Techno

Paiement en ligne et certificats numériques

«J'aimerais savoir s'il y des logiciels qui peuvent garantir la sécurité des paiements en ligne.»

Publié le 11 juin 2007

Karima Kalai|||JacquesNantel TECHNAUTE.CA

«J'aimerais savoir s'il y des logiciels qui peuvent garantir la sécurité des paiements en ligne.»

Le paiement en ligne et les certificats numériques sont des sujets qui intéressent beaucoup de nos lecteurs, la très grande majorité des acheteurs sur le Web et les entreprises vendant des produits / services ou simplement échangeant des documents confidentiels sur Internet. Le respect de la vie privée, la protection des données personnelles et la protection contre la fraude sont devenus des enjeux importants du commerce électronique. Avec les cas très médiatisés de fraude, de vol (ou de perte) de données personnelles ou d'hameçonnage, la méfiance des divers intervenants a augmenté de façon importante. Avec la croissance du P2P («peer to peer» ou «poste à poste») et la hausse des téléchargements de fichiers, la tâche de protection ne se simplifie pas!

Cette présente chronique ne reviendra pas sur ce qui a déjà été couvert je vous réfère aux diverses chroniques passées sur le thème (Que vaut une signature numérique?, Les transactions en ligne qui font peur, La protection des renseignements personnels, Acheter en ligne: le pour et le contre).

Par contre, ces deux questions me permettent de conclure (probablement temporairement seulement, étant donné la rapide évolution du Web) sur le sujet.

Un site Web ordinaire qui ne fait que présenter de l'information («vitrine») ne nécessite pas un niveau de sécurité comparable à un site qui permet le commerce électronique, collige de l'information sur ses visiteurs ou permet aux visiteurs d'y échanger des documents. Dans ces derniers cas, la sécurité de l'échange est essentielle et devrait être un pré-requis avant d'y effectuer une transaction.

Il en est premièrement de la responsabilité de l'entreprise gérant le site Internet de mettre en place les moyens techniques, informatifs et de recours pour le visiteur afin de sécuriser la transaction et de leur offrir un environnement confidentielle et sécuritaire.

Il est aussi de la responsabilité des visiteurs d'un site de s'assurer que l'environnement dans lequel (et les outils ordinateur, téléphone, téléphone cellulaire par lesquels) la transaction se produira est sécuritaire; que leurs NIP / mots de passe sont protégés (tant en ligne qu'hors ligne) et qu'il y a un moyen de faire le suivi de ses transactions pour contrôler le tout. Sans la confiance en un site Web, le visiteur ne devrait pas s'aventurer à y faire des transactions commerciales. Le site visité devrait mettre en forte évidence les moyens qui permettent de garantir la sécurité et la confidentialité. La politique de confidentialité et les recours / garanties devraient également faciles à consulter pour le visiteur.

Existe-t-il des moyens infaillibles afin de protéger les transactions électroniques ou qui peuvent en garantir la sécurité?

Ce qui s'en rapproche probablement le plus sont :

- La présence d'un pare-feu pour empêcher les intrusions (pour le commerçant) et un anti-virus à jour pour le particulier (pour bloquer cheval de Troie, «vers», «zombie» ou autres du même acabit).

- Un environnement SSL («Secure Sockets Layer») le petit cadenas et le «https' sur la page Internet.

- Une série de codes d'accès / d'authentification et des mesures de contrôle / suivi de transactions.

- La signature électronique / le certificat électronique (parmi les principaux fournisseurs, on retrouve Entrust, Verisign et Thawte leur logo est affiché sur le site du commerçant).

Les garanties de sécurité proviennent essentiellement de ces éléments et surtout des recours s'il y a problème qui sont mis à la disposition de l'acheteur.

Le site Search Security contient une masse d'information sur le sujet (https://searchsecurity.techtarget.com/).

En ce qui a trait au certificat numérique à l'intérieur de l'entreprise, il sert essentiellement à :

- Authentifier et identifier les individus impliqués dans la transaction.

- Garantir l'intégrité de l'information.

- Assurer la confidentialité de l'information.

- Assurer la non-répudiation de la transaction (on ne peut nier la transaction).

Le certificat protège l'acheteur et le commerçant; ou dans le cas d'un échange de document, l'origine et la destination de l'échange. Pour une entreprise qui héberge son propre site, il devrait y avoir un certificat de serveur. La sécurité du certificat numérique devrait s'accompagner d'un pare-feu, de codes d'accès au système et des mesures de contrôle des transactions. Pour ceux qui veulent en savoir un peu plus sur les clés publiques et la certification numérique, il y a un article intéressant dans @ccélération du CRIM (Centre de recherche informatique de Montréal), No. 9 Automne 2006, page 67.

En conclusion (et dans la série, «Ce soir, on fait peur au monde») : au cours de l'année 2006, un de nos collègues a été victime des fraudes suivantes :

- Transaction erronée ou frauduleuse par l'entremise de PayPal pour environ 25 $ US;

- Enregistrement sur un site Web de rencontres pour une cinquantaine de $ (clairement une fraude d'après ce qu'il assure!!!);

- Transaction par carte de crédit (achat Web) d'environ 100 $;

- Achat de billets d'avion par carte de crédit pour un vol Nashville Lagos, par un Californien, auprès d'une agence de Denver;

- Achat pour 22 000 $ au Canada;

- Tentative d'achat d'un ordinateur en ligne par un résident de Verdun!

- Tentative d'hameçonnage par courriel de son compte bancaire ici à Montréal.

Les sources de ces transactions : probablement l'achat d'un billet d'avion dans une agence de voyage en Asie du Sud Est et la consultation de son compte bancaire sur un ordinateur public (non sécurisé). Depuis qu'il a changé de carte de crédit (nouveau numéro), il n'y a plus de transactions erronées ou frauduleuses.

Il ne faudrait donc pas oublier que les fraudes en ligne et hors ligne peuvent s'entrecouper. La protection de ses propres données personnelles est un minimum requis (!), le suivi des transactions est essentiel et l'utilisation des recours mis en place est le seul moyen de récupérer les sommes en jeu lors des fraudes.

Et oui, notre collègue continue à transiger de façon électronique, mais en étant plus prudent. En fait, aujourd'hui même, il me confiait qu'il y a eu un dépôt de 675 $ dans son compte bancaire, sans qu'il sache d'où cela pouvait venir! Peut-être cela venait-il d'un site de rencontres.

Techno En continu

Techno

Les États-Unis rétablissent l’accès égalitaire à internet, aboli par Trump

(Washington) L’autorité américaine des télécoms a décidé jeudi de rétablir le principe de « neutralité du net », qui garantit l’accès égalitaire à internet et que l’administration Trump avait aboli.

Publié à 12h56
Techno

Critique de la Kobo Libra Colour En couleur et en autonomie

Pour la première fois en près de 14 ans, Kobo lance une liseuse couleur, la Libra Colour, avec une autonomie nettement améliorée. On ne confondra pas son processeur avec celui d’un iPad, mais l’évolution est notable.

Publié à 8h43
Techno

Vie numérique Clins d’œil

Quelques bits de l’actualité numérique

Mis à jour hier à 16h00
Techno

Union européenne TikTok Lite suspend ses récompenses accusées de susciter la dépendance

(Bruxelles) Le réseau social TikTok a annoncé mercredi qu’il suspendait « volontairement » la fonction de sa nouvelle application TikTok Lite qui récompense les utilisateurs pour le temps passé devant les écrans, accusée dans l’UE de susciter la dépendance.

Mis à jour hier à 11h55
01:09

Techno

En Chine, des cours de TikTok pour mieux exporter

(Canton) Dernier jour de cours d’une session de deux semaines dédiées à TikTok : vêtues de hijabs et d’abayas par-dessus leurs shorts et débardeurs, des étudiantes chinoises se filment et s’entraînent à vendre des vêtements sur l’application mondialement connue.

Publié hier à 11h19
Techno

Vie numérique Vous pouvez maintenant discuter avec Facebook

Apparemment, les gens publient moins sur Facebook et Instagram, alors Meta ajoute une nouvelle fonctionnalité : un robot d’intelligence artificielle (IA), et vous pouvez discuter avec lui.

Mis à jour hier à 11h00
Techno

« Souveraineté culturelle et géants numériques » « Nous sommes des nains de jardin »

Il faudrait 32 millions d’écoutes sur Spotify pour qu’un artiste québécois récolte l’équivalent de la vente de 40 000 albums. Les plateformes numériques sont « des voitures qu’on met sur la route pour lesquelles on regarde le nombre de morts avant d’intervenir ». Et les petites nations, comme le Québec ou la Belgique, sont « des nains de jardin » devant le rouleau compresseur des Netflix, Facebook et autres Google.

Mis à jour hier à 7h00
Techno

Chargeur DAO 150W GaN Un clown à prendre au sérieux

Vous n’aurez jamais vu un chargeur aussi rigolo que le DAO 150W GaN, avec ses effets lumineux hallucinogènes, ses animations et son contrôle par une appli. Mais il fait un travail très sérieux en chargeant jusqu’à quatre appareils pour un maximum total de 150 watts. Drôle de bête.

Publié le 23 avril
Techno

Cellulaire Les affirmations des libéraux sur la baisse des prix remise en doute

Alors que le gouvernement fédéral vante les mesures destinées à réduire le coût de la facture de téléphonie cellulaire des Canadiens, certains affirment qu’il existe un décalage entre ce que paient les consommateurs et le discours entourant la baisse des prix.

Publié le 22 avril
Techno

Jeux vidéo Le détenteur de Tomb Raider change de modèle pour se relancer

(Stockholm) Clap de fin pour le géant glouton des jeux vidéo suédois Embracer : fragilisé financièrement par sa frénésie d’acquisitions, le détenteur de la franchise à succès Tomb Raider va se scinder en trois morceaux pour regagner les faveurs des investisseurs.

Publié le 22 avril
Techno

Évêque agressé à Sydney X s’oppose au retrait des contenus liés à l’attaque

(Sydney) Le réseau social X, propriété du milliardaire américain Elon Musk, a contesté samedi l’ordre donné par le régulateur australien eSafety de retirer de la plateforme tous les contenus liés à l’agression d’un évêque dans la banlieue de Sydney.

Publié le 20 avril
Techno

TikTok teste une application rivale à Instagram au Canada

(Toronto) TikTok teste une application qui rivalise avec Instagram au Canada.

Publié le 19 avril
Techno

Chine Apple retire à la demande des autorités les applications WhatsApp et Threads

(Pékin) Apple a retiré WhatsApp et Threads de sa boutique d’applications en Chine à la demande des autorités, rapporte vendredi l’agence Bloomberg qui cite le groupe américain Meta, propriétaire des deux programmes visés.

Publié le 19 avril
Techno

Meta met le turbo dans l’intelligence artificielle générative avec Llama 3

(San Francisco) Meta (Facebook, Instagram) assure que Meta AI, son assistant d’intelligence artificielle (IA) générative, est désormais plus performant grâce à la nouvelle version de son modèle de langage Llama 3, dévoilé jeudi pour faire concurrence aux autres géants de la technologie.

Mis à jour le 18 avril
Techno

Les créateurs devraient divulguer l’usage de l’IA, affirme la sœur de Mark Zuckerberg

(Toronto) Randi Zuckerberg dit croire que les créateurs devraient commencer à révéler s’ils ont utilisé l’intelligence artificielle pour produire des œuvres, car il est « de plus en plus difficile de dire ce qui est réel ».

Mis à jour le 18 avril
Techno

Les modèles actuels d’IA ne sont « pas parfaits », admet le DG de Google News

(Pérouse) Shailesh Prakash, directeur général de Google News, a reconnu jeudi que les modèles actuels d’intelligence artificielle « ne sont pas parfaits du tout » mais « progressent rapidement », quelques semaines après la suspension d’un outil par le groupe américain pour cause d’inexactitudes historiques.

Publié le 18 avril