Cette technique est celle du "code jettable à usage unique". C'est
effectivement très efficace, même si cela demande une architecture assez
lourde (une grille envoyée par la poste, un "token" avec une horloge
interne
etc ...).
Outre le problème purement de la transition des codes confidentiels,
numéros de carte bleu, etc ..., il reste le problème majeur: La sécurité au
niveau
du serveur. Ces dernières années, il y a eu un certain nombre de sites
d'achat en
ligne qui se sont vu pirater leur base de données contenant les noms des
clients
et leurs numéros de CB. Quand on voit comment certains petits rigolos
codent
leur ASP, PHP, CGI-BIN pour accéder à leur base de données, franchement, ca
fait
peur ...
Payer en ligne, c'est bien. Mais si c'est pour que des informations
confidentielles restent sur un serveur, et que celui-ci se fasse pirater
par le premier
cracker venu, là c'est moins bien ...
Olivier
> J'ai confiance dans ce système car il ne repose pas uniquement sur
> le cryptage https. Je crois (pas sur) que le serveur ne demandera
> jamais deux fois la même case de la grille, donc un "intercepteur" ne
> pourra pas profiter des informations déjà échangées.
> [A moins de voler la grille ou d'intercepter le courrier de
> renouvellement de la grille]
>
> Cette expérience m'a convaincu que les sites français que j'utilise
> ne sont pas assez sécurisés, surtout pour faire du 'eBanking'.
