Sécuriser la carte achat - DGDR

Projet Sécurité
Date : 09/02/09
Version : V 1.0
Etat : travail / vérifié / validé
Rédacteur : JBO
Réf. : CNRS/DSI/Expertise/
sécuriser la carte achat-v1.doc
Annexes :
Sécuriser les achats en ligne par Carte d’achat
Objet du document : Notice de sécurisation des achats en ligne pour les utilisateurs de la carte achat
Table des évolutions
Date
Version
09/02/09
1.0
Détail des évolutions
Validation du document
Expertise Sécurité
Sécuriser la carte achat
Sommaire
Sécuriser la carte achat........................................................................................................................... 1
Sommaire ................................................................................................................................................ 2
1
Introduction ..................................................................................................................................... 3
2
Sécuriser son poste de travail ........................................................................................................ 3
2.1
Mises à jour de sécurité.............................................................................................................. 3
2.2
Anti-hameçonnage (anti-phishing) ............................................................................................. 3
2.3
Anti-virus..................................................................................................................................... 4
2.4
Anti-spyware / Anti-malware....................................................................................................... 4
3
Sécuriser son réseau...................................................................................................................... 4
3.1
Firewall ....................................................................................................................................... 4
3.2
Connexion Wifi ........................................................................................................................... 5
4
Bonnes pratiques de navigation ..................................................................................................... 5
5
Autres Bonnes pratiques ................................................................................................................ 5
Page 2 sur 5
Expertise Sécurité
Sécuriser la carte achat
1 Introduction
L'achat sur Internet n'est pas dangereux en tant que tel. Pas plus que la vente par correspondance
classique... On peut, bien sûr, tomber sur des escrocs, mais ce n'est pas le propre d'Internet. Avant
d'acheter sur un site, vérifiez qu'il paraît fiable sur la base de constatations de bon sens (prix
raisonnablement attrayants, adresse et contacts affichés, absence de fautes d'orthographe,
localisation de préférence en France…).
Par contre l’utilisation de l’outil informatique impose des précautions propres à son usage.
Ces précautions ont des implications sur le côté technique informatique et également sur des bonnes
pratiques à avoir lors de l’utilisation de l’outil
2 Sécuriser son poste de travail
La première précaution à prendre est de sécuriser le poste de travail. Celle-ci n’est pas spécifique à
l’achat sur internet ; elle est valable en générale lors de l’utilisation d’internet.
Cela passe par l’installation et l’utilisation de logiciel sur son système d’exploitation (Windows,
MacOS, Linux…), et sur le navigateur internet (Internet Explorer, Firefox, Safari…)
2.1 Mises à jour de sécurité
Les éditeurs de systèmes d’exploitation et de navigateurs publient régulièrement des correctifs pour
améliorer la sécurité de leurs logiciels, ou pour réparer une faille de sécurité avérée.
Il est recommandé de régulièrement vérifier la disponibilité de ces correctifs et de les appliquer le cas
échéant.
Avec l’usage massif d’Internet et les débits confortables que l’on peut avoir aujourd’hui, la plupart de
ces logiciels proposent d’eux-mêmes de se mettre à jour sur Internet
2.2 Anti-hameçonnage (anti-phishing)
L'hameçonnage, appelé en anglais phishing, est une technique utilisée par des fraudeurs pour obtenir
des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique
consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration,
etc. Afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit,
date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale.
L'hameçonnage peut se faire par courrier électronique, par des sites web falsifiés ou autres moyens
électroniques.
Page 3 sur 5
Expertise Sécurité
Sécuriser la carte achat
Une des meilleurs techniques pour se prémunir de ce type de fraude est d’utiliser la dernière version
d’un navigateur récent. Ainsi des navigateurs tels que Safari 3.2+, Firefox 2+, Opera 9.1+ et
Internet Explorer 7+ possèdent un système permettant de détecter et d'avertir l'utilisateur d’un danger
et de lui demander s'il veut vraiment naviguer sur de telles adresses douteuses.
2.3 Anti-virus
Les antivirus sont à installer sur tous les systèmes d’exploitation. S’ils ne servent pas à protéger son
propre ordinateur (exemple : Linux ou MacOS X) ; ils servent néanmoins à éviter de propager un virus
vers d’autres ordinateurs.
Les anti-virus, qu’ils soient gratuit ou payant, doivent être mis à jour régulièrement.
Dans l’utilisation de la carte achat via des sites en ligne, il va, par exemple, éviter à un programme
malveillant de s’installer sur le système et de capter les données de l’utilisateur. La finalité de ces
programmes est de renvoyer celles-ci vers des fraudeurs.
2.4 Anti-spyware / Anti-malware
Le spyware (ou malware) a les mêmes finalités et a les mêmes vecteurs de propagation qu’un virus.
Mais il diffère du virus dans la façon où il s’installe sur le système, il faudra donc utiliser une base de
signatures différente de la base de signatures de l’antivirus.
La plupart des anti-virus du marché intègre également un anti-spyware. Mais il peut être intéressant
d’en installer un second d’un autre éditeur afin d’avoir une double détection.
3 Sécuriser son réseau
3.1 Firewall
Le firewall sert à limiter les failles de sécurité sur le réseau en bloquant les accès qui ne seraient pas
nécessaires.
Le firewall peut-être confié au réseau de l’entité, auquel cas l’administrateur réseau gère sa
configuration et sa maintenance.
Il peut être également être intégré et activé sur l’ordinateur, auquel cas, ce sera à l’utilisateur de le
gérer.
Page 4 sur 5
Expertise Sécurité
Sécuriser la carte achat
Une attention toute particulière est à porter aux postes « nomades » où le firewall de l’entité est géré
par l’administrateur. Il faudra mettre en place une règle particulière sur le poste de travail pour que
celui-ci active son firewall quand il se connecte à Internet en dehors de l’entité.
3.2 Connexion Wifi
Il existe plusieurs façons d’implémenter le Wifi (réseau sans fil) : on peut définir des clés de cryptage
pour se connecter à un wifi ou bien le laisser libre. Dans les clés de cryptage, il existe plusieurs types
de clés : WEP, WPA et WPA2.
Il est souhaitable de ne pas utiliser des réseaux Wifi libres ou des réseaux à base de clés WEP (les
clés WEP n’étant plus considérées comme robustes).
En effet, en plus de l’utilisation frauduleuse qu’il pourrait être fait de ces réseaux, des escrocs
pourraient entièrement détourner ces réseaux à leur profit en mettant en œuvre un « spoofing »
(usurpation des adresses réseaux) directement sur celui-ci. Le « spoofing » est une technique qui
permet de récupérer l'accès à des informations en se faisant passer pour le site internet dont on
usurpe l’adresse réseau.
4 Bonnes pratiques de navigation
Lors du paiement d'une transaction par carte bancaire, vérifiez bien que la transmission des données
se fait de façon sécurisée. Pour cela, il s’agit simplement de vérifier dans la barre d'adresse que,
devant le nom du site, est indiqué « https:// » et non simplement « http:// » et la présence d’un petit
cadenas ou un verrou fermé en bas à droite de la fenêtre du navigateur
5 Autres Bonnes pratiques
Il est recommandé de ne jamais stocker le numéro de la carte bancaire en clair sur le disque dur du
poste de travail, et encore moins sur celui d’un ordinateur portable ou d’une clé USB.
Page 5 sur 5