Pourquoi crypter vos emails ?

Un email se résume à un fichier dans lequel on trouve  vos textes écrits en clair avec une mise en forme : texte et/ou html et des pièces joints. Ces pièces jointes  sont intégrées directement dans le fichier contenant le mail. En mode Html certains fichiers peuvent être lus et récupérés directement du web grâce aux liens.

Ce fichier “MAIL” transite donc en clair sur différents serveurs et peut être lu par des personnes mal intentionnées. Ce “MAIL” peut également être récupéré lors du trajet.

Comment fonctionne un email?

Voici un petit schéma très succinct du voyage que peut faire un email. Vous vous apercevrez qu’il peut être lus à différentes étapes de son voyage.

  

	Schéma avec trajets NON CRYPTE
	Schéma avec trajets CRYPTE

 

De prochains articles expliqueront comment crypter vos emails, vos documents, …

Pour plus de renseignements vous pouvez me contacter

Olivier Alessandri au 0661332211

OLVANI vous propose OLVANI Web Sérénité une série de dispositifs pour sécuriser votre Ecommerce et vos échanges.

OLVANI Web Sérénité pour mettre en confiance vos acheteurs!

Pour commencer nous vous proposons une série de certificats SSL pour renforcer la sécurité de vos Ecommerces et ainsi rassurer vos clients. Toutes nos offres sont réalisées en partenariat avec GlobalSign, autorité de certification internationale. D'autres produits et dispositifs viendront compléter cette première série.

3 offres de certificats SSL pour répondre à tous vos besoins

L'offre DOMAIN SSL pour authentifier votre nom de domaine et crypter les échanges avec vos internautes.
L'offre ORGANISATION SSL pour authentifier votre domaine ainsi que votre société  et crypter les échanges avec vos internautes.
L'offre EXTENDED VALIDATION pour authentifier votre domaine, ainsi que votre société et crypter les échanges avec vos internautes. De plus, elle permet également d' ajouter une bande verte dans la barre d'adresse du navigateur visuellement très impactante.

 

Pour plus d'informations :
http://www.olvani.com/sitesweb-securite-certificat-ssl-cryptage-donnees.htm
ou Contacter Olivier Alessandri au 06 61 33 22 11

Points essentiels

• Un développement contrôlé
• Vérifier, contrôler et corriger les risques d’injection HTML
  Ce type de détournements peut-être réalisé en tapant dans les formulaires du scripts non autorisés
• Vérifier, contrôler et corriger les risques d’injection SQL
  Ce type de détournements peut-être réalisé en tapant dans les formulaires du code SQL non autorisés pour en récupérer les informations de la base de données
• Vérifier, contrôler et corriger les risques de Cross Site Scripting (CSS)
  Permet d’exécuter du code au travers d’un autre nom de domaine. Peut donc être très dangereux!
• Vérifier, contrôler et corriger les validations de formulaires (clients et serveurs)
  Tous les champs doivent être contrôlés, leurs longueurs de champs, leurs conditions d’utilisation sur le client et sur le serveur.
• Vérifier, contrôler et corriger les risques de détournements de sessions
  Permet de récupérer des sessions utilisateurs alors qu’un autre utilisateur est connecté. Le CSS peut favoriser ce type de détournement.
• Les serveurs à jour
• Vérifier, contrôler et corriger les vulnérabilités des serveurs web
  Appliquer les services pack et les mise à jour. Appliquer et ajuster les droits sur les répertoires. Autoriser juste le nécessaire. Changer les répertoires Web par défaut.
• Vérifier, contrôler et corriger les vulnérabilités des serveurs Sql
  Appliquer les services pack et les mise à jour. Appliquer la sécurité du serveur.
• Les connexions sécurisées avec les certificats SSL
• Protégez les comptes de vos clients contre le filoutage.
  Les attaques de filoutage (également appelé hameçonnage) continuent d’augmenter : les vendeurs en ligne, les sites de vente aux enchères et même les sites d’actualités ont rejoint les établissements financiers comme cibles potentielles. Les hameçonneurs cherchent à obtenir les données de connexion des comptes. Cela signifie que toute entreprise mettant des comptes de connexion à la disposition de ses clients est une cible potentielle du filoutage. Les certificats SSL EV permettent de protéger les clients au moment de la connexion en leur assurant qu’ils se trouvent sur un site authentique et non sur un site de filoutage.
• Protégez votre marque contre les sites imitateurs
  Toute marque en ligne de valeur peut bénéficier des certificats SSL EV. Depuis des siècles, les gens ont été la proie des escrocs se faisant passer pour des personnes qu’ils ne sont pas. Cet « art » se retrouve maintenant en ligne où des sites imitateurs de marques prétendent être ce qu’ils ne sont pas.

 

 

 

Tous nos hébergements bénéficient de ce type de contrôles.

Tout nos développements web peuvent appliquer ces pré-requis pour en maximaliser la sécurité des sites web. Tout dépends de la sécurité que vous souhaitez appliquer à vos sites.

Nous pouvons également vous proposer des certificats SSL pour en assurer la sécurité des connexions mais également pour en garantir la validité de l’identité du propriétaire.

D’autres questions peuvent se poser sur les risques non techniques (juridique, …)

1- Lorsque l’internaute demande  une page web 2-  une connexion cryptée se créé entre le demandeur de la page et le serveur qui stocke le site web 3- Aucun logiciel d’écoute ne peut donc récupérer les informations qui circulent entre l’ordinateur de l’internaute et le serveur web

Le résultat est une confidentialité des informations accrues.

Toutes informations stockées comme les informations d’un espace membre,

vos coordonnées ou toutes autres informations confidentielles ne peuvent être volées.

C’est pourquoi la mise en place d’un certificat SSL est nécessaire pour rassurer vos visiteurs

mais également pour réellement protéger votre site de l’écoute de vos lignes avec des logiciels de type Sniffer

Nous pouvons vous proposer ce type de certificat à un coût très abordable dégressif en fonction du nombre d’années.

L’authentification de votre site Ecommerce (ou autre espace web)  est mis en place avec un tiers de confiance qui

1. identifie votre site
2. le serveur web sur lequel se trouve votre site

comme étant légitime et n’étant pas une imitation réalisée dans le but de faire croire à vos visiteurs que c’est votre site web pour en soutirer les informations confidentielles de vos membres.

	1- demande du site http Aucun moyen de savoir si le site est authentique ou a été détourné? Le danger le plus important est le détournement d’adresse ip
	1- demande du site https 2- vérification via le tiers de confiance grâce au certificat SSL 3- le site n’est pas valide et le navigateur indique le risque à l’internaute bar une bande rouge
	1- demande du site https 2- vérification via le tiers de confiance grâce au certificat SSL 3- le site est valide et le navigateur indique le risque à l’internaute par une bande verte

C’est pourquoi la mise en place d’un certificat SSL est nécessaire pour rassurer vos visiteurs

mais également pour réellement protéger votre site des attaques de filoutages ou hameçonnage(phishing)

Nous pouvons vous proposer ce type de certificat à un coût très abordable dégressif en fonction du nombre d’années.

Voici la suite des informations et tutoriaux pour mieux comprendre la sécurité
nécessaire sur vos ordinateurs

Procédure : implémentation de la gestion des correctifs logiciels
http://www.microsoft.com/france/technet/securite/secmod108.mspx
Procédure : renforcement de la pile TCP
http://www.microsoft.com/france/technet/securite/secmod109.mspx
Procédure : sécurisation de la station de travail du développeur
http://www.microsoft.com/france/technet/securite/secmod110.mspx
Procédure : utilisation d'IPSec pour le filtrage des ports et l'authentification
http://www.microsoft.com/france/technet/securite/secmod111.mspx
Comment utiliser MBSA (Microsoft Baseline Security Analyzer)
http://www.microsoft.com/france/technet/securite/secmod112.mspx
Procédure : utilisation d'IISLockdown.exe
http://www.microsoft.com/france/technet/securite/secmod113.mspx
Procédure : création d'une autorisation de cryptage personnalisée
http://www.microsoft.com/france/technet/securite/secmod115.mspx
Procédure : utilisation de la stratégie de sécurité d'accès au code pour limiter un assembly
http://www.microsoft.com/france/technet/securite/secmod116.mspx
Introduction à la sécurité sur Windows 2003
http://www.microsoft.com/france/technet/securite/secmod117.mspx

suivre les numéros secmod118 ....

Renforcement des serveurs IIS Windows Server 2003
http://www.microsoft.com/france/technet/securite/secmod124.mspx
Renforcement de la sécurité des bastions Internet sur Windows Server 2003
http://www.microsoft.com/france/technet/securite/secmod127.mspx
Comment créer une unité d'organisation et déléguer le contrôle
http://www.microsoft.com/france/technet/securite/secmod130.mspx
Comment identifier les composants IIS 6.0 dans Windows Server 2003
http://www.microsoft.com/france/technet/securite/secmod131.mspx
Présentation des services de sauvegarde et de récupération
http://www.microsoft.com/france/technet/securite/secmod200.mspx

http://www.microsoft.com/france/technet/securite/secmod71.mspx

Amélioration de la sécurité des applications Web : menaces et contre-mesures est un guide complet et détaillé écrit pour vous aider à concevoir, développer, configurer et déployer des applications Web ASP.NET fiables et résistantes au piratage.

Ce module présente le guide, en décrit la structure et explique comment vous en servir dans votre contexte. Il présente également l' approche globale et par niveau adoptée pour gérer la sécurité, laquelle porte sur les couches réseau, hôte et application dans les différents niveaux des applications Web .NET distribuées.

Récapitulatif des solutions
http://www.microsoft.com/france/technet/securite/secmod72.mspx


Formation accélérée : mise en œuvre des instructions
http://www.microsoft.com/france/technet/securite/secmod73.mspx
Principes de base de la sécurité des applications Web
http://www.microsoft.com/france/technet/securite/secmod74.mspx
Menaces et contre-mesures
http://www.microsoft.com/france/technet/securite/secmod75.mspx
Modélisation de la menace
http://www.microsoft.com/france/technet/securite/secmod76.mspx
Instructions de conception pour les applications Web sécurisées
http://www.microsoft.com/france/technet/securite/secmod77.mspx
Examen de la sécurité de l' architecture et de la conception
http://www.microsoft.com/france/technet/securite/secmod78.mspx
Présentation de la sécurité .NET
http://www.microsoft.com/france/technet/securite/secmod79.mspx
Création d'assemblys sécurisés
http://www.microsoft.com/france/technet/securite/secmod80.mspx
La sécurité d' accès au code en pratique
http://www.microsoft.com/france/technet/securite/secmod81.mspx
Utilisation de la sécurité d'accès au code avec ASP.NE
http://www.microsoft.com/france/technet/securite/secmod82.mspx
Création de pages et de contrôles ASP.NET sécurisés
http://www.microsoft.com/france/technet/securite/secmod83.mspx
Création de composants de service sécurisés
http://www.microsoft.com/france/technet/securite/secmod84.mspx
Création de services Web sécurisés
http://www.microsoft.com/france/technet/securite/secmod85.mspx
Création de composants distants sécurisés
http://www.microsoft.com/france/technet/securite/secmod86.mspx
Création d' un accès sécurisé aux données
http://www.microsoft.com/france/technet/securite/secmod87.mspx
Sécurisation de votre réseau
http://www.microsoft.com/france/technet/securite/secmod88.mspx
Sécurisation de votre serveur Web
http://www.microsoft.com/france/technet/securite/secmod89.mspx
Sécurisation de votre serveur d'applications
http://www.microsoft.com/france/technet/securite/secmod90.mspx
Sécurisation de votre serveur de base de données
http://www.microsoft.com/france/technet/securite/secmod91.mspx
Sécurisation de votre application ASP.NET et de vos services Web
http://www.microsoft.com/france/technet/securite/secmod92.mspx
Hébergement de plusieurs applications Web
http://www.microsoft.com/france/technet/securite/secmod93.mspx
Analyse du code
http://www.microsoft.com/france/technet/securite/secmod94.mspx
Examen du déploiement
http://www.microsoft.com/france/technet/securite/secmod95.mspx
Une fois votre application Web ASP.NET déployée sur vos serveurs en direct, vous devez vous assurer que le déploiement final a été implémenté en toute sécurité et que l' environnement de votre application Web est aussi sécurisé et verrouillé que possible.

Tous les efforts engagés pour la création d' une application Web ASP.NET sécurisée par conception, par défaut et dans son déploiement (autrement dit, capable de fonctionner dans des environnements serveur hautement sécurisés et verrouillés) ne protègent pas l' application si l' infrastructure sous-jacente est non sécurisée et facile à mettre en danger. Des paramètres de configuration réseau ou hôte faibles entraînent des vulnérabilités qui peuvent être et seront exploitées.

Ce module contient une liste condensée de questions couvrant la configuration de la sécurité du réseau et de l'hôte. Il vous apporte une méthodologie et une structure d'aide pour effectuer vos audits de sécurité.

Index des listes de contrôle
http://www.microsoft.com/france/technet/securite/secmod96.mspx
examen de l' architecture et de la conception
http://www.microsoft.com/france/technet/securite/secmod97.mspx
Liste de contrôle : sécurisation d'ASP.NET
http://www.microsoft.com/france/technet/securite/secmod98.mspx
Liste de contrôle : sécurisation des services Web
http://www.microsoft.com/france/technet/securite/secmod99.mspx
Liste de contrôle : sécurisation des services d' entreprise
http://www.microsoft.com/france/technet/securite/secmod100.mspx
Liste de contrôle : sécurisation de l' accès distant
http://www.microsoft.com/france/technet/securite/secmod101.mspx
Liste de contrôle : sécurisation de l' accès aux données
http://www.microsoft.com/france/technet/securite/secmod102.mspx
Liste de contrôle : sécurisation de votre réseau
http://www.microsoft.com/france/technet/securite/secmod103.mspx
Liste de contrôle : sécurisation de votre serveur Web
http://www.microsoft.com/france/technet/securite/secmod104.mspx
Liste de contrôle : sécurisation de votre serveur de base de données
http://www.microsoft.com/france/technet/securite/secmod105.mspx
Liste de contrôle : examen de la sécurité du code géré
http://www.microsoft.com/france/technet/securite/secmod106.mspx
Index des articles de procédure associés
http://www.microsoft.com/france/technet/securite/secmod107.mspx

Pour nous faciliter la vie, Microsoft nous livre une liste de tous les services sur système 2003 ou Xp pour connaître ceux à désactiver et ainsi réduire la surface d' attaque des pirates.

A conserver :
http://www.microsoft.com/france/technet/securite/secmod54.mspx