|
|
 |
| |
E-commerce et sécurité : résultats et analyses
|
  |
|
par Laurent Bernat - 02 mai 2001
|
1 - 2 - 3 - 4 - 5 - 6
|
2 - Niveau de cryptographie : taille de la clé
Point testé
Quelle est la taille de la clé de cryptographie utilisée : invérifiable (Java), 0 (pas de sécurité), 40, 56 ou 128 bits ?
Méthode
Résultats
| Pourcentages |
Java |
0 |
40 bits |
56 bits |
128 |
total <128 |
| Banque - Bourse |
1.9% |
1,9% |
65,4% |
4,8% |
26,0% |
74,0% |
| Biens de consommation |
0,0% |
5,6% |
36,1% |
2,8% |
55,6% |
44,4% |
| Culture - Loisirs |
0,0% |
5,5% |
34,1% |
3,3% |
57,1% |
42,9% |
| Maison - Électro-ménager - Hifi |
1,9% |
1,9% |
28,8% |
7,7% |
59,6% |
40,4% |
| Total |
0,9% |
3,8% |
43,9% |
4,4% |
47,0% |
53,0% |
|
| Volume |
Java |
0 |
40 bits |
56 bits |
128 |
total <128 |
| Banque - Bourse |
2 |
2 |
68 |
5 |
27 |
77 |
| Biens de consommation |
0 |
4 |
26 |
2 |
40 |
32 |
| Culture - Loisirs |
0 |
5 |
31 |
3 |
52 |
39 |
| Maison - Électro-ménager - Hifi |
1 |
1 |
15 |
4 |
31 |
21 |
| Total |
3 |
12 |
140 |
14 |
150 |
169 |
|
Le site de Dell Computer a été traité séparément. Les tests de ce site ont révélé la présence de plusieurs serveurs pouvant effectuer la transaction (de https://commerce1.euro.dell.com à https://commerce10.euro.dell.com).
Nous avons donc testé chacun de ces serveurs et nous avons constaté que les certificats* utilisés variaient selon les machines (date d'achat et taille de la clé). Nous n'avons pas compté les 10 serveurs Dell dans les résultats ci-dessus puisqu'une seule boutique en ligne étaient concernée. Cependant, sur les 10 serveurs identifiés : 2 sont en 40 bits, 7 en 56 bits, 1 en 128 bits.
|
Analyse
Sécurité globalement médiocre, pire encore pour les banques.
Alors même que 95% des sites testés utilisent SSL :
- Plus de la moitié n'utilisent pas de certificat 128 bits malgré sa disponibilité depuis deux ans : la sécurité transactionnelle des sites de e-commerce français est donc médiocre.
- Certains sites dont les marques sont très connues ne sont pas protégés suffisamment : Air France, Allo-ciné, Tati, La Redoute, HP, Fnac, Gateway, Compaq, Promod, Camif... et dans la banque : BNP-Paribas, Banque Directe, Banque populaire, Caisse d'épargne, CIC, Crédit Agricole, Crédit du Nord, Cortal, Crédit Lyonnais, Crédit Mutuel, ING Direct
- C'est dans la banque et le courtage en bourse que l'on trouve le plus de sites médiocrement protégés : 74 % alors que seulement 40 % des sites de e-commerce liés à la maison, la hi-fi, l'informatique et l'électro-ménager proposent un niveau de sécurité aussi bas.
- Pour analyser ces chiffres, il convient d'ajouter deux précisions importantes :
- le coût d'un certificat 128 bits n'est que de 300 $ (chez Thawte). Le laxisme des sites français n'est donc pas lié à des considérations économiques.
- les compétences requises pour installer un certificat 128 bits sont strictement les mêmes que pour un certificat 40 bits. Si l'entreprise a su installer un certificat à 40 bits, elle sait en installer un autre à 128. Le passage d'un certificat 40 bits à un certificat 128 bits est d'ailleurs une opération simple pour l'administrateur du serveur.
On peut donc penser que les entreprises françaises ne font pas d'effort particulier pour assurer une sécurité transactionnelle maximale des données que leur confient les internautes. Elles se contentent d'offrir la sécurité minimum à leurs visiteurs et clients.
A cela, deux raisons peuvent être avancées :
a/ Confiance en ligne = confiance hors ligne ?
Les entreprises se reposent sur la confiance acquise à leur égard par les internautes en dehors d'Internet. Pour tout un chacun, une banque est synonyme de "sécurité". Des marques comme BNP-Paribas, CIC ou Caisse d'épargne ne souffrent pas en général d'une image d’insécurité. Fortes de cela, ces entreprises ne considèrent pas la confiance des internautes comme un point à traiter : elle est considérée comme acquise dans le monde physique donc également sur Internet. Cette question ne constitue pas un élément dans leur projet Internet. Elle ne vient probablement même pas à l'esprit des acteurs de ces projets. L'effet "confiance hors ligne = confiance en ligne" extirpe du projet sa dimension "confiance". Sûres d'elles, les banques, à 75 %, ne font rien pour installer la confiance. Et l'internaute qui achète une place de cinéma sur le site d'UGC bénéficie d'un niveau de sécurité supérieur à celui qui effectue des opérations sur son compte bancaire au CIC ou chez Cortal !
Cette analyse est confirmée par la médiocre sécurité de nombreux sites de grandes marques dans d'autres domaines : ces acteurs sont persuadés que la confiance sur Internet bénéficie de la confiance acquise hors Internet.
b/ Les internautes français n'en demandent pas plus
À la décharge de ces sites pauvrement sécurisés, les internautes français ne leur réclament pas une meilleure sécurité. S'ils envoyaient de nombreux messages au webmaster de ces sites pour leur demander plus de sécurité, ces derniers s'exécuteraient sûrement. Mais les internautes ne soupçonnent tout simplement pas qu'un niveau de sécurité supérieur existe. La majorité d'entre eux ignore le b à ba de la cryptographie. La notion de clé leur échappe, celle de certificat également. L'utilisateur lambda ne sait pas vérifier dans son navigateur si la transaction est sécurisée. Il n'est pas armé pour utiliser Internet de façon avertie.
Si les internautes ne réclament pas un niveau de sécurité supérieur, c'est aussi que l'équation "Internet = insécurité" s'est installée dans leur esprit dès le milieu des années 90. Dès les débuts du web, la sécurité sur Internet a été systématiquement traitée dans un mode binaire : si le paiement sur Internet n'est pas 100 % sûr, c'est qu'il est 100 % dangereux. On ne peut donc pas s'y fier. Puisque ce n'est pas tout blanc, c'est tout noir.
En excluant la demi-mesure, les médias ont participé à l'installation de cette logique dans l'esprit des utilisateurs. Or la sécurité n'est jamais binaire, ni sur Internet, ni pour un convoyeur de fonds, ni sur l'autoroute, ni ailleurs. Elle n'est qu'une question de moyens, tout comme le piratage. Il est vrai que cette rhétorique manichéenne, tout en généralisant le sentiment d'insécurité lié à Internet, a permis de protéger pendant quelques mois le minitel, souvent considéré à l'époque comme "seul moyen de paiement électronique sécurisé" et de promouvoir -en vain- la généralisation des lecteurs de carte à puce dans chaque foyer ...
Enfin, l'absence de débat public en France sur la libéralisation de la cryptographie a certainement contribué à la méconnaissance généralisée des moyens de sécurisation du web disponibles. En effet, si les internautes américains connaissent mieux les enjeux liés à la cryptographie et savent utiliser leur navigateur dans ce contexte, c'est que le débat public a fait rage, outre-Atlantique, sur cette question. De nombreuses associations pour la protection de la vie privée (EPIC, ACLU, EFF, Consumer Project on Technology, Internet Privacy Coalition...) ont milité bruyamment pour la libéralisation et la généralisation de la cryptographie, popularisant ainsi l'idée qu'un Internet plus sûr est techniquement possible et qu'il suffit de l'autoriser juridiquement. En France, le gouvernement ayant agit très vite a -paradoxalement et involontairement- étouffé dans l'oeuf ce débat pourtant salutaire. Sa décision de libéralisation en mars 1999, pourtant fondamentale, est passée relativement inaperçue.
Suite : Date des certificats
1 - 2 - 3 - 4 - 5 - 6
|
|
|
|
