Plus de cadenas sur les sites e-commerce ?

httpsPas de cadenas sur les sites e-commerce ?

Pas de cadenas dans la barre d’adresse, est-ce dangereux ? Explications :

De nombreux clients de boutiques en ligne se posent encore la question « Je n’ai pas de cadenas sur ce site e-commerce, puis-je commander en toute sécurité ? ».
La réponse est peut-être oui si votre seul souci est de vous assurer que personne ne risque de vous voler vos numéros de carte bleue. Mais est-ce suffisant ?

Certains sites e-commerce n’affichent pas de cadenas sur toutes leurs pages, mais en revanche, l’accès à la page de paiement doit lui impérativement être en https avec le petit cadenas vert !

Il est impératif que l’adresse de la page sur laquelle vous allez saisir votre numéro de carte bleue commence bien par HTTPS et/ou comporte le cadenas !

Exemple de page de paiement avec cadenas.

Que veut dire https ?

Hyper Text Transfert Protocole Secure. C’est le protocole http qui est sécurisé, car chiffré avec le protocole SSL ( Secure Socket Layer) que les banques ont créé.

Il existe différents niveaux de certificats SSL. Dans tous les cas, la transmission des données est chiffrée et vous assure que personne ne pourra accéder à celles-ci en votre ordinateur et le serveur de paiement auquel vous êtes connecté.

  • Les certificats DV : ils vous assurent que le nom de domaine du site à bien été vérifié.
  • Les certificats OV : Ils vous assurent en plus que l’entreprise à qui appartient le site existe bien légalement. Des documents officiels ont du être fournis pour obtenir ce certificat (un KBIS par exemple).
  • Les certificats EV : en plus des deux autres, même l’identité du responsable de l’entreprise est vérifié. C’est le must, même le nom de l’entreprise apparaît en vert à côté du cadenas dans la barre d’adresse de votre navigateur.
Exemple avec un certificat EV

Quel risques prenez-vous si les pages classiques (hors page de paiement) ne sont pas sécurisée ?

Pour être concret, si vous surfez sur le net dans un hôtel, MacDo, commerce, etc. dont le wifi n’est pas sécurisé (sans mot de passe ou sans mot de passe solide), un hacker peut alors sniffer la connexion et récupérer vos mots de passe et tout le reste puisque ceci transite en clair.
La sécurisation https démontre la volonté du site de respecter la confidentialité de ces échanges avec ses visiteurs, et ceci est indéniablement une preuve de confiance que l’on peut lui accorder.

Voilà de quoi rassurer les acheteurs perdus sans leur cadenas de sécurité.

AxeNet peut installer un certificat SSL sur votre site et donc assurer la connexion https : Contactez-nous.

 

Publié par Sylvain Richard

4 réflexions au sujet de « Plus de cadenas sur les sites e-commerce ? »

  1. Salut je voudrais savoir si la présente de cadenas ou de HTTPS requiert le payement 3d secure ou verified by visa ou encore MasterCard secure ?

  2. @ Elie
    Non, il n’y a pas de rapport entre 3D secure et le https (mais la fenêtre D-secure qui s’affiche est en https).
    On peut avor mis en place 3d secure sur un site sans que ce site ne soit en https, c’est le cas de nombreux e-commerce à ce jour. Sachant que dans ce cas, la partie paiement du site est généralement externalisée et elle même en https.
    En deux mots, la visite du site n’est pas « sécurisée », mais dès que l’on passe au paiement, on part sur le serveur sécurisé https pour effectuer son reglement en CB.

  3. Bonjour,
    Je souhaite acheter un article sur le site de But. Celui-ci n’est pas sécurisé, y compris la page sur laquelle je saisis mes infos de carte bancaire (ni https, ni logo cadenas).
    J’ai soulevé le problème au service client qui m’a répondu que je serai redirigée vers une page https pour le système 3D secure. Cela permet juste de sécuriser cette transaction, mais en aucun la saisie de mes infos de carte bancaires n’est sécurisée, n’est-ce pas ?
    Comment se fait-il que la page de paiement d’un site d’une telle enseigne ne soit pas sécurisée ?!

  4. @ Clothilde
    C’est tout simplement incroyable. A tel point que j’ai testé par moi même car je doutais de votre affirmation. Vous avez raison, lorsque l’on saisi son numéro de carte bancaire sur le site but.fr ceci se fait sur une page qui n’est pas totalement sécurisée (pas de certificat SSL).
    Que vous soyez ensuite redirigée sur une page cryptée pour le 3D secure ne change rien, vos données bancaires peuvent être volées sans problème !
    Dans la pratique, ceci demande un peu de technique mais ce n’est pas complexe du tout pour un kacker. En fait, la partie ou vous saisissez vos coordonnées bancaires est effectivement sécurisée (c’est une iframe effectivement en https) mais pas la page globale, ceci laisse une grande porte ouverte aux hackers de tous poils.
    J’imagine qu’ils vont régler cela rapidement.

Les commentaires sont fermés.