|
|
 |
| |
E-commerce et sécurité : résultats et analyses
|
  |
|
par Laurent Bernat - 02 mai 2001
|
1 - 2 - 3 - 4 - 5 - 6
|
Résultats et analyses
Moins de la moitié des sites utilisent 128 bits, moins d'un quart informe réellement les internautes sur la sécurité. Les sites de banque sont les plus pauvres en sécurité et information des visiteurs.
319 sites ont été testés pour réaliser cette étude. Pour y figurer, les critères étaient les suivants :
- soit être un site de commerce électronique au sens strict, c'est-à-dire offrir une possibilité de paiement à distance par carte bancaire (boutique en ligne) ou proposer des fonctionnalités engageant financièrement l'internaute (passage d'ordre de bourse en ligne),
- soit proposer l'accès à des informations personnelles confidentielles comme le contenu de ses comptes bancaires,
Seuls ont été testés des sites en langue française et proposant un paiement en francs français.
Les sites ont été identifiés via des répertoires généraux (yahoo.fr, voila.fr) ou spécialisés (consomania.com, ouacheter.net, e-economie.com). Cette étude ne prétend pas être exhaustive.
Nous avons utilisé une catégorisation en ventilant les sites dans les secteurs suivants :
- Banque - Bourse : sites de banque présentant une partie de type "accès aux comptes" ou "accès membres" ou encore "accès clients", sites de bourse permettant de passer des ordres de bourse, à l'exclusion des sites permettant uniquement de consulter les cours de bourse
- Biens de consommation : parapharmacie, parfumerie, fleurs, habillement, alimentation
- Culture - Loisirs : voyages, vente de CD, DVD, livres, jouets, jeux-vidéo, cinéma, théâtre, billetterie
- Maison - électroménager - Hi-fi : matériel informatique, électroménager, matériel hi-fi et télévision, ameublement
Les sites présents à la fois dans plusieurs secteurs ont été affectés à un seul secteur et comptabilisés une seule fois.
| La répartition des sites par secteur est la suivante : |
| Banque - Bourse |
104 |
| Biens de consommation |
72 |
| Culture - Loisirs |
91 |
| Maison - Électro-ménager - Hifi (MEH) |
52 |
| Total |
319 |
|
Tous les tests ont eu lieu entre janvier et mars 2001.
1 - Utilisation de SSL*
Point testé
Quelle technologie de sécurisation transactionnelle est utilisée par le serveur : aucune, SSL, autre technologie ?
Méthode
- Affichage de la page d'accueil du site
- Recherche de l'espace sécurisé : simulation d'un achat jusqu'à l'accès à la partie sécurisée ou recherche de l'accès protégé par mot de passe
- Vérification de l'utilisation de SSL (voir p. 14).
- Si SSL n'est pas utilisé,
soit un mode de sécurisation alternatif est proposé : identification de la nature de cette sécurisation.
- soit aucune sécurisation transactionnelle n'est disponible.
Dans tous les cas, on utilisera les précautions d'usage face aux sites dont l'ergonomie empêche le navigateur d'afficher les informations de sécurisation.
Résultats
| Pourcentage |
non crypté |
https |
autre |
| Banque - Bourse |
1,9% |
95,2% |
2,9% |
| Biens de consommation |
5,6% |
94,4% |
0,0% |
| Culture - Loisirs |
5,5% |
94,5% |
0,0% |
| Maison - Électro-ménager - Hifi |
1,9% |
98,1% |
0,0% |
| Total |
3,8% |
95,3% |
0,9% |
|
| Volume |
non crypté |
https |
autre |
| Banque - Bourse |
2 |
99 |
3 |
| Biens de consommation |
4 |
68 |
0 |
| Culture - Loisirs |
5 |
86 |
0 |
| Maison - Électro-ménager - Hifi |
1 |
51 |
0 |
| Total |
12 |
304 |
3 |
|
Les 3 sites sécurisés ne proposant pas SSL utilisent une applet Java* pour l'échange des données.
Les 2 sites de bourse ne proposant aucun cryptage correspondent à la même entreprise (Dubus SA et Easytrade.fr) et utilisent un système d'authentification de type .htaccess qui repose sur le serveur. Cette solution, qui demande un identifiant et un mot de passe à l'internaute, ne crypte ni l'envoi de ce mot de passe au serveur, ni les données échangées une fois entré dans la partie privée du site.
|
Analyse
4 % des sites non sécurisés.
4% des sites web de commerce électronique testés n'offrent en réalité aucune sécurisation des données des internautes. Les numéros de carte bancaire peuvent être interceptés en clair sur Internet. Rien ne les protège.
Un tel cas de figure est-il possible ? Oui, car de nombreux acteurs ont accès aux données qui transitent sur le réseau :
- d'abord les différents opérateurs techniques répartis tout au long du chemin que prennent les données du micro-ordinateur de l'internaute jusqu'au serveur.
- mais aussi, plus près de l'internaute, les administrateurs du réseau local auquel est connecté son ordinateur.
- enfin, les autres ordinateurs connectés au même segment de réseau : un simple logiciel d'analyse des paquets de données qui circulent dans le réseau permet, dans certains cas (si le réseau utilise un hub) à tout un chacun de capturer ces informations qui, si elles ne sont pas cryptées, sont exploitables directement.
Le cryptage des données est donc une nécessité impérative. Ne pas proposer de cryptage via SSL sur son site alors que l'on propose l'accès à des données personnelles ou bien qu'on en demande à l'internaute est tout simplement aberrant.
Ce chiffre de 4% peut paraître peu élevé. Il montre que la grande majorité des entreprises "fait le minimum" pour ne pas être prise en défaut total de sécurisation. Cependant, ces 12 sites qui ne sécurisent pas du tout les données des internautes interdisent d'affirmer que tous les sites de e-commerce sont sécurisés.
SSL domine les sites sécurisés
Sur le plan technologique, SSL domine largement. Java n'est plus utilisé que résiduellement. La mode des applets de sécurisation dont on faisait grand cas voici à peine trois ans est définitivement passée. Il est curieux de constater que ce sont trois sites de banques qui utilisent encore ce type de solution.
Rappelons qu'une sécurisation par Java ne permet pas à l'internaute de contrôler objectivement le niveau de cryptographie : il doit se fier aux affirmations du site qui a développé l'applet alors qu'avec HTTPS* c'est son navigateur qui lui affiche cette information. Par ailleurs, Java force souvent l'internaute a accepter formellement l'applet en cliquant dans une boîte de dialogue peu rassurante qui lui demande de confirmer l'installation de l'applet sur son poste. Autant de manipulations souvent perçues comme "intrusives" par les internautes. Enfin, les applet Java ont encore trop tendance à faire planter les navigateurs. Ces éléments sont en partie responsables de la disparition de Java comme méthode de sécurisation transactionnelle.
Suite : Niveau de cryptographie : taille de la clé
1 - 2 - 3 - 4 - 5 - 6
|
|
|
|
