Le e-commerce sécurise-t-il assez ses sites ?
Non selon Symantec, pour qui trop de sites malveillants sont des sites "normaux" infectés

Les rubriques (actu, forums, tutos) de Développez
Tags
Réseaux sociaux


 Discussion forum

Sur le même sujet
Le , par Gordon Fowler, Expert Confirmé Sénior
D’après Symantec, la contamination via des sites web légitimes est un problème de taille : 61 % des sites malveillants sont en effet des sites « normaux » qui auraient été infectés.

« En moyenne, chaque jour, 9 314 sites web malveillants sont identifiés et 1,5 million de personnes sont victimes de cybercriminels, soit 18 personnes par seconde », explique l'éditeur.

Ce qui pose la question de savoir comment ces sites sont sécurisés. Notamment pour les plus sensibles (après ceux des banques) et les plus fréquentés que sont les sites de e-commerce.

Des sites particuliers pour lesquels l’éditeur vient de publier 10 conseils. Que voici :

1. Sécuriser complétement la navigation en optant pour le protocole SSL sur toutes les pages.
2. Utiliser des certificats SSL avec Extended Validation, identifiables par la barre d'adresse verte.
3. Surveiller les tentatives de connexion de sites hôtes douteux ou pirates sur les serveurs.
4. Mettre en place des dispositifs matériels de sécurité pour protéger les actifs du vol.
5. Opter pour des infrastructures distinctes pour les contrôles de signature en environnement de pré-production puis de production.
6. S’assurer que les certificats numériques soient fournis par une autorité de certification reconnue
7. Analyser chaque jour le contenu du site web pour détecter à temps toute infection et repérer d'éventuelles vulnérabilités.
8. Placer l’infrastructure réseau sous surveillance afin de détecter les tentatives d'intrusion, de contamination et toute autre activité douteuse.
9. Conserver ses clés dans des systèmes physiques de chiffrement sécurisés pour garantir l'intégrité des certificats numériques.
10. Rassurer les clients en mettant en évidence la marque ou le sceau d'un fournisseur qui assure une navigation sécurisée.

Des conseils de bon sens mais qui, visiblement ne seraient encore pas suffisamment appliqués.

Et vous ? Les appliquez-vous ?

Source : Symantec

Débat

Les entreprises de e-commerce vous paraissent-elle sécuriser suffisamment leurs sites ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de transgohan transgohan
http://www.developpez.com
Expert Confirmé Sénior
le 06/12/2012 13:32
Quand on s'insurge devant les problèmes de sécurité d'une application on a souvent la réponse suivante :
- " On est pas une banque et ce logiciel n'est pas non plus pour l'armée. Alors arrête de m'emmerder. "
Avatar de Etre_Libre Etre_Libre
http://www.developpez.com
Membre émérite
le 07/12/2012 7:54
Etre un minimum vigilant je suis d'accord, mais la liste indiquée par Symantec... je trouve ça un peu exagéré.

Et puis ils ont un intérêt à faire peur, ils vendent des logiciels de "sécurité"
Avatar de Matthieu Vergne Matthieu Vergne
http://www.developpez.com
Membre Expert
le 12/12/2012 17:23
Euh... règles de bon sens ? J'irais pas jusque là. Le bon sens veut que l'on soit conscient qu'une sécurité de 100% n'est pas faisable et qu'une attention continue est nécessaire, mais de là à dire que le bon sens c'est :
- connaître des techniques spécifiques (SSL, certificats avec Extended Validation)
- avoir en tête que le site fait pour des utilisateurs humain lambda peut-être exploité au travers de proxy, bots, scripts en tous genres, etc.
- avoir une idée de quelles données devraient être gérées séparément des autres plutôt que de tout avoir dans une base de donnée commune
- se farcir continuellement le nouveau contenu du site pour identifier (à supposer qu'on ait les capacités pour) les tentatives d'attaques et autres
- Maîtriser les outils de sécurité pour la surveillance des réseaux

Pour des admins webs... non on est loin du bon sens. Un admin Web peut-être connaisseur des techniques de sécurité, mais c'est pas son job premier. Faire que le site ne plante pas, tienne la charge, gère les backups correctement, gère la communauté d'utilisateurs et autres détails relatifs aux spécificités du site, là oui on peut parler de bon sens pour un admin Web. Du reste, c'est des connaissances un minimum avancées en sécurité et piratage et il y a des études spécifiques pour ça, autrement dit c'est un job à part entière.

Si la sécurité est un point critique, alors oui ils devraient avoir quelqu'un qui s'occupe de ça, après à eux de voir leurs priorités et leurs moyens. Mais de là à dire que c'est du bon sens... C'est du bon sens pour quelqu'un expert en sécurité, mais là on se joue de tautologie presque. La question de bon sens serait plutôt "est-ce que les sites faisant de la sécurité de leur site un point critique on les bons experts ?". Mais là on sort des recommandations de Symantec, qui sont pour les experts sécurité, pas pour les gérants de site web à proprement parler.
Avatar de Katyucha Katyucha
http://www.developpez.com
Expert Confirmé Sénior
le 13/12/2012 8:29
Citation Envoyé par Matthieu Vergne  Voir le message
E
Pour des admins webs... non on est loin du bon sens. Un admin Web peut-être connaisseur des techniques de sécurité, mais c'est pas son job premier. Faire que le site ne plante pas, tienne la charge, gère les backups correctement, gère la communauté d'utilisateurs et autres détails relatifs aux spécificités du site, là oui on peut parler de bon sens pour un admin Web. Du reste, c'est des connaissances un minimum avancées en sécurité et piratage et il y a des études spécifiques pour ça, autrement dit c'est un job à part entière.

Oui mais non ! On ne demande pas à un webmaster d'être au niveau d'un spécialiste, j'en conviens. Mais quand on gère un site - et surtout de e-commerce - il faut être un fin connaisseur en sécurité, car on est exposé par la nature de nos activités
Avatar de ericd69 ericd69
http://www.developpez.com
Expert Confirmé
le 13/12/2012 10:26
Tu es même juridiquement responsable car le commerçant (ou ton client) peut se retourner contre toi pour faute (défaut de sécurisation ou d'information)... et là vaut mieux avoir des moyens s'il décide de se retourner contre toi...

Le problème est aussi que beaucoup de gens acceptent (bon gré, malgré plus souvent) de faire des choses qu'il ne maitrisent pas...

combien de SSI (ou autres) utilisent des gens à qui on demande d'être DBA, administrateurs systèmes (sécurité serveur, LAMP, réseau, capable de faire de la virtualisation, etc...), programmeur dans 5 ou 6 langages dont le sql... et bien sur en maitrisant tout... C'est pas les offres comme ça qui manquent...

On oublie juste (bien volontairement) que c'est des métiers à part entière... c'est comme demander à un médecin généraliste de venir remplacer un neurologue pour une opération sur votre cerveau... qui tenterait ça? pourtant ils sont tous les 2 médecins et ont 8 ans de formation en commun minimum...

De la même manière on réduit le plus possible les temps avant mise en production... donc moins de tests...

Après faut pas pleurer que beaucoup de logiciels et de sites soient piratés car en face les pirates sont des spécialistes du domaine sur lesquels ils agissent

Pour les problèmes de payement en ligne je rappelle que les banques offrants des compte pour entreprises fournissent toute des services de payement à intégrer dans une solution en ligne... aucune infos bancaire ne transite directement par ton site ou ton application... et la responsabilité en cas de problème... est sur la banque (dont c'est le METIER je rappelle)

Pour le SSL déjà le problème des certificats est le cout et la diversité des offres ainsi que l'évolution rapide de la réglementation... ensuite même les agences de certification sont loin d'être si fiables (une a été piraté dernièrement et le groupe de sécurité la gérant a mis fin à son activité pour limiter la polémique) et en plus aucune vérification n'est fait sur la corrélation entre le pays du site et celui de l'agence de certification... ce qui fait qu'un site .us ou . fr peut être certifié par une agence russe ou chinoise... quand on sait les risques de corruption dans ses pays, ça fait réfléchir... et d'ailleurs ça fait polémique actuellement au niveau des gens qui sont du domaine ou ceux qui crée les navigateurs...

Bref rien n'est parfait et ne sera jamais sécurisé mais faut avoir conscience qu'on est dans un monde où on adore mettre en procès pour avoir un responsable qui payera les pertes financières occasionnées par les problèmes de sécurité...

Donc c'est clair qu'après faut pas être paranoïaque non plus et adapter la sécurité au besoin réel et bien le prendre en considération... au final leur règle sont ingérables pour la plupart des projets et il faudrait être prêt à débourser entre 200 et 1000€ environ par an rien que pour mettre en œuvre ce qu'il préconisent pour le moindre site au niveau des certificats de sécurité selon l'agence qu'on choisit...

donc à méditer
Avatar de messinese messinese
http://www.developpez.com
Membre émérite
le 14/12/2012 15:16
Citation Envoyé par Katyucha  Voir le message
Oui mais non ! On ne demande pas à un webmaster d'être au niveau d'un spécialiste, j'en conviens. Mais quand on gère un site - et surtout de e-commerce - il faut être un fin connaisseur en sécurité, car on est exposé par la nature de nos activités

Pour ma part je comprend les 2 partis cela dis je pencherai pour ce que dit "Matthieu Vergne " c'est un domaine à part entière, trés complexe et à 1000 lignes de code du travail de dev.

Etre dev en web et fin connaisseur en sécurité c'est extremement rare et c'es tun peu comem dire à un maçon qu'il doit aussi etre électricien: 2 domaines disctincts, certe complémentaire mais différents.

D'ailleurs parle sécu avec un dev web ou applicatif et tu le comprendra dessuite .. (je parle de VRAIE sécu (Nosql injection, Time Bases SQL injection en web par exemple) , pas des "bases" apprise en cours).

Cdlt.
Avatar de Matthieu Vergne Matthieu Vergne
http://www.developpez.com
Membre Expert
le 14/12/2012 17:21
Ba, ce qui m'embête le plus, c'est de voir dans l'article qu'on parle de bon sens alors qu'on parle en fait d'expertise. L'expertise est à l'opposé du bon sens, justement parce qu'il faut savoir pour ne pas faire de boulette, alors que le bon sens, alias sens commun, c'est ce que sait monsieur tout-le-monde, et donc pas besoin d'être un spécialiste, n'importe qui peut remarquer la boulette.

Si je prends un développeur ou un administrateur Web et que je lui parle de protocole SSL et de certificats avec Extended Validation, je m'attends plus à avoir des yeux ronds qu'un "oui, bien sûr, c'est évident". Moi qui sait ce qu'est un certificat mais qui n'ai jamais entendu parler d'Extended Validation avant cet article, alors que de la prog Web j'en fais depuis quelques années déjà et la sécurisation de site Web j'y ait déjà touché, est-ce que ça remet en cause mes compétences Web ? Est-ce que ça fait de moi un noob en gestion de site Web ?

Les recommandations, comme décrit un peu rapidement dans l'article, sont pour les sites Web sensibles (qui ont donc un besoin de sécurité et surtout des objectifs critiques à assurer). Faire passer ça pour du bon sens... je me suis senti un peu con sur le coup perso.

Bref, on peut résumer ça à un mauvais choix de terme. Si j'avais lu "Des conseils aujourd'hui communs dans le domaine de la sécurité", j'aurais sûrement rien dit.
Offres d'emploi IT
Ingénieur Test et Automatisation QC/QTP H/F
CDI
Sogeti HT - Région Est - Provence Alpes Côte d'Azur - Valbonne (06000)
Parue le 22/11/2014
DBA Oracle, SQL Server et/ou Sybase (H/F)
CDI
Synchrone technologies - Ile de France - Paris
Parue le 04/11/2014
Aide comptable gérance (H/F)
CDI
Grey Consulting - Ile de France - Mantes-la-Jolie (78200)
Parue le 17/11/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula