Les fraudes sur les boutiques en ligne, Combien voulez-vous payer?
Imaginez si vous pouviez acheter une télé de dernière génération, le voyage de vos rêves ou un bijou avec une remise de 50%, 60% ou 70%.Actuellement plusieurs types de moyens de paiement, via smartphone (NFC) jusqu’au service de paiementde boutiques en ligne permettent de tels achats en apparence très alléchants.
L’objectif de ma présentation aura notamment pour portée de vous présenter les résultats de mon étude, faisant état des multiples vulnérabilités (plus de 300 000) applicables aux services de paiement offerts par plusieurs boutiques en ligne du Brésil, des États-Unis, du Portugal, d’Australie et de l’Uruguay.
Plus précisément j’aborderai dans ma présentation les éléments suivants:
– La définition d’un service de paiement
– L’intégration de la sécurité entre les applications (API)
– Les principales méthodes d’attaques
– La sécurité dans le nuage (Cloud Computing)
– Les fraudes dans les boutiques en ligne
– Les impacts des fraudes dans les boutiques en ligne
2. 2
• Responsable de services de la sécurité de l’information chez iBLISS
• EXIN Spécialiste (Cyber Sécurité)
• Professeur de Sécurité de l’ information depuis 5 ans
• Consultant en TI/SI depuis 12 ans
• Certifications: ISO/IEC 27001 LA, ISFS, ITIL, Cobit, MCSO et Cisco
• Recherches de vulnérabilité et fraudes (Application WEB)
• Quelques conférences:
– Brésil: Roadsec, BHACK, H2HC, Mind the Sec et Cyber Security Meeting
– Portugal: 5th Infosec Week & Cyber Bootcamp
– Uruguay: OWASP LATAM Tour
– Angola: 3ª CNSI (Conferência Nacional de Segurança Informática)
–Canada: L'ASIQ - Association de la sécurité de l'information du Québec
3. • INTRODUCTION DE L’ETUDE
• LE PAIEMENT EN LIGNE
• LA SECURITE DE L’INTEGRATION ENTRE LES APPLICATIONS (API)
• LES METHODES D’ATTAQUES
• LA SECURITE DANS LE NUAGE (CLOUD COMPUTING)
• LES FRAUDES DANS LES BOUTIQUES EN LIGNE
• LES IMPACTS
• LES REMARQUES
CONTENU
3
12. 30/11/2016 1212
L’ETUDE
EVOLUTION DU COMMERCE ÉLECTRONIQUE
MEXIQUE URUGUAY
Fournisseurs de solutions de paiement
QUÉBEC
L’Indice du commerce électronique au QuébecComercio Electrónico en el UruguayEstudio Comercio Electrónico en México
BRÉSIL
10,1%
DISPOSITIVOS MÓVEIS
89,9%
COMPUTADOR
NOTEBOOK
WEBSHOPPERS - 32ª edição
14. Responsable de la transaction financière et la detection de la fraude
Previent la transaction frauduleuse
Il y a quelques services de paiement en ligne, avec integration sans un
modèle défini, avec quelques comportements différents
Il y a beaucoup de services de paiement en ligne dans le monde
Les vulnérabilités ne sont pas documentées
Il n'y a pas de source de vulnérabilités publiée
LE PAIEMENT EN LIGNE
15. 15
+300 Mille boutiques en ligne Impactées
BRÉSIL
URUGUAY
PORTUGAL
AUSTRALIE
ÉTATS-UNIS
LE PAIEMENT EN LIGNE
16. Boutique en ligneClient Paiement en ligne
Institution financière Paiement sécurisé Subdivision
Paiement approuvé
LE PAIEMENT EN LIGNE
17. Faciliter la vente de produits sur Internet
Pas besoin d'investir dans le développement des fonctions
financières dans les boutiques en ligne
Les boutiques en ligne ne sont pas responsables de la transaction
financière, comme par exemple la rétrofacturation
Les paiements en ligne sont responsable d’une partie de la conformité
(par exemple PCI DSS)
LE PAIEMENT EN LIGNE
AVANTAGES
18. LA SÉCURITÉ DE L’INTÉGRATION
ENTRE LES APPLICATIONS (API)
19. 30/11/2016 19
API – Interface de programmation
d'application
L’INTÉGRATION ENTRE LES APPLICATIONS (API)
QUE C’EST L’API?
24. Boutique en ligne
1º Vous achetez le produit
2º Reçu de paiement autorisé envoyé
Paiement en ligne
MÉTHODES D’ATTAQUES
TRANSACTION NORMALE
25. Boutique en ligne
1º Vous achetez le produit
2º Interceptions de la valeur en texte clair (U$D 119,00)
3º Vous envoyez la valeur modifiée U$D 19,00
4º Le paiement est autorisé et envoyé
Paiement en ligne
MÉTHODES D’ATTAQUES
MÉTHODE 1 – INTERCEPTION COMMUNE
26. Boutique en ligne
1º Vous achetez le produit
2º Interceptions de la valeur en texte clair (U$D 219,00)
3º Vous envoyez la valeur modifiée U$D 19,00
4º Le paiement est autorisé et envoyé
paiements en ligne
MÉTHODES D’ATTAQUES
MÉTHODE 1 – INTERCEPTION COMMUNE
27. Boutique en ligne
1º Vous achetez le produit
2º Interceptions de la valeur en texte clair (U$D 219,00)
3º Vous envoyez la valeur modifiée U$D 19,00
4º Le paiement est autorisé et envoyé
paiements en ligne
MÉTHODES D’ATTAQUES
MÉTHODE 1 – INTERCEPTION COMMUNE
28. Boutique en ligne
1º Vous achetez le produit
ODAsMDA=
NTAsMDA=
2º Le paiement est autorisé et envoyé
Base64
Paiement en ligne
ODAsMDA= U$D 800,00
NTAsMDA= U$D 80,00
MÉTHODES D’ATTAQUES
MÉTHODE 2 – INFORMATIONS CODÉES
29. Boutique en ligne
1º Vous achetez le produit
Ff349593084f39 U$D 190,00
Ff349593084f39 U$D 19,00
2º Le paiement est autorisé et envoyé
Paiement en ligne
MÉTHODES D’ATTAQUES
MÉTHODE 3 – INTÉGRATION VIA TOKEN
30. Boutique en ligne
1º Vous achetez le produit
Ff349593084f39 U$D 290,00
Ff349593084f39 U$D 29,00
2º Le paiement est autorisé et envoyé
paiements en ligne
MÉTHODES D’ATTAQUES
MÉTHODE 3 – INTÉGRATION VIA TOKEN
31. Paiement en ligne
1º Vous achetez le produit
Boutique en ligne
Boutique en ligne
Boutique en ligneBoutique en ligne
Boutique en ligne
MÉTHODES D’ATTAQUES
MÉTHODE 4 – API NON VULNÉRABLE
$800,00
$80,00
$80,00
32. Boutique en ligne
avec API vulnérable
Paiement en ligne
Boutique en ligne
sans API vulnérable
$ 80,00
MÉTHODES D’ATTAQUES
$ 800,00
33. boutique en ligne
avec API vulnérable
paiements en ligne
boutique en ligne
sans API vulnérable
$U 800,00
$U 80,00
Boutique en ligne – SANS API VULNÉRABLE
Boutique en ligne – AVEC API VULNÉRABLE
MÉTHODES D’ATTAQUES
34. 30/11/2016 34
Cheval de Troie
COMMENT RESTENT LES INTÉGRATIONS ENTRE LES
BOUTIQUES EN LIGNE ET LES PAIEMENTS EN LIGNE?
36. En 2020, 30% de vos relations
avec les fabricants de technologies
changeront pour le nuage
37. CLOUD COMPUTING
37
• Les paiements en ligne
• Solution Cloud Computing
• Les vulnérabilités du paiement en ligne, tels que l’identification, la correction et
la gestion des vulnérabilités, influent sur la boutique en ligne.
Les boutiques en ligne dependent 100% du paiement en ligne
Le paiement en ligne va-t-il corriger les vulnérabilités?
40. 30/11/2016 40
FRAUDES DANS LES BOUTIQUES EN LIGNE
LES PRINCIPALES CONSIDÉRATIONS
L'existence des boutiques en ligne vulnérables
Le manque des contrôles de sécurité / fraude
Une facilité dans la réalisation de la fraude
Réduction de l'exposition des criminels
41. 30/11/2016 41
FRAUDES DANS LES BOUTIQUES EN LIGNE
CYCLE DE VIE
Petites
Boutiques en ligne
Moyennes / Grandes
Boutiques en ligne
Les produits sont achetés
sans aucun lien logique
entre eux et dans un court
espace de temps
Achats de produits de
revente facile
43. POURQUOI EST-IL POSSIBLE D’EFFECTUER
CETTE FRAUDE?
Fragilité de l'authentification et de l'autorisation
de la boutique en ligne avec le paiement en
ligne
Permet la manipulation de l'information dans le
navigateur du client
Difficile à identifier l’attaque, aucune invasion
n‘est effectué, seulement les valeurs sont
modifiée.
Le processus est boiteux, la plupart des
boutiques en ligne n’éxamine pas le montant
payé ou effectue cette validation après la
livraison du produit.
44. LA BOUTIQUE EN LIGNE VALIDE
LA VALEUR DU PRODUIT
PAYÉ PAR LE CLIENT?
45.
46. QUI VÉRIFIE SI LA VALEUR DU PRODUIT À LA CAISSE EST
LA MÊME DE L’ETAGERE?
50. REMARQUES
50
Paiements en ligne
Il faut contrôler les
versions de l’API
utilisées dans les
boutiques en ligne des
clients et effectuer des
tests périodiques
d’invasion
Boutiques en ligne
Il faut maintenir l’API
d'intégration externe mise à
jour
Boutique en ligne
Le departement de Logistique doit
vérifier le montant payé par le client
avant la livraison du produit
Paiements en ligne
Il faut implêmenter des
contrôles
d’authentification et
d'autorisation sécurisées
dans la communication
avec les boutiques en
ligne
51. Flávio K. Shiga
Merci beaucoup!
www.linkedin.com/in/fshiga
Flavio.shiga@ibliss.com.br
www.ibliss.com.br