Introduction : quelques statistiques
Dans un récent
rapport diffusé en ligne durant lété, la société
Taylor Nelson Sofres révèle que seuls 13% des internautes
français ont déjà acheté un bien ou un service en ligne, et
que 19% envisagent de le faire dans les six prochains mois.
Cependant, plus de la moitié des internautes nont jamais
acheté ou initié une commande sur un site de commerce électronique
et nont pas lintention de le faire.
Largument mis en avant par les réfractaires
au e-commerce est le plus souvent lié aux problèmes de paiement.
En effet, nombre dutilisateurs sont peu enclins à communiquer
leur numéro de carte bancaire sur un site web, alors quils
le font régulièrement lorsquils règlent laddition
au restaurant ou quils payent leurs achats au supermarché
du coin.
Le but de cet article est de faire le point
sur la sécurité des paiements en ligne, en tentant didentifier
le maillon le plus faible de la chaîne reliant virtuellement
un cyber-acheteur au site web dun cyber-vendeur.
Secure Sockets Layer :
sans SSL, point de salut !
Comme nous le disions à linstant, nombres
dinternautes ont une mauvaise image de la sécurité des
transactions sur le net. Cest pourquoi la majorité des
sites de commerce électronique mettent en avant que les transactions
effectuées via leurs serveurs sont "sécurisées"
et que les clients potentiels peuvent donc acheter sans crainte.
Certains sites vont même jusquà adhérer à des organisations
professionnelles délivrant un label (comme pour les poulets !),
preuve quacheter chez eux est sans risque. Dautres
proposent des indemnités financières en cas dutilisation
frauduleuse du numéro de carte qui aurait été obtenu par un
individu malveillant lors dun achat sur le site en question.
Un protocole, deux
fonctions
Dans tous les cas, la quasi-totalité des
sites utilisent un même protocole, nommé SSL (Secure Sockets
Layer) afin de "sécuriser" les paiements. Ce protocole
a été inventé par Netscape et est devenu standard Internet
par la suite. On reconnaît aisément son utilisation par la
présence dun petit symbole dans la barre de statut des
navigateurs web (cadenas ou clé) et par le préfix "https://"
en tête des URL affichées dans la barre dadresses de
ces navigateurs.
SSL a deux fonctions
essentielles
La première est dauthentifier le serveur
auquel lutilisateur est connecté, cest-à-dire
lui prouver que www.fnac.com est bien le serveur web de la
Fnac. Cette opération est réalisée à laide de ce quon
appelle un certificat numérique, sans lequel le protocole
SSL ne peut fonctionner. Ce certificat est délivré par des
sociétés, appelées opérateurs ou autorités de certification,
qui, pour quelques milliers de francs, délivrent des cartes
didentité numériques valables généralement un an et
attestant que le serveur X appartient bien à la société X.
Les navigateurs web compatibles SSL permettent
généralement de vérifier le contenu de ce certificat et signalent
toute anomalie à lutilisateur (date de validité dépassée,
certificat invalide ou délivré par une autorité inconnue,
etc.).
La seconde fonction essentielle de SSL permet
dassurer la confidentialité des informations transmises
par son intermédiaire, grâce à lutilisation dalgorithmes
de chiffrement. La "force" de ces algorithmes est
déterminée par la longueur de clé utilisée pour effectuer
ce chiffrement, exprimée en bits.
Le choix de lalgorithme de chiffrement
ainsi que la longueur de la clé utilisée font lobjet
dune négociation, lors de louverture dune
session SSL, entre le client (navigateur) et le serveur (site
de-commerce). Cette négociation repose sur les capacités
et les caractéristiques des logiciels employés de part et
dautre.
Les clés de la sécurité
Coté client, les navigateurs ont été bridés
pendant longtemps de telle façon que seules des clés de 40
voire 56 bits puissent être employées, notamment en France.
Cette limitation, dordre purement juridique, était simultanément
due au contraintes dexportation des logiciels de ce
type en dehors des Etats-Unis (doù proviennent la majorité
des logiciels que nous utilisons), ainsi quà la législation
française en la matière.
Lutilisation du chiffrement avec des
clés ayant une longueur égale à 128 bits, ce qui constitue
un chiffrement fort, a été libéralisée par le gouvernement
français, lors de la parution de deux décrets en mars 1999,
le jour de louverture de la fête de lInternet.
Par la même occasion, le gouvernement américain
a considérablement assoupli en 2000 les conditions dexportation
des logiciels de chiffrement fort, rendant ainsi possible
la disponibilité de "versions 128 bits" des navigateurs
web utilisables en France.
Ainsi, plus rien nempêche un internaute
français de se connecter en SSL 128 bits à son site de commerce
électronique favori. Malheureusement, la réalité est toute
autre. En effet, nombres dinternautes ne disposent pas
encore de navigateurs supportant le 128 bits, alors quil
suffit de récupérer une version récente pour en bénéficier
ou, dans le cas dInternet Explorer, dinstaller
le support 128 bits téléchargeable à partir de la fenêtre
"A propos de" du logiciel.
De plus, peu de sites français ont pris linitiative
dacheter un nouveau certificat, permettant de faire
du 128 bits, si bien que même si votre navigateur le supporte,
il sera contraint de travailler en mode "dégradé".
Pourtant, la longueur de la clé est primordiale.
En effet, sil est actuellement possible de "casser"
une clé de 40 voire 56 bits, parfois en quelques heures, on
est loin de pouvoir en faire de même, dans des délais raisonnables,
lorsque la longueur de la clé excède 80 bits.
Dans ces conditions, peut-on réellement transmettre
sans risque un numéro de carte bancaire via Internet lorsque
le niveau de chiffrement nexcède pas 40 ou 56 bits ?
En fait, la réponse est oui. Il est vrai quavec un tel
niveau de chiffrement, il serait possible de récupérer en
clair les informations transmises mais en pratique, aucun
pirate ou hacker ne se donnera la peine dintercepter
un flux SSL chiffré, afin de tenter den extraire votre
numéro de carte bancaire (sauf si vous avez des ennemis dans
le milieu !), alors quil est bien plus rentable
(et parfois plus facile) de sattaquer au site du commerçant
afin de lui soutirer les milliers de numéros valides quil
a pu stocker dans ses bases de données.
Sans intermédiaire,
prudence !
Oui mais alors, si SSL peut être considéré
comme étant relativement sûr mais que les sites de-commerce
ne le sont pas, comment acheter sans risques ? !
En fait, on se rend bien compte que la sécurité
des transactions nest pas réellement le problème mais
quil se situe plutôt du côté des sites marchands. On
en rencontre dailleurs de deux types différents :
sans ou avec intermédiaire financier.
Les premiers traitent directement les numéros
de cartes de leurs clients et les conservent, pour une durée
qui peut être infinie, au sein de leurs bases de données.
Ces sites sont vulnérables à des attaques et doivent donc
se protéger en conséquence. Sur un plan purement sécuritaire,
il serait préférable que ces sites ne conservent les numéros
de carte de leurs clients que pour la durée nécessaire au
traitement de leur commande, soit de quelques jours à quelques
semaines, grand maximum.
Malheureusement, dans un soucis de faciliter
la vie des cyber-consommateurs, nombres de sites conservent
les numéros de cartes de leurs clients, de façon à leur éviter
la fastidieuse saisie des 15 ou 16 chiffres les composant.
Les seconds types de sites préfèrent saffranchir
de ces aspects liés au paiements et louent pour ce faire les
services de sociétés appelées intermédiaires financiers (en
général, il sagit de grandes banques ou de plates-formes
de commerce électronique). Lors de la phase de paiement, le
navigateur de lutilisateur est redirigé (parfois à son
insu) vers le site web dun tel intermédiaire. Ce dernier
demande la saisie du numéro de carte et de la date de validité
associée. Généralement après vérification auprès de lorganisme
ayant délivré la carte, via le Réseau Carte Bancaire, lintermédiaire
renvoie un code de retour positif au site de-commerce,
lui indiquant que le paiement sest effectué correctement.
Ainsi, la commande peut être expédiée au client.
Lavantage de ce type dintermédiaire
est quil ne conserve le plus souvent les numéros de
cartes bancaires quil reçoit que pendant le temps nécessaire
à leur traitement. De plus, le commerçant na jamais
connaissance du numéro en question, donc sil est malhonnête,
il ne pourra pas débiter votre compte à sa guise. Enfin, il
est plus facile de sécuriser un serveur spécialisé dans le
paiement par carte que toute linfrastructure mise en
place dans le cas dun site de-commerce traitant
lui-même les dits numéros
Et le client dans
tout ça ?
Résumons-nous : un SSL sûr + un marchand
honnête + un éventuel intermédiaire financier = des achats
sans risques ? Hé bien
pas forcément !
Nous avons effectivement omis dans léquation
un élément de taille : le poste de lutilisateur
et son navigateur. Sils peuvent être compromis, toute
la sécurité dune transaction SSL peut voler en éclats.
En effet, un pirate a potentiellement à sa
disposition plusieurs façons de récupérer le numéro de carte
bancaire dun cyber-acheteur.
Les bugs et vulnérabilités des systèmes dexploitation
ainsi que des logiciels quils exécutent peuvent en effet
être exploités par des utilisateurs malveillants. Presque
toutes les versions des principaux navigateurs web utilisés
de par le monde (principalement IE et Netscape) ont révélé
avec le temps dimportantes failles affectant le système
de chiffrement SSL en lui-même ou permettant par exemple de
récupérer à distance des fichiers stockés sur le disque dur
de lutilisateur, ce qui nous concerne ici puisque certains
navigateurs peuvent, en fonction de leurs paramètres, stocker
en clair dans leur cache le contenu des pages quils
ont reçues via SSL. Or, si une de ces pages (par exemple un
écran de confirmation) contient le numéro de votre carte,
accéder au cache reviendrait à récupérer votre numéro !
La deuxième façon de récupérer le précieux
numéro est de recourir aux "services" dun
virus qui, ayant infesté votre système, intercepte tous les
numéros de carte que vous pouvez saisir au clavier, avant
même leur transmission via SSL au site marchand auquel vous
êtes connecté !
Enfin, les systèmes de prise de contrôle
à distance (les chevaux de Troie du type Back Orifice par
exemple), peuvent être employés afin de voler des informations
confidentielles saisies sur votre ordinateur puisquils
autorisent parfois la visualisation, en temps réel et à distance,
de ce que la victime voit sur son écran
Pour réduire ces risques, lutilisation
danti-virus fréquemment mis à jour, ainsi que le suivi
des avis de sécurité publiés par les éditeurs des navigateurs
web que vous utilisez sont obligatoires !
Conclusion :
sachez évaluer les risques
Comme nous lavons vu, en étudiant les
différents maillons constituant la chaîne virtuelle reliant
un acheteur à un marchand (lien client-serveur), on constate
quaucun dentre eux nest à labri de
vulnérabilités pouvant être exploitées par des individus malveillants.
Faut-il pour autant renoncer aux joies de le-commerce ?
La réponse est clairement non.
En effet, si les risques existent, il nest
pas très difficile de les réduire à un niveau acceptable,
comme nous avons tenté de le prouver tout au long de cet article.
Mais les supprimer totalement serait aussi illusoire quinutile :
pourquoi faudrait-il se donner du mal afin de rendre les paiements
en ligne totalement inviolables (donc fatalement plus coûteux
pour les clients et/ou les marchands) alors que nombre de
possesseurs de cartes bancaires abandonnent encore leurs facturettes
aux pieds des distributeurs automatiques ou à la sortie des
caisses des supermarchés ? Et que ces mêmes personnes
confient en toute confiance leur précieuse carte au premier
commerçant ou restaurateur venu, alors que ces derniers pourraient
sans aucune difficulté recopier les informations inscrites
en relief sur celle-ci ?
En bref, il convient dêtre aussi vigilant
dans le monde réel que dans le monde virtuel, ni plus ni moins.
Si vous évitez les boutiques ou restaurants qui ne vous inspirent
pas confiance, faites de même pour les marchands virtuels
du net !
Enfin, rappelez-vous que les risques se situent
davantage du côté du marchand que du client. Le premier risque en
effet de tomber sur un client non solvable ou sur un numéro de carte
invalide, alors que le second peut généralement obtenir remboursement
des sommes indûment prélevées sur son compte, la preuve de la transaction
étant à la charge du commerçant
LIENS UTILES :
- Rapport
Taylor Nelson Sofres sur le commerce électronique en France
- L'internet sécurisé,
par Eric LARCHER (Editions Eyrolles, 430 pages)
- Dossier Secuser.com : intrusions
et troyens
|