5 - Début du cryptage
Point testé
Le cryptage est-il mis en place seulement à partir de la saisie des informations de carte bancaire ou plus tôt, dès la saisie d'informations personnelles (comme les coordonnées de l'internaute, par exemple) ?
Méthode
- Simulation de la commande jusqu'au paiement.
- On exclura les sites de banque et bourse puisqu'ils ne proposent pas de fonctionnalité de paiement en ligne
Résultats
| Pourcentages |
Uniquement
au paiement |
Dès la saisie
d'info. perso. |
| Banque - Bourse |
-- |
-- |
| Biens de consommation |
60,3% |
39,7% |
| Culture - Loisirs |
46,5% |
53,5% |
| Maison - Électro-ménager - Hifi |
54,9% |
45,1% |
| Total |
84,9% |
15,1% |
|
| Volume |
Uniquement
au paiement |
Dès la saisie
d'info. perso. |
| Banque - Bourse |
-- |
-- |
| Biens de consommation |
41 |
27 |
| Culture - Loisirs |
40 |
46 |
| Maison - Électro-ménager - Hifi |
28 |
23 |
| Total |
109 |
96 |
|
 nb : |
- calculés sur la base du nombre de sites sécurisés
- les sites de bourse et de banque ont été testés sur leur fonctionnalité "accès à votre compte". Ils n'entrent donc pas dans ces résultats.
|
Analyse
Pour 53 % des sites, seule la carte bancaire mérite le cryptage
Chacun comprend aisément que des numéros de carte bancaire soient protégés car on imagine fort bien ce que leur piratage pourrait signifier. Cependant, 53 % des sites considèrent que c'est la seule information qui mérite une protection. Le reste des échanges entre le site web et l'internaute peut donc être intercepté et exploité par n'importe quel acteur du réseau : utilisateur d'un ordinateur sur le même segment du réseau local, administrateur réseau dans l'entreprise, personnel intervenant chez le fournisseur d'accès ou tout autre opérateur sur le chemin des données jusqu'au serveur.
Il est vrai que les échanges ne revêtent pas toujours un caractère de confidentialité : lorsqu'il achète un livre sur un site web, que gagne l'internaute à ce que ses coordonnées soient cryptées ? Peut-être rien. Mais que perd-il à ce qu'elles ne le soient pas ? Peut-être tout. L'achat d'un livre est un bon exemple : il peut-être révélateur d'opinions politiques, philosophiques ou religieuses, de moeurs, de centres d'intérêts ou même d'un état de santé qui doit pouvoir rester dans la sphère privée. Ces informations ne regardent ni le fournisseur d'accès, ni l'administrateur du réseau local. Certes, ces derniers s'engagent sûrement à ne pas exploiter ces données. Mais s'ils le peuvent techniquement, le risque est bien là. Alors, puisque le serveur peut aussi protéger ces données-là, pourquoi s'en prive-t-il alors que les internautes apprécieraient certainement ce geste, pour peu qu'on les en informe avec précision (cf. p.##) ?
Finalement, pourquoi ne pas crypter au moins les informations nominatives ? Certes, le passage en mode HTTPS peut prendre quelques ressources supplémentaires sur le serveur. Mais le cryptage de quelques pages supplémentaires, s'il peut augmenter le niveau de confiance de l'internaute dans l'entreprise, doit être considéré comme un élément de son positionnement marketing.
6 - Vérification de la cryptographie
Point testé
Les informations que le navigateur affiche automatiquement pour indiquer à l'internaute que la transaction est sécurisée sont-elles masquées par un gadget ergonomique de type cadres (frames*) ou popup ?
Méthode
- Simulation de la commande et observation du comportement de l'interface (cf p.##).
Résultats
| Pourcentages |
Visible |
Invisible |
| Banque - Bourse |
83,0% |
17,0% |
| Biens de consommation |
85,3% |
14,7% |
| Culture - Loisirs |
86,0% |
14,0% |
| Maison - Électro-ménager - Hifi |
86,3% |
13,7% |
| Total |
84,9% |
15,1% |
|
| nb : % sur la base des sites sécurisés
|
| Volume |
Visible |
Invisible |
| Banque - Bourse |
83 |
17 |
| Biens de consommation |
58 |
10 |
| Culture - Loisirs |
74 |
12 |
| Maison - Électro-ménager - Hifi |
44 |
7 |
| Total |
259 |
46 |
|
Analyse
15 % des sites web ont une ergonomie qui cache la sécurité
Pour vérifier qu'une page est sécurisée ou non, l'internaute dispose de deux indicateurs qui ne requièrent aucune manipulation (cf.) :
- le cadenas dans la barre d'état du navigateur : présent (pour Internet Explorer) et fermé (pour Netscape),
- l'adresse de la page, telle qu'elle apparaît dans la barre d'adresse : sécurisé avec https:// au lieu de http://,
Si ces deux conditions sont respectées, c'est que la requête qui a demandé la page et la page elle-même ont été cryptées pendant leur circulation sur Internet.
Ces indicateurs sont importants puisqu'étant affichés par le navigateur, ils sont totalement fiables, à la différence des affirmations du site web dans ses pages. Ils peuvent donc soit confirmer le discours du site sur la sécurité, pour peu que ce dernier aide l'internaute à en comprendre le fonctionnement, soit l'infirmer, si la conception des pages a pour effet de les masquer. Dans ce dernier cas, l'internaute doutera de la réalité de la sécurité et, encore plus méfiant qu'au départ, stoppera certainement son achat.
En utilisant des cadres (ou frames) ou en ouvrant des fenêtres séparées (popups) dont la barre d'état ou d'adresse est masquée, le designer du site peut involontairement masquer ces indicateurs. Si elle n'est pas conçue avec précaution, une page composée de plusieurs cadres peut être perçue comme non sécurisée alors qu'elle l'est. Il suffit pour cela que la page qui l'appelle (celle qui contient la balise
