Ralis par: Wiem alyani Samia ayed Saloua frija Randa Salah Faten Bahri 2DNI

Plan
Notion dE-Commerce Les attaques Comment remdier? Paiement GSM Dmo(SQL injection)

Faire un ensemble d'changes numriss lis des activits commerciales. support principal de ces changes est l'Internet.

Le Il

reprsente un march de 10 milliards deuros de Chiffre d'Affaire

Les attaques sur les protocoles de communication

Les attaques sur les systmes et applications standard

Les attaques sur les informations

Les attaques sur la base de donnes

Les attaques pour rendre indisponible le serveur

L'coute des communications et le rejeu

La substitution et manipulation de donnes

L'utilisation des protocoles non prvus

le dtournement de protocoles.

Les attaques sur des services rseaux non utiliss et non

ou faiblement protg ;

Les attaques sur la disponibilit du service par utilisation des bugs de ses applications ;

Les

attaques

visant

accder

aux

systmes

d'informations de l'entreprise.

Exploitent les faiblesses au niveau des:

Applications standard du serveur

Applications standards de communication

messagerie SMTP, navigateur utilisant http

utilisation de SQL pour les bases de donnes

Les attaques la disponibilit du site par: saturation manipulation des informations Les attaques visant une appropriation illgale d'informations devant tre non divulgues Les modifications malveillantes des informations affiches sur un site Les modifications de contenu des transactions.

Principe:

Modifier indirectement les ordres SQL envoys au serveur

inclure des chanes de caractres spciales en lieu et place des paramtres attendus par l'applicatif. Rcuprer des informations confidentielles de la base de donnes.
9

Technique dingnierie sociale Permet un cracker de voler/falsifier les informations de la victime et/ou daccder des donnes telles que les comptes personnels, les abonnements, les e-mails, les codes PIN, etc

10

En dupant les internautes par le biais d'un courrier

lectronique

semblant

provenir

d'une

entreprise

de

confiance(banque, site commercial)

Le pirate les invite se connecter en ligne par le biais d'un

lien hypertexte

mettre jour des informations concernant le client dans un formulaire d'une page web factice

11

forme de fraude base sur le nom du domaine. Les utilisateurs sont ports croire quils se trouvent sur un vrai site avec lURL correcte, mais sont en fait dvis sur un faux site Web.

12

Les utilisateurs effectue des transactions sur ce site,

o la plupart du temps ils leur est demand dindiquer

des donnes personnelles, des numros de compte ou

des dtails de leur carte de crdit.

13

Un

procd

de

scurisation

des

transactions

effectues via Internet

fonctionne

comme

une

couche

supplmentaire

permettant d'assurer la scurit des donnes, situe

entre la couche application et la couche transport.

14

L'IETF propose un protocole de transfert

scuris bas sur les concepts de SSL, baptis

TLS 1.0 (parfois nomme SSL 3.1) et dcrit

dans la RFC 2246.

15

16

Authentification: Le client doit pouvoir s'assurer de l'identit du serveur.

Confidentialit :Le client et le serveur doivent avoir l'assurance que leur conversationne pourra pas tre coute par un tiers.

Identification et intgrit: Le client et le serveur doivent pouvoir s'assurer que les messages transmis ne sont ni tronqus ni modifis.
17

Un document

permet dattester quune cl publique

appartient bien cette personne

Bas sur le partage entre les diffrents utilisateurs d'une cl

publique.

Des

algorithmes

de

chiffrement

asymtrique

(clefs

publiques, cl de session, signature lectronique)

18

19

Selon le niveau de signature :

Les certificats auto-signs des certificats usage interne. Signs par un serveur local au sein d'une organisation( besoin d'un intranet).

Les certificats signs par un organisme de certification

assurer la scurit des changes avec des utilisateurs anonymes

Le certificateur tiers permet d'assurer l'utilisateur que le certificat appartient bien l'organisation laquelle il est dclar appartenir.

20

21

22

22

principe d'autorits centralises dtenir jour une liste des certificats valides. Rvoquer les certificats expirs, douteux, etc.

L'utilisateur se rfre cette autorit chaque fois qu'il veut contrler la

validit d'un certificat.

Ces autorits sont organises hirarchiquement: la plus haute soit une autorit de confiance maximale. Le rle d'une autorit suprieure est de valider les autorits qui

dpendent d'elle.
23

Quatre diffrentes mthodes de paiement mobile ont t identifies :

La facture post paye

Le dbit direct

Le compte prpay Le porte-monnaie terminal.

24

Dans le cas gnral de la chane de valeur des paiements mobiles, en met en vidence six positionnements :

25

Il est possible de simplifier cette chane en ne considrant que les acteurs ayant un rle oprationnel dans le processus de paiement.

26

Donner la possibilit de faire associer la carte SIM du

tlphone mobile un compte bancaire.

Effectuer le paiement en validant avec un mot de

passe, un SMS quon reoit sur le tlphone de la part du commerant.

Un virement sera automatiquement tabli entre le compte bancaire du client et celui du vendeur.
27

En outre, cette technique peut fonctionner aussi en

associant tout numro de GSM un portefeuille

lectronique qui permet, via un change de SMS avec

la plate-forme centrale, de transfrer virtuellement de l'argent d'un portefeuille un autre.

28

PEUT-ON LIRE LES SMS CHANGS DEPUIS UN TLPHONE MOBILE ?

29

 Cest possible, mais cest assez compliqu. Il faut pour cela

des moyens importants, dont seules disposent officiellement

les autorits afin de lutter contre le terrorisme et le grand

banditisme.

Il y a trs peu de chance, pour ne pas dire aucune, que de tels moyens soient dploys pour lire les SMS.

30

 Enregistre chaque message SMS envoy ou reu.

Numro expditeur SMS - Date / Heure.

Numro destinataire - Message SMS.

31

Mobile Spy .
SpyBubble: La technologie denregistrement des messages SMS

enregistre mot mot chaque message envoy et reu meme si le

dtenteur du tlphone les a effacs.

MB-Pro : En cas de changement de la carte SIM du tlphone cible, vous serez inform du nouveau numro par un SMS afin de vous permettre de continuer votre surveillance.

32

 Le logiciel despionnage se tlcharge directement dans le

tlphone surveiller en ouvrant le navigateur du tlphone et en

allant sur le lien Internet dcrit dans le manuel. Entrer le code d'activation qui vous aura t fourni lors de votre

achat, puis vous pourrez presser sur Tlcharger.

Une fois le logiciel tlcharg, vous aurez activer le logiciel, en entrant une nouvelle fois le code d'activation. Il ne vous restera plus qu' paramtrer le numro de tlphone qui servira aux coutes.
33

Une injection SQL est un type d'exploitation d'une faille

de scurit d'une application interagissant avec une base de donnes, en injectant une requte SQL non prvue par le systme et pouvant compromettre sa scurit.

34

Impacts

35

Procdure

36

Dmo
37

Merci pour votre attention

38