La Sécurité dans la
Commerce électronique
Réalisé par :
Slama Mouna
PLAN
1. Définition du Commerce Electronique
2. Concepts de base
3. La sécurité des données
4. La sécurité des transactions...
1. DÉFINITION DU COMMERCE
ELECTRONIQUE
 Le commerce électronique décrit le processus
d’achat, de vente de biens et de ser...
2. CONCEPTS DE BASE
 La sécurité informatique est un ensemble de
tactiques retardant l’accès non autorisé à des
données.
...
2.1. LES SERVICES DE SÉCURITÉ
 Authentification : lors de l'envoi d'un message ou
lors de la connexion à un système, on c...
2.1. LES SERVICES DE SÉCURITÉ
(SUITE)
 Non-répudiation : assure qu’une personne ne
peut pas refuser d’avoir effectué une ...
2.2. LES MENACES CONTRE LE CE
Les menaces contre le CE sont :
 l’usurpation d’identité,
 l’interception de données,
 la...
2.3. LES MÉCANISMES DE SÉCURITÉ
 Les mécanismes de sécurité sont les moyens
techniques permettant d’assurer les services ...
2.3. LES MÉCANISMES DE SÉCURITÉ
(SUITE)
 Il est à noter qu’il existe trois niveaux de sécurité, de
données, de transactio...
3. LA SÉCURITÉ DES DONNÉES
 La cryptographie est la contribution la plus forte
dans le domaine de sécurité des données.
...
3.1. LA CRYPTOGRAPHIE
 Une méthode de cryptage et décryptage est
appelée un chiffrement.
 Généralement on a 2 fonctions ...
3.1.1. ALGORITHMES SYMÉTRIQUES
12
Cryptage symétrique
Cette méthode est la plus simple à comprendre : si un
expéditrice An...
3.1.2. ALGORITHMES ASYMÉTRIQUES
13
La propriété des algorithmes asymétriques est qu'un message codé
par une clé publique n...
2.1.3. ALGORITHMES HYBRIDES
En pratique, le cryptage asymétrique est utilisé
pour sécuriser et distribuer la clé de sessio...
3.1.3. ALGORITHMES HYBRIDES
(SUITE)
1. L’expéditeur génère une clé de session aléatoire, la
crype en utilisant la clé publ...
3.2. SIGNATURE DIGITALE
 Une signature digitale est un protocole qui
produit le même effet qu’une signature réelle.
Elle ...
3.2. SIGNATURE DIGITALE (SUITE)
Pour signer un message :
 L’émetteur utilise sa clé privée pour crypter le
message avec s...
3.2. SIGNATURE DIGITALE (SUITE)
Scénario de la signature digitale : (envoyer un message M)
1. L’émetteur crypte le message...
3.3. LE CERTIFICAT ÉLECTRONIQUE
 Dans une transaction électronique l’expéditeur d’un
message a besoin de s’assurer de la ...
3.3. LE CERTIFICAT ÉLECTRONIQUE
(SUITE)
Scénario du certificat électronique :
1. Pour obtenir ce certificat chaque entrepr...
3.3. LE CERTIFICAT ÉLECTRONIQUE
(SUITE)
4. L’organisme de certification publie le certificat
décodé sur son annuaire.
5. L...
4. LA SÉCURITÉ DES TRANSACTIONS
 La sécurité de transaction concerne trois services :
 L’authentification : le serveur e...
4.1. S-HTTP
L'HyperText Transfer Protocol, plus connu sous
l'abréviation HTTP — littéralement «
protocole de transfert hyp...
4.2. SSL
Transport Layer Security (TLS), anciennement
nommé Secure Sockets Layer (SSL), est un
protocole de sécurisation d...
4.2. SSL (SUITE)
 Il crypte les adresses IP d’où la confidentialité
de communication.
 Il crypte le numéro de port, donc...
4.3. SET
SET (Secure Electronic Transaction) est un
protocole de sécurisation des transactions
électroniques mis au point ...
4.3. SET (SUITE)
27
Lors d'une transaction sécurisée avec SET, les données
sont envoyées par le client au serveur du vende...
3.4. VPN
28
Le réseau privé virtuel (Virtual Private Network ) est vu comme
une extension des réseaux locaux et préserve l...
5. LA SÉCURITÉ DES RÉSEAUX
Il existe deux approches différentes :
 les moyens classiques.
 la nouvelle tendance.
29
5.1. LES MOYENS CLASSIQUE
Parmi les moyens Classiques de sécurité, on cite :
 Les réseaux privés:
 Services cachés. (par...
5.2 LA NOUVELLE TENDANCE
 Parmi les moyens nouveaux de sécurité, on cite :
 le serveur proxy.
 le firewall : logiciel e...
LE SERVEUR PROXY.
Les serveurs proxy remplissent deux fonctions
principales : amélioration des performances du
réseau et f...
LE SERVEUR PROXY (SUITE)
Si un utilisateur souhaite afficher de nouveau une
page Web déjà demandée, le serveur proxy lui
r...
FONCTIONNEMENT D'UN SERVEUR
PROXY
 Lors de l'utilisation d'un serveur proxy, les
ordinateurs du réseau local sont configu...
LE FIREWALL
35
Tout réseau connecté à Internet doit transmettre des communications à
travers un pare-feu. Un pare-feu repr...
FONCTIONNEMENT D'UN PARE-
FEU
Un pare-feu empêche toute communication directe
entre le réseau et des ordinateurs externes ...
MACHINE FIREWALL DÉDIÉE (SOFT)
C’est un machine configurée uniquement pour la
sécurité (appelée bastion).
• Les utilisateu...
MACHINE FIREWALL DÉDIÉE (SOFT)
(SUITE)
• il faut d’enlever tout fichier exécutable non
nécessaire surtout les programmes r...
PACKET SCREENING ROUTER
(HARD)
La fonction de base d’un routeur est la transmission
du paquet à la base des adresses ip so...
PACKET SCREENING ROUTER
(HARD)
 Les règles de filtrage sont difficiles à spécifier (il
existe différents besoins).
 Dès ...
6. CONCLUSION
Sécurité des échanges, confidentialité, authenticité sont les
garanties exigées dans le commerce électroniqu...
BIBLIOGRAPHIE
 http://www.murielle-cahen.com/publications/p_1securite.asp
 http://www.cairn.info/revue-economique-2004-4...
43
Prochain SlideShare
Chargement dans…5
×

la sécurité dans la commerce electronique

1 506 vues

Publié le

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 506
Sur SlideShare
0
Issues des intégrations
0
Intégrations
37
Actions
Partages
0
Téléchargements
82
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

la sécurité dans la commerce electronique

  1. 1. La Sécurité dans la Commerce électronique Réalisé par : Slama Mouna
  2. 2. PLAN 1. Définition du Commerce Electronique 2. Concepts de base 3. La sécurité des données 4. La sécurité des transactions 5. La sécurité des réseaux 6. Conclusion 2
  3. 3. 1. DÉFINITION DU COMMERCE ELECTRONIQUE  Le commerce électronique décrit le processus d’achat, de vente de biens et de services et d’échange d’informations par le biais de réseaux de communication y compris l’internet. 3
  4. 4. 2. CONCEPTS DE BASE  La sécurité informatique est un ensemble de tactiques retardant l’accès non autorisé à des données. Politique de sécurité : énumérer ce qui est autorisé exp : Le marchand veut vendre seulement pour les clients qu’il connait Services de sécurité : qu’est-ce qu’on garantie ? Mécanismes : par quels moyens on assure ces services 4
  5. 5. 2.1. LES SERVICES DE SÉCURITÉ  Authentification : lors de l'envoi d'un message ou lors de la connexion à un système, on connaît sûrement l'identité de l'émetteur ou l'identité de l'utilisateur qui s'est connecté.  Confidentialité : assure que seulement les personnes autorisées peuvent comprendre les données protégées. De plus, elle assure de cacher le fait qu’il y a une communication .  Intégrité : on a la garantie qu'un message expédié n'a pas été altéré, accidentellement ou intentionnellement. 5
  6. 6. 2.1. LES SERVICES DE SÉCURITÉ (SUITE)  Non-répudiation : assure qu’une personne ne peut pas refuser d’avoir effectué une opération sur des données, c.à.d l’émetteur ne peut pas nier sa responsabilité d’envoi du message.  Contrôle d’accès : le site marchand dispose des ressources aidant au bon fonctionnement de son application du e-commerce. Le contrôle d’accès assure que seulement des personnes autorisées peuvent accéder à des ressources protégées 6
  7. 7. 2.2. LES MENACES CONTRE LE CE Les menaces contre le CE sont :  l’usurpation d’identité,  l’interception de données,  la modification de données,  la répudiation et  l’accès non autorisé. 7
  8. 8. 2.3. LES MÉCANISMES DE SÉCURITÉ  Les mécanismes de sécurité sont les moyens techniques permettant d’assurer les services de sécurité. Parmi les mécanismes, nous citons :  la cryptographie  la signature digitale  le certificat électronique 8
  9. 9. 2.3. LES MÉCANISMES DE SÉCURITÉ (SUITE)  Il est à noter qu’il existe trois niveaux de sécurité, de données, de transactions et du réseau.  sécurité de données et des transactions : assurer la « privacy » et la confidentialité des messages électroniques et les paquets de données, ceci inclut le cryptage de données en utilisant diverses méthodes de cryptage.  sécurité client/serveur : assurer que uniquement les personnes permises accèdent aux ressources du réseau ou au contenu des serveurs web, ceci inclut la protection des mots de passe, l’utilisation de « encrypted smart cards » et firewalls. 9
  10. 10. 3. LA SÉCURITÉ DES DONNÉES  La cryptographie est la contribution la plus forte dans le domaine de sécurité des données.  D’autres mécanismes sont apparus mais ils se basent sur le principe de cryptage. 10
  11. 11. 3.1. LA CRYPTOGRAPHIE  Une méthode de cryptage et décryptage est appelée un chiffrement.  Généralement on a 2 fonctions liées : une pour crypter et l’autre pour décrypter.  Quelques méthodes de cryptage se basent sur des algorithmes secrets.  Tous les algorithmes modernes utilisent une clé pour contrôler le cryptage et le décryptage.  Il existe trois types d’algorithmes de cryptage : symétrique, asymétrique et hybride. 11
  12. 12. 3.1.1. ALGORITHMES SYMÉTRIQUES 12 Cryptage symétrique Cette méthode est la plus simple à comprendre : si un expéditrice Anne(A) veut envoyer un message chiffré à un destinataire Bob (B) elle doit lui communiquer un mot de passe (Clé).
  13. 13. 3.1.2. ALGORITHMES ASYMÉTRIQUES 13 La propriété des algorithmes asymétriques est qu'un message codé par une clé publique n'est lisible que par le propriétaire de la clé privée correspondante. A l'inverse, un message chiffré par la clé privé sera lisible par tous ceux qui possèdent la clé publique. Ainsi la clé privée d’Anne permet de prouver qu'elle est l'auteur d'un message, alors que sa clé publique préservera le contenu du message à destination d'Anne.
  14. 14. 2.1.3. ALGORITHMES HYBRIDES En pratique, le cryptage asymétrique est utilisé pour sécuriser et distribuer la clé de session. Cette clé est utilisée avec un cryptage symétrique pour la communication. 14
  15. 15. 3.1.3. ALGORITHMES HYBRIDES (SUITE) 1. L’expéditeur génère une clé de session aléatoire, la crype en utilisant la clé publique du receveur et l’envoie. 2. Le receveur décrypte le message avec sa clé privée pour retrouver la clé de session. 3. Les deux cryptent/décryptent leurs communications en utilisant la clé de session. 4. Les partenaires se mettent d’accord sur une nouvelle clé temporairement. 5. La clé est détruite à la fin de la session. 15
  16. 16. 3.2. SIGNATURE DIGITALE  Une signature digitale est un protocole qui produit le même effet qu’une signature réelle. Elle est une marque que seul l’expéditeur peut faire 16
  17. 17. 3.2. SIGNATURE DIGITALE (SUITE) Pour signer un message :  L’émetteur utilise sa clé privée pour crypter le message avec sa signature.  Le receveur peut vérifier la signature en utilisant la clé publique de l’émetteur.  Donc uniquement l’émetteur qui a pu signer le message puisque sa clé privée appartient à lui seulà authentification+non répudiation.  Le receveur sauvegarde le message et la signature pour toute vérification future. 17
  18. 18. 3.2. SIGNATURE DIGITALE (SUITE) Scénario de la signature digitale : (envoyer un message M) 1. L’émetteur crypte le message avec sa clé privée, il obtient la signature S. 2. Il crypte le couple (M,S) avec la clé publique du receveur, il obtient le message M1 à envoyer. 3. Il envoie le message M1. 4. Le receveur décrypte M1 avec sa clé privée pour obtenir le couple (M,S). 5. Il décrypte S avec la clé publique de l’émetteur pour obtenir un message M.  6. Le receveur compare le message M qu’il a reçu dans le couple (M,S) avec le message M qu’il a trouvé. S’ils sont égaux alors il accepte le message, sinon il le rejette. 18
  19. 19. 3.3. LE CERTIFICAT ÉLECTRONIQUE  Dans une transaction électronique l’expéditeur d’un message a besoin de s’assurer de la validité de l’identité réclamé par son destinataire par exemple un acheteur de CD sur internet doit vérifier qu’il a envoyé son virement électronique à un commerçant et non pas à un pirate qui aurait usurpé son identité. Afin de prouver leur identité aux acheteurs les commerçants utilisent un certificat numérique qui joue le rôle d’une pièce d’identité numérique. 19
  20. 20. 3.3. LE CERTIFICAT ÉLECTRONIQUE (SUITE) Scénario du certificat électronique : 1. Pour obtenir ce certificat chaque entreprise doit envoyer à une autorité decertification différentes informations lui concernant ( dénomination sociale, adresse, émail, activité , clé publique..) 2. Puis l’autorité de certification vérifie les informations fournies et ajoute au certificat son propre nom, une date limite de validité, et surtout une signature numérique. Le format des certificats est défini par le standard X509v3. 3. Le certificat numérique est signé par la clé privé de l’organisme de certification et remis au demandeur sous forme d’un fichier qu’il peut stocker dans le disque dur de son PC ou sur une carte à puce ou un USB. 20
  21. 21. 3.3. LE CERTIFICAT ÉLECTRONIQUE (SUITE) 4. L’organisme de certification publie le certificat décodé sur son annuaire. 5. Lorsque l’entreprise certifié souhaite prouver son identité à son destinataire, elle lui envoie son certificat. 6. Le destinataire déchiffre le certificat avec la clé public de l’organisme de certification et la compare avec la version disponible dans l’annuaire de CA lorsque l’expéditeur et le destinataire s’authentifient avec leurs certificats numériques ils peuvent communiquer avec des protocoles sécurisées tels que SSL (Secure sockets layer) et S –http. 21
  22. 22. 4. LA SÉCURITÉ DES TRANSACTIONS  La sécurité de transaction concerne trois services :  L’authentification : le serveur est confient de l’identifiant des clients qu’il communique avec. (méthode commune : login+pwd)  La privacy et la confidentialité : la conversation du client avec le serveur est privée. (méthode commune : cryptage)  L’intégrité du message : la conversation du client est non modifié. (cryptage puis signature digitale) 22
  23. 23. 4.1. S-HTTP L'HyperText Transfer Protocol, plus connu sous l'abréviation HTTP — littéralement « protocole de transfert hypertexte » — est un protocole de communication client-serveur développé pour le World Wide Web. HTTPS (avec S pour secured, soit « sécurisé ») est la variante du HTTP sécurisée par l'usage des protocoles SSL ou TLS. 23
  24. 24. 4.2. SSL Transport Layer Security (TLS), anciennement nommé Secure Sockets Layer (SSL), est un protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape (SSL version 2 et SSL version 3). Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS. SSL est utilisé au niveau session. 24
  25. 25. 4.2. SSL (SUITE)  Il crypte les adresses IP d’où la confidentialité de communication.  Il crypte le numéro de port, donc l’application en cours d’exécution est inconnue. Problème d’acheminement du paquet par les routeurs puisque l’adresse IP qu’il doit chercher dans sa table de routage est illisible.  la solution est de configuer les routeurs de façon qu’ils seront capables d’extraire l’adresse IP en clair (par décryptage). 25
  26. 26. 4.3. SET SET (Secure Electronic Transaction) est un protocole de sécurisation des transactions électroniques mis au point par Visa et MasterCard, et s'appuyant sur le standard SSL. SET est basé sur l'utilisation d'une signature électronique au niveau de l'acheteur et une transaction mettant en jeu non seulement l'acheteur et le vendeur, mais aussi leurs banques respectives. 26
  27. 27. 4.3. SET (SUITE) 27 Lors d'une transaction sécurisée avec SET, les données sont envoyées par le client au serveur du vendeur, mais ce dernier ne récupère que la commande. En effet, le numéro de carte bleue est envoyé directement à la banque du commerçant, qui va être en mesure de lire les coordonnées bancaires de l'acheteur, et donc de contacter sa banque afin de les vérifier en temps réel.
  28. 28. 3.4. VPN 28 Le réseau privé virtuel (Virtual Private Network ) est vu comme une extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Il correspond en fait à une interconnexion de réseaux locaux via une technique de « tunnel » (canal sécurisé gràace au chiffrement des messages). On parle de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure partagée avec d'autres organismes.
  29. 29. 5. LA SÉCURITÉ DES RÉSEAUX Il existe deux approches différentes :  les moyens classiques.  la nouvelle tendance. 29
  30. 30. 5.1. LES MOYENS CLASSIQUE Parmi les moyens Classiques de sécurité, on cite :  Les réseaux privés:  Services cachés. (par exemple nommer « ventes.html » au lieu de « index.html »)  Code d’accès et mots de passes.  La journalisation : Le concept d'historique des événements ou de logging désigne l'enregistrement séquentiel dans un fichier ou une base de données de tous les événements affectant un processus particulier 30
  31. 31. 5.2 LA NOUVELLE TENDANCE  Parmi les moyens nouveaux de sécurité, on cite :  le serveur proxy.  le firewall : logiciel et matériel 31
  32. 32. LE SERVEUR PROXY. Les serveurs proxy remplissent deux fonctions principales : amélioration des performances du réseau et filtrage des demandes des ordinateurs clients. • Amélioration des performances Les serveurs proxy réduisent le temps nécessaire pour répondre aux demandes émises par des groupes d'utilisateurs. En effet, un serveur proxy met en cache, ou enregistre, les résultats de toutes les demandes transmises pendant un laps de temps. 32
  33. 33. LE SERVEUR PROXY (SUITE) Si un utilisateur souhaite afficher de nouveau une page Web déjà demandée, le serveur proxy lui renvoie simplement cette page, au lieu de transférer sa demande au serveur Web et de télécharger la même page.  Filtrage des demandes des ordinateurs clients Les serveurs proxy permettent aussi de filtrer les demandes des ordinateurs clients pour certaines connexions à Internet. Par exemple, une entreprise peut utiliser un serveur proxy pour empêcher ses employés d'accéder à un ensemble particulier de sites Web. 33
  34. 34. FONCTIONNEMENT D'UN SERVEUR PROXY  Lors de l'utilisation d'un serveur proxy, les ordinateurs du réseau local sont configurés avec des adresses IP privées. Lorsqu'un ordinateur transmet une demande de connexion à Internet, il transmet ses données au serveur proxy par le biais du réseau TCP/IP. Le serveur proxy modifie la demande, insère ses propres nom et adresse IP, laquelle est fournie par le fournisseur de services Internet, puis envoie les données sur Internet. Lorsqu'une réponse à la demande est reçue, le serveur proxy la renvoie à l'ordinateur qui est à l'origine de la demande , par le biais du réseau local . Le proxy s’exécute à l’intranet, il connait les clients donc il peut les identifier grâce à une table d’habilitation définissant les droits d’accès des clients. 34
  35. 35. LE FIREWALL 35 Tout réseau connecté à Internet doit transmettre des communications à travers un pare-feu. Un pare-feu représente la combinaison d'éléments logiciels et matériels qui interdit l'accès non autorisé à un réseau interne à partir de l'extérieur. Tous les messages du réseau, en entrée ou en sortie, passent par le pare-feu, qui les examine et bloque ceux qui ne répondent pas aux critères de sécurité définis. Un pare-feu filtre le trafic qui ne doit pas passer d'Internet à votre réseau privé, par exemple des messages échangés entre deux ordinateurs sur votre réseau privé.
  36. 36. FONCTIONNEMENT D'UN PARE- FEU Un pare-feu empêche toute communication directe entre le réseau et des ordinateurs externes en routant les communications par l'intermédiaire d'un serveur proxy situé à l'extérieur du réseau. Le pare- feu détermine s'il n'est pas dangereux de laisser un fichier passer, vers ou depuis le réseau. Un pare-feu est appelé également passerelle de sécurité.Une passerelle est un système connecté à plusieurs réseaux TCP/IP physiques, et capable de router ou de remettre des paquets IP entre eux. Une passerelle assure la conversion entre des protocoles de transport ou des formats de données différents, par exemple IPX (Internetwork Packet eXchange) et IP. Elle est principalement ajoutée à un réseau pour ses capacités de conversion. 36
  37. 37. MACHINE FIREWALL DÉDIÉE (SOFT) C’est un machine configurée uniquement pour la sécurité (appelée bastion). • Les utilisateurs doivent se connecter sur des applications fiables sur le firewall avant toute autre connexion. • il faut garder seulement les comptes des utilisateurs qui sont responsables de la configuration du firewall. 37
  38. 38. MACHINE FIREWALL DÉDIÉE (SOFT) (SUITE) • il faut d’enlever tout fichier exécutable non nécessaire surtout les programmes réseaux tels que FTP, Telnet… (uniquement le firewall s’exécute) • Etendre « audit log » et monitoring pour vérifier les accès à distance grâce aux scénarios modélisant une attaque. • désactiver « ip forwarding » pour éviter que le firewall transfère des paquets non autorisés entre internet et intranet. 38
  39. 39. PACKET SCREENING ROUTER (HARD) La fonction de base d’un routeur est la transmission du paquet à la base des adresses ip source et destination en consultant sa table de routage. Exemple de règles de filtrages : • basé sur le protocole (TCP, UDP, ICMP) • basé sur l’adresse IP source • basé sur le N° de port destination (port 80 donc application Web).  Rapide car c’est du matériel programmé (exécution hard est plus rapide que l’exécution soft). 39
  40. 40. PACKET SCREENING ROUTER (HARD)  Les règles de filtrage sont difficiles à spécifier (il existe différents besoins).  Dès le début il faut spécifier presque la majorité des règles de filtrage d’où elles sont pré-programmées à l’achat. C’est pourquoi il est difficile de changer ces fonctionnalités.  Il peut être dupé (trompé) par un client qui comprend les règles de filtrage (par exp : il change le N° du port TCP).  Le routeur n’assure pas l’authentification car il ne connaît pas la personne plutôt la machine. Donc Ali peut se connecter de n’importe quelle machine du réseau et donc il peut tromper le routeur.  Coûte cher. 40
  41. 41. 6. CONCLUSION Sécurité des échanges, confidentialité, authenticité sont les garanties exigées dans le commerce électronique. Des dispositions ont donc été prises pour protéger au maximum les consommateurs et les commerçants contre les usurpations, les non-paiements, toutes les fraudes qui peuvent sévir sur Internet. Ces dispositions concernent plus particulièrement la sécurité des paiements, la protection des consommateurs mais également la signature sécurisée des contrats de commerce électronique. 41
  42. 42. BIBLIOGRAPHIE  http://www.murielle-cahen.com/publications/p_1securite.asp  http://www.cairn.info/revue-economique-2004-4-p-689.htm  http://www.clusif.fr/fr/production/ouvrages/pdf/SecuriteSite  http://www.clusif.fr/fr/production/ouvrages/pdf/SecuriteSite  http://www.journaldunet.com/0301/030116loicommerce.shtm 42
  43. 43. 43

×