lundi 21 avril 2008

PayPal va-t-il 'blacklister' les navigateurs non sécurisés ?

PayPal va-t-il 'blacklister' les navigateurs non sécurisés ?

20-04-2008 - Par la rédaction

Le service de paiement en ligne pourrait bloquer les utilisateurs d'anciennes versions d'Internet Explorer par exemple. Mais aussi de Safari ?

Régulièrement la cible des spécialistes du phishing et du spam, PayPal, le leader du paiement en ligne, ne ménage pas ses efforts pour sécuriser son infrastructure et les transactions. Pourtant, lorsque le maillon faible se situe du côté de l'utilisateur, il n'y a pas grand-chose à faire.

Les responsables sécurité du service dénoncent ainsi la part encore trop grande d'utilisateurs de navigateurs obsolètes et non sécurisés. Dans un livre blanc, on peut ainsi lire : il est "alarmant de constater qu'une partie significative de nos utilisateurs passe par des navigateurs très vieux et vulnérables, tel Internet Explorer 4 ou 3". Ces anciennes versions sont de véritables moulins puisqu'ils n'intègrent aucuns outils de protection contre les tentatives de détournement.

Pour remédier à ce problème, la filiale d'eBay envisage d'abord d'afficher un message d'avertissement pour les utilisateurs de ces navigateurs en les invitant à une mie à jour. Il s'agit en fait de proposer le téléchargement d'IE 6 ou de Firefox 2.x qui sont tous les deux compatibles avec les certificats EV SSL (Extended Validation SSL), utilisés par Paypal.

Mais PayPal envisage d'aller plus loin. Si l'internaute averti persiste à utiliser sa préhistorique application, il pourrait être purement et simplement bloqué. "Selon nous, laisser les utilisateurs voir le site Paypal avec un navigateur non sécurisé revient à vendre une voiture sans ceinture de sécurité. Nous pensons qu'il est d'une importance cruciale de non seulement prévenir les internautes qu'ils utilisent un navigateur qui n'est pas sûr, mais aussi d'interdire ces navigateurs", expliquent les responsables du service.

Si cette interdiction d'accès concerne les vieux navigateurs, elle pourrait aussi s'appliquer à Safari d'Apple. En mars dernier, dans une interview à Infoworld, Michael Barrett, responsable de la sécurité pour le géant du paiement en ligne affirmait : "Nous recommandons pour le moment à nos clients d'utiliser Internet Explorer 7 ou 8 lorsqu'il sera disponible, ou Firefox 2.0 ou Firefox 3, ou bien Opera. " Safari est absent de la liste...

Et pour cause, pour le responsable, le navigateur made in Apple ne serait pas assez sécurisé puisqu'il ne prend pas en charge les certificats EV SSL. "Apple est malheureusement en retard par rapport à ce qu'elle devrait faire pour protéger ses utilisateurs", poursuit le responsable.

Aucun commentaire: