mknews

lundi 14
octobre 2019

  

5838 News

1631 Membres

Simple & Gratuit !

Je communique
sur ma marque

    btcliquez

Je reste en veille

  facebook tw 

L'information permanente dédiée aux dirigeants et aux marketeurs

 
Accueil » e-commerce
 
Publié le 31/07/2019

e-commerce

Certified Senders Alliance - DANE pour la transmission sécurisée des données des e-mails

DANE avec DNSSEC fait en sorte que votre e-mail arrive en toute sécurité à la bonne adresse

Une mauvaise réputation se répand très vite. C’est pour cette raison que les sociétés de vente par correspondance, les prestataires de services ou le secteur bancaire sont donc soucieux de la maintenir ou de l'optimiser sur Internet. Mais si les clients sont victimes d'une attaque dite man- in-the-middle (ou de l’homme au milieu), leur bonne réputation est rapidement perdue. Dans une attaque man-in-the-middle, l’agresseur se positionne entre le client et le fournisseur et prétend être le fournisseur. Une telle attaque est également possible dans l'autre sens. L’exemple suivant illustre cela : supposons que vous soyez une entreprise de vente par correspondance en ligne et que vous envoyiez des e-mails de transaction automatisées comme par exemple des factures ou des confirmations de commande. Elles sont donc envoyées à des tiers inconnus par le pirate man-in-the-middle. La facture n’arrive jamais à vos clients et vous ne remarquez rien. Naturellement vous ne recevez pas d’argent car le client n’a jamais reçu de facture. Que se passe-t-il donc? Vous envoyez un rappel. Cela peut générer, sans facture préalable, irritation et perte de confiance chez le client, ce qui signifie pratiquement un désastre en marketing. Mais cela pourrait être même pire. Lorsqu’une attaque aboutit, des données sensibles de votre client comme par exemple son adresse, ses coordonnées bancaires et ses habitudes d’achat arrivent à des personnes non autorisées. Dans le cas d’assurances, de couverture médicale, d’instituts de crédits et même de sites de rencontres cela constitue un vrai problème, car il s’agit là de données personnelles très sensibles. Des conséquences graves La protection des données de votre client n’est pas uniquement votre priorité absolue mais aussi celle du fournisseur de services e-mail qui envoie en votre nom. L’article 33 du RGPD explique ce qui se passe en cas de violation des données personnelles : le responsable (dans ce cas l’entreprise de marketing) doit informer l’autorité de contrôle (régionale ou nationale) et les personnes concernées, dans le respect de l’article 34 du RGPD. Ce n’est pas que votre réputation qui est en danger. Vous risquez aussi des conséquences financières. Dans la mesure où la responsabilité de violation de la protection des données personnelles peut être attribuée au responsable ou au sous-traitant mandaté par lui (dans ce cas le fournisseur des services e-mail), les autorités de contrôle pourront exercer contre le(s) responsable(s ) des sanctions, des mesures correctives et des enquêtes conformément à l’article 58 du RGPD. Dans le pire des cas, cela pourrait même entraîner l’interdiction définitive de traiter ce genre de données, ce qui signifie concrètement une interdiction de l’activité commerciale. En outre, des amendes peuvent être imposées. L'article 83 du RGPD prévoit des amendes substantielles pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel total. L'exemple le plus récent : l'autorité britannique de protection des données (ICO) a infligé une amende de 205 millions d'euros à British Airways après que des inconnus aient eu accès aux données des clients de la compagnie. Une chose est sûre : il ne suffit pas simplement de protéger le propre serveur, car un « homme au milieu » utilise le point faible de l’envoi d’un e-mail de A à B. Afin de satisfaire les exigences de l’article 5 Paragraphe 1 du RGPD, vous devriez protéger les données sensibles de vos clients avec DNSSEC et DANE. DNSSEC et DANE, que sont-ils ? DANE (DNS-based Authentication of Named Entities) est une méthode de test qui sécurise l'établissement d'une connexion cryptée entre un client et un serveur. Par le biais d'une comparaison de certificats (enregistrement TLSA), les partenaires de communication utilisant DANE comblent la faiblesse conceptuelle de SSL/TLS, dans laquelle un tiers pourrait se faire passer pour le « bon serveur » et amener le client à transférer ses données à la « mauvaise bonne » adresse. La condition préalable à l'utilisation de DANE, est DNSSEC (Domain Name System Security Extensions), qui garantit que les caractéristiques de test transmises via DNS peuvent être vérifiées. Ici aussi, les pirates pourraient introduire de fausses informations dans le DNS et conduire le client à la mauvaise adresse.


 

Toutes les news

Espace service

La lettre d'information des professionnels de la VAD, du MD, de l'E-commerce et M-commerce