L'enjeu primordial du commerce electronique? La securite! Benoit Vanderstichelen, Ancien Directeur general de l'i.e.c., Tax Director Arthur Andersen



Documents pareils
Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Fiche de l'awt La sécurité informatique

En conséquence, toutes les banques qui souhaitent notes de commerce, doit obtenir l'autorisation de la Commission.

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Chapitre 1 : Introduction aux bases de données

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Concilier mobilité et sécurité pour les postes nomades

COTISATIONS VSNET 2015

Le contexte. 1) Sécurité des paiements et protection du consommateur

Aide en ligne du portail

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

Cloud Computing : forces et faiblesses

TECHNOLOGIE SOFTWARE DU FUTUR. Logiciel de gestion d entreprise pour le Web

Convention Beobank Online et Beobank Mobile

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Service de certificat

CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK

Bibliographie. Gestion des risques

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

La haute disponibilité de la CHAINE DE

Lisez ce premier. Droit d'auteur

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Faites vos achats en ligne en toute confiance

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Guide d'inscription pour obtenir un certificat ssl thawte

Faille dans Internet Explorer 7

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

7.1.2 Normes des réseaux locaux sans fil

ABACUS AbaWebFiduciaire. Le logiciel coopératif pour la fiduciaire. Software as a Service pour les clients de la fiduciaire

CHARTE INFORMATIQUE LGL

La sécurité informatique

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

Tableau Online Sécurité dans le cloud

DATE D'APPLICATION Octobre 2008

SPF FIN. Patris Spécification de Use Case: 15-UC01 Obtenir de l'information patrimoniale. Version 1.1

Baromètre Gemalto - TNS Sofres. Les Français et les Américains exigent une amélioration de la sécurité et de la flexibilité du monde numérique

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche?

Les messages d erreur d'applidis Client

FICHE ÉLÈVE. Déroulement. Activité 2 : Faites des hypothèses sur le sujet après avoir visionné une première fois la vidéo sans le son.

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Projet : PcAnywhere et Le contrôle à distance.

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

MODE D'EMPLOI DE LA CALCULATRICE POUR LES COURTS SÉJOURS DANS L'ESPACE SCHENGEN

SIMPLE CRM ET LA SÉCURITÉ

Signature électronique. Romain Kolb 31/10/2008

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Messagerie sécurisée, fiable et économique

FAQ RENOUVELLEMENT QUESTIONS ESSENTIELLES AU RENOUVELLEMENT :

96% 75% 99% 78% 74% 44 %

Le concept FAH (ou ASP en anglais)

DNSSEC. Que signifie DNSSEC? Pourquoi a-t-on besoin de DNSSEC? Pour la sécurité sur Internet

La voix sur IP n'est pas un gadget, et présente de réels bénéfices pour l'entreprise.

Charte de nommage du «.tn»

Gamme d'adaptateurs DAxx pour téléphonie VoIP. Tony Jones

ARTEMIS VIEWS TIME REPORTING. Avec TrackView

CARPE. Documentation Informatique S E T R A. Version Août CARPE (Documentation Informatique) 1

Du 03 au 07 Février 2014 Tunis (Tunisie)

Gestion des utilisateurs et Entreprise Etendue

LES HOTSPOT PAYANTS... GRATUITS?

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX

Banque Nationale de Belgique Certificate Practice Statement For External Counterparties 1

Le rôle Serveur NPS et Protection d accès réseau

TESTS D ÉVALUATION DU FRANÇAIS POUR L ADMISSION AU MASTER

Mise en place d une politique de sécurité

Présentation. LogMeIn Rescue. Architecture de LogMeIn Rescue

LA VoIP LES PRINCIPES

Installer une imprimante réseau.

Fiche de l'awt Qu'est-ce qu'un Intranet?

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Marques de confiance sur Internet :

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés

Annexe 5. CONTRAT CYBERPLUS PRO Souscrit dans le cadre du Titre 1Conditions Particulières

Collecter les 54 milliards d'euros de bénéfices issus des nouveaux usages de la donnée

RECTORATC / AC

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Meilleures pratiques de l authentification:

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI

Un guide LE CLOUD COMPUTING DÉMYSTIFIÉ 5 IDÉES REÇUES QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LE CLOUD COMPUTING

DAVION Didier 33 avenue Paul Cézanne HOUPLINES. Auditeur n NPC URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO

PLAN. E-Commerce. Préparé par : Hamza. Encadré par : M.ABOUSSAA D. NAJJAR Soufiane DOUIMI. Université Chouaib Doukkali

Logiciel de conférence Bridgit Version 4.6

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

NewPoint IT Consulting BIG DATA WHITE PAPER. NewPoint Information Technology Consulting

Manuel d'utilisation du client VPN Édition 1

Tutoriel d'introduction à TOR. v 1.0

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier 1. Installation de Windows Server 2003 Standard Edition (pour le serveur)

Transcription:

L'enjeu primordial du commerce electronique? La securite! Benoit Vanderstichelen, Ancien Directeur general de l'i.e.c., Tax Director Arthur Andersen Apres que les ministres des telecommunications europeens aient adopte une directive imposant a chaque pays de l'union d'introduire une legislation reconnaissant la signature digitale comme equivalente a la signature ecrite, le commerce electronique n'a jamais ete autant d'actualite. Il n'y a qu'a voir les derniers chiffres. En Europe, les pionniers du commerce electronique ne sont pas que des start-up. On trouve parmi eux de grands groupes des secteurs de l'energie, des telecommunications ou de la finance, comme TotalFina ou Migrosbank, etablissement bancaire suisse. Ce constat, qui marque une difference notable avec le developpement du commerce electronique aux Etats-Unis, a surpris Vernon ELLIS, associe d'andersen Consulting, qui a rendu publique, l'an dernier, l'enquete «eeurope» sur les perspectives du commerce electronique. Durant le mois de mai 1999, le cabinet international a interviewe quelque 350 dirigeants d'entreprise dans 11 pays europeens, et 60 aux Etats-Unis. Leurs reponses, associees aux constats des consultants chez quelques grands clients, ont permis de degager quelques tendances sur le developpement du commerce electronique en Europe. Ainsi, Andersen Consulting affirme qu' «un changement spectaculaire s' est opere dans le paysage europeen du commerce electronique». L'activite, qui restait l'an passe cantonnee aux fonctions commerciales, touche aujourd'hui <des approvisionnements, la chafne logistique, la finance, voire le developpement de nouveaux produits». Andersen cite l'exemple de TotalFina, qui, en donnant a ses clients de l' activite raffinage un acces direct a ses services et a ses systemes de livraison, a reduit de 20% a 30% les couts lies a la gestion des commandes. Le cabinet prevoit un developpement important pour les cinq annees a venir, qui conduirait 90% des entreprises a utiliser le commerce electronique pour leurs services commerciaux et, pour 83% d' entre elles, leur approvisionnement. Ces chiffres optimistes viennent de declarations d'intention des chefs d'entreprise qui vont dans le meme sens. Pres des deux tiers d'entre eux (64%) considereraient aujourd'hui que le commerce electronique procure un reel avantage competitif, contre 51 % I' an passe. lis seraient 44% a avoir elabore des plans pour tirer profit de ce nouveau type de commerce, contre 31 % en 1998. D' apres I' etude, le developpement du paysage electronique europeen contribue largement a celui du commerce electronique. L' emergence des reseaux cables, numeriques et des transmissions par satellite serait en train de revolutionner l'infrastructure. Et la predominance de I' Europe dans la telephonie mobile et la television numerique interactive devrait se renforcer. «eeurope» envisage un 499

L'ENJEU PRIMORDIAL DU COMMERCE ELECTRONIQUE? LA SECURITE! marche europeen des communications virtuelles aux alentours de 430 milliards de dollars (383 milliards d'euros) d'ici a 2003. Acette date, le nombre d'internautes europeens devrait atteindre 170 millions, soit autant qu' aux Etats-Unis. Pourtant, les chefs d'entreprise continuent a douter. En Europe, 85% d'entre eux estimaient que leur societe «ne dispose pas des competences necessaires pour exploiter avec succes le potentiel du commerce electronique». Rien de bien inquietant lorsqu'on sait qu'ils sont 90% a eprouver le meme sentiment outre-atlantique! Mais, pour 83% des chefs d' entreprise interroges, la culture de leur entreprise n' est pas compatible avec les changements que leur imposerait la nouvelle economie pour rester competitifs. Enfin, quelques differences se sont fait jour de part et d' autre de l' Atlantique dans I' etude «eeurope». Les Europeens resteraient ainsi assez nombreux a considerer le commerce electronique «isolbnent», lui deniant meme a 45% un role de pour resoudre leurs problemes et les aider a atteindre leurs objectifs. Du pain sur la planche en prevision, pour le cabinet d' origine anglo-saxonne, qui privilegie une approche integree du changement. Les progres technologiques effectues ces derniers mois et le developpement exponentiel des sites marchands qui y est associe, imposent aux gouvernements d'introduire de nouvelles lois prenant en compte les imperatifs du commerce 'virtuel'. Securite manquante Mais voila le «hic»: malgre des progres legislatifs sensibles, un grand nombre de sites marchands demarrent ou continuent de fonctionner en utilisant des technologies a risques, comme le fait remarquer le consultant Laurent MELLINGER, auteur d'une etude tres bien structuree sur ce theme et dont nous reprenons les points des. Ainsi, affirme-t-il, ne vous laissez pas impressionner par des messages du type 'Ce site est totalement securise' ou encore 'Sur a 100%', la plupart des sites europeens utilisent encore un chiffrement faible pour faire transiter votre carte de credit sur Internet. De maniere generale, les transactions electroniques securisees necessitent quatre precautions: Authentification Autorisation Non-repudiation Confidentialite 500

L'ENJEU PRIMORDIAL DU COMMERCE ELECTRONIQUE? LA SECURITE' Authentification L'authentification pennet d'identifier les parties en presence lors d'une transaction. Sur Internet il est imperatif d' etre sur que le serveur sur lequell' on se connecte pour une transaction financiere est bien celui dont on a tape l' adresse dans son navigateur. De meme, lorsque vous faites un virement financier sur votre compte bancaire en ligne, il est imperatif que la banque soit sure que vous etes bien le detenteur du compte debite. La technologie la plus utilisee a l'heure actuelle pour realiser l'authentification est la signature digitale. Elle est comparable a la signature ecrite apposee au bas d'un document. Toutefois, il est possible pour une signature ecrite d'etre contrefaite: combien d' entre nous n' ont pas un jour signe en lieu et place de leurs parents un mot d' excuse pour eviter la terrible interro de maths? A l' ere de la signature digitale, le travail d' artiste des jeunes ecoliers va devenir impossible. En effet, par un mecanisme de lien de confiance, votre signature digitale est certifiee confonne par une autorite tierce. Comme si, en fait, votre signature sur le livret scolaire etait contresignee par une autorite supreme certifiant que c' est bien votre signature qui est apposee au bas de la page, et non pas une pale copie. La signature digitale peut se presenter sous plusieurs formes allant d'un fichier sur le disque dur d'un PC ou sur une carte a puce, aux identifications biometriques par la voix ou I' empreinte digitale. Autorisation Afin de reguler les acces aux informations mises en ligne, il est necessaire de pro ceder a un filtrage des communications. Il serait malvenu que Madame X soit autorisee a consulter le solde de Monsieur Y et d' effectuer des virements a partir d'un compte qui n'est pas le sien. Pour eviter ce genre de desagrement, une serie de regles de securite doit etre mise en place autorisant les acces aux ressources en fonction de l'identite du demandeur et/ou son appartenance a un groupe d'acces. Dans certains cas, l'utilisateur devra fournir un code d'acces en plus d'avoir a prouver son identite pour effectuer une operation. Par exemple, en utilisant sa signature digitale Madame X peut consulter les tarifs de location de voiture dont beneficient les employes de la societe pour laquelle elle travaille, mais pour effectuer une reservation et un paiement en ligne, elle devra fournir la preuve qu'elle est autorisee a le faire en fournissant un code d'acces specifique. Ces filtrages sont effectues d' une part par les firewalls, mais egalement par les serveurs d'application gerant la logique transactionnelle. 501

L'ENJEU PRIMORDIAL DU COMMERCE ELECTRONIQUE? LA SECURITE! N on-repudiation Dans toutes les salles de marches, les conversations telephoniques des dealers sont enregistrees et stockees en permanence. C' est une precaution simple qui permet de prouver qu'un ordre a bien ete passe ou n'a pas ete passe en cas de litige. Dans le cas des transactions en ligne, le principe est le meme, en cas de contestation du client, le serveur doit pouvoir prouver qu'une transaction a bien ete effectuee. Pour ce faire, le serveur enregistre toutes les operations effectuees, y associe le client auteur de la modification, et ce de maniere irrefutable. Ainsi, si Monsieur Y fait un virement de 100 sur le compte de Madame X, l'information doit etre stockee de maniere a prouver irremediablement que la transaction a bien eu lieu, de maniere a ce que Monsieur Y ne puisse pas nier avoir fait le virement. La mise en reuvre de cette logique se fait au niveau de l' application gerant les transactions. Confidentialite Dans certains westerns I' on voit des bandits grimper aux poteaux telegraphiques, brancher un casque sur deux fils et intercepter les communications du telegraphe. Bien que plus d'un siecle separe I'Internet de cette scene, le principe est toujours d' actualite. Les outils et les methodes ont change et les bandits de l' epoque sont les ancetres des crackers de nos jours. Il n'existe qu'une solution pour parer a ce que l'on appelle assez explicitement le 'sniffing': le chiffrement des communications. Le chiffrement ne permet pas d' empecher la recuperation des informations, mais il en empeche la comprehension. Une attaque sur une communication chiffree est possible, mais dans ce cas le but du jeu devient le dechiffrement. Toute la protection repose alors sur la force du chiffrement. Le chiffrement de donnees transactionnelles repose sur un algorithme dit 'symetrique', c' est -a-dire que la meme cle permet le chiffrement et le dechiffrement. Le protocole SSL (Secure Socket Layer) utilise un algorithme symetrique (DES). Une attaque sur ce genre d'algorithme consiste tout simplement a essayer toutes les cles possibles, jusqu' a trouver la bonne, et plus la cle est longue, plus il y a de combinaisons possibles. C'est pourquoi un chiffrement de 128 bits est plus sur qu'un chiffrement de 40 bits, comme le montre la figure 1. 502

L'ENJEU PRIMORDIAL DU COMMERCE ELECTRONIQUE? LA SECURITE! Longueur Pirate Petit Reseau Grande Agence de ele individuel groupe universitaire compagnie militaire (bits) 40 Semaines Jours Heures Millisecondes Microsecondes 56 Siecles Decades Annees Heures Secondes 64 Millenaires Siecles Decades Jours Minutes 80 Impossible Impossible Impossible Siecles Siecles 128 Impossible Impossible Impossible Impossible Millenaires Figure 1: Dun~e necessaire pour «casser» un algorithme a cle symetrique, base sur la technologie existante en 1997. Extrait de Digital Certificates, J. FEGHI, J. FEGHI, P. WILLIAMS. La longueur de cle offrant une securite suffisante pour des transactions financieres varie d'un minimum de 56 bits jusqu'a 128 bits qui devient le standard. La longueur de la cle est choisie en fonction de la duree pendant laquelle l'information doit rester secrete (sachant que la technologie evolue, et que donc, les temps de calcul diminuent). En Europe, certains problemes legaux empechent encore l'utilisation de cles de longueur superieure a 40 bits avec des algorithmes developpes aux Etats-Unis. 11 est toutefois possible d'utiliser des algorithmes developpes hors des Etats-Unis pour beneficier de la technologie 128 bits. Ces quatre principes sont donc une base a respecter pour application gerant des transactions utilisant Internet comme medium. Afin de le verifier Laurent MELLINGER prend comme exemple une commande sur un site de librairie, et voyons comment dans la plupart des cas, ces regles ne sont pas toutes respectees. La premiere etape consiste pour le client a choisir ses articles et passer la commande. 11 entre sur le site 'securise' du marchand sur le protocole SSL. A ce moment le serveur envoie son certificat (sa signature) au client afin de prouver qu'il est bien le serveur de paiement de la librairie. Le probleme est que la connexion soi-disant securisee se fait avec une cle de chiffrement de 40 bits. Elle devrait se faire au minimum avec une cle de 56 bits. Ensuite le client entre ses coordonnees ainsi que son numero de carte de credit. Toutefois le client n'est pas authentifie, rien ne prouve qu'il n'utilise pas la carte de credit de son pere, par exemple. Enfin, le serveur re~oit le numero de carte de credit et se charge de la connexion avec I' organisme de clearing afin de verifier que I' argent de la transaction est disponible. Et donc le serveur re~oit le numero de carte. Si quelqu'un pirate ce 503

L'ENJEU PRIMORDIAL DU COMMERCE ELECTRONIQUE? LA SECURITE' serveur, il peut recuperer le numero de carte de credit et I' utiliser sur d' autres sites, La connexion devrait se faire directement entre le client et le centre de clearing. Si I' on recapitule cette transaction, voyons quels sont les principes respectes: Authentification Autorisation Non-repudiation Confidentialite Cote serveur seulement, le client n' a pas ete authentifie Pas de restriction dans ce cas, car le site est public Le client n'est pas authentifie donc rien ne prouve que c'est bien lui qui a donne son numero de carte de credit Le chiffrement utilise est tout a fait insuffisant. La plupart des cartes bancaires ont une duree de vie de 2 ans Il est donc clair que ce genre de transaction courante sur le web dispose d'un niveau de securite relativement faible. La technologie evolue et les applicatifs en place aussi bien du cote des serveurs marchands que des organismes de clearing tendent vers des solutions respectant les quatre principes de base. Mais le fait est qu'a l'heure actuelle, commander ses!ivres par Internet comporte encore des risques dans la majorite des cas. Et it l'avenir? Que retenir de cette petite etude de Laurent MELLINGER? Qu'en matiere de commerce electronique, beaucoup - malheureusement - reste encore a faire. Non seulement dans les rapports entreprises-consommateurs (BtoC) mais egalement dans le sens contribuables-administration (fiscale notamment). En Belgique, le Iegislateur travaille d'arrache-pied pour introduire la signature digitale dans notre arsenal juridique. Combine a une meilleure securite des transactions sur Internet, ce serait le prelude a de grands changements et accessoirement, a un gain de temps pour les citoyens et une reaffectation du personnel administratif vers des taches plus productives. Qui s'en plaindra? 504

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back