Conforama sécurisé ?

Vous le savez peut-être, j’ai un pro­blème de place. En gros : j’ai plus de bou­quins que d’en­droits pour les mettre.

Du coup, j’ai sou­hai­té ache­ter des biblio­thèques en kit. Ça coûte pas grand-chose, et c’est bien pratique.

Pro­blème 1 : Cas­to­ra­ma, à côté de chez moi, ne fait plus les modèles que j’a­vais ache­tés il y a deux ans. Plus que des éta­gères métal­liques… Bande de nazes… ‑_-

Pro­blème 2 : Confo­ra­ma, à côté de chez moi aus­si, a des modèles en agglo… mais pas de stock : il faut aller les cher­cher au dépôt, deux bornes plus loin. Rédhi­bi­toire pour un piéton.

Donc, j’ai vou­lu ten­ter une com­mande sur Internet.

Pre­mier truc hila­rant : pour deux biblio­thèques (ben oui, j’ai vrai­ment plus de bou­quins que d’é­ta­gères), on paie deux fois les frais de port. Oui oui. Elles sont toutes deux dis­po­nibles dans le même dépôt, doivent être livrées en même temps, mais sont fac­tu­rées comme si j’en fai­sais livrer une ici et une à La Bâtie des Fonds. Oo

Deuxième truc poi­lant, à l’heure de payer la com­mande. Je vous laisse voir vous-mêmes :

confo

Vous voyez le truc ?

Alors voi­là, je suis pas un grand maniaque de sécu­ri­té comme Ghusse. Uti­li­ser un mot de passe com­mun à plu­sieurs comptes fait par­tie de mes détes­tables habi­tudes, j’ac­cepte de rele­ver mes cour­riels sur un Wi-Fi non sécu­ri­sé, j’u­ti­lise MSN pour le bou­lot alors que les échanges ne sont même pas chif­frés (au contraire de Gtalk, soit dit en passant)…

Mais là, faut quand même pas pous­ser. Si je les crois, je suis sur une page entiè­re­ment sécu­ri­sée uti­li­sant le pro­to­cole le HTTP ? Non mais faut pas prendre les moi­neaux pour des pigeons !

Une page sécu­ri­sée, ça com­mence comme ça et pas autre­ment : https://. Quels que soient les méca­nismes de sécu­ri­té mis en œuvre sur la page elle-même, ça DOIT com­men­cer comme ça : la pre­mière étape de sécu­ri­sa­tion pour n’im­porte qui, c’est de chif­frer le flux lui-même, donc de pas uti­li­ser un pro­to­cole en clair.

Donc, je suis sen­sé faire suf­fi­sam­ment confiance à des gui­gnols pareils pour leur four­nir mon numé­ro de carte bleue ?

Et puis voi­là que je reçois la confir­ma­tion de créa­tion de mon compte. Dedans, je copie-colle tel­le­ment c’est beau :

Veuillez conser­ver les infor­ma­tions ci-des­sous pour accé­der à votre compte :

Votre adresse e‑mail (login) : herisson26[…].fr
Votre mot de passe : […]

Oui, mon mot de passe en clair, dans un mail. Ce qui entraîne deux conclusions :

1- ce mot de passe, qui a déjà fait l’al­ler en clair (HTTP oblige), a fait le retour tout aus­si clair jus­qu’à mon four­nis­seur d’ac­cès, puis jus­qu’à moi (oui, un FAI qui sécu­rise les mails, c’est aus­si cou­rant qu’un ministre de l’in­té­rieur qui n’aime pas les Auvergnats) ;

2- ce mot de passe est sto­cké, tou­jours en clair, chez les gui­gnols de Confo­ra­ma, alors que la pre­mière chose que fait tout infor­ma­ti­cien sérieux en rece­vant un mot de passe est de le coder dans un algo­rithme à sens unique afin que nul ne puisse le retrou­ver. Vous me direz, au stade où on en est, ce petit défaut de sécu­ri­té est anecdotique…

Curieu­se­ment, j’ai pas vali­dé ma com­mande. Tant qu’à payer plus cher de port que de pro­duits, je vais au moins aller voir chez des gens qui ont — au mini­mum — enten­du par­ler du HTTPS.