Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.01.2012      r+  17.01.2025      r-  17.01.2025      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

L'intégrité des données n'a rien à voir avec la sécurité des données, mais avec la maintenance de l'exactitude, la pérennité, la continuité, l'intégralité et l'absence d'altération des données sur leurs lieux de stockage comme sur les canaux de leurs transmissions.



L'intégrité des données est le maintien et l'assurance de l'exactitude et de la cohérence des données tout au long de leur cycle de vie et constitue un aspect essentiel de la conception, de la mise en œuvre et de l'utilisation de tout système qui stocke, traite ou récupère des données.

Le terme a une portée large et peut avoir des significations très différentes selon le contexte spécifique - même sous le même parapluie général de l'informatique. Il est parfois utilisé comme un terme proxy pour la qualité des données, tandis que la validation des données est une condition préalable à l'intégrité des données.

L'intégrité des données est le contraire de la corruption des données. L'intention globale de toute technique d'intégrité des données est la même : s'assurer que les données soient enregistrées exactement comme prévu (comme une base de données rejetant correctement les possibilités mutuellement exclusives). De plus, lors d'une récupération ultérieure, s'assurer que les données soient les mêmes que lorsqu'elles ont été enregistrées à l'origine. En bref, l'intégrité des données vise à empêcher les modifications involontaires des informations.

L'intégrité des données ne doit pas être confondue avec la sécurité des données, une discipline consistant à protéger les données contre les parties non autorisées.

Toute modification involontaire des données à la suite d'une opération de stockage, de récupération ou de traitement, y compris une intention malveillante, une défaillance matérielle inattendue et une erreur humaine, constitue une défaillance de l'intégrité des données. Si les modifications sont le résultat d'un accès non autorisé, il peut également s'agir d'une défaillance de la sécurité des données. Selon les données impliquées, cela pourrait se manifester comme bénin comme un seul pixel dans une image apparaissant d'une couleur différente de celle enregistrée à l'origine, à la perte de photos de vacances ou d'une base de données critique pour l'entreprise, voire à la perte catastrophique de vies humaines dans un système critique.



Les données d'authentification ne doivent pas pouvoir être attaquées. Sur le serveur d'un site, les mots de passe doivent être conservés exclusivement sous forme de hashcodes cryptés avec un algorithme que l'on sait ne pas être cassable au moins dans les 15 années qui viennent. Si un attaquant arrive à pirater la base de données de ces hashcodes, il ne doit rien pouvoir en faire.

Les mots de passe d'origine ne doivent pas être conservés, nulle part. Personne n'en a jamais besoin, seuls les hashcodes irréversibles sont nécessaires.

Sans mots de passe stockés, même les personnes ayant accès aux serveurs et sauvegardes, employés, techniciens de maintenance et tiers extérieurs n'auront rien à voir.

Voir Authentification en sécurité informatique




« Double authentification » par l'usage d'un smartphone (ou autres appareils) sur lequel un site Web ou un service en ligne (gouvernement et ses innombrables démarches administratives réalisables en ligne, banques, administrations, domaines de ventes, hôpitaux, assurances, gestionnaires d'un compte vous appartenant, etc.) vous envoie un code à usage unique pour vérifier que vous êtes bien qui vous prétendez être.

Il y a trois organisations en jeu : le vendeur Une plateforme interbancaire(obligatoirement agréée, en France, par la Banque de France [utilisez Orias : existence légale d'un organisme interbancaire pour le vérifier])  La banque de l'acheteur.


Paiement en ligne - Double authentification - Schéma de principe
Paiement en ligne
«Double authentification»
Schéma de principe


Si un paiement est tenté sur le Web avec votre carte bancaire (ou toute autre opération comme un virement, etc.), la méthode de «double authentification» mise en place par votre banque va vous contacter par le moyen convenu, par exemple, vous appeler sur un numéro de téléphone que vous lui avez donné (poste fixe ou appareil mobile).

  1. Après avoir saisi votre mode de paiement chez le vendeur (par exemple, le réseau de la carte de paiement utilisé, le titulaire, le numéro de carte, sa date d'expiration et votre code de vérification secret), le vendeur passe ces informations à la plateforme interbancaire agréée.

  2. La plateforme interbancaire agréée dirige la demande vers votre banque.

  3. Votre banque procède immédiatement aux vérifications d'usage (la carte n'est pas bloquée, n'est pas signalée volée, le titulaire annoncé est celui prétendu, la date d'expiration est la bonne, le code de vérification est le bon, le solde du compte permet ce paiement).

  4. Votre banque lance alors, auprès de vous, son protocole de «double authentification». Par exemple, un robot téléphonique (pas une personne physique) va vous appeler sur le numéro de téléphone que vous lui aviez donné lors de la souscription à votre carte bancaire (ou vous donner le choix entre plusieurs numéros de téléphone que vous lui aviez donnés : par exemple, le fixe à la maison et le smartphone).

    1. Si un numéro de smartphone est utilisé, c'est un SMS qui va vous être envoyé. Ceci vous permet de faire des achats en ligne lors de déplacements, y compris à l'étranger.

    2. Si un numéro de téléphone fixe est utilisé, c'est un appel en synthèse vocale qui vous est envoyé. Ceci ne vous permet pas de faire des achats en ligne alors que vous êtes en déplacement.

    Dans les deux cas, vous devez reproduire ce code sur un formulaire qui s'affiche.

  5. La plateforme interbancaire est informée par la banque et communique avec le vendeur pour l'autoriser ou lui interdire de poursuivre.

  6. Si confirmation que vous êtes bien qui vous prétendez être, le vendeur vous demande alors de confirmer votre demande.

  7. La plateforme interbancaire reçoit alors l'appel en paiement du vendeur et le paye en débitant votre compte. Elle percevra une rémunération sur le compte du vendeur pour son intermédiation.

  8. C'est terminé.

ATTENTION :

Après 3 échecs d'authentification, votre transaction est annulée et votre carte est bloquée. Contactez alors votre banque.

ATTENTION :

Jamais rien ni personne ne doit vous demander vos coordonnées bancaires par courriel ou par tout autre moyen, y compris vocal.

Tout contact vers vous prétendant qu'il y a une erreur (ou n'importe quoi de semblable) ou que c'est une opération de vérification que vous êtes bien le détenteur d'un compte et qu'il faut tout ressaisir pour vérifier que c'est bien vous, est une attaque en tentative de collecte de vos données les plus secrètes : c'est du «phishing» (ou «hameçonnage» ou, plus rarement, «filoutage») conduisant à une ou des escroqueries dont VOUS SERIEZ LE SEUL RESPONSABLE. La demande de vérification ne peut se faire que par un organisme agréé en tant que plateforme interbancaire (obligatoirement agréée, en France, par la Banque de France [utilisez Orias : existence légale d'un organisme interbancaire pour le vérifier]).La procédure sera suivie du protocole de «double authentification» (point 4 ci-dessus).

Si vous avez un doute sur un lien (avec le Web sur l'Internet il vaut mieux douter de tout) :

  1. Faites glisser le pointeur de votre souris au-dessus du lien vers lequel vous seriez dirigé, SANS CLIQUER. Observez le lien qui apparait clairement, généralement en bas à gauche de votre écran.

  2. Après le protocole (HTTPS) et avant le premier caractère slash (« / »), vous devez impérativement voir le nom exact du domaine (site Web) de votre fournisseur qui enregistre votre commande.

  3. Une demande par courriel relève exclusivement d'une tentative d'extorsion (ingénierie sociale) qui sera suivie d'une usurpation d'identité et du détournement (vol) de votre argent dont vous serez le seul responsable.



  • Intégrité des données d'authentification coté serveur

  • CNIL - Sécurité : utilisez l’authentification multifacteur pour vos comptes en ligne

  • Wikipedia (Fr) : double authentification

  • Microsoft (Fr) : Aventages et méthodes d'authentification à 2 facteurs

  • Google : Activer la validation en deux étapes sur ordinateurs, appareils Android, iPhone et iPad

  • Twitter - comment utiliser l'authentification à deux facteurs

  • BFMTV : Elon Musk accuse les opérateurs téléphoniques de générer de faux SMS pour gagner de l’argent aux dépens de Twitter.

  • Stormshield ; l’authentification à double facteur, un incontournable de la sécurité

  • Ministère des Armées : double authentification avec l'application Google

  • EUR-Lex : Directive (UE) 2015/2366 du Parlement européen et du Conseil

  • Banque de France : deuxième directive européenne sur les services de paiement (DSP2)

  • Cybermalveillance.gouv.fr : Recrudescence de l’hameçonnage bancaire (DSP2)

  • Francenum.gouv.fr : 15 mai 2021 - l’authentification forte DSP2 pour sécuriser votre site e-commerce est désormais obligatoire

    Intégrité - Ressources spécifiques

    Ressources externes sur ce sujet Intégrité des données d'authentification coté serveur


    1. Recommandé par la CNIL - qu'est-ce que la CNIL ?

    2. CNIL - Sécurité : utilisez l’authentification multifacteur pour vos comptes en ligne

    3. Wikipedia (Fr) : double authentification

    4. Microsoft (Fr) : Aventages et méthodes d'authentification à 2 facteurs

    5. Google : Activer la validation en deux étapes sur ordinateurs, appareils Android, iPhone et iPad

    6. Twitter - comment utiliser l'authentification à deux facteurs

    7. BFMTV : Elon Musk accuse les opérateurs téléphoniques de générer de faux SMS pour gagner de l’argent aux dépens de Twitter.

    8. Stormshield ; l’authentification à double facteur, un incontournable de la sécurité

    9. Ministère des Armées : double authentification avec l'application Google

    10. EUR-Lex : Directive (UE) 2015/2366 du Parlement européen et du Conseil

    11. Banque de France : deuxième directive européenne sur les services de paiement (DSP2)

    12. Cybermalveillance.gouv.fr : Recrudescence de l’hameçonnage bancaire (DSP2)

    13. Francenum.gouv.fr : 15 mai 2021 - l’authentification forte DSP2 pour sécuriser votre site e-commerce est désormais obligatoire



    Les encyclopédies

    1. Encyclopédie des termes et concepts informatique et Internet # Liste

    2. Encyclopédie des acronymes, sigles et abréviations # Liste

    3. Encyclopédie de la terminologie officielle française # Liste

    4. Encyclopédie de la terminologie Warez, DDL et P2P # Liste