Suite à plusieurs demandes concernant les achats sur Internet, je vais vous aider à y voir plus clair et mieux encore, je vais vous montrer comment être certain que votre numéro de carte bancaire ne s’envole pas aux Seychelles après avoir acheté votre détecteur d’OVNI (car oui, on peut acheter un détecteur d’OVNI).

Première étape : Vérifier le site sur lequel on achète

acheter en sécurité sur internet

Vous connaissez très probablement les fameux PayPal, eBay, Priceministrer, RueduCommerce et j’en passe énormément. Ces sites sont supposés sains, vous pouvez y effectuer vos achats. Mais déjà, comment être sûr que vous achetez bien sur l’un d’eux et non pas sur un site de hameçonnage ?

Réponse : Regardez l’URL.

Voici un très bon exemple en image fait par PayPal lui-même :

Acheter en sécurité sur internet

Ce faux site copie PayPal visuellement. Mais lorsque vous envoyez votre argent, il disparaît pour toujours. Acheter en sécurité sur Internet demande donc d’abord de regarder l’URL et de s’assurer qu’on y voit bien le site officiel.

L’URL (petit 1 sur l’image) n’est pas celle de PayPal. Si vous tombez sur ce genre de site, signalez-le ici et n’effectuez aucune autre action.

Vous pouvez également scanner un site web à la recherche de programmes malveillants ou tout simplement pour tester si ils sont crédibles. Voyez donc https://safeweb.norton.com/ ou même https://www.leblogduhacker.fr/scan.php

Note importante: Même si vous voyez https dans l’URL, le site contrefait peut très bien utiliser le protocole https sans pour autant être le vrai : N’importe qui peut demander un certificat https.

Transition parfaite vers la deuxième étape.

Deuxième étape : Regarder si les données transmises sont chiffrées

C’est ici qu’on va regarder si le site présente https dans l’URL lors de l’achat.

Mais en fait, pourquoi s’assurer que le site contienne https ?

Saviez-vous que l’on peut très bien effectuer un achat sur un site en http classique, mais que ce n’est pas recommandé pour deux raisons :

1. Un site commercial de confiance se doit d’être en https

2. Le trafic peut être capturé et révéler votre numéro de carte en clair.

Je vais trop vite ?

Éclaircissement sur ce second point.

Lorsque je dis que le trafic peut être capturé, je fais référence aux logiciels de capture aussi appelés analyseurs ou sniffeurs réseau. Ces programmes bien que légaux pour effectuer diverses analyses de réseaux permettent également de littéralement voir les données qui transitent entre deux machines.

Ainsi, si vous effectuez un achat sur un site qui n’est pas en https, ET que au même moment vos informations sont capturées via l’ordinateur d’un petit malin assis derrière vous à l’aéroport, votre numéro de carte reçoit un second propriétaire. Plus d’informations à ce sujet avec un exemple de capture de mot de passe avec WireShark.

Note importante: Le site doit être en https au moment où vous saisissez vos informations personnelles.

Il est donc fort possible qu’un site donné qui n’est pas en https dispose d’un bouton d’achat vous emmenant sur le site sécurisé https.

C’est le cas de plusieurs sites dont les formations Le Blog Du Hacker, la page de vente n’est pas chiffrée car aucune information personnelle n’est transmise. Ce n’est qu’une fois que vous arrivez sur PayPal après un clic sur le bouton de paiement que vous serez en https. Il n’y a donc pas de problème.

Troisième étape : Vérifier qu’il n’y ait pas de logiciels malveillants sur l’ordinateur

Tout ce que nous venons de voir est bien beau, MAIS si un keylogger se trouve sur votre ordinateur, votre numéro de carte est récupéré même si vous êtes sur un site connu en https.

Pourquoi ?

Attention partie technique en vue.

Un keylogger récupère les touches tapées au clavier. Imaginez qu’une personne regarde par dessus votre épaule pendant que vous tapez votre mot de passe. Est-ce que c’est dans ce cas important d’être en https ou pas ? Non.

Le keylogger s’en moque complètement des sites visités et se moque encore plus qu’ils soient en https ou non. Il récupère presque bêtement ce qui est tapé au clavier et l’envoie ultérieurement à son propriétaire par mail (entre autres).

Un autre problème se pose donc:

Comment être sûr qu’aucun programme malveillant ne récupère ce que nous tapons ?

Ceci est un tout un programme qui prend du temps mais qui n’est pas bien compliqué (c’est une détection manuelle de programmes malveillants), si vraiment vous voulez en savoir plus, je vous invite à télécharger la formation Comment Protéger son Ordinateur et sa Vie Privée.

En tant normal un bon antivirus arrêtera la plupart des keyloggers, mais pas tous, et…ce qui est sécurisé à 99% n’est pas sécurisé. La preuve est ici, ou . D’où la nécessité de suivre une méthode manuelle.

Je donne également dans la formation une astuce inédite pour être certain que même avec un keylogger sur son ordinateur il est possible de taper son numéro de carte en sécurité ou toute autre données personnelle. (En gros il s’agit de faire enregistrer un autre numéro par le keylogger alors même que le bon numéro est envoyé au site). Et je profite de cette occasion pour vous dire qu’il n’aurait pas été possible de donner une telle astuce sans comprendre le fonctionnent des attaques et des keyloggers.

Apprendre l’attaque pour mieux se défendre – Slogan du hacking éthique.

Acheter en sécurité sur Internet : Divers

Sachez également que lorsque vous achetez en ligne, des informations de confiance devraient toujours être présentes :

  • Le site contient des mentions légales et conditions de vente
  • Le site propose un délai de remboursement

Autres informations utiles :

Photo de Vanguard Visions

14 Commentaires. En écrire un nouveau

  • excellente idée,je viens de t’envoyer un mail à ce sujet

    Répondre
  • je suis directement concerné par les arnaques à l’achat carte et je voulais savoir si je peux évoquer mon cas directement sur le forum?
    Bon,je sais que j’ai été naïf et même cucul sur cette affaire là,mais peut être cela peut-il être utile à d’autres naïfs comme moi!
    En effet il y a 2 mois environ,je devisais avec des amis sur FB et entre autre avec une amie d’une amie qui me dit après environ 3 mois d’échanges sur des sujets anodins et pourquoi ne veux tu pas devenir ami FB avec moi;vu l’ancienneté des échanges je me suis dit,pourquoi pas et aussi tôt dit,aussi tôt fait;le même jour elle se met en ligne et me dit tout de go:est ce que tu peux me rendre un énorme service,je suis coincée à la maison et j’aurai besoin de quelqu’un pour me dépanner de 1 € pour débloquer une transaction urgente;je me dis,ingénument,ben pourquoi pas,si un étranger avais fait la manche et m’avait demandé 1 € je n’aurai pas hésité non plus;du coup elle m’envoie un N° de banque sur lequel faire la transaction et je vais sur ce compte c’était bien une banque connue genre Société Généralel ou quelque chose comme cela et j’ai vérifié la barre des tâches,c’était bien marqué htpps;
    ensuite elle me dit c’est fait??j’acquiesce et elle me dit tu vas recevoir un sms sur ton portable(j’avais déjà eu ce procédé avec ma propre banque)c’est pour confirmer l’ordre de virement;ensuite elle me dit:peux tu me donner le code reçu par sms?là j’ai refusé car cela commençait à me paraître bizarre tout cela;
    ensuite j’ai reçu des demandes par sms de différents sites me demandant de confirmer des achats allant de 5,49 € à plus de 200 € et toujours envoyés du numéro de tel 38653;J’ai cherché sur Comment ça Marche et voici le résultat http://www.commentcamarche.net/faq/35072-sms-arnaque-ou-pas
    DU COUP je me suis dit,ouf,je n’ai pas réagi et donc je ne risque rien,j’ai quand même surveillé mon compte régulièrement et peu de temps après des retraits ont étés fits,pas de grosses sommes mais quand même;j’ai tout de suite prévenu ma banque pour bloquer ma carte;mais mon chargé de compte étant absent,les retraits ont continué pendant une semaine;j’ai déposé plainte à la gendarmerie de mon lieu de domicile et ma banque m’a rendu toutes les sommes indûment payées,ouf,il s’agissait de 850 € au total;si ma connerie peut éviter à d’autres de se faire piéger
    Si tu veux tu peux me publier sur le forum; RICHARD

    Répondre
  • je viens de relire,il y a quelques fautes d’orthographe et il manque quelques espaces entre les mots,mais je devais être fatigué et les papys devraient faire dodo à cette heure là RICHARD

    Répondre
  • Merci du sujet Michel.

    Richard ton aventure est très intéressante merci de nous l’avoir partager.

    Répondre
  • Le plaisir est pour moi Schwarzer et merci beaucoup Richard pour ce témoignage

    Répondre
  • Salut Michel

    Afin d’ éviter les sites contrefaits, il existe beaucoup d’ alternatives comme des extensions qui peuvent être ajoutées aux navigateurs comme Chrome, Firefox ou autres .

    Sous Chrome, j’ utilise les extensions suivante :
    Adblock Plus : Le pare-pub gratuit pour Chrome : bloque les annonces gênantes sur YouTube, les pubs sur Facebook, les bannières et bien plus
    Blockulicious : Blockulicious ajoute un niveau de sécurité puissant et non-intrusif à votre expérience de navigation.
    Click&Clean : Cette application efface votre historique de navigation à la fermeture du navigateur et empêche le suivi de votre activité en ligne.
    IP Whois & Flags Chrome & Websites Rating : Afficher Site Country Flag. Indique le nombre de visiteurs visitent le site. Avis de site Web. Alexa. Norton Antivirus Conseiller du site.
    Webutation : Voulez-vous savoir quels sites sont sûrs et quel site vous pouvez faire confiance?
    Le Webutation add-on vous montre la réputation d’un site avec un jaune / rouge simple icône verte / et les sites Web de balayage contre le virus et la mauvaise rétroaction de l’utilisateur.

    @+ Yann

    Répondre
    • Salut Yann et merci pour ces informations très utiles ! J’aurais effectivement pu ajouter les extensions et autres outils de sécurité 😉

      Répondre
      • Salut Michel

        Pour mes achats sécurisés sur le Web, j’ utilise aussi Un numéro de carte virtuel pour chaque transaction et transmis par ma Banque via un SMS .

        Un numéro de carte virtuel pour chaque transaction
        Chaque fois que vous effectuez des achats en ligne, le service génère un numéro de carte virtuel (avec date de validité et cryptogramme visuel) à usage unique qui circule sur internet à la place de votre numéro de carte.
        Vous achetez sur internet en toute tranquillité, vous savez que vous ne courez plus aucun risque de piratage de votre carte bancaire.
        Une sécurisation maximum

        Plusieurs dispositifs assurent la sécurité :
        Votre Carte de Clés Personnelles est nécessaire pour faire une demande de numéro virtuel
        votre demande de numéro virtuel doit être validée par un code de confirmation à usage unique qui vous est communiqué par e-mail ou par SMS, au moment de la transaction.
        vous devez obligatoirement être le titulaire de la carte bancaire pour laquelle vous demandez un numéro virtuel.

        Cordialement

        @+ Yann

        Répondre
  • En fait,pour éviter de me faire avoir,j’aurai dû utiliser le logiciel proposé par ma banque qui permet d’avoir un numéro virtuel de carte bancaire et c’est moi qui choisis la durée d’utilisation et la somme maximale à débiter;malheureusement depuis que j’ai W8 ce générateur ne fonctionne plus sur mon pc,pour une raison inconnue,si je vais sur le site de ma banque je peux générer un numéro mais si je le note pas,j’oublie instantanément la date de validité ou le code à 3 chiffres qui normalement se trouvent au dos de la carte!

    Répondre
  • Ton blog est tres genial Michel

    Répondre
  • Bonjour,

    Personnellement, lorsque je souhaite réaliser un paiement en ligne je suis du genre un peu « tortueux » je le reconnais 🙂 Je créé une machine virtuelle toute neuve et toute propre sous GNU/linux qui transite par une translation d’adresse (interface réseau VMWare en NAT) et le DHCP VMWare en partageant l’IP de ma machine HOST (physique) elle même protégée par une connexion VPN (en ce moment je teste l’offre ExpressVPN 99.00€/an). La machine HOST est quant à elle sécurisée par différents procédés notamment un antivirus, désactivation de tous les services Windows impactant la sécurité système et réseau, et pour finir un bon routeur/firewall en « dur ». Le risque zéro n’existe pas c’est clair, mais dans mon cas je dédie à chaque fois une nouvelle VM propre, uniquement pour mes paiements en ligne 🙂

    A+!
    Diki

    Répondre
  • « https://www.leblogduhacker.fr/scan.php » Le lien n’existe plus.

    Merci pour l’article.

    Répondre

Laisser un commentaire

Menu
More in Hacking Éthique, Sécurité Informatique
chantage webcam virtual cam whore vcw
Chantage WebCam et Virtual Cam Whore

Dans l'article d’aujourd’hui, je vais une nouvelle fois vous sensibiliser sur quelque chose de très important. En effet, une fois que le mal est fait...

Close