• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Sécurité informatique
 

Sécurité informatique

on

  • 662 views

 

Statistics

Views

Total Views
662
Views on SlideShare
662
Embed Views
0

Actions

Likes
2
Downloads
62
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Sécurité informatique Sécurité informatique Presentation Transcript

    • Problèmes de sécurité du commerce électronique Objectif : Établissement d’une stratégie de sécuritéLeçon 5.2
    • Éléments de contenu(1/2) A quel point vos données sont-elles importantes ? Les dangers liés à la sécurité; La recherche d’un équilibre entre simplicité d’utilisation, performances, coût et sécurité; La création d’une stratégie de sécurité; Les principes d’authentification; L’utilisation de l’authentification; Une présentation du cryptage;IHEC 2008~2009 E-Commerce Mme H.Jegham 2
    • Éléments de contenu(2/2) Le cryptage par clé privée; Le cryptage par clé publique; Les signatures numériques; Les certificats numériques; Les serveurs web sécurisés; La surveillance et les journaux; Les pare-feu La sauvegarde des données; La sécurité physiqueIHEC 2008~2009 E-Commerce Mme H.Jegham 3
    • 1. Mesurer l’importance de sesdonnées Protéger les données de l’entreprise pour  garantir le bon fonctionnement de son système d’information  et contre les pirates Si on choisit le niveau de sécurité le plus élevé cela entraînera un budget élevé à investir. Donc le choix du budget est fonction de l’importance des données.IHEC 2008~2009 E-Commerce Mme H.Jegham 4
    •  Les informations n’ont pas toutes la même valeur, et elles peuvent être :  Celles enregistrées sur l’ordinateur d’un particulier  Celles d’une entreprise  Celles d’une banque  Celles d’une organisation militaire L’intérêt des pirates à vos données dépend de ce qu’il cherchent.IHEC 2008~2009 E-Commerce Mme H.Jegham 5
    •  Les ordinateurs des particuliers :  les informations qu’ils possèdent ne sont intéressantes que pour eux-mêmes;  donc ils ne consacrent pas beaucoup de temps pour la sécurité de leurs systèmes;  Et par suite les pirates ne leurs consacrent pas beaucoup d’effort; Les ordinateurs militaires :  Cibles des pirates individuels;  Cibles des gouvernements étrangers; L’ordinateur d’un site de commerce électronique d’une entreprise :  Son intérêt pour les pirates se trouve entre les deux extrêmes su-mentionnées;IHEC 2008~2009 E-Commerce Mme H.Jegham 6
    • 2. Les dangers liés aux problèmes desécurité L’exposition de données confidentielles; La perte ou destruction d’information; La modification des données; Les attaques type denial of service; Les erreurs dans les logiciels; Les annulations de commandes;IHEC 2008~2009 E-Commerce Mme H.Jegham 7
    • 2.1. L’exposition de donnéesconfidentielles Ces données peuvent être enregistrées sur l’ordinateur du client ou bien transférées vers son poste; Exemples :  Listes de prix  Informations confidentielles fournies par le client comme son mot de passe  Ses informations de contact  Son numéro de carte de créditIHEC 2008~2009 E-Commerce Mme H.Jegham 8
    • Remédiassions (comment protéger lesdonnées) Éviter de conserver sur le serveur web des informations confidentielles, car c’est l’ordinateur le plus exposé; Les ranger dans un ordinateur plus isolé; Le serveur web qui est une machine accessible au grand public ne devra contenir que les informations générales ou les données qui viennent d’être saisies par les utilisateurs; Limiter l’exposition des données en réduisant le nombre des méthodes (fonctions/procédures) permettant de leur accéder; Limiter le nombre de personnes qui peuvent y accéder;IHEC 2008~2009 E-Commerce Mme H.Jegham 9
    • Penser sécurité depuis l’étape deconception Configurer correctement le serveur et les logiciels; Programmer avec précaution; Effectuer suffisamment de tests; Supprimer les services superflus; Exiger une authentification; Le risque d’une erreur de programmation ou de configuration peut laisser par accident les informations confidentielles en accès libre;IHEC 2008~2009 E-Commerce Mme H.Jegham 10
    • L’authentification Elle consiste à demander aux visiteurs leur identité;  Pour permettre ou ne pas permettre l’accès Il existe plusieurs méthodes d’authentification dont  Les mots de passe  Les signatures numériques Exemple du cas de CD Universe :  Fin 1999  Pirate s’appelle Maxux possédant 30 000 numéros de cartes de crédits volés sur leur site  Réclame 100 000$ pour détruire ces numéros;IHEC 2008~2009 E-Commerce Mme H.Jegham 11
    • Chemin des données Les données peuvent être exposées lorsqu’elles transitent sur les réseaux. Les réseaux TCP/IP décomposent les données en paquets, et transmettent ces paquets d’ordinateur en ordinateur jusqu’à la destination. Chacun de ces ordinateurs peut voir les données qu’il transmet. Ces ordinateurs ne sont pas forcément tous sécurisés. La commande traceroute sous Unix affiche les adresse IP des ordinateurs par lesquels vos données ont transité avant d’atteindre la destination.IHEC 2008~2009 E-Commerce Mme H.Jegham 12
    • Cryptage des données Les serveurs web utilisent la méthode SSL développée par Netscape pour transmettre de manière sécurisée des données entre les serveurs web et les navigateurs. Comme la tâche du serveur devient :  Crypter avant d’envoyer,  Décrypter à la réception,  En plus de l’envoi, Ses performances diminuent de manière considérable.IHEC 2008~2009 E-Commerce Mme H.Jegham 13
    • 2.2. La perte ou destructiond’information Il est moins grave de perdre des données que de les laisser à la portée des intrus. Plusieurs mois pourraient être investis pour mettre en œuvre le site, à rassembler des commandes et des informations à propos des utilisateurs. Des pirates peuvent pénétrer le système et formater le disque dur. Un programmeur ou même un administrateur peut supprimer des fichiers accidentellement. La perte brusque d’un disque dur n’est pas exclue car ceux-ci ont une durée de vie limitée. Loi de Murphy : c’est toujours le disque dur le plus important qui tombe en panne et en plus longtemps après la dernière sauvegarde.IHEC 2008~2009 E-Commerce Mme H.Jegham 14
    • Remédiassions Réduire au minimum le nombre de personnes ayant accès au système. N’embaucher que des personnes compétentes et méticuleuses. Acheter des disques de bonnes qualité. Choisir un système RAID pour obtenir l’équivalent d’un disque dur plus rapide et plus fiable. Une bonne stratégie de sauvegarde des données.  Sauvegarde régulière  La procédure de sauvegarde est testée, de manière à récupérer les données en cas de problème.  Les sauvegardes sont stockées loin du local des ordinateurs serveurs.IHEC 2008~2009 E-Commerce Mme H.Jegham 15
    • 2.3. La modification des données La perte des données est assez grave mais leur modification est encore pire.  Une suppression de données ne passerait pas inaperçue et peut être réparée par les sauvegardes.  Mais combien de temps faudrait-il pour remarquer une modification des données. On distingue la modification des fichiers de données et ceux exécutables. Un pirate peut modifier les fichiers de données de l’entreprise pour :  Dégrader son site  Obtenir des bénéfices frauduleux Il peut remplacer un fichier exécutable par une version sabotée qui lui permettra de mettre en place un autre moyen d’accès tranquille pour ses visites ultérieures.IHEC 2008~2009 E-Commerce Mme H.Jegham 16
    • Remédiassions Protéger les données grâce aux signatures numériques. Les signatures n’empêchent pas les modifications, mais en les recalculant à la réception et en les comparant aux signatures d’origine, on peut s’apercevoir si les données ont été modifiées ou pas en cours de route. Si les données sont cryptées pour empêcher les intrus de les lire, il est d’autant plus difficile de les modifier en cours de route sans que le destinataire s’en aperçoive.IHEC 2008~2009 E-Commerce Mme H.Jegham 17
    •  Protéger les fichiers du serveur, en utilisant les droits d’accès implémentés par le système d’exploitation. Il est possible d’autoriser certains utilisateurs à se servir du système, sans pour autant leur permettre la modification. L’absence de ces droits fait de Windows 95 et 98 des systèmes d’exploitation inadaptés pour jouer le rôle de serveurs. On peut utiliser des logiciels de vérification de l’intégrité des fichiers comme Tripwire.  Ces logiciels enregistrent des informations sur les fichiers importants que l’on sait "propres", immédiatement après leur installation.  Ensuite, ces logiciels peuvent être utilisés pour vérifier que les fichiers n’ont pas été modifiés.IHEC 2008~2009 E-Commerce Mme H.Jegham 18
    • 2.4. Les attaques type denial of service(DoS) Parmi les dangers les plus périlleux, mettre un site dans l’incapacité de fonctionner correctement ou à le ralentir au-delà d’un seuil critique. Au début de l’année 2000, nous avons assisté à une véritable avalanche d’attaques de type DoS contre des sites web très connus. Parmi ces cibles : yahoo, eBay, Amazon, E-Trade et Buy.com  Ces sites gèrent un trafic fabuleux  Mais peuvent être bloqués pendant des heures Les pirates ont peut d’intérêt à bloquer ces sites. Mais leurs propriétaires peuvent y perdre leur réputations, leurs temps, et un peu d’argent.IHEC 2008~2009 E-Commerce Mme H.Jegham 19
    • Remédiassions Ces attaques sont difficiles à contrer car elles peuvent prendre plusieurs formes. Pour réaliser ce genre d’attaques, les pirates  Installent sur le serveur un programme qui consomme la plus grande partie du temps CPU.  Envoient des myriades d’e-mails (spam) en précisant l’adresse de la cible comme expéditeur, pour que celui-ci reçoive des milliers de plaintes.IHEC 2008~2009 E-Commerce Mme H.Jegham 20
    •  Il est généralement difficile de se protéger contre les attaques DoS. Il faut effectuer des recherches pour repérer les ports utilisés par la plupart des outils DoS et les fermer. La seule protection contre ce genre d’attaque consiste à surveiller le trafic normal.IHEC 2008~2009 E-Commerce Mme H.Jegham 21
    • 2.5. Les erreurs dans les logiciels Il se peut que les logiciels que l’entreprise a achetés, obtenus ou écrits elle-même recèlent des erreurs. Ces erreurs peuvent entraîner toutes sortes de comportements imprévisibles comme :  La disparition de certains services  Des failles de sécurité  Des pertes financières  Une diminution du service apporté aux clients Ces erreurs sont dus à des :  Spécification médiocres  Suppositions des développeurs  Tests insuffisantsIHEC 2008~2009 E-Commerce Mme H.Jegham 22
    • 2.6. Les annulations de commandes Ce genre de danger prend lieu lorsque l’une des deux parties impliquées dans une transaction se rétracte.  Une personne commande des articles sur un site web, puis bloque le débit sur sa carte de crédit.  Une personne pourrait accepter une commande par e- mail, puis qui se plaint qu’une autre personne s’est servie frauduleusement de son e-mail. Dans l’idéal, les transactions financières ne devraient pas pouvoir être annulées. Ou encore mieux chacune des deux parties devrait pouvoir faire appel à une autorité compétente.IHEC 2008~2009 E-Commerce Mme H.Jegham 23
    • Remédiassions Les systèmes d’identification fournissent une certaine garantie de l’identité des personnes avec lesquelles l’entreprise traite. S’ils sont utilisés par une organisation réputée, les certificats numériques peuvent encore accroître cette confiance. Les message envoyés par chaque partie ne doivent pas pouvoir être modifiés.  Aucun intérêt de recevoir des commandes si l’entreprise n’est pas capable de prouver que le contenu de cette commande n’a pas été altéré.  La signature et le cryptage sont de bons outils pour les sécuriser.IHEC 2008~2009 E-Commerce Mme H.Jegham 24
    •  Pour les transactions à long terme, les certificats numériques utilisés conjointement avec des techniques de communication cryptées ou signées sont une manière efficace de limiter les modifications. Les entreprises de commerce électronique se doivent de :  prouver leur identité  dépenser de l’argent auprès d’entreprises de certification comme  Verisign (http://www.verisign.com)  Thawte (http://www.thawte.com)  ANCE (http://www.ance.tn) pour assurer les visiteurs de leurs bonnes intentions. Pour les petites transactions, les commerçant sont prêts à accepter un certain niveau de risque, au lieu d’alourdir leur commerce.IHEC 2008~2009 E-Commerce Mme H.Jegham 25
    •  VISA a conclu un accord avec un certain nombre d’organisations financières, et des entreprises de logiciels qui a permis de mettre en place en 1997 un standard appelé Secure Electronic Transaction (SET) Les pocesseurs de cartes peuvent obtenir des certificats numériques auprès de l’organisme qui leur a fourni leur carte. Le SET permet de réduire le risque d’annulations et des autres fraudes faisant intervenir les carte de crédit dans les transactions sur Internet.IHEC 2008~2009 E-Commerce Mme H.Jegham 26
    •  Les spécifications du SET existent depuis des années mais :  Les banques ne suivent pas le mouvement.  Les marchands ne rejettent pas les clients qui ne possèdent pas le logiciel SET.  Les consommateurs ne s’équipent pas de ce logiciel.IHEC 2008~2009 E-Commerce Mme H.Jegham 27
    • 3. La recherche d’un équilibre entre simplicitéd’utilisation, performances, coût et sécurité; Le web est un environnement risqué. Des utilisateurs anonymes demandent des services sur les ordinateurs des entreprises. N’importe qui peut effectuer d’autres types de connexions. Le niveau de sécurité le plus élevé non seulement est très coûteux en terme d’argent mais aussi en terme de temps ce qui alourdi la transaction et la rend complexe. Un compromis devra être trouvé entre : sécurité, simplicité d’utilisation, coût et performances.IHEC 2008~2009 E-Commerce Mme H.Jegham 28
    •  Lorsque le niveau de sécurité  sa simplicité d’utilisation:  En limitant se que les utilisateurs peuvent faire  En leur demandant de s’authentifier Lorsque le niveau de sécurité  les performances des machines  :  Les logiciels de cryptage  Les systèmes de détection d’intrusion  Les scanners de virus  Les fichiers journaux  Consomment des ressources Il faudra investir dans des processeurs plus puissants pour effectuer une session cryptée comme une connexion SSL vers un site web. IHEC 2008~2009 E-Commerce Mme H.Jegham 29
    • 4. La création d’une stratégie de sécurité C’est un document qui décrit :  La philosophie générale de la sécurité de l’organisation;  Ce qui doit être protégé : les logiciels, les plates-formes, les données;  La personne qui s’occupe de protéger ces éléments;  Des standards pour la sécurité et son évaluation;IHEC 2008~2009 E-Commerce Mme H.Jegham 30
    • 5. Les principes d’authentification L’authentification permet de prouver qu’une personne est réellement la personne qu’elle prétend être. Parmi les techniques d’authentification on cite :  Les mots de passe;  Les signature numérique;  Les mesures biométriques comme les empreintes digitales;  Les cartes à puces; Sur le web les mots de passe et les signatures numériques sont les plus utilisées. IHEC 2008~2009 E-Commerce Mme H.Jegham 31
    •  Les mesures biométriques et les solutions matérielles comme les cartes à puces, ont besoin d’un périphérique particulier.  Ceci limite le nombre d’utilisateurs qui peuvent s’en servir.  Ces deux solutions sont intéressantes pour l’accès aux systèmes internes d’une organisation. On préfère des systèmes de sécurité disponibles directement sur le web.IHEC 2008~2009 E-Commerce Mme H.Jegham 32
    •  Les mots de passe sont simples à implémenter, à utiliser, ne nécessitent aucun périphérique et fournissent un certain niveau de sécurité mais ne sont pas suffisants pour des systèmes à haute sécurité.  Vous pouvez obliger vos utilisateurs à inclure des nombres , des signes de ponctuation, des lettres majuscules et des lettres minuscules  Leurs demander d’éviter les mots de passe simples à deviner ou ceux prix du dictionnaire.  Malheureusement  les mots de passe sont compliqués à retenir,  les utilisateurs ont tendance à faire des actions peu sécurisées comme les écrire sur un bout de papier collé sur le moniteur.IHEC 2008~2009 E-Commerce Mme H.Jegham 33
    •  Les mots de passe peuvent être capturés sur les ordinateurs :  En exécutant un programme qui capture les messages clavier des terminaux  En utilisant un programme d’interception des paquets pour capturer le trafic réseau, les pirates peuvent récupérer des noms d’utilisateurs avec les mots de passe correspondants. Pour réduire ce danger il faut crypter votre trafic réseau. Les mots de passe restent idéaux pour vérifier l’état des commandes de vos clients mais leur niveau de sécurité n’est pas approprié pour des informations d’ordre sécurité nationale.IHEC 2008~2009 E-Commerce Mme H.Jegham 34
    • 6. L’utilisation de l’authentification Les mécanismes d’authentification sont intégrés dans la plupart des navigateurs web et des serveurs web. Les serveurs web peuvent demander un nom d’utilisateur et un mot de passe à une personne qui demande des fichiers dans des répertoires particuliers du serveur. Le navigateur affiche une boîte de dialogue pareille :IHEC 2008~2009 E-Commerce Mme H.Jegham 35
    •  Le serveur web Apache et le serveur web de Microsoft (IIS) permettent de protéger facilement une partie ou l’intégralité du site. Avec PHP ou MySQL on peut programmer la même authentification intégrée au niveau des navigateurs pour obtenir les mêmes résultats et même en moins de temps.IHEC 2008~2009 E-Commerce Mme H.Jegham 36
    • 7. Une présentation du cryptage Un algorithme de cryptage est un processus mathématique qui transforme des informations en une suite de données qui semble aléatoire. Données de départ  texte brut Les informations cryptées  texte crypté Le texte brut est passé au moteur de cryptage, qui peut être un périphérique matériel.  Comme la machine Enigma utilisée pendant la seconde guerre mondiale. Comme il peut être un programme informatique. Texte Algorithme de Texte brut cryptage cryptéIHEC 2008~2009 E-Commerce Mme H.Jegham 37
    • Clé Texte Algorithme de Texte Algorithme de Texte brut cryptage crypté décryptage clair Les mots de passe introduits lors de l’authentification sont ensuite cryptés avant d’être enregistrés par le serveur web dans un répertoire protégé. Un utilisateur créé, avec un mot de passe comme "password" se voit crypté et enregistré son mot de passe sous " aWDuA3X3H.mc2 "IHEC 2008~2009 E-Commerce Mme H.Jegham 38
    • 8. Le cryptage par clé privée Se fonde sur le fait que les personnes autorisées possèdent une clé permettant de décrypter les messages. Cette clé doit être gardée secrète. L’expéditeur (qui crypte le message) et le destinataire (qui décrypte le message) possèdent la même clé. L’algorithme de cryptage par clé privée le plus utilisé au monde est le DES (Data Encryption Standard). Développé par IBM en 1970. devenu obsolète en 1998. D’autres systèmes à clé privée : RC2, RC4, RC5, le triple DES; et IDEA. Le défaut du cryptage par clé privée est que pour envoyer un message sécurisé à quelqu’un, il faut posséder un moyen sécurisé de lui envoyer la clé secrète.IHEC 2008~2009 E-Commerce Mme H.Jegham 39
    • 9. Cryptage par clé publique En 1976 Diffie et Hellman ont publié le système de cryptage public. Le cryptage par clé publique nécessite deux clés différentes :  Une clé publique  Et une clé privée La clé publique sert à crypter les messages. La clé privée sert à les décrypter. Clé Clé publique privée Texte Algorithme de Texte Algorithme de Texte brut cryptage crypté décryptage clairIHEC 2008~2009 E-Commerce Mme H.Jegham 40
    •  La clé publique peut être distribuée à tout le monde. Les personnes à qui vous avez envoyé votre clé publique peuvent vous envoyer des messages de manière sécurisée. Tant que vous êtes le seul à détenir votre clé privée, vous êtes le seul à pouvoir décrypter vos messages. L’algorithme de cryptage par clé publique le plus utilisé est RSA, développé par Rivest, Shamir et Adelman, au MIT. La clé publique présente la capacité de pouvoir être transmise sans la crypter et sans avoir peur qu’elle soit interceptée.IHEC 2008~2009 E-Commerce Mme H.Jegham 41
    • 10. Les signatures numériques Les signatures numériques sont en rapport avec la cryptographie par clé publique. Elles inversent le rôle de la clé publique et de la clé privée. Une personne désirant envoyer un message peut crypter ce dernier et le signer numériquement avec sa clé privée. Lorsque le message est reçu, le destinataire peut le décrypter avec la clé publique de l’expéditeur. Comme l’expéditeur est la seule personne pouvant accéder à la clé privée, le destinataire peut avoir la certitude de qui provient le message et que celui-ci n’a pas été modifié. Les signatures numériques sont très utiles :  Le destinataire est rassuré que le message n’a pas été modifié.  L’expéditeur ne peut plus se rétracter en prétendant que ce n’est pas lui qui a envoyé le message.IHEC 2008~2009 E-Commerce Mme H.Jegham 42
    •  Le message crypté peut être lu par n’importe qui, possédant la clé publique. Le but du cryptage ici est :  d’empêcher la modification  d’identifier avec certitude l’expéditeur Le problème du cryptage par clé publique est qu’il est lent sur les messages de grandes tailles. Un autre algorithme est utilisé pour améliorer l’efficacité du traitement : c’est la fonction de hachage.IHEC 2008~2009 E-Commerce Mme H.Jegham 43
    • La fonction de hachage C’est une technique qui permet de produire un condensé de massage qui est une représentation réduite et unique du message. Elle calcule un code d’identification du message appelé une valeur de hachage. Elle est calculée de manière déterministe en fonction du message (unidirectionnel : impossible de retrouver le message à partir du condensé). Cette valeur de hachage peut être très petite. L’algorithme qui la calcule est généralement très rapide. Les fonctions de hachage les plus courantes sont MD5 et SHA. IHEC 2008~2009 E-Commerce Mme H.Jegham 44
    • Manière de créer une signature numérique Lors de l’envoi :  A la réception : le message reçu est signé.  Calculer la valeur de hachage  La signature est décryptée grâce à d’un message; la clé publique de l’expéditeur.  Crypter cette valeur par un  Une valeur de hachage est algorithme de cryptage par clé générée à partir du message, en publique. utilisant la même méthode que  La signature peut être ensuite celle de l’expéditeur. envoyée avec le message via  Si la valeur de hachage décryptée n’importe quelle méthode de correspond à la valeur de hachage transmission non sécurisée. décryptée, le message provient bien de l’expéditeur et n’a pas été modifié. IHEC 2008~2009 E-Commerce Mme H.Jegham 45
    • 11. Les certificats numériques Nous voulons nous assurer  de l’intégrité du message (qu’il n’a pas été modifié)  Et de la provenance des messages (c’est bel et bien l’utilisateur spécifique qui a envoyé les messages) Pour des transactions commerciales, on souhaiterait rattacher un utilisateur ou un serveur à une entité légale comme une personne ou une entreprise.  Un certificat numérique combine à la fois une clé publique et les détails concernant une organisation ou un particulier, tout cela dans un format signé numériquement. A partir d’un certificat vous possédez  la clé publique de l’entité avec laquelle vous traitez.  Vous connaissez également ses détails personnels, qui n’ont pas pu être modifiés.IHEC 2008~2009 E-Commerce Mme H.Jegham 46
    •  Les informations ont autant de valeur que la personne qui les a signées. Pour les transactions commerciales, il est souhaité qu’un organisme indépendant vérifie l’identité des participants et les détails qu’ils ont enregistrés dans leur certificat. Ces organismes sont appelés des autorités de certification. Elles délivrent des certifications numériques à des individus et à des personnes. Les deux autorités de certification les plus connues sont :  Verisign (http://www.verisign.com)  Et Thawte (http://www.thaxte.com) D’autres autorités sont moins connues et moins chères comme ( http://www.equifaxsecure.com)IHEC 2008~2009 E-Commerce Mme H.Jegham 47
    •  Ces autorités signent un certificat pour valider l’identité de leur propriétaire. Mais un certificat ne garantit pas la solvabilité de son propriétaire, ni ses bonnes intentions. En cas d’escroquerie vous pouvez déterminer l’adresse physique de la personne responsable. Les certificats créent une sorte de chaîne de confiance : si vous faites confiance à l’autorité de certification qui a émis un certificat, vous pourrez également faire confiance aux personnes auxquelles cette autorité fait confiance.IHEC 2008~2009 E-Commerce Mme H.Jegham 48
    •  Les certificats numériques servent à donner du respect envers un site de commerce électronique. Grâce à un certificat provenant d’une autorité de certification, les navigateurs web peuvent effectuer des connexions SSL vers votre site, sans afficher la boîte de dialogue d’avertissement. Les serveurs web qui autorisent les connexions SSL sont appelés des serveurs web sécurisés.IHEC 2008~2009 E-Commerce Mme H.Jegham 49
    • 12. Les serveurs web sécurisés Apache, Microsoft IIS ou tout autre serveur web commercial ou gratuit peuvent permettre de communiquer de manière sécurisée avec des navigateurs via SSL. Pour utiliser SSL avec IIS, il suffit d’installer IIS, de générer une paire de clés et d’installer le certificat. Pour utiliser SSL avec Apache il faut installer trois bibliothèques différentes : Apache, Mod_SSL, OpenSSL.IHEC 2008~2009 E-Commerce Mme H.Jegham 50
    • Processus d’obtention des certificats Prouver que vous êtes une entreprise reconnue légalement. Possédant une adresse physique. Et que votre entreprise possède le nom de domaine correspondant. Générer par votre serveur web une requête de signature de certificat (CSR)  le résultat est une requête de signature de certificat cryptéeIHEC 2008~2009 E-Commerce Mme H.Jegham 51
    • -----------BEGIN NEW CERTIFICATE REQUEST----------MIIBuwIBAAKBgQCLn1XX8faMHhtzStpwY6BVTPuEEn7Q1XnXw1s7xXbbuKP0-----------END NEW CERTIFICATE REQUEST-----------IHEC 2008~2009 E-Commerce Mme H.Jegham 52
    • Le CSR  Un chèque  Documentation qui prouve que vous existez  Preuve de correspondance du nom de domaine actuel à votre entreprise Sont les pièces nécessaires pour demander un certificat auprès d’une autorité de certification. Lorsque l’autorité délivre le certificat, il faudra  L’enregistrer sur votre système  Indiquer à votre serveur web l’endroit où il peut le trouver Le certificat final est un fichier texte semblable à la requête présentée en D53.IHEC 2008~2009 E-Commerce Mme H.Jegham 53
    • 13. La surveillance et les journaux Le système d’exploitation permet d’enregistrer toutes sortes d’événements. Du point de vue de la sécurité, les événements à prélever sont :  Les erreurs de réseaux.  Les accès à des fichiers de données particuliers  Comme les fichiers de configuration  ou la base de registre de windowsNT  Ou bien l’appel à des programmes permettant d’ouvrir une session sous le nom d’un utilisateur. Les fichiers journaux aident à détecter les erreurs et les comportements suspects. Peuvent aussi indiquer comment un problème ou une intrusion ont pu avoir lieu. Mais les journaux posent deux problèmes :  Leur taille  Et leur véracité.IHEC 2008~2009 E-Commerce Mme H.Jegham 54
    •  Si l’entreprise choisit d’enregistrer beaucoup d’informations dans les journaux leur taille s’accroîtra vite et il sera plus fastidieux de les examiner. L’entreprise pourra s’aider d’outils existants ou bien développer des scripts de surveillance, pour chercher les événements "intéressants“ dans les journaux. Malheureusement, les fichiers journaux sont les proies de choix pour les pirates. Si un intrus possède un accès administrateur sur le système de l’entreprise, il aura toute la liberté de s’approprier des fichiers journaux et effacer ses traces. L’administrateur devra effectuer des surveillances régulières. Mais l’entreprise peut aussi demander l’aide d’une société de surveillance externe pour vérifier le comportement de ses administrateurs.IHEC 2008~2009 E-Commerce Mme H.Jegham 55
    • 14. Les pare-feu ou firewalls Servent à séparer le réseau de l’entreprise (Intranet) du monde extérieur. En protégeant les ordinateurs de son réseau, des attaques provenant de l’extérieur. Il filtre et bloque le trafic qui ne remplit pas certaines conditions. Il restreint également l’activité de personnes et d’ordinateurs situés à l’extérieur. Les pare-feu sont  soit des périphériques matériels, comme des routeurs possédant des règles de filtrage.  Soit des programmes exécutés sur un ordinateurs. Les paquets peuvent être filtrer en fonction  de leur type,  de leur adresse source,  De leur adresse destination,  Ou de leur port.IHEC 2008~2009 E-Commerce Mme H.Jegham 56
    • 15. La sauvegarde des données Aucune compagnie d’assurance ne pourra remplacer le logiciel web que l’entreprise aura développé elle-même et qui vient de disparaître. L’entreprise doit sauvegarder tous les composants de son site web (les pages statiques, les scripts et les bases de données) La fréquence des sauvegarde dépend des modifications apportées au site. Les sites permettant aux clients d’effectuer des commandes en ligne, donc qui sont sensés être modifiés fréquemment doivent être sauvegardés régulièrement. La plupart des sites d’une certaine taille peuvent être hébergés sur un serveur RAID (Redundant Array of Inexpensive Disks), qui enregistre les information en plusieurs exemplaires sur les différents disque durs.IHEC 2008~2009 E-Commerce Mme H.Jegham 57
    • 16. La sécurité physique : Panne d’air conditionné, Les incendies, Les propres collaborateurs de l’entreprise maladroits ou réellement malintentionnées, Les coupures de courant, Et les pannes du réseau.IHEC 2008~2009 E-Commerce Mme H.Jegham 58
    • Solutions Local approprié Interdire l’accès à la salle des machines aux personnes non concernées. Les extincteurs automatiques peuvent être dangereux pour les matériels électroniques. Investir dans un onduleur pour une alimentation supplémentaire de 10mn. Pour plus de temps il faudra investir dans un équipement plus onéreux. Héberger son site chez plusieurs fournisseurs d’accès Internet permettra en cas de panne, une capacité réduite au site au lieu d’être totalement inaccessible. Regrouper ses ordinateurs avec ceux d’autres entreprises dans des locaux spécialisés.IHEC 2008~2009 E-Commerce Mme H.Jegham 59
    • FIN