Embed Size (px)
DESCRIPTION
Citation preview
La Sécurité dans la Commerce électronique
Réalisé par :Slama Mouna
PLAN
1. Définition du Commerce Electronique
2. Concepts de base
3. La sécurité des données
4. La sécurité des transactions
5. La sécurité des réseaux
6. Conclusion
2
1. DÉFINITION DU COMMERCE ELECTRONIQUE
Le commerce électronique décrit le processus d’achat, de vente de biens et de services et
d’échange d’informations par le biais de réseaux de communication y compris l’internet.
3
2. CONCEPTS DE BASE
La sécurité informatique est un ensemble de tactiques retardant l’accès non autorisé à des données.
Politique de sécurité : énumérer ce qui est autoriséexp : Le marchand veut vendre seulement pour les
clients qu’il connait
Services de sécurité : qu’est-ce qu’on garantie ?
Mécanismes : par quels moyens on assure ces services 4
2.1. LES SERVICES DE SÉCURITÉ Authentification : lors de l'envoi d'un message ou
lors de la connexion à un système, on connaît sûrement l'identité de l'émetteur ou l'identité de l'utilisateur qui s'est connecté.
Confidentialité : assure que seulement les personnes autorisées peuvent comprendre les données protégées. De plus, elle assure de cacher le fait qu’il y a une communication .
Intégrité : on a la garantie qu'un message expédié n'a pas été altéré, accidentellement ou intentionnellement.
5
2.1. LES SERVICES DE SÉCURITÉ(SUITE)
Non-répudiation : assure qu’une personne ne peut pas refuser d’avoir effectué une opération sur des données, c.à.d l’émetteur ne peut pas nier sa responsabilité d’envoi du message.
Contrôle d’accès : le site marchand dispose des ressources aidant au bon fonctionnement de son application du e-commerce. Le contrôle d’accès assure que seulement des personnes autorisées peuvent accéder à des ressources protégées
6
2.2. LES MENACES CONTRE LE CE
Les menaces contre le CE sont :
l’usurpation d’identité, l’interception de données, la modification de données, la répudiation et l’accès non autorisé.
7
2.3. LES MÉCANISMES DE SÉCURITÉ
Les mécanismes de sécurité sont les moyens techniques permettant d’assurer les services de
sécurité. Parmi les mécanismes, nous citons :
la cryptographie la signature digitale le certificat électronique
8
2.3. LES MÉCANISMES DE SÉCURITÉ(SUITE)
Il est à noter qu’il existe trois niveaux de sécurité, de données, de transactions et du réseau.
sécurité de données et des transactions : assurer la « privacy » et la confidentialité des messages électroniques et les paquets de données, ceci inclut le cryptage de données en utilisant diverses méthodes de cryptage.
sécurité client/serveur : assurer que uniquement les personnes permises accèdent aux ressources du réseau ou au contenu des serveurs web, ceci inclut la protection des
mots de passe, l’utilisation de « encrypted smart cards » et firewalls.
9
3. LA SÉCURITÉ DES DONNÉES
La cryptographie est la contribution la plus forte dans le domaine de sécurité des données.
D’autres mécanismes sont apparus mais ils se basent sur le principe de cryptage.
10
3.1. LA CRYPTOGRAPHIE
Une méthode de cryptage et décryptage est appelée un chiffrement.
Généralement on a 2 fonctions liées : une pour crypter et l’autre pour décrypter.
Quelques méthodes de cryptage se basent sur des algorithmes secrets.
Tous les algorithmes modernes utilisent une clé pour contrôler le cryptage et le décryptage.
Il existe trois types d’algorithmes de cryptage : symétrique, asymétrique et hybride. 11
3.1.1. ALGORITHMES SYMÉTRIQUES
12
Cryptage symétrique Cette méthode est la plus simple à comprendre : si un expéditrice Anne(A) veut envoyer un message chiffré à un destinataire Bob (B) elle doit lui communiquer un mot de passe (Clé).
3.1.2. ALGORITHMES ASYMÉTRIQUES
13
La propriété des algorithmes asymétriques est qu'un message codé par une clé publique n'est lisible que par le propriétaire de la clé privée correspondante. A l'inverse, un message chiffré par la clé privé sera lisible par tous ceux qui possèdent la clé publique. Ainsi la clé privée d’Anne permet de prouver qu'elle est l'auteur d'un message, alors que sa clé publique préservera le contenu du message à destination d'Anne.
2.1.3. ALGORITHMES HYBRIDES
En pratique, le cryptage asymétrique est utilisé pour sécuriser et distribuer la clé de session.
Cette clé est utilisée avec un cryptage symétrique pour la communication.
14
3.1.3. ALGORITHMES HYBRIDES(SUITE)
1. L’expéditeur génère une clé de session aléatoire, la crype en utilisant la clé publique du receveur et l’envoie.
2. Le receveur décrypte le message avec sa clé privée pour retrouver la clé de session.
3. Les deux cryptent/décryptent leurs communications en utilisant la clé de session.
4. Les partenaires se mettent d’accord sur une nouvelle clé temporairement.
5. La clé est détruite à la fin de la session.15
3.2. SIGNATURE DIGITALE
Une signature digitale est un protocole qui produit le même effet qu’une signature réelle. Elle est une marque que seul l’expéditeur peut faire
16
3.2. SIGNATURE DIGITALE (SUITE)
Pour signer un message : L’émetteur utilise sa clé privée pour crypter le
message avec sa signature. Le receveur peut vérifier la signature en
utilisant la clé publique de l’émetteur. Donc uniquement l’émetteur qui a pu signer
le message puisque sa clé privée appartient à lui seulà authentification+non répudiation.
Le receveur sauvegarde le message et la signature pour toute vérification future. 17
3.2. SIGNATURE DIGITALE (SUITE)Scénario de la signature digitale : (envoyer un message M)1. L’émetteur crypte le message avec sa clé privée, il obtient la
signature S.2. Il crypte le couple (M,S) avec la clé publique du receveur, il
obtient le message M1 à envoyer.3. Il envoie le message M1.4. Le receveur décrypte M1 avec sa clé privée pour obtenir le couple
(M,S).5. Il décrypte S avec la clé publique de l’émetteur pour obtenir un
message M. 6. Le receveur compare le message M qu’il a reçu dans le couple
(M,S) avec le message M qu’il a trouvé. S’ils sont égaux alors il accepte le message, sinon il le rejette.
18
3.3. LE CERTIFICAT ÉLECTRONIQUE Dans une transaction électronique l’expéditeur d’un
message a besoin de s’assurer de la validité de l’identité réclamé par son destinataire par exemple un acheteur de CD sur internet doit vérifier qu’il a envoyé son virement électronique à un commerçant et non pas à un pirate qui aurait usurpé son identité. Afin de prouver leur identité aux acheteurs les commerçants utilisent un
certificat numérique qui joue le rôle d’une pièce d’identité numérique.
19
3.3. LE CERTIFICAT ÉLECTRONIQUE (SUITE)Scénario du certificat électronique :1. Pour obtenir ce certificat chaque entreprise doit envoyer à une autorité decertification différentes informations lui concernant ( dénomination sociale, adresse, émail, activité , clé publique..)2. Puis l’autorité de certification vérifie les informations fournies et ajoute au certificat son propre nom, une date limite de validité, et surtout une signature numérique. Le format des certificats est défini par le standard X509v3.3. Le certificat numérique est signé par la clé privé de l’organisme de certification et remis au demandeur sous forme d’un fichier qu’il peut stocker dans le disque dur de son PC ou sur une carte à puce ou un USB.
20
3.3. LE CERTIFICAT ÉLECTRONIQUE(SUITE)
4. L’organisme de certification publie le certificat décodé sur son annuaire.5. Lorsque l’entreprise certifié souhaite prouver son identité à son destinataire, elle lui envoie son certificat.6. Le destinataire déchiffre le certificat avec la clé public de l’organisme de certification et la compare avec la version disponible dans l’annuaire de CA lorsque l’expéditeur et le destinataire s’authentifient avec leurs certificats numériques ilspeuvent communiquer avec des protocoles sécurisées tels que SSL (Secure sockets layer) et S –http.
21
4. LA SÉCURITÉ DES TRANSACTIONS
La sécurité de transaction concerne trois services : L’authentification : le serveur est confient de
l’identifiant des clients qu’il communique avec. (méthode commune : login+pwd)
La privacy et la confidentialité : la conversation du client avec le serveur est privée. (méthode commune : cryptage)
L’intégrité du message : la conversation du client est non modifié. (cryptage puis signature digitale)
22
4.1. S-HTTP
L'HyperText Transfer Protocol, plus connu sous l'abréviation HTTP — littéralement « protocole de transfert hypertexte » — est un protocole de communication client-serveur développé pour le World Wide Web. HTTPS (avec S pour secured, soit « sécurisé ») est la variante du HTTP sécurisée par l'usage des protocoles SSL ou TLS.
23
4.2. SSL
Transport Layer Security (TLS), anciennement nommé Secure Sockets Layer (SSL), est un protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape (SSL version 2 et SSL version 3).
Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS. SSL est utilisé au niveau session.
24
4.2. SSL (SUITE)
Il crypte les adresses IP d’où la confidentialité de communication.
Il crypte le numéro de port, donc l’application en cours d’exécution est inconnue.
Problème d’acheminement du paquet par les routeurs puisque l’adresse IP qu’il doit chercher dans sa table de routage est illisible.
la solution est de configuer les routeurs de façon qu’ils seront capables d’extraire l’adresse IP en clair (par décryptage). 25
4.3. SET
SET (Secure Electronic Transaction) est un protocole de sécurisation des transactions électroniques mis au point par Visa et MasterCard, et s'appuyant sur le standard SSL.
SET est basé sur l'utilisation d'une signature électronique au niveau de l'acheteur et une
transaction mettant en jeu non seulement l'acheteur et le vendeur, mais aussi leurs banques respectives. 26
4.3. SET (SUITE)
27
Lors d'une transaction sécurisée avec SET, les données sont envoyées par le client au serveur du vendeur, mais ce dernier ne récupère que la commande. En effet, le numéro de carte bleue est envoyé directement à la banque du commerçant, qui va être en mesure de lire les coordonnées bancaires de l'acheteur, et donc de contacter sa banque afin de les vérifier en temps réel.
3.4. VPN
28
Le réseau privé virtuel (Virtual Private Network ) est vu comme une extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Il correspond en fait à une interconnexion de réseaux locaux via une technique de « tunnel » (canal sécurisé gràace au chiffrement des messages). On parle de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure partagée avec d'autres organismes.
5. LA SÉCURITÉ DES RÉSEAUX
Il existe deux approches différentes :
les moyens classiques. la nouvelle tendance.
29
5.1. LES MOYENS CLASSIQUE
Parmi les moyens Classiques de sécurité, on cite : Les réseaux privés: Services cachés. (par exemple nommer «
ventes.html » au lieu de « index.html ») Code d’accès et mots de passes. La journalisation : Le concept d'historique des
événements ou de logging désigne l'enregistrement séquentiel dans un fichier ou une base de données de tous les événements affectant un processus particulier 30
5.2 LA NOUVELLE TENDANCE
Parmi les moyens nouveaux de sécurité, on cite :
le serveur proxy. le firewall : logiciel et matériel
31
LE SERVEUR PROXY.
Les serveurs proxy remplissent deux fonctions principales : amélioration des performances du
réseau et filtrage des demandes des ordinateurs clients.
• Amélioration des performancesLes serveurs proxy réduisent le temps nécessaire pour répondre aux demandes émises par des groupes d'utilisateurs. En effet, un serveur proxy met en cache, ou enregistre, les résultats de toutes les demandes transmises pendant un laps de temps.
32
LE SERVEUR PROXY (SUITE)
Si un utilisateur souhaite afficher de nouveau une page Web déjà demandée, le serveur proxy lui renvoie simplement cette page, au lieu de transférer sa demande au serveur Web et de télécharger la même page.
Filtrage des demandes des ordinateurs clients Les serveurs proxy permettent aussi de filtrer
les demandes des ordinateurs clients pour certaines connexions à Internet. Par exemple, une entreprise peut utiliser un serveur proxy pour empêcher ses employés d'accéder à un ensemble particulier de
sites Web.
33
FONCTIONNEMENT D'UN SERVEUR PROXY
Lors de l'utilisation d'un serveur proxy, les ordinateurs du réseau local sont configurés avec
des adresses IP privées. Lorsqu'un ordinateur transmet une demande de connexion à Internet, il transmet ses données au serveur proxy par le biais du réseau TCP/IP. Le serveur proxy modifie la demande, insère ses propres nom et adresse IP, laquelle est fournie par le fournisseur de services Internet, puis envoie les données sur Internet. Lorsqu'une réponse à la demande est reçue, le serveur proxy la renvoie à l'ordinateur qui est à l'origine de la demande , par le biais du réseau local . Le proxy s’exécute à l’intranet, il connait les clients donc il peut les identifier grâce à une table d’habilitation définissant les droits d’accès des clients.
34
LE FIREWALL
35
Tout réseau connecté à Internet doit transmettre des communications à travers un pare-feu. Un pare-feu représente la combinaison d'éléments logiciels et matériels qui interdit l'accès non autorisé à un réseau interne à partir de l'extérieur. Tous les messages du réseau, en entrée ou en sortie, passent par le pare-feu, qui les examine et bloque ceux qui ne répondent pas aux critères de sécurité définis. Un pare-feu filtre le trafic qui ne doit pas passer d'Internet à votre réseau privé, par exemple des messages échangés entre deux ordinateurs sur votre réseau privé.
FONCTIONNEMENT D'UN PARE-FEU
Un pare-feu empêche toute communication directe entre le réseau et des ordinateurs externes en routant les communications par l'intermédiaire d'un serveur proxy situé à l'extérieur du réseau. Le pare-feu détermine s'il n'est pas dangereux de laisser un fichier passer, vers ou depuis le réseau. Un pare-feu est appelé également passerelle de sécurité.Une passerelle est un système connecté à plusieurs réseaux TCP/IP physiques, et capable de router ou de remettre des paquets IP entre eux. Une passerelle assure la conversion entre des protocoles de transport ou des formats de données différents, par exemple IPX (Internetwork Packet eXchange) et IP. Elle est principalement ajoutée à un réseau pour ses capacités de conversion.
36
MACHINE FIREWALL DÉDIÉE (SOFT)
C’est un machine configurée uniquement pour la sécurité (appelée bastion).
• Les utilisateurs doivent se connecter sur des applications fiables sur le firewall avant toute autre connexion.
• il faut garder seulement les comptes des utilisateurs qui sont responsables de la configuration du firewall.
37
MACHINE FIREWALL DÉDIÉE (SOFT)(SUITE)
• il faut d’enlever tout fichier exécutable non nécessaire surtout les programmes réseaux tels que FTP, Telnet… (uniquement le firewall s’exécute)
• Etendre « audit log » et monitoring pour vérifier les accès à distance grâce aux scénarios modélisant une attaque.
• désactiver « ip forwarding » pour éviter que le firewall transfère des paquets non autorisés entre internet et intranet.
38
PACKET SCREENING ROUTER (HARD)
La fonction de base d’un routeur est la transmission du paquet à la base des adresses ip source et destination en consultant sa table de routage.
Exemple de règles de filtrages :• basé sur le protocole (TCP, UDP, ICMP)• basé sur l’adresse IP source• basé sur le N° de port destination (port 80 donc
application Web). Rapide car c’est du matériel programmé
(exécution hard est plus rapide que l’exécution soft).
39
PACKET SCREENING ROUTER (HARD)
Les règles de filtrage sont difficiles à spécifier (il existe différents besoins).
Dès le début il faut spécifier presque la majorité des règles de filtrage d’où elles sont pré-programmées à l’achat. C’est pourquoi il est difficile de changer ces fonctionnalités.
Il peut être dupé (trompé) par un client qui comprend les règles de filtrage (par exp : il change le N° du port TCP).
Le routeur n’assure pas l’authentification car il ne connaît pas la personne plutôt la machine. Donc Ali peut se connecter de n’importe quelle machine du réseau et donc il peut tromper le routeur.
Coûte cher.
40
6. CONCLUSION Sécurité des échanges, confidentialité, authenticité sont les
garanties exigées dans le commerce électronique. Des dispositions ont donc été prises pour protéger au maximum les consommateurs et les commerçants contre les usurpations, les non-paiements, toutes les fraudes qui peuvent sévir sur Internet.
Ces dispositions concernent plus particulièrement la sécurité des paiements, la protection des consommateurs mais également la signature sécurisée des contrats de commerce électronique. 41
BIBLIOGRAPHIE
http://www.murielle-cahen.com/publications/p_1securite.asp
http://www.cairn.info/revue-economique-2004-4-p-689.htm
http://www.clusif.fr/fr/production/ouvrages/pdf/SecuriteSiteCommerceElectronique.pdf
http://www.clusif.fr/fr/production/ouvrages/pdf/SecuriteSiteCommerceElectronique.pdf
http://www.journaldunet.com/0301/030116loicommerce.shtml
42
43
