Contremesures administratives et opérationnelles

Cette catégorie de contremesures relève purement de la stratégie de défense et peut impliquer l’un et/ou l’autre des types de contremesures que nous avons décrit plus haut (Zhuang, Bier, & Alagoz, 2010). Il s’agit de mettre en place une politique, des contremesures et des procédures de sécurité en fonction de la menace. Par exemple, dans une entreprise, certaines de ces contremesures peuvent prendre la forme de bonnes pratiques de gestions des correctifs, des règles de filtrage, des

programmes de formation, des définitions des actions à entreprendre par différents responsables, etc.

Dans l’article de Zhuang et al., les auteurs appliquent la théorie des jeux pour modéliser les stratégies de l'attaquant et du défenseur avec des informations incomplètes. L’idée étant de deviner le secret et/ou la tromperie du défenseur (Zhuang et al., 2010). En fait, le défenseur et l'attaquant rentrent dans une espèce de jeu séquentiel où chacun déploie des stratégies selon ses gains ou pertes (Shan & Zhuang, 2013), où le défenseur peut mettre à la disposition des attaquants une information imparfaite sur ses stratégies de défense. C’est dans cette dynamique que le défenseur déploie et reconfigure ses contremesures constamment afin de contrer la stratégie de l’attaquant.

Dans un autre article, Roy et al. présentent une nouvelle approche pour fournir uniquement des informations limitées et nécessaires au transfert de fonds lors des achats en ligne. Ce qui permet de sauvegarder les données des clients et d'accroître leur confiance tout en prévenant le vol d'identité. La méthode combine la stéganographie et la cryptographie visuelle. La stéganographie est l'art de dissimuler un message dans un autre afin que le message caché soit indiscernable. Le concept clé derrière la stéganographie est que le message à transmettre ne soit pas détectable à l'œil nu (Roy & Venkateswaran, 2014).

D’autres travaux de recherche ont utilisé cette méthode bien avant Roy et al. Parmi ces travaux, il y a ceux de Premkumar et al. Ils proposent une technique de codage du mot de passe d'un client par l’approche de Steganographie améliorée. En effet, la plupart des techniques steganographiques utilisent trois ou quatre pixels adjacents autour du pixel que l’on veut cacher alors que la technique proposée dans cet article est capable d'utiliser huit pixels adjacents de sorte que la valeur d'imperceptibilité augmente. Ensuite, le décodage est utilisé pour récupérer le mot de passe caché (Premkumar & Narayanan, 2012).

D’autres mécanismes de sécurisation des transactions existent et sont complémentaires à la technique de chiffrement de transaction que nous venons d’exposer. Parmi ces mécanismes, il y a l’utilisation des témoins. Un témoin est un fichier contenant des éléments d’information que le site web de la banque crée automatiquement lorsqu’un client le visite. Par exemple, lorsqu’un client se connecte à un service bancaire en ligne, le serveur dudit service capture les informations liées à sa session active et, pendant toute la durée d’utilisation du service en ligne, il effectue les vérifications nécessaires pour s’assurer que la banque fait affaire avec le bon client. Cet outil comble la lacune

de la journalisation en ce sens que les fichiers journaux contiennent des données qui manquent de précision contrairement aux fichiers témoins qui permettent d’attribuer un numéro unique à chaque visiteur afin de le suivre et, peu importe l’adresse IP qu’il utilise. Cette méthode a été utilisée par Chassigneux en 2003 pour construire un outil d'analyse basé sur Internet qui suit, en temps réel, le flux de trafic via un site web. Pour chaque page web demandée par un visiteur, l'état du navigateur du visiteur est enregistré et les données relatives au chemin parcouru par le visiteur sont collectées et analysées. L'état du chemin du navigateur du visiteur est maintenu dans un cookie afin de permettre l’analyse du trafic entre le serveur du site web, le navigateur du visiteur et chaque page consultée. Les données dans le cookie peuvent suivre le navigateur via des serveurs de fichiers indépendants, peu importe la façon dont les pages du site web sont distribuées en mémoire (Chassigneux, 2003).

Diverses autres approches ont été proposées afin de gagner la confiance des utilisateurs lors des transactions en ligne. L’article de Yildiz et al. propose une nouvelle solution qui combine l'identité biométrique avec les informations sur les transactions en ligne (Yildiz & Göktürk, 2010).

2.4.4.1 Limites de ces mesures administratives et opérationnelles

Dans leur article, Lao et al. soulignent que les problèmes de sécurité peuvent être résumés en deux catégories : les problèmes liés à la sécurité des systèmes et ceux inhérents à la sécurité de l'information (Lao & Wang, 2010). La sécurité des systèmes (ex. serveurs, applications, etc.) et particulièrement celle qui est mise en place par les banques est très fiable. En revanche, du côté client, c’est loin d’être le cas. Selon Nuha et al., la sécurité de l'information pose problème. Elle repose plus souvent sur la technologie et beaucoup moins sur la prise de conscience des enjeux de sécurité par les clients et les organisations. Résultat, l’utilisation des contremesures technologiques n’est pas optimale car l’utilisateur ne les exploitent pas en prenant suffisamment en compte les menaces (Nuha & Asadullah, 2013). Du côté de la banque la sensibilisation qui est faite sur les menaces ne suffit pas non plus. L’article de Delgado et al. conclut que, malgré le niveau élevé de protection des systèmes de sécurité de la banque en ligne, ces systèmes restent quelque part vulnérables à des attaques, et particulièrement aux attaques de l'homme du milieu (man-in-the- middle attack - MITM) (Delgado, Fuster-Sabater, & Sierra, 2008). Les attaques de l’homme du milieu visent à intercepter les communications entre deux parties (ex. la banque et le client), sans que ni l'une ni l'autre ne puisse se douter que le canal de communication est compromis (Hisamatsu,

Pishva, & Nishantha, 2010). Ce constat est confirmé dans le dernier rapport de Proofpoint où l’auteur y déclare que « nous sommes toujours les principaux maillons faibles de la cyber-sécurité » (Proofpoint, 2017).