Sécuriser la carte achat - DGDR
Transcription
Sécuriser la carte achat - DGDR
Projet Sécurité Date : 09/02/09 Version : V 1.0 Etat : travail / vérifié / validé Rédacteur : JBO Réf. : CNRS/DSI/Expertise/ sécuriser la carte achat-v1.doc Annexes : Sécuriser les achats en ligne par Carte d’achat Objet du document : Notice de sécurisation des achats en ligne pour les utilisateurs de la carte achat Table des évolutions Date Version 09/02/09 1.0 Détail des évolutions Validation du document Expertise Sécurité Sécuriser la carte achat Sommaire Sécuriser la carte achat........................................................................................................................... 1 Sommaire ................................................................................................................................................ 2 1 Introduction ..................................................................................................................................... 3 2 Sécuriser son poste de travail ........................................................................................................ 3 2.1 Mises à jour de sécurité.............................................................................................................. 3 2.2 Anti-hameçonnage (anti-phishing) ............................................................................................. 3 2.3 Anti-virus..................................................................................................................................... 4 2.4 Anti-spyware / Anti-malware....................................................................................................... 4 3 Sécuriser son réseau...................................................................................................................... 4 3.1 Firewall ....................................................................................................................................... 4 3.2 Connexion Wifi ........................................................................................................................... 5 4 Bonnes pratiques de navigation ..................................................................................................... 5 5 Autres Bonnes pratiques ................................................................................................................ 5 Page 2 sur 5 Expertise Sécurité Sécuriser la carte achat 1 Introduction L'achat sur Internet n'est pas dangereux en tant que tel. Pas plus que la vente par correspondance classique... On peut, bien sûr, tomber sur des escrocs, mais ce n'est pas le propre d'Internet. Avant d'acheter sur un site, vérifiez qu'il paraît fiable sur la base de constatations de bon sens (prix raisonnablement attrayants, adresse et contacts affichés, absence de fautes d'orthographe, localisation de préférence en France…). Par contre l’utilisation de l’outil informatique impose des précautions propres à son usage. Ces précautions ont des implications sur le côté technique informatique et également sur des bonnes pratiques à avoir lors de l’utilisation de l’outil 2 Sécuriser son poste de travail La première précaution à prendre est de sécuriser le poste de travail. Celle-ci n’est pas spécifique à l’achat sur internet ; elle est valable en générale lors de l’utilisation d’internet. Cela passe par l’installation et l’utilisation de logiciel sur son système d’exploitation (Windows, MacOS, Linux…), et sur le navigateur internet (Internet Explorer, Firefox, Safari…) 2.1 Mises à jour de sécurité Les éditeurs de systèmes d’exploitation et de navigateurs publient régulièrement des correctifs pour améliorer la sécurité de leurs logiciels, ou pour réparer une faille de sécurité avérée. Il est recommandé de régulièrement vérifier la disponibilité de ces correctifs et de les appliquer le cas échéant. Avec l’usage massif d’Internet et les débits confortables que l’on peut avoir aujourd’hui, la plupart de ces logiciels proposent d’eux-mêmes de se mettre à jour sur Internet 2.2 Anti-hameçonnage (anti-phishing) L'hameçonnage, appelé en anglais phishing, est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. Afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale. L'hameçonnage peut se faire par courrier électronique, par des sites web falsifiés ou autres moyens électroniques. Page 3 sur 5 Expertise Sécurité Sécuriser la carte achat Une des meilleurs techniques pour se prémunir de ce type de fraude est d’utiliser la dernière version d’un navigateur récent. Ainsi des navigateurs tels que Safari 3.2+, Firefox 2+, Opera 9.1+ et Internet Explorer 7+ possèdent un système permettant de détecter et d'avertir l'utilisateur d’un danger et de lui demander s'il veut vraiment naviguer sur de telles adresses douteuses. 2.3 Anti-virus Les antivirus sont à installer sur tous les systèmes d’exploitation. S’ils ne servent pas à protéger son propre ordinateur (exemple : Linux ou MacOS X) ; ils servent néanmoins à éviter de propager un virus vers d’autres ordinateurs. Les anti-virus, qu’ils soient gratuit ou payant, doivent être mis à jour régulièrement. Dans l’utilisation de la carte achat via des sites en ligne, il va, par exemple, éviter à un programme malveillant de s’installer sur le système et de capter les données de l’utilisateur. La finalité de ces programmes est de renvoyer celles-ci vers des fraudeurs. 2.4 Anti-spyware / Anti-malware Le spyware (ou malware) a les mêmes finalités et a les mêmes vecteurs de propagation qu’un virus. Mais il diffère du virus dans la façon où il s’installe sur le système, il faudra donc utiliser une base de signatures différente de la base de signatures de l’antivirus. La plupart des anti-virus du marché intègre également un anti-spyware. Mais il peut être intéressant d’en installer un second d’un autre éditeur afin d’avoir une double détection. 3 Sécuriser son réseau 3.1 Firewall Le firewall sert à limiter les failles de sécurité sur le réseau en bloquant les accès qui ne seraient pas nécessaires. Le firewall peut-être confié au réseau de l’entité, auquel cas l’administrateur réseau gère sa configuration et sa maintenance. Il peut être également être intégré et activé sur l’ordinateur, auquel cas, ce sera à l’utilisateur de le gérer. Page 4 sur 5 Expertise Sécurité Sécuriser la carte achat Une attention toute particulière est à porter aux postes « nomades » où le firewall de l’entité est géré par l’administrateur. Il faudra mettre en place une règle particulière sur le poste de travail pour que celui-ci active son firewall quand il se connecte à Internet en dehors de l’entité. 3.2 Connexion Wifi Il existe plusieurs façons d’implémenter le Wifi (réseau sans fil) : on peut définir des clés de cryptage pour se connecter à un wifi ou bien le laisser libre. Dans les clés de cryptage, il existe plusieurs types de clés : WEP, WPA et WPA2. Il est souhaitable de ne pas utiliser des réseaux Wifi libres ou des réseaux à base de clés WEP (les clés WEP n’étant plus considérées comme robustes). En effet, en plus de l’utilisation frauduleuse qu’il pourrait être fait de ces réseaux, des escrocs pourraient entièrement détourner ces réseaux à leur profit en mettant en œuvre un « spoofing » (usurpation des adresses réseaux) directement sur celui-ci. Le « spoofing » est une technique qui permet de récupérer l'accès à des informations en se faisant passer pour le site internet dont on usurpe l’adresse réseau. 4 Bonnes pratiques de navigation Lors du paiement d'une transaction par carte bancaire, vérifiez bien que la transmission des données se fait de façon sécurisée. Pour cela, il s’agit simplement de vérifier dans la barre d'adresse que, devant le nom du site, est indiqué « https:// » et non simplement « http:// » et la présence d’un petit cadenas ou un verrou fermé en bas à droite de la fenêtre du navigateur 5 Autres Bonnes pratiques Il est recommandé de ne jamais stocker le numéro de la carte bancaire en clair sur le disque dur du poste de travail, et encore moins sur celui d’un ordinateur portable ou d’une clé USB. Page 5 sur 5