Les entreprises de e-commerce sécurisent-elles assez leurs sites ?

Gordon Fowler · 06/12/2012, 13h27

61 % des sites malveillants sont des sites « normaux » infectés
D’après Symantec : les entreprises de e-commerce sécurisent-elles assez leurs sites ?

D’après Symantec, la contamination via des sites web légitimes est un problème de taille : 61 % des sites malveillants sont en effet des sites « normaux » qui auraient été infectés.

« En moyenne, chaque jour, 9 314 sites web malveillants sont identifiés et 1,5 million de personnes sont victimes de cybercriminels, soit 18 personnes par seconde », explique l'éditeur.

Ce qui pose la question de savoir comment ces sites sont sécurisés. Notamment pour les plus sensibles (après ceux des banques) et les plus fréquentés que sont les sites de e-commerce.

Des sites particuliers pour lesquels l’éditeur vient de publier 10 conseils. Que voici :

1. Sécuriser complétement la navigation en optant pour le protocole SSL sur toutes les pages.
2. Utiliser des certificats SSL avec Extended Validation, identifiables par la barre d'adresse verte.
3. Surveiller les tentatives de connexion de sites hôtes douteux ou pirates sur les serveurs.
4. Mettre en place des dispositifs matériels de sécurité pour protéger les actifs du vol.
5. Opter pour des infrastructures distinctes pour les contrôles de signature en environnement de pré-production puis de production.
6. S’assurer que les certificats numériques soient fournis par une autorité de certification reconnue
7. Analyser chaque jour le contenu du site web pour détecter à temps toute infection et repérer d'éventuelles vulnérabilités.
8. Placer l’infrastructure réseau sous surveillance afin de détecter les tentatives d'intrusion, de contamination et toute autre activité douteuse.
9. Conserver ses clés dans des systèmes physiques de chiffrement sécurisés pour garantir l'intégrité des certificats numériques.
10. Rassurer les clients en mettant en évidence la marque ou le sceau d'un fournisseur qui assure une navigation sécurisée.

Des conseils de bon sens mais qui, visiblement ne seraient encore pas suffisamment appliqués.

Et vous ? Les appliquez-vous ?

Source : Symantec

Débat

Les entreprises de e-commerce vous paraissent-elle sécuriser suffisamment leurs sites ?

transgohan · 06/12/2012, 13h32

Quand on s'insurge devant les problèmes de sécurité d'une application on a souvent la réponse suivante :
- " On est pas une banque et ce logiciel n'est pas non plus pour l'armée. Alors arrête de m'emmerder. "

Etre_Libre · 07/12/2012, 07h54

Etre un minimum vigilant je suis d'accord, mais la liste indiquée par Symantec... je trouve ça un peu exagéré.

Et puis ils ont un intérêt à faire peur, ils vendent des logiciels de "sécurité"

Matthieu Vergne · 12/12/2012, 17h23

Euh... règles de bon sens ? J'irais pas jusque là. Le bon sens veut que l'on soit conscient qu'une sécurité de 100% n'est pas faisable et qu'une attention continue est nécessaire, mais de là à dire que le bon sens c'est :
- connaître des techniques spécifiques (SSL, certificats avec Extended Validation)
- avoir en tête que le site fait pour des utilisateurs humain lambda peut-être exploité au travers de proxy, bots, scripts en tous genres, etc.
- avoir une idée de quelles données devraient être gérées séparément des autres plutôt que de tout avoir dans une base de donnée commune
- se farcir continuellement le nouveau contenu du site pour identifier (à supposer qu'on ait les capacités pour) les tentatives d'attaques et autres
- Maîtriser les outils de sécurité pour la surveillance des réseaux

Pour des admins webs... non on est loin du bon sens. Un admin Web peut-être connaisseur des techniques de sécurité, mais c'est pas son job premier. Faire que le site ne plante pas, tienne la charge, gère les backups correctement, gère la communauté d'utilisateurs et autres détails relatifs aux spécificités du site, là oui on peut parler de bon sens pour un admin Web. Du reste, c'est des connaissances un minimum avancées en sécurité et piratage et il y a des études spécifiques pour ça, autrement dit c'est un job à part entière.

Si la sécurité est un point critique, alors oui ils devraient avoir quelqu'un qui s'occupe de ça, après à eux de voir leurs priorités et leurs moyens. Mais de là à dire que c'est du bon sens... C'est du bon sens pour quelqu'un expert en sécurité, mais là on se joue de tautologie presque. La question de bon sens serait plutôt "est-ce que les sites faisant de la sécurité de leur site un point critique on les bons experts ?". Mais là on sort des recommandations de Symantec, qui sont pour les experts sécurité, pas pour les gérants de site web à proprement parler.

Katyucha · 13/12/2012, 08h29

Citation:

Envoyé par Matthieu Vergne

E
Pour des admins webs... non on est loin du bon sens. Un admin Web peut-être connaisseur des techniques de sécurité, mais c'est pas son job premier. Faire que le site ne plante pas, tienne la charge, gère les backups correctement, gère la communauté d'utilisateurs et autres détails relatifs aux spécificités du site, là oui on peut parler de bon sens pour un admin Web. Du reste, c'est des connaissances un minimum avancées en sécurité et piratage et il y a des études spécifiques pour ça, autrement dit c'est un job à part entière.

Oui mais non ! On ne demande pas à un webmaster d'être au niveau d'un spécialiste, j'en conviens. Mais quand on gère un site - et surtout de e-commerce - il faut être un fin connaisseur en sécurité, car on est exposé par la nature de nos activités

ericd69 · 13/12/2012, 10h26

Tu es même juridiquement responsable car le commerçant (ou ton client) peut se retourner contre toi pour faute (défaut de sécurisation ou d'information)... et là vaut mieux avoir des moyens s'il décide de se retourner contre toi...

Le problème est aussi que beaucoup de gens acceptent (bon gré, malgré plus souvent) de faire des choses qu'il ne maitrisent pas...

combien de SSI (ou autres) utilisent des gens à qui on demande d'être DBA, administrateurs systèmes (sécurité serveur, LAMP, réseau, capable de faire de la virtualisation, etc...), programmeur dans 5 ou 6 langages dont le sql... et bien sur en maitrisant tout... C'est pas les offres comme ça qui manquent...

On oublie juste (bien volontairement) que c'est des métiers à part entière... c'est comme demander à un médecin généraliste de venir remplacer un neurologue pour une opération sur votre cerveau... qui tenterait ça? pourtant ils sont tous les 2 médecins et ont 8 ans de formation en commun minimum...

De la même manière on réduit le plus possible les temps avant mise en production... donc moins de tests...

Après faut pas pleurer que beaucoup de logiciels et de sites soient piratés car en face les pirates sont des spécialistes du domaine sur lesquels ils agissent

Pour les problèmes de payement en ligne je rappelle que les banques offrants des compte pour entreprises fournissent toute des services de payement à intégrer dans une solution en ligne... aucune infos bancaire ne transite directement par ton site ou ton application... et la responsabilité en cas de problème... est sur la banque (dont c'est le METIER je rappelle)

Pour le SSL déjà le problème des certificats est le cout et la diversité des offres ainsi que l'évolution rapide de la réglementation... ensuite même les agences de certification sont loin d'être si fiables (une a été piraté dernièrement et le groupe de sécurité la gérant a mis fin à son activité pour limiter la polémique) et en plus aucune vérification n'est fait sur la corrélation entre le pays du site et celui de l'agence de certification... ce qui fait qu'un site .us ou . fr peut être certifié par une agence russe ou chinoise... quand on sait les risques de corruption dans ses pays, ça fait réfléchir... et d'ailleurs ça fait polémique actuellement au niveau des gens qui sont du domaine ou ceux qui crée les navigateurs...

Bref rien n'est parfait et ne sera jamais sécurisé mais faut avoir conscience qu'on est dans un monde où on adore mettre en procès pour avoir un responsable qui payera les pertes financières occasionnées par les problèmes de sécurité...

Donc c'est clair qu'après faut pas être paranoïaque non plus et adapter la sécurité au besoin réel et bien le prendre en considération... au final leur règle sont ingérables pour la plupart des projets et il faudrait être prêt à débourser entre 200 et 1000€ environ par an rien que pour mettre en œuvre ce qu'il préconisent pour le moindre site au niveau des certificats de sécurité selon l'agence qu'on choisit...

donc à méditer

messinese · 14/12/2012, 15h16

Citation:

Envoyé par Katyucha

Oui mais non ! On ne demande pas à un webmaster d'être au niveau d'un spécialiste, j'en conviens. Mais quand on gère un site - et surtout de e-commerce - il faut être un fin connaisseur en sécurité, car on est exposé par la nature de nos activités

Pour ma part je comprend les 2 partis cela dis je pencherai pour ce que dit "Matthieu Vergne " c'est un domaine à part entière, trés complexe et à 1000 lignes de code du travail de dev.

Etre dev en web et fin connaisseur en sécurité c'est extremement rare et c'es tun peu comem dire à un maçon qu'il doit aussi etre électricien: 2 domaines disctincts, certe complémentaire mais différents.

D'ailleurs parle sécu avec un dev web ou applicatif et tu le comprendra dessuite .. (je parle de VRAIE sécu (Nosql injection, Time Bases SQL injection en web par exemple) , pas des "bases" apprise en cours).

Cdlt.

Matthieu Vergne · 14/12/2012, 17h21

Ba, ce qui m'embête le plus, c'est de voir dans l'article qu'on parle de bon sens alors qu'on parle en fait d'expertise. L'expertise est à l'opposé du bon sens, justement parce qu'il faut savoir pour ne pas faire de boulette, alors que le bon sens, alias sens commun, c'est ce que sait monsieur tout-le-monde, et donc pas besoin d'être un spécialiste, n'importe qui peut remarquer la boulette.

Si je prends un développeur ou un administrateur Web et que je lui parle de protocole SSL et de certificats avec Extended Validation, je m'attends plus à avoir des yeux ronds qu'un "oui, bien sûr, c'est évident". Moi qui sait ce qu'est un certificat mais qui n'ai jamais entendu parler d'Extended Validation avant cet article, alors que de la prog Web j'en fais depuis quelques années déjà et la sécurisation de site Web j'y ait déjà touché, est-ce que ça remet en cause mes compétences Web ? Est-ce que ça fait de moi un noob en gestion de site Web ?

Les recommandations, comme décrit un peu rapidement dans l'article, sont pour les sites Web sensibles (qui ont donc un besoin de sécurité et surtout des objectifs critiques à assurer). Faire passer ça pour du bon sens... je me suis senti un peu con sur le coup perso.

Bref, on peut résumer ça à un mauvais choix de terme. Si j'avais lu "Des conseils aujourd'hui communs dans le domaine de la sécurité", j'aurais sûrement rien dit.

06/12/2012, 13h27	#1
Gordon Fowler Chroniqueur Actualités Inscription : juillet 2009 Messages : 3 284 Détails du profil Informations forums : Inscription : juillet 2009 Messages : 3 284 Points : 32 547 Points : 32 547	Les entreprises de e-commerce sécurisent-elles assez leurs sites ? 61 % des sites malveillants sont des sites « normaux » infectés D’après Symantec : les entreprises de e-commerce sécurisent-elles assez leurs sites ? D’après Symantec, la contamination via des sites web légitimes est un problème de taille : 61 % des sites malveillants sont en effet des sites « normaux » qui auraient été infectés. « En moyenne, chaque jour, 9 314 sites web malveillants sont identifiés et 1,5 million de personnes sont victimes de cybercriminels, soit 18 personnes par seconde », explique l'éditeur. Ce qui pose la question de savoir comment ces sites sont sécurisés. Notamment pour les plus sensibles (après ceux des banques) et les plus fréquentés que sont les sites de e-commerce. Des sites particuliers pour lesquels l’éditeur vient de publier 10 conseils. Que voici : 1. Sécuriser complétement la navigation en optant pour le protocole SSL sur toutes les pages. 2. Utiliser des certificats SSL avec Extended Validation, identifiables par la barre d'adresse verte. 3. Surveiller les tentatives de connexion de sites hôtes douteux ou pirates sur les serveurs. 4. Mettre en place des dispositifs matériels de sécurité pour protéger les actifs du vol. 5. Opter pour des infrastructures distinctes pour les contrôles de signature en environnement de pré-production puis de production. 6. S’assurer que les certificats numériques soient fournis par une autorité de certification reconnue 7. Analyser chaque jour le contenu du site web pour détecter à temps toute infection et repérer d'éventuelles vulnérabilités. 8. Placer l’infrastructure réseau sous surveillance afin de détecter les tentatives d'intrusion, de contamination et toute autre activité douteuse. 9. Conserver ses clés dans des systèmes physiques de chiffrement sécurisés pour garantir l'intégrité des certificats numériques. 10. Rassurer les clients en mettant en évidence la marque ou le sceau d'un fournisseur qui assure une navigation sécurisée. Des conseils de bon sens mais qui, visiblement ne seraient encore pas suffisamment appliqués. Et vous ? Les appliquez-vous ? Source : Symantec Débat Les entreprises de e-commerce vous paraissent-elle sécuriser suffisamment leurs sites ?
	31

06/12/2012, 13h32	#2
transgohan Expert Confirmé Baptiste ROUSSEL Développeur Temps réel Embarqué Inscription : janvier 2011 Messages : 1 299 Détails du profil Informations personnelles : Nom : Baptiste ROUSSEL Localisation : France, Territoire de Belfort (Franche Comté) Informations professionnelles : Activité : Développeur Temps réel Embarqué Informations forums : Inscription : janvier 2011 Messages : 1 299 Points : 2 889 Points : 2 889	Quand on s'insurge devant les problèmes de sécurité d'une application on a souvent la réponse suivante : - " On est pas une banque et ce logiciel n'est pas non plus pour l'armée. Alors arrête de m'emmerder. " __________________ Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.
	50

13/12/2012, 10h26	#6
ericd69 Expert Confirmé Eric Dureuil Développeur informatique Inscription : avril 2011 Messages : 1 804 Détails du profil Informations personnelles : Nom : Eric Dureuil Localisation : France, Isère (Rhône Alpes) Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : avril 2011 Messages : 1 804 Points : 3 099 Points : 3 099	Tu es même juridiquement responsable car le commerçant (ou ton client) peut se retourner contre toi pour faute (défaut de sécurisation ou d'information)... et là vaut mieux avoir des moyens s'il décide de se retourner contre toi... Le problème est aussi que beaucoup de gens acceptent (bon gré, malgré plus souvent) de faire des choses qu'il ne maitrisent pas... combien de SSI (ou autres) utilisent des gens à qui on demande d'être DBA, administrateurs systèmes (sécurité serveur, LAMP, réseau, capable de faire de la virtualisation, etc...), programmeur dans 5 ou 6 langages dont le sql... et bien sur en maitrisant tout... C'est pas les offres comme ça qui manquent... On oublie juste (bien volontairement) que c'est des métiers à part entière... c'est comme demander à un médecin généraliste de venir remplacer un neurologue pour une opération sur votre cerveau... qui tenterait ça? pourtant ils sont tous les 2 médecins et ont 8 ans de formation en commun minimum... De la même manière on réduit le plus possible les temps avant mise en production... donc moins de tests... Après faut pas pleurer que beaucoup de logiciels et de sites soient piratés car en face les pirates sont des spécialistes du domaine sur lesquels ils agissent Pour les problèmes de payement en ligne je rappelle que les banques offrants des compte pour entreprises fournissent toute des services de payement à intégrer dans une solution en ligne... aucune infos bancaire ne transite directement par ton site ou ton application... et la responsabilité en cas de problème... est sur la banque (dont c'est le METIER je rappelle) Pour le SSL déjà le problème des certificats est le cout et la diversité des offres ainsi que l'évolution rapide de la réglementation... ensuite même les agences de certification sont loin d'être si fiables (une a été piraté dernièrement et le groupe de sécurité la gérant a mis fin à son activité pour limiter la polémique) et en plus aucune vérification n'est fait sur la corrélation entre le pays du site et celui de l'agence de certification... ce qui fait qu'un site .us ou . fr peut être certifié par une agence russe ou chinoise... quand on sait les risques de corruption dans ses pays, ça fait réfléchir... et d'ailleurs ça fait polémique actuellement au niveau des gens qui sont du domaine ou ceux qui crée les navigateurs... Bref rien n'est parfait et ne sera jamais sécurisé mais faut avoir conscience qu'on est dans un monde où on adore mettre en procès pour avoir un responsable qui payera les pertes financières occasionnées par les problèmes de sécurité... Donc c'est clair qu'après faut pas être paranoïaque non plus et adapter la sécurité au besoin réel et bien le prendre en considération... au final leur règle sont ingérables pour la plupart des projets et il faudrait être prêt à débourser entre 200 et 1000€ environ par an rien que pour mettre en œuvre ce qu'il préconisent pour le moindre site au niveau des certificats de sécurité selon l'agence qu'on choisit... donc à méditer __________________ soyons pensez à mettre quand votre problème est résolu ou à utiliser pour les réponses pertinentes... ne posez pas de problématique soi-disant simplifiée sur des problèmes que vous n'êtes pas capable de résoudre par respect pour ceux qui planchent dessus... sinon: et à utiliser pour insérer votre code...
	00

07/12/2012, 07h54	#3
Etre_Libre Membre chevronné Inscription : juillet 2010 Messages : 562 Détails du profil Informations forums : Inscription : juillet 2010 Messages : 562 Points : 617 Points : 617	Etre un minimum vigilant je suis d'accord, mais la liste indiquée par Symantec... je trouve ça un peu exagéré. Et puis ils ont un intérêt à faire peur, ils vendent des logiciels de "sécurité"
	00

12/12/2012, 17h23	#4
Matthieu Vergne Membre actif Matthieu Vergne Doctorant (Requirements Engineering) Inscription : novembre 2011 Messages : 130 Détails du profil Informations personnelles : Nom : Matthieu Vergne Localisation : France Informations professionnelles : Activité : Doctorant (Requirements Engineering) Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : novembre 2011 Messages : 130 Points : 193 Points : 193	Euh... règles de bon sens ? J'irais pas jusque là. Le bon sens veut que l'on soit conscient qu'une sécurité de 100% n'est pas faisable et qu'une attention continue est nécessaire, mais de là à dire que le bon sens c'est : - connaître des techniques spécifiques (SSL, certificats avec Extended Validation) - avoir en tête que le site fait pour des utilisateurs humain lambda peut-être exploité au travers de proxy, bots, scripts en tous genres, etc. - avoir une idée de quelles données devraient être gérées séparément des autres plutôt que de tout avoir dans une base de donnée commune - se farcir continuellement le nouveau contenu du site pour identifier (à supposer qu'on ait les capacités pour) les tentatives d'attaques et autres - Maîtriser les outils de sécurité pour la surveillance des réseaux Pour des admins webs... non on est loin du bon sens. Un admin Web peut-être connaisseur des techniques de sécurité, mais c'est pas son job premier. Faire que le site ne plante pas, tienne la charge, gère les backups correctement, gère la communauté d'utilisateurs et autres détails relatifs aux spécificités du site, là oui on peut parler de bon sens pour un admin Web. Du reste, c'est des connaissances un minimum avancées en sécurité et piratage et il y a des études spécifiques pour ça, autrement dit c'est un job à part entière. Si la sécurité est un point critique, alors oui ils devraient avoir quelqu'un qui s'occupe de ça, après à eux de voir leurs priorités et leurs moyens. Mais de là à dire que c'est du bon sens... C'est du bon sens pour quelqu'un expert en sécurité, mais là on se joue de tautologie presque. La question de bon sens serait plutôt "est-ce que les sites faisant de la sécurité de leur site un point critique on les bons experts ?". Mais là on sort des recommandations de Symantec, qui sont pour les experts sécurité, pas pour les gérants de site web à proprement parler.
	21

14/12/2012, 17h21	#8
Matthieu Vergne Membre actif Matthieu Vergne Doctorant (Requirements Engineering) Inscription : novembre 2011 Messages : 130 Détails du profil Informations personnelles : Nom : Matthieu Vergne Localisation : France Informations professionnelles : Activité : Doctorant (Requirements Engineering) Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : novembre 2011 Messages : 130 Points : 193 Points : 193	Ba, ce qui m'embête le plus, c'est de voir dans l'article qu'on parle de bon sens alors qu'on parle en fait d'expertise. L'expertise est à l'opposé du bon sens, justement parce qu'il faut savoir pour ne pas faire de boulette, alors que le bon sens, alias sens commun, c'est ce que sait monsieur tout-le-monde, et donc pas besoin d'être un spécialiste, n'importe qui peut remarquer la boulette. Si je prends un développeur ou un administrateur Web et que je lui parle de protocole SSL et de certificats avec Extended Validation, je m'attends plus à avoir des yeux ronds qu'un "oui, bien sûr, c'est évident". Moi qui sait ce qu'est un certificat mais qui n'ai jamais entendu parler d'Extended Validation avant cet article, alors que de la prog Web j'en fais depuis quelques années déjà et la sécurisation de site Web j'y ait déjà touché, est-ce que ça remet en cause mes compétences Web ? Est-ce que ça fait de moi un noob en gestion de site Web ? Les recommandations, comme décrit un peu rapidement dans l'article, sont pour les sites Web sensibles (qui ont donc un besoin de sécurité et surtout des objectifs critiques à assurer). Faire passer ça pour du bon sens... je me suis senti un peu con sur le coup perso. Bref, on peut résumer ça à un mauvais choix de terme. Si j'avais lu "Des conseils aujourd'hui communs dans le domaine de la sécurité", j'aurais sûrement rien dit.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email