Tag : sécurité

Conférence gratuite sur la sécurisation des paiements par carte en Ecommerce

par Benoit Gaillat - Il y a 4 ans

Un article rapide pour vous informer d’une conférence gratuite organisé à paris le lundi 12 novembre de 14h30 à 18h00 pour parler de la sécurisation des moyens de paiement pour la vente à distance, et donc le ecommerce.

Si vous êtes e-commerçants et que les problématiques de 3D sécure ne vous parle pas trop ou que vous souhaitez en savoir plus sur trois sujets principaux :

  • L’approche par les risques appliquée à la lutte contre la fraude
  • 3D-Secure, retours d’expériences
  • La sécurisation des portefeuilles électroniques

En bref c’est une conférence gratuite indispensable pour s’initier à la sécurisation des paiements, à savoir : comment éviter de perdre de l’argent bêtement et savoir se protéger … L’inscription est ici

La conférence est organisé par la banque de France et l’Observatoire de la sécurité des cartes de paiement et la Fevad et accueillera Fleur Pellerin, la ministre déléguée auprès du ministre du Redressement productif.  Si vous ne faites pas 30 millions d’euros de CA et que vous ne pensez pas être à votre place à cette conférence détrompez vous ! Les organisateurs sont en attentes des retours de TOUS les e-commerçants sur 3D sécure notamment (je cite) :

Nous insistons particulièrement sur votre participation essentielle à ce séminaire.  Il est important que les e-commerçants, grands et petits, expriment leur point de vue et/ou retour d’expérience (positif ou non) sur 3DS [Bertrand Pineau, Fevad]

Une occasion d’en apprendre plus et de faire vos retours sur une des plus grosse problématique actuelle du Ecommerce… ne laissez pas passer l’occasion.

Voici le programme détaillé ci dessous et pour s’inscrire c’est par ici : http://www.cf2p.fr/

14h30 – 14h45 / Introduction
Fleur PELLERIN, Ministre déléguée auprès du ministre du Redressement productif, chargée des Petites et Moyennes Entreprises, de l’Innovation et de l’Économie numérique

14h45 – 15h00 / Le bilan de la fraude à la carte de paiement au niveau national et européen
Denis BEAU – Banque de France, Directeur général des Opérations

15h00 – 15h45 / L’approche par les risques appliquée à la lutte contre la fraude

  • Geoffroy GOFFINET – Banque de France, Chef du service de la surveillance des moyens de paiement scripturaux
  • Marc LOLIVIER – FEVAD, Délégué général
  • Gilbert ARIRA – BNP PARIBAS, Responsable Customer Banking Solutions
  • Antoine SAUTEREAU – Groupement des Cartes Bancaires “CB”, Responsable du département lutte contre la fraude et systèmes d’information
  • Nicolas BRAND – ATOS, Product Manager

15h45 – 16h15 / Pause

16h15 – 17h00 / 3D-Secure, retours d’expériences

  • Jean-Marc BORNET – Groupement des Cartes Bancaires “CB”, Administrateur
  • Max MOREAU – SNCF, Responsable du CSP Compta – Trésorerie
  • Philippe BRUAND – DELAMAISON, Directeur des systèmes d’information
  • Willy DUBOST – FBF, Directeur des systèmes et moyens de paiement
  • Valérie GERVAIS – AFOC, Secrétaire général

17h00 – 17h45 / La sécurisation des portefeuilles électroniques

  • Mireille CAMPANA – Ministère du Redressement productif, Responsable de la Sous-direction des réseaux et des usages des technologies de l’information et de la communication
  • Pierre ALZON – ACSEL, Président
  • Eric GONTIER – BUYSTER, Directeur général
  • Gimena DIAZ – PAYPAL, Directrice générale France
  • Roland ENTZ – VISA EUROPE FRANCE, Directeur des relations extérieures

17h45 – 18h00 / Conclusion
Christian NOYER – Banque de France, Gouverneur et Président de l’Observatoire de la sécurité des cartes de paiement

 

En résumé la conférence se tient le lundi 12 novembre 2012 de 14h30 à 18 heures à l’Auditorium de la Banque de France, 31, rue Croix-des-Petits-Champs – Paris 1er et l’inscription (gratuite) est obligatoire ici -> http://www.cf2p.fr/

 

Benoit Gaillat

Diplômé de l'Hetic et travaillant depuis 10 ans dans l'e-commerce, Benoît est Directeur Conseil E-commerce chez Skeelbox, cabinet de conseil en E-commerce dédié aux marques, distributeurs et PME qui souhaitent réussir leur développement digital et cross canal. Twitter | Profil sur Google Besoin d'un expert E-commerce ? 01 84 17 08 51.

3 Commentaires

3 réponses à “Conférence gratuite sur la sécurisation des paiements par carte en Ecommerce”

  1. Olivier dit :

    Savez-vous si il va y avoir un podcast ?
    Je ne pourrais venir ce jour, bien que le sujet fort intéressant.

  2. Salut Olivier, Aucune idée, je ne pourrai malheureusement pas assister à la conférence pour ne faire un compte rendu, désolé 🙁

  3. Benjamin MARECHAL dit :

    Bonjour,

    Le colloque ne sera pas retransmis, cependant afin d’être destinataire des communications que nous serions amenés à faire à la suite de cet évènement, je vous invite à nous envoyer un email à l’adresse suivante : 2323-colloqueoscp-ut@banque-france.fr.

    Bien cordialement,
    Benjamin Maréchal

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


Que faut-il retenir de la faille de sécurité sur les mots de passe du Figaro ?

par Romain Boyer - Il y a 5 ans

Le Figaro a laissé passé une faille très grave et plusieurs semaines après les premiers Tweets (début juillet), la solution ne semble pas s’être améliorée.

La faille a a priori été corrigée mais le résultat est encore visible sur Google si vous faites une certaine recherche, vous tomberez ainsi sur des adresses contenant l’e-mail et le mot de passe de certaines personnes en clair dans l’URL

Il convient d’en tirer une leçon, un peu technique. En quelques points :

  • Ne jamais faire transiter des mots de passe en méthode GET (dans l’URL), préférer le POST, qui ne sera jamais indexé par un quelconque moteur (même s’il semble que ce ne soit pas le cas pour le problème du Figaro)
  • Ne jamais faire transiter de mots de passe en clair tout court, il est notamment possible d’encoder le mot de passe en MD5 AVANT l’envoi du formulaire (voir mon autre blog)
  • Bien savoir que même si vous faites transiter un mot de passe en POST (non visible dans l’URL), il n’en demeure pas moins en clair d’un point de vue réseau. N’importe qui sur votre réseau peut récupérer votre mot de passe s’il surveille les paquets qui passent sur le réseau. Il est donc important de mettre du SSL (https) en place si vous avez des informations très sensibles sur la partie privée des sites.
  • Bien contrôler les mises en cache puisque le problème est venu de là. De préférence, le cache doit être généré par le serveur à l’initiative de celui-ci et il faut éviter que le cache se construise à partir d’une navigation utilisateur

Exemple de résultat de « snif » sur le réseau, on voit les mots de passe transiter en clair (ici pour un protocole FTP, il en va de même pour les méthodes GET et POST (au même niveau) du protocole HTTP.

Tout cela vient d’une incroyable méthode produite pour le changement des mots de passe pour les commentaires doublée d’une mise en cache de la page après la validation d’un commentaire qui rend cette URL visible dans le code source jusqu’à la recréation du cache suivante.

Edit : L’explication officielle du Figaro

Romain Boyer

Romain BOYER travaille pour des startups eCommerce depuis 2005. À cheval entre la technique et la stratégie, cet adepte des tableaux de bord croise toutes les données pour en extraire ses priorités. > Suivre Romain sur Twitter : @RomainBOYER > Son poste : Product Owner eCommerce chez Doctipharma.fr

tags :
Aucun commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


Se préparer aux problèmes techniques à venir – De l’intérêt d’externaliser son hébergement E-Commerce

par Romain Boyer - Il y a 6 ans

Un des points critiques de l’e-commerce est son hébergement et son infogérance : Où sont les serveurs informatiques et qui s’en occupe ? Non, ne fermez pas cette page ! cet article est destiné à tous les publics, tout le monde doit se sentir concerné.

Que l’on soit technicien ou responsable métier dans une structure qui a pignon sur web, on se doit de s’assurer de la bonne (ou meilleure) continuité de son activité (de la société, de son service, de son propre poste) en toutes circonstances, même en cas de panne de serveur ou de poste de travail.

Cela signifie que vous devez pouvoir continuer à vivre autant que possible en cas de panne serveur, car cela peut arriver.

Sommaire

  • Comment s’éviter au maximum les pannes serveur (tous publics, je précise)
  • Comment s’assurer la continuité de son activité en cas de panne (tous publics également)

Avant-propos

J’ai eu une discussion intrigante avec le responsable technique d’un site communautaire qui rencontre énormément de succès en ce moment, qui m’a dit avoir de bonnes raisons d’internaliser l’infogérance de son serveur.

Pour tout dire, j’ai du mal à comprendre cela. Je sais qu’il me lira et donc je vais lancer un pavé dans la mare et donner mon point de vue aussi complet que possible. Ce n’est que mon point de vue qui mérite réponses et indignations si besoin.

Comment s’éviter au maximum les pannes serveur

Il faut considérer deux métiers (internalisés ou externalisés) distincts : les hébergeurs et les infogérants.

Les hébergeurs vous louent de la place et une connexion Internet pour vos serveurs et assurent la continuité de l’alimentation réseau et électrique. Les infogérants eux s’occupent de la partie applicative (99% à distance je dirais), du système d’exploitation des serveurs et de la configuration (installation des applications serveurs, configuration des communications entre serveurs, etc.).

Au sujet de l’hébergement

©Getty Images - L'hébergement, c'est l'affaire des pros !

L’hébergement est un métier à part entière, il nécessite des salles sécurisées (contre le feu, le gaz, les intrus,…), des onduleurs redondés (si un onduleur plante, un autre prend la place), des connexions réseaux redondées également, plusieurs connexions Internet, une capacité à rajouter des serveurs rapidement si besoin dans les baies, et une surveillance constante du parc informatique. Pour un e-business classique, personne n’internalise cela.

Pour des sites avec des données plus sensibles, les accès aux serveurs sont physiquement sécurisés (salles sécurisées, où même les hébergeurs n’ont pas accès), pour les plus gros (Google ou Facebook par exemple), ils ont même leurs propres centres d’hébergement.

Au sujet de l’infogérance

Vous le savez puisque vous avez un jour ou l’autre eu Windows : un ordinateur, ça plante. Un serveur, ça plante moins car les serveurs disposent d’environnements très protégés, parce qu’on n’installe généralement pas les mêmes bêtises dessus que sur un ordinateur perso, et parce qu’ils sont moins permissifs (un peu comme l’iPhone OS non-jailbreaké qui est plus stable qu’un Android mais où on a globalement moins de possibilités). Mais un serveur, ça plante quand même.

L'infogérance, c'est un truc de pros aussi (il évite les freeze, il a tout compris)

Un serveur plante généralement parce que des aspects vitaux tels que l’espace sur le disque dur devient trop faible, parce qu’une connexion réseau est mal configurée, parce que trop de connexions simultanées sont faites (trop de visiteurs sur le site Internet par exemple, mais également les attaques, etc.), parce qu’il n’a pas eu les dernières mises à jour de sécurité,…

Lorsque cela arrive, il faut quelqu’un qui puisse intervenir, qui voit rapidement ce qui se passe, et remette le système en marche (en suivant un PRA) le plus rapidement possible. Qu’il soit 15h30, ou 2h30 du matin. Et c’est là qu’on se rend tout de suite compte qu’il faut une équipe et non pas une seule personne pour ce faire. Comme peu de sociétés ont les moyens de se payer deux infogérants, il vaut mieux payer une société externe, souvent l’hébergeur, pour s’occuper de cela.

Comment s’assurer la continuité du service en cas de panne

Au niveau des serveurs

Vous connaissez peut-être "Twitter is over capacity" ?

Suivant le niveau du problème sur le serveur, celui-ci continue parfois de tourner et de pouvoir fournir un service. Dans ces cas-là, il faut préparer une page d’accueil en précisant ce qui se passe, que c’est temporaire, et qu’on peut commander si on le souhaite par téléphone, par fax, que sais-je…

Il peut être intéressant d’avoir des serveurs répliqués/dupliqués, connectés aux mêmes bases de données vers lesquels on puisse rediriger en cas de problème.

De même, il est conseillé de gérer son back-office ailleurs que sur le serveur principal, avec un système de synchronisation. Ainsi, on peut faire tourner des processes lourds sans risque d’impacter la production.

Au niveau des métiers de l’entreprise

Un Plan de Continuité d’Activité permet à des entreprises ayant des métiers sensibles de fonctionner en mode dégradé suite à des soucis techniques ou autres. On pense souvent à des grosses entreprises, mais les PME pourraient en bénéficier. Il suffit en général de 30 minutes et de personnes concernées pour le définir. On se dit par exemple :

  • que si le Service Client n’a plus de téléphone, on doit prévenir sur le site Internet que c’est le cas et éventuellement rediriger vers un service restreint sur Skype In, vers des téléphones portables ou vers un centre d’appel avec qui l’on travaille peut être déjà pour d’autres services
  • que si le site Internet tombe, on redirige le domaine vers un serveur alternatif qui dispose d’une simple page d’accueil avec le numéro de téléphone où on reçoit les clients
  • que si on a une panne d’électricité, certains iront travailler de chez eux, d’autres dans des cybercafés avec des ordinateurs portables de secours, les teckos et responsables de service auront une clé 3G de secours et des ordinateurs portables sur place,

Ainsi, avec une demi-heure de réflexion puis une heure de mesures, on s’évite pour des années d’avoir des journées où tout le monde se retrouve au chômage technique, avec un chiffre d’affaires à zéro pendant un temps qui se veut indéterminé…

Ainsi par exemple, le site Alloresto.fr, lorsqu’il est en panne, continue de recevoir des coups de fil, et les transmissions de commandes ne se font plus par Internet, mais par fax. Bravo le veau.

Conclusion

Il est bon de faire confiance à son informaticien fétiche, il est bon aussi de savoir qui gère la crise quand ça plante, ou quoi faire précisément. Les PRA (Plans de Reprise d’Activité) et PCA (Plans de Continuité d’Activité) ne sont pas bons que pour l’informatique, ils sont là pour chaque service de l’entreprise pour éviter de succomber la première panne venue.

Mise à jour du 7/10/2010 : Pour ceux qui souhaitent aller plus loin, un excellent article vient d’être publié sur le sujet et complète celui-ci : Plan de sécurité : les six étapes clés

Romain Boyer

Romain BOYER travaille pour des startups eCommerce depuis 2005. À cheval entre la technique et la stratégie, cet adepte des tableaux de bord croise toutes les données pour en extraire ses priorités. > Suivre Romain sur Twitter : @RomainBOYER > Son poste : Product Owner eCommerce chez Doctipharma.fr

Aucun commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.