Commerce électronique: ne pas négliger la protection des serveurs

Guillaume Séguin, OKIOK -14/11/2008

De nombreuses mesures de sécurité sont prises pour sécuriser le commerce électronique, autant par les consommateurs que les entreprises. On ne doit pas oublier que si la transaction se fait en toute sécurité, les données qui sont stockées après coup peuvent constituer une cible pour des personnes mal intentionnées.

(©KMITU/iStockphoto)

Au Canada, le commerce électronique a généré l'année dernière des ventes de 62,7 milliards de dollars dans les secteurs public et privé. Bien que cela représente moins de 2 % des ventes globales sous toutes leurs formes, Statistique Canada souligne qu'il y a tout de même eu augmentation de 26 % par rapport à 2006. Et si on le compare à son niveau de 2002, le volume du commerce en ligne a plus que triplé au pays.

On serait porté à croire qu'au fil des ans, la prolifération de ce type d'échange s'est accompagnée d'un accroissement de la sécurité des transactions. Cela est vrai, mais dans une certaine mesure seulement.

Exécution de la transaction

Certes, le consommateur prend davantage de précautions pour se protéger contre le vol d'identité, l'hameçonnage, les logiciels espions et les maliciels en général. En outre, des mesures sont mises sur pied par les commerçants et les institutions financières. Ainsi, les marchands qui le souhaitent peuvent adhérer à un programme émanant des émetteurs de cartes de crédit par lequel l'acheteur doit entrer un mot de passe avant que la transaction puisse être conclue. Cependant, et bien qu'il puisse s'agir d'un service à valeur ajoutée offert à la clientèle, cette pratique n'est pas très courante pour le moment.

Autre mesure visant à déjouer l'hameçonnage, les sites de commerce électronique – ceux de plusieurs institutions financières notamment – associent une image au profil personnel de l'utilisateur. Cette dernière lui est présentée chaque fois qu'il accède au site pour y faire des transactions. Si l'image ne s'affiche pas ou si l'image affichée n'est pas la bonne, l'utilisateur doit comprendre qu'on tente de l'hameçonner. Il s'agit d'une protection optionnelle, dont tous devraient se prévaloir.

Sécurité avancée

Il existe aussi une norme par laquelle se fait une vérification étendue avant l'émission d'un certificat SSL dans le cadre d'une transaction en ligne. Ainsi, le certificat EV SSL (Extended Validation SSL) n'est émis qu'après une identification rigoureuse de l'entreprise hébergeant le site Web utilisé pour la transaction. L'utilisateur sait que le certificat EV SSL a été émis lorsque la barre contenant l'adresse du site au haut de l'écran devient verte. Pour l'heure, cette mesure demeure marginale. Afin qu'elle soit pleinement efficace, elle doit être mise en œuvre sur tous les serveurs de commerce électronique de l'entreprise, sans quoi l'adresse utilisée ne sera verte que si l'on accède à un service participant. Pareillement, la couleur verte n'apparaîtra que si l'on utilise un navigateur de version récente. Aussi, l'image associée au profil de l'utilisateur – dont nous venons de parler – confère à ce dernier une convivialité et assurance plus grandes.

Enfin, on commence à voir des sites qui associent un compte d'utilisateur à un poste de travail précis, de façon à s'assurer de la légitimité des opérations. En vertu de cette mesure, si l'utilisateur ne se sert pas de son poste de travail habituel pour faire une transaction, celle-ci peut être interdite, ou limitée à un certain montant.

De telles mesures sont bénéfiques et nécessaires. Elles ne peuvent être négligées, ne serait-ce que parce qu'elles rassurent le client. Par contre, elles ne protègent pas contre le vol d'identité ou de données après l'exécution de la transaction. Elles ont été conçues pour sécuriser les transactions au moment même où elles se font.

Page 1- Transaction sécuritaire

Page 2- Protection des serveurs