COMMENT... Sécuriser vos

Transcription

1 COMMENT... Sécuriser vos activités en ligne

2 barre verte Montrez la à vos clients et voyez le nombre de conversions augmenter. Identified by VeriSign Scandinavian Design Online a enregistré une hausse de 8% de ses taux de conversion en ligne. Scandinavian Design Online est un site Web majeur qui propose à une clientèle mondiale, une vaste gamme de produits design scandinaves pour la maison et le bureau. La mise en place de certificats SSL Extended Validation sur leur site Web leur a permis de renforcer la confiance de leurs clients et d accroître les ventes. En présence de certificats SSL Extended Validation (Validation Renforcée), les navigateurs hautement sécurisés déclenchent l affichage de repères de sécurité supplémentaires qui donnent aux clients des signes visibles permettant de les convaincre que le site est fiable pour y faire des achats. Associez la confiance des visiteurs à la barre verte de VeriSign et maximisez la confiance en votre site Web. Procurez-vous le document technique gratuit, Maximiser la confiance des internautes au moyen de SSL Extended Validation, sur le site ou appelez le VeriSign France S.A. Tous droits réservés. VeriSign, le logo VeriSign, le logo du cercle marqué d une coche, le logo VeriSign Secured et les autres marques commerciales, marques de services et logos sont des marques commerciales déposées ou non de VeriSign et de ses filiales aux États-Unis et dans d autres pays. Toutes les autres marques commerciales sont des marques de leurs propriétaires respectifs.

3 Note de l éditeur Les sociétés technologiques sont par définition des pionniers, ou du moins est-ce l image qu elles espèrent véhiculer auprès de leurs clients. Mais pour se proclamer véritable pionnier, encore faut-il l être dans tous les domaines : sécurité, virtualisation, stockage, mobilité, Internet etc. Ceci étant dit, aucune entreprise ne devrait restructurer son architecture sans examiner attentivement ses exigences métier, en analysant les produits et solutions disponibles sur le marché et en identifiant les bénéfices qu apporteraient de tels changements. Dans ces nouveaux guides pratiques rédigés à l attention des entreprises, Vnunet a pour objectif d examiner la situation actuelle dans n importe quel domaine technologique et de guider ainsi les entreprises dans le choix de la solution la plus adaptée à leurs besoins. La sécurisation des activités en ligne est importante pour deux raisons : premièrement, elle permet de protéger le site Web contre les menaces ou attaques, aussi bien externes qu internes, auxquelles est exposé de nos jours n importe quel site un tant soit peu populaire. Deuxièmement, les entreprises doivent s attirer la confiance du public qu elles visent, de sorte que les clients et utilisateurs soient disposés à partager sur Internet leurs coordonnées bancaires ou informations personnelles potentiellement sensibles. L émergence des malware et des attaques par phishing utilisant les techniques de piratage psychologique démontre bien que la fraude électronique est devenue une réalité tant pour les particuliers que pour les entreprises, qui doivent dès lors en prendre conscience et appliquer toutes les précautions nécessaires pour établir une relation en ligne basée sur la confiance. Rafael M. Claudín SOMMAIRE Risques en ligne et solutions page 4 La méfiance des utilisateurs face au commerce électronique et le besoin d'une sécurité renforcée. Principaux facteurs à prendre en compte La sécurité en ligne : une décision informée page 6 L importance du développement de plates-formes d e-commerce dans un climat de confiance mutuelle et optimale Études de cas page 9 Mesures de sécurité mises en œuvre par des entreprises réelles afin d améliorer la perception et par conséquent le volume de leurs activités en ligne Un avenir placé sous le signe de la sécurité page 12 Sensibilisation des utilisateurs et amélioration des mesures de sécurité, deux facteurs indispensables à la réussite d'une entreprise sur Internet Glossaire page 14 Explication des principaux termes et concepts de sécurité employés dans le présent guide 3

4 Risques en ligne et solutions Face aux menaces et dangers auxquels sont exposés les transferts de données en ligne, les systèmes de sécurité et les technologies Internet doivent constamment être améliorés afin de rester à la pointe. Les utilisateurs doivent également être mieux sensibilisés aux risques. Internet fait aujourd hui partie intégrante de nos vies et est de plus en plus utilisé pour effectuer des achats en ligne ou d autres tâches administratives quotidiennes. Selon les statistiques publiées 1 par Nielsen en début d année, environ 875 millions de consommateurs du monde entier effectuent régulièrement des achats en ligne, soit une hausse de 40 % en deux ans. Selon 2 Forrester Research, les services bancaires online sont utilisés par 15 millions de français, soit plus de 30 % de la population adulte, mais 38 % des français sont inquiets concernant le vol 3 d identité en ligne. Pourtant, les consommateurs demeurent encore hésitants face aux transactions de données en ligne. 81 % des gens en France utilisant un moyen de paiment en ligne cherchent des signes de sécurité pour être sûr qu ils sont sur un site protégé. L augmentation de fréquence et la ténacité des attaques de sécurité ne facilitent pas le retour à la confiance du consommateur dans les transactions sur Internet. SPAM Le niveau de spam a doublé entre 2006 et 2007, atteignant un total de 120 milliards de messages. Selon Sophos, 95 % de tous les courriers électroniques sont des spams. LOGICIELS MALVEILLANTS Le nombre de programmes malveillants a augmenté de 10 % 5 4 entre 2006 et Sophos estime qu environ 6000 pages Web sont infectées chaque jour par des maliciels. PHISHING Chaque mois en moyenne, 205 banques sont victimes d attaques par phishing dans le monde. La valeur des données personnelles en ligne des internautes français et potentiellement à risque, est estimée à 145 millards 6 d euros. Ces statistiques ne sont pas simplement bon pour faire les gros titres : elles reflètent la réalité quotidienne à laquelle sont confrontés les internautes. La réticence des consommateurs face au transfert de données en ligne est-elle donc si surprenante? Une entreprise en ligne doit aujourd hui relever un défi 4 majeur : parvenir à redonner confiance au consommateur et aider les utilisateurs à effacer tous leurs doutes et inquiétudes. Les internautes ne devraient pas avoir à se demander si les transactions en ligne en général L authentification des sites permet au consommateur de faire confiance non seulement au nom de domaine, mais également à la société qui se cache derrière ce nom de domaine. valent le risque encouru, mais plutôt avoir à leur disposition toutes les ressources et informations nécessaires pour se poser la question suivante : «Puis-je exécuter cette opération sur ce site sans prendre de risque?» et obtenir une réponse immédiate, fiable et rassurante. Face à la propagation du phishing et des autres formes de fraude en ligne, il est important que les entreprises soient capables, autant que possible, de rassurer leurs clients % des internautes français ont la sensation que les entreprises ne font pas assez pour améliorer leur sécurité en ligne. L authentification des sites est donc de plus en plus importante, car elle permet au consommateur de vérifier, de 4

5 reconnaître facilement et de faire confiance au nom de domaine ainsi qu'à la société qui l'exploite. CERTIFICATS SSL Les banques, sites d achat en ligne et sites d enchères utilisent des systèmes de protection afin d assurer que les paiements soient effectués avec certaines garanties. Le certificat SSL (ou «Secure Sockets Layer») en est l un des plus courants. Ce protocole de cryptage créé par Netscape en 1996 est aujourd hui considéré comme un standard en matière de sécurité de l information sur Internet. La technologie SSL vise à prévenir les risques d accès non autorisé aux informations confidentielles, mais également de manipulation ou de vol de données, d'attaques par phishing ou d autres formes de fraude en ligne, en cryptant toutes les données sensibles de façon à limiter l accès des informations au seul destinataire autorisé. La technologie utilise un système de clés publiques et privées qui crypte la connexion établie entre l utilisateur et le domaine certifié. Cependant, il existe aujourd hui des niveaux de certification SSL supérieurs qui offrent plus qu une simple garantie de cryptage pour l utilisateur, en particulier au regard du domaine et de la société qui demande une certification. Pour obtenir un certificat SSL supérieur délivré par un fournisseur de renom, les organisations doivent se soumettre à un processus d'authentification qui garantit qu elles sont bien qui elles prétendent être. Un certificat SSL est ensuite créé pour chaque domaine que la société agréée cherche à protéger. Un certificat SSL de niveau inférieur, ou un certificat délivré par une entité qui n applique pas des procédures de validation aussi rigoureuses, peut fournir un chiffrement des données sans toutefois authentifier la société qui exploite un site Web. DONNER CONFIANCE EN LA MARQUE Les internautes doivent être conscients des risques liés au commerce en ligne afin d éviter les techniques de manipulation sociales utilisées pour dissimuler les attaques par phishing. Bon nombre d entre eux ont appris à se méfier des s exhortant l'utilisateur à révéler des données confidentielles. Près de 30 % de tous les internautes reconnaissent avoir été victimes d une tentative de fraude en ligne. D après les statistiques, seules 2,1 % de ces tentatives de fraude aboutissent, et dans la plupart des cas, que de faibles montants sont 7 volés. Dans la majorité des cas, ces attaques n impliquent que de faibles montants. Le climat d insécurité que parviennent à produire ces tentatives de fraude suffit pourtant à dissuader de nombreux clients potentiels de conclure des transactions en ligne. Ce sentiment ne se dissipe qu une fois leurs craintes apaisées par une certification SSL reconnue. ANATOMIE DU PHISHING 5

6 La sécurité en ligne: une décision informée Le climat d insécurité observé dans le monde virtuel ralentit la croissance du commerce électronique. Pour promouvoir des ventes fondées sur un principe de confiance mutuelle, les utilisateurs doivent bénéficier d un environnement sécurisé pour effectuer leurs transactions. Avant d opter pour une solution de sécurité en particulier, les entreprises doivent impérativement comprendre le principe de fonctionnement des certificats SSL. Outre le cryptage des données, un certificat SSL délivré par une entité fiable peut, dans certains cas, authentifier l identité de l entreprise exploitant un site Web. Le choix du certificat SSL doit également tenir compte à la fois des exigences commerciales de l entreprise et de l état d esprit de ses clients potentiels. EXIGENCES COMMERCIALES Dans leur choix d une solution de sécurité en ligne, les entreprises doivent tenir compte de la valeur des transactions potentielles, de l adhésion de leur site et de la fidélité de leur clientèle existante. Elles doivent également accorder toute leur attention à la sensibilité des données susceptibles d être échangées, ainsi qu à l impact que pourrait avoir une faille de sécurité sur leur clientèle et sur leur image de marque. Lorsqu ils évaluent des solutions SSL spécifiques, les gérants d entreprise devraient également considérer l avantage concurrentiel qu apporterait un niveau de certification supérieur à leurs activités en ligne vis-à-vis des sites rivaux. Enfin, ils devraient tenir compte du désavantage qu il y aurait à offrir un certificat SSL de niveau inférieur. N y aurait-il pas un risque pour l entreprise de voir ses clients fuir vers d autres sites si ces derniers offrent un meilleur niveau de sécurité en ligne? PERCEPTION DES CLIENTS Les entreprises en ligne doivent par ailleurs avoir conscience de la perception qu ont leurs utilisateurs de la sensibilité des informations qu ils sont amenés à partager via le site Web. Elles devraient en particulier être capables d évaluer dans quelle mesure les utilisateurs considèrent qu une transaction effectuée sur leur site induit un risque ou non. Quel type de certificat SSL une entreprise devrait-elle donc choisir? Les certificats SSL remplissent deux fonctions majeures : cryptage et authentification. La différence entre deux types de certificat SSL se mesure en termes de cryptage et d authentification qu ils offrent. CRYPTAGE Le procédé de cryptage consiste à transformer les données de sorte qu elles ne soient lisibles que par leur destinataire. Plus la clé est longue, meilleur sera le niveau de cryptage (de 40 à 56 bits, 128 bits, 256 bits, 512 bits, etc.). Les anciennes versions de navigateurs encore utilisées par des millions de clients potentiels ne sont capables de prendre en charge que des algorithmes allant jusqu à 64 bits, qui n offrent pas le meilleur niveau de sécurité. Selon une étude de TNS, 76 % des internautes en France achètent exclusivement auprès des sites qu ils reconnaissent ou auxquels ils font confiance. 8 Seuls les certificats SSL qui possèdent une extension SGC («Server-Gated Cryptography») peuvent contourner ce problème, puisque les versions de navigateurs plus anciennes peuvent prendre en charge des algorithmes de cryptage de 128 bits ou plus si elles reconnaissent l'extension SGC dans le certificat SSL du serveur. Un niveau de cryptage d au moins 128 bits est le garant d une haute sécurité. Mais le cryptage ne 6

7 suffit pas à garantir à lui seul la sécurité d un site. Les données sont certes transférées en toute sécurité, mais comment l utilisateur peut-il s assurer que l entreprise qui gère le site est bien celle qu elle prétend être? Seuls des certificats SSL supérieurs, utilisés pour authentifier la société exploitant un site Web, offrent aux utilisateurs une garantie qui les protège contre les pages Web frauduleuses ou les imitations. AUTHENTIFICATION Les entreprises en ligne qui demandent un certificat SSL de niveau supérieur sont soumises à un examen effectué par l Autorité de Certification. Le niveau d authentification garanti par l Autorité de Certification constitue un critère important pour la sélection d'un type de certification SSL donné. L authentification SSL se décompose en trois catégories : authentification du domaine, authentification de la société et Validation Renforcée («Extended Validation» ou EV). AUTHENTIFICATION DU DOMAINE Il s agit du plus faible niveau d authentification disponible, où l Autorité de Certification vérifie que la société qui demande la certification est bien propriétaire du domaine en question. En revanche, l identité de la société elle-même n est pas vérifiée, ce qui signifie que ce type de certification n offre qu une légère garantie supplémentaire par rapport au simple cryptage. Des entreprises non légitimes peuvent enregistrer des noms de domaine spécialement conçus pour créer la confusion dans l esprit des utilisateurs en jouant sur les noms de marque d entreprises légitimes. AUTHENTIFICATION DE LA SOCIÉTÉ Un certificat SSL offrant ce niveau d authentification garantit que la société ou l organisation qui exploite le site Web est bien enregistrée auprès des autorités gouvernementales compétentes. Pour cela, l Autorité de Certification émettrice vérifie que la société NAVIGATEURS ET CERTIFICATS SSL À VALIDATION RENFORCÉE INTERNET EXPLORER 7 (IE7) Dans son navigateur IE7, Microsoft met en évidence les meilleures garanties de sécurité offertes par les sites authentifiés qui possèdent un certificat EV SSL, en affichant en vert la barre d adresse. Le navigateur utilise d autres codes couleur pour informer les utilisateurs des niveaux de sécurité offerts par les sites : lorsque la barre d adresse est blanche, cela signifie que le navigateur ne dispose d aucune information concernant l identité du site. Une barre d adresse rouge indique en revanche que le site est frauduleux, qu il n a pas été validé ou qu il a un problème de certificat. Dans ce cas, l utilisateur est invité à quitter la page et, bien évidemment, à ne révéler aucune information potentiellement sensible. Pour finir, un cadenas s affiche dans la barre d adresse signifiant à l utilisateur que le site Web garantit des communications cryptées. En cliquant sur cette icône, le navigateur indique le type de certificat utilisé par le site ainsi que l autorité émettrice. FIREFOX 3.0 ET OPERA 9.5 Sur le navigateur de Mozilla, les indicateurs de sécurité apparaissent à gauche de la barre d adresse. Un bouton blanc indique que le site n utilise aucune communication cryptée et, par conséquent, que l utilisateur ne doit pas révéler de données potentiellement sensibles. Si le bouton à gauche de la barre d adresse est bleu, cela signifie que le site dispose d une certification reconnue. En cliquant sur le bouton, le type de certificat et le nom de l autorité de certification émettrice apparaissent. Si le bouton est vert, cela signifie que le site dispose du niveau de certification maximal, c està-dire un certificat SSL à validation renforcée. Si le site a un problème de certification, le navigateur refuse de l ouvrir et affiche un message d avertissement à l attention de l utilisateur. Opera affiche des informations de sécurité à droite de la barre d adresse. La couleur blanche indique que les communications du site ne sont pas cryptées. Une couleur jaune signifie que le site Web dispose d un niveau de certification. Enfin, la couleur verte est utilisée là encore pour indiquer que le site possède une certification SSL à validation renforcée. 7

8 8 figure dans les fichiers privés et/ou gouvernementaux auxquels elle a accès, tels que le Registre des Métiers. Si l autorité de certification juge insuffisantes les références de l entreprise, elle peut lui demander de lui fournir des informations supplémentaires afin de compléter l authentification. LA NORME GOLD DE L AUTHENTIFICATION - VALIDATION RENFORCÉE Ce niveau de certificat SSL créé par le CA/Browser Forum, un consortium d'autorités de Certification et de fournisseurs de navigateurs, est le plus haut niveau d authentification disponible pour n importe quelle entreprise. Pour être autorisée à délivrer ce niveau de certificat SSL, l autorité de certification doit régulièrement se soumettre à des audits effectués par des tiers afin de garantir qu elle a atteint et maintenu les niveaux de certification établis par l industrie. Pour délivrer un certificat SSL à validation renforcée (EV SSL), l autorité de certification doit vérifier l existence légale del entreprise candidate ainsi que son droit d utiliser le nom de domaine, et s assurer qu elle a autorisé l achat du certificat. L autorité de certification vérifie également que le nom de la personne désignée par l organisation dans sa demande de certificat est bien un employé actuel de la societé et que cette personne a l autorité nécessaire pour obtenir et déléguer les responsabilités liées au certificat EV SSL. Pour finir, elle contacte directement la personne afin de vérifier la commande. L autorité de certification utilise un ensemble de fichiers publics pour mener à bien ces vérifications, ainsi que les copies des documents officiels de l entreprise qu elle peut être amenée à demander si elle le juge nécessaire. DES CHANGEMENTS NÉCESSAIRES Selon une étude publiée en janvier 2008 par YouGov, 9 75 % des français affectuant des transactions en ligne, seraient de l avis que les mesures pris pour assurer leur sécurité ne sont pas suffisantes. Les certificats SSL n ont pas su en soi tranquilliser les utilisateurs. En y regardant de plus près, les experts du secteur ont découvert que, malgré l existence des certificats SSL, les mauvaises pratiques liées à la délivrance de ces certificats avaient tendance à affecter le facteur de confiance qu ils offraient. Si certaines autorités de certification ont respecté les processus d authentification à la lettre, d autres se sont montrées moins rigoureuses et ont eu recours à des pratiques potentiellement corrompues. Les sites Web peuvent même signer leurs propres certificats SSL sans que leur identité ne soit authentifiée par un tiers. simple technologie de cryptage : pour que le commerce en ligne puisse fonctionner, il faut que les utilisateurs évoluent dans un environnement fiable pour échanger leurs données et qu une distinction soit faite entre les différents niveaux d authentification offerts par les certificats SSL. Selon TNS, 76 % in France des clients en ligne achètent exclusivement sur les sites qu ils connaissent ou auxquels ils font confiance. S attirer la confiance des clients potentiels est essentiel à n importe quel site de commerce en ligne. Les gérants d entreprise ne devraient donc pas se contenter de fournir le meilleur niveau possible de sécurité informatique, mais bien chercher des moyens pour inspirer la confiance du consommateur. À cet égard, la certification SSL à validation renforcée représente un investissement intéressant. Dans les dernières versions de la plupart des navigateurs, la barre d adresse s affiche en vert en présence d un site comportant un certificat SSL EV, ce qui en facilite l identification. Les sites amenés à échanger des informations sensibles doivent considérer les différents certificats SSL disponibles et retenir la meilleure option possible. Dans le domaine du commerce en ligne, il est primordial de parvenir à un bon équilibre entre cryptage et confiance. SÉCURISER VOTRE SITE POUR PROTÉGER VOTRE MARQUE C est pourquoi il est primordial pour un site Web de rechercher dans un certificat SSL bien plus qu une PARTS DE MARCHÉ DES VERSIONS DE NAVIGATEURS Source: Juin,

9 Études de cas Comment les autres entreprises sont-elles parvenues à résoudre le problème de la sécurité de leurs plates-formes commerciales en ligne? Dans quelle mesure les certificats SSL ont-ils répondu à leurs besoins commerciaux? Lorsqu il est question de déterminer le certificat SSL le plus adapté aux besoins de votre entreprise, la réputation de l autorité de certification revêt une importance primordiale. Voici le portrait de deux différentes entreprises qui ont choisi de mettre en place des solutions de certificats SSL de VeriSign. SCANDINAVIAN DESIGN ONLINE Scandinavian Design OnLine figure parmi les entreprises en ligne qui ont fait confiance aux certificats SSL EV de VeriSign. Cette entreprise en ligne leader sur la scène internationale est spécialisée dans la vente de produits pour maisons et jardins ainsi que dans le design et la décoration d intérieur. Gérant de nombreux sites différents en autant de langues, le groupe s est très rapidement établi dans un segment articulièrement compétitif. Le groupe vend une centaine de marques différentes et offre le meilleur niveau possible de service client, avec une livraison en 3 ou 4 jours garantie aux quatre coins du globe. La plupart des utilisateurs y voient l une des raisons les plus convaincantes d utiliser le site : «Personne n aime attendre six semaines pour recevoir une livraison», fait remarquer Jörgen Bödmar, PDG de Scandinavian Design OnLine. Pour Scandinavian Design OnLine comme pour bon nombre d autres entreprises, l Internet offre des avantages indéniables mais comporte également son lot de difficultés. La société était également inquiète face à la menace de fraude et à la nécessité d apaiser la suspicion générale du consommateur à l égard des achats en ligne. «Nous voulions donner confiance au client : c est l une des raisons qui nous a poussé à choisir VeriSign», poursuit le PDG. «Lorsque vous effectuez un achat en ligne depuis l étranger, peutêtre même à l autre bout du monde, vous avez besoin d avoir certaines garanties concernant l existence de cette entreprise et la sécurité du paiement en ligne. La certification SSL à validation renforcée est un moyen simple et clair de montrer aux utilisateurs que nous nous soucions réellement de leur sécurité en ligne. VeriSign est de loin l Autorité de Certification SSL la plus reconnue du marché, ce qui est d autant plus important pour nous qu'il s agit de la marque la plus reconnue par nos clients.» Désormais, tous les clients qui se rendent sur les pages sécurisées de scandinaviandesigncenter.com peuvent apercevoir le cadenas doré au niveau de la barre d adresse de leur navigateur (dans la section paiement du site Web, par exemple). S ils utilisent une version plus récente, telle qu Internet Explorer 7, la barre d adresse s affiche en vert vif, ce qui est un moyen efficace de convaincre les clients de Scandinavian Design OnLine de la parfaite fiabilité du site. Mais ce n est pas tout : «Dans les deux mois qui ont suivi la mise en «Au cours des 2 premiers mois qui ont suivi la mise en œuvre, nous avons observé une hausse de 8 % de nos taux de conversion en ligne.» œuvre des certificats SSL à validation renforcée et du sceau VeriSign Secured Seal sur le site nous avons observé une hausse de 8 % de nos taux de conversion en ligne. Étant parmi les premiers à déployer ce type de certification en Scandinavie, nous pensons que cette stratégie nous a permis de confirmer notre position de 9

10 Les visiteurs du site Scandinavian Design Online peuvent voir clairement la certification SSL du site au moment de payer. leader sur le marché. La barre verte est aujourd hui visible chez plus de 50 % de nos clients ; nous avons bon espoir que la barre verte et la certification SSL EV continueront à influencer nos taux de conversion de façon positive», ajoute Jörgen Bödmar. «Nous allons continuer à nous intéresser de près aux attentes et aux besoins de nos clients afin de leur donner davantage confiance en la sécurité en ligne, en veillant par-dessus tout à ce que les nouveaux sites que nous inaugurons répondent à ces critères. LE SCEAU VERISIGN SECURED SEAL Nous pensons que la croissance se poursuivra dans les années à venir grâce à notre engagement et à l engouement international pour le design scandinave. Nous devrons une grande partie de cette croissance à la confiance que nous saurons développer autour de notre marque.» CDISCOUNT Bien connu de tous ceux qui aiment faire de bonnes affaires, Cdiscount.com est un site de vente en ligne réputé qui a su marquer les esprits. Avec plus d 1 million de certificats SSL actifs émis (comprenant VeriSign, GeoTrust, thawte et RapidSSL), VeriSign (NASDAQ : VRSN) est l Autorité de Certification SSL la plus reconnue au monde. Les quarante plus grandes banques du monde entier collaborent toutes avec VeriSign. Le nom de l Autorité de Certification qui délivre un certificat SSL est désormais clairement visible avec Internet Explorer 7 (IE 7), ce qui signifie que le nom et la valeur de l autorité émettrice sont de plus en plus importants aux yeux du consommateur. Mais avec le sceau VeriSign Secured Seal, la marque de 10 confiance numéro un sur Internet, n importe quel site utilisant un certificat SSL VeriSign peut immédiatement exploiter la réputation mondiale et la reconnaissance de la marque, et ce quel que soit le navigateur que le visiteur utilise. 10 Ce site spécialisé dispose d un catalogue général de plus de produits comprenant aussi bien des appareils électroménagers que des produits dérivés des technologies de l information ou encore des voitures. Cdiscount a vu le jour en décembre 1998 sur l initiative de trois frères. Derrière cette vitrine, un concept simple : «acheter sur Internet à prix réduit!». Initialement limité à quelques produits spécifiques, le site s est rapidement diversifié et agrandi. Aujourd hui, Cdiscount garantit toujours les meilleurs prix sur une large gamme de produits et services. En tant que pionnier du commerce en ligne, Cdiscount «Nous avons retenu les certificats EV SSL de VeriSign car nous sommes convaincus de leur impact positif sur nos taux de conversion au moment du paiement» doit sa croissance à son expérience unique, à sa capacité à dénicher les bons produits au meilleur prix et surtout à un excellent niveau de service. Devenu leader du commerce en ligne en France, le site s est rapidement imposé comme une référence dans son domaine. Depuis février 2000, Cdiscount est rattaché au groupe Casino. Le site attire chaque jour plus de visiteurs ; avec 5,3 millions d acheteurs actifs, il est devenu une plate-forme incontournable réalisant plus de ventes quotidiennes. Soucieux de garantir des relations de confiance et de sécuriser ces transactions, Cdiscount a décidé de porter son choix sur les certificats SSL à validation renforcée de VeriSign. «Nous avons décidé d héberger la

11 page de paiement en ligne de nos clients en interne au lieu de les rediriger sur une page gérée par les serveurs des banques partenaires, et ce afin de limiter les risques d attaque par phishing et d améliorer la qualité de service pour nos clients. Nous avons pour cela créé notre propre centrale de paiement», explique Aurélien Fauré, directeur des opérations chez Cdiscount. Cette centrale de paiement doit bien évidemment garantir une connexion sécurisée avec un système de cryptage de manière à protéger les informations personnelles et financières qui transitent par le site. «Nous avons retenu les certificats SSL EV de VeriSign car nous sommes convaincus de leur impact positif sur nos taux de conversion au moment du paiement.» Sur les pages aussi importantes que les pages de paiement, il est essentiel de rassurer le client et de l amener à conclure ses achats en toute confiance, en sachant ses informations personnelles protégées contre tout risque d attaque. La délivrance des certificats SSL EV de VeriSign atteste que l identité du commerçant a été soumise à des contrôles rigoureux. Ils offrent aux internautes un moyen simple et fiable de faire confiance aux sites qu ils visitent. Sur les navigateurs Microsoft Internet Explorer 7, Firefox 3.0 et Opera 9.5, la barre d adresse s affiche en vert et fait apparaître le nom du propriétaire du certificat. La barre d état de sécurité indique que la transaction est cryptée et que l organisation a été authentifiée conformément aux critères les plus stricts de l industrie. Pour être autorisée à utiliser la certification SSL EV sur le site de Cdiscount, la société a été soumise à ce processus d authentification rigoureux. Outre les vérifications habituelles effectuées par VeriSign pour authentifier une organisation, un avis juridique confirmant que le demandeur est habilité à obtenir un certificat SSL au nom de la société doit être remis par écrit pour autoriser la délivrance d un certificat SSL à validation renforcée. La barre verte est donc aujourd hui plus que jamais garante de la sécurité et de l authenticité du site sur lequel elle apparaît. Cdiscount est depuis longtemps client de VeriSign. «Nous avons toujours acheté nos certificats auprès de VeriSign dont nous saluons la réputation de la marque et qui nous permet d offrir à nos clients une garantie de confiance. Nous affichons également le sceau VeriSign Secured Seal, une garantie de sécurité ou marque de confiance supplémentaire reconnue dans le monde entier», précise le directeur des opérations. CERTIFICATS SSL VERISIGN SECURE SITE PRO AVEC EV L option idéale pour les banques et les sites de commerce en ligne qui gèrent à la fois des informations personnelles et financières. Le certificat SSL le plus sécurisé et le plus fiable délivré par VeriSign. Dans les versions les plus récentes de la plupart des navigateurs, la barre d adresse s affiche en vert pour refléter le haut niveau de sécurité offert par le site. Avec une garantie de dollars US, ce certificat SSL offre aux utilisateurs un niveau de cryptage compris entre 128 et 256 bits, tout en leur assurant la tranquillité d esprit que confère la barre d adresse verte. SECURE SITE PRO Conçu pour les sites amenés à gérer des informations sensibles, ce certificat garantit un cryptage de 128 à 256 bits. SECURE SITE (ÉGALEMENT DISPONIBLE AVEC EV) Conçu pour les entreprises utilisant des intranets et des extranets, il protège les données sensibles contenues dans les pages Web, dans les intranets et dans les extranets grâce à un cryptage de 40 à 256 bits. 11

12 Un avenir placé sous le signe de la sécurité Sensibilisation des internautes, innovations des navigateurs et application des technologies de sécurité les plus récentes aux plates-formes Web sont autant de facteurs indispensables pour construire des plates-formes d e-commerce dignes de confiance. Il reste encore néanmoins de nombreux efforts à faire pour garantir des transactions en ligne et un transfert de données sur Internet parfaitement sûrs du point de vue de l utilisateur. Comme nous l avons constaté, les versions les plus récentes de la plupart des navigateurs Web ont réalisé de grands progrès pour refléter visuellement l importance du niveau de sécurité offert par les différents services Web. Elles permettent également aux utilisateurs d identifier, d un simple clic, l entreprise ou l organisation qui gère un site donné et de déterminer leur fiabilité et leur légitimité. Mais puisque les navigateurs constituent le point d entrée des utilisateurs sur Internet, il est important que les développeurs protègent tous les utilisateurs des risques de fraude et récompensent les efforts investis par les entreprises sérieuses dans des plates-formes réellement sécurisées en continuant à travailler dans cette voie. L alliance, qui regroupe les fabricants et les développeurs de logiciels de sécurité (outils antivirus ou antimaliciel, par exemple) ainsi que les organismes de certification compétents, joue également un rôle majeur dans la bataille à la sécurisation du commerce en ligne. Ces groupes doivent poursuivre leur collaboration avec les développeurs de navigateurs Web dans des forums tels que le CA/Browser Forum, afin de rendre visibles à l utilisateur tous les progrès réalisés en termes d innovation et de réglementation. Ce qui nous amène au dernier facteur essentiel à des échanges de données en ligne sécurisés: les utilisateurs eux-mêmes et la nécessité de déployer des efforts permanents afin de leur donner une idée précise et avertie des risques existants et leur apprendre à se protéger au mieux, en particulier face aux attaques par phishing. Les utilisateurs sont aujourd hui plus vigilants face aux dangers liés aux antimaliciel logiciels malveillants. Cette vigilance, couplée aux dernières techniques de cryptage et aux mesures de sécurité mises en œuvre dans les navigateurs actuels, a SÉCURITÉ INTÉGRÉE D INTERNET EXPLORER 8 12 À la date d impression du présent document, seule la version bêta de Microsoft Internet Explorer 8, le navigateur le plus utilisé dans le monde, est actuellement disponible. Microsoft a toutefois détaillé les principales nouveautés du navigateur destinées à contourner les grandes menaces de sécurité, en les classant en trois groupes distincts: les vulnérabilités dans les applications Web, les vulnérabilités au niveau du navigateur et des plug-ins et les menaces de piratage psychologique. La principale nouveauté réside dans le blocage du code utilisé pour exploiter les vulnérabilités XSS (Cross-Site Scripting), qui font partie du système de validation HTML intégré. Les vulnérabilités XSS sont exploitées par les pirates pour obtenir des informations à partir des cookies et d autres données via des applications Web. Les caractéristiques de défense locales d IE8 localiseront les menaces émanant de certaines applications spécifiques d un poste de travail afin d éviter qu elles n atteignent le réseau. Du point de vue de l utilisateur, IE8 sensibilisera davantage les internautes au type de sécurité dont dispose le site Web qu ils recherchent, en fournissant des informations encore plus intuitives que celles fournies dans la version précédente du navigateur. Lorsqu un internaute accède à un site via IE8, le navigateur affiche automatiquement le propriétaire enregistré du nom de domaine, ce qui permet à l utilisateur de déterminer s il se trouve réellement sur le site qu il recherchait et non sur une imitation. Microsoft a également mis au point l outil SmartScreen Filter qui, avec d autres technologies telles que Windows Defender, bloque les sites réputés pour distribuer des programmes malveillants. La technologie SmartScreen Filter est basée sur l outil Phishing Filter inclus dans IE7.

13 permis de déjouer de nombreuses attaques de ce type. Mais dès lors qu une menace se révèle moins efficace, les pirates se tournent vers d autres méthodes. De même, les techniques de piratage psychologique destinées à encourager les utilisateurs à révéler des données potentiellement sensibles ont aujourd hui le vent en poupe. LA SÉCURITÉ, GARANTE D UNE EXPÉRIENCE EN LIGNE RÉUSSIE La fraude en ligne est une bombe à retardement pour les entreprises en ligne et ne favorise personne, si ce n est bien sûr le fraudeur lui-même. «Si les pertes directes subies par les internautes lors de brèches de confidentialité peuvent se révéler tout à fait minimes, l effet cumulatif peut se traduire par l érosion de la confiance dans les institutions publiques telles que les banques et les agences gouvernementales, en particulier au niveau des transactions effectuées sur Internet», souligne 11 McAfee. Si cette affirmation peut sembler alarmiste de prime abord, elle décrit néanmoins parfaitement la réalité. Heureusement, la communauté Internet est aujourd hui parfaitement consciente des problèmes de sécurité, ce qui constitue en soi un réel progrès vers la découverte d une solution. Il existe désormais un certain nombre de sites, tels que Getsafeonline.org, dont la mission n est autre que de tenir les utilisateurs et les gérants de sociétés en ligne informés de la situation. Les sites de ce type fournissent des recommandations de base sur la manière de naviguer de la façon la plus sûre possible et sur les moyens de vérifier que les pages Web qui gèrent des informations potentiellement sensibles disposent du meilleur cadre de sécurité disponible. Certains acteurs qui ont été directement victimes de problèmes de sécurité ont également pris l initiative d informer activement les utilisateurs des menaces existantes. PayPal, par exemple, a lancé un programme baptisé FightPhishing conçu pour fournir aux utilisateurs des informations spécifiques sur les attaques par phishing et le vol d identité. Les récents développements dans la lutte contre la fraude rendent la sécurité totalement transparente aux yeux des internautes D autres sites qui vivent du commerce en ligne ou gèrent des transactions ou des échanges de données en ligne devraient suivre cet exemple. Non seulement cela permet d alerter les utilisateurs face aux dangers qui les menacent lorsqu ils achètent des produits en ligne, mais cela permet également à la société qui exploite le site de présenter aux internautes les mesures de sécurité qu elle a mises en œuvre et de se positionner comme une entreprise légitime œuvrant dans l intérêt de l utilisateur. Les autorités de certification SSL fiables telles que VeriSign guident leurs clients dans cette voie, en les orientant vers un site en ligne disposant d un certificat SSL EV qui informe les utilisateurs du niveau de protection garanti et leur explique comment vérifier cette protection dans la barre d adresse de leur navigateur. Le principal objectif de la page Getsafeonline.org est de sensibiliser les utilisateurs et les gérants d'entreprises en ligne aux risques qui existent sur Internet. L IMPORTANCE D ÊTRE À JOUR La technologie progresse et les collectifs travaillant avec Internet acquièrent de plus en plus d expérience dans le sujects des risques de sécurité qui existent, mais dans le même temps, les dangers se multiplient et les pirates adoptent des techniques de plus en plus sophistiquées. L avantage des développements les plus récents dans la lutte contre la fraude, tels que l application de codes couleur dans les dernières versions de navigateurs pour les certifications SSL les plus sophistiquées, est qu ils rendent la sécurité totalement transparente aux yeux des internautes et les aident ainsi à acquérir une connaissance intuitive des niveaux de protection au fil de leur navigation. Toute entreprise cherchant à sécuriser ses opérations en ligne doit être réactive et veiller à toujours conserver une longueur d avance sur les fraudeurs. Les navigateurs et les certificats SSL progressent, mais ces progrès doivent s inscrire dans une approche multiniveaux qui doit être connue de quiconque possédant un intérêt particulier dans ce domaine des utilisateurs aux entreprises en ligne en passant par les acteurs de l industrie. Le risque existe mais la solution est entre nos mains. 13

14 GLOSSAIRE 14 Authentification Processus d identification d un individu ou d une société, visant à garantir qu ils sont bien ce qu ils prétendent être et à vérifier la fiabilité de leurs programmes informatiques ou serveurs. Autorité de Certification Une Autorité de Certification est une entité qui délivre des certificats numériques pour leur utilisation par des tiers. C est un exemple de tiers de confiance. Seules les Autorités de Certification les plus renommées, qui se soumettent régulièrement à des audits afin de vérifier l exhaustivité et l exactitude de leurs procédures d authentification, sont habilitées à délivrer des certificats SSL à validation renforcée. CA/Browser Forum Organisation volontaire regroupant les principales Autorités de Certification, notamment RSA Security, SECOM Trust Systems et VeriSign, ainsi que les grands éditeurs de navigateurs Internet, notamment Microsoft, Opera Software et la Mozilla Foundation. Cross-Site Scripting Le terme Cross-Site Scripting (XSS) désigne un type de vulnérabilité informatique affectant principalement les applications Web, qui permet à des utilisateurs mal intentionnés d injecter du code dans les pages Web visitées par d autres utilisateurs. Cryptage Processus de transformation des informations basé sur l utilisation d un algorithme, qui les rend illisibles pour tous les utilisateurs qui ne possèdent pas de code de déchiffrement (clé) installé sur leur ordinateur. On distingue deux types de cryptage: le cryptage asymétrique, ou cryptage à clé publique, et le cryptage symétrique. Cryptographie à clé publique Également désignée sous le nom de «cryptographie asymétrique», cette forme de cryptographie utilise des clés différentes pour crypter et décrypter le même message. Dans la cryptographie à clé publique, l utilisateur dispose de deux clés cryptographiques: une clé publique et une clé privée. La clé privée est secrète tandis que la clé publique peut être distribuée à plusieurs utilisateurs. Secure Sockets Layer (SSL) Protocole développé par Netscape pour la transmission de documents privés sur Internet. Le protocole SSL est basé sur un système cryptographique utilisant deux clés de chiffrement : une clé publique connue de tous et une clé privée ou secrète connue uniquement du destinataire du message. Server Gated Cryptography (SGC) Méthode utilisée pour fournir un cryptage efficace dans une connexion SSL avec d anciennes versions de navigateurs Web, capables de prendre en charge uniquement des clés de 64 bits. Si un serveur prend en charge la technologie SGC, il renvoie un certificat numérique SGC au navigateur Web. Le certificat SGC demande au navigateur Web d établir une communication pour générer des clés de 128 bits et plus. Validation Renforcée Type de certificat attestant que l organisation à laquelle il a été déliveré a été soumise à une enquête rigoureuse de l Autorité de Certification. Ce certificat a été créé par le CA/Browser Forum et ne peut être délivré que par des Autorités de Certification qui acceptent de se soumettre à des audits réguliers visant à vérifier l exhaustivité et l adéquation de leurs procédures d authentification. BIBLIOGRAPHIE 1. The Nielsen Global Online Survey: Nielsen, 28 janvier Les opérations bancaires en ligne en France pour : Forrester Research, février Online Survey: YouGov, janvier Security Threat Report: Sophos, août Trends in , Web and Malware Threats: Secure Computing, décembre Online Survey: YouGov, 12 mars Online Fraud Report: INTECO, octobre TNS Research: TNS, Online Survey: YouGov, janvier TNS Research: TNS, août McAfee Virtual Criminology Report 2007: McAfee, 2008.

15 La technologie la plus récente et la plus sophistiquée en matière de sécurité en ligne. La plus verte également. Identified by VeriSign Signe de sécurité visible sur le site Web d une société qui inspire confiance aux clients. C est très simple : une barre verte signifie que votre site est sécurisé. Vos clients se sentent en sécurité pour mener à bien leurs transactions en ligne. Tout ceci est possible grâce aux certificats SSL Extended Validation (EV) de VeriSign, qui vérifient l authenticité et la sécurité des sites Web et les représentent par des signes visuels. Ainsi, votre société est protégée tout comme vos clients en ligne. Gagnez la confiance des visiteurs et permettez à chacun d eux de bénéficier du cryptage disponible le plus puissant afin de maximiser le profil sécurité de votre site. Accédez au document technique gratuit, Les dernières avancées de la technologie SSL, sur le site ou appelez le VeriSign France S.A. Tous droits réservés. VeriSign, le logo VeriSign, le logo du cercle marqué d une coche, le logo VeriSign Secured et les autres marques commerciales, marques de services et logos sont des marques commerciales déposées ou non de VeriSign et de ses filiales aux États-Unis et dans d autres pays. Toutes les autres marques commerciales sont des marques de leurs propriétaires respectifs.

16 en association avec NetMediaEurope S.A Tous droits réservés.