Comment acheter en sécurité sur Internet
Suite à plusieurs demandes concernant les achats sur Internet, je vais vous aider à y voir plus clair et mieux encore, je vais vous montrer comment être certain que votre numéro de carte bancaire ne s’envole pas aux Seychelles après avoir acheté votre détecteur d’OVNI (car oui, on peut acheter un détecteur d’OVNI).
Étape 1 pour acheter en sécurité sur Internet : Vérifier le site sur lequel on achète
Vous connaissez très probablement les fameux PayPal, eBay, Priceministrer, RueduCommerce et j’en passe énormément. Ces sites sont supposés sains, vous pouvez y effectuer vos achats. Mais déjà, comment être sûr que vous achetez bien sur l’un d’eux et non pas sur un site de hameçonnage ?
Réponse : Regardez l’URL.
Voici un très bon exemple en image fait par PayPal lui-même :
Ce faux site copie PayPal visuellement. Mais lorsque vous envoyez votre argent, il disparaît pour toujours. Acheter en sécurité sur Internet demande donc d’abord de regarder l’URL et de s’assurer qu’on y voit bien le site officiel.
L’URL (petit 1 sur l’image) n’est pas celle de PayPal. Si vous tombez sur ce genre de site, signalez-le ici et n’effectuez aucune autre action.
Vous pouvez également scanner un site web à la recherche de programmes malveillants ou tout simplement pour tester si ils sont crédibles. Voyez donc https://safeweb.norton.com/ ou même https://www.leblogduhacker.fr/scan.php (marche plus…)
Note importante: Même si vous voyez https dans l’URL, le site contrefait peut très bien utiliser le protocole https sans pour autant être le vrai : N’importe qui peut demander un certificat https.
Oh et aussi, paypa1 n’est pas non plus paypal ! Les caractères unicode peuvent remplacer les caractères latins classiques pour imiter à la perfection des noms de domaines !
apple.com en haut… apple.com en bas, mais pourtant pas le même site ! le premier est https://www.xn--80ak6aa92e.com (faites le test, il est créé exprès pour la démonstration)
Deuxième étape : Regarder si les données transmises sont chiffrées
C’est ici qu’on va regarder si le site présente https dans l’URL lors de l’achat.
Mais en fait, pourquoi s’assurer que le site contienne https ?
Saviez-vous que l’on peut très bien effectuer un achat sur un site en http classique, mais que ce n’est pas recommandé pour deux raisons :
1. Un site commercial de confiance se doit d’être en https
2. Le trafic peut être capturé et révéler votre numéro de carte en clair.
Je vais trop vite ?
Éclaircissement sur ce second point.
Lorsque je dis que le trafic peut être capturé, je fais référence aux logiciels de capture aussi appelés analyseurs ou sniffeurs réseau. Ces programmes bien que légaux pour effectuer diverses analyses de réseaux permettent également de littéralement voir les données qui transitent entre deux machines.
Ainsi, si vous effectuez un achat sur un site qui n’est pas en https, ET que au même moment vos informations sont capturées via l’ordinateur d’un petit malin assis derrière vous à l’aéroport, votre numéro de carte reçoit un second propriétaire. Plus d’informations à ce sujet avec un exemple de capture de mot de passe avec WireShark.
Note importante: Le site doit être en https au moment où vous saisissez vos informations personnelles.
Il est donc fort possible qu’un site donné qui n’est pas en https dispose d’un bouton d’achat vous emmenant sur le site sécurisé https.
C’est le cas de plusieurs sites dont les formations Le Blog Du Hacker, la page de vente n’est pas chiffrée car aucune information personnelle n’est transmise. Ce n’est qu’une fois que vous arrivez sur PayPal après un clic sur le bouton de paiement que vous serez en https. Il n’y a donc pas de problème.
Troisième étape : Vérifier qu’il n’y ait pas de logiciels malveillants sur l’ordinateur
Tout ce que nous venons de voir est bien beau, MAIS si un keylogger se trouve sur votre ordinateur, votre numéro de carte est récupéré même si vous êtes sur un site connu en https.
Pourquoi ?
Attention partie technique en vue.
Un keylogger récupère les touches tapées au clavier. Imaginez qu’une personne regarde par dessus votre épaule pendant que vous tapez votre mot de passe. Est-ce que c’est dans ce cas important d’être en https ou pas ? Non.
Le keylogger s’en moque complètement des sites visités et se moque encore plus qu’ils soient en https ou non. Il récupère presque bêtement ce qui est tapé au clavier et l’envoie ultérieurement à son propriétaire par mail (entre autres).
Un autre problème se pose donc:
Comment être sûr qu’aucun programme malveillant ne récupère ce que nous tapons ?
Ceci est un tout un programme qui prend du temps mais qui n’est pas bien compliqué (c’est une détection manuelle de programmes malveillants), si vraiment vous voulez en savoir plus, je vous invite à me rejoindre sur Cyberini.
En tant normal un bon antivirus arrêtera la plupart des keyloggers, mais pas tous, et…ce qui est sécurisé à 99% n’est pas sécurisé. La preuve est ici, ou là. D’où la nécessité de suivre une méthode manuelle.
Je donne également dans la formation une astuce inédite pour être certain que même avec un keylogger sur son ordinateur il est possible de taper son numéro de carte en sécurité ou toute autre données personnelle. (En gros il s’agit de faire enregistrer un autre numéro par le keylogger alors même que le bon numéro est envoyé au site). Et je profite de cette occasion pour vous dire qu’il n’aurait pas été possible de donner une telle astuce sans comprendre le fonctionnent des attaques et des keyloggers.
Apprendre l’attaque pour mieux se défendre – Slogan du hacking éthique.
Acheter en sécurité sur Internet : Divers
Sachez également que lorsque vous achetez en ligne, des informations de confiance devraient toujours être présentes :
- Le site contient des mentions légales et conditions de vente
- Le site propose un délai de remboursement
Autres informations utiles :
- Comment savoir si ma connexion est sécurisée sur le site Mozilla.
- Comment savoir si ma connexion est sécurisée sur le site Microsoft.
Photo de Vanguard Visions 
