Paiements en ligne : sécurité et confort

Dans les pays développés, les paiements par carte sont devenus chose courante. Adieu les porte-feuilles remplis de billets ! La carte en plastique remplace les liasses les plus épaisses. Les Internautes ont également trouvé des avantages au paiement par carte. Ce mode de paiement permet de réaliser des achats en ligne, de réserver une chambre d’hôtel, de louer une voiture, d’acheter des billets d’avions.

Les services bancaires en ligne permettent bien souvent aux clients des banques de réaliser toutes les opérations qu’ils réaliseraient normalement dans une agence. Ces services sont très pratiques et permettent, depuis chez soi, de contrôler les mouvements sur les comptes, de réaliser des virements, d’ouvrir ou de fermer des comptes d’épargne ou d’acheter ou de vendre des devises.

Mais chaque médaille a son revers. La popularité des paiements par carte bancaire attire un nombre toujours plus élevé d’individus qui cherchent à mettre la main dans le portefeuille du voisin. Les détenteurs de carte s’exposent au danger au moment de réaliser des paiements ou des transactions bancaires en ligne. En effet, pour pouvoir réaliser ces opérations sur le site du magasin ou de la banque, il faut saisir des données confidentielles : nom, prénom, numéro de téléphone et données relatives à la carte de crédit. Si ces informations tombent aux mains d’individus malintentionnés, le détenteur de la carte risque de voir son compte totalement débité. De plus, les magasins en ligne douteux ne sont pas rares sur Internet. Ces sites offrent une multitude de produits mais après avoir payé votre commande, vous ne recevez rien et dans le pire des cas, le crédit disponible sur votre carte est utilisé dans sa totalité.

Que faut-il donc faire pour ne pas se retrouver dans cette situation et éviter de tomber dans le piège des escrocs ? Quelles sont les règles à respecter lors de la réalisation d’achats ou d’autres transactions en ligne à l’aide de cartes bancaires ? Cet article cherche à attirer l’attention sur les éléments qu’il faut garder à l’esprit afin de ne pas perdre son argent lors de la réalisation de paiements en ligne.

Achats sur Internet

Les Internautes doivent être prudents à chaque étape de la réalisation d’achats sur Internet. A quoi faut-il donc faire attention ?

Carte dédiée aux achats

Afin de ne pas devenir la prochaine victime des individus malintentionnés et de ne pas perdre l’argent qui se trouve sur votre compte en banque, essayez d’obtenir une carte bancaire séparée que vous réserverez aux opérations en ligne. Le crédit associé à cette carte ne doit pas être important. Si des cybervoleurs parvenaient à dérober les données de cette carte, les sommes perdues seraient limitées. Vous pouvez également alimenter le compte directement avant chaque achat et convenir avec votre banque d’un montant maximum pour les retraits journaliers.

Sélection du magasin en ligne

Une fois qu’un acheteur a décidé d’acheter un article en ligne, il doit rechercher et trouver le magasin qui offre ce qu’il recherche. Il est préférable de réaliser les achats sur un site connu qui a fait l’objet de bonnes recommandations. Si cela n’est pas possible pour une raison quelconque, soyez prudent : les escrocs ne sont jamais en manque d’imagination lorsqu’il s’agit de trouver de nouvelles méthodes pour tromper les acheteurs. Quels sont les éléments auxquels il faut prêter attention afin d’éviter de tomber sur de tels sites ?

Apparence du site

Lors de la recherche d’un magasin en ligne, vous risquez de tomber sur le site d’escrocs. Dans la mesure où la durée de vie des sites d’escroquerie est éphémère, les individus malintentionnés en Russie ne se soucient pas du caractère exact de la reproduction des fausses pages Internet. Par conséquent, un magasin en ligne douteux est souvent reconnaissable à sa mise en page. De tels sites peuvent avoir un aspect simple et faire toc, ils peuvent également présenter des défauts (les liens ne marchent pas, les polices ne sont pas bien rendues, la mise en page du texte laisse à désirer, etc.) et certains onglets ou pages peuvent ne pas fonctionner du tout ou donner des messages d’erreur.

Informations relatives au magasin

Si vous ne connaissez rien du magasin et que vous avez des doutes sur sa légitimité, ne manquez pas de chercher des informations à son sujet sur Internet. Vous pouvez par exemple rechercher des commentaires sur un magasin en saisissant dans le moteur de recherche les expressions suivantes « boutique-en-ligne.com commentaires » ou « boutique-en-ligne.com escroquerie ». Si ce magasin a une activité malhonnête, il est probable que des victimes l’auront signalé sur Internet. Vérifiez également la présence sur le site de numéros de téléphone de contact, de l’adresse du siège social, des coordonnées bancaires. Ces informations doivent être vérifiées également, via le moteur de recherche. Si les doutes ne sont pas dissipés, il est préférable de ne pas prendre de risque et de chercher un autre magasin.

Informations relatives au domaine

Soyez attentif à l’URL du magasin en ligne. Un magasin ou un système de paiement en ligne légitime qui se respecte ne peuvent avoir une URL poubelle du style : www.ds3a1000r1sad.isd3.com. Les sites de magasins en ligne dont le domaine est enregistré chez un hébergeur gratuit (par exemple narod.ru, freehosting.com, etc.) doivent également éveiller des soupçons.

Si l’URL du magasin en ligne vous semble suspecte, vous pouvez tenter de voir qui a enregistré ce nom de domaine et à quand remonte son enregistrement.

Pour obtenir ces informations, vous pouvez faire appel à un des nombreux services « whois » qui sont des sites spécialisés permettant de consulter les données d’enregistrement d’un domaine. Il suffit pour ce faire d’accéder à un site proposant ces services (on les trouve facilement via les moteurs de recherche) et d’y saisir le nom de domaine complet.

Essayez de voir au nom de qui le domaine a été enregistré et depuis combien de temps il existe.

Un nom de domaine enregistré au nom d’une personne juridique doit inspirer plus de confiance que le nom de domaine appartenant à une personne physique. Il arrive parfois que le nom de la personne physique propriétaire du domaine soit remplacé par « private person » ou « DOMAIN WHOIS PROTECTION SERVICE », ce que signifie que la personne n’a pas souhaité dévoiler ses données personnelles et a activé le service correspondant lors de l’enregistrement. Si une telle situation se présente dans les données « whois » d’un magasin en ligne connu, il faut être prudent.

Plus la période d’enregistrement du domaine est longue, mieux c’est. En général, les magasins utilisés dans le cadre d’escroquerie sont vite démantelés et c’est la raison pour laquelle leur nom de domaine n’est pas enregistré pour une longue durée. Si le domaine existe depuis plus d’un an, c’est une bonne chose.

Connexion sécurisée

Une fois que vous avez trouvé le magasin qui vous convient et que vous avez choisi l’article à acheter, il est temps de passer à la caisse. Pour que les individus malintentionnés ne puissent pas intercepter les données confidentielles de l’utilisateur saisies sur le site du magasin en ligne, ces données doivent être impérativement transmises sous forme chiffrée.

Il existe un protocole crypté spécial, le protocole SSL (Secure Sockets Layer), prévu pour le cryptage du flux de données transmises entre le client et le serveur. La nécessité de connexions SSL sécurisées a entraîné la création du protocole HTTPS qui est une extension du protocole HTTP qui prend en charge le cryptage. Il offre une protection contre les attaques qui reposent sur l’observation des connexions de réseau et il est utilisé par la majorité des sites légitimes qui veulent protéger les données confidentielles de leurs utilisateurs pendant le transfert au serveur.

Le premier point auquel il faut faire attention avant de saisir des données confidentielles, c’est de voir si la barre d’adresse du navigateur contient « HTTPS». Voici à quoi doit ressembler l’adresse d’un serveur avec une connexion sécurisée: https://www.online-shop.com.

Toutefois, la seule présence de HTTPS dans la barre d’adresse ne suffit pas pour garantir la sécurité. Chaque site qui utilise le protocole SSL doit posséder un certificat numérique émis et signé par un centre de certification. Il s’agit d’un document électronique qui identifie le détenteur (http://en.wikipedia.org/wiki/Public_key_certificate). Ce certificat offre les garanties suivantes:

  1. Les données du site ont été vérifiées par le centre de certification.
  2. La protection de la connexion à l’aide d’un algorithme de cryptage.
  3. La société qui a enregistré le site existe bel et bien.
  4. Le site appartient à l’organisation qui a obtenu le certificat.

L’existence d’un certificat valide et signé par un centre légitime pour le site est signalée par l’icône du cadenas dans la barre d’adresse ou dans la barre d’état du navigateur (en bas, dans le cadre de la fenêtre du navigateur). L’aspect de l’icône de la connexion sécurisée et son emplacement peuvent varier en fonction de la version du navigateur. Elle dépend également des paramètres du navigateur et de l’installation de modules complémentaires.

 
Connexion sécurisée dans Google Chrome 3

 
Connexion sécurisée dans Opera 10

L’affichage de https dans la barre d’adresse et l’existence d’un certificat d’authenticité sont peut-être les éléments indicateurs de la légitimité d’un site les plus importants. Un site dont l’adresse commence par https mais qui ne possède de certificat d’authenticité ne peut être considéré comme un site sûr.

Souvent, les escrocs qui cherchent à tromper les utilisateurs ajoutent une image de cadenas à la page d’un site qui en réalité ne possède aucun certificat. N’oubliez pas que l’icône du cadenas fermé qui confirme l’existence d’un certificat doit se trouver exactement dans la barre d’état ou dans la barre d’adresse du navigateur. De plus, un double clic gauche sur l’icône ouvre une fenêtre reprenant les informations relatives au certificat..

Certificats d’authenticité

Il faut absolument vérifier la légitimité du certificat d’authenticité : malheureusement, les escrocs ont appris à utiliser les certificats fictifs. Les opportunités pour les « professionnels » sont nombreuses. Par exemple, les individus malintentionnés peuvent voler un certificat, obtenir un certificat pour un site quelconque auprès d’un centre de certification et l’utiliser dans le cadre de leur attaque. De plus, ils peuvent également créer un certificat et le signer eux-mêmes. C’est ce qu’on appelle des certificats « autosignés ».

Pour vérifier le certificat d’authenticité d’un site, il suffit de cliquer sur le cadenas fermé. Ici, l’élément le plus important est le nom du centre de certification, à savoir qui a octroyé le certificat (voici quelques exemples de centres de certification de confiance : Geotrust, Twante Consulting, Verisign), le bénéficiaire du certificat et la durée de validité du certificat.


Certificat signé par un centre de confiance (Internet Explorer)


Certificat numérique légitime (Mozilla Firefox)

Si vous vous rendez-compte que :

  • Le domaine pour lequel le certificat a été octroyé ne correspond pas au domaine du site.
  • La durée de validité du certificat est déjà écoulée

Alors, il est fort probable que ce certificat soit frauduleux.

Les navigateurs modernes possèdent un système de protection intégré. Les développeurs des navigateurs ont inclus dans leur programmation les listes des centres de certification racine. Le navigateur considère dès lors qu’un certificat est légitime uniquement si le centre de certification qui l’a émis figure dans la liste des organisations de confiance intégrée au navigateur. Ou si le certificat a été émis par une société partenaire d’un des centres de certification de confiance. Si l’adresse du site commence par https, mais que ce site ne possède pas de certificat ou que le certificat a été octroyé par une organisation qui ne figure pas dans la liste des organisations de confiance, le navigateur tire la sonnette d’alarme.

Si la page de saisie des données confidentielles n’est pas sécurisée, nous vous conseillons d’aller réaliser vos achats sur un autre site.

Paiement

Souvent, l’acheteur peut choisir : payer via le système de paiement propre au magasin ou utiliser un système de paiement tel que Paypal, payonlinesystem, WebMoney, YandexDengi, etc. Si vous ne faites pas trop confiance au magasin en ligne ou à la société qui a délivré le certificat, vous pouvez choisir de payer via un service dans lequel vous avez confiance. Cela ne vous évitera pas de transférer de l’argent à des escrocs, mais au moins vos données personnelles resteront à l’abri et vous éviterez ainsi des pertes plus importantes.

Remboursement

Il arrive que des magasins demandent le paiement préalable à 100 % des articles et puis qu’ils n’honorent pas la commande, disparaissent et ne répondent pas à vos appels. Si vous avez été victime d’une telle situation, il ne faut pas désespérer : vous avez le droit d’ouvrir une procédure de remboursement.

Le remboursement sur une carte de crédit est un processus qui permet de récupérer du compte du vendeur l’argent payé par l’acheteur si ce dernier avance assez de preuve pour démontrer que la transaction n’a pas eu lieu ou qu’il s’agissait d’une escroquerie. La non réception de l’article acheté ou la réception d’un article dont la qualité ne correspond pas à la qualité annoncée sont des éléments suffisants pour prétendre à un remboursement. Contactez la banque émettrice de votre carte. C’est la banque qui mènera l’enquête et sur la base des informations fournies (lieu où l’achat a été réalisé, date et heure, compte débité, type d’article), la somme sera créditée à la carte dans un délai de 20 jours.

Opérations bancaires via Internet

Malheureusement, la réalisation d’achats n’est pas la seule occasion où un internaute risque de perdre de l’argent. Si vous utilisez les services de transactions bancaires en ligne proposés par votre banque, vous devez faire preuve d’une extrême prudence afin de ne pas tomber dans les pièges des cybercriminels.

Méthodes employées par les individus malintentionnés

Les cybercriminels qui souhaitent obtenir les données des cartes bancaires des utilisateurs disposent de tout un arsenal. Nous allons présenter quelques-unes des méthodes utilisées.

Phishing

N’accédez jamais au site de la banque ou du système de paiement depuis un lien envoyé par courrier électronique ou diffusé via un réseau social, même si ce message a été envoyé au nom de la banque, du système de paiement ou d’une autre organisation. Dans un tel cas de figure, vous risquez probablement de vous retrouvez sur un site de phishing.

Le phishing est un type d’escroquerie pratiqué sur Internet. Il consiste à diffuser des messages électroniques au nom d’institutions financières, de banques, de services de courrier, etc. contenant des liens vers des copies des sites des organisations en question. L’objectif premier des auteurs d’attaques de phishing est de dérober des informations confidentielles (nom d’utilisateur et mot de passe, données des cartes de crédit) en vue de les utiliser plus tard.

Farming

Le farming est le nom donné à la procédure qui consiste à rediriger l’utilisateur vers une fausse adresse IP à l’aide du fichier système hosts modifié. En général, le fichier hosts contient une seule ligne : « 127.0.0.1 localhost ». Toutefois, les individus malintentionnés peuvent utiliser des programmes malveillants pour y ajouter d’autres enregistrements. C’est ainsi que des lignes de correspondances avec des adresses en lettres ou IP des sites qui intéressent les individus malintentionnés (par exemple, des magasins en ligne populaires) se retrouvent dans le fichier hosts. Mais au lieu de l’adresse IP correcte, l’adresse qui y figure est frauduleuse. Les utilisateurs des ordinateurs infectés qui tapent l’adresse de ces sites se retrouvent sur des copies fidèles des sites. Et dans la barre d’adresse de son navigateur, l’utilisateur voit l’adresse en lettres du site légitime ! Mais s’il saisit ses données confidentielles sur ce site, elles seront transmises aux individus malintentionnés.

L’article suivant présente en détail les types et les méthodes de farming.

Logiciels espion

Des logiciels espion peuvent être installés sur l’ordinateur (par exemple, des enregistreurs de frappes capables de voler des mots de passe). Le risque de voir ses données personnelles tomber dans de mauvaises mains est particulièrement élevé quand les transactions impliquant les cartes bancaires sont réalisées dans des lieux publics (cybercafé, bibliothèque, bars, restaurant) car l’ordinateur accessible à tout le monde est exposé à un plus grand risque d’infection. Il peut s’agir d’une infection accidentelle provoquée par une clé USB contaminée ou d’une infection organisée par des individus malintentionnés qui pourront compter ainsi sur une bonne récolte de données confidentielles.

Même si vous vous connectez à un réseau Wi-Fi public avec votre propre ordinateur, vous ne pouvez pas être certain que vos données personnelles ne seront pas interceptées par un tiers, surtout si ce réseau n’est pas protégé par un mot de passe.

Sur la base de ce que nous venons de voir, le nom d’utilisateur et le mot de passe peuvent être dérobés des manières suivantes:

  1. interception de toutes les frappes au clavier pendant que l’utilisateur travaille sur l’ordinateur ;
  2. interception des frappes au clavier lors de la saisie du nom d’utilisateur et du mot de passe sur le site d’un magasin en ligne ou dans une application qui requièrent une autorisation ;
  3. calcul des données d’enregistrement saisies dans un champ spécial sur la page d’un site de transactions bancaires en ligne ou d’un magasin en ligne ;
  4. interception des requêtes HTTP du navigateur à la banque et extraction du nom d’utilisateur et du mot de passe ;
  5. substitution de la page légitime d’une banque par une page de phishing.

Protection des clients des banques

Pour mettre leurs clients à l’abri des actions des escrocs, les banques ont adopté différents mécanismes de protection. En général, la réalisation de transactions bancaires en ligne requiert deux mots de passe : le premier pour accéder au système et consulter le solde des comptes et le deuxième, pour réaliser des virements ou d’autres opérations. Il existe un système de mots de passe dynamiques à usage unique que les banques envoient aux clients via SMS. Ces mots de passe ont une durée de validité de 30 minutes. L’accès suivant au système requiert l’obtention d’un nouveau mot de passe dynamique. L’interception d’un tel code est une tâche relativement complexe. Certaines banques, pour le confort de leurs clients, proposent une liste de mots de passe à usage unique, par exemple sur la forme de cartes en plastique avec des champs couverts. Souvent, les banques mettent à la disposition de leurs clients des clés matérielles. Ces clés se présentent sous la forme d’un porte-clé qui fournit des mots de passe à usage unique à la demande de l’utilisateur. Ce mot de passe offre une protection supplémentaire pour le processus d’authentification ou les autres actions que l’utilisateur pourrait réaliser dans le système. Certaines banques proposent à leurs clients des applications spéciales à installer sur l’ordinateur et qui permettent de réaliser des transactions bancaires en ligne (au lieu de la page Internet de la banque). La réalisation des transactions via ces applications réduit le risque de se retrouver sur un site frauduleux. Et bien entendu, toutes les transactions bancaires en ligne doivent être réalisées via une connexion sécurisée à l’aide du protocole SSL (l’adresse doit commencer par HTTPS et l’icône du cadenas doit absolument apparaître dans la barre d’adresse ou dans la barre d’état du navigateur).

Comment protéger son argent ?

Quelles sont les mesures qu’un utilisateur attentif des services de transactions bancaires en ligne peut adopter pour protéger son argent ?

Réfléchissez bien au mot de passe que vous allez choisir. Il est conseillé d’opter pour un mot de passe alphanumérique avec des lettres minuscules et majuscules. Conservez les mots de passe et les codes PIN dans un endroit inaccessibles aux tiers.

Pour saisir les données confidentielles, utilisez un clavier virtuel. De nombreuses banques suggèrent à leurs clients d’utiliser un clavier virtuel lors de la réalisation de transactions bancaires en ligne et de ne pas saisir les données confidentielles manuellement. Les solutions proposées par les principaux éditeurs de logiciels antivirus intègrent de tels outils. Le risque d’interception des informations saisies par des enregistreurs de frappes est ainsi réduit.

Il est possible également de réaliser les paiements en ligne dans ce qu’on appelle un « bac à sable », proposé par de nombreuses solutions de lutte contre les virus, afin de réduire le risque d’interception des données confidentielles.

L’expression « bac à sable » a été empruntée aux sapeurs-pompiers chez qui elle désigne un coffre contenant du sable et qui permet de manipuler sans danger des substances hautement inflammables. Le bac à sable des logiciels antivirus remplit des fonctions similaires. Il permet de créer un environnement isolé dans lequel n’importe quel site Internet ou application peut être ouvert sans danger pour le reste du système qui est ainsi à l’abri de la moindre modification (y compris des modifications dangereuses). Par exemple, si vous avez activé la navigation sécurisée dans KIS, toutes les modifications (cookies enregistrés, historique de la navigation, etc.) restent dans l’environnement protégé et n’entrent pas le système d’exploitation. Autrement dit, ces données ne peuvent pas être volées par des individus malintentionnés. Il est également possible d’activer le contrôle de l’accès aux sites de transactions bancaires en ligne, ce qui permet d’identifier automatiquement les sites de banque. Les solutions proposées par d’autres éditeurs adoptent des principes similaires.

Surveillez les mouvements sur votre compte. A l’heure actuelle, de nombreuses banques offrent un service très utile d’informations via SMS sur toutes les transactions réalisées à l’aide de la carte. Dès qu’un paiement est réalisé à l’aide de la carte, un SMS est envoyé au numéro de téléphone du client. S’il s’agit d’un paiement que vous n’avez pas réalisé, vous pouvez contacter immédiatement la banque et bloquer la carte. Lors de l’ouverture d’un compte et de l’activation de votre carte, vous pouvez définir un plafond journalier pour les transactions réalisées à l’aide de la carte. Ainsi, vous éviterez que des escrocs puissent retirer en une fois une somme importante de votre compte à votre insu.

Règles pour protéger son argent sur Internet

Si vous ne souhaitez pas devenir la prochaine victime des individus malintentionnés au moment de réaliser des achats ou des transactions bancaires en ligne, il est conseillé de respecter les règles suivantes :

  • Sollicitez une carte spéciale dédiée aux achats en ligne avec un solde modeste.
  • N’accédez pas à des sites via des liens repris dans des messages électroniques, des messages envoyés via des réseaux sociaux ou des clients de messagerie instantanée ou en cliquant sur une bannière publicitaire sur un site douteux. Ne cliquez sur aucun lien envoyé par des inconnus.
  • Avant de réaliser un achat sur n’importe quel site, lisez ce que d’autres acheteurs en pensent.
  • Evitez les magasins qui utilisent des services d’hébergement gratuit.
  • Si vous avez des doutes sur un magasin en ligne, consultez les données whois pour savoir depuis quand le domaine existe et qui en est le propriétaire. Faites particulièrement attention à la durée pour laquelle le site a été enregistré.
  • Saisissez l’adresse du site de la banque ou du système de paiement en ligne manuellement.
  • Les institutions financières ne vous enverront jamais un message pour vous demander de leur envoyer vos données confidentielles par courrier, d’accéder à un site pour confirmer l’autorisation ou de saisir ces données dans des fenêtres contextuelles. Ne cliquez pas sur des liens envoyés au nom de banques ou de systèmes de paiement en ligne.
  • Analysez attentivement l’URL de la page contenant les champs de saisie des données confidentielles. Si l’URL contient une série bizarre de caractères ou si l’URL semble douteuse, ne réalisez aucun paiement via cette page.
  • Vérifiez si la transmission des données confidentielle s’opère via une connexion cryptée. Si la connexion est sécurisée, l’adresse du site doit commencer par https et l’icône d’un cadenas fermé doit apparaître dans la barre d’adresse ou dans la barre d’état du navigateur.
  • Cliquez sur l’icône du cadenas pour vérifier le certificat d’authenticité SSL octroyé au site (date d’émission, durée de validité et bénéficiaire).
  • Evitez dans la mesure du possible de réaliser des achats ou des transactions bancaires en ligne depuis des lieux publics (cybercafé, bibliothèques, clubs). Les ordinateurs dans ces endroits peuvent être bourrés de logiciels espion, d’intercepteurs de frappes et d’intercepteur du trafic Internet. Même si vous utilisez votre propre ordinateur, mais que vous réalisez des transactions bancaires via un réseau Wi-Fi public gratuit, l’administrateur du réseau peut théoriquement intercepter le trafic. Le trafic peut également être observé par des tiers et vous vous exposez au risque d’attaque par des vers de réseau, surtout si le réseau Wi-Fi n’est pas protégé par un mot de passe.
  • Veillez à toujours maintenir votre système d’exploitation et votre application antivirus à jour. La meilleure protection est garantie par l’installation des mises à jour et des correctifs du système d’exploitation les plus récents, par des filtres antispam, des pare-feu et les versions les plus récentes de logiciels de lutte contre les virus et le spam dotés de bases à jour. Pour augmenter la protection, vous pouvez installer un pare-feu matériel (à savoir, un pare-feu normal sous la forme d’un périphérique spécial). Pour une protection optimale, il est possible d’associer un pare-feu logiciel et un pare-feu matériel car chacun d’entre eux possède ses points forts et ses points faibles.

Et pour conclure : ne craignez pas de réaliser des achats ou des transactions bancaires en ligne. Si vous restez vigilant et respectez les mesures de précautions présentées ici, vous pourrez profiter sans crainte du confort qu’offre Internet.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *