Suite à plusieurs demandes concernant les achats sur Internet, je vais vous aider à y voir plus clair et mieux encore, je vais vous montrer comment être certain que votre numéro de carte bancaire ne s’envole pas aux Seychelles après avoir acheté votre détecteur d’OVNI (car oui, on peut acheter un détecteur d’OVNI).

Première étape : Vérifier le site sur lequel on achète

acheter en sécurité sur internet

Vous connaissez très probablement les fameux PayPal, eBay, Priceministrer, RueduCommerce et j’en passe énormément. Ces sites sont supposés sains, vous pouvez y effectuer vos achats. Mais déjà, comment être sûr que vous achetez bien sur l’un d’eux et non pas sur un site de hameçonnage ?

Réponse : Regardez l’URL.

Voici un très bon exemple en image fait par PayPal lui-même :

Acheter en sécurité sur internet

Ce faux site copie PayPal visuellement. Mais lorsque vous envoyez votre argent, il disparaît pour toujours. Acheter en sécurité sur Internet demande donc d’abord de regarder l’URL et de s’assurer qu’on y voit bien le site officiel.

L’URL (petit 1 sur l’image) n’est pas celle de PayPal. Si vous tombez sur ce genre de site, signalez-le ici et n’effectuez aucune autre action.

Vous pouvez également scanner un site web à la recherche de programmes malveillants ou tout simplement pour tester si ils sont crédibles. Voyez donc https://safeweb.norton.com/ ou même https://www.leblogduhacker.fr/scan.php

Note importante: Même si vous voyez https dans l’URL, le site contrefait peut très bien utiliser le protocole https sans pour autant être le vrai : N’importe qui peut demander un certificat https.

Transition parfaite vers la deuxième étape.

Deuxième étape : Regarder si les données transmises sont chiffrées

C’est ici qu’on va regarder si le site présente https dans l’URL lors de l’achat.

Mais en fait, pourquoi s’assurer que le site contienne https ?

Saviez-vous que l’on peut très bien effectuer un achat sur un site en http classique, mais que ce n’est pas recommandé pour deux raisons :

1. Un site commercial de confiance se doit d’être en https

2. Le trafic peut être capturé et révéler votre numéro de carte en clair.

Je vais trop vite ?

Éclaircissement sur ce second point.

Lorsque je dis que le trafic peut être capturé, je fais référence aux logiciels de capture aussi appelés analyseurs ou sniffeurs réseau. Ces programmes bien que légaux pour effectuer diverses analyses de réseaux permettent également de littéralement voir les données qui transitent entre deux machines.

Ainsi, si vous effectuez un achat sur un site qui n’est pas en https, ET que au même moment vos informations sont capturées via l’ordinateur d’un petit malin assis derrière vous à l’aéroport, votre numéro de carte reçoit un second propriétaire. Plus d’informations à ce sujet avec un exemple de capture de mot de passe avec WireShark.

Note importante: Le site doit être en https au moment où vous saisissez vos informations personnelles.

Il est donc fort possible qu’un site donné qui n’est pas en https dispose d’un bouton d’achat vous emmenant sur le site sécurisé https.

C’est le cas de plusieurs sites dont les formations Le Blog Du Hacker, la page de vente n’est pas chiffrée car aucune information personnelle n’est transmise. Ce n’est qu’une fois que vous arrivez sur PayPal après un clic sur le bouton de paiement que vous serez en https. Il n’y a donc pas de problème.

Troisième étape : Vérifier qu’il n’y ait pas de logiciels malveillants sur l’ordinateur

Tout ce que nous venons de voir est bien beau, MAIS si un keylogger se trouve sur votre ordinateur, votre numéro de carte est récupéré même si vous êtes sur un site connu en https.

Pourquoi ?

Attention partie technique en vue.

Un keylogger récupère les touches tapées au clavier. Imaginez qu’une personne regarde par dessus votre épaule pendant que vous tapez votre mot de passe. Est-ce que c’est dans ce cas important d’être en https ou pas ? Non.

Le keylogger s’en moque complètement des sites visités et se moque encore plus qu’ils soient en https ou non. Il récupère presque bêtement ce qui est tapé au clavier et l’envoie ultérieurement à son propriétaire par mail (entre autres).

Un autre problème se pose donc:

Comment être sûr qu’aucun programme malveillant ne récupère ce que nous tapons ?

Ceci est un tout un programme qui prend du temps mais qui n’est pas bien compliqué (c’est une détection manuelle de programmes malveillants), si vraiment vous voulez en savoir plus, je vous invite à télécharger la formation Comment Protéger son Ordinateur et sa Vie Privée.

En tant normal un bon antivirus arrêtera la plupart des keyloggers, mais pas tous, et…ce qui est sécurisé à 99% n’est pas sécurisé. La preuve est ici, ou . D’où la nécessité de suivre une méthode manuelle.

Je donne également dans la formation une astuce inédite pour être certain que même avec un keylogger sur son ordinateur il est possible de taper son numéro de carte en sécurité ou toute autre données personnelle. (En gros il s’agit de faire enregistrer un autre numéro par le keylogger alors même que le bon numéro est envoyé au site). Et je profite de cette occasion pour vous dire qu’il n’aurait pas été possible de donner une telle astuce sans comprendre le fonctionnent des attaques et des keyloggers.

Apprendre l’attaque pour mieux se défendre – Slogan du hacking éthique.

Acheter en sécurité sur Internet : Divers

Sachez également que lorsque vous achetez en ligne, des informations de confiance devraient toujours être présentes :

  • Le site contient des mentions légales et conditions de vente
  • Le site propose un délai de remboursement

Autres informations utiles :

Photo de Vanguard Visions

18 Commentaires
Cliquez ici pour ajouter un commentaire

  • excellente idée,je viens de t’envoyer un mail à ce sujet

    Répondre
  • je suis directement concerné par les arnaques à l’achat carte et je voulais savoir si je peux évoquer mon cas directement sur le forum?
    Bon,je sais que j’ai été naïf et même cucul sur cette affaire là,mais peut être cela peut-il être utile à d’autres naïfs comme moi!
    En effet il y a 2 mois environ,je devisais avec des amis sur FB et entre autre avec une amie d’une amie qui me dit après environ 3 mois d’échanges sur des sujets anodins et pourquoi ne veux tu pas devenir ami FB avec moi;vu l’ancienneté des échanges je me suis dit,pourquoi pas et aussi tôt dit,aussi tôt fait;le même jour elle se met en ligne et me dit tout de go:est ce que tu peux me rendre un énorme service,je suis coincée à la maison et j’aurai besoin de quelqu’un pour me dépanner de 1 € pour débloquer une transaction urgente;je me dis,ingénument,ben pourquoi pas,si un étranger avais fait la manche et m’avait demandé 1 € je n’aurai pas hésité non plus;du coup elle m’envoie un N° de banque sur lequel faire la transaction et je vais sur ce compte c’était bien une banque connue genre Société Généralel ou quelque chose comme cela et j’ai vérifié la barre des tâches,c’était bien marqué htpps;
    ensuite elle me dit c’est fait??j’acquiesce et elle me dit tu vas recevoir un sms sur ton portable(j’avais déjà eu ce procédé avec ma propre banque)c’est pour confirmer l’ordre de virement;ensuite elle me dit:peux tu me donner le code reçu par sms?là j’ai refusé car cela commençait à me paraître bizarre tout cela;
    ensuite j’ai reçu des demandes par sms de différents sites me demandant de confirmer des achats allant de 5,49 € à plus de 200 € et toujours envoyés du numéro de tel 38653;J’ai cherché sur Comment ça Marche et voici le résultat http://www.commentcamarche.net/faq/35072-sms-arnaque-ou-pas
    DU COUP je me suis dit,ouf,je n’ai pas réagi et donc je ne risque rien,j’ai quand même surveillé mon compte régulièrement et peu de temps après des retraits ont étés fits,pas de grosses sommes mais quand même;j’ai tout de suite prévenu ma banque pour bloquer ma carte;mais mon chargé de compte étant absent,les retraits ont continué pendant une semaine;j’ai déposé plainte à la gendarmerie de mon lieu de domicile et ma banque m’a rendu toutes les sommes indûment payées,ouf,il s’agissait de 850 € au total;si ma connerie peut éviter à d’autres de se faire piéger
    Si tu veux tu peux me publier sur le forum; RICHARD

    Répondre
  • je viens de relire,il y a quelques fautes d’orthographe et il manque quelques espaces entre les mots,mais je devais être fatigué et les papys devraient faire dodo à cette heure là RICHARD

    Répondre
  • Merci du sujet Michel.

    Richard ton aventure est très intéressante merci de nous l’avoir partager.

    Répondre
  • Le plaisir est pour moi Schwarzer et merci beaucoup Richard pour ce témoignage

    Répondre
  • Salut Michel

    Afin d’ éviter les sites contrefaits, il existe beaucoup d’ alternatives comme des extensions qui peuvent être ajoutées aux navigateurs comme Chrome, Firefox ou autres .

    Sous Chrome, j’ utilise les extensions suivante :
    Adblock Plus : Le pare-pub gratuit pour Chrome : bloque les annonces gênantes sur YouTube, les pubs sur Facebook, les bannières et bien plus
    Blockulicious : Blockulicious ajoute un niveau de sécurité puissant et non-intrusif à votre expérience de navigation.
    Click&Clean : Cette application efface votre historique de navigation à la fermeture du navigateur et empêche le suivi de votre activité en ligne.
    IP Whois & Flags Chrome & Websites Rating : Afficher Site Country Flag. Indique le nombre de visiteurs visitent le site. Avis de site Web. Alexa. Norton Antivirus Conseiller du site.
    Webutation : Voulez-vous savoir quels sites sont sûrs et quel site vous pouvez faire confiance?
    Le Webutation add-on vous montre la réputation d’un site avec un jaune / rouge simple icône verte / et les sites Web de balayage contre le virus et la mauvaise rétroaction de l’utilisateur.

    @+ Yann

    Répondre
    • Salut Yann et merci pour ces informations très utiles ! J’aurais effectivement pu ajouter les extensions et autres outils de sécurité 😉

      Répondre
      • Salut Michel

        Pour mes achats sécurisés sur le Web, j’ utilise aussi Un numéro de carte virtuel pour chaque transaction et transmis par ma Banque via un SMS .

        Un numéro de carte virtuel pour chaque transaction
        Chaque fois que vous effectuez des achats en ligne, le service génère un numéro de carte virtuel (avec date de validité et cryptogramme visuel) à usage unique qui circule sur internet à la place de votre numéro de carte.
        Vous achetez sur internet en toute tranquillité, vous savez que vous ne courez plus aucun risque de piratage de votre carte bancaire.
        Une sécurisation maximum

        Plusieurs dispositifs assurent la sécurité :
        Votre Carte de Clés Personnelles est nécessaire pour faire une demande de numéro virtuel
        votre demande de numéro virtuel doit être validée par un code de confirmation à usage unique qui vous est communiqué par e-mail ou par SMS, au moment de la transaction.
        vous devez obligatoirement être le titulaire de la carte bancaire pour laquelle vous demandez un numéro virtuel.

        Cordialement

        @+ Yann

        Répondre
  • En fait,pour éviter de me faire avoir,j’aurai dû utiliser le logiciel proposé par ma banque qui permet d’avoir un numéro virtuel de carte bancaire et c’est moi qui choisis la durée d’utilisation et la somme maximale à débiter;malheureusement depuis que j’ai W8 ce générateur ne fonctionne plus sur mon pc,pour une raison inconnue,si je vais sur le site de ma banque je peux générer un numéro mais si je le note pas,j’oublie instantanément la date de validité ou le code à 3 chiffres qui normalement se trouvent au dos de la carte!

    Répondre
  • Ton blog est tres genial Michel

    Répondre
  • Bonjour,

    Personnellement, lorsque je souhaite réaliser un paiement en ligne je suis du genre un peu “tortueux” je le reconnais 🙂 Je créé une machine virtuelle toute neuve et toute propre sous GNU/linux qui transite par une translation d’adresse (interface réseau VMWare en NAT) et le DHCP VMWare en partageant l’IP de ma machine HOST (physique) elle même protégée par une connexion VPN (en ce moment je teste l’offre ExpressVPN 99.00€/an). La machine HOST est quant à elle sécurisée par différents procédés notamment un antivirus, désactivation de tous les services Windows impactant la sécurité système et réseau, et pour finir un bon routeur/firewall en “dur”. Le risque zéro n’existe pas c’est clair, mais dans mon cas je dédie à chaque fois une nouvelle VM propre, uniquement pour mes paiements en ligne 🙂

    A+!
    Diki

    Répondre
  • “https://www.leblogduhacker.fr/scan.php” Le lien n’existe plus.

    Merci pour l’article.

    Répondre
  • salut michel je vois que tu parle du protocole https pas si bon que cela tout contre fait ?
    juste pour le petit exemple. contre quoi protège vraiment le https ? des témoignage de victimes de phishing

    qui ont entré leurs identifiants ou leur numéro de carte bancaire sur un site malveillant. bon nombre d’entre elles
    expliquent qu’elles ne se sont pas méfiées en se rendant sur la page piégée. car son url commençait par https

    leur navigateur affichait un cadenas verrouillé indiquant que la connexion était sécurisée.
    mais la formulation est un peu piégeuse car elle peut laisser croire que le site est systématiquement inoffensif ?

    une connexion sécurisée indique juste que la liaison établie entre l’internaute et le site utilise une protection
    pour protéger les échanges d’informations.

    elle ne dit rien sur les intentions du site visité . les malfaiteurs ont bien conscience de cette mauvaise
    compréhension du https par le grand public. et ils en abusent évidemment pour accroître la crédibilité

    de leurs opérations de hameçonnage auprès de leurs cibles. il est donc plus que temps de se débarrasser
    de cette mauvaise interprétation de ce sigle et de sont rôle afin d’échapper à de futures déconvenues.

    que fait la liaison https ? https désigne un protocole de communication sur le net.
    concrètement il encadre la façon dont votre navigateur web chrome firefox safari etc va interagir avec le site

    que vous visitez. d’un bout à l’autre de la liaison sont envoyées toutes sortes d’informations.
    dans un sens comme dans l’autre. par exemple quand vous envoyez l’instruction pour afficher une page web

    et qu’en retour le site vous envoie l’url demandée.

    la particularité du https est qu’il chiffre les données qui circulent entre le site et votre navigateur.
    autrement dit il transforme le contenu échangé en un code incompréhensible pour un tiers.

    mais qui devient limpide avec la bonne clé de déchiffrement.

    imaginons que vous envoyiez votre mot de passe au site que vous visitez pour vous connecter
    à votre profil. sans https l’information circule en clair sans protection. avec elle circulerait sous une forme

    obscure. seuls votre navigateur et le site de destination peuvent déchiffrer ce contenu pour voir le mot de passe
    grâce à un protocole d’échange établi préalablement entre les deux parties.

    bref. le https protège la confidentialité des données pendant leur itinéraire. entre votre ordinateur et le serveur
    du site sur lequel vous vous connectez. en revanche il ne protège ni votre ordinateur ni le site sur lequel

    vous vous connectez le https ne dit rien sur la fiabilité des sites . si le https protège votre connexion
    contre le vol d’information pendant le voyage sur les réseaux. il ne vous préserve en aucune façon

    de l’envoi pas mégarde d’information à des personnes malveillantes qui utilisent ce type de certificat
    sur des sites vérolés. de ce fait le https n’est absolument pas un indicateur pertinent pour évaluer

    la fiabilité d’un site.

    Répondre
    • Bonjour, oui tout à fait ! on retourne comme très souvent sur les bases : les failles est humaine. On a trop longtemps dit partout dans les médias qu’un site HTTPS est “sécurisé”. Au point de faire croire naïvement qu’il suffit d’avoir un site https pour que tout se passe bien pour nos données. C’est le même principe que je cite quelque part sur le site concernant l’assurance maladie AMELI. Qui indique sur son site (dans les dossiers pour protéger justement son compte) que les e-mails officiels viennent d’une adresse @ameli. Sauf que le défaut de configuration de leur domaine (DMARC/DKIMM pour les initiés) fait que l’usurpation de leur propre adresse était possible. Donc leur propre conseil était utilisé par les pirates pour rendre la démarche encore plus facile… Les utilisateurs suivant les conseils aveuglément. C’est précisément là que l’apprentissage du hacking éthique devient pertinent, si ce n’est indispensable : comprendre le fonctionnement des système et des menaces pour bien s’en protéger. Et cela ne demande heureusement pas de doctorat. C’est “simplement” un manque d’intérêt pour le sujet qui fait défaut aux (futures) victimes. Alors qu’une fois le mal fait, il est souvent trop tard.
      Amicalement

      Répondre
  • très bonne soirée michel le témoignage de richard super bon pour mettre les gens en garde. et bravos de sa
    par d’avoir où le courage dans parler. pour passer sûr autre chose.

    top 8 des phrases incompréhensibles des banquiers ?

    petit florilège des phrases trop entendu lorsque vous avez rendez vous avec votre conseiller !
    vous en reconnaissez quelques unes ?

    ce qu’il dit je comprends votre projet mais c’est un peu trop atypique pour nous. si c’était pour un achat d’appartement
    au moins on pourrait faire quelque chose.

    ce qu’il veut vraiment dire. votre projet ne va rien nous rapporter. je vais être obligé de faire des taux très bas
    sur une trop faible période. alors que si j’arrivais à vous convaincre de prendre un prêt immobilier

    sur 30 ans je serai sûr de toucher une belle prime.

    ce qu’il dit. votre projet est vraiment passionnant. mais à ce stade un financement bancaire est compliqué.
    ce qu’il veut vraiment dire. j’ai arrête de vous écouter à la minute même où l’ordinateur m’a affiché votre dossier

    parce que je sais déjà qu’on ne pourra pas vous financer. donc je brode depuis 15 mn pour vous faire croire que
    je vous écoute.

    ce qu’il dit. pour le prêt cela va être compliqué. en revanche j’ai négocié pour vous une réduction de 5%
    sur votre carte bancaire.

    ce qu’il veut vraiment dire. votre prêt à 1% je ne vais certainement pas vous le donner.
    mais comme je veux que vous continuiez de croire que je suis sympa. je fait semblant de faire un geste commercial.

    mais en vrai ça va revenir exactement au même puisque je vais vous faire payer des frais de compte.

    ce qu’il dit. il faut que j’en réfère à mon responsable parce qu’à non niveau je ne peux prendre aucune décision.
    ce qu’il veut vraiment dire. je sais d’ores et déjà que je ne vais pas vous financer mais vous avez l’air d’avoir

    de gros muscles donc je vais faire comme si c’était non patron le grand méchant.

    ce qu’il dit. exclusivement pour vous je peux vous proposer un prêt à 2%
    ce qu’il veut vraiment dire. ce que je ne vais pas te dire. c’est que le taux est variable et qu’il sera de 15%

    le mois prochain. mais quand vous vous en apercevrez vous ne pourrez rien faire parce que ce sera écrit dans
    le contrat que vous avez signé en tout petit à la page 47 !

    ce qu’il dit. mais évidemment nous sommes moins cher que la concurrence !
    notre taux est bien inférieur !

    ce qu’il veut vraiment dire. ah notre taux est inférieur mais pas le coût total de votre crédit !
    mais je fait le pari que vous n’irez jamais vérifier ce qu’est un taeg après tout votre banquier c’est moi !

    et vous me faites confiance n’est – ce pas ? rire diabolique intérieur !

    ce qu’il dit le seul genre de prêt que je peux vous proposer c’est un crédit revolving tout à fait adapté à votre situation.
    ce qu’il veut vraiment dire. vous n’avez pas l’air d’y comprendre grand-chose.

    alors je vais vous refiler le pire type de prêt qui existe. le concept est simple c’est un crédit infini tous les mois
    votre remboursement ne couvrira pas intégralement les indemnités comme ça vous rembourserez pendant des années. !

    Répondre
  • très bonne soirée michel le code de confirmation à usage unique ne semble une bonne solution
    de sécurité. par contre la double authentification ne fait bien rigolait ?

    bien que utile dans certain cas. je voie par trop comment cela peut protéger les gens.
    vue que la faille du système et utiliser depuis bien longtemps par les pirates.

    où se trouve la sécurité ? gros problème non ! cela pose un faux sentiment de sécurité pour pas mal
    de personnes. donc très loin d’être la meilleur solution. beaucoup trop limité niveau protection.

    surtout que les pirates l’on très bien exploiter. bien sûr je juge pas la solution michel cela reste une protection
    comme une autre. mais bien faible tout même ?

    pourquoi cela ? pour bien faire comprendre le problème je prend un exemple très simple
    afin d’être plus claire pour les gens qui peuvent encore se poser la question que cela peut avoir

    pour leurs propre sécurité. appels automatisés et bot telegram se jouent de la double authentification ?

    les bots automatisés pour les appels téléphoniques et la messagerie telegram sont de plus en plus
    utilisés par les pirates pour soutirer les identifiants aux victimes. un moyen de contourner

    l’authentification à double facteur. ces dernières années l’authentification à deux facteurs 2fa a été
    largement adoptée par les services en ligne et son activation est probablement la meilleure chose

    que les utilisateurs puissent faire. pour la sécurité de leurs comptes en ligne. ?

    mais pour surmonter cet obstacle supplémentaire qui les empêche d’exploiter des mots de passe volés.
    les cybercriminels se sont aussi adaptés en trouvant des solutions innovantes. pour détourner les

    systèmes otp one time password.

    les dernières tactiques en matière de contournement des services otp mettent en oeuvre des
    appels téléphoniques automatisés ou robocalling. associés à des messages interactifs destinés

    à inciter les utilisateurs à livrer leurs identifiants en temps réel. munis de ces précieux sésames
    les pirates accèdent ainsi à leur compte. tout le processus automatisé et de contrôle

    fonctionne à l’aide de bots basés sur telegram. à l’image de ce que font les équipes qui utilisent
    des bots slack pour automatiser les flux de travail dans les entreprises.

    Répondre

Laisser un commentaire

Menu