But du séminaire Informer sur les risques liés à l’échange d’information sécurisée sur Internet

Patrick Anthamatten Directeur administratif Ingénieur Informaticien EPFZ pan@cdi.ch Jean-Marc Jutzet Directeur technique jmj@cdi.ch

Agenda Présentation de cdi Les bases de la communication sur Internet La sécurisation de la communication Transfert de données commerciales sur Internet Analyse des risques potentiels Sécurité de votre infrastructure informatique Questions

cdi Société fondée en 1994 Composée de 13 personnes Développeurs d’applications logicielles Spécialistes réseaux et sécurité Internet Graphiste

Activités Développement d’applications sur mesure Conseil en sécurité Internet et gestion d’infrastructure Plus d’informations sous www.cdi.ch

Activités : Sécurité Internet Intr@solution : Solution intégrée de sécurité Internet Sécurisation de l’accès à l’Internet Configuration des Firewalls Etablissement de VPN (succursales et clients) Accès distant au réseau de l’entreprise Contrôle : du contenu des e-mails (Virus, spam) l’accès au Web Gestion centralisée des antivirus pour les postes de travail

Activités : Sécurité Internet Sites Web commerçants Encryption SSL Paiement sécurisé

Clients Technologies Internet et infrastructure Développement applicatif et gestion de projet Alexandre SA Office du Livre Fribourg Groupe Fiduciaire Mazars Hubert Etter & Fils SA Dupont Polymer Powders Groupe Charmettes SA Birgma Services SA Payot SA Bibliothèque Cantonale et Universitaire Fribourg (www.fr.ch/bcuf) Office du Livre Fribourg (www.olf.ch) Naville SA (www.naville.ch) Philip Morris International Union Postale Universelle (ONU) Diamed AG (www.diamed.ch) Librairies La Fontaine (www.lelivre.ch) Laboratoires MCL (www.mcl.ch) Laboratoires Risch (www.lmz-risch.ch) ICM (www.icm-magicall.ch)

Les bases de la communication par Internet TCP/IP pour Transmission Control Protocol / Internet Protocol IP est la couche réseau qui gère la communication à bas niveau. TCP sert de protocole de transport de données. L’adresse IP sert à identifier des machines (ex. 195.141.100.141) Un nom logique est associé aux adresses IP (ex. www.cdi.ch) DNS est une base de données distribuée servant à transformer le nom logique en adresse IP

Les bases de la communication par Internet Les principaux protocoles de communication utilisés sur Internet sont : HTTP et HTTPS (Web), DNS (Domain Name Service), SMTP, POP3, IMAP4 (e-mail) SSH, Telnet, NTP, etc.

La sécurisation de la communication par Internet Méthodes de cryptage de la communication Signature numérique Infrastructure PKI (Public Key Infrastructure) Réseaux privés virtuels (VPN) SSL Certificats numériques

Les buts de la signature électronique Authentification du signataire Intégrité du document signé (empêche la falsification) Acceptation de transaction (conséquences légales) Quittance (garantie de livraison du document) Efficacité du processus

Comment fonctionne la signature électronique Création d’une signature numérique Message To Verifier Hash Result Digital Signature Hash Function Message Signing Function Private Key Only Private Key Holder Can Sign

Comment fonctionne la signature électronique Vérification d’un message signé numériquement Hash Result Message Hash Function From Signer Valid Y/N? Digital Signature Verify Function Public Key Anyone Can Verify

Comment fonctionne la signature électronique Exemple

Transfert de données commerciales par Internet La certification en Suisse

Transfert de données commerciales par Internet Les principaux types de transfert de données commerciales: Les achats sur Internet Les échanges de messages (e-mail) Les accès sécurisés (VPN)

Transfert de données commerciales par Internet Les achats sur Internet: l’acheteur Le vendeur (marchant), l’organisme de paiement

Transfert de données commerciales par Internet La sécurisation des achats L’identification du marchant L’autorité de certification L’infrastructure PKI (cryptage, authentification)

Méthodes de paiement sur Internet Paiement par carte de crédit C’est le mode de paiement le plus courant sur Internet. L’acheteur fournit au commerçant en plus de son numéro de carte de crédit, la date d’expiration de celle-ci, et éventuellement le numéro au dos de la carte CVV2/CVC2. Le commerçant transmet ces données afin de vérifier si le montant chargé est accepté. Si tel est le cas, la banque émettrice de la carte de crédit va transférer l’argent sur le compte du commerçant. Visa et Mastercard ont depuis mis au point un système de paiement, basé sur la technologie « 3-D Secure », qui assure l’authentification du porteur et la non-répudiation. En fait après inscription auprès d’un service de sécurisation, le porteur de la carte utilise soit un mot de passe (pour Visa), soit un code (pour Mastercard) pour se faire authentifier lors de chaque transaction. Ces systèmes ne sont valables que pour les détenteurs de cartes Visa et Mastercard.

Méthodes de paiement sur Internet Paiement par carte de débit ou de retrait Les cartes de débit permettent de déduire directement une dépense de son compte de chèque ou d’épargne. Elles nécessitent l’introduction d’un code PIN et l’adhésion par le client aux services bancaires en ligne de son institution financière. En fait le client effectue directement le paiement depuis son compte sur le site sécurisé de la banque. Pour le commerçant le gros avantage est qu’il n’y a pas de commission à payer comme avec les cartes de crédit et il n’y a pas risque de répudiation. Ce système n’est cependant pas encore très répandu mais est appelé à se développer.

Méthodes de paiement sur Internet Solutions de paiement par un intermédiaire Les solutions de paiement par un intermédiaire offrent en plus de la facilité à gérer les questions de paiement pour le commerçant, un moyen sûr qui répond aux critères de sécurité. L’intermédiaire ou prestataire de services de paiement (PSP) se place entre le commerçant, le client et les organismes financiers, et il se charge de vérifier en temps réel la validité de la carte de crédit, d’autoriser la transaction, et dans certains cas de procéder à l’encaissement. Le commerçant doit adhérer aux services proposés par l’intermédiaire. Lors d’un achat, l’internaute est envoyé par le commerçant sur le site de l’intermédiaire, et ce dernier effectue la demande d’autorisation à la banque de l’acheteur, qui est communiquée à l’acheteur et au commerçant

Transfert de données commerciales par Internet Le protocole SSL Secure Sockets Layer, ou SSL, est le plus répendu des moyens de cryptage pour les transactions commerciales sur Internet. SSL est en général disponible en 40-bit et 128-bit, en fonction de la longueur de la clé de session "session key" générée à chaque transaction cyptée. Plus la clé est longue, plus ce sera difficile de casser le code. Par exemple, une clé 128-bit SSL des milliard de fois plus forte que la clé à 40-bit standard. SSL intégré à pratiquement tous les navigateurs Internet actuels. Le gouvernement américain a adopté en 2001 un nouveau système de cryptage: “Advanced Encryption Standard”, ou AES, qui est plus performant et fiable que l’ancien protocole “ Data Encryption Standard”, ou DES (56 bits), qui pouvait être craqué en quelques heures. AEF fonctionne avec des clés à 128-bit, 192-bit, et 256-bit. Il faudrait plus de 149 milliard d’années pour craquer un clé AES!

Transfert de données commerciales par Internet Accès distant aux données de l’entreprise Tunnels (VPN) IPSec (nécessite un logiciel client) SSL (un navigateur web suffit)

Analyse des risques potentiels La sécurité d’un système est égale à la sécurité de son maillon le plus faible!

Analyse des risques potentiels Les principaux risques liés à l’utilisation de systèmes de communication par Internet sont: Protection insuffisante de l’infrastructure de l’utilisateur (virus, key loggers, logiciels espions, vol de clé privée, etc.) Fraude de type phishing qui permettent de s’approprier des informations importantes (no de cartes de crédit, mots de passe, etc.)

Analyse des risques potentiels Usurpation d’identité Fraude Espionnage Utilisation abusive de votre clé privée Falsification de certificats racine etc…

Sécurité de votre infrastructure informatique Sécurité physique Sauvegarde des données Mise en place d’un pare-feu Internet (firewall) Sécurité de la messagerie Anti-virus Sécurité Web (filtrage du contenu) Mise en place des correctifs systèmes (patchs)

Configuration du navigateur Internet et certificats SSL

Vérification de l’authenticité d’un site sécurisé

Envoi de message signé numériquement

Alerte de sécurité lors de l’ouverture d’un site dont le certificat SSL ne peut être vérifié