Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
DOSSIER
Dossier précédent | Archives dossiers | Dossier suivant
 
La sécurité des paiements en ligne
Par Eric LARCHER (septembre 2000)
Dessin Plus de la moitié des internautes n’ont jamais acheté ou initié une commande et n’ont pas même l’intention de le faire, principalement à cause du problème de la sécurité des paiements en ligne. S'il est impossible de supprimer totalement les risques, dans la vie courante comme sur le web, il est pourtant facile de les réduire à un niveau tout à fait acceptable. Pour ce faire, il suffit de respecter quelques règles simples et de se montrer un minimum vigilant, à commencer lors du choix du cyber-marchand.

Introduction : quelques statistiques

Dans un récent rapport diffusé en ligne durant l’été, la société Taylor Nelson Sofres révèle que seuls 13% des internautes français ont déjà acheté un bien ou un service en ligne, et que 19% envisagent de le faire dans les six prochains mois. Cependant, plus de la moitié des internautes n’ont jamais acheté ou initié une commande sur un site de commerce électronique et n’ont pas l’intention de le faire.

L’argument mis en avant par les réfractaires au e-commerce est le plus souvent lié aux problèmes de paiement. En effet, nombre d’utilisateurs sont peu enclins à communiquer leur numéro de carte bancaire sur un site web, alors qu’ils le font régulièrement lorsqu’ils règlent l’addition au restaurant ou qu’ils payent leurs achats au supermarché du coin.

Le but de cet article est de faire le point sur la sécurité des paiements en ligne, en tentant d’identifier le maillon le plus faible de la chaîne reliant virtuellement un cyber-acheteur au site web d’un cyber-vendeur.

Secure Sockets Layer : sans SSL, point de salut !

Comme nous le disions à l’instant, nombres d’internautes ont une mauvaise image de la sécurité des transactions sur le net. C’est pourquoi la majorité des sites de commerce électronique mettent en avant que les transactions effectuées via leurs serveurs sont "sécurisées" et que les clients potentiels peuvent donc acheter sans crainte. Certains sites vont même jusqu’à adhérer à des organisations professionnelles délivrant un label (comme pour les poulets !), preuve qu’acheter chez eux est sans risque. D’autres proposent des indemnités financières en cas d’utilisation frauduleuse du numéro de carte qui aurait été obtenu par un individu malveillant lors d’un achat sur le site en question.

Un protocole, deux fonctions

Dans tous les cas, la quasi-totalité des sites utilisent un même protocole, nommé SSL (Secure Sockets Layer) afin de "sécuriser" les paiements. Ce protocole a été inventé par Netscape et est devenu standard Internet par la suite. On reconnaît aisément son utilisation par la présence d’un petit symbole dans la barre de statut des navigateurs web (cadenas ou clé) et par le préfix "https://" en tête des URL affichées dans la barre d’adresses de ces navigateurs.

SSL a deux fonctions essentielles

La première est d’authentifier le serveur auquel l’utilisateur est connecté, c’est-à-dire lui prouver que www.fnac.com est bien le serveur web de la Fnac. Cette opération est réalisée à l’aide de ce qu’on appelle un certificat numérique, sans lequel le protocole SSL ne peut fonctionner. Ce certificat est délivré par des sociétés, appelées opérateurs ou autorités de certification, qui, pour quelques milliers de francs, délivrent des cartes d’identité numériques valables généralement un an et attestant que le serveur X appartient bien à la société X.

Les navigateurs web compatibles SSL permettent généralement de vérifier le contenu de ce certificat et signalent toute anomalie à l’utilisateur (date de validité dépassée, certificat invalide ou délivré par une autorité inconnue, etc.).

La seconde fonction essentielle de SSL permet d’assurer la confidentialité des informations transmises par son intermédiaire, grâce à l’utilisation d’algorithmes de chiffrement. La "force" de ces algorithmes est déterminée par la longueur de clé utilisée pour effectuer ce chiffrement, exprimée en bits.

Le choix de l’algorithme de chiffrement ainsi que la longueur de la clé utilisée font l’objet d’une négociation, lors de l’ouverture d’une session SSL, entre le client (navigateur) et le serveur (site d’e-commerce). Cette négociation repose sur les capacités et les caractéristiques des logiciels employés de part et d’autre.

Les clés de la sécurité

Coté client, les navigateurs ont été bridés pendant longtemps de telle façon que seules des clés de 40 voire 56 bits puissent être employées, notamment en France. Cette limitation, d’ordre purement juridique, était simultanément due au contraintes d’exportation des logiciels de ce type en dehors des Etats-Unis (d’où proviennent la majorité des logiciels que nous utilisons), ainsi qu’à la législation française en la matière.

L’utilisation du chiffrement avec des clés ayant une longueur égale à 128 bits, ce qui constitue un chiffrement fort, a été libéralisée par le gouvernement français, lors de la parution de deux décrets en mars 1999, le jour de l’ouverture de la fête de l’Internet.

Par la même occasion, le gouvernement américain a considérablement assoupli en 2000 les conditions d’exportation des logiciels de chiffrement fort, rendant ainsi possible la disponibilité de "versions 128 bits" des navigateurs web utilisables en France.

Ainsi, plus rien n’empêche un internaute français de se connecter en SSL 128 bits à son site de commerce électronique favori. Malheureusement, la réalité est toute autre. En effet, nombres d’internautes ne disposent pas encore de navigateurs supportant le 128 bits, alors qu’il suffit de récupérer une version récente pour en bénéficier ou, dans le cas d’Internet Explorer, d’installer le support 128 bits téléchargeable à partir de la fenêtre "A propos de" du logiciel.

De plus, peu de sites français ont pris l’initiative d’acheter un nouveau certificat, permettant de faire du 128 bits, si bien que même si votre navigateur le supporte, il sera contraint de travailler en mode "dégradé".

Pourtant, la longueur de la clé est primordiale. En effet, s’il est actuellement possible de "casser" une clé de 40 voire 56 bits, parfois en quelques heures, on est loin de pouvoir en faire de même, dans des délais raisonnables, lorsque la longueur de la clé excède 80 bits.

Dans ces conditions, peut-on réellement transmettre sans risque un numéro de carte bancaire via Internet lorsque le niveau de chiffrement n’excède pas 40 ou 56 bits ? En fait, la réponse est oui. Il est vrai qu’avec un tel niveau de chiffrement, il serait possible de récupérer en clair les informations transmises mais en pratique, aucun pirate ou hacker ne se donnera la peine d’intercepter un flux SSL chiffré, afin de tenter d’en extraire votre numéro de carte bancaire (sauf si vous avez des ennemis dans le milieu !), alors qu’il est bien plus rentable (et parfois plus facile) de s’attaquer au site du commerçant afin de lui soutirer les milliers de numéros valides qu’il a pu stocker dans ses bases de données.

Sans intermédiaire, prudence !

Oui mais alors, si SSL peut être considéré comme étant relativement sûr mais que les sites d’e-commerce ne le sont pas, comment acheter sans risques ? !

En fait, on se rend bien compte que la sécurité des transactions n’est pas réellement le problème mais qu’il se situe plutôt du côté des sites marchands. On en rencontre d’ailleurs de deux types différents : sans ou avec intermédiaire financier.

Les premiers traitent directement les numéros de cartes de leurs clients et les conservent, pour une durée qui peut être infinie, au sein de leurs bases de données. Ces sites sont vulnérables à des attaques et doivent donc se protéger en conséquence. Sur un plan purement sécuritaire, il serait préférable que ces sites ne conservent les numéros de carte de leurs clients que pour la durée nécessaire au traitement de leur commande, soit de quelques jours à quelques semaines, grand maximum.

Malheureusement, dans un soucis de faciliter la vie des cyber-consommateurs, nombres de sites conservent les numéros de cartes de leurs clients, de façon à leur éviter la fastidieuse saisie des 15 ou 16 chiffres les composant.

Les seconds types de sites préfèrent s’affranchir de ces aspects liés au paiements et louent pour ce faire les services de sociétés appelées intermédiaires financiers (en général, il s’agit de grandes banques ou de plates-formes de commerce électronique). Lors de la phase de paiement, le navigateur de l’utilisateur est redirigé (parfois à son insu) vers le site web d’un tel intermédiaire. Ce dernier demande la saisie du numéro de carte et de la date de validité associée. Généralement après vérification auprès de l’organisme ayant délivré la carte, via le Réseau Carte Bancaire, l’intermédiaire renvoie un code de retour positif au site d’e-commerce, lui indiquant que le paiement s’est effectué correctement. Ainsi, la commande peut être expédiée au client.

L’avantage de ce type d’intermédiaire est qu’il ne conserve le plus souvent les numéros de cartes bancaires qu’il reçoit que pendant le temps nécessaire à leur traitement. De plus, le commerçant n’a jamais connaissance du numéro en question, donc s’il est malhonnête, il ne pourra pas débiter votre compte à sa guise. Enfin, il est plus facile de sécuriser un serveur spécialisé dans le paiement par carte que toute l’infrastructure mise en place dans le cas d’un site d’e-commerce traitant lui-même les dits numéros…

Et le client dans tout ça ?

Résumons-nous : un SSL sûr + un marchand honnête + un éventuel intermédiaire financier = des achats sans risques ? Hé bien…pas forcément !

Nous avons effectivement omis dans l’équation un élément de taille : le poste de l’utilisateur et son navigateur. S’ils peuvent être compromis, toute la sécurité d’une transaction SSL peut voler en éclats.

En effet, un pirate a potentiellement à sa disposition plusieurs façons de récupérer le numéro de carte bancaire d’un cyber-acheteur.

Les bugs et vulnérabilités des systèmes d’exploitation ainsi que des logiciels qu’ils exécutent peuvent en effet être exploités par des utilisateurs malveillants. Presque toutes les versions des principaux navigateurs web utilisés de par le monde (principalement IE et Netscape) ont révélé avec le temps d’importantes failles affectant le système de chiffrement SSL en lui-même ou permettant par exemple de récupérer à distance des fichiers stockés sur le disque dur de l’utilisateur, ce qui nous concerne ici puisque certains navigateurs peuvent, en fonction de leurs paramètres, stocker en clair dans leur cache le contenu des pages qu’ils ont reçues via SSL. Or, si une de ces pages (par exemple un écran de confirmation) contient le numéro de votre carte, accéder au cache reviendrait à récupérer votre numéro !

La deuxième façon de récupérer le précieux numéro est de recourir aux "services" d’un virus qui, ayant infesté votre système, intercepte tous les numéros de carte que vous pouvez saisir au clavier, avant même leur transmission via SSL au site marchand auquel vous êtes connecté !

Enfin, les systèmes de prise de contrôle à distance (les chevaux de Troie du type Back Orifice par exemple), peuvent être employés afin de voler des informations confidentielles saisies sur votre ordinateur puisqu’ils autorisent parfois la visualisation, en temps réel et à distance, de ce que la victime voit sur son écran…

Pour réduire ces risques, l’utilisation d’anti-virus fréquemment mis à jour, ainsi que le suivi des avis de sécurité publiés par les éditeurs des navigateurs web que vous utilisez sont obligatoires !

Conclusion : sachez évaluer les risques

Comme nous l’avons vu, en étudiant les différents maillons constituant la chaîne virtuelle reliant un acheteur à un marchand (lien client-serveur), on constate qu’aucun d’entre eux n’est à l’abri de vulnérabilités pouvant être exploitées par des individus malveillants. Faut-il pour autant renoncer aux joies de l’e-commerce ? La réponse est clairement non.

En effet, si les risques existent, il n’est pas très difficile de les réduire à un niveau acceptable, comme nous avons tenté de le prouver tout au long de cet article. Mais les supprimer totalement serait aussi illusoire qu’inutile : pourquoi faudrait-il se donner du mal afin de rendre les paiements en ligne totalement inviolables (donc fatalement plus coûteux pour les clients et/ou les marchands) alors que nombre de possesseurs de cartes bancaires abandonnent encore leurs facturettes aux pieds des distributeurs automatiques ou à la sortie des caisses des supermarchés ? Et que ces mêmes personnes confient en toute confiance leur précieuse carte au premier commerçant ou restaurateur venu, alors que ces derniers pourraient sans aucune difficulté recopier les informations inscrites en relief sur celle-ci ?

En bref, il convient d’être aussi vigilant dans le monde réel que dans le monde virtuel, ni plus ni moins. Si vous évitez les boutiques ou restaurants qui ne vous inspirent pas confiance, faites de même pour les marchands virtuels du net !

Enfin, rappelez-vous que les risques se situent davantage du côté du marchand que du client. Le premier risque en effet de tomber sur un client non solvable ou sur un numéro de carte invalide, alors que le second peut généralement obtenir remboursement des sommes indûment prélevées sur son compte, la preuve de la transaction étant à la charge du commerçant…

LIENS UTILES :

- Rapport Taylor Nelson Sofres sur le commerce électronique en France
- L'internet sécurisé, par Eric LARCHER (Editions Eyrolles, 430 pages)
- Dossier Secuser.com : intrusions et troyens

 


 

 

 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2016 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons