Jump to content
Journal du Freenaute : Les forums
Seb007

[NATIONAL] Free-HA : une solution de paiement sécurisé en test

Recommended Posts

Guest corrector
Wé, tu devrais le relire quand même, juste pour la forme :)

Oui.

Free-HA : une solution de paiement sécurisé en test

Qu'est-ce que suis censé voir que je ne vois pas?

 

a moins que troller ne soit un plaisir :)

Plait-il?

Share this post


Link to post
Share on other sites
Si un site n'appartenant pas à Free vous demande vos identifiants Free pour effectuer un achat, alors IL S'AGIT D'UNE ESCROQUERIE. Vu les évènements récents, il ne faut pas plaisanter avec ça.

Un peu comme les numéros de cartes bancaires ? :D

Share this post


Link to post
Share on other sites
Guest corrector
Un peu comme les numéros de cartes bancaires ? :D

Justement, non. Donner son numéro de CB sur Internet, quels que soient les risques, n'est pas une faute du possesseur de la carte - contrairement à donner son code secret. Tant que le code secret n'est pas utilisé, et qu'il n'a rien signé, il n'est pas responsable, et peut contester la transaction - je parle d'un point de vue théorique, en dehors des problèmes pratiques, de la mauvaise foi de certaines banques, du fait que certains sites sont en fait gérés par des escrocs, du risque qu'un site honnête qui conserve ces informations soit piraté.

 

Je ne suis pas en train de recommander de donner son numéro de CB sur un site quelconque. Par contre, j'affirme que cela ne peut pas être juridiquement considéré comme une faute de l'utilisateur.

 

Par contre, donner son mot de passe, notamment celui de l'accès ADSL, ou celui du compte email principal, est une faute de l'utilisateur (cf. CGV) qui engage sa responsabilité.

 

Le mot de passe d'accès ADSL, à lui seul, permettait à une certaine époque d'activer le SIP, donc d'engendrer des coups pour l'utilisateur, et gagner de l'argent. Si le SIP est déjà activé, il permet de visualiser et de modifier son paramétrage.

 

Il permet aussi de visualiser toutes les informations du compte, entre autres les informations bancaires.

 

Share this post


Link to post
Share on other sites

De toutes façons personne n'a adopté le système alors...

Share this post


Link to post
Share on other sites

Hello,

 

D'après ce que j'ai lu de la doc de Free HA, il n'est pas mentionné de donner ses infos (identifiant / mot de passe). La transaction s'effectue par reconnaissance de l'adresse IP du freenaute par les serveurs de Free. Donc le freenaute se doit d'être chez soi. Ca paraît assez 'secure' donc,

Share this post


Link to post
Share on other sites
Guest corrector
D'après ce que j'ai lu de la doc de Free HA, il n'est pas mentionné de donner ses infos (identifiant / mot de passe). La transaction s'effectue par reconnaissance de l'adresse IP du freenaute par les serveurs de Free. Donc le freenaute se doit d'être chez soi. Ca paraît assez 'secure' donc,

Bien sûr qu'il faut s'authentifier, encore heureux, il ne suffit pas d'être sur le LAN freebox pour s'acheter des trucs, vous imaginez un peu le tableau?

 

Une fois sur notre site le client est identifié grâce à son adresse IP et son mot de passe lui est demandé.

Bon, le fait d'être chez soi est quand même une restriction importante [*]; déjà, le fait d'être spécifique à Free réduit le nombre de clients potentiels, pour l'effort d'implémenter sa part de ce système pour le vendeur (c'est pas la mort, mais il faut une motivation pour le faire), le fait de ne fonctionner que de chez soi est une trop grande restriction AMHA.

 

En même temps, entre les histoires de l'assistance par chat et de vol des identifiants, et le phishing récent, on comprend la raison de cette restriction. Mais bon, on ne peut pas juste traiter les internautes comme des bébés. (Tout en maintenant, par ailleurs, des authentifications console de gestion et webmail en simple HTTP en clair, sans SSL/TLS.)

 

Par ailleurs, le principe même est critiquable : c'est le site du vendeur qui redirige vers Free; or, on n'arrête pas de dire qu'il ne faut jamais aller sur un site "sécurisé" (de confiance) par un lien d'un site non-sûr. Il y a des raisons à cela : frame invisible, problème d'identification pa l'utilisateur du domine (typosquatting, IDN).

 

Il aurait mieux valu que le site du vendeur propose un texte à copier-coller dans un formulaire, que l'utilisateur aille de lui-même sur achats.free.fr (et que le site achats.free.fr éduque l'utilisateur en refusant de fonctionner quand le referrer est non-vide, en lui expliquant qu'il doit impérativement entrer lui-même l'URL dans la barre d'adresse). L'utilisateur collerait alors le texte contenant les informations dans un formulaire sur https://achats.free.fr, le site lui répondrait en affichant en clair les caractéristiques de sa commande, il entrerait alors son téléphone et son mot de passe dans un second formulaire, et le serveur lui renverrait un texte de confirmation à copier-coller dans le formulaire prévu à cet effet sur le site du vendeur.

 

Il reste le problème que le vendeur n'a aucune preuve de la validation de la transaction par Free. Je ne sais pas si ça a joué contre ce système.

 

[*] Le fait d'avoir à utiliser un proxy préalablement lancé sur son ordinateur quand on veut utiliser le service étant aussi considéré comme une restriction importante, de même que le fait d'avoir un sshd permettant de lancer à distance un tel proxy, de même que le fait de laisser son ordinateur allumé en permanence, de même que de laisser son ordinateur en veille et d'utiliser le WoL.

 

 

Share this post


Link to post
Share on other sites
Il reste le problème que le vendeur n'a aucune preuve de la validation de la transaction par Free. Je ne sais pas si ça a joué contre ce système.

Ca doit quand même être prévu !

Share this post


Link to post
Share on other sites
Guest corrector
De toutes façons personne n'a adopté le système alors...

Est-ce que ça change quelque chose au fait de dire que Free a conçu un système où les utilisateurs doivent donner leurs identifiants Free à des sites indépendant de Free?

 

Est-ce que ça change quelque chose à l'incitation irresponsable à donner son mot de passe à n'importe quel site que cela constitue?

 

Est-ce que ça change quelque chose à l'image de cretin.fr, voir de trèsgrosdébile.fr qui est donné de Free?

Share this post


Link to post
Share on other sites
Est-ce que ça change quelque chose au fait de dire que Free a conçu un système où les utilisateurs doivent donner leurs identifiants Free à des sites indépendant de Free?

 

Il n'est en aucune façon question de donner ses identifiants free à un site tiers;

  • l'utilisateur, sur un site tiers, choisi le paiement via free ha.
  • il est redirigé vers une page securisées de chez free, qui checke son adresse IP puis demande son mot de passe. Donc à ce niveau l'identifiant n'est pas connu si qqun tente d'usurper l'identité du freenaute via le LAN de la freebox.
  • le site free, en fonction de la validation ou non du paiement, envoie une réponse au site tiers.

 

En quoi est-ce différent / plus dangereux qu'un paiement par carte bancaire (via les pages sécurisées d'une banque) ou d'un paiement paypal?

Share this post


Link to post
Share on other sites
Guest corrector
lors d'un achat sur Internet, si le freenaute choisit de payer via l'interface Free-HA, il lui sera demandé de rentrer ses identifiants Free. Le site marchand contactera alors les serveurs de Free pour savoir si les informations sont valides.

Il est donc écrit dans le message d'origine de la discussion que le site marchand transmet les identifiants Free du client à Free pour vérification, donc que le freenaute les a donné au site marchand, et pas qu'il les donne à achats.free.fr.

 

Share this post


Link to post
Share on other sites
Il est donc écrit dans le message d'origine de la discussion que le site marchand transmet les identifiants Free du client à Free pour vérification, donc que le freenaute les a donné au site marchand, et pas qu'il les donne à achats.free.fr.

 

> Fonctionnement de la procédure de paiement d'un achat

Prenons comme hypothèse un achat effectué par un client Freenaute qui choisit comme mode de paiement Free HA. Il s'agit d'une commande de 132,45  référencée par votre S.I. sous le numéro #2006/564251A. Votre numéro de commerçant (numéro attribué lors de votre inscription et visible sur la page d'information de votre compte) est 10 et l'adresse IP du Freenaute est 81.56.55.113. Le SID (Session ID), ou référence de session du client sur votre site est ABCDEFGH121345678.

1. Votre S.I. doît tout d'abord appeler l'URL suivante : https://achats.free.fr/achats/preachat.pl avec, comme paramètres, votre numéro de commerçant (paramètre id), le montant T.T.C. en centimes d'euros (paramètre montant), le montant H.T. en centimes d'euros (paramètre montant_ht), l'adresse IP du Freenaute sous la forme habituelle de 4 octets séparés par des caractères "point" (e.g. 81.56.55.113, paramètre ip) et la désignation ou référence de l'achat (paramètre desi).

Veillez à ce que cette désignation soir suffisamment explicite car elle apparaîtra sur la facture du Freenaute. Il est conseillé de la limiter à 40 caractères. Les espaces sont autorisés.

Exemple : https://achats.free.fr/achats/preachat.pl?id=10;montant=13245;montant_ht=11074;ip=81.56.55.113;desi=Commande+%232006%2F564251A (Notez l'utilisation de l'échappement d'URI pour la désignation)

Vous recevrez en retour un résultat qui vous permettra de savoir si vous pouvez continuer la transaction. Si le résultat est une erreur, la raison de cette erreur se trouve sur les lignes suivantes. Si le résultat est OK, vous trouverez en deuxième ligne le numéro temporaire de transaction et en troisième ligne un hash qui servira à l'étape suivante.

Exemple de réponse :

OK
65
$1$zL8Jg5aC$EFLpjki5zJ0cyDvrWcxHz0

2. Vous redirigez le Freenaute vers l'URL suivante : https://achats.free.fr/achats/achat.pl avec, comme paramètres, votre numéro de commerçant (paramètre id), le numéro de transaction temporaire (paramètre old_tid) et le hash sus-mentionné en prenant bien garde à effectuer un échappement URI (paramètre hash). Rajoutez de plus le SID (paramètre sid) pour conserver la trace de la session lors du retour.

Exemple : https://achats.free.fr/achats/achat.pl?id=10;old_tid=65;hash=%241%24zL8Jg5aC%24EFLpjki5zJ0cyDvrWcxHz0;sid=ABCDEFGH121345678 (Notez l'utilisation de l'échappement d'URI pour le hash)

3. Après validation et enregistrement de la transaction, notre site contacte le votre, sur l'URL de confirmation et lui envoie en paramètres le numéro temporaire de transaction (paramètre old_tid), le numéro définitif de transaction (paramètre new_tid), ainsi qu'un nouveau hash (paramètre hash2). Exemple : https://admin.votre-site.fr/confirmation?old_tid=65;new_tid=43;hash2=%241%245J8hEb%2F0%24vcMOpcQKP.uzTILigaLzZ1;sid=ABCDEFGH121345678. N.B. : Le numéro temporaire de transaction et le numéro définitif de transaction n'appartiennent pas à la même séquence. Ils n'ont donc aucun rapport entre eux. Le paramètre sid est simplement le même que celui que vous avez passé précédemment, pour que vous puissiez retrouver à quelle session appartient la transaction.

Cet appel signifie que la transaction est en passe d'être validée et une réponse OK de votre serveur la validera définitivement. Par mesure de sécurité, votre système doît appeler, pendant le traîtement ce cette confirmation l'URL https://achats.free.fr/achats/postachat.pl avec en paramètres votre numéro de commerçant (paramètre id), l'ancien numéro de transaction (paramètre old_tid), le numéro définitif de transaction (paramètre new_tid) ainsi que le paramètre hash2 reçu précédemment. Un résultat OK en provenance de postachat.pl certifiera de la bonne fin de la transaction. Vous n'avez plus qu'à nous le retourner tel quel en résultat de votre script de confirmation.

Pour résumer, notre serveur appelle le votre sur l'URL de confirmation, qui appelle à son tour postachat.pl sur notre serveur, et nous retourne comme résultat un "OK\n" si tout va bien.

4. Notre système renvoie le Freenaute sur l'URL de retour avec en paramètres le résultat de la transaction (paramètre res) et le SID (paramètre sid). Exemple : https://admin.votre-site.fr/retour?res=OK;sid=ABCDEFGH121345678.

Dans le cas d'une annulation par le client, le paramètre res vaudra 'annulation'.

La transaction est terminée.

N.B. : Le renvoi vers l'URL de confirmation ne sert qu'à faire revenir le Freenaute sur votre site. La transaction a été entièrement validée à partir du moment où l'URL de confirmation a renvoyé un 'OK'.

 

Donc à priori les identifiants du freenaute ne sont pas connus du site tiers. Mais peut-être était-ce le cas au moment de l'écriture de la news (2006...)

Share this post


Link to post
Share on other sites
Guest corrector
Ca doit quand même être prévu !

Ben non :

La transaction a été entièrement validée à partir du moment où l'URL de confirmation a renvoyé un 'OK'.

Comment un site marchand pourrait prouver qu'il a renvoyé OK?

 

Comme il n'est pas question de signature électronique dans cette spécification, personne n'obtient une preuve de quoi que ce soit à exhiber en cas de contestation. Comme avec le payement par n° de CB, en fait.

 

Alors qu'on attendrait d'un tel protocole qu'il fournisse au client une preuve d'achat (facture détaillée), au marchand une preuve de payement (autorisation de la banque - ici Free indiquant libellé, montant, marchand, banque), à la banque une preuve d'autorisation du client (montant, libellé, client, marchand).

 

Share this post


Link to post
Share on other sites
Guest corrector
Donc à priori les identifiants du freenaute ne sont pas connus du site tiers.

Donc ce système n'est pas complètement naze...

 

Mais je reste quand même réservé sur la conception.

 

Share this post


Link to post
Share on other sites

voir point 4 de la procédure: le serveur Free renvoi à la fin un OK + sid, donc je vois pas le soucis :Nunsure: (du coté du site tiers on garde le numéro client, IP client, id session, les différents ID donnés par Free).... j'imagine qu'avec ça si problème il y a on pourra s'y retrouver... de plus la ref de la commande est mentionnée sur la facture Free du client ;)

Share this post


Link to post
Share on other sites

×
×
  • Create New...