L’e-commerce français insuffisamment sécurisé

Cloud

Plus de la moitié des sites français de commerce électronique ne dispose pas de niveau de sécurisation transactionnelle satisfaisant, selon une étude qualitative de ProjetWeb effectuée auprès de 319 sites. Les banques sont les premières visées.

Inquiétant ! Alors que les études s’acharnent à démontrer que le développement du commerce électronique passe par une sécurisation accrues des transactions (voir notamment éditions du 4 avril 2001 et du 12 avril 2001), alors que les banques débordent d’énergie pour offrir des moyens de paiement sécurisés et sécurisant (voir éditions du 26 avril 2001 et du (du 14 février 2001), une étude de la Web Agency ProjetWeb met en évidence le manque de sécurisation des sites français de commerce électronique. Sur les 319 sites testés entre janvier et mars 2001, « moins de la moitié utilisent [un cryptage fort en] 128 bits, moins d’un quart informent réellement les internautes sur la sécurité », constatent les auteurs de l’étude. Autrement dit, le manque de sécurisation tient autant dans la mise en oeuvre technique de la cryptographie des informations que dans la confiance qu’un site génère auprès de l’internaute. « Nous savons également que la confiance est autant une affaire de psychologie que de technologie », rappelle l’étude. « Pour créer ce climat [de confiance] il est indispensable non seulement d’utiliser les moyens de protection les plus rigoureux, mais aussi de le faire savoir aux internautes » pour mieux les convaincre de passer du statut de « visiteur » à celui de « client ».

Les auteurs se sont donc attachés à tester autant la fiabilité technique (en vérifiant le niveau de sécurisation et le type de données cryptées à travers des transactions réelles) que la qualité de la « mise en confiance » des sites dans 4 grands domaines de consommation : banque-bourse, biens de consommation, culture-loisir et maison-électroménager-hifi (MEH). Le résultat n’est pas triste. Près de 4 % des sites n’offrent aucune sécurisation des données. « Les numéros de carte bancaire peuvent être interceptés en clair sur Internet. Rien ne les protège », constate l’étude. Ce chiffre peut paraître dérisoire. Il n’empêche qu’il interdit d’affirmer que tous les sites de commerce électronique sont sécurisés.

Il y a cryptage et cryptage

Plus grave, un site dit sécurisé n’est pas synonyme de fiabilité. Car, comme le rappelle le rapport, plus que le cryptage d’une information, c’est la taille de sa clé de cryptage qui importe face aux moyens dont dispose le pirate. Et alors que le gouvernement autorise l’utilisation de clés de 128 bits depuis mars 1999, « plus de la moitié [des sites] n’utilisent pas de certificats 128 bits ». Pourtant, 54 % des certificats ont été achetés en août 2000 (soit plus d’un an après l’autorisation gouvernementale) et leur coût de 300 dollars est largement supportable pour les entreprises. De plus, leur installation requière les mêmes compétences que pour des clés de 40 bits. Les banques et sites de courtage électronique sont les premiers visés : 74 % d’entre eux sont « médiocrement protégés » contre 40 % pour le domaine MEH. Les auteurs n’hésitent pas à livrer les noms. Les sites de Air France, Allo-ciné, Tati, La Redoute, Fnac, HP, Gateway, Compaq, Promod, Camif et, dans la banque, BNP-Paribas et sa filiale Banque directe, Banque populaire, Caisse d’épargne, CIC, Crédit Agricole, Crédit du Nord, Cortal, Crédit Mutuel, ING Direct « ne sont pas suffisamment protégés ».

Un véritable frein au développement de l’e-commerce

L’étude justifie ces résultats par l’ignorance des internautes en matière de cryptogramme dont profiteraient les entreprises en se reposant sur la confiance acquise par les clients en dehors d’Internet. Cela se traduit par l’absence d’information sur la sécurité des transactions de la part des sites. Ainsi, 28,5 % d’entre eux ? dont 67,3 % pour le secteur banque-bourse ? n’offrent aucune explication sur ce sujet. « Seuls 10 % des sites informent suffisamment les internautes sur la sécurité » et 15 % ont une ergonomie qui cache la sécurité, au risque que, plus méfiant qu’au début de la transaction, l’internaute stoppe son achat. « Il existe donc un décalage considérable entre les internautes et les entreprises françaises. Elles doivent le prendre en compte, si elles souhaitent rentabiliser leurs projets Internet et, plus largement, contribuer au développement d’Internet en France », conclut le rapport. A bon entendeur…

Pour en savoir plus :L’étude ProjetWeb