De nombreuses mesures de sécurité sont prises pour sécuriser le commerce électronique, autant par les consommateurs que les entreprises. On ne doit pas oublier que si la transaction se fait en toute sécurité, les données qui sont stockées après coup peuvent constituer une cible pour des personnes mal intentionnées.
Au Canada, le commerce électronique a généré l’année dernière des ventes de 62,7 milliards de dollars dans les secteurs public et privé. Bien que cela représente moins de 2 % des ventes globales sous toutes leurs formes, Statistique Canada souligne qu’il y a tout de même eu augmentation de 26 % par rapport à 2006. Et si on le compare à son niveau de 2002, le volume du commerce en ligne a plus que triplé au pays.
On serait porté à croire qu’au fil des ans, la prolifération de ce type d’échange s’est accompagnée d’un accroissement de la sécurité des transactions. Cela est vrai, mais dans une certaine mesure seulement.
Exécution de la transaction
Certes, le consommateur prend davantage de précautions pour se protéger contre le vol d’identité, l’hameçonnage, les logiciels espions et les maliciels en général. En outre, des mesures sont mises sur pied par les commerçants et les institutions financières. Ainsi, les marchands qui le souhaitent peuvent adhérer à un programme émanant des émetteurs de cartes de crédit par lequel l’acheteur doit entrer un mot de passe avant que la transaction puisse être conclue. Cependant, et bien qu’il puisse s’agir d’un service à valeur ajoutée offert à la clientèle, cette pratique n’est pas très courante pour le moment.
Autre mesure visant à déjouer l’hameçonnage, les sites de commerce électronique – ceux de plusieurs institutions financières notamment – associent une image au profil personnel de l’utilisateur. Cette dernière lui est présentée chaque fois qu’il accède au site pour y faire des transactions. Si l’image ne s’affiche pas ou si l’image affichée n’est pas la bonne, l’utilisateur doit comprendre qu’on tente de l’hameçonner. Il s’agit d’une protection optionnelle, dont tous devraient se prévaloir.
Sécurité avancée
Il existe aussi une norme par laquelle se fait une vérification étendue avant l’émission d’un certificat SSL dans le cadre d’une transaction en ligne. Ainsi, le certificat EV SSL (Extended Validation SSL) n’est émis qu’après une identification rigoureuse de l’entreprise hébergeant le site Web utilisé pour la transaction. L’utilisateur sait que le certificat EV SSL a été émis lorsque la barre contenant l’adresse du site au haut de l’écran devient verte. Pour l’heure, cette mesure demeure marginale. Afin qu’elle soit pleinement efficace, elle doit être mise en œuvre sur tous les serveurs de commerce électronique de l’entreprise, sans quoi l’adresse utilisée ne sera verte que si l’on accède à un service participant. Pareillement, la couleur verte n’apparaîtra que si l’on utilise un navigateur de version récente. Aussi, l’image associée au profil de l’utilisateur – dont nous venons de parler – confère à ce dernier une convivialité et assurance plus grandes.
Enfin, on commence à voir des sites qui associent un compte d’utilisateur à un poste de travail précis, de façon à s’assurer de la légitimité des opérations. En vertu de cette mesure, si l’utilisateur ne se sert pas de son poste de travail habituel pour faire une transaction, celle-ci peut être interdite, ou limitée à un certain montant.
De telles mesures sont bénéfiques et nécessaires. Elles ne peuvent être négligées, ne serait-ce que parce qu’elles rassurent le client. Par contre, elles ne protègent pas contre le vol d’identité ou de données après l’exécution de la transaction. Elles ont été conçues pour sécuriser les transactions au moment même où elles se font.
Protection des serveurs
Or, une personne malveillante souhaitant s’emparer d’informations liées à des cartes de crédit personnelles a tout intérêt à cibler un endroit où de telles données sont massivement stockées. Pareille tentative a pour théâtre les archives transactionnelles, bien après qu’aient eu lieu les opérations en ligne. Il est beaucoup plus payant de pirater une base de données riche de ce point de vue que des ordinateurs personnels à la pièce. D’où l’importance de protéger les serveurs. Car le pirate qui y trouvera une faille pourrait bien l’exploiter pendant un certain temps avant que son manège ne soit détecté.
Un travail important doit donc être fait pour protéger ce maillon de la chaîne. Premièrement, les entreprises doivent veiller à implanter des mesures de sécurité très tôt dans le processus de développement d’applications et d’infrastructure. De la même façon, il est important de procéder dès le jour zéro à une analyse de risque étoffée – à l’aide de la méthode MEHARI par exemple – dans le cadre de laquelle on établira des scénarios d’attaque et déterminera quel est le niveau de risque acceptable pour l’organisation. Il s’agit d’un processus à refaire régulièrement afin de tenir compte de l’évolution des affaires et des menaces qui planent sur elles.
Surveillance en temps réel
D’autre part, les entreprises offrant des sites de commerce électronique se protégeront plus efficacement – ainsi que leurs clients – en établissant une surveillance de leurs systèmes en temps réel. Cette mesure se fonde spécialement sur les journaux d’activités, grâce auxquels on peut relever les anomalies survenant dans les opérations régulières. Le phénomène n’en est qu’aux premiers stades de son évolution, peu d’entreprises encore y ayant recours. La plupart des organisations qui choisissent de l’implanter ne le font que partiellement, c’est-à-dire sur certains systèmes seulement.
Enfin, le chiffrement des bases de données constitue une autre mesure de protection souhaitable. En principe, le pirate qui accède à des bases de données chiffrées ne pourra y lire quoi que ce soit. Par contre, on doit être conscient que le chiffrement n’est totalement efficace que dans la mesure où la base de données n’est pas utilisée. Il est toujours possible d’obtenir des renseignements d’une base de données chiffrée au moment où on y accède pour enregistrer ou extraire des informations – c’est-à-dire lorsque les données sont déchiffrées au profit de l’utilisateur.
Bref, le consommateur aura beau prendre toutes les précautions possibles, le vol de renseignements personnels liés à ses cartes de crédit demeure possible. Pour le prévenir, les entreprises doivent prendre toutes les mesures possibles pour protéger les serveurs donnant accès aux données stockées. Elles pourront plus facilement y parvenir en adhérant à des normes de sécurité comme PCI DSS et ISO 27001 et 27002.
Au bout du compte, elles y gagneront, car des transactions plus sécuritaires et des incidents de sécurité moins fréquents se traduiront par une utilisation accrue du commerce électronique.
Guillaume Séguin est conseiller principal en sécurité des TI chez OKIOK.