SlideShare une entreprise Scribd logo

la sécurité dans la commerce electronique

Télécharger en tant que PPT, PDF
Mouna Slama
Mouna Slama
Technologie
1  sur  43
La Sécurité dans la Commerce électronique Réalisé par : Slama Mouna
PLAN 1. Définition du Commerce Electronique 2. Concepts de base 3. La sécurité des données 4. La sécurité des transactions 5. La sécurité des réseaux 6. Conclusion 2
1. DÉFINITION DU COMMERCE ELECTRONIQUE  Le commerce électronique décrit le processus d’achat, de vente de biens et de services et d’échange d’informations par le biais de réseaux de communication y compris l’internet. 3
2. CONCEPTS DE BASE  La sécurité informatique est un ensemble de tactiques retardant l’accès non autorisé à des données. Politique de sécurité : énumérer ce qui est autorisé exp : Le marchand veut vendre seulement pour les clients qu’il connait Services de sécurité : qu’est-ce qu’on garantie ? Mécanismes : par quels moyens on assure ces services 4
2.1. LES SERVICES DE SÉCURITÉ  Authentification : lors de l'envoi d'un message ou lors de la connexion à un système, on connaît sûrement l'identité de l'émetteur ou l'identité de l'utilisateur qui s'est connecté.  Confidentialité : assure que seulement les personnes autorisées peuvent comprendre les données protégées. De plus, elle assure de cacher le fait qu’il y a une communication .  Intégrité : on a la garantie qu'un message expédié n'a pas été altéré, accidentellement ou intentionnellement. 5
2.1. LES SERVICES DE SÉCURITÉ (SUITE)  Non-répudiation : assure qu’une personne ne peut pas refuser d’avoir effectué une opération sur des données, c.à.d l’émetteur ne peut pas nier sa responsabilité d’envoi du message.  Contrôle d’accès : le site marchand dispose des ressources aidant au bon fonctionnement de son application du e-commerce. Le contrôle d’accès assure que seulement des personnes autorisées peuvent accéder à des ressources protégées 6
2.2. LES MENACES CONTRE LE CE Les menaces contre le CE sont :  l’usurpation d’identité,  l’interception de données,  la modification de données,  la répudiation et  l’accès non autorisé. 7
2.3. LES MÉCANISMES DE SÉCURITÉ  Les mécanismes de sécurité sont les moyens techniques permettant d’assurer les services de sécurité. Parmi les mécanismes, nous citons :  la cryptographie  la signature digitale  le certificat électronique 8
2.3. LES MÉCANISMES DE SÉCURITÉ (SUITE)  Il est à noter qu’il existe trois niveaux de sécurité, de données, de transactions et du réseau.  sécurité de données et des transactions : assurer la « privacy » et la confidentialité des messages électroniques et les paquets de données, ceci inclut le cryptage de données en utilisant diverses méthodes de cryptage.  sécurité client/serveur : assurer que uniquement les personnes permises accèdent aux ressources du réseau ou au contenu des serveurs web, ceci inclut la protection des mots de passe, l’utilisation de « encrypted smart cards » et firewalls. 9
3. LA SÉCURITÉ DES DONNÉES  La cryptographie est la contribution la plus forte dans le domaine de sécurité des données.  D’autres mécanismes sont apparus mais ils se basent sur le principe de cryptage. 10
3.1. LA CRYPTOGRAPHIE  Une méthode de cryptage et décryptage est appelée un chiffrement.  Généralement on a 2 fonctions liées : une pour crypter et l’autre pour décrypter.  Quelques méthodes de cryptage se basent sur des algorithmes secrets.  Tous les algorithmes modernes utilisent une clé pour contrôler le cryptage et le décryptage.  Il existe trois types d’algorithmes de cryptage : symétrique, asymétrique et hybride. 11
3.1.1. ALGORITHMES SYMÉTRIQUES 12 Cryptage symétrique Cette méthode est la plus simple à comprendre : si un expéditrice Anne(A) veut envoyer un message chiffré à un destinataire Bob (B) elle doit lui communiquer un mot de passe (Clé).
3.1.2. ALGORITHMES ASYMÉTRIQUES 13 La propriété des algorithmes asymétriques est qu'un message codé par une clé publique n'est lisible que par le propriétaire de la clé privée correspondante. A l'inverse, un message chiffré par la clé privé sera lisible par tous ceux qui possèdent la clé publique. Ainsi la clé privée d’Anne permet de prouver qu'elle est l'auteur d'un message, alors que sa clé publique préservera le contenu du message à destination d'Anne.
2.1.3. ALGORITHMES HYBRIDES En pratique, le cryptage asymétrique est utilisé pour sécuriser et distribuer la clé de session. Cette clé est utilisée avec un cryptage symétrique pour la communication. 14
3.1.3. ALGORITHMES HYBRIDES (SUITE) 1. L’expéditeur génère une clé de session aléatoire, la crype en utilisant la clé publique du receveur et l’envoie. 2. Le receveur décrypte le message avec sa clé privée pour retrouver la clé de session. 3. Les deux cryptent/décryptent leurs communications en utilisant la clé de session. 4. Les partenaires se mettent d’accord sur une nouvelle clé temporairement. 5. La clé est détruite à la fin de la session. 15
3.2. SIGNATURE DIGITALE  Une signature digitale est un protocole qui produit le même effet qu’une signature réelle. Elle est une marque que seul l’expéditeur peut faire 16
3.2. SIGNATURE DIGITALE (SUITE) Pour signer un message :  L’émetteur utilise sa clé privée pour crypter le message avec sa signature.  Le receveur peut vérifier la signature en utilisant la clé publique de l’émetteur.  Donc uniquement l’émetteur qui a pu signer le message puisque sa clé privée appartient à lui seulà authentification+non répudiation.  Le receveur sauvegarde le message et la signature pour toute vérification future. 17
3.2. SIGNATURE DIGITALE (SUITE) Scénario de la signature digitale : (envoyer un message M) 1. L’émetteur crypte le message avec sa clé privée, il obtient la signature S. 2. Il crypte le couple (M,S) avec la clé publique du receveur, il obtient le message M1 à envoyer. 3. Il envoie le message M1. 4. Le receveur décrypte M1 avec sa clé privée pour obtenir le couple (M,S). 5. Il décrypte S avec la clé publique de l’émetteur pour obtenir un message M.  6. Le receveur compare le message M qu’il a reçu dans le couple (M,S) avec le message M qu’il a trouvé. S’ils sont égaux alors il accepte le message, sinon il le rejette. 18
3.3. LE CERTIFICAT ÉLECTRONIQUE  Dans une transaction électronique l’expéditeur d’un message a besoin de s’assurer de la validité de l’identité réclamé par son destinataire par exemple un acheteur de CD sur internet doit vérifier qu’il a envoyé son virement électronique à un commerçant et non pas à un pirate qui aurait usurpé son identité. Afin de prouver leur identité aux acheteurs les commerçants utilisent un certificat numérique qui joue le rôle d’une pièce d’identité numérique. 19
3.3. LE CERTIFICAT ÉLECTRONIQUE (SUITE) Scénario du certificat électronique : 1. Pour obtenir ce certificat chaque entreprise doit envoyer à une autorité decertification différentes informations lui concernant ( dénomination sociale, adresse, émail, activité , clé publique..) 2. Puis l’autorité de certification vérifie les informations fournies et ajoute au certificat son propre nom, une date limite de validité, et surtout une signature numérique. Le format des certificats est défini par le standard X509v3. 3. Le certificat numérique est signé par la clé privé de l’organisme de certification et remis au demandeur sous forme d’un fichier qu’il peut stocker dans le disque dur de son PC ou sur une carte à puce ou un USB. 20
3.3. LE CERTIFICAT ÉLECTRONIQUE (SUITE) 4. L’organisme de certification publie le certificat décodé sur son annuaire. 5. Lorsque l’entreprise certifié souhaite prouver son identité à son destinataire, elle lui envoie son certificat. 6. Le destinataire déchiffre le certificat avec la clé public de l’organisme de certification et la compare avec la version disponible dans l’annuaire de CA lorsque l’expéditeur et le destinataire s’authentifient avec leurs certificats numériques ils peuvent communiquer avec des protocoles sécurisées tels que SSL (Secure sockets layer) et S –http. 21
4. LA SÉCURITÉ DES TRANSACTIONS  La sécurité de transaction concerne trois services :  L’authentification : le serveur est confient de l’identifiant des clients qu’il communique avec. (méthode commune : login+pwd)  La privacy et la confidentialité : la conversation du client avec le serveur est privée. (méthode commune : cryptage)  L’intégrité du message : la conversation du client est non modifié. (cryptage puis signature digitale) 22
4.1. S-HTTP L'HyperText Transfer Protocol, plus connu sous l'abréviation HTTP — littéralement « protocole de transfert hypertexte » — est un protocole de communication client-serveur développé pour le World Wide Web. HTTPS (avec S pour secured, soit « sécurisé ») est la variante du HTTP sécurisée par l'usage des protocoles SSL ou TLS. 23
4.2. SSL Transport Layer Security (TLS), anciennement nommé Secure Sockets Layer (SSL), est un protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape (SSL version 2 et SSL version 3). Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS. SSL est utilisé au niveau session. 24
4.2. SSL (SUITE)  Il crypte les adresses IP d’où la confidentialité de communication.  Il crypte le numéro de port, donc l’application en cours d’exécution est inconnue. Problème d’acheminement du paquet par les routeurs puisque l’adresse IP qu’il doit chercher dans sa table de routage est illisible.  la solution est de configuer les routeurs de façon qu’ils seront capables d’extraire l’adresse IP en clair (par décryptage). 25
4.3. SET SET (Secure Electronic Transaction) est un protocole de sécurisation des transactions électroniques mis au point par Visa et MasterCard, et s'appuyant sur le standard SSL. SET est basé sur l'utilisation d'une signature électronique au niveau de l'acheteur et une transaction mettant en jeu non seulement l'acheteur et le vendeur, mais aussi leurs banques respectives. 26
4.3. SET (SUITE) 27 Lors d'une transaction sécurisée avec SET, les données sont envoyées par le client au serveur du vendeur, mais ce dernier ne récupère que la commande. En effet, le numéro de carte bleue est envoyé directement à la banque du commerçant, qui va être en mesure de lire les coordonnées bancaires de l'acheteur, et donc de contacter sa banque afin de les vérifier en temps réel.
3.4. VPN 28 Le réseau privé virtuel (Virtual Private Network ) est vu comme une extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Il correspond en fait à une interconnexion de réseaux locaux via une technique de « tunnel » (canal sécurisé gràace au chiffrement des messages). On parle de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure partagée avec d'autres organismes.
5. LA SÉCURITÉ DES RÉSEAUX Il existe deux approches différentes :  les moyens classiques.  la nouvelle tendance. 29
5.1. LES MOYENS CLASSIQUE Parmi les moyens Classiques de sécurité, on cite :  Les réseaux privés:  Services cachés. (par exemple nommer « ventes.html » au lieu de « index.html »)  Code d’accès et mots de passes.  La journalisation : Le concept d'historique des événements ou de logging désigne l'enregistrement séquentiel dans un fichier ou une base de données de tous les événements affectant un processus particulier 30
5.2 LA NOUVELLE TENDANCE  Parmi les moyens nouveaux de sécurité, on cite :  le serveur proxy.  le firewall : logiciel et matériel 31
LE SERVEUR PROXY. Les serveurs proxy remplissent deux fonctions principales : amélioration des performances du réseau et filtrage des demandes des ordinateurs clients. • Amélioration des performances Les serveurs proxy réduisent le temps nécessaire pour répondre aux demandes émises par des groupes d'utilisateurs. En effet, un serveur proxy met en cache, ou enregistre, les résultats de toutes les demandes transmises pendant un laps de temps. 32
LE SERVEUR PROXY (SUITE) Si un utilisateur souhaite afficher de nouveau une page Web déjà demandée, le serveur proxy lui renvoie simplement cette page, au lieu de transférer sa demande au serveur Web et de télécharger la même page.  Filtrage des demandes des ordinateurs clients Les serveurs proxy permettent aussi de filtrer les demandes des ordinateurs clients pour certaines connexions à Internet. Par exemple, une entreprise peut utiliser un serveur proxy pour empêcher ses employés d'accéder à un ensemble particulier de sites Web. 33
FONCTIONNEMENT D'UN SERVEUR PROXY  Lors de l'utilisation d'un serveur proxy, les ordinateurs du réseau local sont configurés avec des adresses IP privées. Lorsqu'un ordinateur transmet une demande de connexion à Internet, il transmet ses données au serveur proxy par le biais du réseau TCP/IP. Le serveur proxy modifie la demande, insère ses propres nom et adresse IP, laquelle est fournie par le fournisseur de services Internet, puis envoie les données sur Internet. Lorsqu'une réponse à la demande est reçue, le serveur proxy la renvoie à l'ordinateur qui est à l'origine de la demande , par le biais du réseau local . Le proxy s’exécute à l’intranet, il connait les clients donc il peut les identifier grâce à une table d’habilitation définissant les droits d’accès des clients. 34
LE FIREWALL 35 Tout réseau connecté à Internet doit transmettre des communications à travers un pare-feu. Un pare-feu représente la combinaison d'éléments logiciels et matériels qui interdit l'accès non autorisé à un réseau interne à partir de l'extérieur. Tous les messages du réseau, en entrée ou en sortie, passent par le pare-feu, qui les examine et bloque ceux qui ne répondent pas aux critères de sécurité définis. Un pare-feu filtre le trafic qui ne doit pas passer d'Internet à votre réseau privé, par exemple des messages échangés entre deux ordinateurs sur votre réseau privé.
FONCTIONNEMENT D'UN PARE- FEU Un pare-feu empêche toute communication directe entre le réseau et des ordinateurs externes en routant les communications par l'intermédiaire d'un serveur proxy situé à l'extérieur du réseau. Le pare- feu détermine s'il n'est pas dangereux de laisser un fichier passer, vers ou depuis le réseau. Un pare-feu est appelé également passerelle de sécurité.Une passerelle est un système connecté à plusieurs réseaux TCP/IP physiques, et capable de router ou de remettre des paquets IP entre eux. Une passerelle assure la conversion entre des protocoles de transport ou des formats de données différents, par exemple IPX (Internetwork Packet eXchange) et IP. Elle est principalement ajoutée à un réseau pour ses capacités de conversion. 36
MACHINE FIREWALL DÉDIÉE (SOFT) C’est un machine configurée uniquement pour la sécurité (appelée bastion). • Les utilisateurs doivent se connecter sur des applications fiables sur le firewall avant toute autre connexion. • il faut garder seulement les comptes des utilisateurs qui sont responsables de la configuration du firewall. 37
MACHINE FIREWALL DÉDIÉE (SOFT) (SUITE) • il faut d’enlever tout fichier exécutable non nécessaire surtout les programmes réseaux tels que FTP, Telnet… (uniquement le firewall s’exécute) • Etendre « audit log » et monitoring pour vérifier les accès à distance grâce aux scénarios modélisant une attaque. • désactiver « ip forwarding » pour éviter que le firewall transfère des paquets non autorisés entre internet et intranet. 38
PACKET SCREENING ROUTER (HARD) La fonction de base d’un routeur est la transmission du paquet à la base des adresses ip source et destination en consultant sa table de routage. Exemple de règles de filtrages : • basé sur le protocole (TCP, UDP, ICMP) • basé sur l’adresse IP source • basé sur le N° de port destination (port 80 donc application Web).  Rapide car c’est du matériel programmé (exécution hard est plus rapide que l’exécution soft). 39
PACKET SCREENING ROUTER (HARD)  Les règles de filtrage sont difficiles à spécifier (il existe différents besoins).  Dès le début il faut spécifier presque la majorité des règles de filtrage d’où elles sont pré-programmées à l’achat. C’est pourquoi il est difficile de changer ces fonctionnalités.  Il peut être dupé (trompé) par un client qui comprend les règles de filtrage (par exp : il change le N° du port TCP).  Le routeur n’assure pas l’authentification car il ne connaît pas la personne plutôt la machine. Donc Ali peut se connecter de n’importe quelle machine du réseau et donc il peut tromper le routeur.  Coûte cher. 40
6. CONCLUSION Sécurité des échanges, confidentialité, authenticité sont les garanties exigées dans le commerce électronique. Des dispositions ont donc été prises pour protéger au maximum les consommateurs et les commerçants contre les usurpations, les non-paiements, toutes les fraudes qui peuvent sévir sur Internet. Ces dispositions concernent plus particulièrement la sécurité des paiements, la protection des consommateurs mais également la signature sécurisée des contrats de commerce électronique. 41
BIBLIOGRAPHIE  http://www.murielle-cahen.com/publications/p_1securite.asp  http://www.cairn.info/revue-economique-2004-4-p-689.htm  http://www.clusif.fr/fr/production/ouvrages/pdf/SecuriteSite  http://www.clusif.fr/fr/production/ouvrages/pdf/SecuriteSite  http://www.journaldunet.com/0301/030116loicommerce.shtm 42
43

Recommandé

Mémoire de fin d'études : Créer de l'engagement sur les réseaux sociaux
Mémoire de fin d'études : Créer de l'engagement sur les réseaux sociauxMémoire de fin d'études : Créer de l'engagement sur les réseaux sociaux
Mémoire de fin d'études : Créer de l'engagement sur les réseaux sociauxNina Mangeot
 
Internet des Objets
Internet des ObjetsInternet des Objets
Internet des ObjetsDhiaeddine Loghmari
 
Modèle cahier des charges site web
Modèle cahier des charges site webModèle cahier des charges site web
Modèle cahier des charges site webJEAN-GUILLAUME DUJARDIN
 
gestion production
gestion productiongestion production
gestion productionReda Eci
 
Rapport de fin formation
Rapport de fin formationRapport de fin formation
Rapport de fin formationAhmam Abderrahmane
 
Gagner des clients grâce au marketing digital
Gagner des clients grâce au marketing digitalGagner des clients grâce au marketing digital
Gagner des clients grâce au marketing digitalConcept Image
 
Marketing événementiel 2.0
Marketing événementiel 2.0Marketing événementiel 2.0
Marketing événementiel 2.0Abdelkarim Benabdallah
 
Mémoire communication digitale (extrait)
Mémoire communication digitale (extrait)Mémoire communication digitale (extrait)
Mémoire communication digitale (extrait)Adrien Tilhet-Prat
 

Recommandé

Mémoire de fin d'études : Créer de l'engagement sur les réseaux sociaux
Mémoire de fin d'études : Créer de l'engagement sur les réseaux sociauxMémoire de fin d'études : Créer de l'engagement sur les réseaux sociaux
Mémoire de fin d'études : Créer de l'engagement sur les réseaux sociauxNina Mangeot
 
Internet des Objets
Internet des ObjetsInternet des Objets
Internet des ObjetsDhiaeddine Loghmari
 
Modèle cahier des charges site web
Modèle cahier des charges site webModèle cahier des charges site web
Modèle cahier des charges site webJEAN-GUILLAUME DUJARDIN
 
gestion production
gestion productiongestion production
gestion productionReda Eci
 
Rapport de fin formation
Rapport de fin formationRapport de fin formation
Rapport de fin formationAhmam Abderrahmane
 
Gagner des clients grâce au marketing digital
Gagner des clients grâce au marketing digitalGagner des clients grâce au marketing digital
Gagner des clients grâce au marketing digitalConcept Image
 
Marketing événementiel 2.0
Marketing événementiel 2.0Marketing événementiel 2.0
Marketing événementiel 2.0Abdelkarim Benabdallah
 
Mémoire communication digitale (extrait)
Mémoire communication digitale (extrait)Mémoire communication digitale (extrait)
Mémoire communication digitale (extrait)Adrien Tilhet-Prat
 
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...Riadh K.
 
La présence Social Media des entreprises marocaines
La présence Social Media des entreprises marocainesLa présence Social Media des entreprises marocaines
La présence Social Media des entreprises marocainesYoussef Belhaj HMC
 
Rapport de stage du fin d'étude
Rapport de stage du fin d'étudeRapport de stage du fin d'étude
Rapport de stage du fin d'étudeYahyaoui Mohamed Yosri
 
Ppt memoire de fin d'étude Marketing de contenu Master 1
Ppt memoire de fin d'étude Marketing de contenu Master 1Ppt memoire de fin d'étude Marketing de contenu Master 1
Ppt memoire de fin d'étude Marketing de contenu Master 1rokaya lachgar
 
Rapport Projet Fin d'Études PFE
Rapport Projet Fin d'Études PFERapport Projet Fin d'Études PFE
Rapport Projet Fin d'Études PFEMohamed Amine Mahmoudi
 
Exposé Marketing digital
Exposé Marketing digitalExposé Marketing digital
Exposé Marketing digitalFaculty of Economic Studies
 
Le Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentauxLe Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentauxAppsolute Digital
 
E commerce en Tunisie
E commerce en TunisieE commerce en Tunisie
E commerce en TunisieKhabbab HADHRI
 
Rapport de stage PFE - Mémoire master: Développement d'une application Android
Rapport de stage PFE - Mémoire master: Développement d'une application AndroidRapport de stage PFE - Mémoire master: Développement d'une application Android
Rapport de stage PFE - Mémoire master: Développement d'une application AndroidBadrElattaoui
 
Conception d’une plateforme web d’e-Commerce au sein d’une entreprise commerc...
Conception d’une plateforme web d’e-Commerce au sein d’une entreprise commerc...Conception d’une plateforme web d’e-Commerce au sein d’une entreprise commerc...
Conception d’une plateforme web d’e-Commerce au sein d’une entreprise commerc...Symphorien Niyonzima
 
rapport de stage
rapport de stagerapport de stage
rapport de stageMarouane Gh
 
Conception et réalisation d'une application web et mobile de e-commerce
Conception et réalisation d'une application web et mobile de e-commerceConception et réalisation d'une application web et mobile de e-commerce
Conception et réalisation d'une application web et mobile de e-commerceAHMEDBELGHITH4
 
Rapport Projet de Fin d'Etudes
Rapport Projet de Fin d'EtudesRapport Projet de Fin d'Etudes
Rapport Projet de Fin d'EtudesHosni Mansour
 
Présentation PFE
Présentation PFEPrésentation PFE
Présentation PFESemah Mhamdi
 
Modele rapport pfe esprit
Modele rapport pfe espritModele rapport pfe esprit
Modele rapport pfe espritAmine Chahed
 
Rapport Pfe Application Web e-commerce Symfony2
Rapport Pfe Application Web e-commerce Symfony2Rapport Pfe Application Web e-commerce Symfony2
Rapport Pfe Application Web e-commerce Symfony2Ben Abdelwahed Slim
 
Comment intégrer l'Inbound Marketing dans sa stratégie digitale B to B afin d...
Comment intégrer l'Inbound Marketing dans sa stratégie digitale B to B afin d...Comment intégrer l'Inbound Marketing dans sa stratégie digitale B to B afin d...
Comment intégrer l'Inbound Marketing dans sa stratégie digitale B to B afin d...David Planchot
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Plan de communication digitale
Plan de communication digitalePlan de communication digitale
Plan de communication digitaleTarik Zghinou
 
Pfe conception et réalisation d'une application de gestion des processus d'ac...
Pfe conception et réalisation d'une application de gestion des processus d'ac...Pfe conception et réalisation d'une application de gestion des processus d'ac...
Pfe conception et réalisation d'une application de gestion des processus d'ac...Ahmed Makni
 
Chapitre 4
Chapitre 4Chapitre 4
Chapitre 4Raouf Jaziri
 
application SSL_TLS.pptx
application SSL_TLS.pptxapplication SSL_TLS.pptx
application SSL_TLS.pptxkohay75604
 

Contenu connexe

Tendances

Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...Riadh K.
 
La présence Social Media des entreprises marocaines
La présence Social Media des entreprises marocainesLa présence Social Media des entreprises marocaines
La présence Social Media des entreprises marocainesYoussef Belhaj HMC
 
Ppt memoire de fin d'étude Marketing de contenu Master 1
Ppt memoire de fin d'étude Marketing de contenu Master 1Ppt memoire de fin d'étude Marketing de contenu Master 1
Ppt memoire de fin d'étude Marketing de contenu Master 1rokaya lachgar
 
Le Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentauxLe Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentauxAppsolute Digital
 
Rapport de stage PFE - Mémoire master: Développement d'une application Android
Rapport de stage PFE - Mémoire master: Développement d'une application AndroidRapport de stage PFE - Mémoire master: Développement d'une application Android
Rapport de stage PFE - Mémoire master: Développement d'une application AndroidBadrElattaoui
 
Conception d’une plateforme web d’e-Commerce au sein d’une entreprise commerc...
Conception d’une plateforme web d’e-Commerce au sein d’une entreprise commerc...Conception d’une plateforme web d’e-Commerce au sein d’une entreprise commerc...
Conception d’une plateforme web d’e-Commerce au sein d’une entreprise commerc...Symphorien Niyonzima
 
rapport de stage
rapport de stagerapport de stage
rapport de stageMarouane Gh
 
Conception et réalisation d'une application web et mobile de e-commerce
Conception et réalisation d'une application web et mobile de e-commerceConception et réalisation d'une application web et mobile de e-commerce
Conception et réalisation d'une application web et mobile de e-commerceAHMEDBELGHITH4
 
Rapport Projet de Fin d'Etudes
Rapport Projet de Fin d'EtudesRapport Projet de Fin d'Etudes
Rapport Projet de Fin d'EtudesHosni Mansour
 
Modele rapport pfe esprit
Modele rapport pfe espritModele rapport pfe esprit
Modele rapport pfe espritAmine Chahed
 
Rapport Pfe Application Web e-commerce Symfony2
Rapport Pfe Application Web e-commerce Symfony2Rapport Pfe Application Web e-commerce Symfony2
Rapport Pfe Application Web e-commerce Symfony2Ben Abdelwahed Slim
 
Comment intégrer l'Inbound Marketing dans sa stratégie digitale B to B afin d...
Comment intégrer l'Inbound Marketing dans sa stratégie digitale B to B afin d...Comment intégrer l'Inbound Marketing dans sa stratégie digitale B to B afin d...
Comment intégrer l'Inbound Marketing dans sa stratégie digitale B to B afin d...David Planchot
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Plan de communication digitale
Plan de communication digitalePlan de communication digitale
Plan de communication digitaleTarik Zghinou
 
Pfe conception et réalisation d'une application de gestion des processus d'ac...
Pfe conception et réalisation d'une application de gestion des processus d'ac...Pfe conception et réalisation d'une application de gestion des processus d'ac...
Pfe conception et réalisation d'une application de gestion des processus d'ac...Ahmed Makni
 

Tendances (20)

Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
 
La présence Social Media des entreprises marocaines
La présence Social Media des entreprises marocainesLa présence Social Media des entreprises marocaines
La présence Social Media des entreprises marocaines
 
Rapport de stage du fin d'étude
Rapport de stage du fin d'étudeRapport de stage du fin d'étude
Rapport de stage du fin d'étude
 
Ppt memoire de fin d'étude Marketing de contenu Master 1
Ppt memoire de fin d'étude Marketing de contenu Master 1Ppt memoire de fin d'étude Marketing de contenu Master 1
Ppt memoire de fin d'étude Marketing de contenu Master 1
 
Rapport Projet Fin d'Études PFE
Rapport Projet Fin d'Études PFERapport Projet Fin d'Études PFE
Rapport Projet Fin d'Études PFE
 
Exposé Marketing digital
Exposé Marketing digitalExposé Marketing digital
Exposé Marketing digital
 
Le Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentauxLe Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentaux
 
E commerce en Tunisie
E commerce en TunisieE commerce en Tunisie
E commerce en Tunisie
 
Rapport de stage PFE - Mémoire master: Développement d'une application Android
Rapport de stage PFE - Mémoire master: Développement d'une application AndroidRapport de stage PFE - Mémoire master: Développement d'une application Android
Rapport de stage PFE - Mémoire master: Développement d'une application Android
 
Conception d’une plateforme web d’e-Commerce au sein d’une entreprise commerc...
Conception d’une plateforme web d’e-Commerce au sein d’une entreprise commerc...Conception d’une plateforme web d’e-Commerce au sein d’une entreprise commerc...
Conception d’une plateforme web d’e-Commerce au sein d’une entreprise commerc...
 
rapport de stage
rapport de stagerapport de stage
rapport de stage
 
Conception et réalisation d'une application web et mobile de e-commerce
Conception et réalisation d'une application web et mobile de e-commerceConception et réalisation d'une application web et mobile de e-commerce
Conception et réalisation d'une application web et mobile de e-commerce
 
Rapport Projet de Fin d'Etudes
Rapport Projet de Fin d'EtudesRapport Projet de Fin d'Etudes
Rapport Projet de Fin d'Etudes
 
Présentation PFE
Présentation PFEPrésentation PFE
Présentation PFE
 
Modele rapport pfe esprit
Modele rapport pfe espritModele rapport pfe esprit
Modele rapport pfe esprit
 
Rapport Pfe Application Web e-commerce Symfony2
Rapport Pfe Application Web e-commerce Symfony2Rapport Pfe Application Web e-commerce Symfony2
Rapport Pfe Application Web e-commerce Symfony2
 
Comment intégrer l'Inbound Marketing dans sa stratégie digitale B to B afin d...
Comment intégrer l'Inbound Marketing dans sa stratégie digitale B to B afin d...Comment intégrer l'Inbound Marketing dans sa stratégie digitale B to B afin d...
Comment intégrer l'Inbound Marketing dans sa stratégie digitale B to B afin d...
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
Plan de communication digitale
Plan de communication digitalePlan de communication digitale
Plan de communication digitale
 
Pfe conception et réalisation d'une application de gestion des processus d'ac...
Pfe conception et réalisation d'une application de gestion des processus d'ac...Pfe conception et réalisation d'une application de gestion des processus d'ac...
Pfe conception et réalisation d'une application de gestion des processus d'ac...
 

Similaire à la sécurité dans la commerce electronique

application SSL_TLS.pptx
application SSL_TLS.pptxapplication SSL_TLS.pptx
application SSL_TLS.pptxkohay75604
 
Signature et certificat electroniques (2007)
Signature et certificat electroniques (2007)Signature et certificat electroniques (2007)
Signature et certificat electroniques (2007)Ardesi Midi-Pyrénées
 
Crypto camer
Crypto camerCrypto camer
Crypto camerdilan23
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANEAfnic
 
0673-la-securite-des-reseaux-informatique.pdf
0673-la-securite-des-reseaux-informatique.pdf0673-la-securite-des-reseaux-informatique.pdf
0673-la-securite-des-reseaux-informatique.pdfdaniel896285
 
Internet, Intranet, Extranet et Pharmacie Hospitalière
Internet, Intranet, Extranet et Pharmacie HospitalièreInternet, Intranet, Extranet et Pharmacie Hospitalière
Internet, Intranet, Extranet et Pharmacie HospitalièreADIPh
 
Protection des emails
Protection des emailsProtection des emails
Protection des emailsSalma HARIM
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKISylvain Maret
 
CryptoChapitre1-2-3.ppt
CryptoChapitre1-2-3.pptCryptoChapitre1-2-3.ppt
CryptoChapitre1-2-3.pptSaraNamane
 

Similaire à la sécurité dans la commerce electronique (20)

Chapitre 4
Chapitre 4Chapitre 4
Chapitre 4
 
application SSL_TLS.pptx
application SSL_TLS.pptxapplication SSL_TLS.pptx
application SSL_TLS.pptx
 
Cours si1
Cours si1Cours si1
Cours si1
 
Le protocole tls
Le protocole tlsLe protocole tls
Le protocole tls
 
SSL.TLS.pptx
SSL.TLS.pptxSSL.TLS.pptx
SSL.TLS.pptx
 
Signature et certificat electroniques (2007)
Signature et certificat electroniques (2007)Signature et certificat electroniques (2007)
Signature et certificat electroniques (2007)
 
Crypto camer
Crypto camerCrypto camer
Crypto camer
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Tp rsa1
Tp rsa1Tp rsa1
Tp rsa1
 
SSL/TSL Protocols
SSL/TSL ProtocolsSSL/TSL Protocols
SSL/TSL Protocols
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
 
0673-la-securite-des-reseaux-informatique.pdf
0673-la-securite-des-reseaux-informatique.pdf0673-la-securite-des-reseaux-informatique.pdf
0673-la-securite-des-reseaux-informatique.pdf
 
SSL.pdf
SSL.pdfSSL.pdf
SSL.pdf
 
Internet, Intranet, Extranet et Pharmacie Hospitalière
Internet, Intranet, Extranet et Pharmacie HospitalièreInternet, Intranet, Extranet et Pharmacie Hospitalière
Internet, Intranet, Extranet et Pharmacie Hospitalière
 
Protection des emails
Protection des emailsProtection des emails
Protection des emails
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
 
Https,ssl,ssh
Https,ssl,sshHttps,ssl,ssh
Https,ssl,ssh
 
CryptoChapitre1-2-3.ppt
CryptoChapitre1-2-3.pptCryptoChapitre1-2-3.ppt
CryptoChapitre1-2-3.ppt
 
Eregex Terminologie Clients
Eregex Terminologie ClientsEregex Terminologie Clients
Eregex Terminologie Clients
 

la sécurité dans la commerce electronique

  • 1. La Sécurité dans la Commerce électronique Réalisé par : Slama Mouna
  • 2. PLAN 1. Définition du Commerce Electronique 2. Concepts de base 3. La sécurité des données 4. La sécurité des transactions 5. La sécurité des réseaux 6. Conclusion 2
  • 3. 1. DÉFINITION DU COMMERCE ELECTRONIQUE  Le commerce électronique décrit le processus d’achat, de vente de biens et de services et d’échange d’informations par le biais de réseaux de communication y compris l’internet. 3
  • 4. 2. CONCEPTS DE BASE  La sécurité informatique est un ensemble de tactiques retardant l’accès non autorisé à des données. Politique de sécurité : énumérer ce qui est autorisé exp : Le marchand veut vendre seulement pour les clients qu’il connait Services de sécurité : qu’est-ce qu’on garantie ? Mécanismes : par quels moyens on assure ces services 4
  • 5. 2.1. LES SERVICES DE SÉCURITÉ  Authentification : lors de l'envoi d'un message ou lors de la connexion à un système, on connaît sûrement l'identité de l'émetteur ou l'identité de l'utilisateur qui s'est connecté.  Confidentialité : assure que seulement les personnes autorisées peuvent comprendre les données protégées. De plus, elle assure de cacher le fait qu’il y a une communication .  Intégrité : on a la garantie qu'un message expédié n'a pas été altéré, accidentellement ou intentionnellement. 5
  • 6. 2.1. LES SERVICES DE SÉCURITÉ (SUITE)  Non-répudiation : assure qu’une personne ne peut pas refuser d’avoir effectué une opération sur des données, c.à.d l’émetteur ne peut pas nier sa responsabilité d’envoi du message.  Contrôle d’accès : le site marchand dispose des ressources aidant au bon fonctionnement de son application du e-commerce. Le contrôle d’accès assure que seulement des personnes autorisées peuvent accéder à des ressources protégées 6
  • 7. 2.2. LES MENACES CONTRE LE CE Les menaces contre le CE sont :  l’usurpation d’identité,  l’interception de données,  la modification de données,  la répudiation et  l’accès non autorisé. 7
  • 8. 2.3. LES MÉCANISMES DE SÉCURITÉ  Les mécanismes de sécurité sont les moyens techniques permettant d’assurer les services de sécurité. Parmi les mécanismes, nous citons :  la cryptographie  la signature digitale  le certificat électronique 8
  • 9. 2.3. LES MÉCANISMES DE SÉCURITÉ (SUITE)  Il est à noter qu’il existe trois niveaux de sécurité, de données, de transactions et du réseau.  sécurité de données et des transactions : assurer la « privacy » et la confidentialité des messages électroniques et les paquets de données, ceci inclut le cryptage de données en utilisant diverses méthodes de cryptage.  sécurité client/serveur : assurer que uniquement les personnes permises accèdent aux ressources du réseau ou au contenu des serveurs web, ceci inclut la protection des mots de passe, l’utilisation de « encrypted smart cards » et firewalls. 9
  • 10. 3. LA SÉCURITÉ DES DONNÉES  La cryptographie est la contribution la plus forte dans le domaine de sécurité des données.  D’autres mécanismes sont apparus mais ils se basent sur le principe de cryptage. 10
  • 11. 3.1. LA CRYPTOGRAPHIE  Une méthode de cryptage et décryptage est appelée un chiffrement.  Généralement on a 2 fonctions liées : une pour crypter et l’autre pour décrypter.  Quelques méthodes de cryptage se basent sur des algorithmes secrets.  Tous les algorithmes modernes utilisent une clé pour contrôler le cryptage et le décryptage.  Il existe trois types d’algorithmes de cryptage : symétrique, asymétrique et hybride. 11
  • 12. 3.1.1. ALGORITHMES SYMÉTRIQUES 12 Cryptage symétrique Cette méthode est la plus simple à comprendre : si un expéditrice Anne(A) veut envoyer un message chiffré à un destinataire Bob (B) elle doit lui communiquer un mot de passe (Clé).
  • 13. 3.1.2. ALGORITHMES ASYMÉTRIQUES 13 La propriété des algorithmes asymétriques est qu'un message codé par une clé publique n'est lisible que par le propriétaire de la clé privée correspondante. A l'inverse, un message chiffré par la clé privé sera lisible par tous ceux qui possèdent la clé publique. Ainsi la clé privée d’Anne permet de prouver qu'elle est l'auteur d'un message, alors que sa clé publique préservera le contenu du message à destination d'Anne.
  • 14. 2.1.3. ALGORITHMES HYBRIDES En pratique, le cryptage asymétrique est utilisé pour sécuriser et distribuer la clé de session. Cette clé est utilisée avec un cryptage symétrique pour la communication. 14
  • 15. 3.1.3. ALGORITHMES HYBRIDES (SUITE) 1. L’expéditeur génère une clé de session aléatoire, la crype en utilisant la clé publique du receveur et l’envoie. 2. Le receveur décrypte le message avec sa clé privée pour retrouver la clé de session. 3. Les deux cryptent/décryptent leurs communications en utilisant la clé de session. 4. Les partenaires se mettent d’accord sur une nouvelle clé temporairement. 5. La clé est détruite à la fin de la session. 15
  • 16. 3.2. SIGNATURE DIGITALE  Une signature digitale est un protocole qui produit le même effet qu’une signature réelle. Elle est une marque que seul l’expéditeur peut faire 16
  • 17. 3.2. SIGNATURE DIGITALE (SUITE) Pour signer un message :  L’émetteur utilise sa clé privée pour crypter le message avec sa signature.  Le receveur peut vérifier la signature en utilisant la clé publique de l’émetteur.  Donc uniquement l’émetteur qui a pu signer le message puisque sa clé privée appartient à lui seulà authentification+non répudiation.  Le receveur sauvegarde le message et la signature pour toute vérification future. 17
  • 18. 3.2. SIGNATURE DIGITALE (SUITE) Scénario de la signature digitale : (envoyer un message M) 1. L’émetteur crypte le message avec sa clé privée, il obtient la signature S. 2. Il crypte le couple (M,S) avec la clé publique du receveur, il obtient le message M1 à envoyer. 3. Il envoie le message M1. 4. Le receveur décrypte M1 avec sa clé privée pour obtenir le couple (M,S). 5. Il décrypte S avec la clé publique de l’émetteur pour obtenir un message M.  6. Le receveur compare le message M qu’il a reçu dans le couple (M,S) avec le message M qu’il a trouvé. S’ils sont égaux alors il accepte le message, sinon il le rejette. 18
  • 19. 3.3. LE CERTIFICAT ÉLECTRONIQUE  Dans une transaction électronique l’expéditeur d’un message a besoin de s’assurer de la validité de l’identité réclamé par son destinataire par exemple un acheteur de CD sur internet doit vérifier qu’il a envoyé son virement électronique à un commerçant et non pas à un pirate qui aurait usurpé son identité. Afin de prouver leur identité aux acheteurs les commerçants utilisent un certificat numérique qui joue le rôle d’une pièce d’identité numérique. 19
  • 20. 3.3. LE CERTIFICAT ÉLECTRONIQUE (SUITE) Scénario du certificat électronique : 1. Pour obtenir ce certificat chaque entreprise doit envoyer à une autorité decertification différentes informations lui concernant ( dénomination sociale, adresse, émail, activité , clé publique..) 2. Puis l’autorité de certification vérifie les informations fournies et ajoute au certificat son propre nom, une date limite de validité, et surtout une signature numérique. Le format des certificats est défini par le standard X509v3. 3. Le certificat numérique est signé par la clé privé de l’organisme de certification et remis au demandeur sous forme d’un fichier qu’il peut stocker dans le disque dur de son PC ou sur une carte à puce ou un USB. 20
  • 21. 3.3. LE CERTIFICAT ÉLECTRONIQUE (SUITE) 4. L’organisme de certification publie le certificat décodé sur son annuaire. 5. Lorsque l’entreprise certifié souhaite prouver son identité à son destinataire, elle lui envoie son certificat. 6. Le destinataire déchiffre le certificat avec la clé public de l’organisme de certification et la compare avec la version disponible dans l’annuaire de CA lorsque l’expéditeur et le destinataire s’authentifient avec leurs certificats numériques ils peuvent communiquer avec des protocoles sécurisées tels que SSL (Secure sockets layer) et S –http. 21
  • 22. 4. LA SÉCURITÉ DES TRANSACTIONS  La sécurité de transaction concerne trois services :  L’authentification : le serveur est confient de l’identifiant des clients qu’il communique avec. (méthode commune : login+pwd)  La privacy et la confidentialité : la conversation du client avec le serveur est privée. (méthode commune : cryptage)  L’intégrité du message : la conversation du client est non modifié. (cryptage puis signature digitale) 22
  • 23. 4.1. S-HTTP L'HyperText Transfer Protocol, plus connu sous l'abréviation HTTP — littéralement « protocole de transfert hypertexte » — est un protocole de communication client-serveur développé pour le World Wide Web. HTTPS (avec S pour secured, soit « sécurisé ») est la variante du HTTP sécurisée par l'usage des protocoles SSL ou TLS. 23
  • 24. 4.2. SSL Transport Layer Security (TLS), anciennement nommé Secure Sockets Layer (SSL), est un protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape (SSL version 2 et SSL version 3). Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS. SSL est utilisé au niveau session. 24
  • 25. 4.2. SSL (SUITE)  Il crypte les adresses IP d’où la confidentialité de communication.  Il crypte le numéro de port, donc l’application en cours d’exécution est inconnue. Problème d’acheminement du paquet par les routeurs puisque l’adresse IP qu’il doit chercher dans sa table de routage est illisible.  la solution est de configuer les routeurs de façon qu’ils seront capables d’extraire l’adresse IP en clair (par décryptage). 25
  • 26. 4.3. SET SET (Secure Electronic Transaction) est un protocole de sécurisation des transactions électroniques mis au point par Visa et MasterCard, et s'appuyant sur le standard SSL. SET est basé sur l'utilisation d'une signature électronique au niveau de l'acheteur et une transaction mettant en jeu non seulement l'acheteur et le vendeur, mais aussi leurs banques respectives. 26
  • 27. 4.3. SET (SUITE) 27 Lors d'une transaction sécurisée avec SET, les données sont envoyées par le client au serveur du vendeur, mais ce dernier ne récupère que la commande. En effet, le numéro de carte bleue est envoyé directement à la banque du commerçant, qui va être en mesure de lire les coordonnées bancaires de l'acheteur, et donc de contacter sa banque afin de les vérifier en temps réel.
  • 28. 3.4. VPN 28 Le réseau privé virtuel (Virtual Private Network ) est vu comme une extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Il correspond en fait à une interconnexion de réseaux locaux via une technique de « tunnel » (canal sécurisé gràace au chiffrement des messages). On parle de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure partagée avec d'autres organismes.
  • 29. 5. LA SÉCURITÉ DES RÉSEAUX Il existe deux approches différentes :  les moyens classiques.  la nouvelle tendance. 29
  • 30. 5.1. LES MOYENS CLASSIQUE Parmi les moyens Classiques de sécurité, on cite :  Les réseaux privés:  Services cachés. (par exemple nommer « ventes.html » au lieu de « index.html »)  Code d’accès et mots de passes.  La journalisation : Le concept d'historique des événements ou de logging désigne l'enregistrement séquentiel dans un fichier ou une base de données de tous les événements affectant un processus particulier 30
  • 31. 5.2 LA NOUVELLE TENDANCE  Parmi les moyens nouveaux de sécurité, on cite :  le serveur proxy.  le firewall : logiciel et matériel 31
  • 32. LE SERVEUR PROXY. Les serveurs proxy remplissent deux fonctions principales : amélioration des performances du réseau et filtrage des demandes des ordinateurs clients. • Amélioration des performances Les serveurs proxy réduisent le temps nécessaire pour répondre aux demandes émises par des groupes d'utilisateurs. En effet, un serveur proxy met en cache, ou enregistre, les résultats de toutes les demandes transmises pendant un laps de temps. 32
  • 33. LE SERVEUR PROXY (SUITE) Si un utilisateur souhaite afficher de nouveau une page Web déjà demandée, le serveur proxy lui renvoie simplement cette page, au lieu de transférer sa demande au serveur Web et de télécharger la même page.  Filtrage des demandes des ordinateurs clients Les serveurs proxy permettent aussi de filtrer les demandes des ordinateurs clients pour certaines connexions à Internet. Par exemple, une entreprise peut utiliser un serveur proxy pour empêcher ses employés d'accéder à un ensemble particulier de sites Web. 33
  • 34. FONCTIONNEMENT D'UN SERVEUR PROXY  Lors de l'utilisation d'un serveur proxy, les ordinateurs du réseau local sont configurés avec des adresses IP privées. Lorsqu'un ordinateur transmet une demande de connexion à Internet, il transmet ses données au serveur proxy par le biais du réseau TCP/IP. Le serveur proxy modifie la demande, insère ses propres nom et adresse IP, laquelle est fournie par le fournisseur de services Internet, puis envoie les données sur Internet. Lorsqu'une réponse à la demande est reçue, le serveur proxy la renvoie à l'ordinateur qui est à l'origine de la demande , par le biais du réseau local . Le proxy s’exécute à l’intranet, il connait les clients donc il peut les identifier grâce à une table d’habilitation définissant les droits d’accès des clients. 34
  • 35. LE FIREWALL 35 Tout réseau connecté à Internet doit transmettre des communications à travers un pare-feu. Un pare-feu représente la combinaison d'éléments logiciels et matériels qui interdit l'accès non autorisé à un réseau interne à partir de l'extérieur. Tous les messages du réseau, en entrée ou en sortie, passent par le pare-feu, qui les examine et bloque ceux qui ne répondent pas aux critères de sécurité définis. Un pare-feu filtre le trafic qui ne doit pas passer d'Internet à votre réseau privé, par exemple des messages échangés entre deux ordinateurs sur votre réseau privé.
  • 36. FONCTIONNEMENT D'UN PARE- FEU Un pare-feu empêche toute communication directe entre le réseau et des ordinateurs externes en routant les communications par l'intermédiaire d'un serveur proxy situé à l'extérieur du réseau. Le pare- feu détermine s'il n'est pas dangereux de laisser un fichier passer, vers ou depuis le réseau. Un pare-feu est appelé également passerelle de sécurité.Une passerelle est un système connecté à plusieurs réseaux TCP/IP physiques, et capable de router ou de remettre des paquets IP entre eux. Une passerelle assure la conversion entre des protocoles de transport ou des formats de données différents, par exemple IPX (Internetwork Packet eXchange) et IP. Elle est principalement ajoutée à un réseau pour ses capacités de conversion. 36
  • 37. MACHINE FIREWALL DÉDIÉE (SOFT) C’est un machine configurée uniquement pour la sécurité (appelée bastion). • Les utilisateurs doivent se connecter sur des applications fiables sur le firewall avant toute autre connexion. • il faut garder seulement les comptes des utilisateurs qui sont responsables de la configuration du firewall. 37
  • 38. MACHINE FIREWALL DÉDIÉE (SOFT) (SUITE) • il faut d’enlever tout fichier exécutable non nécessaire surtout les programmes réseaux tels que FTP, Telnet… (uniquement le firewall s’exécute) • Etendre « audit log » et monitoring pour vérifier les accès à distance grâce aux scénarios modélisant une attaque. • désactiver « ip forwarding » pour éviter que le firewall transfère des paquets non autorisés entre internet et intranet. 38
  • 39. PACKET SCREENING ROUTER (HARD) La fonction de base d’un routeur est la transmission du paquet à la base des adresses ip source et destination en consultant sa table de routage. Exemple de règles de filtrages : • basé sur le protocole (TCP, UDP, ICMP) • basé sur l’adresse IP source • basé sur le N° de port destination (port 80 donc application Web).  Rapide car c’est du matériel programmé (exécution hard est plus rapide que l’exécution soft). 39
  • 40. PACKET SCREENING ROUTER (HARD)  Les règles de filtrage sont difficiles à spécifier (il existe différents besoins).  Dès le début il faut spécifier presque la majorité des règles de filtrage d’où elles sont pré-programmées à l’achat. C’est pourquoi il est difficile de changer ces fonctionnalités.  Il peut être dupé (trompé) par un client qui comprend les règles de filtrage (par exp : il change le N° du port TCP).  Le routeur n’assure pas l’authentification car il ne connaît pas la personne plutôt la machine. Donc Ali peut se connecter de n’importe quelle machine du réseau et donc il peut tromper le routeur.  Coûte cher. 40
  • 41. 6. CONCLUSION Sécurité des échanges, confidentialité, authenticité sont les garanties exigées dans le commerce électronique. Des dispositions ont donc été prises pour protéger au maximum les consommateurs et les commerçants contre les usurpations, les non-paiements, toutes les fraudes qui peuvent sévir sur Internet. Ces dispositions concernent plus particulièrement la sécurité des paiements, la protection des consommateurs mais également la signature sécurisée des contrats de commerce électronique. 41
  • 42. BIBLIOGRAPHIE  http://www.murielle-cahen.com/publications/p_1securite.asp  http://www.cairn.info/revue-economique-2004-4-p-689.htm  http://www.clusif.fr/fr/production/ouvrages/pdf/SecuriteSite  http://www.clusif.fr/fr/production/ouvrages/pdf/SecuriteSite  http://www.journaldunet.com/0301/030116loicommerce.shtm 42
  • 43. 43