Sécurité : Paypal pris en défaut

Depuis de plusieurs années maintenant, Paypal et d’autres font face à de nombreuses tentatives d’escroqueries et tous les moyens sont bon pour tenter de les combattre.

Une des combats de la firme qui autorise des transferts d’argent entre ses membres, a notamment été de promouvoir les certificats de validation étendus censés permettre une meilleure sécurisation des transactions. Paypal avait d’ailleurs laisser échapper une étude interne qui évoquait le bannissement des navigateur ne supportant pas la norme, ce que Safari ne sait pas encore faire.

Mais voilà que, retour de bâton, un chercheur en sécurité finlandais à mis le doigt sur un problème touchant des pages de Paypal qui utilisent justement ces certificats de validation étendus. Ceux là même que Paypal tente de promouvoir et dont certains observateurs doutent de l’efficacité.

En observant les arnaques menées sur le web, on ne trouve en effet pas d’attaque dues aux faiblesses des certificats habituels, ce qui fait dire à certains, comme Dan Goodin pour The Register, que les certificats dits étendus ne seraient qu’une manière de pousser à la consommation pour augmenter les revenus des sociétés comme VeriSign chargées de fournir ces certificats.

PayPal’s EV SSL page and its vaunted green URL vulnerable to attack