Monthly Archives: December 2009

fr, vie privée

La sécurité des paiements chez rueducommerce.com

13 Comments

Parfois la sécurité informatique telle qu’elle est mise en oeuvre par les commerçants en ligne me fait rigoler… jaune.

Hier soir j’ai réalisé une commande de Noël payée par carte bancaire sur www.rueducommerce.com.

Ce matin je reçois de leur part un courrier électronique dont voici un extrait :

Nous vous demandons de nous adresser, afin de valider votre commande, une copie recto verso de la carte bancaire ayant servi au règlement de votre commande en prenant soin de ne laisser apparaître que les 4 premiers et 2 derniers chiffres du numéro sur l’avant et en masquant le cryptogramme sur l’arrière de la carte (ce qui garantit la sécurité totale de votre envoi et empêche toute utilisation de la carte). Nous vous remercions d’accompagner ce document d’une copie de votre pièce d’identité.

Je passe sur les entêtes MIME incomplets du courrier en question qui bousillent la visibilité correcte des accents, et sur le laïus habituel « c’est pour votre sécurité ».

J’ai l’impression que rueducommerce.com se bidouille elle-même sa propre procédure de sécurité avec un résultat imparfait : je n’ai jamais vu ça ailleurs. En somme, rueducommerce.com me demande de compromettre ma propre sécurité au bénéfice de la sienne. Ce n’est pas explicité dans les conditions générales de vente, qui parlent uniquement de justificatif de domicile et d’identité et se gargarisent de l’utilisation de SSL pour protéger la transaction ; ce n’est pas non plus cité dans les engagements de la société. Je trouve ce procédé limite en ce qui concerne la franchise préalable à l’égard du client potentiel. Et alors que ma banque prévoit une vraie procédure de sécurité renforcée avec mot de passe à utilisation unique pour protéger les transactions carte bancaire via leur site web, celle-ci n’a pas été utilisée par rueducommerce.com. D’autres banques proposent des procédures similaires (vérification de la date de naissance du porteur, etc).

D’ailleurs, petit jeu : qui voit où est le problème de sécurité si on applique à la lettre les instructions ci-dessus ? C’est tout bête.

Apparemment cette procédure n’est pas nouvelle et je ne suis pas le seul à la trouver pénible.

Extraits de la réponse du modérateur de leur forum :

La vérification d’identité est pratiquée par tous les grands sites internet dans le monde, pour lutter contre la fraude à la carte bancaire

Faux : amazon, un des plus gros sites de vente, ne le fait pas.

Si notre service vous demande des pièces et que l’adresse est de RueDuCommerce, alors la demande est valable.

Faux : si on pouvait compter sur l’adresse d’origine indiquée dans les mails, ça se saurait… rueducommerce.com ne semble pas connaître le phishing.

Je n’ai rien contre les mesures de sécurité, mais encore faut-il qu’elles ne soient pas à moitié stupides… J’espère au moins que cette procédure surprise qui a déjà fait perdre une journée à ma commande ne me fera pas louper la livraison avant Noël. Si vous faites des commandes de dernière minute sur leur site, méfiez-vous !

 

Mise à jour 5 juin 2014

Laurent Penou me signale sur twitter que la recommandation suivante a été adoptée en novembre 2013, J.O. du 6 décembre 2013 :

La commission considère également que le responsable de traitement, ou son prestataire, ne peut demander la transmission de la photocopie ou de la copie numérique du recto et/ou du verso de la carte de paiement même si le cryptogramme visuel et une partie des numéros sont masqués. En effet, la transmission de ce document n’est pas compatible avec les obligations de sécurité et les conditions d’utilisation que doit respecter le titulaire de la carte de paiement conformément à l’article L. 133-16 du code monétaire et financier.

Mise à jour 6 juin 2014

@bituur_esztreym sur twitter me signale cette délibération n°2013-045 du 28 février 2013 qui demande explicitement l’arrêt du système par courriel :

Par ailleurs, la société RdC reçoit les pièces justificatives susmentionnées par courriel.
Or, l’article 34 de la loi du 6 janvier 1978 modifiée dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Conformément à ces dispositions, la société RdC s’est engagée à assurer une transmission sécurisée des pièces justificatives en mettant à la disposition de ses clients, sur la page de leur compte individuel en ligne, un formulaire spécifique permettant le téléchargement de ces pièces.

Trains

La ligne Bergen – Oslo en haute définition

1 Comment

Pour les amateurs de trains ou de jolis paysages, la télévision norvégienne (NRK) de diffuse en Bittorrent une vidéo HD réalisée dans la cabine de conduite du train Bergen – Oslo (merci Philippe). [lien direct sur le torrent]

J’ai parcouru la ligne dans l’autre sens en 2001 et l’arrêt au milieu des glaciers vaut le détour ; avec les touristes japonais qui descendent du train pour se faire photographier par leurs amis, puis remontent d’extrême justesse avant le départ. Heureusement, le contrôleur a l’habitude…

La vidéo n’est diffusée sur Internet « qu » ‘en 1280×720, ce qui représente tout de même 22 Go à télécharger. Il m’a fallu 735 minutes… il semblerait que j’aie eu de la chance (et/ou une configuration correcte de mes filtres IP).

fr, vie privée, Weberies 2.0

Google, Internetactu et OVH…

Exemple vécu ce jour, qui (m’)aide à comprendre en quoi le DNS Google peut, éventuellement, servir à quelque chose. Les fournisseurs d’accès ont bon dos (il est de bon ton de leur tirer dessus, et ni Google ni OpenDNS ne se sont gênés), mais souvent ce sont les sites d’origine qui ne gèrent pas correctement leur DNS.

Ainsi, aujourd’hui tous les serveurs DNS du site internetactu.net (deux serveurs DNS chez l’hébergeur à bas coût OVH) sont actuellement en carafe :

% dig www.internetactu.net
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 17958

% dig ns internetactu.net
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 14783

% dig +norecurse ns internetactu.net
;; AUTHORITY SECTION:
internetactu.net.       172652  IN      NS      ns352862.ovh.net.
internetactu.net.       172652  IN      NS      sdns1.ovh.net.

Qu’en pense OpenDNS ?

% dig @208.67.222.222  www.internetactu.net
;; connection timed out; no servers could be reached

Pas glorieux…

Qu’en pense Google Public DNS ?

% dig @8.8.8.8 www.internetactu.net
www.internetactu.net.   72852   IN      A       91.121.87.216

La bonne réponse.

La question « naturelle » que l’on peut se poser, et qui n’est pas neutre au vu de ce qui précède : est-ce un effet « normal » de cache DNS, ou Google effectue-il de la mise en cache « agressive » et au delà des spécifications du DNS pour donner des réponses de meilleure qualité ? (la mise en cache agressive est avérée, elle a été annoncée lors de l’ouverture du service).

Ironie suprême, j’ai découvert la panne qui précède en tentant d’aller consulter sur ledit site des articles sur la Googlisation de nos vies (trouvés via un article du Standblog trouvé via Stéphane).

fr

Beurre et argent du beurre

Une “contribution” de 1 euro sur les abonnements à Internet pour la musique ?

La Sacem et l’Adami, les deux principaux organismes qui gèrent les droits des musiciens en France, se sont mis d’accord pour demander la création d’une nouvelle “contribution”, prélevée sur les abonnements à Internet. Cette taxe est nécessaire, jugent les organisations, pour compenser les pertes subies par l’industrie musicale depuis le début des années 2000, que la Sacem estime à 750 millions d’euros depuis 2003.

[…]

“Sur le principe, nous ne sommes pas d’accord : pour nous, cela revient à envoyer un signal qui dit : ‘c’est interdit de pirater mais vous payez pour le piratage.’ Cela ne viendrait à l’idée de personne d’instaurer, par exemple, une taxe sur la drogue !, déclare David El Sayegh, le directeur du SNEP. Bruno Boutleux, le directeur de l’Adami, préfère utiliser une autre métaphore : “C’est plutôt comme l’éco-participation : ce n’est pas parce que je la paie quand j’achète un sèche-cheveux que cela me donne le droit de le jeter dans une forêt. En aucun cas il ne s’agit d’une licence globale.”

Après la bonne vieille taxe CD supposée compenser le piratage sans le légaliser, qui subsiste bien qu’elle ait été jugée illégale (en termes juridiques on appelle cela du recel), voici une proposition de nouvelle taxe toujours supposée compenser le piratage, toujours sans le légaliser.

fr, Geek stuff, Weberies 2.0

Google public DNS

8 Comments

Google a annoncé hier un nouveau service d’ordre assez technique mais à vocation grand public : Google public DNS (merci à Philippe de Blue Pipe).

Je profite lâchement de l’absence aux JRES d’un des principaux bloggeurs français spécialistes pour donner mon grain de sel avant lui sur la question, même s’il m’a lui même gentiment fourni les pointeurs idoïnes vers sa littérature 🙂

Il s’agit « simplement » d’un service supposé remplacer les serveurs DNS récursifs que vous utilisez, soit ceux de votre fournisseur d’accès (cas le plus courant), soit ceux d’un service « ouvert » (cas moins courant et peu recommandé).

À quoi cela peut-il bien servir ?

Réponse rapide pour gens pressés : en gros… à rien ! Chaque fournisseur de connectivité gère ses propres serveurs, bien en général, et cela reste le plus souvent la meilleure solution (la vraiment meilleure solution technique étant dans la plupart des cas d’avoir chez vous un cache DNS local). Et si votre fournisseur ne gère pas correctement ses serveurs, il est temps de changer de boutique, pas juste de serveur DNS.

Mais ce nouveau service de Google a tout de même plusieurs intérêts notables.

Continue reading Google public DNS

fr, Geek stuff, Trains, Weberies 2.0

Applications Android

1 Comment

Depuis plusieurs mois, grâce à un généreux bienfaiteur, je dispose d’un téléphone Android.

Les applications sur le marché Android sont nombreuses et on peut louper facilement des perles. Ainsi Sam m’a fait découvrir récemment l’application « Gares en direct » que j’avais complètement loupée. D’où l’intérêt de discuter avec les amis…

Voici donc mes applications préférées, au cas où ça puisse servir à quelqu’un. Pour certaines d’entre elles je n’ai pas mis de lien, soit parce qu’elles sont déjà fournies d’origine avec Android, soit parce que je n’ai pas trouvé de pointeur hors du marché Android. Ironie du sort, http://www.android.com/market/ ne comporte pas de champ « recherche »… un comble !

Continue reading Applications Android