Un exemple de site e-commerce à ne pas suivre

Il y a quelques jours, j’aidais mon frère à acheter une réplique d’armée pour son entreprise d’airsoft. Nous sommes allés sur un site d’e-commerce : Safarasoftair.

Nous avons sélectionné l’article qui intéressait mon frère et nous sommes passés à la partie paiement. C’est là que ça commence à craindre. Pour renseigner le numéro de carte bleue, le site n’a pas trouvé important de mettre la page en https. C’est comme si vous envoyez par la poste, votre carte bleue scotchée à une carte postale avec écrit en gros votre code secret, et que vous espériez que personne ne vous vole.

J’ ai donc annulé l’achat et j’ai souhaité leur envoyer un mail. Le site n’étant pas très intuitif, je n’ai pas trouvé la partie contact. J’ai donc recherché une adresse email via les services whois. J’ai trouvé un email de contact, auquel j’ai écri donc. J’ai reçu un email pour m’avertir que cette adresse n’existe pas.

Je suis retourné sur le site et j’ai trouvé la partie contact, qui n’a pas de formulaire mais juste une adresse mail. Je leur ai donc écrit pour leur demander comment ça se fait qu’ils enchaînent autant d’erreur aussi importantes. Actuellement, mon mail est resté sans réponse.

Ca fait environ 14 ans que je me balade sur Internet, et c’est la première fois que je rencontre un site sans https pour la partie paiement. Donc, même si les choses évoluent plutôt bien en général, gardez toujours le réflexe de vérifier que les sites respectent les règles de base : le https au moins pour la partie paiement.

MAJ : le site a répondu à mon email. Voici leur réponse :
« dear sir
thank you for your mail.. the credit card system split the datas in 2 different files to avoid ackers pishing.. but if you dont trust teh system you can also send money trought paypal.. http://www.safarasoftair.com/index.php? main_page=page_2 regards
sfr »

En gros, ils me disent qu’ils n’ont pas besoin d’utiliser du https, car les données bancaires sont divisés dans deux fichiers afin de réduire les risques d’attaques. Cette excuse n’a rien à voir avec le problème initiale, puisque le https sert lors du transfert entre le client et le serveur.

Par contre, leur phrase fait peur car ce genre de réponse serait logique (mais pas acceptable) dans le cas où je leur aurais demandé pourquoi leur base de données n’est pas chiffrée.

Dès que j’ai du temps, je vais essayer de l’intéresser à ce site d’un peu plus près. 🙂

Le Figaro a fait très fort

J’ai lu un article de Korben sur la fuite de données du journal en ligne le Figaro.

Pour faire court, on peut trouver sur Google les liens vers des commentaires d’utilisateurs du journal. Seulement voila, dans l’url se trouve le login et le mot de passe de celui qui a écrit le commentaire. Ce n’est pas beau, ça ? Non, clairement non, et pour plusieurs raisons.

Déjà, pourquoi avoir mis le login et le mot de passe de la personne dans l’url ? Un numéro en base qui correspond au commentaire et au login de la personne est plus suffisant (début deuxième année d’informatique ça, au maximum).
Ensuite, si le mot de passe apparait en clair dans l’url, ça signifie qu’il est stocké ainsi dans la base de données (ou dans le ldap suivant le cas). C’est le pire truc qu’on puisse faire. Lorsqu’on fait un développement un tant soit peu sérieux (c’est-à-dire au moins niveau TP à l’université), on crypte les mots de passe et on les insère ainsi en base. Lorsque l’utilisateur tape son login / mot de passe, on récupère et crypte ce dernier. Si le résultat crypté correspond à ce qui est en base alors ça veut dire qu’il s’agit du même mot de passe. En gros, l’administrateur ne peut pas (et ne doit pas) pouvoir voir mon mot de passe et si sa base de données est piratée, les pirates ne pourront pas connaitre facilement les mots de passe.

Autre point, et là il n’est pas technique mais humain. Je trouve ça pitoyable de la part du journal d’avoir réagit en disant que ce problème était l’œuvre d’un piratage informatique. Ce n’est pas possible ! Ca voudrait dire que le pirate est rentré sur la base de données du site. Il a vu la table des mots de passe cryptés. Il les a tous décrypté et au lieu de les récupérer, il serait entré sur le site, aurait eu accès à son code source, et l’aurait modifié pour faire apparaitre tout ça dans l’url. Vous imaginez sérieusement un gars assez con pour se faire chier à modifier tout le code d’un site pour faire ça, alors qu’il n’a qu’à mettre les logins / mot de passe sur Internet ?
Donc Le Figaro a essayé de cacher le fait qu’ils ont acheté un site mal fait en disant que c’est l’œuvre d’un pirate.
De même, le temps de réaction du journal pour commencer à traiter le problème a été trop long : 2 jours. 2 jours sur Internet est équivalent à une décennie en temps normal. L’information a eu le temps de se propager, d’être lue et stockée par les moteurs de recherche, etc.

Tout ça pour dire, que si vous avez un compte sur leur site, je vous conseille très fortement de changer votre mot de passe et de vous attendre à vous faire spammer votre boite mail dans les prochains jours.

Piwik et WordPress

Cet article est basé sur une hypothèse personnelle.

J’ai l’impression que depuis la version 3.3.3 de WordPress, Piwik n’arrive plus à analyser le trafic du site. Personnellement, depuis la mise à jour, j’ai 0 visiteur par jours.
Au début, je me suis dis qu’il s’agissait d’une chute du trafic, mais après je me suis rappelé que lorsque j’écris un article, les pages de preview sont elles aussi comptées par Piwik.
Je n’ai rajouté ou enlevé aucune extension. La seule modification effectuée a été la version de WordPress.
C’est pourquoi je pense que Piwik a un problème depuis la version 3.3.3 de WordPress.

Si vous avez des informations sur ce sujet, n’hésitez pas à m’en faire part via les commentaires ou le formulaire de contact pour les timides. 🙂

Une boutique en ligne taxe les utilisateurs d’Internet Explorer 7

Le site Kogan, qui vend entre autres des tablettes, et des smartphones, a décidé de taxer en plus de 6,8% de la vente les utilisateurs d’IE 7.

3% de ses clients se servent encore de ce navigateur. Il empêche le développement du site comme le souhaite les responsables. En effet, il supporte mal les normes du web et ne connait aucune des dernières.
Donc, lors des développements il faut prendre en compte ce navigateur ce qui soit bloque des nouvelles fonctionnalités, soit oblige à les développer deux fois (un pour les navigateurs et un pour IE7). De plus, ce navigateur étant obsolète, il pose des problèmes de sécurité.

J’aime bien la règle de calcul du pourcentage. Numérama nous apprend (voir source) que les responsables taxent de 0,1% par mois de vie du navigateur. Actuellement, il a 68 mois d’existence. J’espère que les gens changeront avant les 100 mois d’existences. 🙂

Il n’empêche que le site prend un risque en faisant ça car soit les gens changent de navigateur, soit de boutique en ligne. Espérons pour le site et pour le web en général, que les gens retiennent la première solution.

Désavouer un lien vers son site à Google

Bonne nouvelle pour les accros du référencement : Google va proposer un outil pour que les webmaster puissent désavouer un lien vers leur site. Cet outil va permettre ainsi de lutter contre le mauvais référencement.
La nouvelle a été annoncé par Matt Cutts. L’outil devrait apparaitre d’ici 1 à 3 mois.

Cet outil permettra de dénoncer les liens vers votre site, crées par des mauvaises malintentionnées afin de pourrir votre référencement.
Ce genre de pratique est très souvent utilisé : par les partis politiques, les entreprises, etc. Elle est couplée avec la création de sites négatifs, utilisant des mots clefs recherchés. Cela permet aux sites négatifs de prendre la place du « bon » site dans le référencement et faire une mauvaise réputation à la cible.