[tetaneutral] Comportement étrange: serveur bancaire qui communique avec un serveur en Californie au moment du paiement

Thu Apr 7 13:40:30 CEST 2016

Salut,

Pour avoir été forcé de travailler en banque par le passé, je peux 
t'assurer que la déontologie de ces personnes est irréprochable et que 
ce sont des bienfaiteurs de l'humanité. Tout leur personnel est recruté 
en fonction de leurs profondes valeurs morales.

Si j'étais une entreprise californienne humaniste du secteur banquaire, 
je pense que je garderais par précaution une copie des données, juste au 
cas où.

Après tout, le spécialiste de la sécurité informatique américain RSA a 
bien conservé par précaution une copie des clés privées de tous ses 
client.

Et si la NSA conserve une copie de toute nos données, c'est pour notre 
sécurité, comme le montre le clip "NSA cloud backup".

Divers bouquins (Stéphannie Aten, François Morin, ...) proposent des 
solutions à ce problème. Nous pouvons en discuter à l'occasion.

Moi, je fais un logiciel libre pour bannir des adresse IP malveillantes 
sur internet de façon collective.

Bonne journée.

Eric

On 2016-04-07 12:06, Nicolas Toublanc wrote:
> Bonjour,
> 
> J'ai observé un comportement étrange pendant la mise en place d'un
> paiement par CB sur un site marchand, et je serais curieux d'avoir
> l'avis de gens plus expérimentés que moi sur le sujet.
> 
> Durant la procédure de paiement, le serveur de la banque (Monetico,
> situé en France) envoie une notification vers le site marchand
> (également en France, chez online.net [1]).
> 
> La plage d'IP de Monetico est connue (145.226.0.0 - 145.226.255.255)
> donc j'ai mis en place un filtrage par IP au niveau du proxy.
> 
> Hors, pendant les tests, j'ai observé a plusieurs reprise une
> requête simultanée vers mon serveur, venant de Californie (requête
> GET au lieu de POST).
> 
> nginx.1    | 2016/04/01 13:40:04 [error] 33#33: *3992 ACCESS FORBIDDEN
> BY RULE, CLIENT: 199.19.249.196, server: mon-site-marchand.com [2],
> request: "GET /payment-notification HTTP/1.1", host:
> "mon-site-marchand.com [2]"
> nginx.1    | mon-site-marchand.com [2] 199.19.249.196 - -
> [01/Apr/2016:13:40:04 +0000] "GET /payment-notification HTTP/1.1" 403
> 168 "-" "SPM"
> 
> nginx.1    | 2016/04/01 13:40:04 [error] 33#33: *3993 upstream
> prematurely closed connection while reading response header from
> upstream, client: 145.226.30.181, server: mon-site-marchand.com [2],
> request: "POST /payment-notification HTTP/1.1", upstream:
> "http://172.17.0.19:8080/payment-notification [3]", host:
> "mon-site-marchand.com [2]"
> nginx.1    | mon-site-marchand.com [2] 145.226.30.181 - -
> [01/Apr/2016:13:40:04 +0000] "POST /payment-notification HTTP/1.1" 200
> 172 "-" "SPM"
> 
> Ce qui signifie que la requête à été soit communiquée par
> Monetico à un autre serveur (volontairement ou non), ou alors
> repérée par un robot sur la route entre la banque et le site
> marchand.
> 
> Je précise que le site marchand est hébergé en HTTP.
> 
> Comme je trouvais ça étrange, j'ai contacté par précaution mon
> hébergeur ainsi que Monetico, lequel m'a répondu:
> 
>> Suite à l'analyse et au retour de notre assistance technique ce
>> comportement est normal et n'est pas malveillant, cependant il a
>> été désactivé par notre assistance pour pas qu'il se reproduit.
> 
> Et ce matin, j'ai refait un essai, et je n'ai plus cette requête,
> mais à la place, venant toujours de 199.19.249.196 une requête vers
> la page d'accueil (css, js et requêtes json montrant que le
> javascript a été interprêté).
> 
> J'en déduis donc que Monetico utilise un service tiers qui s'assure
> que le site marchand est UP, ou pour une autre raison.
> 
> Qu'en pensez-vous?
> 
> Avez-vous déjà observé quelque chose de ce genre?
> 
> --
> 
> Nicolas Toublanc
> @toubiweb [4]
> 
> Links:
> ------
> [1] http://online.net
> [2] http://mon-site-marchand.com
> [3] http://172.17.0.19:8080/payment-notification
> [4] https://twitter.com/Toubiweb
> 
> _______________________________________________
> tetaneutral mailing list
> tetaneutral at lists.tetaneutral.net
> http://lists.tetaneutral.net/listinfo/tetaneutral