Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

GlobalSign : Confirmez vos transactions

octobre 2015 par GlobalSign

Les sites e-commerce vendent des biens et des services. De l’affiche de cinéma au lave-vaisselle, le consommateur peut tout acheter en ligne. Si certaines transactions testent les plafonds de carte bancaire, les établissements financiers veillent au grain. Outre la surveillance de l’utilisation de ces cartes bancaires, ils sont également capables de détecter les opérations suspectes et de consigner les achats.

Dans le cadre de transactions entre professionnels (B2B), les montants des commandes peuvent atteindre plusieurs dizaines ou centaines de milliers d’euros. Pour passer commande, les acheteurs se connectent à un portail Web B2B avec leur mot de passe. Or la faiblesse et la vulnérabilité de la méthode d’authentification utilisée sont incohérentes avec les montants en jeu.

L’accès au portail B2B à l’aide d’un mot de passe ou d’une identité fédérée à partir du domaine du client suffit généralement. En effet, l’accès au portail ne révèle que des informations comme le prix, le pourcentage de remise, la liste des produits, etc. C’est lors de la finalisation d’une transaction que le bât blesse puisqu’un mot de passe a tôt fait de tomber dans de mauvaises mains (en interne ou à l’extérieur).

La confirmation d’une transaction atteignant un seuil défini devrait s’effectuer par défaut dans les règles de l’art. Si le montant d’une transaction excède 5 000 €, la méthode de confirmation utilisée doit être renforcée. L’utilisation d’une méthode de confirmation, ou d’authentification renforcée, empêchant toute divulgation – même par erreur – des identifiants par les responsables des achats constitue un bon moyen de se prémunir des menaces persistantes avancées ou des actes d’ingénierie sociale.

L’envoi par SMS de mots de passe à usage unique représente une méthode d’authentification renforcée simple à utiliser et facile à associer au numéro de mobile du responsable des achats. En combinant l’événement d’authentification, les données de la transaction ainsi que la date et l’heure, il est possible de créer des entrées parfaitement vérifiables concernant l’accès à son service B2B en ligne. Cette méthode permet également d’alerter le responsable des achats par SMS en cas d’utilisation frauduleuse de ses identifiants pour passer une commande. Si cette personne n’est pas en train de passer commande, elle sait instantanément que ses identifiants sont tombés dans de mauvaises mains. Les infrastructures PKI vont un cran plus loin dans la protection de la confirmation des transactions en proposant la signature numérique de la transaction.

Les solutions de gestion des identités et des accès (IAM) ne se limitent pas au contrôle des accès. Elles peuvent être utilisées pour protéger les ressources d’une entreprise, mais aussi pour établir des pistes d’audit afin de respecter les exigences de conformité, etc.




Voir les articles précédents

    

Voir les articles suivants