Si vous comptez faire un voyage autour de l'Europe, sachez que vous pouvez acheter le billet avec une remise de 60, 70 ou 80%. J'ai identifié qu'il y a plus de 300.000 (trois cents mille) boutiques en ligne vulnérables, dû au service de paiment vulnérable de l'Espagne et du Portugal, ansi que du Brésil, des États-Unis, de l'Australie et de l'Uruguay.
M. Shiga est actuellement responsable des services de sécurité de l’information chez B10SEC et spécialiste EXIN (Cyber Sécurité). Il est également professeur dans le domaine de la sécurité de l’information depuis 5 ans, consultant en TI/SI (technologie et sécurité de l’information) depuis 12 ans et possède les certifications ISO/IEC 27001 LA, BCMF, ISFS, ITIL, Cobit, MCSO et Cisco. Pour terminer M. Shiga a effectué de multiples présentations sur le thème de la sécurité dont pour les événements suivants:
- Brésil: Roadsec, BHACK, H2HC, Mind the Sec et Cyber Security Meeting
- Portugal: 5th Infosec Week, Confraria SI et ISCTE
- Uruguay: OWASP LATAM Tour
- Angola: 3ª CNSI (Conferência Nacional de Segurança Informática)
- Canada: L'ASIQ - Association de la sécurité de l'information du Québec
- France: BSIDE Bordeaux
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Figurez-vous que c'est possible de voyager en Europe avec une remise de 60, 70 ou 80%!
1. Figurez-vous que c'est possible de voyager en
Europe avec une remise de 60, 70 ou 80%!
Flávio K. Shiga
2. 2
• Responsable de services de la sécurité de l’information chez iBLISS
• EXIN Spécialiste (Cyber Sécurité)
• Professeur de Sécurité de l’ information depuis 5 ans
• Consultant en TI/SI depuis 12 ans
• Certifications: ISO/IEC 27001 LA, ISFS, ITIL, Cobit, MCSO et Cisco
• Recherches de vulnérabilité et fraudes (Application WEB)
• Quelques conférences:
– Brésil: Roadsec, BHACK, H2HC, Mind the Sec et Cyber Security Meeting
– Portugal: 5th Infosec Week, Confraria SI et ISCTE
– Uruguay: OWASP LATAM Tour
– Angola: 3ª CNSI (Conferência Nacional de Segurança Informática)
– Canada: L'ASIQ - Association de la sécurité de l'information du Québec
– France: BSIDE Bordeaux
3. • INTRODUCTION DE L’ETUDE
• LE PAIEMENT EN LIGNE
• LES METHODES D’ATTAQUES
• LES ÉTUDE DE CAS
• LES REMARQUES
CONTENU
3
7. 29/01/2018 77
L’ETUDE
EVOLUTION DU COMMERCE ÉLECTRONIQUE
MEXIQUE URUGUAY
Fournisseurs de solutions de paiement
QUÉBEC
L’Indice du commerce électronique au QuébecComercio Electrónico en el UruguayEstudio Comercio Electrónico en México
BRÉSIL
10,1%
DISPOSITIVOS MÓVEIS
89,9%
COMPUTADOR
NOTEBOOK
WEBSHOPPERS - 32ª edição
9. Responsable de la transaction financière et la detection de la fraude
Previent la transaction frauduleuse
Il y a beaucoup de services de paiement en ligne dans le monde
Les vulnérabilités ne sont pas documentées et publiée
LE PAIEMENT EN LIGNE
10. 10
+300 Mille boutiques en ligne Impactées
BRÉSIL
URUGUAY
PORTUGAL
AUSTRALIE
LE PAIEMENT EN LIGNE
ESPAGNE
CANADA
ÉTATS-UNIS
12. Boutique en ligne
1º Vous achetez le produit
2º Reçu de paiement autorisé envoyé
Paiement en ligne
MÉTHODES D’ATTAQUES
TRANSACTION NORMALE
13. Boutique en ligne
1º Vous achetez le produit
2º Interceptions de la valeur en texte clair (€ 119,00)
3º Vous envoyez la valeur modifiée € 19,00
4º Le paiement est autorisé et envoyé
Paiement en ligne
MÉTHODES D’ATTAQUES
MÉTHODE 1 – INTERCEPTION COMMUNE
14. Boutique en ligne
1º Vous achetez le produit
2º Interceptions de la valeur en texte clair (€ 219,00)
3º Vous envoyez la valeur modifiée € 19,00
4º Le paiement est autorisé et envoyé
paiements en ligne
MÉTHODES D’ATTAQUES
MÉTHODE 1 – INTERCEPTION COMMUNE
16. Boutique en ligne
1º Vous achetez le produit
2º Interceptions de la valeur en texte clair (€ 219,00)
3º Vous envoyez la valeur modifiée € 19,00
4º Le paiement est autorisé et envoyé
paiements en ligne
MÉTHODES D’ATTAQUES
MÉTHODE 1 – INTERCEPTION COMMUNE
17. Boutique en ligne
1º Vous achetez le produit
ODAsMDA=
NTAsMDA=
2º Le paiement est autorisé et envoyé
Base64
Paiement en ligne
ODAsMDA= € 800,00
NTAsMDA= € 80,00
MÉTHODES D’ATTAQUES
MÉTHODE 2 – INFORMATIONS CODÉES
18. Boutique en ligne
1º Vous achetez le produit
Ff349593084f39 € 190,00
Ff349593084f39 € 19,00
2º Le paiement est autorisé et envoyé
Paiement en ligne
MÉTHODES D’ATTAQUES
MÉTHODE 3 – INTÉGRATION VIA TOKEN
19. Boutique en ligne
1º Vous achetez le produit
Ff349593084f39 € 290,00
Ff349593084f39 € 29,00
2º Le paiement est autorisé et envoyé
paiements en ligne
MÉTHODES D’ATTAQUES
MÉTHODE 3 – INTÉGRATION VIA TOKEN
20. Paiement en ligne
1º Vous achetez le produit
Boutique en ligne
Boutique en ligne
Boutique en ligneBoutique en ligne
Boutique en ligne
MÉTHODES D’ATTAQUES
MÉTHODE 4 – API NON VULNÉRABLE
€800,00
€80,00
€80,00
21. Boutique en ligne
avec API vulnérable
Paiement en ligne
Boutique en ligne
sans API vulnérable
€ 80,00
MÉTHODES D’ATTAQUES
€ 800,00
22. boutique en ligne
avec API vulnérable
paiements en ligne
boutique en ligne
sans API vulnérable
€U 800,00
€U 80,00
Boutique en ligne – SANS API VULNÉRABLE
Boutique en ligne – AVEC API VULNÉRABLE
MÉTHODES D’ATTAQUES
37. POURQUOI EST-IL POSSIBLE D’EFFECTUER
CETTE FRAUDE?
Fragilité de l'authentification et de l'autorisation
de la boutique en ligne avec le paiement en
ligne
Permet la manipulation de l'information dans le
navigateur du client
Difficile à identifier l’attaque, aucune invasion
n‘est effectué, seulement les valeurs sont
modifiée.
Le processus est boiteux, la plupart des
boutiques en ligne n’éxamine pas le montant
payé ou effectue cette validation après la
livraison du produit.
39. REMARQUES
39
Paiements en ligne
Il faut contrôler les
versions de l’API
utilisées dans les
boutiques en ligne des
clients et effectuer des
tests périodiques
d’invasion
Boutiques en ligne
Il faut maintenir l’API
d'intégration externe mise à
jour
Boutique en ligne
Le departement de Logistique doit
vérifier le montant payé par le client
avant la livraison du produit
Paiements en ligne
Il faut implêmenter des
contrôles
d’authentification et
d'autorisation sécurisées
dans la communication
avec les boutiques en
ligne
40. Flávio K. Shiga
Merci beaucoup!
www.linkedin.com/in/fshiga
Flavio.shiga@ibliss.digital
www.ibliss.digital