indice 6 à SR3, pour les vieux qui comptent encore en euros). Autant dire qu'étalonner le fonctionnement d'une sin sur une base 4 est une erreur, la sin d'indice 2/3 étant plus dans la moyenne de ce qu'on attend d'un détecteur de base. C'est très bien de penser et d'agir pro, c'est à dire de pas considérer qu'un indice 6 est le minimum : c'est bien le top du top, il ne faut pas l'oublier. En fait je pense que tu prends le problème dans le mauvais sens avec cet exemple de l'ID 6 et du detecteur 1. Habituellement, on fait des jets sur des tests digne de ce nom, une patrouille Lone Star, un accès à un bâtiment officiel, là on a affaire à des oppositions plus tendues, un détecteur 3 contre un ID 3. C'est ce qui devrait être une lutte d'égal à égal. Or avec ton système, tu demandes 3 succès, à une machine qui ne sait pas edger, avec 3 dés, pour uniquement avoir la chance de lancer un barrage de questions visant à vérifier l'identité du porteur. AMHA, il faut pondérer l'usage des jets de dés, une fake SIN d'indice 6 ne devrait pas voir de jet de dé pour passer une vérification superficielle d'indice 1. Un jet aussi ridiculement improbable devrait être reservé aux situations extrêmes, où par exemple, le test serait la seule chance à la sécurité de déjouer une run particulièrement bien menée. Au final, j'estime que ce système est plutôt efficace car n'interdit pas des aberrations statistiques aux extrêmes et permet des tests équilibrés dans la tranche centrale. Un MJ tu l'as bien dit ne fait appel aux jets sur les SIN que très rarement, c'est parce c'est un outil lourd à gérer et qu'il entraine plus d'enmerdes scénaristiques qu'autre chose. Y a rien de mieux qu'un controle de routine délégué aux dés qui entraine l'arrestation des runners alors qu'un scénario vient à peine de commencer. Sans parler du temps que cela coûte de faire des jets pour les controles d'identité. Aussi, on réserve en général les jets à des situations qui en valent la peine, avec un danger mesuré, et surtout où un échec dans l'utilisation de fausse identité a un intérêt pour l'histoire. En clair, je trouve que ta proposition cherche uniquement à traduire avec des règles ce que le MJ a à gérer dans la dimension narrative de la run. La question étant principalement quand faire appel à un jet de dés pour un contrôle d'identité plutot que de protéger les regles contre des situations aberrantes. | |
| 27-07-2009 10:13:56 | #4 | |
| Blade | Un truc à noter c'est que le lecteur d'indice 1 il a 1 chance sur 6 de critical glitcher à chaque lecture. Donc statistiquement, toutes les 6 lectures il sort un faux positif. Du coup, il est fort probable que le lecteur soit programmé pour faire plusieurs vérifications successives, ou alors que le type qui s'en occupe fasse refaire la vérification en cas de problème. Et quand bien même ça passe pas, on peut comparer ça au passage de CB dans un magasin : ça vous est sûrement déjà arrivé de voir votre carte se faire rejeter sans raison (ou de voir quelqu'un dont la carte est rejetée). Est-ce que le type à la caisse a appelé les flics ? Non, il a retenté une deuxième fois, voire une troisième et puis après il a demandé si vous aviez pas un autre moyen de paiement. Et derrière le système fonctionne de la même manière : les banques et les entreprise de cartes bancaires préfèrent un système laxiste qui va marcher presque à coup sûr pour les gens honnêtes, quitte à subir un peu de fraude, plutôt qu'un système trop strict qui va empêcher les gens honnêtes de s'en servir. Bon après on peut toujours jouer avec des SINs qui sautent souvent, mais en donnant aux PJs les moyens de s'en prendre beaucoup. Ca peut donner un côté sympa, qui insiste sur le fait que le SINless pourra jamais se faire passer pour un vrai citoyen et qu'il ne peut pas conserver une même identité (donc une même vie en dehors des Ombres) pendant plus d'un mois. | |
| 27-07-2009 10:37:20 | #5 | |
| Daegann | ça vous est sûrement déjà arrivé de voir votre carte se faire rejeter sans raison (ou de voir quelqu'un dont la carte est rejetée). Est-ce que le type à la caisse a appelé les flics ? Non, il a retenté une deuxième fois, voire une troisième et puis après il a demandé si vous aviez pas un autre moyen de paiement. Parce que le lecteur n'arrive pas à lire la puce, pas parce qu'elle detecte que c'est peut-être une fausse... Si la carte est en opposition pour motif volé ou fausse, ça se passe pas pareil. Cela dit ça montre aussi que la réaction va pas être la même suivant si tu te fait controler ta SIN devant un vendeur, un drone faisant des scan aléatoire ou un flic des douanes... Et derrière le système fonctionne de la même manière : les banques et les entreprise de cartes bancaires préfèrent un système laxiste qui va marcher presque à coup sûr pour les gens honnêtes, quitte à subir un peu de fraude Encore une fois, la fraude n'a rien à voir avec ce dont tu parles plus haut. Et si tu as des plafonds de retraits au distributeur, ou à l'étranger, qui sont souvent abaisser en été pendant les vacances. C'est pas pour protéger de la surconsomation, c'est pour limiter la fraude. Les banques sont loin d'avoir un système laxiste, surtout concernant les fraudes. Car c'est une perte sèche la fraude pour les banques. Pour revenir au sujet, je suis d'accord que le système actuel est beaucoup trop aléatoire. Je suis aussi d'accord pour dire que d'une façon général, l'indice de la fake SIN indique la difficulté à casser la fausse ID. Mais ton système rend les fake SIN rapidement incassable. Ce que je proposerais c'est soit garder le test d'opposition mais en utilisant indicex2 des deux cotés, ce qui diminue les aléa. Ou bien faire un test de niveau du lecteur x 2 contre un seuil égale à l'indice de la fausse SIN. (ce qui rend toujours impossible la detection de certaine SIN avec un lecteur bas de gamme, pas si chquant que ça en soit, et toujours quasi impossible de casser une fake SIN niveau 6, mais là aussi c'est pas si choquant si on considère bien que c'est le top du top, qu'a ce niveau la c'est quasiment une vrai SIN et surtout que ça court pas les rues...) - Daegann - | |
| 27-07-2009 11:20:36 | #6 | |
| M. Jonson | ceci dit, en parlant de paiement magasin, y'a quand même parfois des tests. Par ex. gros client russe qui achète plein de matos electronique, il tape son code et le ticket passe automatiquement, et beaucoup trop vite (y'a toujours un temps de réponse, lorsque la banque est interrogée par le terminal CB). -> le vigile, formé a la fraude a soupçonné une yes card, et il avait raison. | |
| 27-07-2009 11:46:13 | #7 | |
| Gris-Gris | Je suis d'accord avec la proposition de Daegann, de faire le test d'opposition avec indice x 2 de part et d'autre. De plus ça harmonise ce cas avec l'ensemble du système de règles (y compris pour les glitches). | |
| 27-07-2009 12:28:50 | #8 | |
| Blade | Pour le paiement refusé, je parle pas juste de la puce qui est pas lue, je parle aussi du "paiement refusé" (mais qui là aussi n'indique pas si c'est parce que la carte est volée ou fausse ou juste parce que le plafond (ou le plancher) est dépassé). Daegann a écrit: Encore une fois, la fraude n'a rien à voir avec ce dont tu parles plus haut. Et si tu as des plafonds de retraits au distributeur, ou à l'étranger, qui sont souvent abaisser en été pendant les vacances. C'est pas pour protéger de la surconsomation, c'est pour limiter la fraude. Les banques sont loin d'avoir un système laxiste, surtout concernant les fraudes. Car c'est une perte sèche la fraude pour les banques. Tu sais que si tu payes deux fois le même montant dans un laps de temps très rapproché, il n'est décompté qu'une seule fois ? C'est pas forcément évident à faire mais, à ce qu'il parait, c'est faisable quand même. C'est fait ainsi pour éviter de retirer deux fois l'argent à quelqu'un qui aurait fait qu'un seul paiement qui aurait été envoyé deux fois par erreur. Je suis d'accord que les fraudes sont des pertes sèches, mais les banques préfèrent laisser passer des petites fraudes (dès que des gros montants sont en jeu, les contrôles sont beaucoup plus systématiques et stricts, mais pour les petits montants, on demande rarement l'accord de la banque) qui leur font perdre 1 million (les chiffres sont sortis au pif) que de perdre leur système qui leur rapporte plusieurs milliards parce que les utilisateurs normaux ont des problèmes avec. Toi qui connais les opérateurs et les difficultés qu'ils ont à gérer leurs système, tu imagines ce que ça peut donner pour une banque... et la banque peut beaucoup moins se permettre de bloquer les paiements que l'opérateur de bloquer son service. Après, beaucoup de la sécurité est basée beaucoup plus sur le suivi et la détection d'éléments suspects que sur les contrôles isolés : on va pas toujours envoyer les flics à la première transaction douteuse, mais si ça se répète ou si on remarque en plus d'autres particularités suspecte, là on va agir. | |
| 27-07-2009 15:44:44 | #9 | |
| Daegann | J'imagine très bien ce que ça peut donner dans une banque puisque j'ai bossé à la fraude dans l'une d'elle... Et encore une fois, si tu as un paiment refusé, c'est ce que ça veux dire, que le paiement est refusé. Ca peut être parce que tu es trop a découvert, c'est pas parce que tu es potentiellement un fraudeur... Dans le cas où la carte est opposé (pour vol ou fausse) ça se passe differement. Déjà la magasin en te rendra pas ta carte (sauf s'il est flippé). Il faut savoir que les commerçants reçoivent des primes lorsqu'ils retournent des cartes fausse ou volé aux banques. Et il y a bien un contrôle des doublons oui, mais les banques ne perdent rien la dessus, au pire c'est l'honnete utilisateur qui est embêter. Il y a des choses qui sont faites pour que ce soit un minimum utilisable et que le doute profite aux utilisateurs (si la carte est pas opposé et que les plafond sont pas dépasser, le paiement pourra s'effectuer). Mais de là à dire qu'elles laissent passer des petites failles parce que par rapport au reste ça représente pas tant que ça c'est une grosse erreur. Les banques cherchent en permanence des moyens de contrer ces "petites" fraudes qui leur font perdre beaucoup plus qu'un simple million. Et parfois les moyens d'y parvenir ou de la limiter passe par des contraintes appliquer à tout le monde. - Plafond autorisé pour les retrait sur trois jours : s'il se fait contrefaire sa carte, les fraudeurs ne pourrons pas vider le compte tout de suite. Mais ça implique de limiter ce qu'un utilisateur réel peut retirer. Alors oui, il faut que le service reste utilisable, c'est une évidence. Mais la limite existe même si on y fait plus attention. - Des retraits suspicieux à l'étranger, on arrive pas à joindre le client ? On bloque sa carte et tant pis s'il se retrouve à l'étranger sans moyen de paiment. (<= si ça c'est pas empecher potentiellement des gens honnetes de se servir de leur carte pour limiter la fraude... Après bien sûr il y a de l'analyse préalable, on baisse pas le plafond à l'étranger sans raison...) - Pour limiter les pertes en cas de vol/perte de sa carte (je ne parle pas des cartes contrefaites ici), on a un certain délai pour le déclarer. Après, les retraits qui pourraient être fait avec ne serait plus rembourser <= évite les abus au détriment de possibles gens "honnêtes". Voilà quelques exemples. Au passage et pour revenir un peut dans le sujet (mais un peu seulement car c'est plus adapté au paiement et c'est plus du rôleplay de toute façon que de la mecanique). Comment identifier qu'une transaction va être potentiellement frauduleuse ? Et bien il y a beaucoup de possibilité. Sans entrer trop dans les détails il existe divers outils. L'un d'eux va par exemple lister toutes les cartes passer entre tel et tel date dans un point de compromission (un endroit ou on a identifier l'existence d'un appareil destiner à copier les cartes, ça peut être des distributeurs mais aussi des restau ou boutique si un caisser à un copier (toujours garder sa carte à l'oeil)). Toutes les cartes passer dans ces points vont faire l'objet d'une surveillance accrus, en particulier si elles servent à l'étranger. Au moyen de repérer des cartes ayant pu être fraudé : Analyser le comportement des DAB. Si un DAB à une activité inhabituelle (beaucoup de tentative de retrait dans un laps de temps très court) alors les cartes utilisé sont peut-être des fausses. Et d'une façon général, toutes transactions effectué par carte est "scoré". Plus ce score est élevé et plus les risques de fraudes sont important. Ce score est calculé de façon complexe et prend en compte beaucoup de facteur, parmis ceux important : le pays ou a été fait la transaction (plus de fraude en espagne qu'ailleurs), le type de commerce, le montant, le schéma des précédentes transactions. Au final, reste à faire quelques requêtes la dessus pour affiné et obtenir une liste de cas suspect à analyser par un humain. Pour en revenir aux SIN, on peut imaginer que tout ça peut être fait en temps réel lors d'un contrôle d'identité avec l'analyse final étant faite par le système expert du lecteur. Et on aurait par exemple des entrées qui pourraient être plus suspect que d'autres : exemple si on a identifier qu'une bande d'ID manufacturer se servaient beaucoup du node passoire de l'université d'une petite ville. Tout ceux ayant fait un cursus là-bas dans leur SIN feraient l'objet de contrôle plus poussé. De même qu'une SIN n'ayant brusquement plus d'activité renseigné pendant un moment et qui réaparait attirera l'attention. - Daegann - | |