La sécurité des paiements en ligne
Plus de la moitié des
internautes n’ont jamais acheté ou initié une commande et n’ont pas même
l’intention de le faire, principalement à cause du problème de la sécurité des
paiements en ligne. S'il est impossible de supprimer totalement les risques, dans la vie
courante comme sur le web, il est pourtant facile de les réduire à un niveau tout à
fait acceptable. Pour ce faire, il suffit de respecter quelques règles simples et de se
montrer un minimum vigilant, à commencer lors du choix du cyber-marchand.
Introduction : quelques statistiques
Dans un récent rapport diffusé en
ligne durant l’été, la société Taylor Nelson Sofres révèle que seuls 13% des
internautes français ont déjà acheté un bien ou un service en ligne, et que 19%
envisagent de le faire dans les six prochains mois. Cependant, plus de la moitié des
internautes n’ont jamais acheté ou initié une commande sur un site de commerce
électronique et n’ont pas l’intention de le faire. L’argument mis en avant par les
réfractaires au e-commerce est le plus souvent lié aux problèmes de paiement. En effet,
nombre d’utilisateurs sont peu enclins à communiquer leur numéro de carte bancaire
sur un site web, alors qu’ils le font régulièrement lorsqu’ils règlent
l’addition au restaurant ou qu’ils payent leurs achats au supermarché du coin. Le but de cet article est de faire le point
sur la sécurité des paiements en ligne, en tentant d’identifier le maillon le plus
faible de la chaîne reliant virtuellement un cyber-acheteur au site web d’un
cyber-vendeur.
Secure Sockets Layer : sans SSL,
point de salut !
Comme nous le disions à l’instant,
nombres d’internautes ont une mauvaise image de la sécurité des transactions sur le
net. C’est pourquoi la majorité des sites de commerce électronique mettent en avant
que les transactions effectuées via leurs serveurs sont "sécurisées" et que
les clients potentiels peuvent donc acheter sans crainte. Certains sites vont même
jusqu’à adhérer à des organisations professionnelles délivrant un label (comme
pour les poulets !), preuve qu’acheter chez eux est sans risque. D’autres
proposent des indemnités financières en cas d’utilisation frauduleuse du numéro de
carte qui aurait été obtenu par un individu malveillant lors d’un achat sur le site
en question.
Un protocole, deux fonctions
Dans tous les cas, la quasi-totalité des
sites utilisent un même protocole, nommé SSL (Secure Sockets Layer) afin de
"sécuriser" les paiements. Ce protocole a été inventé par Netscape et est
devenu standard Internet par la suite. On reconnaît aisément son utilisation par la
présence d’un petit symbole dans la barre de statut des navigateurs web (cadenas ou
clé) et par le préfix "https://" en tête des URL affichées dans la barre
d’adresses de ces navigateurs.
SSL a deux fonctions essentielles
La première est d’authentifier le
serveur auquel l’utilisateur est connecté, c’est-à-dire lui prouver que
www.fnac.com est bien le serveur web de la Fnac. Cette opération est réalisée à
l’aide de ce qu’on appelle un certificat numérique, sans lequel le protocole
SSL ne peut fonctionner. Ce certificat est délivré par des sociétés, appelées
opérateurs ou autorités de certification, qui, pour quelques milliers de francs,
délivrent des cartes d’identité numériques valables généralement un an et
attestant que le serveur X appartient bien à la société X. Les navigateurs web compatibles SSL
permettent généralement de vérifier le contenu de ce certificat et signalent toute
anomalie à l’utilisateur (date de validité dépassée, certificat invalide ou
délivré par une autorité inconnue, etc.). La seconde fonction essentielles de SSL
permet d’assurer la confidentialité des informations transmises par son
intermédiaire, grâce à l’utilisation d’algorithmes de chiffrement. La
"force" de ces algorithmes est déterminée par la longueur de clé utilisée
pour effectuer ce chiffrement, exprimée en bits. Le choix de l’algorithme de chiffrement
ainsi que la longueur de la clé utilisée font l’objet d’une négociation, lors
de l’ouverture d’une session SSL, entre le client (navigateur) et le serveur
(site d’e-commerce). Cette négociation repose sur les capacités et les
caractéristiques des logiciels employés de part et d’autre.
Les clés de la sécurité
Coté client, les navigateurs ont été
bridés pendant longtemps de telle façon que seules des clés de 40 voire 56 bits
puissent être employées, notamment en France. Cette limitation, d’ordre purement
juridique, était simultanément due au contraintes d’exportation des logiciels de ce
type en dehors des Etats-Unis (d’où proviennent la majorité des logiciels que nous
utilisons), ainsi qu’à la législation française en la matière. L’utilisation du chiffrement avec des
clés ayant une longueur égale à 128 bits, ce qui constitue un chiffrement fort, a été
libéralisée par le gouvernement français, lors de la parution de deux décrets en mars
1999, le jour de l’ouverture de la fête de l’Internet. Par la même occasion, le gouvernement
américain a considérablement assoupli en 2000 les conditions d’exportation des
logiciels de chiffrement fort, rendant ainsi possible la disponibilité de "versions
128 bits" des navigateurs web utilisables en France. Ainsi, plus rien n’empêche un
internaute français de se connecter en SSL 128 bits à son site de commerce électronique
favori. Malheureusement, la réalité est toute autre. En effet, nombres
d’internautes ne disposent pas encore de navigateurs supportant le 128 bits, alors
qu’il suffit de récupérer une version récente pour en bénéficier ou, dans le cas
d’Internet Explorer, d’installer le support 128 bits téléchargeable à partir
de la fenêtre "A propos de" du logiciel. De plus, peu de sites français ont pris
l’initiative d’acheter un nouveau certificat, permettant de faire du 128 bits,
si bien que même si votre navigateur le supporte, il sera contraint de travailler en mode
"dégradé". Pourtant, la longueur de la clé est
primordiale. En effet, s’il est actuellement possible de "casser" une clé
de 40 voire 56 bits, parfois en quelques heures, on en est loin de pouvoir en faire de
même, dans des délais raisonnables, lorsque la longueur de la clé excède 80 bits.
Dans ces conditions, peut-on réellement
transmettre sans risque un numéro de carte bancaire via Internet lorsque le niveau de
chiffrement n’excède pas 40 ou 56 bits ? En fait, la réponse est oui. Il est
vrai qu’avec un tel niveau de chiffrement, il serait possible de récupérer en clair
les informations transmises mais en pratique, aucun pirate ou hacker ne se donnera la
peine d’intercepter un flux SSL chiffré, afin de tenter d’en extraire votre
numéro de carte bancaire (sauf si vous avez des ennemis dans le milieu !), alors
qu’il est bien plus rentable (et parfois plus facile) de s’attaquer au site du
commerçant afin de lui soutirer les milliers de numéros valides qu’il a pu stocker
dans ses bases de données.
Sans intermédiaire, prudence !
Oui mais alors, si SSL peut être considéré
comme étant relativement sûr mais que les sites d’e-commerce ne le sont pas,
comment acheter sans risques ? ! En fait, on se rend bien compte que la
sécurité des transactions n’est pas réellement le problème mais qu’il se
situe plutôt du côté des sites marchands. On en rencontre d’ailleurs de deux types
différents : sans ou avec intermédiaire financier. Les premiers traitent directement les
numéros de cartes de leurs clients et les conservent, pour une durée qui peut être
infinie, au sein de leurs bases de données. Ces sites sont vulnérables à des attaques
et doivent donc se protéger en conséquence. Sur un plan purement sécuritaire, il serait
préférable que ces sites ne conservent les numéros de carte de leurs clients que pour
la durée nécessaire au traitement de leur commande, soit de quelques jours à quelques
semaines, grand maximum. Malheureusement, dans un soucis de faciliter
la vie des cyber-consommateurs, nombres de sites conservent les numéros de cartes de
leurs clients, de façon à leur éviter la fastidieuse saisie des 15 ou 16 chiffres les
composant. Les seconds types de sites préfèrent
s’affranchir de ces aspects liés au paiements et louent pour ce faire les services
de sociétés appelées intermédiaires financiers (en général, il s’agit de
grandes banques ou de plates-formes de commerce électronique). Lors de la phase de
paiement, le navigateur de l’utilisateur est redirigé (parfois à son insu) vers le
site web d’un tel intermédiaire. Ce dernier demande la saisie du numéro de carte et
de la date de validité associée. Généralement après vérification auprès de
l’organisme ayant délivré la carte, via le Réseau Carte Bancaire,
l’intermédiaire renvoie un code de retour positif au site d’e-commerce, lui
indiquant que le paiement s’est effectué correctement. Ainsi, la commande peut être
expédiée au client. L’avantage de ce type
d’intermédiaire est qu’il ne conserve le plus souvent les numéros de cartes
bancaires qu’il reçoit que pendant le temps nécessaire à leur traitement. De plus,
le commerçant n’a jamais connaissance du numéro en question, donc s’il est
malhonnête, il ne pourra pas débiter votre compte à sa guise. Enfin, il est plus facile
de sécuriser un serveur spécialisé dans le paiement par carte que toute
l’infrastructure mise en place dans le cas d’un site d’e-commerce traitant
lui-même les dits numéros…
Et le client dans tout ça ?
Résumons-nous : un SSL sûr + un
marchand honnête + un éventuel intermédiaire financier = des achats sans risques ?
Hé bien…pas forcément ! Nous avons effectivement omis dans
l’équation un élément de taille : le poste de l’utilisateur et son
navigateur. S’ils peuvent être compromis, toute la sécurité d’une transaction
SSL peut voler en éclats. En effet, un pirate a potentiellement à sa
disposition plusieurs façons de récupérer le numéro de carte bancaire d’un
cyber-acheteur. Les bugs et vulnérabilités des systèmes
d’exploitation ainsi que des logiciels qu’ils exécutent peuvent en effet être
exploités par des utilisateurs malveillants. Presque toutes les versions des principaux
navigateurs web utilisés de par le monde (principalement IE et Netscape) ont révélé
avec le temps d’importantes failles affectant le système de chiffrement SSL en
lui-même ou permettant par exemple de récupérer à distance des fichiers stockés sur
le disque dur de l’utilisateur, ce qui nous concerne ici puisque certains navigateurs
peuvent, en fonction de leurs paramètres, stocker en clair dans leur cache le contenu des
pages qu’ils ont reçues via SSL. Or, si une de ces pages (par exemple un écran de
confirmation) contient le numéro de votre carte, accéder au cache reviendrait à
récupérer votre numéro ! La deuxième façon de récupérer le
précieux numéro est de recourir aux "services" d’un virus qui, ayant
infesté votre système, intercepte tous les numéros de carte que vous pouvez saisir au
clavier, avant même leur transmission via SSL au site marchand auquel vous êtes
connecté ! Enfin, les systèmes de prise de contrôle à
distance (les chevaux de Troie du type Back Orifice par exemple), peuvent être employés
afin de voler des informations confidentielles saisies sur votre ordinateur
puisqu’ils autorisent parfois la visualisation, en temps réel et à distance, de ce
que la victime voit sur son écran… Pour réduire ces risques, l’utilisation
d’anti-virus fréquemment mis à jour, ainsi que le suivi des avis de sécurité
publiés par les éditeurs des navigateurs web que vous utilisez sont obligatoires !
Conclusion : sachez évaluer les
risques
Comme nous l’avons vu, en étudiant les
différents maillons constituant la chaîne virtuelle reliant un acheteur à un marchand
(lien client-serveur), on constate qu’aucun d’entre eux n’est à
l’abri de vulnérabilités pouvant être exploitées par des individus malveillants.
Faut-il pour autant renoncer aux joies de l’e-commerce ? La réponse est
clairement non. En effet, si les risques existent, il
n’est pas très difficile de les réduire à un niveau acceptable, comme nous avons
tenté de le prouver tout au long de cet article. Mais les supprimer totalement serait
aussi illusoire qu’inutile : pourquoi faudrait-il se donner du mal afin de
rendre les paiements en ligne totalement inviolables (donc fatalement plus coûteux pour
les clients et/ou les marchands) alors que nombre de possesseurs de cartes bancaires
abandonnent encore leurs facturettes aux pieds des distributeurs automatiques ou à la
sortie des caisses des supermarchés ? Et que ces mêmes personnes confient en toute
confiance leur précieuse carte au premier commerçant ou restaurateur venu, alors que ces
derniers pourraient sans aucune difficulté recopier les informations inscrites en relief
sur celle-ci ? En bref, il convient d’être aussi
vigilant dans le monde réel que dans le monde virtuel, ni plus ni moins. Si vous évitez
les boutiques ou restaurants qui ne vous inspirent pas confiance, faites de même pour les
marchands virtuels du net !
Enfin, rappelez-vous que les risques se
situent davantage du côté du marchand que du client. Le premier risque en effet de
tomber sur un client non solvable ou sur un numéro de carte invalide, alors que le second
peut généralement obtenir remboursement des sommes indûment prélevées sur son compte,
la preuve de la transaction étant à la charge du commerçant…
|