2) Achat en Ligne (étude de cas)

Achat en ligne, étude de cas :

  1. Protéger la transmission
  2. Vérifier le commerçant

Internet a offert un nouvel horizon aux commerçants, ils peuvent désormais être présents dans le monde entier, depuis chez eux. L'offre sur Internet est certainement la plus vaste que l'on peut trouver. Tout ce qui peut se vendre est vendu sur Internet. Le choix y est donc immense, et les prix souvent intéressants. Par contre, la sélection est peut-être plus difficile, étant donné que seules des photographies (mais parfois aussi des vidéos ou des représentations 3D) sont disponibles, et le contact avec l'objet, avant l'achat, manque à l'appel. En contrepartie, des dispositifs de comparateurs de prix très perfectionnés vous permettent très souvent de trouver l'enseigne qui vous sera la moins chère. Le prix y est souvent indiqué sans les frais de ports, il faudra en tenir compte, dans les cas où ils ne sont pas gratuits. La livraison peut se faire dans les 48 heures.

C'est donc pour les nombreux avantages que certaines personnes ne jurent que par l'achat en ligne, achetant avec confiance sur tel ou tel site, participant à des enchères, pour trouver toujours mieux, au meilleur prix.
D'autres, au contraire, éliminent l'achat en ligne de leur usage d'Internet, par principe, car les rumeurs d'arnaques et de vols de numéro de carte bancaire vont bon train, et par manque d'information.

Sur cette page, nous allons, par une étude de cas, vous montrer un achat totalement sécurisé, chez un commerçant en ligne. Nous avons choisi le populaire Amazon.fr (le type d'étude à laquelle nous nous livrons nous oblige à choisir un commerçant, ceci n'est bien sûr absolument pas pour faire de la publicité).

Amazon.fr est un site de confiance. Comment le savoir ? Pourquoi en sommes-nous sûrs ?

La présentation du site est faite. Mais parlons à présent du concept de sécurité de l'achat sur Internet.
Le principe est que vous envoyiez depuis chez vous votre code de carte bleue à un site commerçant, par le biais de l'Internet.

En conséquence, tout les éléments de la chaîne doivent être sûrs ! Si il n'y a même qu'une seule faiblesse, votre sécurité est compromise.
Les 3 éléments facilement identifiables sont donc :

  1. Votre ordinateur. Il doit être sûr, correctement entretenu pour éviter que votre mot de passe soit intercepté à ce niveau et envoyé en double à une personne malveillante.
  2. La transmission. Votre code de carte bleue sera envoyé sur le réseau Internet, et va peut-être faire 2 fois le tour de la Terre avant d'arriver chez le commerçant ! Il peut être intercepté durant ce périple (pourtant quasiment instantané). C'est pourquoi votre transmission doit être chiffrée.
  3. Le commerçant. Comment être sûr que la page que vous voyez et sur laquelle vous vous apprêtez à envoyer des informations confidentielles est bien celle du commerçant ? Il est extrêmement simple de copier une page (il suffit de la combinaisons de touches Ctrl + S), de la mettre à disposition sur Internet, et donc de recevoir pour soi les codes et autres informations confidentielles ! C'est pourquoi le serveur du commerçant doit s'authentifier.

Votre ordinateur :

Pour ce qui est de la sécurisation, votre ordinateur est l'objet de la première section du chapitre, nous n'y reviendrons pas.

La transmission :

La transmission est vitale dans le processus d'achat, car c'est ce qui vous relie au commerçant.

En théorie :

Les informations que vous enverrez, tel qu'une adresse de livraison ou vos codes de cartes bancaires, transiteront quelques milli-secondes sur Internet, et durant ce laps de temps, il faut s'imaginer qu'elles peuvent être envoyées sur un serveur dans les îles du Pacifique. Or, il arrive sur le Web que des communications soient interceptées. C'est pourquoi les données importantes ne doivent pas êtres transmises en clair ! Pour cela, nous avons recours au chiffrement de tout le processus de transmission.
Des standards de protection ont donc étés créés, actuellement 2 sont utilisés :

Une attaque de brute force est quasiment inenvisageable, étant donné que les sessions sont très courtes relativement aux données nécessaires à un attaque de ce type. Mais étant donné que rien n'est à négliger, un chiffrement peut être plus sûr qu'un autre. Le SSL utilise souvent les chiffrements DES, RC4 et AES (classé par ordre croissant de sûreté).
Pour qu'un serveur puisse s'identifier par le protocole SSL, il faut que ce dernier aie un certificat SSL, délivré par une organisation de confiance.
La sécurité des transmissions est donc multi-facettes, et bénéficie d'une expérience importante des standards.

En pratique :

Les navigateurs les plus répandus (Internet Explorer, Firefox, Opera...) sont tous capables de gérer le chiffrement des sessions. Le navigateur Opera gère même le TLS 1.1, tout dernier né des standards, et encore très très peu implanté.

Comment savoir si la page que je vois est chiffrée ?

C'est simple, une icône est affiché dans la barre des tâches (en bas à droite) de votre fenêtre. Par exemple :

Une autre manière tout aussi simple de savoir si la page est chiffrée est de regarder l'adresse de la page, en effet elle commence par http:// pour une page normale, et https:// pour une page chiffrée. De plus, le navigateur Firefox permet de savoir si la page est chiffrée d'une manière intuitive et simple : la barre d'adresse teintée de jaune.

Pour accéder au certificat d'identité, et voir le chiffrement utilisé :

Dans notre cas, nous pouvons voir dès l'inscription, et à chaque achat sur Amazon.fr, que la communication est chiffrée. Voici un gage de sécurité parfait.

Le commerçant distant :

Check-list en main, nous avons vérifié la sûreté de notre ordinateur et la fiabilité de la transmission. Mais il reste à vérifier que cette chaîne parfaite aboutit bien à notre commerçant ! Comment être sûr que vous vous adressez au bon commerçant ??
En effet, le phénomène très connu sous le nom de "phishing" (traduisible par "hameçonnage") consiste à créer son propre serveur, et à proposer une page strictement identique à celle d'un site marchand connu. En effet, nous avons dès les premières lignes vérifié que le commerçant est de confiance, mais est-ce vraiment avec lui que nous communiquons ?

La première chose à faire est de regarder l'adresse de la page sur laquelle vous naviguez. Si celle-ci commence par http://amazon.fr/, c'est bon, vous êtes bien sur le vrai site d'Amazon. Pour éviter ces mesures, les pirates ont une panoplie de techniques toutes très sournoises, comme commencer l'adresse par http://amazon.fr:1@156.45.58.23. ici, votre navigateur ne va pas sur le site d'Amazon, mais sur le serveur portant l'IP de fin, en s'identifiant comme s'appelant "amazon.fr".
C'est donc pourquoi les suites de sécurité Internet les plus complètes intègrent désormais un anti-phishing, qui va vous avertir et bloquer le site frauduleux. Il est grandement recommandé d'utiliser un explorateur Internet qui possède un module anti-phishing avancé, ou alors une suite logicielle qui vous protègera de cette attaque qui se répand de plus en plus.

L'ultime méthode pour être sûr de votre correspondant peut être fourni par le protocole, pour SSL 3.0 et TLS 1.0. En effet, en suivant la méthode décrite plus haut, vous pouvez accéder au certificat d'identité, qui est absolument fiable.

Voilà, la boucle est bouclée, et notre achat peut se faire sans aucun problème. Notre ordinateur est sûr, le commerçant est de confiance, c'est bien avec son serveur que nous communiquons, et notre communication est absolument confidentielle ! Dans ce cas, nous pouvons effectuer le susdit achat les yeux fermés.


Bibliographie :