Il y a quelques jours, j’aidais mon frère à acheter une réplique d’armée pour son entreprise d’airsoft. Nous sommes allés sur un site d’e-commerce : Safarasoftair.
Nous avons sélectionné l’article qui intéressait mon frère et nous sommes passés à la partie paiement. C’est là que ça commence à craindre. Pour renseigner le numéro de carte bleue, le site n’a pas trouvé important de mettre la page en https. C’est comme si vous envoyez par la poste, votre carte bleue scotchée à une carte postale avec écrit en gros votre code secret, et que vous espériez que personne ne vous vole.
J’ ai donc annulé l’achat et j’ai souhaité leur envoyer un mail. Le site n’étant pas très intuitif, je n’ai pas trouvé la partie contact. J’ai donc recherché une adresse email via les services whois. J’ai trouvé un email de contact, auquel j’ai écri donc. J’ai reçu un email pour m’avertir que cette adresse n’existe pas.
Je suis retourné sur le site et j’ai trouvé la partie contact, qui n’a pas de formulaire mais juste une adresse mail. Je leur ai donc écrit pour leur demander comment ça se fait qu’ils enchaînent autant d’erreur aussi importantes. Actuellement, mon mail est resté sans réponse.
Ca fait environ 14 ans que je me balade sur Internet, et c’est la première fois que je rencontre un site sans https pour la partie paiement. Donc, même si les choses évoluent plutôt bien en général, gardez toujours le réflexe de vérifier que les sites respectent les règles de base : le https au moins pour la partie paiement.
MAJ : le site a répondu à mon email. Voici leur réponse :
« dear sir
thank you for your mail.. the credit card system split the datas in 2 different files to avoid ackers pishing.. but if you dont trust teh system you can also send money trought paypal.. http://www.safarasoftair.com/index.php? main_page=page_2 regards
sfr »
En gros, ils me disent qu’ils n’ont pas besoin d’utiliser du https, car les données bancaires sont divisés dans deux fichiers afin de réduire les risques d’attaques. Cette excuse n’a rien à voir avec le problème initiale, puisque le https sert lors du transfert entre le client et le serveur.
Par contre, leur phrase fait peur car ce genre de réponse serait logique (mais pas acceptable) dans le cas où je leur aurais demandé pourquoi leur base de données n’est pas chiffrée.
Dès que j’ai du temps, je vais essayer de l’intéresser à ce site d’un peu plus près. 🙂