bUg <BR>Oth3r | Sécurité | vie privée | RE:vue de web |     | vie-privee.org | Big Brother Awards France | RenseignementsGeneraux.net
Fichier extrait de la mémoire cache de Bb) et -donc- des archives de bUg<BR>Oth3r, et +- nettoyé pour impression par rapport à sa VO sise à le 3 avril 2002 (la page a peut-être été modifiée depuis).

Bb) n'est ni affilié aux auteurs de cette page ni responsable de son contenu.

Des usurpateurs trouvent un nouveau moyen de détrousser les utilisateurs d’Ebay
Dixit : ZDNet.

Troy Wolverton, CNET News.com

La semaine dernière, le compte Ebay de l’artiste Gloria Geary a été utilisé par un inconnu. En se servant de l’identifiant personnel de la cliente, un pirate a lancé une enchère sur une puce d’ordinateur Intel Pentium. Qui plus est, il a modifié le mot de passe de Geary qui ne pouvait donc pas accéder à son compte et annuler la vente.

L’artiste, qui a découvert l’enchère vendredi, est parvenue à convaincre Ebay de mettre fin à l’opération pendant le week-end, mais elle a passé une rude journée à se demander comment cette enchère allait affecter sa liste réelle. « Je me suis sentie violée. Je tremblais », explique-t-elle.

« La facilité avec laquelle ils se sont emparés de mon compte est effrayante ». Gloria Geary n’est qu’une victime parmi d’autres : l’arnaque sur Ebay semble avoir pris de l’ampleur dernièrement. Depuis janvier, la société a reçu un nombre croissant de plaintes de personnes qui, à l’instar de Geary, pensent que leur compte a été frauduleusement utilisé pour lancer des enchères. Les escrocs gagnent quelques dollars, puis laissent les utilisateurs légitimes d’Ebay se débrouiller face à la colère des enchérisseurs lésés.

(...)

Les experts en sécurité disent qu’Ebay doit trouver rapidement une parade, parce que ce mélange de piratage et de vol d’identité est la principale menace du futur. « Nous travaillons avec le personnel d’Ebay. Ils savent que c’est un problème sérieux », explique Lee Curtis, directeur des enquêtes high-tech de Kroll, une société spécialisée dans la sécurité. « S’ils perdent la confiance de leurs clients, ils finiront par mettre la clé sous la porte. »

Le pourcentage d’enchères qui se sont conclues par une fraude avérée sur le site est inférieur à 0,01%, affirme la société basée à San José, Californie. Mais c’est une menace permanente pour Ebay et pour l’industrie des enchères online en général.

L’an dernier, les clients ont déposé 20000 plaintes pour fraude concernant les enchères en ligne auprès de la Federal Trade Commission. Seules les plaintes pour vol d’identité sont plus nombreuses. Certaines plaintes impliquent des vendeurs qui n’ont jamais envoyé les objets vendus.

La technique dite "attaque dictionnaire"

Les dernières tentatives pour profiter des enchérisseurs sont basées sur des méthodes sophistiquées. Au lieu de créer leur propre compte sur Ebay, de nombreux escrocs utilisent la technique dite "attaque dictionnaire" pour s’emparer des comptes de personnes respectables. Technique éprouvée, l’attaque dictionnaire consiste à utiliser un programme automatique, ou "bot", qui essaie de trouver un mot de passe pour une ID d’utilisateur connu, en utilisant une liste de mots de passe courants et un dictionnaire terminologique.

Une fois qu’ils ont accès au compte du vendeur, les escrocs exploitent la réputation établie de ce dernier pour stimuler les enchères sur leurs ventes frauduleuses.

(...)

Le meilleur moyen de se prémunir contre une attaque dictionnaire, pour un site web, consiste à verrouiller un compte après trois mots de passe incorrects. Le site demande alors aux membres dont les comptes sont verrouillés d’appeler le service consommateur et de vérifier leur droit à accéder à leur compte, en donnant des informations confidentielles telles que leur numéro de sécurité sociale ou le nom de jeune fille de leur mère.

Selon Kevin Pursglove, Ebay envisage la possibilité de verrouiller les comptes après plusieurs tentatives de connexion incorrectes. Mais la société est inquiète par le fait que des enchérisseurs indélicats pourraient essayer d’éliminer leurs concurrents en faisant verrouiller leur compte, ou que des clients honnêtes pourraient trouver leur compte fermé après des attaques dictionnaire.

« C’est l’une des solutions que nous envisageons », dit Pursglove. « Nous essayons de déterminer une manière d’adopter cette méthode sans dévoiler son mode de fonctionnement. » Pour le moment, la société recommande aux consommateurs de vérifier régulièrement leur compte et de choisir un mot de passe plus difficile à deviner. Elle recommande également aux enchérisseurs de vérifier le rapport de vente des vendeurs pour voir s’il ne s’y trouve rien d’anormal (par exemple, une augmentation soudaine du nombre de ses ventes).

Jarrett, consultant en technologie de l’information, estime qu’il a sans doute été laxiste en se contentant de mots de passe trop faciles à deviner. Mais il pense aussi qu’Ebay devrait prendre plus à coeur la protection des comptes. « Je trouve ce défaut dans la cuirasse inacceptable », dit-il. « En tant que client payant, j’attends que mes données privées soient protégées. »

Un système de verrouillage indispensable

La réticence d’Ebay à mettre en place un système de verrouillage est peut-être uniquement liée au désir de faire des économies sur le service clientèle : c’est l’opinion de Rosalinda Baldwin, rédactrice en chef de The Auction Guild, une newsletter qui traite de l’industrie de l’enchère online. Si la société met en place un système de verrouillage, il faudra instituer un service téléphonique d’assistance aux clients pour que ces derniers puissent déverrouiller leur compte. Actuellement, il n’y a pas de numéro de téléphone client sur le site web d’Ebay, toutes les demandes sont dirigées vers des adresses email ou des listes de FAQ.

Verrouiller les comptes « est une bonne idée », explique Baldwin. « Mais il faudrait engager du personnel pour répondre au téléphone en permanence. Ils n’ont pas envie de dépenser de l’argent pour cela. » En refusant de prendre des mesures plus vigoureuses pour mettre en place un système de verrouillage, Ebay prouve qu’il est plus intéressé par son chiffre d’affaires que par les problèmes de sécurité. C’est ce qu’affirme Richard Power, directeur éditorial du Computer Security Institute. Le problème, c’est que le commerce online n’a jamais intégralement abordé le problème de la sécurité. Or ce dernier est appelé à croître dans un futur proche, selon Power. Les gangs et le crime organisé, par exemple, commencent seulement à se préoccuper sérieusement d’internet et ils risquent de créer des problèmes majeurs pour les sites d’e-commerce vulnérables.

« Je pense qu’Ebay se montre inconséquent », ajoute Power. « Le principal facteur qui éloigne les consommateurs d’internet, c’est l’insécurité. »