mercredi 27 mars 2002

Des usurpateurs trouvent un nouveau moyen de détrousser les utilisateurs d'Ebay

Parmi ses dizaines de millions d'utilisateurs, Ebay doit faire face à plusieurs centaines de cas d'usurpation d'identité qui sèment le doute dans ses ventes aux enchères. Une tendance inquiètante même si la société revendique un taux de fraude de 0,01%.

La semaine dernière, le compte Ebay de l'artiste Gloria Geary a été utilisé par un inconnu. En se servant de l'identifiant personnel de la cliente, un pirate a lancé une enchère sur une puce d'ordinateur Intel Pentium. Qui plus est, il a modifié le mot de passe de Geary qui ne pouvait donc pas accéder à son compte et annuler la vente.

L'artiste, qui a découvert l'enchère vendredi, est parvenue à convaincre Ebay de mettre fin à l'opération pendant le week-end, mais elle a passé une rude journée à se demander comment cette enchère allait affecter sa liste réelle. «Je me suis sentie violée. Je tremblais», explique-t-elle. «La facilité avec laquelle ils se sont emparés de mon compte est effrayante».

Gloria Geary n'est qu'une victime parmi d'autres: l'arnaque sur Ebay semble avoir pris de l'ampleur dernièrement. Depuis janvier, la société a reçu un nombre croissant de plaintes de personnes qui, à l'instar de Geary, pensent que leur compte a été frauduleusement utilisé pour lancer des enchères. Les escrocs gagnent quelques dollars, puis laissent les utilisateurs légitimes d'Ebay se débrouiller face à la colère des enchérisseurs lésés.

Ebay doit «trouver le moyen d'empêcher cela»
La société n'a enregistré jusqu'à présent qu'un nombre relativement faible de cas, quelques centaines, mais Ebay se dit préoccupé, selon le porte-parole Kevin Pursglove. «Même si ça n'était arrivé qu'à un seul utilisateur, ce serait déjà pour lui une expérience pénible», poursuit Pursglove. «Nous devons trouver le moyen d'empêcher cela.»

Les experts en sécurité disent qu'Ebay doit trouver rapidement une parade, parce que ce mélange de piratage et de vol d'identité est la principale menace du futur. «Nous travaillons avec le personnel d'Ebay. Ils savent que c'est un problème sérieux», explique Lee Curtis, directeur des enquêtes high-tech de Kroll, une société spécialisée dans la sécurité. «S'ils perdent la confiance de leurs clients, ils finiront par mettre la clé sous la porte.»

Le pourcentage d'enchères qui se sont conclues par une fraude avérée sur le site est inférieur à 0,01%, affirme la société basée à San José, Californie. Mais c'est une menace permanente pour Ebay et pour l'industrie des enchères online en général.

L'an dernier, les clients ont déposé 20000 plaintes pour fraude concernant les enchères en ligne auprès de la Federal Trade Commission. Seules les plaintes pour vol d'identité sont plus nombreuses. Certaines plaintes impliquent des vendeurs qui n'ont jamais envoyé les objets vendus.
La technique dite "attaque dictionnaire"
Les dernières tentatives pour profiter des enchérisseurs sont basées sur des méthodes sophistiquées. Au lieu de créer leur propre compte sur Ebay, de nombreux escrocs utilisent la technique dite "attaque dictionnaire" pour s'emparer des comptes de personnes respectables. Technique éprouvée, l'attaque dictionnaire consiste à utiliser un programme automatique, ou "bot", qui essaie de trouver un mot de passe pour une ID d'utilisateur connu, en utilisant une liste de mots de passe courants et un dictionnaire terminologique.

Une fois qu'ils ont accès au compte du vendeur, les escrocs exploitent la réputation établie de ce dernier pour stimuler les enchères sur leurs ventes frauduleuses.

Le compte de Kevin Jarrett, qui habite Atlantic City dans le New Jersey, a été piraté la semaine dernière. Le pirate a alors lancé quatre enchères sur des appareils photo numériques et a modifié le mot de passe de Jarrett sur Billpoint, le service de paiement d'Ebay. Jarrett, qui a découvert le pot aux roses en recevant un courrier électronique d'un enchérisseur, a pu minimiser les dégâts en convainquant Ebay de mettre fin aux enchères avant leur conclusion. Mais il a ensuite annulé un compte bancaire et une carte de crédit liés à son compte Billpoint.

Jarrett pense qu'il a été choisi par les pirates parce qu'il jouit d'une bonne réputation en tant que vendeur sur Ebay. «Il ne m'est jamais venu à l'esprit que 142 points de satisfaction sur Ebay seraient un atout pour les pirates», explique-t-il. «Cela signifie qu'on me fait confiance.»

Les points de satisfaction permettent aux membres de juger le degré de crédibilité d'autres membres. En plus de fournir des commentaires écrits sur les vendeurs, Ebay leur donnent une note en fonction du nombre de retours positifs qu'ils ont reçus (en déduisant les retours négatifs).
Le contrôle des mots de passe
Le meilleur moyen de se prémunir contre une attaque dictionnaire, pour un site web, consiste à verrouiller un compte après trois mots de passe incorrects. Le site demande alors aux membres dont les comptes sont verrouillés d'appeler le service consommateur et de vérifier leur droit à accéder à leur compte, en donnant des informations confidentielles telles que leur numéro de sécurité sociale ou le nom de jeune fille de leur mère.

Selon Kevin Pursglove, Ebay envisage la possibilité de verrouiller les comptes après plusieurs tentatives de connexion incorrectes. Mais la société est inquiète par le fait que des enchérisseurs indélicats pourraient essayer d'éliminer leurs concurrents en faisant verrouiller leur compte, ou que des clients honnêtes pourraient trouver leur compte fermé après des attaques dictionnaire.

«C'est l'une des solutions que nous envisageons», dit Pursglove. «Nous essayons de déterminer une manière d'adopter cette méthode sans dévoiler son mode de fonctionnement.»

Pour le moment, la société recommande aux consommateurs de vérifier régulièrement leur compte et de choisir un mot de passe plus difficile à deviner. Elle recommande également aux enchérisseurs de vérifier le rapport de vente des vendeurs pour voir s'il ne s'y trouve rien d'anormal (par exemple, une augmentation soudaine du nombre de ses ventes).

Jarrett, consultant en technologie de l'information, estime qu'il a sans doute été laxiste en se contentant de mots de passe trop faciles à deviner. Mais il pense aussi qu'Ebay devrait prendre plus à coeur la protection des comptes. «Je trouve ce défaut dans la cuirasse inacceptable», dit-il. «En tant que client payant, j'attends que mes données privées soient protégées.»
Un système de verrouillage indispensable
La réticence d'Ebay à mettre en place un système de verrouillage est peut-être uniquement liée au désir de faire des économies sur le service clientèle: c'est l'opinion de Rosalinda Baldwin, rédactrice en chef de The Auction Guild, une newsletter qui traite de l'industrie de l'enchère online. Si la société met en place un système de verrouillage, il faudra instituer un service téléphonique d'assistance aux clients pour que ces derniers puissent déverrouiller leur compte. Actuellement, il n'y a pas de numéro de téléphone client sur le site web d'Ebay, toutes les demandes sont dirigées vers des adresses email ou des listes de FAQ.

Verrouiller les comptes «est une bonne idée», explique Baldwin. «Mais il faudrait engager du personnel pour répondre au téléphone en permanence. Ils n'ont pas envie de dépenser de l'argent pour cela.»

En refusant de prendre des mesures plus vigoureuses pour mettre en place un système de verrouillage, Ebay prouve qu'il est plus intéressé par son chiffre d'affaires que par les problèmes de sécurité. C'est ce qu'affirme Richard Power, directeur éditorial du Computer Security Institute. Le problème, c'est que le commerce online n'a jamais intégralement abordé le problème de la sécurité. Or ce dernier est appelé à croître dans un futur proche, selon Power. Les gangs et le crime organisé, par exemple, commencent seulement à se préoccuper sérieusement d'internet et ils risquent de créer des problèmes majeurs pour les sites d'e-commerce vulnérables.

«Je pense qu'Ebay se montre inconséquent», ajoute Power. «Le principal facteur qui éloigne les consommateurs d'internet, c'est l'insécurité.»

Source : Troy Wolverton, CNET News.com Lire la suite...