Jump to content

HandyFR

Members
  • Posts

    74
  • Joined

  • Last visited

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

HandyFR's Achievements

Newbie

Newbie (1/14)

0

Reputation

  1. > StoreCommander Quel prix ! 1,5 mois de SC correspond à une licence à vie de Hide My WP... J'ai acheté une licence de HMWP en 2015, que j'utilise toujours sur l'un de mes sites WP. Je ne l'ai jamais mis à jour, et HMWP fonctionne toujours très bien avec la dernière version de WP (5.4.2). De plus, je ne sais pas si le site SC met en oeuvre son plugin, et s'il "masque" réellement l'utilisation de PS, mais WhatCMS.org détecte parfaitement la version PS utilisée par le site : CMS, E-commerce PrestaShop 1.6.1.3 Vous pouvez essayer par vous même avec le site de demo, HMWP masque parfaitement l'utilisation de WP : https://hide-my-wp.wpwave.com/
  2. Le mieux serait peut-être de créer le même genre de plugin de réécriture totale, comme ceux disponibles sur WP. Je pense notamment à Hide My WP et à Hide My WP Ghost.
  3. Bonjour à tous, Connaissez-vous ce service ? https://whatcms.org/ Est-il fiable ? Y-a-t-il d'autres alternatives à ce service ? Merci de vos commentaires !
  4. Please, Google "anti captcha", you will understand why every "captcha" fails.
  5. Excellent, je vois que le sujet fait toujours autant débat. Je pense avoir fait un large tour d'horizon de la conformité PCI DSS. Je comprends que les exemples factuels développés dans mes messages puissent surprendre, choquer, voire même exacerber les croyances populaires. Cependant, les propos négationnistes niant la réalité des risques de l'Internet du genre : "C'est impossible", "ça n'existe pas", "jamais vu ça" ou encore "Ha ! Ha ! Je suis trop fort !" n'ont jamais sécurisé un site. Seul un SCAN régulier, conforme aux règles PCI DSS (même effectué avec des outils gratuits dont je vous donnai les URLs) dument suivi des actions correctrices appropriées peuvent élever votre site à un niveau de sécurité suffisant pour tenir éloignés les petits génies malfaisants du Mercredi après-midi. D'un autre côté, je comprends aussi l'intérêt particulier de quelques-uns d'enfermer le débat dans le négationnisme : Les coûts de réparation en aval sont généralement bien supérieurs aux coûts de prévention en amont. Mesdames, Messieurs, j'espère seulement avoir éveillé la conscience d'un seul d'entre vous, si tel est le cas, alors mon but aura été largement dépassé. Ceci est mon dernier post sur ce fil de discussion, Bonne chance à vous toutes et tous, et rappelez-vous : Conformité PCI DSS obligatoire
  6. Pas encore convaincu ? Nous sommes le 28 Octobre 2015. N'importe qui peut visualiser ce certificat SSL : Source : https://goo.gl/Wzm2mQ N'importe qui, car le service Qualys SSLlabs est anonyme et gratuit. N'importe qui, ce peut être un petit génie du Mercredi après-midi. Qu'apprendra ce "N'importe qui" à sa lecture ? Que ce certificat souffre de 1 faiblesse et 1 vulnérabilité : 1 - Une faiblesse Diffie-Hellman, rendue public le 20 MAI 2015. Soit il y a 5 mois. Source : https://weakdh.org/ 2 - Une vulnérabilité POODLE rendue public le 14 OCTOBRE 2014. Soit il y a plus de 12 longs mois. Source : https://fr.wikipedia.org/wiki/POODLE Qu'est-ce qu'une attaque POODLE ? Wikipedia nous informe ainsi : POODLE (de l'anglais Padding Oracle On Downgraded Legacy Encryption) est une vulnérabilité logicielle présente dans le protocole SSL 3.0, qui permet de déchiffrer les informations échangées entre le navigateur Web de la victime et le serveur sécurisé, avec l'attaque de l'homme du milieu. Source : Source : https://fr.wikipedia.org/wiki/POODLE Comprenez-vous où peut mener cette vulnérabilité ? À qui appartient ce certificat ? À un microbe comme nous, ou à un grand groupe multinational brassant des millions d'euros de chiffre d'affaires sur son site avec un centaine de milliers de visiteurs chaque mois en France seule ? Source : http://goo.gl/XTwNdR Comprenez-vous ce que risque ce grand site ? Cela fait 5 mois que la faiblesse Diffie-Hellman n'a pas été comblée. 12 longs mois que la vulnérabilité POODLE n'a pas été comblée. Diffie-Hellman et POODLE == Double attaque de l'homme du milieu Définition : L'attaque de l'homme du milieu Dans l'attaque de l'homme du milieu, l'attaquant a non seulement la possibilité de lire, mais aussi de modifier les messages. Le but de l'attaquant est de se faire passer pour l'un (voire les 2) correspondants, en utilisant, par exemple : l'ARP Spoofing : c'est probablement le cas le plus fréquent. Si l'un des interlocuteurs et l'attaquant se trouvent sur le même réseau local, il est possible, voire relativement aisé, pour l'attaquant de forcer les communications à transiter par son ordinateur en se faisant passer pour un « relais » (routeur, passerelle) indispensable. Il est alors assez simple de modifier ces communications ; le DNS Poisoning : L'attaquant altère le ou les serveur(s) DNS des parties de façon à rediriger vers lui leurs communications sans qu'elles s'en aperçoivent ; l'analyse de trafic afin de visualiser d'éventuelles transmissions non chiffrées ; le déni de service : l'attaquant peut par exemple bloquer toutes les communications avant d'attaquer un parti. L'ordinateur ne peut donc plus répondre et l'attaquant a la possibilité de prendre sa place. Source : https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu#L.27attaque_de_l.27homme_du_milieu Tant de désinvoltures en matière de sécurité sont-elles un modèle à prendre en exemple ? Et vous, votre site souffre t-il des mêmes faiblesses et vulnérabilités GROSSIÈRES ? Grossières, car la vérification de la sécurisation d'un certificat SSL est PUBLIC, GRATUITE et ANONYME, c'est la partie émergée de l'iceberg. "N'importe qui" peut la réaliser librement, à la recherche de je ne sais quoi... Généralement, un SCAN PCI DSS révèle 2, 10 ou 100 fois plus de faiblesses et vulnérabilités. Si VOUS ne faites pas un SCAN PCI DSS régulier, "N'importe qui" pourra le faire à votre place avec tout un tas d'outils gratuits. Les forums d'entraide sur le sujet sont à foison. Ensuite, ce "N'importe qui" prendra les décisions qu'il voudra : Vous avertir comme moi. Ou vous nuire comme... "N'importe qui". Laisseriez-vous ce petit "N'importe qui" devenir votre dernier "N'importe quoi" ? Laisseriez-vous "N'importe qui" prendre votre avenir entre ses mains étrangères ? Ou préféreriez-vous avoir un site sécurisé ICI et CHEZ VOUS ? Conformité PCI DSS obligatoire
  7. Bravo, et merci d'avoir lu les documents PCI DSS. Oui, le SAQ A est très simple à réaliser et à obtenir. Oui, le SAQ A est un simple questionnaire. Mais celui-ci vous met en situation de COMPRENDRE qui sont les véritables Maîtres du jeu. La lacune de SAQ A est qu'aucun SCAN n'est nécessaire, c'est pourquoi il est préférable de réaliser la conformité supérieure : le SAQ A-EP. Oui, le SAQ A-EP possède un questionnaire de plus de 120 questions qui vous fait rentrer dans la logique de sécurisation voulue par les géants de l'industrie des Cartes Bancaires. Oui, le SAQ A-EP nécessite un SCAN de VOS réseaux (site et IP personnelle (chez votre FAI, même si celle-ci est dynamique)). Et là, vous découvrirez PEUT-ËTRE des problèmes de sécurité, qu'il sera OBLIGATOIRE de résoudre pour obtenir la Conformité PCI DSS. De plus, il est nécessaire de faire AU MINIMUM un SCAN tous les quatre mois afin de conserver cette conformité. NON, une conformité ne coûte PAS des centaines de milliers d'Euros pour un petit e-Commerçant comme nous. Vous pouvez en trouver pour moins de 250 $, quel que soit le niveau de SAQ demandé, de SAQ A à SAQ D. Pensez à TrustWave : https://www.trustwave.com/Services/Compliance-and-Risk/PCI-Services/ ControlScan (que j'utilise) : https://www.controlscan.com/compliance/ Pour trouver les bonnes affaires, lancez cette recherche Google : "Nom de produit" cheap Vous trouverez ainsi cette promotion : http://www.sslpool.com/trustkeeper-pci-compliance-scan Il existe une conformité PCI DSS à 99 $ (merci de me contacter en MP pour connaître l'URL privée pour bénéficier de cette promotion). Mais avant toute chose, merci de penser "GRATUIT", car oui, IL Y A DES SERVICES DE SCAN PCI DSS GRATUITS (bien entendu, vous n'obtiendrez PAS de conformité PCI DSS avec un site de SCAN gratuit, mais au moins, vous connaîtrez votre niveau de sécurité) ! 1 - En tout premier lieu, testez votre certificat SSL GRATUITEMENT avec Qualys : https://www.ssllabs.com/ssltest/analyze.html?d=prestashop.com&latest 2 - Une fois que vous aurez obtenu la note A à votre test de certificat SSL, vous pourrez passer un SCAN PCI DSS GRATUIT de votre site, toujours avec Qualys : https://freescan.qualys.com/freescan-front/ Vous pouvez essayer gratuitement le service de Comodo (que je n'ai pas essayé) : https://www.hackerguardian.com/ Ou encore, utiliser l'un des 15 outils de "Network Vulnerability Scanner" : http://www.openfoundry.org/en/resourcecatalog/Security/Network-Vulnerability-Scanner Ou bien ceux listés sur cette page : http://www.securitywizardry.com/index.php/products/scanning-products/network-scanners.html ATTENTION certains services sont gratuits, mais d'autres sont TRÈS chers, lisez bien les clauses ! Avec ce ou ces rapports vous vous ferez une idée précise du niveau de sécurité site. ~~~~~~~~~~~~ Pour conclure, pourquoi le SAQ A existe, si il est si facile à obtenir d'après vous ? Peut-être est-ce la volonté des géants de l'industrie des Cartes Bancaires, mais quelle est leur intention véritable ? Je vous laisse SEUL JUGE. (Relisez mes posts précédents de ce thread pour comprendre ce que je pense de cette affirmation).
  8. Je vous parle d'une INTRUSION grossière, du CHANGEMENT de la REDIRECTION de vos moyens de paiements vers UNE BANQUE ÉTRANGÈRE, et que me répondez-vous ? Meuuuh non, impossible ! Langue de bois ou politiquement correct ? Impossible, comme TOUS les sites hackés TOUS les jours (du petit poucet, au géant) ? QUI sera tenu responsable ? VOUS. Un scan de conformité PCI DSS régulier dûment réalisé dans les règles de l'art apporterait la preuve de votre BONNE FOI. La "bonne foi" est la croyance qu'a une personne de se trouver dans une situation conforme au droit, et la conscience d'agir sans léser les droits d'autrui. C'est une notion fréquemment utilisée dans notre législation pour atténuer les rigueurs de l'application de règles positives. Source : http://www.dictionnaire-juridique.com/definition/bonne-foi.php Reste à savoir si NE RIEN FAIRE POUR SÉCURISER SON SITE EST UNE APPLICATION DE RÈGLES POSITIVES ? Ou si engager une démarche de conformité PCI DSS est l'essence même de l'application de règles positives ? Débattez Messieurs.
  9. J'ai marqué un point décisif n'est-ce pas ? Se faire pénétrer son serveur par une faille grossière, œuvre d'un gamin qui change VOS paramètres bancaire Français, par SES paramètres bancaire étranger (Syrie, Corée du Nord, ou Nigéria) ! Mais je vois que Monsieur est plus fort que les MILLIERS d'ingénieurs en sécurité qui se sont DÉJÀ fait mettre la HONTE par des CENTAINES d'adolescents pré-pubères... La liste des sites hackés de la sorte est longue, inutile d'en rappeler une seule partie. À chaque jour sa peine. À chaque jour sa faille. Pour prouver votre BONNE FOI, une seule solution : PCI DSS obligatoire
  10. Une fois de plus, vous n'avez NI lu les documents NI réalisé une Conformité PCI DSS. Les géants de l'industrie des cartes bancaires ne sont ni des enfants de cœur, ni des associations caritatives : Ils protègent leurs intérêts, et gare à ceux qui l'ignore superbement ! Renseignez-vous sur la conformité PCI DSS SAQ A (la plus basse pour les e-commerçants) et revenez. La conformité PCI DSS est une norme de SÉCURISATION. Laisseriez-vous la sécurité de côté ? Car si votre site est conforme PCI DSS cela signifie qu'il a passé avec succès plusieurs milliers de tests de hacks, pénétration, brute force, SQL Injection, etc... En sécurisant votre site, vous protégez les intérêts des géants de l'industrie des cartes bancaires. Dans le cas contraire, vous jouez CONTRE leurs intérêts. Être conforme PCI DSS c'est s'éviter bien des soucis et SÉCURISER son site d'une façon efficace. Votre site n'est-il pas votre gagne pain ? Et si demain vous perdez TOUT à cause d'un pirate du Mercredi après-midi qui s'est introduit sur votre serveur par une faille grossière ? Qu'il a REMPLACÉ VOS paramètres bancaires français, par SES paramètres bancaires ÉTRANGER (disons, dans une banque en Syrie, en Corée du Nord, ou encore au Nigéria) ? Pensez-vous que les géants de l'industrie des cartes bancaires viendront vous dire MERCI ? Ou bien, pensez-vous que les géants de l'industrie des cartes bancaires viendront vous dire que VOUS ÊTES RESPONSABLE ? Les géants de l'industrie des cartes bancaires protègent LEURS intérêts : PCI DSS obligatoire
  11. Il serait intéressant de savoir : 1 - Si vous avez BIEN lu les documents du GIE des Cartes Bancaires CB : Est-ce que PCI DSS s’applique à moi ? Le programme PCI DSS s’applique à tout acteur qui stocke, traite ou transmet des données de cartes bancaires. Le nombre de données cartes manipulées importe peu même si le risque est proportionnel au volume de transactions de paiement traitées. Les acteurs qui traitent manuellement et stockent des supports papier contenant des données de cartes bancaires sont également concernés (reçus papier, talon de commande, données reçues par fax ou mail. Source : http://www.cartes-ba.../pdf/PCIDSS.pdf 2 - Si vous avez DÉJÀ effectué une conformité PCI DSS 3 - Si vous avez DÉJÀ répondu à un questionnaire SAQ de plus de 100 questions Ensuite, et seulement ensuite, vous affirmerez : PCI DSS obligatoire
  12. Le rouge c'est pour souligner les points importants, afin de focaliser l'œil du lecteur pressé. Vous parlez d'un organisme américain pcisecuritystandards.org Je vous parle d'un organisme Français le GIE des Cartes Bancaires CB dont le document précédent (http://www.cartes-bancaires.com/IMG/pdf/PCIDSS.pdf) émane : GIE des Cartes Bancaires CB Groupement d’Intérêt Economique régi par l’ordonnance du 23 septembre 1967. Source : http://www.cartes-bancaires.com/spip.php?rubrique16 CB est un Groupement d’Intérêt Economique (GIE) qui regroupe environ 130 établissements prestataires de services de paiement. Il assure les missions suivantes : la gouvernance, la sécurité et la promotion du système CB, ainsi que le développement de produits et services et l’innovation en matière monétique dans le respect des règles législatives et réglementaires. Source : http://www.cartes-bancaires.com/spip.php?rubrique7 Même si vous recevez INVOLONTAIREMENT des données CB sur papier, fax, mail (car qui dit mail, dit système informatique, et si votre serveur mail n'est PAS conforme PCI DSS, on ose à peine imaginer la suite si un petit génie vous subtilise ce numéro de CB et s'en vante en donnant tous les détails sur les forums sous surveillance de ce fameux GIE - ou votre petit voisin fouille votre poubelle et trouve les données papiers et se fait pincer par les forces de l'ordres) : PCI DSS obligatoire Source : http://www.cartes-bancaires.com/IMG/pdf/PCIDSS.pdf Je sais, obtenir la Conformité PCI DSS est compliqué, c'est contraignant (1 Scan réussi de votre réseau tous les 4 mois mini) et c'est cher, MAIS C'EST OBLIGATOIRE. Et cela responsabilise les acteurs. Et c'est AUSSI pour le bien de vos clients.
  13. > De plus ne mélangez pas loi française et loi américaine Je parle BIEN de la Loi Française : Est-ce que PCI DSS s’applique à moi ? Le programme PCI DSS s’applique à tout acteur qui stocke, traite ou transmet des données de cartes bancaires. Le nombre de données cartes manipulées importe peu même si le risque est proportionnel au volume de transactions de paiement traitées. Les acteurs qui traitent manuellement et stockent des supports papier contenant des données de cartes bancaires sont également concernés (reçus papier, talon de commande, données reçues par fax ou mail. Source : http://www.cartes-bancaires.com/IMG/pdf/PCIDSS.pdf (Désolé, j'avais oublié le FAX) Merci de lire TOUTES les documentations PCI DSS. PCI DSS obligatoire
  14. 1 - Les organismes certifiés ont le droit de conserver certaines données bancaires => Qui n'a JAMAIS reçu un mail client contenant INVOLONTAIREMENT un numéro de CB : PCI DSS obligatoire 2 - Les organismes certifiés ont le droit de conserver certaines données bancaires => Qui n'a JAMAIS reçu un courrier papier client contenant INVOLONTAIREMENT un numéro de CB : PCI DSS obligatoire 3 - Les organismes certifiés ont le droit de conserver certaines données bancaires => Qui n'a JAMAIS reçu une commande par téléphone avec paiement par CB : PCI DSS obligatoire 4 - A partir du moment où la transaction ne s'effectue pas sur votre site => Dans ce cas, à quoi sert le PCI DSS SAQ A ? SAQ A has been developed to address requirements applicable to merchants whose cardholder data functions are completely outsourced to validated third parties, where the merchant retains only paper reports or receipts with cardholder data. SAQ A merchants may be either e-commerce or mail/telephone-order merchants (card-not-present), and do not store, process, or transmit any cardholder data in electronic format on their systems or premises. Source : https://www.pcisecuritystandards.org/documents/SAQ_A_v3.pdf Traduction Google : SAQ A a été développé pour répondre aux besoins des commerçants dont détenteur des données fonctions sont complètement externalisé à des tiers validées, où le commerçant ne conserve que les rapports papier ou des reçus avec les données des titulaires de cartes. Marchands SAQ A peuvent être soit e-commerce ou des marchands par courrier / téléphone ordre (carte non présente), et ne pas stocker, traiter ou transmettre des données de titulaire de carte au format électronique sur leurs systèmes ou des locaux.
  15. Bonjour, Suite à mon précédent post : https://www.prestashop.com/forums/topic/420008-questions-debutant-par-rapport-au-paiement-en-ligne/?p=2171981 Je me suis penché sur la question de la conformité PCI DSS. Est-ce que TOUS les marchands devraient-ils être conformes PCI DSS ? En fait, un article de Eric Chauvigné "Combattre les idées reçues sur la norme PCI-DSS" me donne un doute, notamment cette affirmation : Idées reçues sur la certification PCI DSS « Si je ne stocke pas de données bancaires, je n’ai pas besoin d’être certifié PCI DSS » (plus loin dans l'article) L’absence de certification PCI DSS peut porter atteinte à la sécurité des données et entraîner de lourdes conséquences telles que des amendes ou des coûts de procédures judiciaires, la perte d’opportunités commerciales, l’augmentation des frais de transactions facturés par les sociétés de cartes bancaires et la détérioration de l’image de marque de l’entreprise. Source : https://www.globalsecuritymag.fr/Combattre-les-idees-recues-sur-la,20140429,44636.html Merci de vos commentaires, Handy
×
×
  • Create New...

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More