Un exemple de site e-commerce à ne pas suivre

Il y a quelques jours, j’aidais mon frère à acheter une réplique d’armée pour son entreprise d’airsoft. Nous sommes allés sur un site d’e-commerce : Safarasoftair.

Nous avons sélectionné l’article qui intéressait mon frère et nous sommes passés à la partie paiement. C’est là que ça commence à craindre. Pour renseigner le numéro de carte bleue, le site n’a pas trouvé important de mettre la page en https. C’est comme si vous envoyez par la poste, votre carte bleue scotchée à une carte postale avec écrit en gros votre code secret, et que vous espériez que personne ne vous vole.

J’ ai donc annulé l’achat et j’ai souhaité leur envoyer un mail. Le site n’étant pas très intuitif, je n’ai pas trouvé la partie contact. J’ai donc recherché une adresse email via les services whois. J’ai trouvé un email de contact, auquel j’ai écri donc. J’ai reçu un email pour m’avertir que cette adresse n’existe pas.

Je suis retourné sur le site et j’ai trouvé la partie contact, qui n’a pas de formulaire mais juste une adresse mail. Je leur ai donc écrit pour leur demander comment ça se fait qu’ils enchaînent autant d’erreur aussi importantes. Actuellement, mon mail est resté sans réponse.

Ca fait environ 14 ans que je me balade sur Internet, et c’est la première fois que je rencontre un site sans https pour la partie paiement. Donc, même si les choses évoluent plutôt bien en général, gardez toujours le réflexe de vérifier que les sites respectent les règles de base : le https au moins pour la partie paiement.

MAJ : le site a répondu à mon email. Voici leur réponse :
« dear sir
thank you for your mail.. the credit card system split the datas in 2 different files to avoid ackers pishing.. but if you dont trust teh system you can also send money trought paypal.. http://www.safarasoftair.com/index.php? main_page=page_2 regards
sfr »

En gros, ils me disent qu’ils n’ont pas besoin d’utiliser du https, car les données bancaires sont divisés dans deux fichiers afin de réduire les risques d’attaques. Cette excuse n’a rien à voir avec le problème initiale, puisque le https sert lors du transfert entre le client et le serveur.

Par contre, leur phrase fait peur car ce genre de réponse serait logique (mais pas acceptable) dans le cas où je leur aurais demandé pourquoi leur base de données n’est pas chiffrée.

Dès que j’ai du temps, je vais essayer de l’intéresser à ce site d’un peu plus près. 🙂

2 réflexions sur « Un exemple de site e-commerce à ne pas suivre »

  1. C’est même pire que ça je pense, pour moi il n’est pas sûr que la transaction soit réellement effectuée, et que le site ne soit pas tout simplement frauduleux. Vu la tête du site , je pencherai plus pour un vol de numéro de carte…

    Je m’explique. Légalement (en France), personne d’autre qu’une banque (reconnue au statut de banque cela va de soit) n’a le droit de vous demander de saisir votre numéro de carte bancaire et encore moins de le stocker quelque part.

    Par conséquent, pour les sites Internet, c’est la même chose, la partie paiement en ligne est obligatoirement décentralisée sur les serveurs du prestataire mandaté par la banque. Au plus, le site stocke un identifiant de transaction, qui est un code unique généré à chaque paiement sur le site, et identique coté banque et coté site.

    Les modules de paiement par carte qu’on intègre dans les sites sont fait de sorte que le site envoi uniquement les informations sur le montant à payer, éventuellement des informations sur l’acheteur (Nom, prénom, adresse) ou du panier (prix du produit, nom du produit, etc.). Et c’est tout. Et c’est tout. Jamais de numéro de carte.
    Cette solution à bas coût pour le site se remarque quand le design du site n’est pas vraiment présent sur la page de saisie de carte ou reste très basique. Dans ce type de paiement par carte ne s’effectue en aucun cas sur les serveurs du site privé, et dans tous les cas on est dans une transmission de données chiffrées (c’est pourquoi il est important de vérifier le https dans l’url au moment du passage sur l’interface de saisie de carte).

    Il existe cependant certaines solutions de paiement qui permettent d’intégrer le paiement à l’intérieur d’une page du site, comme c’est le cas par exemple pour http://www.voyage-sncf.com, mais dans ces cas rares, il s’agit de sites gros budgets, qui travaillent en relation intense avec la banque et le prestataire. Je pense même que dans ce cas particulier, les pages de paiements sont intégrées dans le style du site sur le serveur du prestataire, et que la bascule du site de la sncf vers le serveur du prestataire est transparente pour l’utilisateur.

    Dans tous les cas, ce qu’il faut retenir, c’est qu’un paiement DOIT être effectué sur une interface chiffrée. Pour faire simple, si le site ne présente pas de https à la saisie de carte, comme disait Gandalf : « FUYEZ PAUVRES FOUS ! »

    • D’après l’ami de mon frère qui lui a conseillé le site, il n’a jamais eu de problème pour recevoir les colis. Mais je reste super méfiant.

Répondre à Seyb Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

* Copy This Password *

* Type Or Paste Password Here *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.