Chapitre IV: La sécurité en commerce électronique
Sommaire A. Sécurité informatique et réseau B. La signature électronique C. Les certificats électroniques E. Les techniques de sécurisation adaptées au commerce électronique F. Les solutions de paiement
Pourquoi mettre en œuvre une sécurité informatique à un réseau? Le «bon fonctionnement» d un réseau signifie: Protection du système Protection des données nominatives Fiabilité des logiciels et matériels Performance et disponibilité des services offerts Protection des informations stockées et échangées Protection des accès aux systèmes
Pourquoi mettre en œuvre une sécurité informatique à un réseau? Les risques vis-à-vis d un réseau : Destruction ou corruption de l information Détérioration de la qualité des services Vol des informations Usurpation de l identité et utilisation frauduleuse des ressources
La définition du risque La possibilité pour un agresseur d exploiter des vulnérabilités et de causer un impact Vulnérabilité: Clés sous le tapis Menace: Cambrioleur (agresseur) essaie d entrer Impact: Cambrioleur casse l armoire, vole de l argent, crée des ennuis Risque = Vulnérabilité x Menace x Impact
Les buts de la sécurité : garantir DCI-P
Le social engineering C est une technique de manipulation par tromperie qui vise à obtenir l accès à des informations confidentielles ou à des ressources à accès restreint par la manipulation de personnes en ayant directement ou indirectement l accès. Le facteur humain est le point central des techniques d attaque rencontrées en social engineering.
Le phishing traditionnel Le phishing traditionnel se caractérise par Courrier électronique très impersonnel envoyé à grande échelle Courrier électronique urgent et menaçant Courrier électronique qui contient un hyperlien
Le phishing traditionnel www.ebay.com 3) 4) Mary Data entered clique sur by le Mary lien affiché will not dans be send le mail. to ebay Elle 2) Un de ces e-mails a été reçu par Mary. L e-mail pense but to établir the attacker une connexion website vers ebay. En fait le parle d un problème de carte bancaire sur ebay et lien la redirige vers www.attacker.lu lui demande de renvoyer ses données à ebay (par la page en cliquant sur le lien) www.attacker.lu 1) Un spammer envoie de nombreux spams vers des milliers de destinataires Internet Spammer
Le spear phishing Le spear phishing se caractérise par Courrier électronique personnalisé envoyé à un groupe restreint Courrier électronique invitant Courrier électronique qui contient un hyperlien Très dangereux, mais encore peu répandu (Besoin d adresses et de noms).
Phishing avec Trojan downloaders Les Trojans sont des programmes qui se cachent souvent dans des applications anodines destinés à voler des informations confidentielles. Vecteurs d infection: Courriers envoyés (Courriers ciblés) CD et Memory Sticks envoyés ou offerts Via le WEB pendant le surfing (drive-by download)
Phishing avec Trojan downloaders Internet
Phishing avec Trojan downloaders Le drive-by-download Internet Banque
Phishing avec Trojan downloaders Le drive-by-download via <Iframe> Internet www.attacker.lu http:// www.news.lu 4. 5. 3. 2. 6. 1. 7. Puisque L internaute, Un Maintenant Parmi pirate les le informations informatique, site lit qui clique la www.news.lu l ordinateur page sais pour qui web par pas accéder pourront une ce a été www.news.lu l internaute qui vulnérabilité à corrompu vient être www.news.lu. volées de est se sans du par passer, corrompu, : serveur les Ce pirate, mots douter site se le de la est des que connecte pages un site passe, site malveillant des renvoyée web les d information connexions à informations de nouveau www.news.lu, à peut l internaute vers exploiter sur de sensibles confiance. site parvient des www.news.lu. malveillant le sur vulnérabilités L internaute serveur l identité à corrompre www.attacker.lu contient de se pour l internaute connecte une maintenant envoyer des pages se sur ou un du déroulent de ce Cheval bien serveur www.news.lu. code même de malveillant maintenant Troie pour des informations et donner télécharger : à l IFRAME son accès insu bancaires. invisible à : contenu des son pirates ordinateur ajoutée et l afficher à par cet commence ordinateur. le pirate. dans son à A télécharger navigateur Il Les ce ajoute pirates moment sur web. sont des cette là, programmes très Pour l ordinateur page friands le une moment de IFRAME malveillants. ce l internaute tout genre invisible est de normal. données n est forçant pas personnelles tous encore les corrompu. internautes sur leurs victimes Il lisant ne sera cette corrompu page à se qu après connecter avoir à été leur forcé insu vers par le l IFRAME site www.attacker.lu à télécharger : un des site malwares malveillant depuis appartenant le site du au pirate. et diffusant des malwares. www.news.lu
La sécurité c est 80% organisation, culture et sensibilisation 20% technologie
Qu est-ce que la sécurité en commerce électronique? Mise en place : de solutions logicielles particulières de composants d infrastructure spécifiques. Pour assurer : Contrôle d accès Confidentialité Authentification Intégrité Non-répudiation
Caractéristiques de la sécurité e-commerce Contrôle d accès : filtrage et contrôle d intrusion Confidentialité : que les informations privées impliquées dans la transaction restent privée. Authentification : que le vendeur et l'acheteur sont vraiment qui ils disent. Intégrité : que le montant de votre achat, et les marchandises elles-mêmes, ne soient pas changés(afin de rendre la transaction plus cher ou la qualité de produit inférieure à votre contrat d'origine). Non-répudiation : le fait de s'assurer qu'un contrat ne peut être remis en cause par l'une des parties
Mise en place d une politique de sécurité Élaborer des règles et procédures Définir les actions à entreprendre et les personnes à contacter Sensibiliser les utilisateurs
L architecture adaptée
Pourquoi utiliser une signature électronique? Il faut prouver informatiques : la recevabilité des écrits Comment garantir l authenticité? Comment garantir l intégrité du document?
Qu est ce que c est? Rôle analogue à celui d'une signature manuscrite Système à base de 2 clés de signature : 1 clé publique 1 clé privée Signature électronique = Sceau inviolable
Type de signature Valeur juridique Signature électronique (directive) Recevable comme preuve en justice Signature électronique (droit français) Admissible comme preuve au même titre que le support papier et la signature manuscrite Signature électronique avancée (directive) Equivalente à une signature manuscrite si elle est basée sur un certificat qualifié et créée par un dispositif sécurisé de création de signature Signature électronique sécurisée (droit français) Equivalent à une signature manuscrite et présente une présomption de fiabilité si elle repose sur un certificat électronique qualifié et est créée par un dispositif sécurisé de création de signature
Le fonctionnement
Création de la signature Message à émettre Hachage Empreinte Clé privée Emetteur Algorithme à clé symétrique
Vérification de la signature Message reçu Hachage Empreinte Empreinte reçue Fonction de vérification Clé publique Emetteur Algorithme à clé asymétrique Signature valide ou non
Les usages Professionnels : B2B Gestion Élaboration d actes notariaux Télépaiement de la TVA Transferts financiers, actes de commerce, lettres de change Particuliers : La télé - déclaration d'impôts Actes notariés Correspondances personnelles
Qu est ce qu un certificat électronique? C est la carte d identité électronique d un individu (analogie) Est composé Clé publique Informations personnelles sur le porteur Signature d une Autorité de Certification (AC) Date de validité C est une attestation informatique qui assure le lien entre les données de vérification de signature électronique et le signataire supposé
A quoi ça sert? Outil d authentification fort Garantie l identité du propriétaire dans les transactions électronique Lève le doute quant à l utilisation frauduleuse d une signature par un tiers Génère la signature électronique Assure la non-répudiation d un acte électronique
Combinés avec le chiffrement, ils fournissent une solution de sécurité plus complète Assurent l'identité de toutes les parties impliquées dans une transaction. Permettent d'établir un environnement de confiance entre deux entités distantes qui ont besoin de communiquer entre elles. Les internautes peuvent dès aujourd'hui communiquer en toute confidentialité des informations sensibles dans la plupart des logiciels de navigation et de messagerie.
Comment vérifier l identité du signataire? Dans la vie courante, comment prouver son identité? Pour un examen => fournir carte d identité, passeport, permis de conduire!! Même principe pour les certificats électroniques
Principe
Exemple
Qu est ce qu un certificat de clé publique? Il existe différents types de certificats : les classes de certificats. Chaque classe correspondant à un niveau plus élevé de sécurité: certificats de classe 1: Ces certificats ne requièrent qu'une adresse e-mail du demandeur. certificats de classe 2: Le demandeur doit nécessairement fournir à distance une preuve de son identité (exemple: photocopie de carte d'identité). certificats de classe 3: Ces certificats ne peuvent être délivrés que dans le cadre d'une présentation physique du demandeur.
Qu est ce qu un certificat de clé publique? Un certificat de clé publique est un lien de confiance entre : l identité du signataire, la clé publique utilisée par le signataire (qui est liée de manière unique à la clé privé de signature), l utilisation de la clé privée de signature. La force de ce lien peut être plus ou moins élevée selon l usage prévu pour le certificat de signature : certificat de classe 1, 2 ou 3.
Qu est ce qu un certificat de clé publique? Ce lien est certifié par une autorité de confiance : un prestataire de service de certification électronique.
L Autorité de Certification génère les certificats, en associant l'identité d'une personne ou d'un système à une signature numérique. Cette étape va être réalisée en interne, ou confiée à un prestataire. révoque les certificats périmés.
SSL (Secure Socket Layer)
Le protocole SSL SSL (Secure Socket Layer) : protocole développé par Netscape conçu pour assurer la sécurité des transactions sur Internet (notamment entre un client et un serveur) intégré depuis 1994 dans les navigateurs Objectifs : Sécuriser les protocoles existants (HTTP, SMTP ) de façon transparente
SSL Couche sécuritaire au-dessus de TCP/IP destinée à créer une connexion sécurisée. Est invoqué lors d achats sur Internet Protocole cryptographique qui requiert une clé publique signée, ce qu on appelle un certificat.
SSL : Protocole Application SSL Handshake Alert CCS Record TCP
Ouverture d une session SSL Client Hello Serveur Hello Certificate (Serveur Key Exchange) (Certificate Request) Server Hello Done ChangeCipherSpec Finished Application Data (Certificate) Client Key Exchange (Certificate Verify) ChangeCipherSpec Finish Application Data
Ouverture d une connexion Client Hello Serveur Hello ChangeCipherSpec Finished ChangeCipherSpec Finished Application Data
Inconvénients Ne garantit pas l existence réelle du client au marchant Les informations du client peuvent résider sur le site des marchands Le code secret de la carte qui fait office de signature électronique n est pas présent dans le processus de paiement
SET (Secure Electronic Transaction)
Présentation protocole de paiement fondé par MasterCard et Visa avec la participation de Microsoft, IBM et Netscape... Spécification déposée depuis Février 1996 dans le domaine public Diffusion en 1997
Présentation norme de paiement sécurisé par carte bancaire intégrant des fonctions d identification des parties en présence et de cryptage.
Architecture et acteurs
Principe protocole qui retrace "fidèlement" les étapes d'une transaction commerciale traditionnelle essaie de reproduire les demandes et accords de paiement, utilisés habituellement.
rajoute la composante sécurisation, qui permet de s'assurer de l'identité des différents intervenants, ainsi que de sécuriser l'échange entre ces derniers.
Principe
Fonctionnement : Message O Message I Hashage E(O) E(I) Clé publique de l acheteur E(O) E(1) Signature Duale Concaténation
Les outils! Navigateur WEB (Netscape ou IE) Une carte bancaire Logiciel SET «Wallet» pour l acheteur Serveur de paiement pour le commerçant Passerelle de paiement pour la banque
Avantages Il vérifie l'identité du client, du vendeur et celle de l'institution financière AUTHENTIFICATION ASSUREE et REPUDIATION IMPOSSIBLE Il sécurise l'échange entre les différentes parties prenantes INTEGRITE ASSUREE Il garantit la confidentialité de la transaction CONFIDENTIALITE ASSUREE
Avantages Commerçant ne peut connaître le numéro de carte de son client Confidentialité des coordonnées bancaire La banque n a pas connaissance des articles achetés Respect de la vie privée
Inconvénients lourdeur de la vérification systématique des certificats lourde charge de calculs cryptographiques =>Les transactions peuvent être très longues
Les typologies de paiement Paiements hors connexion La carte bancaire Le chèque Le porte-monnaie électronique et virtuel La carte bancaire à puce Le crédit documentaire
Paiements hors-connexion Paiement par chèques ou des transmissions de numéro carte =>par téléphone ou par fax. les données hautement confidentielles ne sont pas transférées sur le réseau
La carte bancaire Moyen de paiement le plus utilisé! Constat => fraude Pour conserver la premier place de moyen de paiement => Arrivée de l «e-carte bleue» principe
Le chèque Inconvénients: retarde la livraison des produits engendre des coûts supplémentaires de traitement, inconvénient majeur : internet = la possibilité d'acheter en ligne, simplement et rapidement! Apparition de l «e-checks» Différence avec chèque traditionnelle: signature électronique au lieu de la manuelle
Le porte-monnaie électronique Carte prépayée l'argent est stocké sur le microprocesseur «E-Cash» se comporte comme une véritable monnaie Échange de monnaie possible entre utilisateurs aucune référence quand au propriétaire de cet argent => tout est anonyme Exemple: Moneo
Le porte-monnaie virtuel l'argent est appelé " e-money ". Le client doit, avant d'acheter, retirer des unités de monnaie auprès de son institution financière et les stocker dans sa machine. Exemple: K-Wallet de Kleline(BNP) pour achat < à 15 euros
La carte bancaire à puce Carte à puce + lecteur de carte connecté ou intégré à l ordinateur Cyber-COMM propose des lecteurs d environ 60 euros (chez surcouf, boulanger) 2 modèles: Lecteur «MeerKat ACTIVKAT» Connecté en port série Lecteur «MeerKat CAROLINE» Connecté en port USB
Le crédit documentaire protection maximale pour les échanges commerciaux entre deux pays étrangers substitue aux relations acheteur/vendeur des relations de banque à banque Avantage: supprime le risque client Inconvénients:plus complexe et plus onéreux que les moyens classiques