La Fibre
Télécom => Réseau => Protocoles réseaux sécurisés (https) => Discussion démarrée par: vivien le 26 septembre 2016 à 22:49:28
-
Je vais décerner une palme d'or pour la sécurité du site internet de e-commerce de la Pharmacie de la Gare de Roissy !
Je vous laisse voir par vous même : Vos informations bancaires sont transmises en clair sur http://pharmacie-gare-roissy.fr/
(https://lafibre.info/images/ssl/201609_pharmacie-gare-roissy.png)
-
Vous vous dites qu'il suffit de forcer le https, pour passer en sécurisé ?
Et bas non, vous tombez sur un message expliquant que le certificat ne correspond pas au site :
(https://lafibre.info/images/ssl/201609_pharmacie-gare-roissy_ssl_1.png)
Voici le certificat utilisé :
(https://lafibre.info/images/ssl/201609_pharmacie-gare-roissy_ssl_2.png)
Et si on rajoute une exception de sécurité pour forcer le https, on arrive sur le site d'un concurrent !
(https://lafibre.info/images/ssl/201609_pharmacie-gare-roissy_ssl_3.png)
-
La profession de marchand de pharmakon confirme ce qu'on pouvait penser de son sérieux, de son professionnalisme, et de son souci de protéger la vie privée.
Je me demande quand même ce que le GIE CB, VISA et Mastercard en pensent.
-
On ne pourra pas vérifier la sécurité de la Pharmacie de Roissy, vu qu'elle est inexistante, par contre voici ce que cela donne pour la pharmacie Monge : (sur https://observatory.mozilla.org/)
(https://lafibre.info/images/ssl/201609_pharmacie-monge_ssl_1.png)
-
Là où je suis le plus surpris, c'est qu'il existe plein de solution déjà toutes prêtes pour créer un site de e-commerce qui incluent le HTTPS de base, qui est maintenant plutôt bien ancré dans la tête des gens ("le petit cadenas vert quand vous achetez sur internet") et ils ont choisi une solution qui ne l'inclut pas.
(et même SSLLabs descend la sécurité de la pharmacie monge (https://www.ssllabs.com/ssltest/analyze.html?d=pharmacie-gare-roissy.fr): il y a même des suites qui permettent de ne pas vérifier l'identité du serveur !)
-
Je confirme que c'est bien ancré chez le grand public, c'est ma femme (pas geek du tout) qui m'a déniché ce site en m'appelant pour me dire qu'elle refusait de finaliser la transaction, vu qu'il n'y avait pas le petit cadenas.
Le fautif est probablement le sous-traitant qui gère les deux sites de e-commerce de pharmacies : "La Coopérative de Communication"
Ils annoncent pourtant avoir des clients prestigieux : BNP Paribas, Société Générale, Intel, SNCF, GDF SUEZ, VINCI Park, VINCI, Demeco, MAAF,...
Et je n'avais pas vu le top, pour la Pharmacie de la Gare de Roissy, celle qui ne propose pas du tout de https :
(https://lafibre.info/images/ssl/201609_pharmacie-gare-roissy_ssl_4.png)
-
Je vais décerner une palme d'or pour la sécurité du site internet de e-commerce de la Pharmacie de la Gare de Roissy !
Je vous laisse voir par vous même : Vos informations bancaires sont transmises en clair sur http://pharmacie-gare-roissy.fr/
Très sympa ça :D
Merci vivien de nous avoir parlé de cette trouvaille, ça m'a bien fait rire sur le coup :)
-
Une petite analyse wireshark donne quoi? Ca passe vraiment en clair?
L'encart de la carte bleue ne pourrait pas être protégé à part (encart https sur une page http)?
-
Une petite analyse wireshark donne quoi? Ca passe vraiment en clair?
L'encart de la carte bleue ne pourrait pas être protégé à part (encart https sur une page http)?
Bien vu ! Manifestement c'est un encart fourni par Paypal.
Lorsque l'on valide le formulaire de paiement, Wireshark m'affiche du trafic HTTPS vers securepayments.paypal.com.
-
qu'est ce qui empêche un pirate de remplacer l'encart par un autre avec exactement les mêmes infos : rien
ok c'est pas transmis en clair de base mais il suffit de s'amuser un peu pour que ça le soit.
-
D'accord, d'où l'intérêt de chiffrer de bout en bout!
-
Très bonne remarque butler_fr !
-
;)
-
(et même SSLLabs descend la sécurité de la pharmacie monge (https://www.ssllabs.com/ssltest/analyze.html?d=pharmacie-gare-roissy.fr): il y a même des suites qui permettent de ne pas vérifier l'identité du serveur !)
Tu t'es alors trompé de lien.
SSLLabs pur la pharmacie monge: https://www.ssllabs.com/ssltest/analyze.html?d=pharmacie-monge.fr (grade A)
-
Ce qui est étrange, c'est qu'on dirait qu'il y a les 2, une version non sécurisée (Payment by cards or by PayPal account), et une sécurisée (LCL Bank - Secured Payment)
-
Je confirme que c'est bien ancré chez le grand public, c'est ma femme (pas geek du tout) qui m'a déniché ce site en m'appelant pour me dire qu'elle refusait de finaliser la transaction, vu qu'il n'y avait pas le petit cadenas.
Déjà la sélection du panier se fait en HTTP, donc au niveau confidentialité c'est pas trop ça.
Article 9 : « Informatiques et libertés »
PHARMACIE DE LA GARE s'engage à préserver la confidentialité des informations fournies en ligne par l'internaute à PHARMACIE DE LA GARE pour la bonne gestion des commandes, des livraisons, factures et l'utilisation de certains services.
Heu... comment préserver la confidentialité quand toutes les infos sur les produits sont envoyées en clair?
-
Une petite analyse wireshark donne quoi? Ca passe vraiment en clair?
L'encart de la carte bleue ne pourrait pas être protégé à part (encart https sur une page http)?
Pourquoi regarder au niveau Ethernet?
Dans le navigateur tu as toute l'information, au niveau HTTP.
-
Pour avoir l'info, il faut appuyer sur la touche F12 du clavier (si vous n'avez pas cette touche, il faut aller dans le menu "Outils" => "Développement web" => "Outils de développement")
F12 fonctionne avec Firefox, Chrome et leurs dérivés.
-
Dans le même genre, je me souviens que le "webmail" de Free a eu pendant très longtemps une page de connexion non sécurisée, qui transmettait à priori les mots de passe en clair.
Vu le nombre d'utilisateurs de ce webmail, le risque me paraissait énorme.
Leon.
-
De mémoire, l'administrateur email avait expliqué sur un forum que le chiffrement n'est utile que pour les clients pro (ou un truc du genre).