31/12/2010

Sécurité des pages de paiement

Les sites web qui utilisent une page de paiement hébergée par leur PSP ne sont pas soumis au PCI DSS. Les numéros cartes ne transitant pas par le site web du marchand, mais uniquement entre le browser de l'internaute et le serveur web du PSP, le PCI DSS est inapplicable. 

Plus précisément, le marchand n'est soumis qu'au SAQ-A "Aucun stockage électronique, traitement ou aucune transmission de données des titulaires" . C'est en effet une chose particulièrement intéressante avec le PCI DSS : le marchand ou le Service Provider qui ne traite pas de carte peut tout de même se targuer d'être conforme au PCI DSS.

J'en arrive à une considération plus sécuritaire. Lorsque le marchand utilise une page de paiement, il n'est pas obligé de faire des tests d'intrusion et des audits de vulnérabilités. Or, il faut bien admettre que si un pirate pénètre le site web, avec une faille de type "upload de webshell" par exemple, ce dernier sera en mesure de voler des cartes. 

Comment ? Tout simplement en modifiant le code du module du formulaire de pré-paiement ou du module fourni par le PSP ou la banque d'acquisition. Cette modification aura pour fonction d'afficher un faux formulaire de paiement ou de modifier la façon dont la redirection vers le PSP est réalisée.

Il est donc tout de même nécessaire que les marchands sécurisent leurs pages web, mais sans l'obligation de la conformité et la pression de la banque, il est certain que des failles seront présentes.

Ce sujet faisant parfois polémique, VISA Europe a même diffusé une alerte sur ce sujet.

Quelles sont alors les bonnes pratiques  ?

  • Développer de façon sécurisée : filtrage des entrées (SQL, JavaScript, type MIME) en fonction de type de données attendues
  • Fermer tous les ports sauf le port de l'application web
  • Faire le ménage dans le site web en retirant tous les pages et modules inutiles
  • Appliquer les correctifs de sécurité sur le serveur web, mais également pour toutes les briques logicielles qui constituent le site web
  • Faire réaliser un test d'intrusion par des experts (et pas un simple scan de vulnérabilité automatique qui ne détectera jamais les failles de sécurité contrairement à un pirate). 

Aucun commentaire:

Enregistrer un commentaire