Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Chapitre IV: La sécurité enChapitre IV: La sécurité encommerce électronique
Sommaire
A. Sécurité informatique et réseau
B. La signature électronique
C. Les certificats électroniquesC. Les certificats électroniques
E. Les techniques de sécurisation adaptées au commerce électronique
F. Les solutions de paiement
Pourquoi mettre en œuvre une sécurité informatique à un réseau ?
� Le «bon fonctionnement» d’un réseau signifie:� Protection du système
Protection des données nominatives� Protection des données nominatives
� Fiabilité des logiciels et matériels
� Performance et disponibilité des services offerts
� Protection des informations stockées et échangées
� Protection des accès aux systèmes
Pourquoi mettre en œuvre une sécurité informatique à un réseau ?
� Les risques vis-à-vis d’un réseau :
� Destruction ou corruption de l’information
� Détérioration de la qualité des services� Détérioration de la qualité des services
� Vol des informations
� Usurpation de l’identité et utilisation frauduleuse des ressources
La définition du risque
La possibilité pour un agresseur d’exploiter des vulnérabilités et de causer un impact
Vulnérabilité:Clés sous le tapis
Menace: Cambrioleur (agresseur)
essaie d’entrer
Impact: Cambrioleur casse l’armoire, vole de l’argent,
crée des ennuis
Risque = Vulnérabilité x Menace x ImpactRisque = Vulnérabilité x Menace x Impact
Les buts de la sécurité : garantir DCI-P
Le social engineering
� C’est une technique de manipulation par tromperie qui vise à obtenir l’accès à des informations confidentielles ou à des ressources à accès restreint par la manipulation ressources à accès restreint par la manipulation de personnes en ayant directement ou indirectement l’accès.
� Le facteur humain est le point central des techniques d’attaque rencontrées en social engineering.
Le phishing traditionnel
� Le phishing traditionnel se caractérise par
– Courrier électronique très impersonnel– Courrier électronique très impersonnelenvoyé à grande échelle
– Courrier électronique urgent et menaçant
– Courrier électronique qui contient un hyperlien
Le phishing traditionnel
www.eBay.comwww.eBay.com
4) Data entered by Mary will not be send to eBay but to the attacker website2) Un de ces e-mails a été reçu par Mary. L’e-mailparle d’un problème de carte bancaire sur eBay et lui demande de renvoyer ses données à eBay (par la page en cliquant sur le lien)
3) Mary clique sur le lien affiché dans le mail. Elle pense établir une connexion vers eBay. En fait le lien la redirige vers www.attacker.lu
www.attacker.luwww.attacker.lu
Spammer
Internet
§
1) Un spammer envoie de nombreuxspams vers des milliers de destinataires
Le spear phishing
� Le spear phishing se caractérise par
– Courrier électronique personnalisé envoyé à un groupe restreintgroupe restreint
– Courrier électronique invitant– Courrier électronique qui contient un hyperlien
� Très dangereux, mais encore peu répandu (Besoin d’adresses et de noms).
Phishing avec Trojan downloaders
� Les Trojans sont des programmes qui se cachent souvent dans des applications
� anodines destinés à voler des informations confidentielles.confidentielles.
� Vecteurs d’infection: • Courriers envoyés (Courriers ciblés)
• CD et Memory Sticks envoyés ou offerts
• Via le WEB pendant le surfing (drive-by download)
Phishing avec Trojan downloaders
Internet
Phishing avec Trojan downloaders
� Le drive-by-download
Internet
Banque
Phishing avec Trojan downloaders� Le drive-by-download via <Iframe>
http://www.news.lu
Internet
www.attacker.lu
4. Puisque le site www.news.lu a été corrompu par le pirate, la page renvoyée à l’internaute par le serveur contient maintenant du code malveillant : l’IFRAME invisible ajoutée par le pirate.A ce moment là, l’ordinateur de l’internaute n’est pas encore corrompu. Il ne sera corrompu qu’après avoir été forcé par l’IFRAME à télécharger des malwares depuis le site du pirate.
2. Un pirate informatique, par une vulnérabilité du serveur ou des pages web de www.news.lu, parvient à corrompre une des pages de www.news.lu.Il ajoute sur cette page une IFRAME invisible forçant tous les internautes lisant cette page à se connecter à leur insu vers le site www.attacker.lu : un site malveillant appartenant au pirate et diffusant des malwares.
3. L’internaute, qui ne sais pas ce qui vient de se passer, se connecte à nouveau sur le site www.news.lu.6. Maintenant que l’ordinateur de l’internaute est corrompu, le site malveillant peut exploiter des vulnérabilités pour envoyer un Cheval de Troie et donner accès à des pirates à cet ordinateur.
7. Parmi les informations qui pourront être volées : les mots de passe, les informations sensibles sur l’identité de l’internaute ou bien même des informations bancaires. Les pirates sont très friands de ce genre de données personnelles sur leurs victimes �
1. Un internaute clique pour accéder à www.news.lu. Ce site est un site d’information de confiance. L’internaute se connecte sur ce serveur pour en télécharger le contenu et l’afficher dans son navigateur web. Pour le moment tout est normal.
5. L’internaute lit la page web de www.news.lu sans se douter que des connexions vers le site malveillant www.attacker.lu se déroulent maintenant à son insu : son ordinateur commence à télécharger des programmes malveillants.
www.news.lu
La sécurité c’est…
80%organisation, culture
et sensibilisation
20%technologie
Qu’est-ce que la sécurité en commerce électronique ?
� Mise en place :� de solutions logicielles particulières� de composants d’infrastructure spécifiques.� de composants d’infrastructure spécifiques.
� Pour assurer :� Contrôle d’accès� Confidentialité � Authentification� Intégrité� Non-répudiation
Caractéristiques de la sécurité e-commerce
� Contrôle d’accès : filtrage et contrôle d’intrusion� Confidentialité : que les informations privées impliquées
dans la transaction restent privée.� Authentification : que le vendeur et l'acheteur sont vraiment
qui ils disent.qui ils disent.� Intégrité : que le montant de votre achat, et
les marchandises elles-mêmes, ne soient paschangés(afin de rendre la transaction plus cher oula qualité de produit inférieure à votre contrat d'origine).
� Non-répudiation : le fait de s'assurer qu'un contrat ne peut être remis en cause par l'une des parties
Mise en place d’une politique de sécurité
� Élaborer des règles et procédures
� Définir les actions à entreprendre et les � Définir les actions à entreprendre et les personnes à contacter
� Sensibiliser les utilisateurs
L’architecture adaptée
Pourquoi utiliser une signature électronique ?
� IlIlIlIl fautfautfautfaut prouverprouverprouverprouver lalalala recevabilitérecevabilitérecevabilitérecevabilité desdesdesdes écritsécritsécritsécritsinformatiquesinformatiquesinformatiquesinformatiques ::::
� Comment garantir l’authenticité ?
� Comment garantir l’intégrité du document ?
Qu’est – ce que c’est ?
� Rôle analogue à celui d'une signaturemanuscrite
� Système à base de 2 clés de signature :� 1 clé publique� 1 clé privée
� Signature électronique = Sceau inviolable
Type de signature Valeur juridique
Signature électronique(directive)
Recevable comme preuve en justice
Signature électronique(droit français)
Admissible comme preuve au même titre que le support papier et la signature manuscrite
Signature électronique avancée(directive)
Equivalente à une signature manuscrite si elle est basée sur un certificat qualifié et créée par un dispositif sécurisé de création de signature
Signature électronique sécurisée(droit français)
Equivalent à une signature manuscrite et présente une présomption de fiabilité si elle repose sur un certificat électronique qualifié et est créée par un dispositif sécurisé de création de signature
Le fonctionnement
Création de la signature
Message à
émettre Hachage Empreinte
Algorithme à clé symétrique
Clé privéeEmetteur
���������������� ������
Vérification de la signature
Message Message Message Message reçureçureçureçu
HachageEmpreinte
Fonction de vérificationEmpreinte reçue
Clé publiqueClé publiqueClé publiqueClé publiqueEmetteurEmetteurEmetteurEmetteur
���������������
Algorithme à clé asymétrique
Signature valide ou non
Les usages
� ProfessionnelsProfessionnelsProfessionnelsProfessionnels ::::� B2B� Gestion
Élaboration d’actes notariaux� Élaboration d’actes notariaux� Télépaiement de la TVA� Transferts financiers, actes de commerce, lettres de change
…
� ParticuliersParticuliersParticuliersParticuliers ::::� La télé - déclaration d'impôts � Actes notariés� Correspondances personnelles …
Qu’est ce qu’un certificat électronique?
� C’est la carte d’identité électronique d’un individu (analogie)
� Est composéClé publique Clé publique
Informations personnelles sur le porteur
Signature d’une Autorité de Certification (AC)
Date de validité …
� C’est une attestation informatique qui assure le lien entre les données de vérification de signature électronique et le signataire supposé
A quoi ça sert ?
� Outil d’authentification fort
� Garantie l’identité du propriétaire dans les transactions électroniquetransactions électronique� Lève le doute quant à l’utilisation frauduleuse
d’une signature par un tiers
� Génère la signature électronique
� Assure la non-répudiation d’un acte électronique
� Combinés avec le chiffrement , ils fournissent une solution de sécurité plus complète
� Assurent l'identité de toutes les parties impliquées dans une transaction.
�Permettent d'établir un environnement �Permettent d'établir un environnement de confiance entre deux entités distantes qui ont besoin de communiquer entre elles.
Les internautes peuvent dès aujourd'hui communiquer en toute confidentialité des informations sensibles dans la plupart des logiciels de navigation et de messagerie.
Comment vérifier l’identité du signataire ?
� Dans la vie courante, comment prouver son identité?
Pour un examen => fournir carte d’identité, Pour un examen => fournir carte d’identité, passeport, permis de conduire !!
� Même principe pour les certificats électroniques
Principe
Exemple
Qu’est ce qu’un certificat de clé publique ?
� Il existe différents types de certificats : les classes de certificats.
� Chaque classe correspondant à un niveau plus élevé de sécurité:élevé de sécurité: certificats de classe 1: Ces certificats ne requièrent
qu'une adresse e-mail du demandeur.
certificats de classe 2: Le demandeur doit nécessairement fournir à distance une preuve de son identité (exemple: photocopie de carte d'identité).
certificats de classe 3: Ces certificats ne peuvent être délivrés que dans le cadre d'une présentation physiquedu demandeur.
Qu’est ce qu’un certificat de clé publique ?
� Un certificat de clé publique est un lien de confiance entre : l’identité du signataire,
la clé publique utilisée par le signataire (qui est liée de la clé publique utilisée par le signataire (qui est liée de manière unique à la clé privé de signature),
l’utilisation de la clé privée de signature.
� La force de ce lien peut être plus ou moins élevée selon l’usage prévu pour le certificat de signature : certificat de classe 1, 2 ou 3.
Qu’est ce qu’un certificat de clé publique ?
� Ce lien est certifié par une autorité de confiance : un prestataire de service de certification service de certification électronique.
L’Autorité de Certification
� génère les certificats, en associant l'identité d'une personne ou d'un système à une signature numérique.
Cette étape va être réalisée en interne, ou confiée à un prestataire.
� révoque les certificats périmés.
SSL (Secure Socket Layer)
Le protocole SSL
• SSL (Secure Socket Layer) :
protocole développé par Netscape conçu pour assurer la sécurité des
transactions sur Internet (notamment entre untransactions sur Internet (notamment entre unclient et un serveur)
intégré depuis 1994 dans les navigateurs
• Objectifs :Sécuriser les protocoles existants (HTTP, SMTP …)
de façon transparente
SSL
� Couche sécuritaire au-dessus de TCP/IP destinée à créer une connexion sécurisée. sécurisée.
� Est invoqué lors d’achats sur Internet
� Protocole cryptographique qui requiert une clé publique signée, ce qu’on appelle un certificat.
SSL : Protocole
Application
SSLHandshake
TCP
Alert CCS
Record
Ouverture d’une session SSL
Client Hello
Serveur HelloCertificate
(Serveur Key Exchange)(Certificate Request)(Certificate Request)Server Hello Done
(Certificate)Client Key Exchange(Certificate Verify)ChangeCipherSpec
Finish
ChangeCipherSpecFinished
Application Data
Application Data
Ouverture d’une connexion
Client Hello
Serveur HelloChangeCipherSpec ChangeCipherSpec
Finished
ChangeCipherSpec Finished
Application Data
Inconvénients
� Ne garantit pas l’existence réelle du client au marchant
� Les informations du client peuvent � Les informations du client peuvent résider sur le site des marchands
� Le code secret de la carte qui fait office de signature électronique n’est pas présent dans le processus de paiement
SET (Secure Electronic Transaction)
Présentation
� protocole de paiement fondé par MasterCard et Visa avec la participation de Microsoft, IBM et Netscape ... de Microsoft, IBM et Netscape ...
� Spécification déposée depuis Février 1996 dans le domaine public
� Diffusion en 1997
Présentation
� norme de paiement sécurisé par carte bancaire intégrant des fonctions d’identification des parties en présence d’identification des parties en présence et de cryptage.
Architecture et acteurs
Principe
� protocole qui retrace "fidèlement" les étapes d'une transaction commerciale traditionnelle
essaie de reproduire les demandes et accords de paiement, utilisés habituellement.
� rajoute la composante sécurisation, qui permet de s'assurer de l'identité des différents intervenants, différents intervenants,
� ainsi que de sécuriser l'échange entre ces derniers.
Principe
Fonctionnement :
Message O Message I
Hashage
E(O) E(I)
E(O) E(1) Concaténation
Signature Duale
Clé publique de l’acheteur
Les outils !
� Navigateur WEB (Netscape ou IE)
� Une carte bancaire
� Logiciel SET� Logiciel SET
� « Wallet » pour l’acheteur
� Serveur de paiement pour le commerçant
� Passerelle de paiement pour la banque
Avantages
� Il vérifie l'identité du client, du vendeur et celle de l'institution financière � AUTHENTIFICATION ASSUREE et REPUDIATION
IMPOSSIBLEIMPOSSIBLE
� Il sécurise l'échange entre les différentes parties prenantes � INTEGRITE ASSUREE
� Il garantit la confidentialité de la transaction� CONFIDENTIALITE ASSUREE
Avantages
� Commerçant ne peut connaître le numéro de carte de son client
� Confidentialité des coordonnées bancaire� Confidentialité des coordonnées bancaire
� La banque n’a pas connaissance des articles achetés
� Respect de la vie privée
Inconvénients
� lourdeur de la vérification systématique des certificats
� lourde charge de calculs � lourde charge de calculs cryptographiques
=>Les transactions peuvent être
très longues
Les typologies de paiement
� Paiements hors connexion
� La carte bancaire
� Le chèque� Le chèque
� Le porte-monnaie électronique et virtuel
� La carte bancaire à puce
� Le crédit documentaire
Paiements hors-connexion
� Paiement par chèques
� ou des transmissions de numéro carte
=> par téléphone ou par fax.
� les données hautement confidentielles ne sont pas transférées sur le réseau
La carte bancaire
� Moyen de paiement le plus utilisé !
� Constat => fraude
� Pour conserver la premier place de � Pour conserver la premier place de moyen de paiement
=> Arrivée de l’ « e-carte bleue »
� principe
Le chèque
� Inconvénients:� retarde la livraison des produits
� engendre des coûts supplémentaires de traitement, traitement,
� inconvénient majeur : internet = la possibilité d'acheter en ligne, simplement et rapidement !
� Apparition de l’ « e-checks »
� Différence avec chèque traditionnelle: signature électronique au lieu de la manuelle
Le porte-monnaie électronique
� Carte prépayée
� l'argent est stocké sur le microprocesseur« E-Cash » se comporte comme une � « E-Cash » se comporte comme une véritable monnaie� Échange de monnaie possible entre
utilisateurs� aucune référence quand au propriétaire de
cet argent => tout est anonyme� Exemple: Moneo
Le porte-monnaie virtuel
� l'argent est appelé " e-money ".
� Le client doit, avant d'acheter, retirer des unités de monnaie auprès de son des unités de monnaie auprès de son institution financière et les stocker dans sa machine.
� Exemple: K-Wallet de Kleline(BNP) pour achat < à 15 euros
La carte bancaire à puce
� Carte à puce + lecteur de carte connecté ou intégré à l’ordinateur
� Cyber-COMM propose des lecteurs � Cyber-COMM propose des lecteurs d’environ 60 euros (chez surcouf, boulanger)
� 2 modèles: Lecteur « MeerKat ACTIVKAT»Connecté en port série
Lecteur « MeerKat CAROLINE»Connecté en port USB
Le crédit documentaire
� protection maximale pour les échanges commerciaux entre deux pays étrangers
� substitue aux relations � substitue aux relations acheteur/vendeur des relations de banque à banque
� Avantage: supprime le risque client� Inconvénients:plus complexe et plus
onéreux que les moyens classiques