À propos de la sécurité des transactions

La sécurité des achats par micropaiement est garantie par la sécurité de votre ligne téléphonique. Théoriquement, elle est inexistante, mais il faut être équipé de matériel dédié ou être très motivé pour détourner une ligne téléphonique (nous sommes tous sur écoute, non ?). Pratiquement, la facturation étant faite par votre opérateur téléphonique sous la forme d'un simple appel surtaxé, le risque est quasi nul.

En ce qui concerne la sécurité des transactions sur Internet, le chiffrement utilisé est un chiffrement par SSL avec des clefs de 128 bits. Bien que de taille théorique relativement faible, ceci est largement suffisant pour une session en pratique. Les risques de fraude classique (vol de portefeuille, de carte bancaire ou de chéquier) ou informatique (infiltration des postes clients par des virus ou des spyware, vol de session par un autre site en exploitant un bogue du navigateur, simulation du site Web accédé et attaque par l'homme du milieu, contournement des protections offertes par étude sociale et mise en confiance de la victime, cassage direct des mots de passe dont l'entropie est de toutes manières bien inférieure en général à celle d'une clef aléatoire de 128 bits) sont donc bien plus grands qu'un piratage d'une session sécurisée.

En pratique, il est important de s'assurer des points suivants :

• l'ordinateur que l'on utilise n'est pas publique (autrement dit, on en a la maîtrise et il n'est pas accessible de tout le monde) ;
• l'ordinateur que l'on utilise est sain (il n'est pas infesté de virus ou de spyware) ;
• les fonctions de complètement automatique et de mémorisation des valeurs des champs de saisie sont désactivées dans le navigateur ;
• avant la transaction, toutes les fenêtres et tous les onglets du navigateur autres que ceux du site concerné sont fermés ;
• pendant la transaction, le certificat utilisé pour authentifier le site PayPal est signalé comme valide par le navigateur (le navigateur signale un avertissement lorsque cela n'est pas le cas) ;
• après la transaction, la session est fermée définitivement (le plus sûr pour s'en assurer est simplement de fermer toutes les fenêtres du navigateur).

Pour information, si vous désirez ouvrir vous-même un compte PayPal pour l'utiliser ultérieurement, veillez à ne pas donner les réponses réelles aux questions qui vous seront demandées en cas d'oubli de mot de passe. Trouver le nom de jeune fille de la mère d'une personne et sa ville de naissance ne constitue réellement pas une difficulté majeure, et fournir ces informations comme suppléant à un mot de passe rend tout simplement ce mot de passe inutile (cas typique de trou de sécurité social [désolé pour le jeu de mot !].). En fait, procéder ainsi revient simplement à prendre l'identité d'une personne comme moyen d'authentification, ce qui est une hérésie pure et simple en termes de sécurité. Attention, ne tentez pas non plus la moindre attaque de ce type contre l'un des clients de PayPal, cela est bien entendu pénalement répréhensible (jusqu'à 2 ans de prison et 30000 € d'amende en France). Je rejette bien sûr toute implication dans des opérations de ce genre qui pourraient être tentées suite à la divulgation de ces informations.