Sécurité du e-commerce. Saiida LAZAAR. Département de Mathématiques Informatique. ENSA de Tanger Université AbdelMalek Essaadi.

Documents pareils
Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Vulnérabilités et sécurisation des applications Web

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

CERTIFICATS ÉLECTRONIQUES

Formation en Logiciels Libres. Fiche d inscription

Développement des Systèmes d Information

INFORMATIQUE & WEB. PARCOURS CERTIFICAT PROFESSIONNEL Programmation de sites Web. 1 an 7 MODULES. Code du diplôme : CP09

Service de certificat

Hébergement de sites Web

18 TCP Les protocoles de domaines d applications

Protection des protocoles

Cisco Certified Network Associate

Hébergement WeboCube. Un système performant et sécurisé. Hébergement géré par une équipe de techniciens

Cours 14. Crypto. 2004, Marc-André Léger

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

INFO 364 : Bases de Données Projet Professeur : Esteban Zimányi Assistants : Pierre Stadnik et Mohammed Minout Année Académique :

APPLICATIONS WEB ET SECURITE

Conception de sites web marchands: TP 1

LA PLATE-FORME D'ALTERN C

Les principes de la sécurité

21 mars Simulations et Méthodes de Monte Carlo. DADI Charles-Abner. Objectifs et intérêt de ce T.E.R. Générer l'aléatoire.

GUIDE D UTILISATION ET NOTE DE SECURITE DU RAWBANKONLINE

webmestre : conception de sites et administration de serveurs web 42 crédits Certificat professionnel CP09

Cours CCNA 1. Exercices

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

«Paiement en ligne» : Que choisir pour vendre en ligne mon hébergement, activité?!

[ Sécurisation des canaux de communication

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Mac OS X Server Administration des technologies Web. Pour la version 10.3 ou ultérieure

INTRODUCTION. Intégration d un système de paiement en ligne dans votre site internet

VoIP ( H323,SIP) et sécurits. curité. Kamel HJAIEJ SUP COM

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

Module BD et sites WEB

Les sites Internet dynamiques. contact : Patrick VINCENT pvincent@erasme.org

CONDITIONS GENERALES DE VENTE EN LIGNE

En date du 11 décembre 2008

1 ère Université WEB. Courbevoie Samedi 21 octobre Votre site interactif sur internet.

Créer et animer une boutique en ligne avec Wordpress (environnement PC et MAC)

Installation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6

GERER LA SECURITE D UN SITE DE COMMERCE ELECTRONIQUE

WEB & DÉVELOPPEMENT LES BASES DU WEB LE LANGAGE HTML FEUILLES DE STYLES CSS HISTORIQUE D INTERNET ET DU WEB LES DIFFÉRENTS LANGAGES

Installation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS

FileMaker Server 14. Aide FileMaker Server

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

PROCEDURE D HEBERGEMENT D UN SITE WEB

Sécurité WebSphere MQ V 5.3

Guide d intégration Dernière révision : juillet 2004

Administration de systèmes

Devoir Surveillé de Sécurité des Réseaux

Public Key Infrastructure (PKI)

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

SIMPLE CRM ET LA SÉCURITÉ

Sécurisation avancée des données de cartes bancaires Guide Hôtel v1.0 SECURISATION AVANCEE DES DONNEES BANCAIRES. Guide Hôtel

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Gouvernance de la sécurité : Comment garantir la sécurité de l information dans le contexte d une PME basée sur un service Web?

Sécurité des usages du WEB. Pierre DUSART Damien SAUVERON

Les services de la PLM Mathrice. Et quelques outils de web-conférence

GUIDE UTILISATEUR PLESK. 1 Référence : IFR_MAK GPW_V02_Plexus_SharedHosting SOMMAIRE. Internet Fr SA. Immeuble Odyssée 2-12, chemin des Femmes

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

PAYBOX TRAITEMENT PAR LOTS MANUEL D INTEGRATION

Architectures web/bases de données

Par KENFACK Patrick MIF30 19 Mai 2009

INSTALLATION D UN PORTAIL CAPTIF PERSONNALISE PFSENSE

Le protocole SSH (Secure Shell)

10 bonnes pratiques de sécurité dans Microsoft SharePoint

OFF OF R F E R E DE D E S TA T G A E G 02/04/09

Programmation Web. Madalina Croitoru IUT Montpellier

Devenez un véritable développeur web en 3 mois!

Programmation Web. Introduction

CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK

D'UN SITE INTERNET LES S D'UN SITE INTERNET PRATIQUE ET PERFORMANT PRATIQUE ET PERFORMANT

Sommaire. 1 Introduction Présentation du logiciel de commerce électronique 23

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

Faille PayPal sous Magento ou comment faire ses achats (presque) gratuitement

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

Introduction à Sign&go Guide d architecture

Joomla! Création et administration d'un site web - Version numérique

Fiche Technique. Cisco Security Agent

La sécurité dans les grilles

OFFICE OUTLOOK QUICK START GUIDE

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Sécurisation d une application ASP.NET

SIP. Sommaire. Internet Multimédia

Programmation Internet Cours 4

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Technologies informatiques appliquées au commerce électronique

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

Mise à jour : Octobre 2011

Déploiement d un serveur courriel dédié pour entreprise

Micro-ordinateurs, informations, idées, trucs et astuces. Utiliser les services de fichiers

Transcription:

Sécurité du e-commerce Saiida LAZAAR Département de Mathématiques Informatique ENSA de Tanger Université AbdelMalek Essaadi s.lazaar2013@gmail.com

Etude réalisée par Runiso, Spécialiste Français de la sécurité et de l hébergement: La sécurité des sites e-commerce comporte encore des failles. Les acteurs Divers acteurs participent à l e-commerce: Besoins et Menaces.

Le client - Il peut être une personne ou une entreprise. - Il est important que le vendeur sache rassurer le client sur le fait qu il n y a pas de risques. - Il doit s identifier vis à vis du vendeur et cette opération comporte plusieurs problèmes: Risque que les informations qu il donne soient utilisées à des fins commerciales ou autres (problème de confidentialité des informations personnelles ou financières) Risque qu un pirate récupère ces infos et se fasse passer pour lui et fasse des commandes que le client ne souhaite. D un point de vu sécurité, il faut étudier les problèmes de confiance envers le vendeur, d identification du client (clé publique PKI)

Le vendeur - Le vendeur doit gérer le site web catalogue et sa sécurité - Il doit mettre en place un système sûr d identification du client, - Il doit gérer les demandes, envoyer les objets de la transaction aux clients et trouver une manière d encaisser. Gestion du catalogue Gestion de la sécurité au niveau physique; Gestion de la sécurité au niveau réseau; Gestion des risques de création par un pirate d une copie du catalogue ou du site à une autre adresse; Enregistrer les noms de domaines proches de celui du site web pour éviter les pièges simples; Aucune personne ne doit accéder (en profitant de failles) à la BD des produits du catalogue.

-Compromettre la disponibilité, l intégrité ou la confidentialité des informations d un site d e-commerce pour chercher à faire perdre de l argent ou a en gagner. Les attaques sur les protocoles de communication Elles exploitent les faiblesses des protocoles de base d Internet tel que TCP/IP. Les attaques pour rendre indisponible le serveur ; L écoute des communications et le rejeu ; La substitution et manipulation de données ; L utilisation des protocoles non prévus ou le détournement de protocoles.

Les attaques sur les systèmes et applications - Elles exploitent les faiblesses au niveau des applications standard du serveur: Ce problème est appuyé par des applications standards de communication (SMTP), navigateur utilisant http ou encore utilisation de SQL pour les bases de données). Les attaques sur des services réseaux non utilisés et non ou faiblement protégé ; Les attaques sur la disponibilité du service par utilisation des bugs de ses applications ; Les attaques visant à accéder aux systèmes d informations de l entreprise.

Les attaques sur les informations - Elles visent les informations elles-mêmes. - Elles peuvent être utilisées pour obtenir un profit ou pour introduire des informations fausses sur le site pour atteindre l image de marque de l entreprise du e-commerce. Les attaques à la disponibilité du site par saturation ou manipulation des informations ; Les attaques visant une appropriation illégale d informations présentes sur le site et ne devant pas être divulguées ; Les modifications malveillantes des informations affichées sur un site afin de désinformer les clients et compromettre la responsabilité de l entreprise ; Les modifications de contenu des transactions visant un bénéfice direct.

Ecoute passive et rejeu Sniffing des communications d un réseau: Tentative pour obtenir les informations d authentification: login, mot de passe Renvoi au serveur pour se connecter à la place du véritable user. Substitution manipulation de données But: Effectuer une attaque DOS Modifier les données d une transaction dans l intérêt du client (si le e-commerce utilise des requêtes HTTP POST pour les commandes des prix à payer, il serait facile pour un pirate d accéder et de modifier le contenu de la requête POST en sa faveur).

Substitution et manipulation de données Virus Chevaux de Troie Répudiation Déni de service et DDoS Spamming

Attaques sur la base de données - Attaque 1: Modifier indirectement les ordres SQL envoyés au serveur, en y incluant des chaînes de caractères spéciales en lieu et place des paramètres attendus par l applicatif: -Récupération des informations confidentielles de la base de données. - Attaque 2: Injection de commandes SQL visant les sites web s appuyant sur des bases de données relationnelles. Dans ce type de sites, des paramètres sont passés à la base de données sous forme d une requête SQL. Remarque: Si le concepteur n effectue aucun contrôle sur les paramètres passés dans la requête SQL: Le pirate peut modifier la requête pour accéder à l ensemble de la base de données, ou modifier le contenu.

Mesures de sécurisation Protection au niveau physique Protection au niveau du serveur: Installer le serveur web sur une machine différente des autres applications pour éviter les vulnérabilité liées à ces services. Protection au niveau du réseau: Pensez au firewall, Pensez à une bonne architecture réseau qui protége les zones hébergeant les informations sensibles. Eviter les problèmes d injection de SQL: sur-quoter les paramètres d entrée de la base de données. Il suffit d ajouter des quote de manière à ce que même si un utilisateur malveillant tente d ajouter des bouts de codes SQL, ces bouts de codes soient considérés comme des données uniquement.

Protection au niveau de l application - Contrôler l intégrité des données - Si les pages sont statiques (.html), calculer les signatures des fichiers existants et vérifier qu elles ne varient pas au cours du temps. - Si les pages sont dynamiques (ex. utilisation de php et MySQL), contrôler les accès et modifier la base de données. (Installation nécessaire d un anti-virus pour contrôler les fichiers). Secure Sockets Layer (SSL) (voir notes de cours)

- Lors des transactions dans votre e-commerce, sécurisez les numéros de cartes bancaires, l identité et la nature des achats de vos clients. - Le cryptage qui est exigé par les systèmes bancaires est le SSL.

PayPal Fonctionnement - Plus de 5 millions d utilisateurs en France utilisent ce système économique de validation en temps réel des paiements par carte de crédit. - PayPal permet au commerçant d accepter des paiements par carte bancaire. - Les clients font des achats sur site et sont redirigés sur des serveurs cryptés pour effectuer les paiements. - Le commerçant reçoit instantanément l argent sur son compte PayPal et peut virer les sommes sur son propre compte bancaire.

Certificats - Un certificat associe une clé publique à une entité afin d en assurer la validité. Le certificat est similaire à la carte d identité de la clé publique, délivré par: Autorité de Certification Les certificats sont des petits fichiers divisés en deux parties : - La partie contenant les informations - La partie contenant la signature de l autorité de certification

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back