À l’heure où les internautes français commandent de plus en plus fréquemment en ligne, qu’elle ne fut pas ma surprise lorsqu’un commentaire sur ce dossier m’apprit qu’une enseigne renommée joue avec le feu avec les coordonnées bancaires ce ses clients.
Je tente de marquer le but moi-même
Au premier abord, j’ai douté de cette affirmation. Le moindre petit site géré par un autoentrepreneur ne prend pas ce risque pour faire payer en ligne, alors une enseigne nationale comme BUT, cela me paraissait un peu gros. J’ai donc testé par moi même.
Un peu frustré déjà lors de la création du compte
Ceci peut semble anecdotique, mais dès la création de mon compte client, on m’empêche de mettre un mot de passe fiable. Seuls les chiffres et lettres sont acceptés. Pourtant la règle de base consistant à intégrer des caractères spéciaux est un basique, mais non, chez BUT vous ne pouvez mettre qu’un mot de passe facile à hacker, pas le choix…
"Le champ mot de passe doit être alphanumérique" tiens donc !
La revente de mon mail à des « partenaires »
Ça continue en bas de page. Une pratique illégale est mise en œuvre par BUT, en effet, il me faut expressément cocher une case ( bien planquée en bas de page) si je ne veux pas que mon mail soit utilisé par les « partenaires » de l’enseigne.
Cliquez pour agrandir
Le pompon, une page de transaction bancaire non totalement sécurisée
C’est en arrivant sur la page ou l’on saisit ses données bancaires que je suis resté estomaqué. En effet, la page n’est pas sécurisée de manière globale. Aucun certificat SSL n’a été installé, la page n’est pas en HTTPS.
Ceci veut dire que le serveur auquel vous vous connectez pour transmettre vos données n’est pas identifié formellement. Techniquement on pourrait ne plus être chez but.fr mais sur une page de hacker qui récupérerait vos données (stratégie de l'homme du milieu).
Alors même si ensuite le site but.fr vous redirige vers 3D secure en https, ceci n’empêche en aucun cas vos données bancaires d’être « sniffées » au passage !
Cliquez pour agrandir
Attention, explications :
Concrètement :
Actuellement, le SSL est installé sur une iframe qui contient la partie ou l'on saisit les coordonnées bancaires.
Imaginons que Vous êtes au Mac Do du coin (ou dans n'importe quel endroit ou le wifi est accessible à tous). Un hacker peut facilement se faire passer pour le point d'accès wifi de l'endroit. A partir de la, il peut modifier le code source du de la page de paiement du site (non HTTPS) et remplacer l'Iframe pour intercepter les coordonnées bancaires. Il aurait été tellement plus simple de passer le site intégralement en SSL !
La communication de BUT nous promet pourtant 100 % de sécurité
Que ce soit dans le bandeau supérieur avec un logo « Paiement 100 % sécurisé / cryptage sécurisé » mais aussi sur un petit encart de rappel, ou bien sur la page dédié à la sécurité du site, but.fr nous assure pourtant de manière éhontée que les transactions bancaires sont bien sécurisées sur son site.
Cliquez pour agrandir
Cliquez pour agrandir
Que faut-il en conclure ?
MEFIEZ-VOUS !
Ce n’est pas parce que vous êtes sur le site d’une grande enseigne reconnue que vous devez foncer les yeux fermés. Le bla bla marketing et les jolis logos ne remplacent pas une petite vérification simple. Lorsque vous achetez en ligne, la page de paiement doit TOUJOURS comporter une URL en HTTPS et/ou le petit cadenas. Sans cela, même avec une iframe en SSL comme c'est le cas dans l'exemple de but, le risque existe toujours !
La réponse de BUT
Merci de nous donner l'opportunité de nous exprimer au sujet de votre article. Nous souhaitions clarifier certains points avec vous.
En ce qui concerne la "revente de votre mail à des partenaires", voici la règlementation de la CNIL :
=> L'opt-in concerne les e-mails, les SMS, les MMS et le fax. L'envoi de ce type de communication nécessite le consentement de l'internaute, ce qui est le cas ici à l'aide des 2 cases à cocher.
=> l'opt-out concerne l'envoi de courrier par voie postale ou les communications par téléphone. En l'occurrence, à défaut de s'opposer à recevoir des publicités, l'internaute pourra en recevoir, ce qui est le cas.
Plus d'informations à ce sujet sur le site de la CNIL : https://www.cnil.fr/fr/cnil-direct/question/514
A propos de la page de paiement "non sécurisé". Nous sommes effectivement en train de migrer tout le site BUT.fr en https. Ce sera fait sous peu. Cependant, je peux vous assurer qu'aucune coordonnée bancaire n'est transmise en clair. Nous utilisons un widget de notre prestataire de paiement, PayLine qui, lui, est entièrement en https. Ainsi, aucune donnée bancaire ne transite en clair. Il est donc impossible de "sniffer" ces données. Les transactions bancaires sont bel et bien sécurisées, même si la page entière, elle, ne l'est pas. Et je peux vous assurer qu'elle le sera sous peu.
Merci pour votre vigilance concernant ces notions de sécurité et de gestion des données personnelles dans le e-commerce français. Nous prenons ce sujet tout aussi au sérieux que vous.
Je reste à votre disposition si vous souhaitez éventuellement en discuter avec notre CTO.
Bonne journée,
Will
A lire en complément : Qu'est-ce qu'une attaque par l'homme du milieu ?
Hallucinant !
Dommage, manque de sérieux ... , mais pas franchement étonnant.
Cela doit être un projet dans une liste sans fin d'autres projets bloqués pour des raisons obscures par des gens mal in-formés, in-compétents ou d'une volonté discutée ou discutable.
Bienvenu dans la parfois triste réalité des annonceurs
( non je n'ai pas assombri le tableau 😛 )
Peut-être que le site de cette enseigne s'est fait transmuter dans les décennies passées par une vilaine sorcière d'Halloween ! 😉
Je plaisante, mais ce n'est pas drôle pourtant. La communication numérique et le e-commerce ne devraient jamais être pris à la légère, encore moins par de grandes enseignes qui devraient montrer une voie exemplaire à leurs petites soeurs.
Franchement assez incroyable pour la partie saisie de carte bancaire sans certificat SSL (je ne pensai pas que possible même) !
Pour le reste (création du compte avec MDP simple et truc pour vendre adresse mail aux partenaires) c'est encore malheureusement visible couramment.
En esperant que cet article fera bouger les choses chez BUT...
Incroyable pour une entreprise comme celle là !
Nous avons fait le nécessaire il y a peu sur notre site mais je croyais que c'était presque une obligation maintenant.
Que dit la loi ?
Wouah ! Quelle légèreté de la part de cette enseigne ! Merci pour ce focus
Il me semblait que si Google s'en apercevait il était capable de désindexer un site le temps que la correction soit effectuée.
@ Thomas
Là c'est touchy car l'iframe est bien sécurisée...
Mais c'est le mode d'intégration en iframe qui rend le procédé peu fiable.
Bref, je ne sais pas si Google ferait quelque chose dans ce cas.
S'ils font la même chose pour le SEO que la sécurité je ne suis pas étonné..... Très bel article
Hello,
Pendant longtemps le site de l'INPI proposait un paiement par CB mais sans aucune sécurité même en iframe...
Et contrairement, on ne pouvait pas aller voir la concurrence lorsque l'on souhaitait déposer une marque.
@Sylvain : je souhaiterai nuancer les propos au sujet du mot de passe et la complexité (apparente) et apporter quelques précisions.
nota : on voit cette erreur ou plutôt ce manque de précision (puisque cette affirmation est vraie ET incomplète) un peu partout …
C'est principalement la longueur d'un mot de passe qui renforce la sécurité de ce dernier et non le nombre de symboles utilisés dans l'"alphabet" (l'utilisation de caractères spéciaux).
Je m'explique … même je suppose que bon nombre de lecteurs ici en ont conscience !
En faisant une vérification ici :
voire ici : https://fr.wikipedia.org/wiki/Attaque_par_force_brute
nota : longueur de 8 char (maintenant 12) a été longtemps la valeur recommandée et depuis considérée comme non fiable, d’où les mécanismes de double auth répandus maintenant chez la plupart des fournisseurs (et les piratages connus) ou autre mécanisme de protections sur les sites de VPC …
Selon la nature du mot de passe, ce serait plutôt 20 voire 25 char à utiliser (force de 128 bits ou plus) …
Vous constaterez ici que la "complexité" a bien moins d'impact que la longueur :
- un mot de passe de 8 caractères avec des caractères A,a,0 (62 symboles) correspond à 48 bit.
- un mot de passe de 8 caractères avec des caractères A,a,0,$ (70 symboles) correspond à 49 bits .
- un mot de passe de 8 caractères avec des caractères A,a,0,$,] (90 symboles) correspond à 52 bits.
Bref, la différence n'est pas énorme …
Par ailleurs, plus on ajoute de caractères complexes, moins un humain peut le retenir … (même si on peut utiliser des moyens mnemotechniques, cf un vieille article rédigé y'a 4 ans : http://anima-ex-machina.fr/comment-conserver-et-gerer-des-mots-de-passe-forts/ ) …
Par contre si on passe d'une longueur de 8 à 10 (en 62 symboles) : on passe de 48 à 60 bit.
Donc c'est bien plus fort que 8 char spéciaux …
Deux méthodes pour résoudre le pb de longueur :
- une association de mots avec séparateur : hache-golden-poney-taille-gras (facile à retenir et long) i.e 30 char de minuscules simples correspond à 141 bits …
- l'utilisation d'un gestionnaire de mot de passe avec un mot de passe fort et cryptage du disque interne (et mot de passe long générer pour le gestionnaire > 30 char en longueur avec 90 symboles)
> ceinture et bretelle …
Bref, la sécurité sera OK sur ce plan … donc les attaques seront orientées sur d'autres faiblesses … 😀
Désolé pour le hors sujet
Sebastien
Encore plus dingue de ta constatation, c'est la réponse de BUT qui semble bien jouer avec la limite mais, qui, en aucun cas, ne semble soucieux de l'expérience utilisateur. Très moche mais ce ne sont pas les seuls malheureusement !
Ils sont bien gentil BUT, je vous aurais fait un procès pour calomnie concernant la partie "La revente de mon mail à des « partenaires »".
Vous dîtes "Une pratique illégale est mise en œuvre par BUT, en effet, il me faut expressément cocher une case ( bien planquée en bas de page) si je ne veux pas que mon mail soit utilisé par les « partenaires » de l’enseigne." alors que dans votre screenshot il y a bien le NON précoché à la question "Je souhaite être informé des offres commerciales des partenaires BUT".
@ José
Je vous invite à mieux regarder le screenshot, ou bien à aller sur le site... plutôt que de parler de procès, car vous le perdriez.
Il y a deux cases... dont une (la moins visible) qui doit être cochée pour que les coordonnées ne soient pas partagées avec des "Partenaires"...
Par défault, elle est décochée et je ne pense pas qu'il y ai beaucoup de gens qui vont aller lire les petites lignes...
D'autres parts, la première case est cochée à "NON" car je l'ai cochée lors de mon test.
Bref, vérifiez avant de commenter...
Que la 1ère case soit coché ou non ça ne change rien à ce que je dis vu que la question est posé de façon opt-in.
Pour la case numéro 2, ça ne parle pas de diffuser vos infos privées à des boites dans le but de vous faire de la pub ciblé, ceci est illégal en opt-out on est d'accord. Ça parle dans un premier temps d'interdire au commerciaux de BUT de vous appelez pour vous vendre leurs produits et de vous spammer de prospectus. Concernant le reste du paragraphe, ça ne parle pas de partenaires (au sens boites de commerciaux vautour) mais de PRESTATAIRES TECHNIQUES. Il existe plein de cas où l'entreprise est obligé de partager vos infos avec leurs prestataires et ce n'est en rien illégal.
Par exemple quand vous achetez un truc sur internet il faut bien qu'on vous le livre non? Vous gueulez contre le commerçant car il a donné votre adresse au livreur?
Autre exemple votre hébergeur possède aussi toutes les infos des clients vu qu'il a un accès physique aux données et donc à la base de données.
@ José
OK, la 2e case que la plupart des gens ne verrons et cocheront pas permet à But de vous pourrir de PUB par téléphone (dans la boite aux lettres c'est déjà fait).
C'est tout à fait le genre de pratique piégeuse que les consommateurs détestent et ce n'est évidement pas une case à cocher comme les autres mais bien une case placée après le bouton de validation et qui permet à But de vous spammer par telephone si vous oubliez de la cocher.
Vos histoires de prestataires techniques n'ont rien à voir. Pour cette case on parle expressément "d'informations", de nouveautés et d'offres commerciales.
"Nous sommes effectivement en train de migrer tout le site BUT.fr en https. Ce sera fait sous peu." Quand même pour une enseigne de cette taille cela devrait déjà être du passé.
Mais bon je ne suis pas surpris, l'année dernière un de mes clients, une grande banque étrangère n'était pas encore passé en HTTPS avant que je consulte pour eux... Une banque quand même...
Merci pour cet article !