View
790
Download
2
Category
Preview:
DESCRIPTION
Citation preview
Problèmes de sécurité du commerce électronique
Objectif : Établissement d’une stratégie de sécurité
Leçon 5.2
E-Commerce Mme H.Jegham 2IHEC 2008~2009
Éléments de contenu(1/2) A quel point vos données sont-elles importantes ? Les dangers liés à la sécurité; La recherche d’un équilibre entre simplicité d’utilisation,
performances, coût et sécurité; La création d’une stratégie de sécurité; Les principes d’authentification; L’utilisation de l’authentification; Une présentation du cryptage;
E-Commerce Mme H.Jegham 3IHEC 2008~2009
Éléments de contenu(2/2) Le cryptage par clé privée; Le cryptage par clé publique; Les signatures numériques; Les certificats numériques; Les serveurs web sécurisés; La surveillance et les journaux; Les pare-feu La sauvegarde des données; La sécurité physique
E-Commerce Mme H.Jegham 4IHEC 2008~2009
1. Mesurer l’importance de ses données Protéger les données de l’entreprise pour
garantir le bon fonctionnement de son système d’information
et contre les pirates Si on choisit le niveau de sécurité le plus élevé cela
entraînera un budget élevé à investir. Donc le choix du budget est fonction de l’importance des
données.
E-Commerce Mme H.Jegham 5IHEC 2008~2009
Les informations n’ont pas toutes la même valeur, et elles peuvent être : Celles enregistrées sur l’ordinateur d’un particulier Celles d’une entreprise Celles d’une banque Celles d’une organisation militaire
L’intérêt des pirates à vos données dépend de ce qu’il cherchent.
E-Commerce Mme H.Jegham 6IHEC 2008~2009
Les ordinateurs des particuliers : les informations qu’ils possèdent ne sont intéressantes que pour
eux-mêmes; donc ils ne consacrent pas beaucoup de temps pour la sécurité
de leurs systèmes; Et par suite les pirates ne leurs consacrent pas beaucoup
d’effort; Les ordinateurs militaires :
Cibles des pirates individuels; Cibles des gouvernements étrangers;
L’ordinateur d’un site de commerce électronique d’une entreprise : Son intérêt pour les pirates se trouve entre les deux extrêmes
su-mentionnées;
E-Commerce Mme H.Jegham 7IHEC 2008~2009
2. Les dangers liés aux problèmes de sécurité L’exposition de données confidentielles; La perte ou destruction d’information; La modification des données; Les attaques type denial of service; Les erreurs dans les logiciels; Les annulations de commandes;
E-Commerce Mme H.Jegham 8IHEC 2008~2009
2.1. L’exposition de données confidentielles Ces données peuvent être enregistrées sur l’ordinateur
du client ou bien transférées vers son poste; Exemples :
Listes de prix Informations confidentielles fournies par le client comme
son mot de passe Ses informations de contact Son numéro de carte de crédit
E-Commerce Mme H.Jegham 9IHEC 2008~2009
Remédiassions (comment protéger les données) Éviter de conserver sur le serveur web des informations
confidentielles, car c’est l’ordinateur le plus exposé; Les ranger dans un ordinateur plus isolé; Le serveur web qui est une machine accessible au grand public ne
devra contenir que les informations générales ou les données qui viennent d’être saisies par les utilisateurs;
Limiter l’exposition des données en réduisant le nombre des méthodes (fonctions/procédures) permettant de leur accéder;
Limiter le nombre de personnes qui peuvent y accéder;
E-Commerce Mme H.Jegham 10IHEC 2008~2009
Penser sécurité depuis l’étape de conception Configurer correctement le serveur et les logiciels; Programmer avec précaution; Effectuer suffisamment de tests; Supprimer les services superflus; Exiger une authentification; Le risque d’une erreur de programmation ou de
configuration peut laisser par accident les informations confidentielles en accès libre;
E-Commerce Mme H.Jegham 11IHEC 2008~2009
L’authentification Elle consiste à demander aux visiteurs leur identité;
Pour permettre ou ne pas permettre l’accès Il existe plusieurs méthodes d’authentification dont
Les mots de passe Les signatures numériques
Exemple du cas de CD Universe : Fin 1999 Pirate s’appelle Maxux possédant 30 000 numéros de
cartes de crédits volés sur leur site Réclame 100 000$ pour détruire ces numéros;
E-Commerce Mme H.Jegham 12IHEC 2008~2009
Chemin des données Les données peuvent être exposées lorsqu’elles transitent sur les
réseaux. Les réseaux TCP/IP décomposent les données en paquets, et
transmettent ces paquets d’ordinateur en ordinateur jusqu’à la destination.
Chacun de ces ordinateurs peut voir les données qu’il transmet. Ces ordinateurs ne sont pas forcément tous sécurisés. La commande traceroute sous Unix affiche les adresse IP des
ordinateurs par lesquels vos données ont transité avant d’atteindre la destination.
E-Commerce Mme H.Jegham 13IHEC 2008~2009
Cryptage des données
Les serveurs web utilisent la méthode SSL développée par Netscape pour transmettre de manière sécurisée des données entre les serveurs web et les navigateurs.
Comme la tâche du serveur devient : Crypter avant d’envoyer, Décrypter à la réception, En plus de l’envoi,
Ses performances diminuent de manière considérable.
E-Commerce Mme H.Jegham 14IHEC 2008~2009
2.2. La perte ou destruction d’information Il est moins grave de perdre des données que de les laisser à la
portée des intrus. Plusieurs mois pourraient être investis pour mettre en œuvre le site,
à rassembler des commandes et des informations à propos des utilisateurs.
Des pirates peuvent pénétrer le système et formater le disque dur. Un programmeur ou même un administrateur peut supprimer des
fichiers accidentellement. La perte brusque d’un disque dur n’est pas exclue car ceux-ci ont
une durée de vie limitée. Loi de Murphy : c’est toujours le disque dur le plus important qui
tombe en panne et en plus longtemps après la dernière sauvegarde.
E-Commerce Mme H.Jegham 15IHEC 2008~2009
Remédiassions Réduire au minimum le nombre de personnes ayant accès au
système. N’embaucher que des personnes compétentes et
méticuleuses. Acheter des disques de bonnes qualité. Choisir un système RAID pour obtenir l’équivalent d’un disque
dur plus rapide et plus fiable. Une bonne stratégie de sauvegarde des données.
Sauvegarde régulière La procédure de sauvegarde est testée, de manière à récupérer
les données en cas de problème. Les sauvegardes sont stockées loin du local des ordinateurs
serveurs.
E-Commerce Mme H.Jegham 16IHEC 2008~2009
2.3. La modification des données La perte des données est assez grave mais leur modification est encore
pire. Une suppression de données ne passerait pas inaperçue et peut être
réparée par les sauvegardes. Mais combien de temps faudrait-il pour remarquer une modification des
données. On distingue la modification des fichiers de données et ceux exécutables. Un pirate peut modifier les fichiers de données de l’entreprise pour :
Dégrader son site Obtenir des bénéfices frauduleux
Il peut remplacer un fichier exécutable par une version sabotée qui lui permettra de mettre en place un autre moyen d’accès tranquille pour ses visites ultérieures.
E-Commerce Mme H.Jegham 17IHEC 2008~2009
Remédiassions
Protéger les données grâce aux signatures numériques. Les signatures n’empêchent pas les modifications, mais
en les recalculant à la réception et en les comparant aux signatures d’origine, on peut s’apercevoir si les données ont été modifiées ou pas en cours de route.
Si les données sont cryptées pour empêcher les intrus de les lire, il est d’autant plus difficile de les modifier en cours de route sans que le destinataire s’en aperçoive.
E-Commerce Mme H.Jegham 18IHEC 2008~2009
Protéger les fichiers du serveur, en utilisant les droits d’accès implémentés par le système d’exploitation.
Il est possible d’autoriser certains utilisateurs à se servir du système, sans pour autant leur permettre la modification.
L’absence de ces droits fait de Windows 95 et 98 des systèmes d’exploitation inadaptés pour jouer le rôle de serveurs.
On peut utiliser des logiciels de vérification de l’intégrité des fichiers comme Tripwire. Ces logiciels enregistrent des informations sur les fichiers
importants que l’on sait "propres", immédiatement après leur installation.
Ensuite, ces logiciels peuvent être utilisés pour vérifier que les fichiers n’ont pas été modifiés.
E-Commerce Mme H.Jegham 19IHEC 2008~2009
2.4. Les attaques type denial of service (DoS) Parmi les dangers les plus périlleux, mettre un site dans l’incapacité de
fonctionner correctement ou à le ralentir au-delà d’un seuil critique. Au début de l’année 2000, nous avons assisté à une véritable
avalanche d’attaques de type DoS contre des sites web très connus. Parmi ces cibles : yahoo, eBay, Amazon, E-Trade et Buy.com
Ces sites gèrent un trafic fabuleux Mais peuvent être bloqués pendant des heures
Les pirates ont peut d’intérêt à bloquer ces sites. Mais leurs propriétaires peuvent y perdre leur réputations, leurs temps,
et un peu d’argent.
E-Commerce Mme H.Jegham 20IHEC 2008~2009
Remédiassions
Ces attaques sont difficiles à contrer car elles peuvent prendre plusieurs formes.
Pour réaliser ce genre d’attaques, les pirates Installent sur le serveur un programme qui consomme la
plus grande partie du temps CPU. Envoient des myriades d’e-mails (spam) en précisant
l’adresse de la cible comme expéditeur, pour que celui-ci reçoive des milliers de plaintes.
E-Commerce Mme H.Jegham 21IHEC 2008~2009
Il est généralement difficile de se protéger contre les attaques DoS.
Il faut effectuer des recherches pour repérer les ports utilisés par la plupart des outils DoS et les fermer.
La seule protection contre ce genre d’attaque consiste à surveiller le trafic normal.
E-Commerce Mme H.Jegham 22IHEC 2008~2009
2.5. Les erreurs dans les logiciels Il se peut que les logiciels que l’entreprise a achetés, obtenus ou
écrits elle-même recèlent des erreurs. Ces erreurs peuvent entraîner toutes sortes de comportements
imprévisibles comme : La disparition de certains services Des failles de sécurité Des pertes financières Une diminution du service apporté aux clients
Ces erreurs sont dus à des : Spécification médiocres Suppositions des développeurs Tests insuffisants
E-Commerce Mme H.Jegham 23IHEC 2008~2009
2.6. Les annulations de commandes Ce genre de danger prend lieu lorsque l’une des deux
parties impliquées dans une transaction se rétracte. Une personne commande des articles sur un site web,
puis bloque le débit sur sa carte de crédit. Une personne pourrait accepter une commande par e-
mail, puis qui se plaint qu’une autre personne s’est servie frauduleusement de son e-mail.
Dans l’idéal, les transactions financières ne devraient pas pouvoir être annulées.
Ou encore mieux chacune des deux parties devrait pouvoir faire appel à une autorité compétente.
E-Commerce Mme H.Jegham 24IHEC 2008~2009
Remédiassions Les systèmes d’identification fournissent une certaine garantie de
l’identité des personnes avec lesquelles l’entreprise traite. S’ils sont utilisés par une organisation réputée, les certificats
numériques peuvent encore accroître cette confiance. Les message envoyés par chaque partie ne doivent pas pouvoir
être modifiés. Aucun intérêt de recevoir des commandes si l’entreprise n’est
pas capable de prouver que le contenu de cette commande n’a pas été altéré.
La signature et le cryptage sont de bons outils pour les sécuriser.
E-Commerce Mme H.Jegham 25IHEC 2008~2009
Pour les transactions à long terme, les certificats numériques utilisés conjointement avec des techniques de communication cryptées ou signées sont une manière efficace de limiter les modifications.
Les entreprises de commerce électronique se doivent de : prouver leur identité dépenser de l’argent auprès d’entreprises de
certification comme Verisign (http://www.verisign.com) Thawte (http://www.thawte.com) ANCE (http://www.ance.tn)
pour assurer les visiteurs de leurs bonnes intentions. Pour les petites transactions, les commerçant sont prêts à accepter un
certain niveau de risque, au lieu d’alourdir leur commerce.
E-Commerce Mme H.Jegham 26IHEC 2008~2009
VISA a conclu un accord avec un certain nombre d’organisations financières, et des entreprises de logiciels qui a permis de mettre en place en 1997 un standard appelé Secure Electronic Transaction (SET)
Les pocesseurs de cartes peuvent obtenir des certificats numériques auprès de l’organisme qui leur a fourni leur carte.
Le SET permet de réduire le risque d’annulations et des autres fraudes faisant intervenir les carte de crédit dans les transactions sur Internet.
E-Commerce Mme H.Jegham 27IHEC 2008~2009
Les spécifications du SET existent depuis des années mais : Les banques ne suivent pas le mouvement. Les marchands ne rejettent pas les clients qui ne
possèdent pas le logiciel SET. Les consommateurs ne s’équipent pas de ce logiciel.
E-Commerce Mme H.Jegham 28IHEC 2008~2009
3. La recherche d’un équilibre entre simplicité d’utilisation, performances, coût et sécurité; Le web est un environnement risqué. Des utilisateurs anonymes demandent des services sur
les ordinateurs des entreprises. N’importe qui peut effectuer d’autres types de
connexions. Le niveau de sécurité le plus élevé non seulement est
très coûteux en terme d’argent mais aussi en terme de temps ce qui alourdi la transaction et la rend complexe.
Un compromis devra être trouvé entre : sécurité, simplicité d’utilisation, coût et performances.
E-Commerce Mme H.Jegham 29IHEC 2008~2009
Lorsque le niveau de sécurité sa simplicité d’utilisation: En limitant se que les utilisateurs peuvent faire En leur demandant de s’authentifier
Lorsque le niveau de sécurité les performances des machines : Les logiciels de cryptage Les systèmes de détection d’intrusion Les scanners de virus Les fichiers journaux
Consomment des ressources Il faudra investir dans des processeurs plus puissants pour effectuer
une session cryptée comme une connexion SSL vers un site web.
E-Commerce Mme H.Jegham 30IHEC 2008~2009
4. La création d’une stratégie de sécurité
C’est un document qui décrit : La philosophie générale de la sécurité de l’organisation; Ce qui doit être protégé : les logiciels, les plates-formes,
les données; La personne qui s’occupe de protéger ces éléments; Des standards pour la sécurité et son évaluation;
E-Commerce Mme H.Jegham 31IHEC 2008~2009
5. Les principes d’authentification
L’authentification permet de prouver qu’une personne est réellement la personne qu’elle prétend être.
Parmi les techniques d’authentification on cite : Les mots de passe; Les signature numérique; Les mesures biométriques comme les empreintes digitales; Les cartes à puces;
Sur le web les mots de passe et les signatures numériques sont les plus utilisées.
E-Commerce Mme H.Jegham 32IHEC 2008~2009
Les mesures biométriques et les solutions matérielles comme les cartes à puces, ont besoin d’un périphérique particulier. Ceci limite le nombre d’utilisateurs qui peuvent s’en servir. Ces deux solutions sont intéressantes pour l’accès aux
systèmes internes d’une organisation. On préfère des systèmes de sécurité disponibles
directement sur le web.
E-Commerce Mme H.Jegham 33IHEC 2008~2009
Les mots de passe sont simples à implémenter, à utiliser, ne nécessitent aucun périphérique et fournissent un certain niveau de sécurité mais ne sont pas suffisants pour des systèmes à haute sécurité. Vous pouvez obliger vos utilisateurs à inclure des nombres , des
signes de ponctuation, des lettres majuscules et des lettres minuscules
Leurs demander d’éviter les mots de passe simples à deviner ou ceux prix du dictionnaire.
Malheureusement les mots de passe sont compliqués à
retenir, les utilisateurs ont tendance à faire des actions peu sécurisées comme les écrire sur un bout de papier collé sur le moniteur.
E-Commerce Mme H.Jegham 34IHEC 2008~2009
Les mots de passe peuvent être capturés sur les ordinateurs : En exécutant un programme qui capture les messages clavier
des terminaux En utilisant un programme d’interception des paquets pour
capturer le trafic réseau, les pirates peuvent récupérer des noms d’utilisateurs avec les mots de passe correspondants.
Pour réduire ce danger il faut crypter votre trafic réseau. Les mots de passe restent idéaux pour vérifier l’état des
commandes de vos clients mais leur niveau de sécurité n’est pas approprié pour des informations d’ordre sécurité nationale.
E-Commerce Mme H.Jegham 35IHEC 2008~2009
6. L’utilisation de l’authentification
Les mécanismes d’authentification sont intégrés dans la plupart des navigateurs web et des serveurs web.
Les serveurs web peuvent demander un nom d’utilisateur et un mot de passe à une personne qui demande des fichiers dans des répertoires particuliers du serveur.
Le navigateur affiche une boîte de dialogue pareille :
E-Commerce Mme H.Jegham 36IHEC 2008~2009
Le serveur web Apache et le serveur web de Microsoft (IIS) permettent de protéger facilement une partie ou l’intégralité du site.
Avec PHP ou MySQL on peut programmer la même authentification intégrée au niveau des navigateurs pour obtenir les mêmes résultats et même en moins de temps.
E-Commerce Mme H.Jegham 37IHEC 2008~2009
7. Une présentation du cryptage
Un algorithme de cryptage est un processus mathématique qui transforme des informations en une suite de données qui semble aléatoire.
Données de départ texte brut Les informations cryptées texte crypté Le texte brut est passé au moteur de cryptage, qui peut
être un périphérique matériel. Comme la machine Enigma utilisée pendant la seconde
guerre mondiale. Comme il peut être un programme informatique.
Texte brut
Algorithme de cryptage
Texte crypté
E-Commerce Mme H.Jegham 38IHEC 2008~2009
Les mots de passe introduits lors de l’authentification sont ensuite cryptés avant d’être enregistrés par le serveur web dans un répertoire protégé.
Un utilisateur créé, avec un mot de passe comme "password" se voit crypté et enregistré son mot de passe sous " aWDuA3X3H.mc2 "
Texte brut
Algorithme de cryptage
Texte crypté
Algorithme de décryptage
Texte clair
Clé
E-Commerce Mme H.Jegham 39IHEC 2008~2009
8. Le cryptage par clé privée Se fonde sur le fait que les personnes autorisées possèdent une clé
permettant de décrypter les messages. Cette clé doit être gardée secrète. L’expéditeur (qui crypte le message) et le destinataire (qui décrypte
le message) possèdent la même clé. L’algorithme de cryptage par clé privée le plus utilisé au monde est
le DES (Data Encryption Standard). Développé par IBM en 1970. devenu obsolète en 1998.
D’autres systèmes à clé privée : RC2, RC4, RC5, le triple DES; et IDEA.
Le défaut du cryptage par clé privée est que pour envoyer un message sécurisé à quelqu’un, il faut posséder un moyen sécurisé de lui envoyer la clé secrète.
E-Commerce Mme H.Jegham 40IHEC 2008~2009
9. Cryptage par clé publique En 1976 Diffie et Hellman ont publié le système de
cryptage public. Le cryptage par clé publique nécessite deux clés
différentes : Une clé publique Et une clé privée
La clé publique sert à crypter les messages. La clé privée sert à les décrypter.
Texte brut
Algorithme de cryptage
Texte crypté
Algorithme de décryptage
Texte clair
Clé publique
Clé privée
E-Commerce Mme H.Jegham 41IHEC 2008~2009
La clé publique peut être distribuée à tout le monde. Les personnes à qui vous avez envoyé votre clé publique peuvent
vous envoyer des messages de manière sécurisée. Tant que vous êtes le seul à détenir votre clé privée, vous êtes le
seul à pouvoir décrypter vos messages. L’algorithme de cryptage par clé publique le plus utilisé est RSA,
développé par Rivest, Shamir et Adelman, au MIT. La clé publique présente la capacité de pouvoir être transmise sans
la crypter et sans avoir peur qu’elle soit interceptée.
E-Commerce Mme H.Jegham 42IHEC 2008~2009
10. Les signatures numériques Les signatures numériques sont en rapport avec la cryptographie
par clé publique. Elles inversent le rôle de la clé publique et de la clé privée. Une personne désirant envoyer un message peut crypter ce dernier
et le signer numériquement avec sa clé privée. Lorsque le message est reçu, le destinataire peut le décrypter avec
la clé publique de l’expéditeur. Comme l’expéditeur est la seule personne pouvant accéder à la clé
privée, le destinataire peut avoir la certitude de qui provient le message et que celui-ci n’a pas été modifié.
Les signatures numériques sont très utiles : Le destinataire est rassuré que le message n’a pas été modifié. L’expéditeur ne peut plus se rétracter en prétendant que ce n’est
pas lui qui a envoyé le message.
E-Commerce Mme H.Jegham 43IHEC 2008~2009
Le message crypté peut être lu par n’importe qui, possédant la clé publique.
Le but du cryptage ici est : d’empêcher la modification d’identifier avec certitude l’expéditeur
Le problème du cryptage par clé publique est qu’il est lent sur les messages de grandes tailles.
Un autre algorithme est utilisé pour améliorer l’efficacité du traitement : c’est la fonction de hachage.
E-Commerce Mme H.Jegham 44IHEC 2008~2009
La fonction de hachage
C’est une technique qui permet de produire un condensé de
massage qui est une représentation réduite et unique du message.
Elle calcule un code d’identification du message appelé une valeur de hachage.
Elle est calculée de manière déterministe en fonction du message
(unidirectionnel : impossible de retrouver le message à partir du
condensé).
Cette valeur de hachage peut être très petite.
L’algorithme qui la calcule est généralement très rapide.
Les fonctions de hachage les plus courantes sont MD5 et SHA.
E-Commerce Mme H.Jegham 45IHEC 2008~2009
Manière de créer une signature numérique
Lors de l’envoi :
Calculer la valeur de hachage d’un message;
Crypter cette valeur par un algorithme de cryptage par clé publique.
La signature peut être ensuite envoyée avec le message via n’importe quelle méthode de transmission non sécurisée.
A la réception : le message reçu est signé. La signature est décryptée grâce à
la clé publique de l’expéditeur. Une valeur de hachage est
générée à partir du message, en utilisant la même méthode que celle de l’expéditeur.
Si la valeur de hachage décryptée correspond à la valeur de hachage décryptée, le message provient bien de l’expéditeur et n’a pas été modifié.
E-Commerce Mme H.Jegham 46IHEC 2008~2009
11. Les certificats numériques Nous voulons nous assurer
de l’intégrité du message (qu’il n’a pas été modifié) Et de la provenance des messages (c’est bel et bien l’utilisateur
spécifique qui a envoyé les messages) Pour des transactions commerciales, on souhaiterait rattacher un utilisateur
ou un serveur à une entité légale comme une personne ou une entreprise. Un certificat numérique combine à la fois une clé publique et les détails
concernant une organisation ou un particulier, tout cela dans un format signé numériquement.
A partir d’un certificat vous possédez la clé publique de l’entité avec laquelle vous traitez. Vous connaissez également ses détails personnels, qui n’ont pas pu
être modifiés.
E-Commerce Mme H.Jegham 47IHEC 2008~2009
Les informations ont autant de valeur que la personne qui les a signées.
Pour les transactions commerciales, il est souhaité qu’un organisme indépendant vérifie l’identité des participants et les détails qu’ils ont enregistrés dans leur certificat.
Ces organismes sont appelés des autorités de certification. Elles délivrent des certifications numériques à des individus et à des
personnes. Les deux autorités de certification les plus connues sont :
Verisign (http://www.verisign.com) Et Thawte (http://www.thaxte.com)
D’autres autorités sont moins connues et moins chères comme (http://www.equifaxsecure.com)
E-Commerce Mme H.Jegham 48IHEC 2008~2009
Ces autorités signent un certificat pour valider l’identité de leur propriétaire.
Mais un certificat ne garantit pas la solvabilité de son propriétaire, ni ses bonnes intentions.
En cas d’escroquerie vous pouvez déterminer l’adresse physique de la personne responsable.
Les certificats créent une sorte de chaîne de confiance : si vous faites confiance à l’autorité de certification qui a émis un certificat, vous pourrez également faire confiance aux personnes auxquelles cette autorité fait confiance.
E-Commerce Mme H.Jegham 49IHEC 2008~2009
Les certificats numériques servent à donner du respect envers un site de commerce électronique.
Grâce à un certificat provenant d’une autorité de certification, les navigateurs web peuvent effectuer des connexions SSL vers votre site, sans afficher la boîte de dialogue d’avertissement.
Les serveurs web qui autorisent les connexions SSL sont appelés des serveurs web sécurisés.
E-Commerce Mme H.Jegham 50IHEC 2008~2009
12. Les serveurs web sécurisés
Apache, Microsoft IIS ou tout autre serveur web commercial ou gratuit peuvent permettre de communiquer de manière sécurisée avec des navigateurs via SSL.
Pour utiliser SSL avec IIS, il suffit d’installer IIS, de générer une paire de clés et d’installer le certificat.
Pour utiliser SSL avec Apache il faut installer trois bibliothèques différentes : Apache, Mod_SSL, OpenSSL.
E-Commerce Mme H.Jegham 51IHEC 2008~2009
Processus d’obtention des certificats
Prouver que vous êtes une entreprise reconnue légalement.
Possédant une adresse physique. Et que votre entreprise possède le nom de domaine
correspondant. Générer par votre serveur web une requête de signature
de certificat (CSR) le résultat est une requête de signature de certificat
cryptée
E-Commerce Mme H.Jegham 52IHEC 2008~2009
-----------BEGIN NEW CERTIFICATE REQUEST----------
MIIBuwIBAAKBgQCLn1XX8faMHhtzStpwY6BVTPuE
En7Q1XnXw1s7xXbbuKP0
-----------END NEW CERTIFICATE REQUEST-----------
E-Commerce Mme H.Jegham 53IHEC 2008~2009
Le CSR Un chèque Documentation qui prouve que vous existez Preuve de correspondance du nom de domaine actuel à votre
entreprise Sont les pièces nécessaires pour demander un certificat auprès
d’une autorité de certification. Lorsque l’autorité délivre le certificat, il faudra
L’enregistrer sur votre système Indiquer à votre serveur web l’endroit où il peut le trouver
Le certificat final est un fichier texte semblable à la requête présentée en D53.
E-Commerce Mme H.Jegham 54IHEC 2008~2009
13. La surveillance et les journaux Le système d’exploitation permet d’enregistrer toutes sortes
d’événements. Du point de vue de la sécurité, les événements à prélever sont :
Les erreurs de réseaux. Les accès à des fichiers de données particuliers
Comme les fichiers de configuration ou la base de registre de windowsNT Ou bien l’appel à des programmes permettant d’ouvrir une session
sous le nom d’un utilisateur. Les fichiers journaux aident à détecter les erreurs et les
comportements suspects. Peuvent aussi indiquer comment un problème ou une intrusion ont
pu avoir lieu. Mais les journaux posent deux problèmes :
Leur taille Et leur véracité.
E-Commerce Mme H.Jegham 55IHEC 2008~2009
Si l’entreprise choisit d’enregistrer beaucoup d’informations dans les journaux leur taille s’accroîtra vite et il sera plus fastidieux de les examiner.
L’entreprise pourra s’aider d’outils existants ou bien développer des scripts de surveillance, pour chercher les événements "intéressants“ dans les journaux.
Malheureusement, les fichiers journaux sont les proies de choix pour les pirates.
Si un intrus possède un accès administrateur sur le système de l’entreprise, il aura toute la liberté de s’approprier des fichiers journaux et effacer ses traces.
L’administrateur devra effectuer des surveillances régulières. Mais l’entreprise peut aussi demander l’aide d’une société de
surveillance externe pour vérifier le comportement de ses administrateurs.
E-Commerce Mme H.Jegham 56IHEC 2008~2009
14. Les pare-feu ou firewalls Servent à séparer le réseau de l’entreprise (Intranet) du monde extérieur. En protégeant les ordinateurs de son réseau, des attaques provenant de
l’extérieur. Il filtre et bloque le trafic qui ne remplit pas certaines conditions. Il restreint également l’activité de personnes et d’ordinateurs situés à
l’extérieur. Les pare-feu sont
soit des périphériques matériels, comme des routeurs possédant des règles de filtrage.
Soit des programmes exécutés sur un ordinateurs. Les paquets peuvent être filtrer en fonction
de leur type, de leur adresse source, De leur adresse destination, Ou de leur port.
E-Commerce Mme H.Jegham 57IHEC 2008~2009
15. La sauvegarde des données Aucune compagnie d’assurance ne pourra remplacer le logiciel web
que l’entreprise aura développé elle-même et qui vient de disparaître. L’entreprise doit sauvegarder tous les composants de son site web
(les pages statiques, les scripts et les bases de données) La fréquence des sauvegarde dépend des modifications apportées au
site. Les sites permettant aux clients d’effectuer des commandes en ligne,
donc qui sont sensés être modifiés fréquemment doivent être sauvegardés régulièrement.
La plupart des sites d’une certaine taille peuvent être hébergés sur un serveur RAID (Redundant Array of Inexpensive Disks), qui enregistre les information en plusieurs exemplaires sur les différents disque durs.
E-Commerce Mme H.Jegham 58IHEC 2008~2009
16. La sécurité physique :
Panne d’air conditionné, Les incendies, Les propres collaborateurs de l’entreprise maladroits ou
réellement malintentionnées, Les coupures de courant, Et les pannes du réseau.
E-Commerce Mme H.Jegham 59IHEC 2008~2009
Solutions Local approprié Interdire l’accès à la salle des machines aux personnes non
concernées. Les extincteurs automatiques peuvent être dangereux pour les
matériels électroniques. Investir dans un onduleur pour une alimentation supplémentaire de
10mn. Pour plus de temps il faudra investir dans un équipement plus
onéreux. Héberger son site chez plusieurs fournisseurs d’accès Internet
permettra en cas de panne, une capacité réduite au site au lieu d’être totalement inaccessible.
Regrouper ses ordinateurs avec ceux d’autres entreprises dans des locaux spécialisés.
FIN
Recommended