Sécurité des paiements en e-commerce : le rôle de l'internaute

Depuis que le réseau Internet est devenu accessible aux usagers autres que militaires ou universitaires américains, c'est-à-dire depuis l'apparition du suffixe ".com'(1) qui est venu s'ajouter à ceux de ".mil', ".edu", ".gov"(2), "la Toile" ou plus simplement "le Net", est devenu l'objet de tous les espoirs économiques: une croissance exponentielle du nombre de nouveaux utilisateurs, géographiquement répartis de part le monde, soit un potentiel incroyable de clients pour les entreprises qui choisissent ce moyen comme support à la distribution de services ou de biens.

Cette opportunité économique se décline sous le terme générique "e-commerce". Considérant que le "e-commerce" porte sur l'activité commerciale par Internet et présuppose donc, dans la majeure partie des cas, l'existence d'un paiement du client au fournisseur, l'information relative au paiement est véhiculée, à un moment ou un autre, par Internet.

Dans le modèle le plus classique, le client fournit son numéro de carte de crédit au commerçant et autorise la transaction pour le montant indiqué. Les modèles coopératifs font intervenir un troisième acteur dénommé " agent financier ", dont le rôle dépend de son statut:

- S'il n'a pas le statut de banque, il se contentera de vérifier la validité de la carte et opérera le débit à son nom pour compte du commerçant. Ceci simplifie le travail du commerçant qui n'a pas à se préoccuper des aspects techniques de validation et cela permet aussi de dissocier le nom du marchand de celui du débit apparaissant sur le relevé du compte carte du client,

- S'il a le statut de banque, il pourra vérifier la solvabilité du client et opérer un virement de son compte vers celui du commerçant. Ce modèle ne fonctionne que si le client est titulaire d'un compte auprès de la banque référencée sur le site du commerçant.

D'autres modèles hybrides sont également possibles, mais tous ont la même finalité : garantir l'aboutissement de la transaction financière.

Il existe un cas particulier de "e-commerce": le "e-banking", dont le produit commercialisé principal est le service bancaire. Le montant de la transaction porte souvent, non pas sur le service lui-même qui est souvent gratuit (consultation de comptes et de cours boursiers, virement nationaux et internationaux), mais sur l'instrument financier acheté ou vendu (valeurs mobilières) ou sur le montant transféré lors d'un virement interbancaire.

Le "e-commerce", comme le "e-banking", peuvent susciter l'intérêt des "hackers"(3) qui perçoivent l'opportunité de manipuler à leur avantage les informations financières relatives aux paiements ou instructions de virement. Il existe trois grandes catégories de "hackers":

1 - Les "hackers" qui cherchent à pénétrer un système sans intention de nuire. Parmi eux, il y a ceux qui sont de véritables chercheurs en informatique, qui tentent de trouver les faiblesses de chaque système et qui écrivent des logiciels en conséquence. D'autres "hackers" inoffensifs considèrent l'intrusion comme un jeu et utilisent les logiciels écrits par la première catégorie de " hackers ".

2 - Les "hackers" qui cherchent à s'introduire dans les systèmes dans le but de les modifier ou de les altérer. Leur motivation principale n'est pas pécuniaire, mais plutôt terroriste et démonstratrice. Les conséquences financières pour les entreprises attaquées peuvent être énormes, soit en raison de l'impact sur leur réputation, soit à cause des coûts de reconstruction du site.

3 - Les "hackers" qui recherchent l'intrusion dans un but directement ou indirectement lucratif. Leur objectif consiste, par exemple, à s'approprier des informations importantes (indirectement lucratif) comme des numéros de cartes de crédit ou des informations commerciales de la concurrence, ou encore à détourner des montants en leur faveur (directement lucratif). Ces "hackers" s'appuient, le plus souvent, sur des logiciels écrits par des "hackers" de la première catégorie.

Il est évident que la troisième catégorie de "hackers" est la plus dangereuse. Dans le monde réel on parle de "braquage" d'une banque, détournement d'un avion, falsification de documents ou vol dans un supermarché, mais que ce passe-t-il dans le monde virtuel ?

Sur Internet, les "hackers" vont rechercher des points de vulnérabilité avec la même logique que dans le monde réel.

Ils vont rechercher à s'introduire dans les systèmes selon un ordre décroissant d'importance du flux financier de la transaction commerciale, c'est-à-dire qu'ils vont tout d'abord tenter de s'introduire auprès de l'agent financier (l'organisme d'autorisation des cartes ou la banque). Si l'intrusion réussi, leur objectif sera, par exemple, de détourner les montants des transactions en leur faveur, d'acheter des produits sans paiement ou encore de se déclarer comme commerçant et passer des transactions fictives en leur faveur. A cet égard, les sites bancaires sont plus exposés que les autres, puisque, d'une part les sommes autorisées sont généralement assez élevés et d'autre part les montants peuvent sortir du circuit à l'aide de virements internationaux.

Si l'intrusion auprès de l'agent financier ne fonctionne pas, les "hackers" vont tenter de s'introduire dans le site du commerçant afin de récupérer le fichier contenant tous les numéros de cartes précédemment autorisées(4). En dernier recours, ils vont tenter de s'attaquer au poste du client.

Depuis ces deux dernières années, les attaques des "hackers" visent de moins en moins les systèmes centraux (exemple: système e-banking, centre d'autorisation de cartes, site du commerçant), car ceux-ci sont de mieux en mieux protégés. Les réflexions en matière d'architectures informatiques protégées ont évoluées et s'appuient sur des outils anti-intrusions de plus en plus efficaces, qui isolent de mieux en mieux les systèmes centraux de l'Internet. Les bases de connaissances disponibles sur Internet permettent également une dissémination rapide des informations relatives à la sécurité des réseaux. Malheureusement, les solutions sécurisées sont coûteuses et les experts informatiques sont encore relativement rares.

De ce fait, les banques sont en meilleur position que certains sites commerçants qui restent vulnérables.

Devant cette difficulté d'intrusion des systèmes centraux, les "hackers" réagissent en s'attaquant de plus en plus aux postes clients (PC domestiques) utilisant ces systèmes.

Tout PC connecté à Internet est une cible potentielle pour les attaques. D'un côté, il y a les logiciels d'attaques qui scrutent le réseau aléatoirement et automatiquement en vue de trouver des failles de sécurité qui permettent d'accéder aux ressources du PC de l'internaute(5). Ce sont souvent les "hackers" de la première et la seconde catégorie qui sont derrière ces attaques. Ils n'ont ni cible, ni but précis. Les données trouvées ne sont souvent même pas exploitées, la satisfaction du "hacker" se limitant souvent à la réussite de pénétration ou, dans le pire des cas, à la destruction des données.

D'autres attaques ciblent un ordinateur bien précis dans le but de s'approprier des données confidentielles allant de l'adresse e-mail destinée à alimenter une base de publipostage, aux éléments d'identification e-banking. Ces attaques nécessitent des connaissances spécifiques propres au but recherché. Si le "hacker" recherche des informations d'identification bancaire, il devra avoir une connaissance précise du protocole d'authentification mis en place par la banque pour déterminer à quel moment capter les informations "sensibles".

Deux méthodes d'intrusions sur le PC de l'internaute sont possibles:

1 - En ligne, lorsque le PC est connecté à Internet, le "hacker" s'adresse au PC par une communication (une session) invisible de l'internaute. Cette communication est rendu possible, en utilisant, soit une faiblesse du PC (système d'exploitation, navigateur ou logiciel actif au moment de l'intrusion), soit un logiciel en cours d'exécution, qui ouvre un accès invisible (cheval de Troie).

2 - Par l'installation d'un " cheval de Troie ", que le PC soit connecté ou non à Internet. Le " cheval de Troie " est un programme assimilable à un virus informatique ayant pour but de réaliser certaines opérations à l'insu de l'utilisateur. Ce programme peut être véhiculé par divers moyens : sous la forme d'un programme anodin, comme un screen-saver ou un jeu, imbriqué dans un programme à priori légitime (traitement de texte, tableur, calculatrice etc.) mais infecté au préalable par le " cheval de Troie ". Enfin, sous la forme d'une pièce jointe au courrier électronique (e-mail attachment), exécutée à l'ouverture du courrier. Il s'agit d'un mode de propagation similaire à celui utilisé par le fameux virus " I love you ", utilisant les particularités du lecteur de mail de Microsoft. (fichier VBScript visual basic).

Les opérations réalisées par un " cheval de Troie " peuvent être variées et ne connaissent pratiquement aucune limite:

- Lecture et écriture d'informations sur tous les disques,

- Interception des caractères tapés au clavier,

- Interception des informations entre un lecteur de carte et le PC,

- Ecoute des informations envoyées et reçues par Internet, avec modifications possibles,

- Interception des informations transmises entre les programmes actifs,

- Infection d'autres programmes,

- Dissémination à d'autres utilisateurs par Internet ou par programmes infectés,

- Changement de forme, afin de rendre la détection plus difficile,

- Attente d'une connexion Internet pour communiquer les informations collectées.

- Attente d'une connexion Internet pou ouvrir un accès caché.

A partir du moment où le pirate a pu "infecter" la machine par un "cheval de Troie" il est fort probable qu'il est parvenu à ses fins étant donné qu'un tel "outil' lui donne libre accès à sa proie. Un cheval de Troie installé devient complètement autonome. Le problème de connexion de l'ordinateur cible avec Internet ne se pose plus et le "hacker" est averti dès que l'ordinateur se reconnecte à Internet.

Des millions d'internautes ont déjà subi ces attaques, probablement sans avoir pris connaissance du fait que leur ordinateur a été piraté. Mais comment se protéger contre ces attaques ?

Une bonne configuration de l'ordinateur, un anti-virus actualisé et un firewall peuvent protéger un PC contre des attaques illicites. Le firewall n'est donc plus uniquement réservé au monde des entreprises disposant de réseaux importants et connectés en permanence à l'Internet. Comme l'anti-virus, l'installation d'un firewall prend tout son sens sur un ordinateur personnel, principalement lorsque le temps de connexion de l'internaute augmente, ce qui est le cas depuis la diminution des tarifs, l'apparition des " flat rates " et, surtout, depuis l'évolution des moyens de connexion à Internet (notamment via la télédistribution(6), l'ADSL(7) ou encore le courant porteur(8)) qui permettent aux internautes d'être connectés en permanence. La vulnérabilité est directement dépendante de la durée de connexion.

Dans le monde professionnel, le firewall se trouve la plupart du temps sur un " serveur " dédié (un ordinateur classique ou une boîte noire(9)) et est composé de "hardware"(10), d'un système d'exploitation ainsi que du programme qui compose le firewall lui-même. Pour l'internaute individuel, le firewall est simplement installé sur son PC lui-même. Il s'agit d'une application comme une autre, fonctionnant sous le système d'exploitation du PC (Linux, Win95/98/NT, MacOS etc.).

Pour les lecteurs non initiés, qu'est-ce qu'un firewall ? Un firewall est un logiciel qui filtre les communications Internet entrantes et sortantes de l'ordinateur sur lequel il fonctionne. Pour comprendre de quel type de filtre il s'agit, il faut savoir que chaque ordinateur connecté à Internet est accessible (le terme informatique est " adressable ") grâce à son adresse IP et un numéro de porte d'entrée (le terme informatique est " port "). A chaque " port " correspond une application. Plus exactement, le port de communication est un chiffre entre 0 et 65535 et indique le protocole utilisé. L'application de courrier électronique communique sur un " port " différent de celui du navigateur web, qui utilise, à titre d'exemple, le port 80. Ainsi, lorsque un internaute recherche à accéder un site web, par exemple " www.monweb.lu ", certains ordinateurs spécialisés sur Internet(11) traduisent cette recherche en, par exemple, 216.121.45.118 :80, soit l'adresse IP et le port 80. Sans entrer dans les détails, un firewall permet d'autoriser ou interdire, soit une adresse IP (ou un intervalle d'adresses IP), soit un numéro de port (ou un intervalle de numéros de port), soit une combinaison des deux.

Un firewall qui combine des fonctions d'anti-virus saura reconnaître les numéros de " port " qui correspondent en principe à des chevaux de Troie connus. Les outils de "hackers " qui cherchent à s'introduire sur le poste de travail de l'internaute, essayent d'établir une connexion sur un numéro de " port " prédéfini, l'adresse IP étant choisie par l'outil d'attaque. Si cette adresse IP correspond à celle de l'internaute au moment de sa connexion, il subit l'attaque.

La description des mécanismes de filtrage donnée ci-dessus correspond aux principes de base et certains firewalls sophistiqués ne se limitent pas à ce type de filtre. Un firewall fonctionne selon deux principes : soit il bloque tout sauf ce qui est explicitement autorisé, soit il autorise tout sauf ce qui est explicitement interdit.

Le premier principe est le plus sur, mais aussi le plus difficile à configurer. La plupart des firewalls " personnels ", c'est-à-dire prévu pour fonctionner sur le PC de l'internaute, sont livrés avec un jeu de règles standards et disposent d'un mode d'apprentissage. Au cas où le firewall rencontre une information (un " paquet " au sens du protocole TCP/IP) pour lequel il n'y a pas de règle spécifique il demande à l'utilisateur s'il veut accepter ou rejeter ce paquet. L'utilisateur peut aussi indiquer au firewall d'accepter ou de rejeter tout futur paquet de ce type (création d'une nouvelle règle).

D'autres firewalls " personnels ", informent également l'utilisateur dès qu'un programme veut accéder à Internet. Ceci permet de découvrir l'existence de certains chevaux de Troie qui seraient déjà actifs sur le PC. C'est également grâce à cette méthode que l'internaute peut s'apercevoir que certains logiciels, pourtant acquis tout à fait légalement, tentent d'accéder à Internet à l'insu de son utilisateur, probablement afin d'envoyer des informations sur l'utilisation faite du logiciel à des fins de marketing ou encore pour vérifier l'existence d'une version plus récente à proposer à l'internaute.

Le firewall peut aussi être configuré pour protéger les données confidentielles. Il peut ainsi alerter l'utilisateur à chaque fois que son numéro de compte, de carte visa où son identifiant est transmis. Le firewall informe sur le destinataire de ces informations et l'utilisateur doit choisir d'accepter ou de refuser ce transfert. Notons cependant que cette technique ne fonctionne pas au cas où les informations sont encryptées(12). La cryptographie a pour but d'éviter que ces informations (numéro de la carte de crédit) transitent en clair sur le réseau, mais il n'est pas interdit d'imaginer qu'un cheval de Troie d'un "hacker" espionne l'ouverture d'une session sécurisée pour en capter les informations, à priori " sensibles ", avant leur encryption.

Concernant la sécurité des transactions bancaires faites par Internet, bien qu'une encryption de la ligne entre le client et la Banque rende la lecture des données impossible, les éléments d'identification du client sont introduits en clair lors de la saisie au clavier. Un "hacker" ayant réussi à avoir accès au poste client peut donc "sniffer" (terme informatique équivalent à " espionner ") ces éléments et se faire passer, à un autre moment, pour le client.

Il est également possible d'imaginer que le "hacker" ayant la main sur le poste du client bancaire, puisse détourner sur un autre compte les virements insérés par le client. Cette possibilité fut d'ailleurs démontrée à des journalistes aux Pays-Bas par un groupement de " hackers démonstratifs "(13), qui introduisirent un cheval de Troie selon la méthode des " attachment " e-mail (type virus " I Love You") afin de modifier les coordonnées bancaires de virements d'une application de " home-banking "(14). Il est donc important que l'algorithme utilisé pour garantir l'intégrité (l'inaltérabilité) des données lors de la transmission, prenne en compte l'ensemble des éléments qui composent la transaction. De cette manière, il devient encore plus difficile, mais toujours pas impossible, de modifier au dernier instant certaines données cruciales.

Les firewalls pour PC domestique sont disponibles dans le commerce à des prix raisonnables. Certains fournisseurs mettent à disposition des version d'évaluation via Internet. Se procurer et installer un firewall est à la portée de tout internaute, à condition de lire correctement la documentation fournie. La configuration et la maintenance des firewalls exigent déjà des connaissances plus approfondies, qui constituent le principal frein à l'adoption d'une telle protection par l'internaute. En effet, lorsque l'internaute ne maîtrise pas suffisamment le fonctionnement des règles de filtrage, il finit par ne plus pouvoir accéder à certains sites ou services, ou il obtient des résultats inattendus qui le dissuadent de poursuivre l'utilisation du firewall.

Ce ne sont pas les possibilités de filtrages qui distinguent principalement les firewalls " personnels" des firewalls d'entreprises, mais ce sont les ressources affectées à la surveillance qui font la différence, autrement dit le temps passé et les connaissances requises. Un firewall d'entreprise est géré par un département informatique qui a les connaissances nécessaires alors qu'un firewall " personnel " demande de l'internaute un minimum de connaissances et du temps qu'il n'a pas forcément. En principe, le log(15) du firewall est vérifié par le responsable de la sécurité où l'auditeur informatique.

Les firewalls " personnels " devraient être conçus de manière à permettre à tout utilisateur qui ne dispose pas de connaissances approfondies, notamment du protocole TCP/IP, de les configurer d'une manière fiable. La plupart des firewalls " personnels " demandent lors d'une tentative d'une nouvelle connexion si l'utilisateur veut accepter ou refuser cette connexion et s'il veut créer une nouvelle règle concernant cette connexion. C'est également à ce niveau que l'internaute doit avoir assez de connaissances pour évaluer ce qu'il veut autoriser ou non. La fonctionnalité permettant de créer des règles est nécessaire, mais elle n'augmente la sécurité que si l'internaute effectue régulièrement une vérification de leur cohérence.

L'usage d'un firewall personnel provoque également un effet pervers : Il incite un "hacker" à tenter une intrusion dans le PC. En effet, lors d'une tentative d'attaque (aléatoire), le hacker est averti que son paquet mal intentionné a été rejeté et il peut donc supposer que sa cible est protégée par un firewall. Il peut aller plus loin dans sa supposition et s'imaginer que la présence du firewall a pour but de protéger des informations importantes. De plus, du fait du nombre encore réduit de firewalls " personnels " installés, il supposera être en présence d'un système central l'incitant à approfondir son attaque.

En conclusion, peu importe le niveau de sécurité mis en oeuvre au niveaux des systèmes centraux des commerçants ou prestataires de services par Internet, c'est aujourd'hui l'internaute qui devient la cible des attaques. De ce fait, il doit prendre conscience qu'il fait partie intégrante de la chaîne de sécurité des opérations e-commerce et qu'avant de mettre en cause la sécurité des prestataires, il doit d'abord faire un bilan de sa situation en matière de protection contre les attaques. C'est lui qui est détenteur des éléments identifiants (code secret, mot de passe, carte à puce, calculatrice de signature etc.) et qui choisit où stocker ses informations vitales. La plupart des fournisseurs exigent un changement du mot de passe initial lors de la première connexion. Cette opération ne vise pas seulement à augmenter le niveau de sécurité; elle vise essentiellement à responsabiliser l'internaute et à dégager le prestataire d'une certaine responsabilité.

L'individu ne possédant pas ou peu de connaissances informatiques a déjà certaines difficultés à apprendre le maniement des navigateurs. Il devient fondamental de lui inculquer des notions de protection de son ordinateur. Apprendre au citoyen à se servir d'Internet sans lui apprendre à se protéger des intrusions représente un risque majeur pour la protection de la vie privée. La " net-économie " peut également s'effondrer rapidement si le public perd confiance en Internet pour ses opérations bancaires ou commerciales.

Que devrait contenir une formation aux notions élémentaires de sécurité Internet ? Par similarité avec une formation à l'utilisation d'un navigateur, cette formation devrait expliquer au moins :

- le fonctionnement de base d'un firewall,

- la manière de configurer un firewall,

- comment interpréter les informations fournies par le firewall et détecter une intrusion ou la présence d'un cheval de Troie,

- comment effectuer le suivi de la cohérence des règles de filtrage gérées par le firewall.

Par dessus tout, cette formation devrait inculquer les notions de base d'une " hygiène informatique " élémentaire à suivre en matière de gestion des identifiants et clés électroniques. Dans combien de foyers, le numéro de convention e-banking traîne sur une étagère à côté de l'ordinateur familial, avec en sus la "code-card(16)" posée à côté du clavier et, comble de la négligence, un " post-it " collé au bord de l'écran avec le mot de passe inscrit dessus ?

Cet article n'a pas pour objectif de faire peur et de dissuader le public à " surfer " sur Internet. Bien au contraire, il vise à sensibiliser l'internaute à l'existence des risques d'intrusions et à lui faire comprendre qu'il ne peut pas attendre des fournisseurs une garantie de sécurité absolue, puisqu'il est lui-même un maillon de cette chaîne de confiance. Heureusement, des parades existent sous la forme de firewall " personnels ". Avec un minimum d'attention, il est tout à fait possible d'utiliser sa carte de crédit pour payer par Internet, à condition d'apprécier sa propre sécurité : présence d'une communication sécurisée (https), absence de cheval de Troie et présence d'un firewall correctement configuré. Le risque " zéro " n'existe pas mais, heureusement, le nombre de "hackers" mal intentionnés et experts en intrusion reste réduit par rapport au nombre d'internautes.

La sécurité informatique dans un contexte Internet peut être considérée comme manichéenne : il y a ceux qui tentent les intrusions pour s'amuser ou pour nuire et il y a ceux qui les combattent. Ceux qui s'attaquent aux systèmes sont depuis longtemps internautes. Il convient de s'assurer que les nouveaux internautes puissent s'en protéger au lieu de risquer être leur victime.

Un dernier point intéressant à suivre et qui traduit bien ce " combat " : A quand le firewall infecté par un cheval de Troie ?

David HAGENClaude BERNARD

Président du ClussilMembre Clussil

David HAGEN et Claude BERNARD sont en charge de la surveillance prudentielle des systèmes informatiques des établissements financiers à la Commission de Surveillance du Secteur Financier (CSSF).

1. Lire " dot com "

2. mil pour militaires, edu pour éducation, gov pour gouvernement.

3. Le terme exact est " cracker " et s'applique davantage aux individus ayant une intention de nuire, mais les termes de " hacking " et de " hacker " sont plus couramment utilisés. Les puristes et initiés feront la différence.

4. En janvier 2000, un hacker russe " Maxim " réussit à pénétrer le site web commercial de CD Universe et subtilisa 300.000 numéros de cartes de crédit des clients. Il demanda une rançon de US$100.000 que la société refusa de payer. Le hacker publia à deux reprises un échantillon de 25.000 cartes à utiliser par le public.

5. Les systèmes de stockage (disques durs) sont les premiers visés, mais les ressources du processeur (temps CPU) sont également utilisables illicitement.

6. L'accès à Internet est proposé par le fournisseur du réseau de distribution TV et utilise le câble de la télévision.

7. Asynchronous Digital Subscriber Line. L'ordinateur est connecté à haut débit et en permanence.

8. L'accès à Internet est réalisé au travers de l'installation électrique de l'habitation.

9. L'ordinateur est conditionné dans un boîtier encastrable dans une armoire (un rack), uniquement relié à Internet et au réseau local, sans clavier ni écran et contrôlé à distance par un autre ordinateur ou PC.

10. Il s'agit de l'équipement électronique proprement dit : le boîtier, le processeur, l'alimentation, les disques etc.

11. Les DNS ou Domain Name Server. Pour posséder un nom de domaine actif (.lu, .com, .org etc.), le propriétaire doit impérativement indiquer au fournisseur du nom deux DNS (un primaire et un secondaire agissant comme backup en cas de panne du premier).

12. La cryptographie est réalisée au sein du protocole https (secure http) qui utilise SSL (secure socket layer). Elle est matérialisée par un symbole de clé ou de cadenas dans la ligne d'état du navigateur (en bas à gauche pour IExplorer).

13. Ce groupement ne regroupe officiellement pas de " hackers " car son objectif est de mettre en évidence les faiblesses des systèmes, mais les techniques utilisées sont identiques.

14. Le " home banking " est à comprendre ici comme une application permettant la saisie et la préparation des transactions bancaires sans connexion en temps réel avec la banque. Les opérations sont ensuite transférées à posteriori.

15. Le journal des événements tracées par le firewall. Il s'agit d'un fichier texte plus ou moins compréhensible qui permet de retracer les actions du firewall.

16. Il s'agit d'une carte comportant un certain nombre de lettres et de chiffres, dont certains seront demandés lors de la connexion bancaire. Cette carte représente un élément physique d'authentification à posséder lors de la connexion, partant du principe que tous les chiffres et lettres ne peuvent pas être retenus par c'ur.