Etude de cas

• Sécurisation d’une boutique de vente en ligne
• Certification des sites dédiés à la santé en France

---

Sécurisation d’une boutique en ligne:

On rencontre généralement sur les sites de vente en ligne un certain type de vulnérabilités. Il s’agit ici de corriger ces failles de sécurité. Je vous présente ici le plus parlant des exemples: la modification du prix d’un article.

Point de vue fonctionnel:

L’internaute visite la boutique en ligne et ajoute un produit à son panier. Il valide sa commande en saisissant son N° de CB.
Le site e-boutique traite la commande en envoyant les données au serveur d’application qui procède à des vérifications (validité du N° de CB, clé Lhun,…). Le serveur d’application traite la commande en insérant le orduit une table de la base de données.

Point de vue technique:

La boutique en ligne est composée de 2 parties. Le Front-End est la partie visible sur Internet et la Back-End est la partie d’administration et de traitement des données. La plupart du temps les sites sont développés avec un serveur Web Apache tomcat comme Front-End et un serveur d’applications Apache Tomcat associé à un Apache Axis et une base de données Oracle. Le serveur placé en Front-End communique avec le serveur placé en Back-End à l’aide d’un web service.

Attaque par modification de paramètres :

Ce type d’attaque consite à manipuler les paramètres échangés entre un client de la e-boutique et le serveur. Son but est de changer la valeur d’un paramètre envoyé par le navigateur internet à l’application web. Si le site e-boutique est vulnérable, il est alors possible de modifier le prix de vente d’un article.

Exemple:

Un ordinateur portable est vendu 450 euros. On passe commande. Avec l’aide d’un proxy web, on peutbintercepter la requête envoyé par le navigateur internet avant sont arrivé sur le site de vente en ligne. Après analyse du code, on peut constater que le prix du produit est envoyé dans le corps de la requête. Il est alors facile de le modifier. Le serveur web de la e-boutique reçoit la commande du navigateur web. Comme le serveur web se base sur les informations reçues par le client, le prix est modifié.

Protection:

Il est assez simple de se protéger de ce type de vulnérabilité. Il ne faut pas se fier aux données envoyées par le client, surtout s’il s’agit de données critiques comme le prix. Il faut recoder une partie du site boutique pour que cette donnée importante soit stockée du côté du serveur web et ne faire transiter qu’un identifiant associé avec le produit sélectionné et son prix.

Suite à ces changements, il est impossible de modifier le prix des produits de la boutique. L’application est protégée contre ce type de vulnérabilité.

---

Certification HonCode pour sites médicaux:

Points essentiels:

L’état Français a créé en 2004 la Haute Autorité de Santé (HAS). Cet organisme est chargé d’établir une procédure de certification des sites dédiés à la santé.
La procédure établie par la HAS repose sur la certification HONcode réalisée par la fondation Health on the net (la santé sur Internet), avec qui la HAS a passé une convention de partenariat.

Cette convention comporte huit principes qui portent sur la qualité du site (technique, code, cryptage…) et/ou de la présentation de l’information sur le site (contenu éditorial).

Ce dispositif a permis l’amélioration et la certification des sites qualifiés de très sérieux en France.

Si vous souhaitez faire certifier votre site médical ou créer un site médical en respectant le code de déontologie établi par votre Conseil de l’Ordre, contactez moi.

Je travail en accord avec la fondation Health on the net, je connais les modalités et les règles de la certifications.