SlideShare une entreprise Scribd logo

FRAUDE EN BOUTIQUE EN LIGNE COMBIEN VOULEZ-VOUS PAYER?

Flavio Shiga
Flavio Shiga

Les fraudes sur les boutiques en ligne, Combien voulez-vous payer? Imaginez si vous pouviez acheter une télé de dernière génération, le voyage de vos rêves ou un bijou avec une remise de 50%, 60% ou 70%.Actuellement plusieurs types de moyens de paiement, via smartphone (NFC) jusqu’au service de paiementde boutiques en ligne permettent de tels achats en apparence très alléchants. L’objectif de ma présentation aura notamment pour portée de vous présenter les résultats de mon étude, faisant état des multiples vulnérabilités (plus de 300 000) applicables aux services de paiement offerts par plusieurs boutiques en ligne du Brésil, des États-Unis, du Portugal, d’Australie et de l’Uruguay. Plus précisément j’aborderai dans ma présentation les éléments suivants: – La définition d’un service de paiement – L’intégration de la sécurité entre les applications (API) – Les principales méthodes d’attaques – La sécurité dans le nuage (Cloud Computing) – Les fraudes dans les boutiques en ligne – Les impacts des fraudes dans les boutiques en ligne

Technologie
1  sur  51
Télécharger pour lire hors ligne
FRAUDE EN BOUTIQUE EN LIGNE COMBIEN VOULEZ-VOUS PAYER? Flávio K. Shiga
2 • Responsable de services de la sécurité de l’information chez iBLISS • EXIN Spécialiste (Cyber Sécurité) • Professeur de Sécurité de l’ information depuis 5 ans • Consultant en TI/SI depuis 12 ans • Certifications: ISO/IEC 27001 LA, ISFS, ITIL, Cobit, MCSO et Cisco • Recherches de vulnérabilité et fraudes (Application WEB) • Quelques conférences: – Brésil: Roadsec, BHACK, H2HC, Mind the Sec et Cyber Security Meeting – Portugal: 5th Infosec Week & Cyber Bootcamp – Uruguay: OWASP LATAM Tour – Angola: 3ª CNSI (Conferência Nacional de Segurança Informática) –Canada: L'ASIQ - Association de la sécurité de l'information du Québec
• INTRODUCTION DE L’ETUDE • LE PAIEMENT EN LIGNE • LA SECURITE DE L’INTEGRATION ENTRE LES APPLICATIONS (API) • LES METHODES D’ATTAQUES • LA SECURITE DANS LE NUAGE (CLOUD COMPUTING) • LES FRAUDES DANS LES BOUTIQUES EN LIGNE • LES IMPACTS • LES REMARQUES CONTENU 3
4
De: $ 10.000,00 Pour: $ 5.000,00 Tahiti 30 jours
De: $ 10.000,00 Pour: $ 1.000,00
L’ETUDE
9 L’ETUDE MOYENS DE PAIEMENT Apple Pay Android Pay
30/11/2016 1212 L’ETUDE EVOLUTION DU COMMERCE ÉLECTRONIQUE MEXIQUE URUGUAY Fournisseurs de solutions de paiement QUÉBEC L’Indice du commerce électronique au QuébecComercio Electrónico en el UruguayEstudio Comercio Electrónico en México BRÉSIL 10,1% DISPOSITIVOS MÓVEIS 89,9% COMPUTADOR NOTEBOOK WEBSHOPPERS - 32ª edição
LE PAIEMENT EN LIGNE
Responsable de la transaction financière et la detection de la fraude Previent la transaction frauduleuse Il y a quelques services de paiement en ligne, avec integration sans un modèle défini, avec quelques comportements différents Il y a beaucoup de services de paiement en ligne dans le monde Les vulnérabilités ne sont pas documentées Il n'y a pas de source de vulnérabilités publiée LE PAIEMENT EN LIGNE
15 +300 Mille boutiques en ligne Impactées BRÉSIL URUGUAY PORTUGAL AUSTRALIE ÉTATS-UNIS LE PAIEMENT EN LIGNE
Boutique en ligneClient Paiement en ligne Institution financière Paiement sécurisé Subdivision Paiement approuvé LE PAIEMENT EN LIGNE
Faciliter la vente de produits sur Internet Pas besoin d'investir dans le développement des fonctions financières dans les boutiques en ligne Les boutiques en ligne ne sont pas responsables de la transaction financière, comme par exemple la rétrofacturation Les paiements en ligne sont responsable d’une partie de la conformité (par exemple PCI DSS) LE PAIEMENT EN LIGNE AVANTAGES
LA SÉCURITÉ DE L’INTÉGRATION ENTRE LES APPLICATIONS (API)
30/11/2016 19 API – Interface de programmation d'application L’INTÉGRATION ENTRE LES APPLICATIONS (API) QUE C’EST L’API?
30/11/2016 20 L’INTÉGRATION ENTRE LES APPLICATIONS (API) EXAMPLE
30/11/2016 21 L’INTÉGRATION ENTRE LES APPLICATIONS (API) EXAMPLES
IoT
MÉTHODES D’ATTAQUES
Boutique en ligne 1º Vous achetez le produit 2º Reçu de paiement autorisé envoyé Paiement en ligne MÉTHODES D’ATTAQUES TRANSACTION NORMALE
Boutique en ligne 1º Vous achetez le produit 2º Interceptions de la valeur en texte clair (U$D 119,00) 3º Vous envoyez la valeur modifiée U$D 19,00 4º Le paiement est autorisé et envoyé Paiement en ligne MÉTHODES D’ATTAQUES MÉTHODE 1 – INTERCEPTION COMMUNE
Boutique en ligne 1º Vous achetez le produit 2º Interceptions de la valeur en texte clair (U$D 219,00) 3º Vous envoyez la valeur modifiée U$D 19,00 4º Le paiement est autorisé et envoyé paiements en ligne MÉTHODES D’ATTAQUES MÉTHODE 1 – INTERCEPTION COMMUNE
Boutique en ligne 1º Vous achetez le produit 2º Interceptions de la valeur en texte clair (U$D 219,00) 3º Vous envoyez la valeur modifiée U$D 19,00 4º Le paiement est autorisé et envoyé paiements en ligne MÉTHODES D’ATTAQUES MÉTHODE 1 – INTERCEPTION COMMUNE
Boutique en ligne 1º Vous achetez le produit ODAsMDA= NTAsMDA= 2º Le paiement est autorisé et envoyé Base64 Paiement en ligne ODAsMDA= U$D 800,00 NTAsMDA= U$D 80,00 MÉTHODES D’ATTAQUES MÉTHODE 2 – INFORMATIONS CODÉES
Boutique en ligne 1º Vous achetez le produit Ff349593084f39 U$D 190,00 Ff349593084f39 U$D 19,00 2º Le paiement est autorisé et envoyé Paiement en ligne MÉTHODES D’ATTAQUES MÉTHODE 3 – INTÉGRATION VIA TOKEN
Boutique en ligne 1º Vous achetez le produit Ff349593084f39 U$D 290,00 Ff349593084f39 U$D 29,00 2º Le paiement est autorisé et envoyé paiements en ligne MÉTHODES D’ATTAQUES MÉTHODE 3 – INTÉGRATION VIA TOKEN
Paiement en ligne 1º Vous achetez le produit Boutique en ligne Boutique en ligne Boutique en ligneBoutique en ligne Boutique en ligne MÉTHODES D’ATTAQUES MÉTHODE 4 – API NON VULNÉRABLE $800,00 $80,00 $80,00
Boutique en ligne avec API vulnérable Paiement en ligne Boutique en ligne sans API vulnérable $ 80,00 MÉTHODES D’ATTAQUES $ 800,00
boutique en ligne avec API vulnérable paiements en ligne boutique en ligne sans API vulnérable $U 800,00 $U 80,00 Boutique en ligne – SANS API VULNÉRABLE Boutique en ligne – AVEC API VULNÉRABLE MÉTHODES D’ATTAQUES
30/11/2016 34 Cheval de Troie COMMENT RESTENT LES INTÉGRATIONS ENTRE LES BOUTIQUES EN LIGNE ET LES PAIEMENTS EN LIGNE?
LA SECURITE DANS LE NUAGE (CLOUD COMPUTING)
En 2020, 30% de vos relations avec les fabricants de technologies changeront pour le nuage
CLOUD COMPUTING 37 • Les paiements en ligne • Solution Cloud Computing • Les vulnérabilités du paiement en ligne, tels que l’identification, la correction et la gestion des vulnérabilités, influent sur la boutique en ligne. Les boutiques en ligne dependent 100% du paiement en ligne Le paiement en ligne va-t-il corriger les vulnérabilités?
Boutique en ligne Paiement en ligne Canada CLOUD COMPUTING
LES FRAUDES DANS LES BOUTIQUES EN LIGNE
30/11/2016 40 FRAUDES DANS LES BOUTIQUES EN LIGNE LES PRINCIPALES CONSIDÉRATIONS L'existence des boutiques en ligne vulnérables Le manque des contrôles de sécurité / fraude Une facilité dans la réalisation de la fraude Réduction de l'exposition des criminels
30/11/2016 41 FRAUDES DANS LES BOUTIQUES EN LIGNE CYCLE DE VIE Petites Boutiques en ligne Moyennes / Grandes Boutiques en ligne Les produits sont achetés sans aucun lien logique entre eux et dans un court espace de temps Achats de produits de revente facile
POURQUOI EST-IL POSSIBLE D’EFFECTUER CETTE FRAUDE?
POURQUOI EST-IL POSSIBLE D’EFFECTUER CETTE FRAUDE? Fragilité de l'authentification et de l'autorisation de la boutique en ligne avec le paiement en ligne Permet la manipulation de l'information dans le navigateur du client Difficile à identifier l’attaque, aucune invasion n‘est effectué, seulement les valeurs sont modifiée. Le processus est boiteux, la plupart des boutiques en ligne n’éxamine pas le montant payé ou effectue cette validation après la livraison du produit.
LA BOUTIQUE EN LIGNE VALIDE LA VALEUR DU PRODUIT PAYÉ PAR LE CLIENT?
QUI VÉRIFIE SI LA VALEUR DU PRODUIT À LA CAISSE EST LA MÊME DE L’ETAGERE?
IMPACTS
48 TítuloIMPACTS 48 IMAGE JURIDIQUE FINANCIER
REMARQUES
REMARQUES 50 Paiements en ligne Il faut contrôler les versions de l’API utilisées dans les boutiques en ligne des clients et effectuer des tests périodiques d’invasion Boutiques en ligne Il faut maintenir l’API d'intégration externe mise à jour Boutique en ligne Le departement de Logistique doit vérifier le montant payé par le client avant la livraison du produit Paiements en ligne Il faut implêmenter des contrôles d’authentification et d'autorisation sécurisées dans la communication avec les boutiques en ligne
Flávio K. Shiga Merci beaucoup! www.linkedin.com/in/fshiga Flavio.shiga@ibliss.com.br www.ibliss.com.br

Recommandé

Sécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerceSécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerceWoomeet
 
E commerce : panorama, commerce social et tendances futures
E commerce : panorama, commerce social et tendances futuresE commerce : panorama, commerce social et tendances futures
E commerce : panorama, commerce social et tendances futuresSamir SIRAT
 
Performance tourisme
Performance tourismePerformance tourisme
Performance tourismeIlle & Vilaine Tourisme
 
Atelier B4 vrai-faux-reseaux-sociaux-matthieu-dixte-lmyr
Atelier B4 vrai-faux-reseaux-sociaux-matthieu-dixte-lmyrAtelier B4 vrai-faux-reseaux-sociaux-matthieu-dixte-lmyr
Atelier B4 vrai-faux-reseaux-sociaux-matthieu-dixte-lmyrIlle & Vilaine Tourisme
 
Atelier A1 top et flop - mobizel
Atelier A1 top et flop - mobizelAtelier A1 top et flop - mobizel
Atelier A1 top et flop - mobizelIlle & Vilaine Tourisme
 
2011 03 24 Paiements en ligne by competitic
2011 03 24 Paiements en ligne by competitic2011 03 24 Paiements en ligne by competitic
2011 03 24 Paiements en ligne by competiticCOMPETITIC
 
Atelier B2 performance d'un site web - redpoint
Atelier B2 performance d'un site web - redpointAtelier B2 performance d'un site web - redpoint
Atelier B2 performance d'un site web - redpointIlle & Vilaine Tourisme
 
Intelligence marketing, Big data, CRM et n.0 par J-P Aimetti
Intelligence marketing, Big data, CRM et n.0 par J-P AimettiIntelligence marketing, Big data, CRM et n.0 par J-P Aimetti
Intelligence marketing, Big data, CRM et n.0 par J-P AimettiLACT
 

Recommandé

Sécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerceSécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerceWoomeet
 
E commerce : panorama, commerce social et tendances futures
E commerce : panorama, commerce social et tendances futuresE commerce : panorama, commerce social et tendances futures
E commerce : panorama, commerce social et tendances futuresSamir SIRAT
 
Performance tourisme
Performance tourismePerformance tourisme
Performance tourismeIlle & Vilaine Tourisme
 
Atelier B4 vrai-faux-reseaux-sociaux-matthieu-dixte-lmyr
Atelier B4 vrai-faux-reseaux-sociaux-matthieu-dixte-lmyrAtelier B4 vrai-faux-reseaux-sociaux-matthieu-dixte-lmyr
Atelier B4 vrai-faux-reseaux-sociaux-matthieu-dixte-lmyrIlle & Vilaine Tourisme
 
Atelier A1 top et flop - mobizel
Atelier A1 top et flop - mobizelAtelier A1 top et flop - mobizel
Atelier A1 top et flop - mobizelIlle & Vilaine Tourisme
 
2011 03 24 Paiements en ligne by competitic
2011 03 24 Paiements en ligne by competitic2011 03 24 Paiements en ligne by competitic
2011 03 24 Paiements en ligne by competiticCOMPETITIC
 
Atelier B2 performance d'un site web - redpoint
Atelier B2 performance d'un site web - redpointAtelier B2 performance d'un site web - redpoint
Atelier B2 performance d'un site web - redpointIlle & Vilaine Tourisme
 
Intelligence marketing, Big data, CRM et n.0 par J-P Aimetti
Intelligence marketing, Big data, CRM et n.0 par J-P AimettiIntelligence marketing, Big data, CRM et n.0 par J-P Aimetti
Intelligence marketing, Big data, CRM et n.0 par J-P AimettiLACT
 
Diagnostic des sites web e-commerce affiliés au seul prestataire de payement ...
Diagnostic des sites web e-commerce affiliés au seul prestataire de payement ...Diagnostic des sites web e-commerce affiliés au seul prestataire de payement ...
Diagnostic des sites web e-commerce affiliés au seul prestataire de payement ...Made In Morocco
 
Atelier A3 - De l’ergonomie web à l’expérience utilisateur - Mediaveille
Atelier A3 - De l’ergonomie web à l’expérience utilisateur - MediaveilleAtelier A3 - De l’ergonomie web à l’expérience utilisateur - Mediaveille
Atelier A3 - De l’ergonomie web à l’expérience utilisateur - MediaveilleIlle & Vilaine Tourisme
 
Internet et commerce électronique
Internet et commerce électroniqueInternet et commerce électronique
Internet et commerce électroniqueVioleta Roxin
 
Guide du promoteur de projet de commerce électronique en Tunisie 2014
Guide du promoteur de projet de commerce électronique en Tunisie 2014Guide du promoteur de projet de commerce électronique en Tunisie 2014
Guide du promoteur de projet de commerce électronique en Tunisie 2014MBM Tunisie
 
Commerce électronique en tunisie
Commerce électronique en tunisieCommerce électronique en tunisie
Commerce électronique en tunisieYoussefGL
 
Atelier B1 clés du succès pour réussir stratégie web - mediaveille
Atelier B1 clés du succès pour réussir stratégie web - mediaveilleAtelier B1 clés du succès pour réussir stratégie web - mediaveille
Atelier B1 clés du succès pour réussir stratégie web - mediaveilleIlle & Vilaine Tourisme
 
Veille prospective - L'évolution des moyens de paiement
Veille prospective - L'évolution des moyens de paiementVeille prospective - L'évolution des moyens de paiement
Veille prospective - L'évolution des moyens de paiementEmmanuelle Burel
 
Encaisser En Ligne
Encaisser En LigneEncaisser En Ligne
Encaisser En LigneRetis be
 
Les moyens de paiement en ligne et dans la vie quotidienne - Décembre 2013 - ...
Les moyens de paiement en ligne et dans la vie quotidienne - Décembre 2013 - ...Les moyens de paiement en ligne et dans la vie quotidienne - Décembre 2013 - ...
Les moyens de paiement en ligne et dans la vie quotidienne - Décembre 2013 - ...Romain Fonnier
 
Figurez-vous que c'est possible de voyager en Europe avec une remise de 60, 7...
Figurez-vous que c'est possible de voyager en Europe avec une remise de 60, 7...Figurez-vous que c'est possible de voyager en Europe avec une remise de 60, 7...
Figurez-vous que c'est possible de voyager en Europe avec une remise de 60, 7...Flavio Shiga
 
e-commerce et sécurié
e-commerce et sécuriée-commerce et sécurié
e-commerce et sécuriéBrahim Belghmi
 
Barcamp paiement sécurisé
Barcamp paiement sécuriséBarcamp paiement sécurisé
Barcamp paiement sécuriséGEnetvision
 
initiation a l'economie 2.0
initiation a l'economie 2.0initiation a l'economie 2.0
initiation a l'economie 2.0Jean Louis Basquin
 
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...Paysite-cash France
 
powerpoint de la séance1.2 E-commerce and Internet Marketing
powerpoint de la séance1.2 E-commerce and Internet Marketingpowerpoint de la séance1.2 E-commerce and Internet Marketing
powerpoint de la séance1.2 E-commerce and Internet Marketingsciafrique
 
CCC-ConneCtion spécial paiement en partenariat avec BPFT, le 10 octobre 2016 ...
CCC-ConneCtion spécial paiement en partenariat avec BPFT, le 10 octobre 2016 ...CCC-ConneCtion spécial paiement en partenariat avec BPFT, le 10 octobre 2016 ...
CCC-ConneCtion spécial paiement en partenariat avec BPFT, le 10 octobre 2016 ...Eric Culnaert
 
Percer sur le e-commerce en Asie - Conférence au Salon du e-commerce, Paris
Percer sur le e-commerce en Asie - Conférence au Salon du e-commerce, ParisPercer sur le e-commerce en Asie - Conférence au Salon du e-commerce, Paris
Percer sur le e-commerce en Asie - Conférence au Salon du e-commerce, ParisNTTE_France
 
Conférence HiPay sur "Le paiement à l'international" - eCommerce Paris 2014
Conférence HiPay sur "Le paiement à l'international" - eCommerce Paris 2014Conférence HiPay sur "Le paiement à l'international" - eCommerce Paris 2014
Conférence HiPay sur "Le paiement à l'international" - eCommerce Paris 2014iruf
 
SAFE AUCTION PPT.pptx
SAFE AUCTION PPT.pptxSAFE AUCTION PPT.pptx
SAFE AUCTION PPT.pptxFofanaMamadou8
 
Guide e commerce
Guide e commerceGuide e commerce
Guide e commerceKhabbab HADHRI
 
French_iSignthis Brochures
French_iSignthis BrochuresFrench_iSignthis Brochures
French_iSignthis BrochuresJohn Karantzis
 
Les nouvelles solutions e-commerce régionales
Les nouvelles solutions e-commerce régionalesLes nouvelles solutions e-commerce régionales
Les nouvelles solutions e-commerce régionalesJean-François Viguier
 

Contenu connexe

Tendances

Diagnostic des sites web e-commerce affiliés au seul prestataire de payement ...
Diagnostic des sites web e-commerce affiliés au seul prestataire de payement ...Diagnostic des sites web e-commerce affiliés au seul prestataire de payement ...
Diagnostic des sites web e-commerce affiliés au seul prestataire de payement ...Made In Morocco
 
Atelier A3 - De l’ergonomie web à l’expérience utilisateur - Mediaveille
Atelier A3 - De l’ergonomie web à l’expérience utilisateur - MediaveilleAtelier A3 - De l’ergonomie web à l’expérience utilisateur - Mediaveille
Atelier A3 - De l’ergonomie web à l’expérience utilisateur - MediaveilleIlle & Vilaine Tourisme
 
Internet et commerce électronique
Internet et commerce électroniqueInternet et commerce électronique
Internet et commerce électroniqueVioleta Roxin
 
Guide du promoteur de projet de commerce électronique en Tunisie 2014
Guide du promoteur de projet de commerce électronique en Tunisie 2014Guide du promoteur de projet de commerce électronique en Tunisie 2014
Guide du promoteur de projet de commerce électronique en Tunisie 2014MBM Tunisie
 
Commerce électronique en tunisie
Commerce électronique en tunisieCommerce électronique en tunisie
Commerce électronique en tunisieYoussefGL
 
Atelier B1 clés du succès pour réussir stratégie web - mediaveille
Atelier B1 clés du succès pour réussir stratégie web - mediaveilleAtelier B1 clés du succès pour réussir stratégie web - mediaveille
Atelier B1 clés du succès pour réussir stratégie web - mediaveilleIlle & Vilaine Tourisme
 
Veille prospective - L'évolution des moyens de paiement
Veille prospective - L'évolution des moyens de paiementVeille prospective - L'évolution des moyens de paiement
Veille prospective - L'évolution des moyens de paiementEmmanuelle Burel
 
Encaisser En Ligne
Encaisser En LigneEncaisser En Ligne
Encaisser En LigneRetis be
 
Les moyens de paiement en ligne et dans la vie quotidienne - Décembre 2013 - ...
Les moyens de paiement en ligne et dans la vie quotidienne - Décembre 2013 - ...Les moyens de paiement en ligne et dans la vie quotidienne - Décembre 2013 - ...
Les moyens de paiement en ligne et dans la vie quotidienne - Décembre 2013 - ...Romain Fonnier
 

Tendances (9)

Diagnostic des sites web e-commerce affiliés au seul prestataire de payement ...
Diagnostic des sites web e-commerce affiliés au seul prestataire de payement ...Diagnostic des sites web e-commerce affiliés au seul prestataire de payement ...
Diagnostic des sites web e-commerce affiliés au seul prestataire de payement ...
 
Atelier A3 - De l’ergonomie web à l’expérience utilisateur - Mediaveille
Atelier A3 - De l’ergonomie web à l’expérience utilisateur - MediaveilleAtelier A3 - De l’ergonomie web à l’expérience utilisateur - Mediaveille
Atelier A3 - De l’ergonomie web à l’expérience utilisateur - Mediaveille
 
Internet et commerce électronique
Internet et commerce électroniqueInternet et commerce électronique
Internet et commerce électronique
 
Guide du promoteur de projet de commerce électronique en Tunisie 2014
Guide du promoteur de projet de commerce électronique en Tunisie 2014Guide du promoteur de projet de commerce électronique en Tunisie 2014
Guide du promoteur de projet de commerce électronique en Tunisie 2014
 
Commerce électronique en tunisie
Commerce électronique en tunisieCommerce électronique en tunisie
Commerce électronique en tunisie
 
Atelier B1 clés du succès pour réussir stratégie web - mediaveille
Atelier B1 clés du succès pour réussir stratégie web - mediaveilleAtelier B1 clés du succès pour réussir stratégie web - mediaveille
Atelier B1 clés du succès pour réussir stratégie web - mediaveille
 
Veille prospective - L'évolution des moyens de paiement
Veille prospective - L'évolution des moyens de paiementVeille prospective - L'évolution des moyens de paiement
Veille prospective - L'évolution des moyens de paiement
 
Encaisser En Ligne
Encaisser En LigneEncaisser En Ligne
Encaisser En Ligne
 
Les moyens de paiement en ligne et dans la vie quotidienne - Décembre 2013 - ...
Les moyens de paiement en ligne et dans la vie quotidienne - Décembre 2013 - ...Les moyens de paiement en ligne et dans la vie quotidienne - Décembre 2013 - ...
Les moyens de paiement en ligne et dans la vie quotidienne - Décembre 2013 - ...
 

Similaire à FRAUDE EN BOUTIQUE EN LIGNE COMBIEN VOULEZ-VOUS PAYER?

Figurez-vous que c'est possible de voyager en Europe avec une remise de 60, 7...
Figurez-vous que c'est possible de voyager en Europe avec une remise de 60, 7...Figurez-vous que c'est possible de voyager en Europe avec une remise de 60, 7...
Figurez-vous que c'est possible de voyager en Europe avec une remise de 60, 7...Flavio Shiga
 
e-commerce et sécurié
e-commerce et sécuriée-commerce et sécurié
e-commerce et sécuriéBrahim Belghmi
 
Barcamp paiement sécurisé
Barcamp paiement sécuriséBarcamp paiement sécurisé
Barcamp paiement sécuriséGEnetvision
 
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...Paysite-cash France
 
powerpoint de la séance1.2 E-commerce and Internet Marketing
powerpoint de la séance1.2 E-commerce and Internet Marketingpowerpoint de la séance1.2 E-commerce and Internet Marketing
powerpoint de la séance1.2 E-commerce and Internet Marketingsciafrique
 
CCC-ConneCtion spécial paiement en partenariat avec BPFT, le 10 octobre 2016 ...
CCC-ConneCtion spécial paiement en partenariat avec BPFT, le 10 octobre 2016 ...CCC-ConneCtion spécial paiement en partenariat avec BPFT, le 10 octobre 2016 ...
CCC-ConneCtion spécial paiement en partenariat avec BPFT, le 10 octobre 2016 ...Eric Culnaert
 
Percer sur le e-commerce en Asie - Conférence au Salon du e-commerce, Paris
Percer sur le e-commerce en Asie - Conférence au Salon du e-commerce, ParisPercer sur le e-commerce en Asie - Conférence au Salon du e-commerce, Paris
Percer sur le e-commerce en Asie - Conférence au Salon du e-commerce, ParisNTTE_France
 
Conférence HiPay sur "Le paiement à l'international" - eCommerce Paris 2014
Conférence HiPay sur "Le paiement à l'international" - eCommerce Paris 2014Conférence HiPay sur "Le paiement à l'international" - eCommerce Paris 2014
Conférence HiPay sur "Le paiement à l'international" - eCommerce Paris 2014iruf
 
French_iSignthis Brochures
French_iSignthis BrochuresFrench_iSignthis Brochures
French_iSignthis BrochuresJohn Karantzis
 
Les nouvelles solutions e-commerce régionales
Les nouvelles solutions e-commerce régionalesLes nouvelles solutions e-commerce régionales
Les nouvelles solutions e-commerce régionalesJean-François Viguier
 
Atelier Credit Agricole salon Clickandshop 2018
Atelier Credit Agricole salon Clickandshop 2018Atelier Credit Agricole salon Clickandshop 2018
Atelier Credit Agricole salon Clickandshop 2018Brigitte Marandon
 
Pg510 cybs french_fr_v3f
Pg510 cybs french_fr_v3fPg510 cybs french_fr_v3f
Pg510 cybs french_fr_v3fmariusmez
 
Encaisser en ligne - e-paiement
Encaisser en ligne - e-paiementEncaisser en ligne - e-paiement
Encaisser en ligne - e-paiementRetis be
 
Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?GOTIC CI
 
Conference Welcom Crédit Agricole
Conference Welcom Crédit AgricoleConference Welcom Crédit Agricole
Conference Welcom Crédit AgricoleBrigitte Marandon
 

Similaire à FRAUDE EN BOUTIQUE EN LIGNE COMBIEN VOULEZ-VOUS PAYER? (20)

Figurez-vous que c'est possible de voyager en Europe avec une remise de 60, 7...
Figurez-vous que c'est possible de voyager en Europe avec une remise de 60, 7...Figurez-vous que c'est possible de voyager en Europe avec une remise de 60, 7...
Figurez-vous que c'est possible de voyager en Europe avec une remise de 60, 7...
 
e-commerce et sécurié
e-commerce et sécuriée-commerce et sécurié
e-commerce et sécurié
 
Barcamp paiement sécurisé
Barcamp paiement sécuriséBarcamp paiement sécurisé
Barcamp paiement sécurisé
 
initiation a l'economie 2.0
initiation a l'economie 2.0initiation a l'economie 2.0
initiation a l'economie 2.0
 
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
 
powerpoint de la séance1.2 E-commerce and Internet Marketing
powerpoint de la séance1.2 E-commerce and Internet Marketingpowerpoint de la séance1.2 E-commerce and Internet Marketing
powerpoint de la séance1.2 E-commerce and Internet Marketing
 
CCC-ConneCtion spécial paiement en partenariat avec BPFT, le 10 octobre 2016 ...
CCC-ConneCtion spécial paiement en partenariat avec BPFT, le 10 octobre 2016 ...CCC-ConneCtion spécial paiement en partenariat avec BPFT, le 10 octobre 2016 ...
CCC-ConneCtion spécial paiement en partenariat avec BPFT, le 10 octobre 2016 ...
 
Percer sur le e-commerce en Asie - Conférence au Salon du e-commerce, Paris
Percer sur le e-commerce en Asie - Conférence au Salon du e-commerce, ParisPercer sur le e-commerce en Asie - Conférence au Salon du e-commerce, Paris
Percer sur le e-commerce en Asie - Conférence au Salon du e-commerce, Paris
 
Conférence HiPay sur "Le paiement à l'international" - eCommerce Paris 2014
Conférence HiPay sur "Le paiement à l'international" - eCommerce Paris 2014Conférence HiPay sur "Le paiement à l'international" - eCommerce Paris 2014
Conférence HiPay sur "Le paiement à l'international" - eCommerce Paris 2014
 
SAFE AUCTION PPT.pptx
SAFE AUCTION PPT.pptxSAFE AUCTION PPT.pptx
SAFE AUCTION PPT.pptx
 
Guide e commerce
Guide e commerceGuide e commerce
Guide e commerce
 
French_iSignthis Brochures
French_iSignthis BrochuresFrench_iSignthis Brochures
French_iSignthis Brochures
 
Les nouvelles solutions e-commerce régionales
Les nouvelles solutions e-commerce régionalesLes nouvelles solutions e-commerce régionales
Les nouvelles solutions e-commerce régionales
 
E commerce
E commerceE commerce
E commerce
 
Atelier Credit Agricole salon Clickandshop 2018
Atelier Credit Agricole salon Clickandshop 2018Atelier Credit Agricole salon Clickandshop 2018
Atelier Credit Agricole salon Clickandshop 2018
 
Pg510 cybs french_fr_v3f
Pg510 cybs french_fr_v3fPg510 cybs french_fr_v3f
Pg510 cybs french_fr_v3f
 
Encaisser en ligne - e-paiement
Encaisser en ligne - e-paiementEncaisser en ligne - e-paiement
Encaisser en ligne - e-paiement
 
Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?
 
Conference Welcom Crédit Agricole
Conference Welcom Crédit AgricoleConference Welcom Crédit Agricole
Conference Welcom Crédit Agricole
 
Paiement en ligne
Paiement en lignePaiement en ligne
Paiement en ligne
 

FRAUDE EN BOUTIQUE EN LIGNE COMBIEN VOULEZ-VOUS PAYER?

  • 1. FRAUDE EN BOUTIQUE EN LIGNE COMBIEN VOULEZ-VOUS PAYER? Flávio K. Shiga
  • 2. 2 • Responsable de services de la sécurité de l’information chez iBLISS • EXIN Spécialiste (Cyber Sécurité) • Professeur de Sécurité de l’ information depuis 5 ans • Consultant en TI/SI depuis 12 ans • Certifications: ISO/IEC 27001 LA, ISFS, ITIL, Cobit, MCSO et Cisco • Recherches de vulnérabilité et fraudes (Application WEB) • Quelques conférences: – Brésil: Roadsec, BHACK, H2HC, Mind the Sec et Cyber Security Meeting – Portugal: 5th Infosec Week & Cyber Bootcamp – Uruguay: OWASP LATAM Tour – Angola: 3ª CNSI (Conferência Nacional de Segurança Informática) –Canada: L'ASIQ - Association de la sécurité de l'information du Québec
  • 3. • INTRODUCTION DE L’ETUDE • LE PAIEMENT EN LIGNE • LA SECURITE DE L’INTEGRATION ENTRE LES APPLICATIONS (API) • LES METHODES D’ATTAQUES • LA SECURITE DANS LE NUAGE (CLOUD COMPUTING) • LES FRAUDES DANS LES BOUTIQUES EN LIGNE • LES IMPACTS • LES REMARQUES CONTENU 3
  • 4. 4
  • 5.
  • 6. De: $ 10.000,00 Pour: $ 5.000,00 Tahiti 30 jours
  • 10.
  • 11.
  • 12. 30/11/2016 1212 L’ETUDE EVOLUTION DU COMMERCE ÉLECTRONIQUE MEXIQUE URUGUAY Fournisseurs de solutions de paiement QUÉBEC L’Indice du commerce électronique au QuébecComercio Electrónico en el UruguayEstudio Comercio Electrónico en México BRÉSIL 10,1% DISPOSITIVOS MÓVEIS 89,9% COMPUTADOR NOTEBOOK WEBSHOPPERS - 32ª edição
  • 13. LE PAIEMENT EN LIGNE
  • 14. Responsable de la transaction financière et la detection de la fraude Previent la transaction frauduleuse Il y a quelques services de paiement en ligne, avec integration sans un modèle défini, avec quelques comportements différents Il y a beaucoup de services de paiement en ligne dans le monde Les vulnérabilités ne sont pas documentées Il n'y a pas de source de vulnérabilités publiée LE PAIEMENT EN LIGNE
  • 15. 15 +300 Mille boutiques en ligne Impactées BRÉSIL URUGUAY PORTUGAL AUSTRALIE ÉTATS-UNIS LE PAIEMENT EN LIGNE
  • 16. Boutique en ligneClient Paiement en ligne Institution financière Paiement sécurisé Subdivision Paiement approuvé LE PAIEMENT EN LIGNE
  • 17. Faciliter la vente de produits sur Internet Pas besoin d'investir dans le développement des fonctions financières dans les boutiques en ligne Les boutiques en ligne ne sont pas responsables de la transaction financière, comme par exemple la rétrofacturation Les paiements en ligne sont responsable d’une partie de la conformité (par exemple PCI DSS) LE PAIEMENT EN LIGNE AVANTAGES
  • 18. LA SÉCURITÉ DE L’INTÉGRATION ENTRE LES APPLICATIONS (API)
  • 19. 30/11/2016 19 API – Interface de programmation d'application L’INTÉGRATION ENTRE LES APPLICATIONS (API) QUE C’EST L’API?
  • 20. 30/11/2016 20 L’INTÉGRATION ENTRE LES APPLICATIONS (API) EXAMPLE
  • 21. 30/11/2016 21 L’INTÉGRATION ENTRE LES APPLICATIONS (API) EXAMPLES
  • 22. IoT
  • 24. Boutique en ligne 1º Vous achetez le produit 2º Reçu de paiement autorisé envoyé Paiement en ligne MÉTHODES D’ATTAQUES TRANSACTION NORMALE
  • 25. Boutique en ligne 1º Vous achetez le produit 2º Interceptions de la valeur en texte clair (U$D 119,00) 3º Vous envoyez la valeur modifiée U$D 19,00 4º Le paiement est autorisé et envoyé Paiement en ligne MÉTHODES D’ATTAQUES MÉTHODE 1 – INTERCEPTION COMMUNE
  • 26. Boutique en ligne 1º Vous achetez le produit 2º Interceptions de la valeur en texte clair (U$D 219,00) 3º Vous envoyez la valeur modifiée U$D 19,00 4º Le paiement est autorisé et envoyé paiements en ligne MÉTHODES D’ATTAQUES MÉTHODE 1 – INTERCEPTION COMMUNE
  • 27. Boutique en ligne 1º Vous achetez le produit 2º Interceptions de la valeur en texte clair (U$D 219,00) 3º Vous envoyez la valeur modifiée U$D 19,00 4º Le paiement est autorisé et envoyé paiements en ligne MÉTHODES D’ATTAQUES MÉTHODE 1 – INTERCEPTION COMMUNE
  • 28. Boutique en ligne 1º Vous achetez le produit ODAsMDA= NTAsMDA= 2º Le paiement est autorisé et envoyé Base64 Paiement en ligne ODAsMDA= U$D 800,00 NTAsMDA= U$D 80,00 MÉTHODES D’ATTAQUES MÉTHODE 2 – INFORMATIONS CODÉES
  • 29. Boutique en ligne 1º Vous achetez le produit Ff349593084f39 U$D 190,00 Ff349593084f39 U$D 19,00 2º Le paiement est autorisé et envoyé Paiement en ligne MÉTHODES D’ATTAQUES MÉTHODE 3 – INTÉGRATION VIA TOKEN
  • 30. Boutique en ligne 1º Vous achetez le produit Ff349593084f39 U$D 290,00 Ff349593084f39 U$D 29,00 2º Le paiement est autorisé et envoyé paiements en ligne MÉTHODES D’ATTAQUES MÉTHODE 3 – INTÉGRATION VIA TOKEN
  • 31. Paiement en ligne 1º Vous achetez le produit Boutique en ligne Boutique en ligne Boutique en ligneBoutique en ligne Boutique en ligne MÉTHODES D’ATTAQUES MÉTHODE 4 – API NON VULNÉRABLE $800,00 $80,00 $80,00
  • 32. Boutique en ligne avec API vulnérable Paiement en ligne Boutique en ligne sans API vulnérable $ 80,00 MÉTHODES D’ATTAQUES $ 800,00
  • 33. boutique en ligne avec API vulnérable paiements en ligne boutique en ligne sans API vulnérable $U 800,00 $U 80,00 Boutique en ligne – SANS API VULNÉRABLE Boutique en ligne – AVEC API VULNÉRABLE MÉTHODES D’ATTAQUES
  • 34. 30/11/2016 34 Cheval de Troie COMMENT RESTENT LES INTÉGRATIONS ENTRE LES BOUTIQUES EN LIGNE ET LES PAIEMENTS EN LIGNE?
  • 35. LA SECURITE DANS LE NUAGE (CLOUD COMPUTING)
  • 36. En 2020, 30% de vos relations avec les fabricants de technologies changeront pour le nuage
  • 37. CLOUD COMPUTING 37 • Les paiements en ligne • Solution Cloud Computing • Les vulnérabilités du paiement en ligne, tels que l’identification, la correction et la gestion des vulnérabilités, influent sur la boutique en ligne. Les boutiques en ligne dependent 100% du paiement en ligne Le paiement en ligne va-t-il corriger les vulnérabilités?
  • 38. Boutique en ligne Paiement en ligne Canada CLOUD COMPUTING
  • 39. LES FRAUDES DANS LES BOUTIQUES EN LIGNE
  • 40. 30/11/2016 40 FRAUDES DANS LES BOUTIQUES EN LIGNE LES PRINCIPALES CONSIDÉRATIONS L'existence des boutiques en ligne vulnérables Le manque des contrôles de sécurité / fraude Une facilité dans la réalisation de la fraude Réduction de l'exposition des criminels
  • 41. 30/11/2016 41 FRAUDES DANS LES BOUTIQUES EN LIGNE CYCLE DE VIE Petites Boutiques en ligne Moyennes / Grandes Boutiques en ligne Les produits sont achetés sans aucun lien logique entre eux et dans un court espace de temps Achats de produits de revente facile
  • 43. POURQUOI EST-IL POSSIBLE D’EFFECTUER CETTE FRAUDE? Fragilité de l'authentification et de l'autorisation de la boutique en ligne avec le paiement en ligne Permet la manipulation de l'information dans le navigateur du client Difficile à identifier l’attaque, aucune invasion n‘est effectué, seulement les valeurs sont modifiée. Le processus est boiteux, la plupart des boutiques en ligne n’éxamine pas le montant payé ou effectue cette validation après la livraison du produit.
  • 44. LA BOUTIQUE EN LIGNE VALIDE LA VALEUR DU PRODUIT PAYÉ PAR LE CLIENT?
  • 45.
  • 46. QUI VÉRIFIE SI LA VALEUR DU PRODUIT À LA CAISSE EST LA MÊME DE L’ETAGERE?
  • 50. REMARQUES 50 Paiements en ligne Il faut contrôler les versions de l’API utilisées dans les boutiques en ligne des clients et effectuer des tests périodiques d’invasion Boutiques en ligne Il faut maintenir l’API d'intégration externe mise à jour Boutique en ligne Le departement de Logistique doit vérifier le montant payé par le client avant la livraison du produit Paiements en ligne Il faut implêmenter des contrôles d’authentification et d'autorisation sécurisées dans la communication avec les boutiques en ligne
  • 51. Flávio K. Shiga Merci beaucoup! www.linkedin.com/in/fshiga Flavio.shiga@ibliss.com.br www.ibliss.com.br