securite paiement on line
Transcription
securite paiement on line
SECURITE INFORMATIQUE : Cas du Paiement Electronique Par Rose GOHOUE 1 2 ● Importance de la monnaie ● Définition de SI ● Base de données ● Paiement électronique ● SECURITE 3 Les transaction financières font partie de notre quotidien ● Faire des transactions financières par le biais des réseaux (informatique et mobile) via Internet : le paiement en ligne L’essor des TIC n’est plus à démontrer ● Encourager le commerce électronique au Bénin voire en Afrique : le marché en ligne 4 Données financières et matériels Bases de données physique : E-marchand Bases de données au niveau des transactions : Système de paiement Problème de sécurité de toute information Comment sécuriser ces données 5 ● La sécurité de l’information est un processus qui vise à protéger l’information et les systèmes d’information de toute forme d’action non autorisée: accès, diffusion, révélation, perturbation, modification, lecture, inspection, enregistrement ou destruction. ● Trois éléments principaux: confidentialité, intégrité, et disponibilité ● Extension à l’imputabilité, l’authenticité et la non répudiation 6 Flux de données Transfert de données - Affichage des données - Traitement des données - Stockage des données 7 Faire intervenir l’utilisateur lui-même dans la sécurité de ses données o Paramètres d’inscription o Mot de passe, questions de sécurités, etc Aider l’utilisateur à protéger ses données o Paramètres de connexion o Première connexion, date de connexion, géolocalisation, IP, machine, notifications, etc 8 9 ● Définir des contextes de sécurité La sécurité sera optimale dans les cas suivants : ◦ Tentatives de connexion trop élevé (impliquant le facteur fréquence de connexion) ◦ Simplicité du mot de passe et longueur anormal (6-30) du mot de passe ◦ Première transaction ◦ Le montant des opérations est supérieur à la limite fixée par le serveur ou par l’utilisateur. 10 ◦ Connexion à partir d’un nouveau terminal ou à partir d’un périphérique douteux. ◦ Double connexion ◦ Connexion à partir d’une adresse IP non-autorisée ou non fiable. ◦ Utilisation non- conventionnelle de la plateforme (ELSE exclusif) ◦ Code pin du compte non configuré par l’utilisateur du compte. ◦ Adresse IP du marchand 11 ● Définir des niveaux de connexion Connexion = id et mot de passe vérifiés et statut adresse IP (Autorisée ou Non) Connexion verte Connexion Orange Connexion Rouge 12 Création base de données dans phpmyadmin -------------------------------------------------Création d’un utilisateur pour la base de données dans phpmyadmin -------------------------------------------------Privilèges pour la sécurité des données à l’intérieur de la base de données -------------------------------------------------Configuration de la base de données dans un système define("DB_SERVER", "localhost"); define("DB_NAME", "mabase"); define("DB_USER", "root"); define("DB_TYPE", "mysql"); define("DB_PASSWORD", "passeroot"); define("DB_USER", "user"); define("DB_PASSWORD", "passeuser"); 13 Modèle de stockage avec chiffrement Mot de passe à ne jamais envoyer aux utilisateurs Cryptage irréversible des mots de passe Injections SQL Requêtes préparées (MySQLi) Gestion des variables par liens Cryptage des variables à l’intérieur des liens Récupération de variables invisibles Gestion des cookies 14 Gestions des sessions Durée de vie d’une session Questions de sécurité obligatoires Utilisation de CAPTCHA Utilisation des notifications sms, email, appel vocal Traçabilité de toute action utilisateur Mot de passe complexe Site de paiement en ligne en HTTPS 15 Dans un système informatisé, tout est axé autour du traitement des données. Que ce soit des données issues d'une base de données ou les données soumises par les internautes eux-mêmes par l'intermédiaire de formulaires. Bien protéger ses données c'est assurer une certaine sécurité globale. Questions ? 16 Quelle est la catastrophe la plus grande qu’on puisse avoir au cours d’un paiement en ligne?