Bonjour à tous !

Je suis en train de monter une boutique avec paiement sécurisé, mais c'est la 1ère fois que je dois implémenter ce genre de solution. (Mon problème ressemble pas mal à celui-ci, mais il ne m'a malheureusement pas aidé...).

J'ai un hébergement sous Orange Business Service et un contrat de paiement sécurisé Cyberplus de la Banque Populaire. Orange dis qu'il sont compatible avec cette api, mais voilà je ne sais pas s'ils doivent installer quelque chose, si c'est déjà fait et je dois l'utiliser etc...

d'autre part j'ai le certificat de notre site, mais je ne sais pas comment le sécuriser et ce genre de message fait un peu peur : "La compromission de ce fichier peut entraîner une usurpation de l'identité de votre boutique. Vous devez donc prendre toutes les précautions sur le stockage et l’utilisation de ce fichier certificat." Je n'ai pas accès à la racine du serveur, le répertoire de dépôt sera donc forcément très accessible, une protection 755 est-elle vraiment protectrice ?

De même j'ai des fichiers PHP (3 à utiliser), est-ce que je dois les mettre dans un répertoire spécifique ? avec des protections spécifiques ?

En espérant avoir été clair, parce que je patauge complètement et les docs n'expliquent pas ce genre de choses (peut-être est-ce trop basique, mais pour une première utilisation, je ne trouve pas ça évident !)

Pour finir, je me suis tourné vers la hotline orange (en désespoir de cause) et leur réponse est digne d'eux :

Bonjour,

Vous devez simplement suivre la documentation fournie par votre banque pour initialiser la solution de paiement en ligne cyberplus.

Cordialement,

Le centre Support Internet Orange Business Services.

Merci d'avance pour vos idées !

Pas grand enthousiasme pour ce post...

Bon j'ai un peu avancé ma config et ça roule plutôt bien pour l'instant à part le fait qui me gêne énormément que le certificat est dans un répertoire accessible par tous et donc téléchargeable tout aussi facilement.

Quelqu'un a déjà utilisé un certificat ? Et si oui, comment le protéger correctement ?

Merci d'avance !

Normalement tu as notamment une clé publique et une clé privée. En principe, la clé publique doit rester accessible pour que l'on puisse crypter les fichiers avant de te les envoyer.
Les autres données doivent rester strictement confidentielles. Si ton certificat est accessible, cela revient à ne pas crypter la connexion. Donc tant que le certificat n'est pas protégé, tu peux considérer que tes clients envoient leurs données banquaires en clair.
J'insiste pour bien te faire comprendre la criticité de la question. Il ne s'agit pas de fixer des droits utilisateur sur les fichiers (droits unix), il s'agit de le rendre inaccessible de tout internaute, ces deux notions sont indépendantes.
Il y a deux manières de rendre un fichier inaccessible d'un internaute :
- Le plus simple : Tu mets ces fichiers dans un répertoire, et tu crées un .htaccess contenant - Le plus sûr : L'arborescence web accessible par les utilisateurs est un sous-arbre de l'arborescence de ton compte utilisateur. Si ton site est dans /var/www/ton-site/www/, il faut placer tes fichiers quelque part dans /var/www/ton-site/ (ça peut être un sous-dossier, tant qu'aucun site ne pointe vers cet espace). Il faut donc placer tes fichiers hors de ton arborescence web (mais de manière à ce qu'ils restent accessibles à ton script).