[helpc] La sécurité des enchères sur Ebay sous le feu des projecteurs
- From: "Shaka( Rudy)" <strub.rudy@xxxxxxxxx>
- To: <helpc@xxxxxxxxxxxxx>
- Date: Wed, 3 Apr 2002 05:25:49 +0200
La sécurité des enchères sur Ebay sous le feu des projecteurs
Par Troy Wolverton, CNET News.com
2 avril 2002
Le site américain de vente aux enchères, qui a été victime dernièrement
de nouvelles formes d'usurpation d'identité, attire l'attention des
experts en sécurité. En cause: la non-protection systématique des
échanges entre utilisateurs.
Au contraire de la plupart des sites de commerce électronique, Ebay ne
protège pas par chiffrement (encryption en anglais) la plupart des
données échangées par les ordinateurs des clients et ses serveurs.
Conséquence, lorsque les clients tapent leur mot de passe sur le site
Web d'Ebay, cette information peut être vue par les pirates.
La plupart des sites de commerce électronique utilisent Secure Socket
Layer (SSL), une technologie qui chiffre toutes les informations
sensibles, telles que le mot de passe des clients et l'activité des
comptes, lorsque les données s'échangent d'un ordinateur à l'autre.
«SSL ne pose aucune difficulté sur les sites web», explique John
Pescatore, directeur de recherches pour la sécurité des systèmes
internet chez Gartner.
Les utilisateurs d'Ebay peuvent se connecter en utilisant SSL, mais la
configuration par défaut n'est pas sécurisée. Même si les clients se
connectent en choisissant d'utiliser SSL, ils sont envoyés vers des
pages non-SSL s'ils veulent modifier leur mot de passe ou accéder à leur
compte.
«Ils ne rendent pas service à leurs clients», continue Pescatore. «SSL
devrait vraiment être l'option par défaut.»
Ebay n'a pas souhaité commenter sur ce point
La nécessité de sécuriser les informations de chaque compte sur Ebay ou
d'autres sites s'est fait sentir plus nettement au cours des derniers
mois. Depuis janvier, les comptes d'un nombre croissant d'utilisateurs
du site d'enchères américain ont été piratés et utilisés pour des objets
mis en vente qui n'existent pas (lire notre actualité
<http://news.zdnet.fr/story/0,,t119-s2107438,00.html> du 27/03/2002).
Les pirates se servent de la bonne réputation des victimes pour faire de
fausses propositions d'enchères, puis disparaissent avec l'argent.
Ebay affirme que de telles actions illégales sont peu nombreuses et que
le pourcentage général des enchères frauduleuses avérées est de moins de
0,01% de l'ensemble des opérations.
Mais les clients sont inquiets. Le vol d'identité et les enchères
frauduleuses sont les deux plaintes de consommateurs les plus souvent
émises devant la Federal Trade Commission.
SSL est le standard de facto pour la transmission des mots de passe et
des données sensibles depuis que Netscape a élaboré ce protocole au
milieu des années 1990. Les sites de commerce électronique tels que
Amazon.com et Buy.com l'utilisent pour sécuriser les commandes des
clients. Les clients des sites boursiers online tels que E-Trade
Financial ne peuvent accéder à aucune page de données personnelles sans
utiliser SSL.
Les informations envoyées sans SSL peuvent être maîtrisées par les
pirates grâce à des programmes dits «renifleurs de paquets». Au cours
des dernières années, cependant, les experts pensent qu'il y a eu peu
d'exemples de comptes violés par cette méthode.
Les clients, victimes d'attaques de type "dictionnaire"
Selon Ebay, les exemples récents de vol d'identité sont dus aux
programmes automatiques qui lancent des attaques de type «dictionnaire».
Il s'agit de choisir une ID d'utilisateur (le "login") et de tenter des
séries de mots de passe courants et de mots piochés dans le
dictionnaire.
La société a également mis ses clients en garde contre les faux emails
qui semblent venir d'Ebay et qui demandent aux utilisateurs leur mot de
passe et d'autres informations de compte. Wells Fargo, Bank of America
et Paypal ont émis de semblables avertissements au cours des derniers
mois.
Accéder à des comptes par de semblables procédés est beaucoup plus
facile que d'essayer de trouver le mot de passe d'un utilisateur avec un
renifleur de paquets, selon les experts en sécurité. Avec un renifleur
de paquets, il faudrait qu'un pirate sache quel flux de données gérer,
et il lui faudrait se battre avec des masses de données inutiles pour
trouver un mot de passe ou quelque chose d'utile.
«C'est comme essayer de boire la mer», explique Chris Christiansen, un
analyste spécialisé dans la sécurité chez IDC.
SSL ne fournit pas une sécurité totale
Mais les pirates recherchent toujours le point le plus faible, remarque
son collègue de chez Gartner, Pescatore. Les attaques par renifleurs
sont apparues à cause de l'efficacité de SSL, selon lui. En n'utilisant
pas SSL, Ebay invite pratiquement les pirates à venir s'en prendre à ses
données.
«La plupart des voleurs n'utilisent pas la porte principale pour
pénétrer dans une maison; ils utilisent une fenêtre ouverte ou quelque
autre moyen de ce type. Mais si vous laissez la porte principale
ouverte, alors pourquoi ne pas passer par là?» explique encore
Pescatore.
Pourtant, faire de SSL la configuration par défaut du site lorsque le
gens se connectent et l'utiliser pour protéger les données sensibles ne
fournirait pas forcément une sécurité beaucoup plus importante, indique
quant à lui Matthew Berk, analyste spécialisé dans les technologies web
pour Jupiter Media Metrix. Mais il serait sage pour Ebay d'utiliser plus
fermement SSL sur son site pour répondre aux attentes des clients,
dit-il.
«L'impression d'insécurité est sans doute plus tangible actuellement que
l'insécurité effective», explique Berk. «Comme acteur important du
marché, ils doivent faire tous les efforts possibles pour convaincre les
utilisateurs qu'ils se servent des méthodes les plus sûres.»
--->>>
Shaka( Rudy)
HelPC list owner
shaka.rudy@xxxxxxxxx
Other related posts:
- » [helpc] La sécurité des enchères sur Ebay sous le feu des projecteurs
