Conception et implémentation d'un système de gestion des centres d'accès a internet : rechargement de compte par SMS

VI.4.2.1. Authentification

· L'accès au système est assujetti à un nom d'utilisateur (pseudo) et un mot de passe. Le contrôle d'intégrité du mot de passe est assuré par le cryptage en MD5⁸ combiné avec le SHA-1⁹. Ces

⁸ L'algorithme MD5 (Message Digest 5) inventé par Ronald Rivest a pour but d'empêcher de reconstruire une source de données différente produisant un résultat donné. Il est très répandu et sert beaucoup à stocker les mots de passe. Il comprend des caractères hexadécimaux d'une longueur de 32 caractères.

⁹ SHA (Secure Hash Algorithme) est une série de fonctions de hachage dont les algorithmes sont complètement différents les uns des autres. Malgré que sa sûreté ait été remis en cause, il demeure l'une des méthodes les plus sûres actuellement pour sécuriser les données et comprend des caractères hexadécimaux d'une longueur de 40 caractères.

Mémoire de fin de formation pour l'obtention du diplôme d'Ingénieur de Conception en Génie Informatique et
Télécommunication

69

informations peuvent 'etre modifiées à volonté par l'utilisateur pour élever le niveau de sécurité à son compte.

· L'accès direct à une page web est redirigé vers une page d'authentification.

· Chaque utilisateur dispose d'un droit d'accès au système, ce qui permet la gestion des permissions en fonction de ce droit.

· Le filtrage des données est effectué avant leur insertion dans la base de données afin d'éviter toute sorte d'injection SQL ou autre par les utilisateurs avertis.

· Les informations relatives à l'ouverture et fermeture de la session par les utilisateurs du système sont sauvegardées : ceci pour permettre l'administration en temps réel du centre.

VI.4.2.2. Gestion des codes de recharges

· Un code de recharge généré est long de 5 chiffres et se présente sous la forme xxxxx. Les chiffres peuvent prendre les valeurs suivantes :"abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQ RSTUVWXYZ0123456789@", soit 63 possibilités pour chaque chiffre x. Ce qui accroit le niveau de sécurité au niveau du code puisqu'il en existe 1453933568 (63⁵) différents.

· Un code de recharge généré fait immédiatement office d'insertion dans la BD, ce qui limite le risque de fraude par le gérant. Un code n'est donc généré que lorsque sa vente est imminente.

Mémoire de fin de formation pour l'obtention du diplôme d'Ingénieur de Conception en Génie Informatique et
Télécommunication

VI.4.2.3. Protection des données

· Back-up des données

L'option « Outils de maintenance » au niveau du module administrateur permet à se dernier d'effectuer un backup des données du système. Cela consiste à dupliquer et mettre en sécurité les données contenues dans un système informatique. Ainsi, l'administrateur pourra définir sa politique afin de sauvegarder les données sensibles du système.

· Protection des cookies

Les cookies sont des fichiers textes gérés par chaque navigateur web. Ils permettent de sauvegarder sur la machine de l'utilisateur certaines informations le concernant. Par exemple, un cookie peut contenir le login et le mot de passe d'un internaute. Ceci, pour lui permettre d'être automatiquement reconnu et authentifié chaque fois qu'il accède au site sans avoir à saisir ses paramètres à chaque connexion.

La faille de sécurité des cookies est dûe au fait que ce sont des fichiers textes non cryptés pouvant être lus par n'importe quel utilisateur. Ils constituent ainsi un moyen de récupérer de l'information par la connaissance des actions de l'utilisateur. Dans le cas d'un ordinateur public utilisé par plusieurs personnes comme dans un cybercafé, n'importe qui pourra se connecter avec l'identité d'un autre utilisateur.

Notre système étant une application web, il s'avère indispensable de le protéger contre les « cookies ». La solution proposée consiste à nettoyer les informations personnelles de l'utilisateur sauvegardées dans les cookies une fois sa session fermée.

70

Mémoire de fin de formation pour l'obtention du diplôme d'Ingénieur de Conception en Génie Informatique et
Télécommunication

Présenté et soutenu par Oscar Marcos Enagnon ADOUN

·

71

Le protocole SSL

Créé et développé par la société Netscape et RSA Security, SSL (Secure Socket Layer) est un protocole qui permet de sécuriser l'échange des informations entre un client et un serveur d'une façon transparente. C'est donc un module de sécurité automatique intégré dans les navigateurs depuis 1994. SSL est un complément à TCP/IP et permet (potentiellement) de sécuriser n'importe quel protocole ou programme utilisant TCP/IP. Le protocole SSL assure : la confidentialité, l'intégrité, l'authentification.

· Important

Le maillon le plus faible en matière de la sécurité est l'utilisateur luimême. Le besoin de formation et la sensibilisation des utilisateurs est une solution efficace pour palier à la majorité des risques.

VI.4.3. La sécurité au niveau du SMS

Certaines transactions sur le compte client étant effectuées par SMS, la sécurité du SMS s'avère très critique mais elle dépend entièrement du réseau GSM. Tout opérateur de téléphonie mobile partenaire est donc responsable de la sécurité des SMS. Toutefois, nous proposons aux clients certaines mesures de sécurité de leur compte :

· Le code confidentiel fourni au client est personnel et indispensable lors d'une requête de type pull au serveur SMS qui permet d'identifier le client. Ce dernier est responsable de ne pas le communiquer et de supprimer les SMS qui contiennent son code confidentiel de la mémoire de son téléphone ;

Mémoire de fin de formation pour l'obtention du diplôme d'Ingénieur de Conception en Génie Informatique et
Télécommunication

·

72

Le client devra regulièrement modifier son code pin pour elever le niveau de securite de son compte. En particulier, il devra le faire juste après son inscription au service ;

· Le code pin sauvegarde dans la base de donnees est crypte ;

· Le client qui introduit 3 fois de suite un code confidentiel errone lors d'une requete de type pull se voit bloqué du service SMS pour une durée limitée et se doit de contacter l'administrateur du centre pour une eventuelle reactivation de son compte. Le système procède automatiquement à sensibiliser le client du changement periodique de son code confidentiel afin de limiter les risques d'usurpation d'identité ;

· Le numero de telephone du client est unique et fourni lors de son inscription. Toute demande de type pull venant d'un numéro de téléphone non reconnu par la BD n'est pas prise en compte ;

· L'apurement périodique de la banque de SMS se fait de façon automatique par le système et permet de liberer la BD.

VI.5. Service rechargement de compte par SMS VI.5.1. Avec un code prspays

Une fois le code de recharge paye au niveau du gerant du centre, le client envoie un SMS au système pour rechargement. La reponse du traitement est renvoyee au client (echec ou succès) sous forme de SMS.

Syntaxe : CYBRECH [code_recharge] [code_pin]

· CYBRECH represente un mot cle pour specifier le service de rechargement de compte ;

· code_recharge en deuxième position specifie le code de recharge ;

Mémoire de fin de formation pour l'obtention du diplôme d'Ingénieur de Conception en Génie Informatique et
Télécommunication

· code_pin en dernière position est le code pin personnel du client obtenu à la souscription au service SMS ;

· un espace separe les differentes parties du message.

Pour illustrer le format, la sequence « CYBRECH vU1s9 1987 » signifie que le client veut recharger par SMS son compte identifie par le pin 1987 avec une recharge dont le code est le vU1s9.