27
Nov
05

Acheter en ligne : est ce risqué?





VerrouUn des freins principal à l’explosion de l’achat en ligne sur Internet a longtemps été le problème de la sécurité. En effet, beaucoup de gens sont réticents à entrer leur numéro de carte bleue, craignant que celui-ci soit intercepté. Je vais tenter de vous expliquer les risques réels afin de tordre le coup aux idées reçues.

Tout d’abord, existe t’il un risque de se faire intercepter son numéro au moment précis où on le rentre pour payer la transaction sur le site marchand? Oui, en théorie, il y a un risque, votre numéro peut tout à fait être intercepté dans la mesure où il circule sur un média partagé par des millions d’utilisateurs et il est donc tout à fait disponible comme toute autre donnée pour un pirate qui écouterait les paquets qui transitent sur le média. Maintenant, ce n’est pas si simple, il faut déjà pour le pirate être capable de trouver que vous êtes en train d’effectuer un achat en ligne et avoir toute la séquence des paquets, sachant que s’il en manque un, c’est raté. Donc déjà la probabilité descend un peu car il y a énormément de paquets qui transitent à un instant T et il faut se trouver au bon endroit sur le média pour tout intercepter. Des filtres dans les outils d’écoute permettent de simplifier le travail mais ce n’est quand même pas évident. Ensuite, et c’est là où est toute la force de la sécurité, votre connection avec le serveur marchand est crypté. Et là, dommage pour le pirate, mais c’est rapé à presque 100%. En effet, il est très difficile de craquer uneServer connection cryptée. Je ne dis pas que c’est impossible car comme toute solution imaginée par l’homme, il y a toujours une possibilité de trouver une faille mais c’est très compliqué. Concrètement, ces systèmes de cryptage fonctionnent avec des clés publiques et privées. La clé publique encode les données et la clé privée décode les données envoyées après encodage par la clé publique distante. Donc sans les clés privées, il est absolument impossible de décoder les paquets, ceux-ci apparaissent comme du chinois. Une « solution » pour le pirate consiste à se faire passer pour le server vis à vis du client et pour le client vis à vis du server en interceptant les clés et en redistribuant les siennes mais ce n’est pas si simple, il faut également être capable d’avoir les bons certificats pour que le leurre soit parfait et là, c’est presque du domaine de la science fiction. Donc comme vous l’aurez compris, il est extrêmement peu probable de se faire intercepter son numéro de carte bancaire durant son voyage sur la toîle. Il faut juste bien vérifier que le petit verrou doré est là en bas dans la barre du navigateur garantissant que la connection est cryptée.

VerisignMais alors, où est la faille? Elle est sur le server qui stocke les numéros. En effet, comme tout server, celui-ci a des ouvertures et il est donc attaquable. Bien entendu, il y a des mécanismes de sécurité pour empêcher les intrus de voler l’information secrète mais il reste possible pour un expert de contourner ces barrières et de récupérer les informations. Concrètement, c’est à peu près aussi difficile que d’intercepter et décoder une communication SSL mais bon, cela reste une possibilité. On peut imaginer aussi qu’un employé malveillant aura plus de facilité à aller chercher l’information sur le server en local.

eCarte BleueMais alors où est vraiment la faille? Il y a aussi l’histoire des générateurs de numéros de cartes bancaires. Ceux-ci sont un vrai problème puisqu’ils permettent de générer un numéro qui sera fonctionnel et utilisable. Avec beaucoup de malchance, il sortira votre numéro de carte bleue et le pirate pourra l’utiliser à sa guise ou presque. Vous verrez souvent d’ailleurs que c’est à l’étranger que c’est utilisé car en France, sur les sites marchands, on demande le petit code qui est derrière la carte et celui-ci n’est pas générable.

RSAAlors quelle est la parade à tout cela? Si malgré tout, vous avez encore peur de vous faire intercepter votre numéro au moment de la transaction ou plus tard sur le server bien que cela soit quasi impossible comme je l’ai expliqué, sachez que les banques mettent à disposition un système d’e-carte bleue. Ils vous fournissent pour chaque transaction un numéro de carte unique utilisable une seule fois et donc aucune possibilité de l’utiliser ensuite pour le pirate.

Enfin, sachez que la loi vous protège en cas de vol puisque votre banque devra vous rembourser après dénonciation d’une utilisation frauduleuse de votre carte. Donc pour Noël, achetez sur Internet, c’est rapide, pratique et souvent plus économique!







L'autre monde | Thème liquide par Olivier