Securite paiement en ligne CB

Le
Pierrot
Bonjour,
je suis allé via un lien du site d'un FAI sur un site marchand partenaire.

Il était indiqué que le paiement en ligne par CB est securisé par le
protocole SSL 128 bits.

Par contre, au moment d'arriver sur la page où j'entre mes coordonnées CB et
valide la paiement un message de Windows XP m'a indiqué que "Certains
éléments de la page que vous allez consulter sont securisés et d'autres
éléments ne sont pas securiés. Souhaitez-vous afficher la page ?" (ou +ou -
qqch de genre).

En bas de la page il le petit cadenas indiquant que la page est securisée a
disparu par contre l'adresse de la page commencait bien par
"https://ssl.xxx".
J'ai donc rentré mes coordonnées CB et validé la peiement. J'ai d'ailleurs
reçu un recepissé du paiement par mail avec n° de transaction et montant

Est-ce que mon paiement était bien securisé ou pas ? Ai-je fait une connerie
ou aucune risque ?
Il me semble avoir lu qq part que c'est la même chose sur le site de france
telecom quand on achète qqch, mais tant que l'adresse de la page commence en
"https://ssl.xxx" le paiement est bien securisé

Par ailleurs, je viens de me rendre compte que les éléments de la page "non
securisés" dont parlait le message de Windows c'etait juste le bandeau de
publicité et le bandeau aux couleurs du FAI présent en haut de la page en
plus du formulaire, en effet, en répondant au message que je ne souhaite pas
afficher les elements non securisés le bandeau de pub ne s'affiche pas et le
cadenas reste.
Par contre, je n'obtiens rien en faisant un click droit. Mais, lorsque je
refuse l'affichage des éléements non securisés et que le cadenas reste et
quand je clique sur le cadenas j'ai des infos sur un certificat de securité
valable et en bonne et due forme.
Je pense donc, même si j'ai répondu OUI lors de mon paiement et vu que seul
le bandeau de pub du FAI n'était pas securié (ce qui doit expliquer la
disparition du cadenas) mais que tout le reste de la page etait certainement
bien crypté et securisé SSL puisque elle l'est quand on répond "NON" au
message d'avertissement de Windows, je n'ai pas du prendre de risque
particulier ?
Qu'en pensez-vous ?

@micalement
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Dominique Blas
Le #783942
Bonjour,
je suis allé via un lien du site d'un FAI sur un site marchand partenaire.

Il était indiqué que le paiement en ligne par CB est securisé par le
protocole SSL 128 bits.

Par contre, au moment d'arriver sur la page où j'entre mes coordonnées CB et
valide la paiement un message de Windows XP m'a indiqué que "Certains
éléments de la page que vous allez consulter sont securisés et d'autres
éléments ne sont pas securiés. Souhaitez-vous afficher la page ?" (ou +ou -
qqch de genre).

En bas de la page il le petit cadenas indiquant que la page est securisée a
disparu par contre l'adresse de la page commencait bien par
"https://ssl.xxx".
J'ai donc rentré mes coordonnées CB et validé la peiement. J'ai d'ailleurs
reçu un recepissé du paiement par mail avec n° de transaction et montant...


Ce qui est important est que la transaction soit confidentialisée via le
protocole HTTPS. Que les fioritures soient en HTTP n'a pas d'importance.
Or, lorsque la page comporte des cadres seul le protocole de la page
figure et non pas les différents protocole utilisés par les différents
cadres, bien évidemment.

Il faut donc vérifier, grâce à la fonction d'information, que le cadre
concernant la transaction est bien sécurisé.

db

--

Courriel : usenet blas net

Adrien
Le #783707

Bonjour,
je suis allé via un lien du site d'un FAI sur un site marchand
partenaire.

Il était indiqué que le paiement en ligne par CB est securisé par le
protocole SSL 128 bits.

Par contre, au moment d'arriver sur la page où j'entre mes coordonnées
CB et
valide la paiement un message de Windows XP m'a indiqué que "Certains
éléments de la page que vous allez consulter sont securisés et d'autres
éléments ne sont pas securiés. Souhaitez-vous afficher la page ?" (ou
+ou -
qqch de genre).

En bas de la page il le petit cadenas indiquant que la page est
securisée a
disparu par contre l'adresse de la page commencait bien par
"https://ssl.xxx".
J'ai donc rentré mes coordonnées CB et validé la peiement. J'ai
d'ailleurs
reçu un recepissé du paiement par mail avec n° de transaction et
montant...



Ce qui est important est que la transaction soit confidentialisée via le
protocole HTTPS. Que les fioritures soient en HTTP n'a pas d'importance.
Or, lorsque la page comporte des cadres seul le protocole de la page
figure et non pas les différents protocole utilisés par les différents
cadres, bien évidemment.

Il faut donc vérifier, grâce à la fonction d'information, que le cadre
concernant la transaction est bien sécurisé.

db

bonjour,


J'ajouterais qu'un certificat de cryptage ne garantit pas en lui même
une garantie. Ca garantit que personne n'interceptera la communication,
or une personne mal-intentionnée peut tres bien emettre un certificat,
que le premier pinpin venu acceptera. L'essentiel est que le certificat
soit fourni par un organisme bancaire ou financier de confiance, pour
s'en assurer il suffit de consulter les détails du certificat. Mais pour
un site réputé, il ne divrait pas y avoir de problème... mais attention
au phishing !

Adrien


Dominique Blas
Le #783706
[...]


J'ajouterais qu'un certificat de cryptage ne garantit pas en lui même
^^^

ne constitue
une garantie.


Tout à fait. Je peux très bien générer un certificat racine portant
toutes les indications de validité (adresse postale, noms des contacts,
adresses de courrier électronique, etc) pour une banque donnée et m'en
servir pour émettre d'autres certificats dont, notamment, celui du
serveur Web.
Lorsque le bandeau indiquant que le site est protégé et proposant de
visualiser les caractéristiques du certif serveur qui pourra faire la
différence entre mon certificat au nom de BNP-Paribas et le vrai au nom
de BNP-Paribas ?
Personne. Excepté l'internaute consciencieux qui va aller récupérer sur
le site officiel (si le DNS de ce dernier n'est pas empoisonné) le vrai
certif.

En clair et pour résumé : si je parviens à << phisher >> le site BNP ou
mieux, si je parviens à empoisonner l'un des serveurs de noms du domaine
(voire tous c'est encore mieux) mis à part ceux qui ont déjà récupéré
une fois le certificat officiel et qui de toute manière ne tiendront pas
compte du message d'avertissement du navigateur, c'est tout bénef pour
l'usurpateur !

Qui plus est c'est d'une facilité désarmante à mettre en place,

db
--

Courriel : usenet blas net

Poster une réponse
Anonyme