Chapitre IV: La sécurité enChapitre IV: La sécurité encommerce électronique

Sommaire

A. Sécurité informatique et réseau

B. La signature électronique

C. Les certificats électroniquesC. Les certificats électroniques

E. Les techniques de sécurisation adaptées au commerce électronique

F. Les solutions de paiement

Pourquoi mettre en œuvre une sécurité informatique à un réseau ?

� Le «bon fonctionnement» d’un réseau signifie:� Protection du système

Protection des données nominatives� Protection des données nominatives

� Fiabilité des logiciels et matériels

� Performance et disponibilité des services offerts

� Protection des informations stockées et échangées

� Protection des accès aux systèmes

Pourquoi mettre en œuvre une sécurité informatique à un réseau ?

� Les risques vis-à-vis d’un réseau :

� Destruction ou corruption de l’information

� Détérioration de la qualité des services� Détérioration de la qualité des services

� Vol des informations

� Usurpation de l’identité et utilisation frauduleuse des ressources

La définition du risque

La possibilité pour un agresseur d’exploiter des vulnérabilités et de causer un impact

Vulnérabilité:Clés sous le tapis

Menace: Cambrioleur (agresseur)

essaie d’entrer

Impact: Cambrioleur casse l’armoire, vole de l’argent,

crée des ennuis

Risque = Vulnérabilité x Menace x ImpactRisque = Vulnérabilité x Menace x Impact

Les buts de la sécurité : garantir DCI-P

Le social engineering

� C’est une technique de manipulation par tromperie qui vise à obtenir l’accès à des informations confidentielles ou à des ressources à accès restreint par la manipulation ressources à accès restreint par la manipulation de personnes en ayant directement ou indirectement l’accès.

� Le facteur humain est le point central des techniques d’attaque rencontrées en social engineering.

Le phishing traditionnel

� Le phishing traditionnel se caractérise par

– Courrier électronique très impersonnel– Courrier électronique très impersonnelenvoyé à grande échelle

– Courrier électronique urgent et menaçant

– Courrier électronique qui contient un hyperlien

Le phishing traditionnel

www.eBay.comwww.eBay.com

4) Data entered by Mary will not be send to eBay but to the attacker website2) Un de ces e-mails a été reçu par Mary. L’e-mailparle d’un problème de carte bancaire sur eBay et lui demande de renvoyer ses données à eBay (par la page en cliquant sur le lien)

3) Mary clique sur le lien affiché dans le mail. Elle pense établir une connexion vers eBay. En fait le lien la redirige vers www.attacker.lu

www.attacker.luwww.attacker.lu

Spammer

Internet

§

1) Un spammer envoie de nombreuxspams vers des milliers de destinataires

Le spear phishing

� Le spear phishing se caractérise par

– Courrier électronique personnalisé envoyé à un groupe restreintgroupe restreint

– Courrier électronique invitant– Courrier électronique qui contient un hyperlien

� Très dangereux, mais encore peu répandu (Besoin d’adresses et de noms).

Phishing avec Trojan downloaders

� Les Trojans sont des programmes qui se cachent souvent dans des applications

� anodines destinés à voler des informations confidentielles.confidentielles.

� Vecteurs d’infection: • Courriers envoyés (Courriers ciblés)

• CD et Memory Sticks envoyés ou offerts

• Via le WEB pendant le surfing (drive-by download)

Phishing avec Trojan downloaders

Internet

Phishing avec Trojan downloaders

� Le drive-by-download

Internet

Banque

Phishing avec Trojan downloaders� Le drive-by-download via <Iframe>

http://www.news.lu

Internet

www.attacker.lu

4. Puisque le site www.news.lu a été corrompu par le pirate, la page renvoyée à l’internaute par le serveur contient maintenant du code malveillant : l’IFRAME invisible ajoutée par le pirate.A ce moment là, l’ordinateur de l’internaute n’est pas encore corrompu. Il ne sera corrompu qu’après avoir été forcé par l’IFRAME à télécharger des malwares depuis le site du pirate.

2. Un pirate informatique, par une vulnérabilité du serveur ou des pages web de www.news.lu, parvient à corrompre une des pages de www.news.lu.Il ajoute sur cette page une IFRAME invisible forçant tous les internautes lisant cette page à se connecter à leur insu vers le site www.attacker.lu : un site malveillant appartenant au pirate et diffusant des malwares.

3. L’internaute, qui ne sais pas ce qui vient de se passer, se connecte à nouveau sur le site www.news.lu.6. Maintenant que l’ordinateur de l’internaute est corrompu, le site malveillant peut exploiter des vulnérabilités pour envoyer un Cheval de Troie et donner accès à des pirates à cet ordinateur.

7. Parmi les informations qui pourront être volées : les mots de passe, les informations sensibles sur l’identité de l’internaute ou bien même des informations bancaires. Les pirates sont très friands de ce genre de données personnelles sur leurs victimes �

1. Un internaute clique pour accéder à www.news.lu. Ce site est un site d’information de confiance. L’internaute se connecte sur ce serveur pour en télécharger le contenu et l’afficher dans son navigateur web. Pour le moment tout est normal.

5. L’internaute lit la page web de www.news.lu sans se douter que des connexions vers le site malveillant www.attacker.lu se déroulent maintenant à son insu : son ordinateur commence à télécharger des programmes malveillants.

www.news.lu

La sécurité c’est…

80%organisation, culture

et sensibilisation

20%technologie

Qu’est-ce que la sécurité en commerce électronique ?

� Mise en place :� de solutions logicielles particulières� de composants d’infrastructure spécifiques.� de composants d’infrastructure spécifiques.

� Pour assurer :� Contrôle d’accès� Confidentialité � Authentification� Intégrité� Non-répudiation

Caractéristiques de la sécurité e-commerce

� Contrôle d’accès : filtrage et contrôle d’intrusion� Confidentialité : que les informations privées impliquées

dans la transaction restent privée.� Authentification : que le vendeur et l'acheteur sont vraiment

qui ils disent.qui ils disent.� Intégrité : que le montant de votre achat, et

les marchandises elles-mêmes, ne soient paschangés(afin de rendre la transaction plus cher oula qualité de produit inférieure à votre contrat d'origine).

� Non-répudiation : le fait de s'assurer qu'un contrat ne peut être remis en cause par l'une des parties

Mise en place d’une politique de sécurité

� Élaborer des règles et procédures

� Définir les actions à entreprendre et les � Définir les actions à entreprendre et les personnes à contacter

� Sensibiliser les utilisateurs

L’architecture adaptée

Pourquoi utiliser une signature électronique ?

� IlIlIlIl fautfautfautfaut prouverprouverprouverprouver lalalala recevabilitérecevabilitérecevabilitérecevabilité desdesdesdes écritsécritsécritsécritsinformatiquesinformatiquesinformatiquesinformatiques ::::

� Comment garantir l’authenticité ?

� Comment garantir l’intégrité du document ?

Qu’est – ce que c’est ?

� Rôle analogue à celui d'une signaturemanuscrite

� Système à base de 2 clés de signature :� 1 clé publique� 1 clé privée

� Signature électronique = Sceau inviolable

Type de signature Valeur juridique

Signature électronique(directive)

Recevable comme preuve en justice

Signature électronique(droit français)

Admissible comme preuve au même titre que le support papier et la signature manuscrite

Signature électronique avancée(directive)

Equivalente à une signature manuscrite si elle est basée sur un certificat qualifié et créée par un dispositif sécurisé de création de signature

Signature électronique sécurisée(droit français)

Equivalent à une signature manuscrite et présente une présomption de fiabilité si elle repose sur un certificat électronique qualifié et est créée par un dispositif sécurisé de création de signature

Le fonctionnement

Création de la signature

Message à

émettre Hachage Empreinte

Algorithme à clé symétrique

Clé privéeEmetteur

���������������� ������

Vérification de la signature

Message Message Message Message reçureçureçureçu

HachageEmpreinte

Fonction de vérificationEmpreinte reçue

Clé publiqueClé publiqueClé publiqueClé publiqueEmetteurEmetteurEmetteurEmetteur

���������������

Algorithme à clé asymétrique

Signature valide ou non

Les usages

� ProfessionnelsProfessionnelsProfessionnelsProfessionnels ::::� B2B� Gestion

Élaboration d’actes notariaux� Élaboration d’actes notariaux� Télépaiement de la TVA� Transferts financiers, actes de commerce, lettres de change

…

� ParticuliersParticuliersParticuliersParticuliers ::::� La télé - déclaration d'impôts � Actes notariés� Correspondances personnelles …

Qu’est ce qu’un certificat électronique?

� C’est la carte d’identité électronique d’un individu (analogie)

� Est composéClé publique Clé publique

Informations personnelles sur le porteur

Signature d’une Autorité de Certification (AC)

Date de validité …

� C’est une attestation informatique qui assure le lien entre les données de vérification de signature électronique et le signataire supposé

A quoi ça sert ?

� Outil d’authentification fort

� Garantie l’identité du propriétaire dans les transactions électroniquetransactions électronique� Lève le doute quant à l’utilisation frauduleuse

d’une signature par un tiers

� Génère la signature électronique

� Assure la non-répudiation d’un acte électronique

� Combinés avec le chiffrement , ils fournissent une solution de sécurité plus complète

� Assurent l'identité de toutes les parties impliquées dans une transaction.

�Permettent d'établir un environnement �Permettent d'établir un environnement de confiance entre deux entités distantes qui ont besoin de communiquer entre elles.

Les internautes peuvent dès aujourd'hui communiquer en toute confidentialité des informations sensibles dans la plupart des logiciels de navigation et de messagerie.

Comment vérifier l’identité du signataire ?

� Dans la vie courante, comment prouver son identité?

Pour un examen => fournir carte d’identité, Pour un examen => fournir carte d’identité, passeport, permis de conduire !!

� Même principe pour les certificats électroniques

Principe

Exemple

Qu’est ce qu’un certificat de clé publique ?

� Il existe différents types de certificats : les classes de certificats.

� Chaque classe correspondant à un niveau plus élevé de sécurité:élevé de sécurité: certificats de classe 1: Ces certificats ne requièrent

qu'une adresse e-mail du demandeur.

certificats de classe 2: Le demandeur doit nécessairement fournir à distance une preuve de son identité (exemple: photocopie de carte d'identité).

certificats de classe 3: Ces certificats ne peuvent être délivrés que dans le cadre d'une présentation physiquedu demandeur.

Qu’est ce qu’un certificat de clé publique ?

� Un certificat de clé publique est un lien de confiance entre : l’identité du signataire,

la clé publique utilisée par le signataire (qui est liée de la clé publique utilisée par le signataire (qui est liée de manière unique à la clé privé de signature),

l’utilisation de la clé privée de signature.

� La force de ce lien peut être plus ou moins élevée selon l’usage prévu pour le certificat de signature : certificat de classe 1, 2 ou 3.

Qu’est ce qu’un certificat de clé publique ?

� Ce lien est certifié par une autorité de confiance : un prestataire de service de certification service de certification électronique.

L’Autorité de Certification

� génère les certificats, en associant l'identité d'une personne ou d'un système à une signature numérique.

Cette étape va être réalisée en interne, ou confiée à un prestataire.

� révoque les certificats périmés.

SSL (Secure Socket Layer)

Le protocole SSL

• SSL (Secure Socket Layer) :

protocole développé par Netscape conçu pour assurer la sécurité des

transactions sur Internet (notamment entre untransactions sur Internet (notamment entre unclient et un serveur)

intégré depuis 1994 dans les navigateurs

• Objectifs :Sécuriser les protocoles existants (HTTP, SMTP …)

de façon transparente

SSL

� Couche sécuritaire au-dessus de TCP/IP destinée à créer une connexion sécurisée. sécurisée.

� Est invoqué lors d’achats sur Internet

� Protocole cryptographique qui requiert une clé publique signée, ce qu’on appelle un certificat.

SSL : Protocole

Application

SSLHandshake

TCP

Alert CCS

Record

Ouverture d’une session SSL

Client Hello

Serveur HelloCertificate

(Serveur Key Exchange)(Certificate Request)(Certificate Request)Server Hello Done

(Certificate)Client Key Exchange(Certificate Verify)ChangeCipherSpec

Finish

ChangeCipherSpecFinished

Application Data

Application Data

Ouverture d’une connexion

Client Hello

Serveur HelloChangeCipherSpec ChangeCipherSpec

Finished

ChangeCipherSpec Finished

Application Data

Inconvénients

� Ne garantit pas l’existence réelle du client au marchant

� Les informations du client peuvent � Les informations du client peuvent résider sur le site des marchands

� Le code secret de la carte qui fait office de signature électronique n’est pas présent dans le processus de paiement

SET (Secure Electronic Transaction)

Présentation

� protocole de paiement fondé par MasterCard et Visa avec la participation de Microsoft, IBM et Netscape ... de Microsoft, IBM et Netscape ...

� Spécification déposée depuis Février 1996 dans le domaine public

� Diffusion en 1997

Présentation

� norme de paiement sécurisé par carte bancaire intégrant des fonctions d’identification des parties en présence d’identification des parties en présence et de cryptage.

Architecture et acteurs

Principe

� protocole qui retrace "fidèlement" les étapes d'une transaction commerciale traditionnelle

essaie de reproduire les demandes et accords de paiement, utilisés habituellement.

� rajoute la composante sécurisation, qui permet de s'assurer de l'identité des différents intervenants, différents intervenants,

� ainsi que de sécuriser l'échange entre ces derniers.

Principe

Fonctionnement :

Message O Message I

Hashage

E(O) E(I)

E(O) E(1) Concaténation

Signature Duale

Clé publique de l’acheteur

Les outils !

� Navigateur WEB (Netscape ou IE)

� Une carte bancaire

� Logiciel SET� Logiciel SET

� « Wallet » pour l’acheteur

� Serveur de paiement pour le commerçant

� Passerelle de paiement pour la banque

Avantages

� Il vérifie l'identité du client, du vendeur et celle de l'institution financière � AUTHENTIFICATION ASSUREE et REPUDIATION

IMPOSSIBLEIMPOSSIBLE

� Il sécurise l'échange entre les différentes parties prenantes � INTEGRITE ASSUREE

� Il garantit la confidentialité de la transaction� CONFIDENTIALITE ASSUREE

Avantages

� Commerçant ne peut connaître le numéro de carte de son client

� Confidentialité des coordonnées bancaire� Confidentialité des coordonnées bancaire

� La banque n’a pas connaissance des articles achetés

� Respect de la vie privée

Inconvénients

� lourdeur de la vérification systématique des certificats

� lourde charge de calculs � lourde charge de calculs cryptographiques

=>Les transactions peuvent être

très longues

Les typologies de paiement

� Paiements hors connexion

� La carte bancaire

� Le chèque� Le chèque

� Le porte-monnaie électronique et virtuel

� La carte bancaire à puce

� Le crédit documentaire

Paiements hors-connexion

� Paiement par chèques

� ou des transmissions de numéro carte

=> par téléphone ou par fax.

� les données hautement confidentielles ne sont pas transférées sur le réseau

La carte bancaire

� Moyen de paiement le plus utilisé !

� Constat => fraude

� Pour conserver la premier place de � Pour conserver la premier place de moyen de paiement

=> Arrivée de l’ « e-carte bleue »

� principe

Le chèque

� Inconvénients:� retarde la livraison des produits

� engendre des coûts supplémentaires de traitement, traitement,

� inconvénient majeur : internet = la possibilité d'acheter en ligne, simplement et rapidement !

� Apparition de l’ « e-checks »

� Différence avec chèque traditionnelle: signature électronique au lieu de la manuelle

Le porte-monnaie électronique

� Carte prépayée

� l'argent est stocké sur le microprocesseur« E-Cash » se comporte comme une � « E-Cash » se comporte comme une véritable monnaie� Échange de monnaie possible entre

utilisateurs� aucune référence quand au propriétaire de

cet argent => tout est anonyme� Exemple: Moneo

Le porte-monnaie virtuel

� l'argent est appelé " e-money ".

� Le client doit, avant d'acheter, retirer des unités de monnaie auprès de son des unités de monnaie auprès de son institution financière et les stocker dans sa machine.

� Exemple: K-Wallet de Kleline(BNP) pour achat < à 15 euros

La carte bancaire à puce

� Carte à puce + lecteur de carte connecté ou intégré à l’ordinateur

� Cyber-COMM propose des lecteurs � Cyber-COMM propose des lecteurs d’environ 60 euros (chez surcouf, boulanger)

� 2 modèles: Lecteur « MeerKat ACTIVKAT»Connecté en port série

Lecteur « MeerKat CAROLINE»Connecté en port USB

Le crédit documentaire

� protection maximale pour les échanges commerciaux entre deux pays étrangers

� substitue aux relations � substitue aux relations acheteur/vendeur des relations de banque à banque

� Avantage: supprime le risque client� Inconvénients:plus complexe et plus

onéreux que les moyens classiques