Génération 2.0

Voici un article qui répond à la question que je posais dans mon premier article sur le thème 3D Secure, que vous pouvez lire ici. Cet article a été publié sur http://pro.01net.com  le 21/01/2010 par Gilbert Kallenborn.

Deux chercheurs britanniques pointent les nombreuses faiblesses de ce nouveau protocole de paiement en ligne, adopté par Visa et Mastercard.

Ross Anderson a de nouveau frappé. La semaine dernière, le professeur de l'université de Cambridge a défrayé la presse française, car il avait exploité une faille dans la sécurité des cartes bancaires. Il s'attaque maintenant, avec son collègue Steven Murdoch, au protocole de paiement en ligne 3D Secure. Adopté par Visa et Mastercard, celui-ci vise à sécuriser davantage les ventes sur Internet, en ajoutant une étape d'authentification dans la transaction (entrée d'un mot de passe, de la date de naissance, du code postal de résidence, d'un code spécial lié à la transaction, etc.).    

Dans un article de sept pages, les deux chercheurs expliquent que ce système regorge en fait de faiblesses et qu'il est un exemple de ce qu'il ne faut pas faire d'un point de vue sécurité. Ainsi, l'authentification se fait dans un iframe, un élément HTML qui permet d'intégrer un page dans une autre. Du coup, la page d'authentification ne dispose pas d'URL, et l'internaute de peut pas vérifier son origine. C'est la porte ouverte au phishing et aux attaques par interception.

Ensuite, chez de nombreuses banques, le choix du mot de passe s'effectue lors d'un premier achat avec 3D Secure. « Le consommateur est d'abord intéressé par son achat en ligne et le choix du mot de passe devient secondaire. Il est probable que leur choix sera de mauvaise qualité », expliquent les chercheurs dans leur article. Quant aux informations personnelles – date de naissance, code postal... –  elles peuvent facilement être retrouvées par des hackers dans des bases de données publiques.

Enfin, les chercheurs soulignent le manque de protection de l'acheteur. En cas de fraude, les commerçants ont la garantie d'être payés. L'utilisateur, en revanche, pourra être tenu pour responsable en cas de mauvaise utilisation du système (gestion négligente du mot de passe, par exemple).

Conclusion : 3D Secure n'est pas au point. Le système est à revoir.

____________________________________________________________

Génération 2.0 est une agence de veille numérique, de gestion de la réputation et de recrutement de community managers. Retrouvez nos offres et nos tarifs sur www.generation2-0.fr et suivez-nous sur Twitter (generation2_0) et sur Facebook (page fan Génération 2.0).