Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Hack Academy - HTTPS Paiement Sécurisé : 4 conseils pour une connexion sécurisée

Hack Academy - HTTPS Paiement Sécurisé : 4 conseils pour une connexion sécurisée
2015-11-052015-11-05bonnes pratiquesfr
La Hack Academy a t'elle fait correctement son travail de sélection ? A mon avis, Dimitri aurait dû être recalé car sa démonstration ne tient pas la route.
Publié le 5 Novembre 2015 par Jean-François Audenard dans bonnes pratiques
Hack Academy : 4 conseils pour des connexions sécurisées

La Hack Academy a t'elle fait correctement son travail de sélection  ? Après avoir regardé faire Dimitri, qui se dit spécialiste des attaques de sites de commerce électronique, on peut se poser la question. A mon avis, Dimitri aurait dû être recalé car sa démonstration ne tient pas la route.

Consultez la vidéo directement sur youtube

C’est gros comme le nez au milieu de la figure : Dimitri attaque un site de commerce électronique qui n’utilise pas HTTPS (ou plus exactement SSL/TLS). Avez-vous vu récemment des sites d’ e-commerce dont la phase de paiement n’est pas sécurisée ? Moi, ça fait des lustres. Et les juges qui ne relèvent pas… c’est d’autant plus grave, ou alors c’est la preuve par l’absurde ! Admettons que le site de commerce électronique utilise effectivement HTTPS (SSL/TLS). Voici quelques conseils pour faire vos achats en ligne avec plus de sérénité.

Conseil n°1 : assurez-vous que vous êtes sur le bon site

Cela peut sembler simpliste mais il est essentiel de bien vérifier que l’adresse du site sur lequel vous êtes connecté est bien correcte. Ceci même si le « petit cadenas » à côté de l’adresse est bien là. En effet, l’affichage du cadenas n’indique nullement que vous êtes sur le bon site mais seulement que la connexion entre votre navigateur et le site est bien chiffrée (ou « cryptée »). Or une connexion chiffrée vers un site pirate est tout à fait possible !

Conseil n°2  : regardez-bien la présence du cadenas

Une fois, l’adresse du site confirmée comme étant bien exacte, regardez si un « petit cadenas » est bien présent à côté de l’adresse URL du site. Si c’est le cas, c’est bon signe. Mais cela n’est pas suffisant. Bien vérifier que le « petit cadenas » n’est ni « cassé », ni « barré », ni sur un fond « rouge ». En l’absence de « petit cadenas », fuyez ! Si le cadenas est « cassé » ou barré d’une croix fuyez !

Conseil n°3  : cliquez sur le cadenas et regardez

Les plus paranoïaques iront un cran au-dessus dans leurs vérifications. Car, outre le fait d’indiquer que la connexion est bien chiffrée, la présence du « petit cadenas » permet d’associer un nom de société (ou d’ organisation) à l’adresse du site web. Cette association est réalisée via un « certificat SSL » (ou certificat « X.509v3), une sorte de « carte d’identité nationale ». Ce certificat est délivré par une autorité de certification. Attention, certains organismes font tout ce qu’il faut pour que ces certificats délivrés soient bien exacts, d’autres délivrent parfois des certificats erronés ou même contrefaits comme l’explique ZDNet dans l’article : « Google vs Symantec : coup de pression sur les certificats .

Voici donc les points à vérifier… et fuyez si :

  • le nom de la société/organisation associée au site ne correspond pas ;
  • le certificat est « auto-signé » ;
  • le certificat est signé par une autorité de certification inconnue ;
  • le certificat est expiré (date de validité dépassée) ;
  • le certificat a été révoqué ;
  • … enfin, vous l’avez compris : toute anomalie doit déclencher votre instinct de fuite ! J

Pour ceux qui utilisent Firefox, je conseille l’extension SSLeuth qui permet de vérifier tout cela en un clic, et en plus d’avoir une « note » associée à tous ces paramètres. Cette extension SSLeuth fait partie de mes extensions « must have ».

Exemple du « rapport » lors d’une connexion SSL/TLS sur Amazon.com :

Conseil n°4  : un logiciel antivirus à jour reste essentiel

L’utilisation d’un logiciel antivirus régulièrement mis à jour est essentielle. Car si votre machine est infectée, alors les informations sensibles seront dérobées à la source depuis votre machine… avant même que celles-ci ne soient envoyées via la communication chiffrée.

… Il y aurait encore fort à dire

Au-delà de ces 4 conseils, le modèle actuel de délivrance des certificats SSL/x.509v3, qui reste une référence en termes de sécurité, présente certains défauts pour lesquels le « Certificate Transparency » apporte des pistes de solution. En outre, il existe d’autres techniques intéressantes comme DNSSEC ou HSTS capables de renforcer la sécurité d’une connexion chiffrée en HTTPS (SSL/TLS). Peut-être reviendrons-nous sur ces sujets dans de futurs articles ! ;-)

Relevez le défi !

J’espère que ces quelques conseils vous seront utiles et vous permettront de mieux protéger vos informations sensibles lors de vos prochaines connexions à des sites e-commerce, messageries électroniques et autres sites sensibles.

Allez, venez sur la Hack Academy et relevez le défi !

Jean-François (aka Jeff) Audenard.

 

Pour aller plus loin

Hack Academy : 3 conseils pour se protéger des attaques en phishing

Hack Academy : se protéger des vols de mots de passe

Une approche globale de la sécurité
 

1 Commentaire

  • 25 Février 2016
    2016-02-25
    par
    FG
    Merci. C'est bien clair.
    On peut en plus utiliser une carte bleue virtuelle dont le numéro change à chaque fois et dont on peut limiter le montant. Ainsi, si le marchand est un vrai marchand avec tout ce qu'il faut de sécurité, mais qu'il vous débite 500 € au lieu de 50 €, il ne pourra pas le faire car vous aurez au préalable limité le montant associé à ce numéro à 51€ par exemple, et il ne pourra pas non plus faire deux retraits de 50 €, car le numéro expire une fois utilisé.
    Ok, ça demande une manip en plus au moment de l'achat (créer le numéro virtuel), mais avec l'habitude, ça devient aussi long que d'aller chercher sa vraie carte bleue dans son portefeuille qui est restée dans sa veste à l'étage en dessous...
    et le service peut coûter un peu (de l'ordre de 6€/mois), mais au moins c'est sûr.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage