Pour démontrer le manque de sécurisation de l'information entre l'émission et la réception des sommes sur des sites dédiés, Microsoft et l'université d'Indiana ont commandé des produits sans les payer.

Les sites de commerce pas à l'abri des failles de paiement

La sécurité sur les sites de vente en ligne qui utilisent tous un serveur pour gérer les commandes, et un service de paiement comme Paypal ou Amazon Payments ne semble pas optimale. C’est le résultat de travaux de recherches menées aux Etats-Unis par l’université d’Indiana et Microsoft : "How to shop for free online* ". Ils se sont en effet aperçus que la mauvaise communication entre les serveurs de commande et de paiement, ouvre de nombreuses opportunités de piratage pour les consommateurs indélicats. Le site GoodEmotionsDVD.com - qui vend des DVD - utilise comme plate-forme de récupération de paiements en ligne, une application développée par NopCommerce. Les clients peuvent de leur côté payer avec Paypal. Or, la connexion entre NopCommerce et Paypal a révélé des failles qui leur ont permis de passer gratuitement des commandes et de recevoir des produits. 

Tester les sites Internet de vente

Pour trouver les failles du système, ils ont découpé et analysé chaque étape du protocole de réception du paiement par le distributeur, mais également du service de paiement lui-même. Il en ressort que le problème vient d’une faille dans la connexion entre les deux. Une fois le paiement effectué par le client via un service indépendant, le statut de la vente reste normalement en attente sur le site. En effet, l’argent doit arriver jusqu’au service de gestion des paiements du site qui confirme ensuite que le produit est payé, et qu’il peut être expédié. Or dans certains cas, c’est une mauvaise connexion entre les deux interfaces qui confirme le paiement alors qu’il n’a jamais eu lieu. Les sites doivent donc se concentrer sur l’amélioration de cette liaison, et améliorer le niveau de sécurisation pour empêcher une éventuelle fraude.

Prévenir les risques

Les chercheurs ont expérimenté des commandes de produits sans être débités d’un centime pour montrer aux sites de e-commerce qu’ils doivent faire des efforts sur la qualité de la connexion entre les différents services d’émission et de réception du paiement et ainsi d’y améliorer la sécurité. Comme le souligne le chercheur Rui Wang "notre étude a pour but de montrer aux sites d’e-commerce en ligne qu’ils ne sont pas à l’abri de distribuer des produits impayés".Avant d’ajouter :"Ils doivent pour cela renforcer la sécurité et la communication par des notifications plus précises entre les deux applications de réception et d’émission des paiements".

 

* Comment faire ses courses gratuitement