La sécurité des paiements chez rueducommerce.com

Parfois la sécurité informatique telle qu’elle est mise en oeuvre par les commerçants en ligne me fait rigoler… jaune.

Hier soir j’ai réalisé une commande de Noël payée par carte bancaire sur www.rueducommerce.com.

Ce matin je reçois de leur part un courrier électronique dont voici un extrait :

Nous vous demandons de nous adresser, afin de valider votre commande, une copie recto verso de la carte bancaire ayant servi au règlement de votre commande en prenant soin de ne laisser apparaître que les 4 premiers et 2 derniers chiffres du numéro sur l’avant et en masquant le cryptogramme sur l’arrière de la carte (ce qui garantit la sécurité totale de votre envoi et empêche toute utilisation de la carte). Nous vous remercions d’accompagner ce document d’une copie de votre pièce d’identité.

Je passe sur les entêtes MIME incomplets du courrier en question qui bousillent la visibilité correcte des accents, et sur le laïus habituel « c’est pour votre sécurité ».

J’ai l’impression que rueducommerce.com se bidouille elle-même sa propre procédure de sécurité avec un résultat imparfait : je n’ai jamais vu ça ailleurs. En somme, rueducommerce.com me demande de compromettre ma propre sécurité au bénéfice de la sienne. Ce n’est pas explicité dans les conditions générales de vente, qui parlent uniquement de justificatif de domicile et d’identité et se gargarisent de l’utilisation de SSL pour protéger la transaction ; ce n’est pas non plus cité dans les engagements de la société. Je trouve ce procédé limite en ce qui concerne la franchise préalable à l’égard du client potentiel. Et alors que ma banque prévoit une vraie procédure de sécurité renforcée avec mot de passe à utilisation unique pour protéger les transactions carte bancaire via leur site web, celle-ci n’a pas été utilisée par rueducommerce.com. D’autres banques proposent des procédures similaires (vérification de la date de naissance du porteur, etc).

D’ailleurs, petit jeu : qui voit où est le problème de sécurité si on applique à la lettre les instructions ci-dessus ? C’est tout bête.

Apparemment cette procédure n’est pas nouvelle et je ne suis pas le seul à la trouver pénible.

Extraits de la réponse du modérateur de leur forum :

La vérification d’identité est pratiquée par tous les grands sites internet dans le monde, pour lutter contre la fraude à la carte bancaire

Faux : amazon, un des plus gros sites de vente, ne le fait pas.

Si notre service vous demande des pièces et que l’adresse est de RueDuCommerce, alors la demande est valable.

Faux : si on pouvait compter sur l’adresse d’origine indiquée dans les mails, ça se saurait… rueducommerce.com ne semble pas connaître le phishing.

Je n’ai rien contre les mesures de sécurité, mais encore faut-il qu’elles ne soient pas à moitié stupides… J’espère au moins que cette procédure surprise qui a déjà fait perdre une journée à ma commande ne me fera pas louper la livraison avant Noël. Si vous faites des commandes de dernière minute sur leur site, méfiez-vous !

 

Mise à jour 5 juin 2014

Laurent Penou me signale sur twitter que la recommandation suivante a été adoptée en novembre 2013, J.O. du 6 décembre 2013 :

La commission considère également que le responsable de traitement, ou son prestataire, ne peut demander la transmission de la photocopie ou de la copie numérique du recto et/ou du verso de la carte de paiement même si le cryptogramme visuel et une partie des numéros sont masqués. En effet, la transmission de ce document n’est pas compatible avec les obligations de sécurité et les conditions d’utilisation que doit respecter le titulaire de la carte de paiement conformément à l’article L. 133-16 du code monétaire et financier.

Mise à jour 6 juin 2014

@bituur_esztreym sur twitter me signale cette délibération n°2013-045 du 28 février 2013 qui demande explicitement l’arrêt du système par courriel :

Par ailleurs, la société RdC reçoit les pièces justificatives susmentionnées par courriel.
Or, l’article 34 de la loi du 6 janvier 1978 modifiée dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Conformément à ces dispositions, la société RdC s’est engagée à assurer une transmission sécurisée des pièces justificatives en mettant à la disposition de ses clients, sur la page de leur compte individuel en ligne, un formulaire spécifique permettant le téléchargement de ces pièces.

La ligne Bergen – Oslo en haute définition

Pour les amateurs de trains ou de jolis paysages, la télévision norvégienne (NRK) de diffuse en Bittorrent une vidéo HD réalisée dans la cabine de conduite du train Bergen – Oslo (merci Philippe). [lien direct sur le torrent]

J’ai parcouru la ligne dans l’autre sens en 2001 et l’arrêt au milieu des glaciers vaut le détour ; avec les touristes japonais qui descendent du train pour se faire photographier par leurs amis, puis remontent d’extrême justesse avant le départ. Heureusement, le contrôleur a l’habitude…

La vidéo n’est diffusée sur Internet « qu » ‘en 1280×720, ce qui représente tout de même 22 Go à télécharger. Il m’a fallu 735 minutes… il semblerait que j’aie eu de la chance (et/ou une configuration correcte de mes filtres IP).

Google, Internetactu et OVH…

Exemple vécu ce jour, qui (m’)aide à comprendre en quoi le DNS Google peut, éventuellement, servir à quelque chose. Les fournisseurs d’accès ont bon dos (il est de bon ton de leur tirer dessus, et ni Google ni OpenDNS ne se sont gênés), mais souvent ce sont les sites d’origine qui ne gèrent pas correctement leur DNS.

Ainsi, aujourd’hui tous les serveurs DNS du site internetactu.net (deux serveurs DNS chez l’hébergeur à bas coût OVH) sont actuellement en carafe :

% dig www.internetactu.net
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 17958

% dig ns internetactu.net
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 14783

% dig +norecurse ns internetactu.net
;; AUTHORITY SECTION:
internetactu.net.       172652  IN      NS      ns352862.ovh.net.
internetactu.net.       172652  IN      NS      sdns1.ovh.net.

Qu’en pense OpenDNS ?

% dig @208.67.222.222  www.internetactu.net
;; connection timed out; no servers could be reached

Pas glorieux…

Qu’en pense Google Public DNS ?

% dig @8.8.8.8 www.internetactu.net
www.internetactu.net.   72852   IN      A       91.121.87.216

La bonne réponse.

La question « naturelle » que l’on peut se poser, et qui n’est pas neutre au vu de ce qui précède : est-ce un effet « normal » de cache DNS, ou Google effectue-il de la mise en cache « agressive » et au delà des spécifications du DNS pour donner des réponses de meilleure qualité ? (la mise en cache agressive est avérée, elle a été annoncée lors de l’ouverture du service).

Ironie suprême, j’ai découvert la panne qui précède en tentant d’aller consulter sur ledit site des articles sur la Googlisation de nos vies (trouvés via un article du Standblog trouvé via Stéphane).

Beurre et argent du beurre

Une “contribution” de 1 euro sur les abonnements à Internet pour la musique ?

La Sacem et l’Adami, les deux principaux organismes qui gèrent les droits des musiciens en France, se sont mis d’accord pour demander la création d’une nouvelle “contribution”, prélevée sur les abonnements à Internet. Cette taxe est nécessaire, jugent les organisations, pour compenser les pertes subies par l’industrie musicale depuis le début des années 2000, que la Sacem estime à 750 millions d’euros depuis 2003.

[…]

“Sur le principe, nous ne sommes pas d’accord : pour nous, cela revient à envoyer un signal qui dit : ‘c’est interdit de pirater mais vous payez pour le piratage.’ Cela ne viendrait à l’idée de personne d’instaurer, par exemple, une taxe sur la drogue !, déclare David El Sayegh, le directeur du SNEP. Bruno Boutleux, le directeur de l’Adami, préfère utiliser une autre métaphore : “C’est plutôt comme l’éco-participation : ce n’est pas parce que je la paie quand j’achète un sèche-cheveux que cela me donne le droit de le jeter dans une forêt. En aucun cas il ne s’agit d’une licence globale.”

Après la bonne vieille taxe CD supposée compenser le piratage sans le légaliser, qui subsiste bien qu’elle ait été jugée illégale (en termes juridiques on appelle cela du recel), voici une proposition de nouvelle taxe toujours supposée compenser le piratage, toujours sans le légaliser.

Google public DNS

Google a annoncé hier un nouveau service d’ordre assez technique mais à vocation grand public : Google public DNS (merci à Philippe de Blue Pipe).

Je profite lâchement de l’absence aux JRES d’un des principaux bloggeurs français spécialistes pour donner mon grain de sel avant lui sur la question, même s’il m’a lui même gentiment fourni les pointeurs idoïnes vers sa littérature 🙂

Il s’agit « simplement » d’un service supposé remplacer les serveurs DNS récursifs que vous utilisez, soit ceux de votre fournisseur d’accès (cas le plus courant), soit ceux d’un service « ouvert » (cas moins courant et peu recommandé).

À quoi cela peut-il bien servir ?

Réponse rapide pour gens pressés : en gros… à rien ! Chaque fournisseur de connectivité gère ses propres serveurs, bien en général, et cela reste le plus souvent la meilleure solution (la vraiment meilleure solution technique étant dans la plupart des cas d’avoir chez vous un cache DNS local). Et si votre fournisseur ne gère pas correctement ses serveurs, il est temps de changer de boutique, pas juste de serveur DNS.

Mais ce nouveau service de Google a tout de même plusieurs intérêts notables.

Continue reading Google public DNS

Applications Android

Depuis plusieurs mois, grâce à un généreux bienfaiteur, je dispose d’un téléphone Android.

Les applications sur le marché Android sont nombreuses et on peut louper facilement des perles. Ainsi Sam m’a fait découvrir récemment l’application « Gares en direct » que j’avais complètement loupée. D’où l’intérêt de discuter avec les amis…

Voici donc mes applications préférées, au cas où ça puisse servir à quelqu’un. Pour certaines d’entre elles je n’ai pas mis de lien, soit parce qu’elles sont déjà fournies d’origine avec Android, soit parce que je n’ai pas trouvé de pointeur hors du marché Android. Ironie du sort, http://www.android.com/market/ ne comporte pas de champ « recherche »… un comble !

Continue reading Applications Android

Didier Lombard découvre Internet

Dans une interview à ZDnet, Didier Lombard découvre que le métier d’opérateur Internet est une activité à faible marge. Inutile de dire que cela ne lui plaît pas :

“Les choses ont changé. Au départ, Internet exploitait un réseau amorti depuis des années, celui de la paire de cuivre. Le problème du retour sur investissement ne se posait pas.”, a-t-il déclaré lors d’une conférence.

“Mais aujourd’hui, les réseaux de nouvelle génération exigent des investissements colossaux, il faut donc trouver un partage équitable avec les éditeurs de contenus et de services”. Le message est clair.

Lors de ces mêmes journées de l’Idate en 2008, il affirmait qu’aucune sociétés nouvelles de l’Internet comme Google ou eBay n’ont contribué significativement au financement des infrastructures. “Il est nécessaire de s’assurer que les investisseurs reçoivent une rémunération à hauteur des risques pris. Or, le modèle basé sur l’audience créé le risque d’une décorrélation entre là où les investissements sont faits et là où les revenus générés par ces investissements sont collectés”.

Pour Didier Lombard, les européens dépensent sans compter pour les tuyaux mais les revenus publicitaires générés par l’augmentation du trafic vont directement aux Etats-Unis.

Après avoir essayé de faire payer le client l’usager (on appelait ça le Minitel : ça n’a marché qu’un temps), nos opérateurs de télécoms reconvertis en opérateurs de réseaux informatiques veulent essayer de faire payer le fournisseur de contenu…

Réglementation SNCF/RFF

Les « RFC » du RFN (Réseau Ferré National) sont disponibles…

Vous avez toujours voulu lire le document original du règlement SNCF S1, cité régulièrement en référence par les revues ferroviaires pour faire chic mais difficile à trouver ? Voici comment y accéder, comme expliqué sur http://pagesperso-orange.fr/geillon/trains/signaux/ (pages de Xavier Geillon) :

En France, l’Etablissement Public de Sécurité Ferroviaire est chargé de la règlementation et de son contrôle sur les voies ferrées du réseau national. Il offre la possibilité de télécharger sur son site tous les manuels de signalisation.
Allez dans la colonne de droite et ouvrez “Règlement de sécurité applicable sur le RFN”; commencez par télécharger le dernier document “Arrêté du 23 juin 2003 relatif à la règlementation de sécurité applicable sur le RFN” qui constitue la table des matières.

La procédure a un petit côté Minitélien car les liens directs ne semblent pas fonctionner sur le site d’origine. Mais ne chipotons pas.

On y trouve beaucoup de choses, de la signification de la signalisation avec les règles de franchissement des signaux fermés, jusqu’aux tableaux de paramétrage du système KVB, en passant par les règles d’implantation des passages à niveau ou les procédures d’exploitation en voie unique.

Quelques lectures recommandées sur la signalisation : IN 2379, IN 1482, IN 1490, IN 3032.

Mise à jour : d’autres documents techniques intéressants se trouvent dans la catégorie Les référentiels de l’EPSF

La fin en vue pour les vidéos Flash ?

Les applications du tag <video>, popularisé par Firefox 3.5 en application de HTML5, commencent à se concrétiser : on trouve depuis peu un emballage expérimental pour Youtube, et le site français Dailymotion propose officiellement une version « ouverte et standard » (quoiqu’expérimentale là aussi) de son site. Ce dernier fonctionne avec Firefox 3.5, malgré quelques avertissements sur un plugin qui manquerait à mon installation.

Les applications permettant de supporter (au sens français) Flash, comme youtube_dl, ont en effet leurs limites : Youtube n’est pas le seul site de ce type, et les webmestres ne font généralement pas l’effort de proposer un accès direct aux fichiers vidéo .flv qui simplifierait grandement la vie des non-flasheux.

Tout n’est pas encore parfait, entre les problèmes de licence de streaming pour Firefox 3.5 et les fréquents plantages en “Segmentation fault” du même. Mais le progrès est appréciable, et ceux qui passent aujourd’hui pour des extraterrestres lorsqu’ils ont l’outrecuidance de rappeler que Flash n’est pas le web peuvent se réjouir ! C’était d’ailleurs le but de Dailymotion qui s’en félicite « ouvertement ».

Il ne reste plus qu’à attendre que Google/Youtube passe pour un précurseur en suivant la voie maintenant tracée…

À nous les vidéos débilissimes et chronophages !

La chute du mur ?

En ce 9 novembre, journée de mouvement social sur le RER B, MétroPole présente un article, parfaitement documenté comme d’habitude, sur la suppression de la relève des conducteurs de la ligne B en Gare du Nord (cause importante de problèmes de régularité), et ses tenants et aboutissants…

Ce 9 novembre marque en effet la dernière étape de son déploiement : celle où tous les trains sont « interopérés », c’est-à-dire où les 531 trains quotidiens sur la ligne sont conduits de bout en bout par le même conducteur, SNCF ou RATP, indépendamment de l’entreprise qui l’emploie.

[…]

La relève allonge les temps de stationnement à Gare du Nord (plutôt 70 à 80 secondes, au lieu des 60 secondes souhaitables) et accélère la propagation des perturbations en cas d’incident. Ce gain de 20 % était jugé équivalent à ce qu’apporterait le doublement du tunnel Châtelet — Gare du Nord, mesure plébiscitée par les associations d’usagers mais bien sûr plus chère, et de très loin. Là aussi, les très mauvais résultats de régularité sur la ligne imposaient de toute façon d’agir : fin 2006, 78 % des trains venant du nord arrivaient à l’heure à Gare du Nord, mais ils n’étaient que 50 % à en repartir à l’heure vers le sud.

On note tout de même qu’ « en période de conflit social, l’interconnexion restera interrompue ». Une des critiques principales de certains conducteurs à l’égard de cette réforme était, en effet, qu’elle facilitait le « cassage de grève » dans les cas où une seule des deux entreprises était affectée par un mouvement social.

voie libre ou appel système