|
|
 |
| |
E-commerce et sécurité : résultats et analyses
|
  |
|
par Laurent Bernat - 02 mai 2001
|
1 - 2 - 3 - 4 - 5 - 6
|
3 - Date des certificats
Point testé
Pour les certificats à 40 et 56 bits, la date d'achat du certificat est-elle récente ou ancienne ?
Méthode
- Affichage des propriétés de sécurité dans le navigateur (cf.) : elles indiquent les dates de validité du certificat (début et fin). La date de début correspond à la date d'achat du certificat ou de renouvellement.
Résultats
Certificats 40 et 56 bits achetés après 08/2000.
| |
Volume |
% |
| Banque - Bourse |
42 |
57,5% |
| Biens de consommation |
16 |
57,1% |
| Culture - Loisirs |
20 |
58,8% |
| Maison - Électro-ménager - Hifi |
5 |
26,3% |
| Total |
83 |
53,9% |
|
| Nb : sur les 9 certificats inférieurs à 128 bits des serveurs de Dell, 6 ont été achetés après août 2000 (2 en décembre, 1 en novembre, 3 en octobre).
|
Analyse
54 % des certificats 40 et 56 bits ont été achetés après août 2000.
Le fait que le renouvellement des certificats n'intervienne qu'une fois par an pourrait expliquer que certains sites dont le certificat à 40 bits n'a pas encore atteint sa limite de validité attendent cette date pour passer à 128.
Pour tester cette hypothèse, nous avons examiné les dates de validité des certificats inférieurs à 128 bits.
54 % des certificats à 40 et 56 bits ont été achetés après août 2000, soit un an et demi après la libéralisation de la cryptographie en France. En conséquence, l'hypothèse ne peut pas être retenue pour expliquer le niveau médiocre de sécurisation des sites testés.
Par ailleurs, si un certificat est effectivement vendu pour une durée minimale d'un an, rien n'empêche une entreprise d'en changer avant sa date d'expiration. Compte tenu du coût minime du nouveau certificat par rapport à la protection qu'il accorde, les sites qui tiennent compte de la psychologie de l'internaute ont adopté une attitude pro-active en augmentant la taille de leur certificat dès que cela a été possible.
4 - Informations sur le cryptage
Point testé
Comment les sites testés informent-ils les visiteurs du caractère sécurisé de la transaction ?
Méthode
- Recherche des informations sur la sécurité à destination des internautes.
Avertissement : malgré le temps relativement long passé sur chaque site pour y trouver des informations relatives à la sécurité (c'est-à-dire supérieur à celui qu'un internaute moyen consacrerait à cette recherche), le fait que nous n'en ayons pas trouvé sur un site donné ne signifie pas qu'il n'y en ait pas mais seulement... qu'elles ne sont pas faciles à trouver. Ce qui, finalement, revient au même.
- On évalue la qualité de ces informations en fonction de leur caractère réellement informatif et de leur volume :
- Aucune : aucune information sur la sécurisation des transactions n'a été trouvée
- Minimale : quelques phrases évoquent la sécurité du site, sans donner de précisions
- Moyenne : quelques paragraphes sur le sujet
- Pédagogique : plus de trois paragraphes sont consacrés à cette question. Un effort a manifestement été fait pour créer la confiance avec l'internaute.
Résultats
| Pourcentages |
Aucune |
Minimale |
Moyenne |
Pédago. |
Non
crypté |
| Banque - Bourse |
67,3% |
15,4% |
10,6% |
3,8% |
1,9% |
| Biens de consommation |
11,1% |
54,2% |
12,5% |
16,7% |
5,6% |
| Culture - Loisirs |
7,7% |
62,6% |
13,2% |
11,0% |
5,5% |
| Maison - Électro-ménager - Hifi |
11,5% |
61,5% |
9,6% |
13,5% |
3,8% |
| Total |
28,5% |
45,1% |
11,6% |
10,3% |
4,1% |
|
| Volume |
Aucune |
Minimale |
Moyenne |
Pédago. |
Non
crypté |
| Banque - Bourse |
70 |
16 |
11 |
4 |
2 |
| Biens de consommation |
8 |
39 |
9 |
12 |
4 |
| Culture - Loisirs |
7 |
57 |
12 |
10 |
5 |
| Maison - Électro-ménager - Hifi |
6 |
32 |
5 |
7 |
2 |
| Total |
91 |
144 |
37 |
33 |
13 |
|
Cas particuliers :
- Linux-boutique : l'information repose sur le site tiers de paiement
- Crédit Lyonnais : l'information varie selon la cible.
|
Analyse
Seuls 10 % des sites informent suffisamment les internautes sur la sécurité
En observant comment les sites informent les internautes sur les mesures de sécurité qu'ils mettent en place, nous disposons d'un baromètre supplémentaire pour évaluer le degré de prise en compte de la psychologie des utilisateurs par les entreprises.
Les résultats confirment notre première analyse : les entreprises françaises n'ont pas saisi l'enjeu que représente l'établissement de la confiance sur Internet. Seules 10 % d'entre elles consacrent plus de trois paragraphes à cette question. 29 % des sites ne fournissent aucune information sur la sécurité et 45 % se limitent à quelques phrases lapidaires (du type "Ce site est entièrement sécurisé").
La ventilation par secteur révèle encore la grande médiocrité des banques : 67 % n'informent pas du tout leurs visiteurs et seulement 4 % affichent des informations d'ordre pédagogique.
Ces chiffres soulignent l'ampleur du problème. Non seulement la dimension technique de la sécurité n'est pas prise en compte, mais sa dimension psychologique n'est pas non plus abordée.
Suite : Début du cryptage
1 - 2 - 3 - 4 - 5 - 6
|
|
|
|
