rapport sur la sécurité informatique

Posté par (page perso) . Modéré par Fabien Penso.
Tags :
0
10
mai
2001
Sécurité
Un "web agency" vient de sortir un rapport plutôt intéressant que pas mal de personnes qui affirment que "Internet est sûr" devraient lire. Ce n'est pas technique et tout le monde devrait comprendre (même le directeur marketing ;-)
Voici les points testés :
1. Utilisation de SSL
2. Niveau de cryptographie : taille de la clé
3. Date des certificats
4. Informations sur le cryptage
5. Début du cryptage
6. Vérification de la cryptographie

Je cite un extrait de la conclusion :
« Ces résultats permettent de souligner que la majorité des sites de e-commerce, de banque et de bourse français n'intègrent pas la confiance dans leur stratégie Internet. Ils négligent les attentes des internautes en matière de sécurité et de protection de leur vie privée.
Cette négligence s'exprime :
- dans des choix techniques laxistes en matière de sécurité (cryptographie à 40 bits plutôt qu'à 128, cryptage des informations de carte bancaire au détriment des autres informations personnelles) ;
- dans l'absence de pédagogie qu'ils mettent en place pour compenser l'inquiétude des internautes liées à Internet, ;
- dans un design qui déroute l'internaute et l'empêche de vérifier facilement la sécurité du site.

Les sites des banques, qui pourtant devraient montrer l'exemple dans ce domaine, font preuve d'un laxisme paradoxal.»

A lire avant de faire des achats en ligne ...
  • # C'est stupide...

    Posté par . Évalué à  0 .

    Qu'un site utilise une clé de 256 bits ou 40, c'est pas ça qui va renforcer la sécurité du site. Aucun pirate ne s'amuse à sniffer les données cryptées à 40 bits pour les cracker et ainsi obtenir un numéro de carte bleue par an. Il a plus vite fait de pirater le site web et d'obtenir les numéros (et coordonnées pour le même prix) des 300,000 clients de celui-ci.

    Le problème de la sécurité sur internet, c'est que SSL est arrivé trop tot - maintenant les sociétés pensent que pour être sécurisées, il leur suffit d'avoir un gros certificat, alors qu'il faut aussi configurer son serveur et aussi le patcher et aussi savoir écrire des CGI sécurisés et aussi avoir un firewall et aussi monitorer tout ça. C'est vrai que ca demande un poil de boulot en plus et que ça se vend moins facilement.

    Si SSL était arrivé après les piratages massifs dus aux bugs IIS ou aux CGIs mal écrits, peut-être est-ce que les gens verraient les certificats comme une simple brique parmi d'autres.
    • [^] # Re: C'est stupide...

      Posté par (page perso) . Évalué à  1 .

      Tu n'as même pas besoin de ta fatiguer à pirater pour récupérer des numéros de cartes bleues: tu as juste à aller fouiller les poubelles des distributeurs de billets :)
  • # CA

    Posté par . Évalué à  0 .

    Il suffit de voir le site catelnet du Crédit Agricole pour ce faire une idée .. de l'anpleur des dégats.. Quand un site de banque ne fonctionne que sous IE5.5 y a de qoa avoir froid dans le dos pour son argent

    A ++
  • # exemple de base

    Posté par . Évalué à  0 .

    Lors d'un achat de nom de domaine sur gandi.fr, le formulaire est securise avec une cle a 128 bits, et pour le paiement on passe sur le site de la banque qui a une cle a 40 bits. Ca fait pas tres serieux, mais ca se voit moins que les jolis
    messages "Le certificat a expire" qu'on pouvait voir sur le site web d'une autre banque il n'y a pas longtemps (je dois encore avoir les screenshots). Bien entendu, le webmaster de la banque en question n'a jamais pris la peine de repondre a mon gentil mail l'informant de la situation.
  • # instructif...

    Posté par . Évalué à  0 .

    Un petit tour sur http://www.kitetoa.fr(...) est toujours tres instructif quant a la securite des sites bancaires... On est toujours partage entre le fou rire (les manipulations qui permettent d'acheter un ordinateur 1 franc!) et l'effroi (les mots de passe des utilisateurs de banques en ligne librement accessibles) !
    Evidemment, la loi informatique et liberte qui prevoit que l'hebergeur DOIT proteger les donnees personnelles (en plus de reglementer leur exploitation) ne s'applique en pratique pas aux banques et autres entreprises tentaculaires. Ce serait plutot la le role de la justice, au lieu d'aller cherhcer des poux a Jeune et Linux ou a je boycotteBIIIP!.com
    Zeb

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.