Auteur Sujet: J'ai essayé d'acheter un pull sur H&M, Firefox m'a dit d'arrêter  (Lu 2093 fois)

0 Membres et 1 Invité sur ce sujet

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
Vous pensez que tous vos sites préférés de vente en ligne sont sécurisés ? Il semble qu'ils pourraient ne pas l'être. J'ai en tout cas renoncé à acheter un pull dont je n'avais pas vraiment besoin sur H&M, et sans regret.

J'étais autrefois un obsédé du shopping. Je vais un peu mieux désormais, merci.

Parfois, tard dans la nuit, surtout si la journée a été torride, je peux me laisser tenter par des baskets dont je n’ai pas besoin. Ou un sweat-shirt dont je n'ai absolument pas besoin.

Et cette fois, H&M me suppliait.

Un HTTPS qui redirige vers du HTTP

L'enseigne m'a envoyé une petite carte postale pittoresque qui disait: "Cela fait longtemps !" Le message était accompagné d'un bon de réduction de 20%, au cas où cela me dirait simplement de faire un peu de shopping sur leur boutique en ligne.

Aux débuts de H&M, quand c'était suédois et étrange, leur magasin était un must. Aujourd'hui, leurs boutiques sont omniprésentes et conventionnelles, alors je ne m'y rends plus souvent.

Cette fois, j'ai succombé. J'ai trouvé un joli pull noir que je porterais probablement deux fois et je suis passé en caisse.

Le site m'a demandé de me connecter. J'ai enclenché le processus et soudain j'ai entendu un cri. Oui, enfin techniquement, j'en ai vu un.

C'était un message de Firefox: "La connexion n'est pas sécurisée. Les identifiants saisis ici pourraient être compromis."

Je me suis pourtant connecté d'innombrables fois au site H&M et je n'ai jamais vu cela auparavant. Et, sûrement, le consommateur naïf pourrait penser que ces grands sites de vente au détail ne se montreraient pas si négligents.

Donc, je n'ai pas acheté le pull et j'ai demandé à Mozilla, l'éditeur de Firefox, ce qui se passait.

Les bons ingénieurs de Mozilla m'ont proposé cette réponse délicieusement détaillée :

"Si vous vous rendez sur le site principal de ce revendeur https://hm.com/ sans aucun cookie, vous serez redirigé vers le sélecteur de votre pays à l'adresse https://www.hm.com/entrance.ahtml?orguri=%2F. Une icône de cadenas est associée à la plupart des liens de sites spécifiques à un pays, et l'URL américaine comporte un lien https: //. On dirait qu'ils savent ce qu'ils devraient faire, mais ce lien https: // redirige ensuite vers un http non sécurisé : il manque donc l'implèmentation. Il y a un petit lien de "connexion" en haut qui ne serait pas sécurisé."

Un cas de négligence caractérisée

Cela semblait être le sommet de la négligence. Comment un grand site de vente pourrait-il intégrer une aussi mauvaise redirection ?

Comment ses ingénieurs n'ont-ils pas repéré ce qui semble être un mépris flagrant des fondamentaux de la sécurité ?

Malgré plusieurs tentatives pour contacter H&M, je n'ai pas pu obtenir de réponse.

La plupart des acheteurs n'auraient certainement pas prêté attention à la présence d'un petit cadenas dans leur navigateur leur indiquant si oui ou non un site est sécurisé. Peut-être que tous les navigateurs n'auraient pas envoyé le type d'avertissement que j'ai reçu de Firefox.

Les ingénieurs de Mozilla ont eux au identifié rapidement comment cette faille de sécurité aurait pu être évitée :

"Si vous ignorez cette connexion et ajoutez simplement un élèment au panier, lorsque vous passez à la caisse, le site bascule vers la version https: // du site pour l'authentification. Donc, en quelque sorte, l'avertissement de notre navigateur protégera les gens contre l'utilisation de la connexion non sécurisée trop tôt dans le processus."

S'il vous plait, je fais des achats J'essaie juste de faire en sorte que H&M se sente mieux après une longue absence. Et maintenant, je dois me soumettre à ces contorsions, juste pour que mes données personnelles ne soient pas volées ?

Les ingénieurs de Mozilla m'ont adressé un dernier coup de coude, qui m'a fait passer tout désir d'acheter de nouveau un pull chez H&M :

"Bien sûr, si vous vous connectez en toute sécurité et que vous retournez ensuite faire vos achats, les cookies d’authentification sont envoyés sans protection et vous ne serez toujours pas protégés, mais au moins une interception permettrait seulement de réutiliser les cookies pour accéder à cette session et ne livrerait pas votre mot de passe actuel."

Bien sûr.

Je me demande quand H&M m'enverra sa prochaine carte postale meurtrie.

Article "I tried to buy a sweater on H&M's site, Firefox told me to stop" traduit et adapté par Christophe Auffray, ZDNet.fr


Source: ZDNet.fr par ar Chris Matyszczyk | Lundi 24 Septembre 2018.