Sécurité du e-commerce Saiida LAZAAR Département de Mathématiques Informatique ENSA de Tanger Université AbdelMalek Essaadi s.lazaar2013@gmail.com
Etude réalisée par Runiso, Spécialiste Français de la sécurité et de l hébergement: La sécurité des sites e-commerce comporte encore des failles. Les acteurs Divers acteurs participent à l e-commerce: Besoins et Menaces.
Le client - Il peut être une personne ou une entreprise. - Il est important que le vendeur sache rassurer le client sur le fait qu il n y a pas de risques. - Il doit s identifier vis à vis du vendeur et cette opération comporte plusieurs problèmes: Risque que les informations qu il donne soient utilisées à des fins commerciales ou autres (problème de confidentialité des informations personnelles ou financières) Risque qu un pirate récupère ces infos et se fasse passer pour lui et fasse des commandes que le client ne souhaite. D un point de vu sécurité, il faut étudier les problèmes de confiance envers le vendeur, d identification du client (clé publique PKI)
Le vendeur - Le vendeur doit gérer le site web catalogue et sa sécurité - Il doit mettre en place un système sûr d identification du client, - Il doit gérer les demandes, envoyer les objets de la transaction aux clients et trouver une manière d encaisser. Gestion du catalogue Gestion de la sécurité au niveau physique; Gestion de la sécurité au niveau réseau; Gestion des risques de création par un pirate d une copie du catalogue ou du site à une autre adresse; Enregistrer les noms de domaines proches de celui du site web pour éviter les pièges simples; Aucune personne ne doit accéder (en profitant de failles) à la BD des produits du catalogue.
-Compromettre la disponibilité, l intégrité ou la confidentialité des informations d un site d e-commerce pour chercher à faire perdre de l argent ou a en gagner. Les attaques sur les protocoles de communication Elles exploitent les faiblesses des protocoles de base d Internet tel que TCP/IP. Les attaques pour rendre indisponible le serveur ; L écoute des communications et le rejeu ; La substitution et manipulation de données ; L utilisation des protocoles non prévus ou le détournement de protocoles.
Les attaques sur les systèmes et applications - Elles exploitent les faiblesses au niveau des applications standard du serveur: Ce problème est appuyé par des applications standards de communication (SMTP), navigateur utilisant http ou encore utilisation de SQL pour les bases de données). Les attaques sur des services réseaux non utilisés et non ou faiblement protégé ; Les attaques sur la disponibilité du service par utilisation des bugs de ses applications ; Les attaques visant à accéder aux systèmes d informations de l entreprise.
Les attaques sur les informations - Elles visent les informations elles-mêmes. - Elles peuvent être utilisées pour obtenir un profit ou pour introduire des informations fausses sur le site pour atteindre l image de marque de l entreprise du e-commerce. Les attaques à la disponibilité du site par saturation ou manipulation des informations ; Les attaques visant une appropriation illégale d informations présentes sur le site et ne devant pas être divulguées ; Les modifications malveillantes des informations affichées sur un site afin de désinformer les clients et compromettre la responsabilité de l entreprise ; Les modifications de contenu des transactions visant un bénéfice direct.
Ecoute passive et rejeu Sniffing des communications d un réseau: Tentative pour obtenir les informations d authentification: login, mot de passe Renvoi au serveur pour se connecter à la place du véritable user. Substitution manipulation de données But: Effectuer une attaque DOS Modifier les données d une transaction dans l intérêt du client (si le e-commerce utilise des requêtes HTTP POST pour les commandes des prix à payer, il serait facile pour un pirate d accéder et de modifier le contenu de la requête POST en sa faveur).
Substitution et manipulation de données Virus Chevaux de Troie Répudiation Déni de service et DDoS Spamming
Attaques sur la base de données - Attaque 1: Modifier indirectement les ordres SQL envoyés au serveur, en y incluant des chaînes de caractères spéciales en lieu et place des paramètres attendus par l applicatif: -Récupération des informations confidentielles de la base de données. - Attaque 2: Injection de commandes SQL visant les sites web s appuyant sur des bases de données relationnelles. Dans ce type de sites, des paramètres sont passés à la base de données sous forme d une requête SQL. Remarque: Si le concepteur n effectue aucun contrôle sur les paramètres passés dans la requête SQL: Le pirate peut modifier la requête pour accéder à l ensemble de la base de données, ou modifier le contenu.
Mesures de sécurisation Protection au niveau physique Protection au niveau du serveur: Installer le serveur web sur une machine différente des autres applications pour éviter les vulnérabilité liées à ces services. Protection au niveau du réseau: Pensez au firewall, Pensez à une bonne architecture réseau qui protége les zones hébergeant les informations sensibles. Eviter les problèmes d injection de SQL: sur-quoter les paramètres d entrée de la base de données. Il suffit d ajouter des quote de manière à ce que même si un utilisateur malveillant tente d ajouter des bouts de codes SQL, ces bouts de codes soient considérés comme des données uniquement.
Protection au niveau de l application - Contrôler l intégrité des données - Si les pages sont statiques (.html), calculer les signatures des fichiers existants et vérifier qu elles ne varient pas au cours du temps. - Si les pages sont dynamiques (ex. utilisation de php et MySQL), contrôler les accès et modifier la base de données. (Installation nécessaire d un anti-virus pour contrôler les fichiers). Secure Sockets Layer (SSL) (voir notes de cours)
- Lors des transactions dans votre e-commerce, sécurisez les numéros de cartes bancaires, l identité et la nature des achats de vos clients. - Le cryptage qui est exigé par les systèmes bancaires est le SSL.
PayPal Fonctionnement - Plus de 5 millions d utilisateurs en France utilisent ce système économique de validation en temps réel des paiements par carte de crédit. - PayPal permet au commerçant d accepter des paiements par carte bancaire. - Les clients font des achats sur site et sont redirigés sur des serveurs cryptés pour effectuer les paiements. - Le commerçant reçoit instantanément l argent sur son compte PayPal et peut virer les sommes sur son propre compte bancaire.
Certificats - Un certificat associe une clé publique à une entité afin d en assurer la validité. Le certificat est similaire à la carte d identité de la clé publique, délivré par: Autorité de Certification Les certificats sont des petits fichiers divisés en deux parties : - La partie contenant les informations - La partie contenant la signature de l autorité de certification