Sécurité de la plateforme e-Commerce

By 17 April 2011

5. Sécurité de la plateforme
Du faites de la sensibilité des donnée manipulé dans une plateforme e-Commerce, nous n’avons rien laissé au hasard, et afin de répondre au différents objectifs de la sécurité (voir annexe) dans notre plateforme, nous avons pris différentes mesures au niveau physique et logique.

5.1. Niveau Physique
5.1.1. Protection de la plateforme contre les attaques
Parmi les mesures obligatoires de sécurité informatique, figurent la protection du réseau local contre les intrusions des pirates Internet, la protection contre la prolifération de virus, la sécurisation des connexions distantes, l’encryptions de la communication, des messages ou des fichiers, le contrôle d’identité et l’optimisation des ressources …

Atelcom dispose d’une architecture hautement sécurisé qui comporte divers dispositif de sécurité, une architecture articulée essentiellement autour de deux barrières de parfeu composées eux même de 2 firewalls configurées en haute disponibilité, de deux reverse proxy et des sondes anti intrusion. Pour des raisons de sécurité nous ne pouvons reproduire l’architecture de sécurité utilisée par Atelcom.

5.1.2. Isolation du serveur de base de données
Nous avons pris le soin de séparer les serveurs qui comportent l’application de la plateforme et sa base de donnée ainsi le seul accès possible à la base de donné se fait par le biais de la plateforme.

5.1.3. Sauvegarde des données
Sécurité de la plateforme e-CommerceUtilisation des machines serveur Backup qui permettent la sauvegarde périodique des données en cas de panne ou autre.

5.2. Niveau Logique
5.2.1. Mécanisme d’authentification et hachage de mot de passe
Nous avons implémenté tout un mécanisme d’authentification au niveau de la plateforme en plus des mécanismes de sécurité offert par l’ASP.NET, avec plusieurs classes de contrôle et de validation de l’utilisateur et de session.

Tous les mots de passes sont hachés au niveau de base de données à l’aide de l’algorithme MD5 qui est reconnu pour sa robustesse.

5.2.2. Restriction d’accès et privilège
L’étude des cas d’utilisations à permis l’identification des privilèges de chaque utilisateur de la plateforme, d’où l’implémentation d’une gestion des rôles et des droits d’accès qui assurent qu’un utilisateur peut effectuer seulement les opérations disponibles sur son espace indiqué.

5.2.3. Protection contre les attaques d’injection SQL
Une injection SQL est un type d’exploitation d’une faille de sécurité d’une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.

C’est pourquoi toute les opérations effectuées entre la plateforme et la base de donnée sont implémentées à l’aide de requête SQL paramétrée, ce qui permet de mieux prévoir ce type d’attaque.

5.2.4. L’utilisation du protocole de sécurisé SSL
Toutes les pages ou opérations effectués dans le cadre du paiement sont crypté à l’aide du protocole HTTPS qui ouvre un tunnel en mode SSL entre le client et la plateforme de paiement, ce qui empêche l’accès à ces données sensibles d’une tierce personne non autorisée.

Lire le mémoire complet ==> (Conception et réalisation d’une plate-forme de commerce électronique)
Mémoire de fin d’études pour l’obtention du diplôme d’Ingénieur d’Etat en Informatique
Ecole nationale supérieure d’informatique