Une entreprise de sécurité allemande, Security Research Labs, a mis au jour un réseau tentaculaire de plus de 75 000 sites frauduleux de vente en ligne ayant généré plus de 50 millions de dollars de revenus illégaux à travers le monde. Rien qu’en France, ce dernier, BogusBazaar, a reçu près de 200 000 commandes qui n’ont jamais été livrées à leurs destinataires.
+1. Il faudrait à minima vérifier que le certificat est de niveau EV et délivré par une autorité fiable. Mais même ça, ce n’est pas une garantie absolue. D’ailleurs les navigateurs ont cessé d’afficher en vert les sites utilisant un certificat EV, comme ils le faisaient à une époque, car ce n’est plus jugé comme suffisamment fiable.
Et à l’inverse, il y a plein de sites parfaitement valables qui n’ont qu’un certificat DV (par exemple, une grande enseigne lyonnaise de vente en ligne, qui a un simple certificat Let’s Encrypt…).
Le problème majeur de cet article est qu’il s’adresse à des personnes qui ne trainent probablement pas sur ce site. Car pour acheter sur un site qui vient de nul part, quelque soit son aspect ou ses qualités affichés, il faut tout de même faire part d’une absence totale de vigilance (même parmi les sites ayant des signatures de confiance on prend déjà des risques, car souvent ces boutiques procèdent régulièrement dans un premier temps pour installer leur piège). Le plus triste étant que les personnes arnaquées sont probablement parmi celles qui pouvaient le moins digérer financièrement une arnaque.
2 « J'aime »
Google continue de référencer ces escrocs qui, pour la plupart, ne se donnent même pas la peine de remplir les mentions légales en bas de page (qui ne sont même pas cliquables) !
Ils proposent parfois à prix élevé des produits qui n’existent plus depuis 30 ans et qui sont des collector pourtant difficiles à trouver sur ebay comme s’ils avaient des NOS (new old stock).
1 « J'aime »
pour moi un site qui n’accepte pas le paiement paypal(et donc la sécurité qui va avec) c’est non, au suivant
1 « J'aime »
C’est la faute de Google et des navigateurs majeurs si les sites en https ne sont plus gages de sécurité. En obligeant les éditeurs à mettre tous les sites en https et pas seulement les pages contenant des informations privées sous peine de voir des messages d’alerte partout, ils ont dévalorisé ce protocole.
Le HTTPS n’a jamais été pensé pour être un moyen d’authentification.
Le HTTPS est seulement un moyen de sécurisation des échanges contre l’interception, rien d’autre, il n’a jamais prouvé que le propriétaire d’un site est une société honnête et sérieuse.
Ce qui sert d’authentification, c’est la chaîne de certification du certificat. Et là c’est pas la faute de Google ou autre éditeur de navigateur s’il y a des autorités de certification qui font mal leur boulot (enfin oui et non… parce qu’en fait, ce n’est pas leur boulot de s’assurer qu’une entreprise qui demande un certificat est bien une entreprise sérieuse et honnête…) et si certains sites pourtant parfaitement légitimes préfèrent se contenter d’un certificat low cost quasiment sans valeur d’authentification (un certificat DV, ça ne vaut rien niveau authentification, ça garanti juste que le site est exploité par quelqu’un qui a autorité sur l’URL… mais y a jamais eu besoin d’être une entreprise honnête pour être propriétaire d’un domaine…) plutôt que d’opter pour des certificats à forte valeur d’authentification…
2 « J'aime »
problème pris à l’envers. le https ne prouve rien, mais son absence sur un site ou tu échanges des données doit allumer un gros WARNING dans ton cerveau…