Auteur Sujet: Palme d'or du site de e-commerce le moins sécurisé  (Lu 3063 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 28 796
    • Twitter LaFibre.info
Palme d'or du site de e-commerce le moins sécurisé
« le: 26 septembre 2016 à 22:49:28 »
Je vais décerner une palme d'or pour la sécurité du site internet de e-commerce de la Pharmacie de la Gare de Roissy !

Je vous laisse voir par vous même : Vos informations bancaires sont transmises en clair sur http://pharmacie-gare-roissy.fr/


vivien

  • Administrateur
  • *
  • Messages: 28 796
    • Twitter LaFibre.info
Palme d'or du site de e-commerce le moins sécurisé
« Réponse #1 le: 26 septembre 2016 à 22:56:40 »
Vous vous dites qu'il suffit de forcer le https, pour passer en sécurisé ?

Et bas non, vous tombez sur un message expliquant que le certificat ne correspond pas au site :


Voici le certificat utilisé :


Et si on rajoute une exception de sécurité pour forcer le https, on arrive sur le site d'un concurrent !

corrector

  • Invité
Palme d'or du site de e-commerce le moins sécurisé
« Réponse #2 le: 26 septembre 2016 à 23:18:10 »
La profession de marchand de pharmakon confirme ce qu'on pouvait penser de son sérieux, de son professionnalisme, et de son souci de protéger la vie privée.

Je me demande quand même ce que le GIE CB, VISA et Mastercard en pensent.

vivien

  • Administrateur
  • *
  • Messages: 28 796
    • Twitter LaFibre.info
Palme d'or du site de e-commerce le moins sécurisé
« Réponse #3 le: 26 septembre 2016 à 23:34:41 »
On ne pourra pas vérifier la sécurité de la Pharmacie de Roissy, vu qu'elle est inexistante, par contre voici ce que cela donne pour la pharmacie Monge : (sur https://observatory.mozilla.org/)


alegui

  • Client Bbox fibre FTTH
  • *
  • Messages: 443
  • FTTH Courbevoie (92)
Palme d'or du site de e-commerce le moins sécurisé
« Réponse #4 le: 26 septembre 2016 à 23:36:14 »
Là où je suis le plus surpris, c'est qu'il existe plein de solution déjà toutes prêtes pour créer un site de e-commerce qui incluent le HTTPS de base, qui est maintenant plutôt bien ancré dans la tête des gens ("le petit cadenas vert quand vous achetez sur internet") et ils ont choisi une solution qui ne l'inclut pas.
(et même SSLLabs descend la sécurité de la pharmacie monge: il y a même des suites qui permettent de ne pas vérifier l'identité du serveur !)

vivien

  • Administrateur
  • *
  • Messages: 28 796
    • Twitter LaFibre.info
Palme d'or du site de e-commerce le moins sécurisé
« Réponse #5 le: 26 septembre 2016 à 23:56:53 »
Je confirme que c'est bien ancré chez le grand public, c'est ma femme (pas geek du tout) qui m'a déniché ce site en m'appelant pour me dire qu'elle refusait de finaliser la transaction, vu qu'il n'y avait pas le petit cadenas.

Le fautif est probablement le sous-traitant qui gère les deux sites de e-commerce de pharmacies : "La Coopérative de Communication"

Ils annoncent pourtant avoir des clients prestigieux : BNP Paribas, Société Générale, Intel, SNCF, GDF SUEZ, VINCI Park, VINCI, Demeco, MAAF,...


Et je n'avais pas vu le top, pour la Pharmacie de la Gare de Roissy, celle qui ne propose pas du tout de https :



hell0

  • Expert
  • Client SFR fibre FTTH
  • *
  • Messages: 705
  • Paris (75)
Palme d'or du site de e-commerce le moins sécurisé
« Réponse #6 le: 27 septembre 2016 à 00:28:45 »
Je vais décerner une palme d'or pour la sécurité du site internet de e-commerce de la Pharmacie de la Gare de Roissy !

Je vous laisse voir par vous même : Vos informations bancaires sont transmises en clair sur http://pharmacie-gare-roissy.fr/


Très sympa ça  :D

Merci vivien de nous avoir parlé de cette trouvaille, ça m'a bien fait rire sur le coup  :)

Skyhawk

  • Client Bbox adsl
  • *
  • Messages: 222
  • Besançon (25)
Palme d'or du site de e-commerce le moins sécurisé
« Réponse #7 le: 27 septembre 2016 à 09:27:19 »
Une petite analyse wireshark donne quoi? Ca passe vraiment en clair?
L'encart de la carte bleue ne pourrait pas être protégé à part (encart https sur une page http)?

Electrocut

  • Client Bbox adsl
  • *
  • Messages: 395
  • Pont-Péan (35)
Palme d'or du site de e-commerce le moins sécurisé
« Réponse #8 le: 27 septembre 2016 à 10:44:34 »
Une petite analyse wireshark donne quoi? Ca passe vraiment en clair?
L'encart de la carte bleue ne pourrait pas être protégé à part (encart https sur une page http)?
Bien vu ! Manifestement c'est un encart fourni par Paypal.

Lorsque l'on valide le formulaire de paiement, Wireshark m'affiche du trafic HTTPS vers securepayments.paypal.com.

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 099
  • ADSL sur Marseille (13)
Palme d'or du site de e-commerce le moins sécurisé
« Réponse #9 le: 27 septembre 2016 à 13:47:49 »
qu'est ce qui empêche un pirate de remplacer l'encart par un autre avec exactement les mêmes infos : rien

ok c'est pas transmis en clair de base mais il suffit de s'amuser un peu pour que ça le soit.

Skyhawk

  • Client Bbox adsl
  • *
  • Messages: 222
  • Besançon (25)
Palme d'or du site de e-commerce le moins sécurisé
« Réponse #10 le: 27 septembre 2016 à 13:51:34 »
D'accord, d'où l'intérêt de chiffrer de bout en bout!

Electrocut

  • Client Bbox adsl
  • *
  • Messages: 395
  • Pont-Péan (35)
Palme d'or du site de e-commerce le moins sécurisé
« Réponse #11 le: 27 septembre 2016 à 13:55:55 »
Très bonne remarque butler_fr !

 

Mobile View