Paiement lectronique

1
Paiement électroniqueSécurité

• Alexandra DAVANT
• Frédéric MOTTAIS

2
PLAN

• Historique
• Cryptage (rappels)
• Protocoles SSL/TLS
• Protocoles SET/C-SET
• Protocole S-HTTP
• Projet JEPI
• Paiement on-line / Paiement off-line

3
HISTORIQUE

• Évolution du commerce 
• petit marché local
• commerces du centre ville
• grands magasins
• surface commerciale en dehors des zones
  habitables
• achat par correspondance
• commerce électronique
• Le commerce électronique a fait son apparition
  dès quInternet sest ouvert aux entreprises.

4
Principe de fonctionnement initial du commerce
électronique

• Dans un site commercial cohabitaient les pages
  html consacrées à la présentation de lentreprise
  et celles consacrées à la promotion et la vente
  des produits.
• Lutilisateur avait la possibilité de sinformer
  sur le produit et de le commander à laide dun
  lien hypertexte email.
• Inconvénients 
• Le système devenait lourd et peu maniable
• Concernant la sécurité des données sensibles,
  rien nétait prévu

5
Cryptage (rappels)

• Clés symétriques 
• On utilise la même clé pour crypter et décrypter
  le message. Il faut transmettre la clé sur le
  réseau, or celle-ci pourra être interceptée.
• Clés asymétriques 
• 2 clés pouvant crypter et décrypter.
• On utilise une clé pour crypter et l autre pour
  décrypter.
• Une clé publique accessible via un annuaire de
  clés.
• Une clé privé conservée par le propriétaire.
• Certificat électronique 
• Une clé publique est attribué à une entité unique
  par une organisation de certification (Verisign,
  Thawte, securenet, globalsign).

6
Protocole SSL (1/5)

• Secure Socket Layer
• Historique
• Version 1.0 conçue par Netscape en 1993
  nexistait que sur papier.
• Version 2.0 en 1994, elle se base sur une
  procédure de cryptage des données via des clés
  asymétriques (publique/privée).
• Version 3.0 en 1996
• Au milieu de lannée 2001, le brevet SSL
  appartenant jusqualors à Netscape a été racheté
  par lIETF (Internet Engineering Task Force) et a
  été rebaptisé pour loccasion TLS (Transport
  Layer Security)

7
Protocole SSL (2/5)

• Les 3 fonctionnalités de SSL 
• Authentification du serveur  vérifie que le
  certificat et lidentité publique fournis par le
  serveur sont valides.
• Authentification du client (nom prénom -gt n
  carte)
• Chiffrement des données 
• Confidentialité  les données envoyées sont
  cryptées afin de les rendre inintelligibles pour
  les tiers non autorisés.
• Intégrité (grâce à la signature numérique) les
  données reçues nont pas été altérées,
  frauduleusement ou accidentellement.

8
Protocole SSL (3/5)

• Principe 
• A partir dune clé privée générée par le serveur
  du commerçant, un organisme dauthentification
  (ex  Verisign ) crée une clé publique et la
  diffuse via un certificat. Le certificat garantit
  lidentité du serveur et contient la clé
  publique.
• Au moment de la transaction, la clé publique du
  commerçant est envoyée au client.
• Cette clé encrypte les données sensibles du
  client qui sont retournées au commerçant.
• A laide de la clé privée, le commerçant décrypte
  enfin ces données.

9
Schéma des Etapes de la Transaction (SSL)
Autorité de Certification
1- Commande et paiement par carte de
crédit sécurisé par SSL
Client
Marchand
Emission du Certificat serveur SSL
4- Acceptation ou Refus de la transaction
5-Relevé bancaire et notification de la
transaction
5-Relevé bancaire et notification de la
transaction
4- Acceptation ou Refus de la transaction
2- Demande d autorisation
3- Acceptation ou Refus de la transaction
5- Règlement
2- Demande d autorisation
Centre d autorisation
Banque du marchand
Banque du Client
Réseau bancaire
10
Protocole SSL (4/5)

• SSL est indépendant du protocole utilisé ( HTTP,
  FTP, POP, IMAP, ). Il est situé entre la couche
  application et la couche transport 

11
Protocole SSL (5/5)

• Limites de SSL 
• Le vendeur fonde chaque transaction sur 3 valeurs
  simples  nom du client, numéro de carte de
  crédit et date dexpiration.
• Rien dans une transaction SSL ne vérifie que le
  client est bien celui quil prétend être. Toute
  personne possédant ces trois données peut faire
  des achats au nom du client.
• Une fois que le vendeur a reçu ces valeurs, SSL
  ne peut plus les protéger et elles sont sous la
  responsabilité du vendeur.
• Le reste de la transaction, entre le vendeur et
  la banque, nest pas défini par SSL et est
  complètement incontrôlable par le client.
• Il nexiste pas de méthode standard unique, pour
  les vendeurs et les banques, de vérification
  dune transaction par carte de crédit, et les
  diverses méthodes existantes ont chacune leurs
  points forts et leurs points faibles en matière
  de sécurité.
• La répudiation est lacte par lequel un client
  nie avoir effectué un achat. Avec SSL, ni le
  commerçant ni la banque ne peut prouver que le
  client a bien effectué lachat.

12
Le protocole SET (1/3)

• SET Secure Electronic Transaction
• SET est un protocole de sécurisation des
  transactions électroniques créé à la demande de
  VISA, MasterCard et American Express en Février
  1993 et développé par Microsoft, IBM, Netscape.
• SET certifie
• L authentification des partenaires de la
  transaction.
• L intégrité du bon de commande.
• La confidentialité des échanges.
• La non possibilité de désaveu de la
  transaction.

13
Protocole SET (2/3)
Bon de commandeCertificat
Envoi du (bon de commandeInfos
bancaires)cryptéscertificat clientcertificat
vendeurbon de commande
Requête d achat
Échange entre banque et vérification des données
Envoi du (bon de commandeInfos
bancaires)cryptéscertificat client
Vérification certificat commerçant
Vérification certificat client
14
Protocole SET (3/3)

• Inconvénients
• SET est lourd à mettre en uvre, peu
  dentreprises lutilise.
• Les banques nont rien à gagner à son
  utilisation  ce sont les commerçants et les
  acheteurs qui assument les frais provenant dun
  problème de sécurité.
• SET fonctionne à partir dun logiciel et dune
  clé installés sur le disque dur de lutilisateur.
  Il est alors impossible deffectuer une
  transaction dun autre PC.

15
Le Protocole C-SET

• Chip SET
• Le protocole repose sur des informations
  immatérielles risque de piratage.
• Utilisation dun terminal physique et dune carte
  bleu.
• Authentification du porteur de la carte

16
Le protocole C-SET

• Inconvénients
• Paiement lourd et onéreux à mettre en place.
• Perspectives
• E-Banking (banque à domicile)
• E-ticketing (billets voyage, spectacles)
• E-declarations (fisc, administrations)
• E-public (vote en ligne)
• E-trading (Ordre de bourse)
• Utilisation de la biométrie dans les paiements
  sécurisés.

17
Protocole S-HTTP (1/3)

• Secure HTTP, protocole HTTP Sécurisé
• Il repose sur une amélioration du protocole HTTP
  mise au point en 1994 par lEIT (Enterprise
  Integration Technologies)

18
Protocole S-HTTP (2/3)

• Principe de fonctionnement 
• Travaille au niveau de la couche application
• Procure une sécurité basée sur des messages
  au-dessus de HTTP, en marquant individuellement
  les documents HTML à laide de certificats
• S-HTTP est fortement lié au protocole HTTP
  (contrairement à SSL qui est indépendant des
  protocoles) et crypte individuellement chaque
  message.

19
Protocole S-HTTP (3/3)

• Complémentarité de S-HTTP et de SSL 
• Alors que S-HTTP et SSL étaient concurrents, leur
  complémentarité sest révélée du fait quils ne
  travaillaient pas au même niveau.

20
Le projet JEPI

• Joint Electronic Payment Initiative.
• Initiative du W3C
• Négociation du mode de paiement
• Choix du mode de paiement
• Choix du protocole de paiement
• Choix du protocole dacheminement

21
Paiement on-line (1/2)

• Le paiement seffectue à laide dune carte
  bancaire. (Utilise les protocoles SSL SET)
• Le client joint à son bon de commande, son numéro
  de carte bancaire (crypté soit avec la clé
  publique du vendeur soit celle de la banque).

22
Paiement on-line (2/2)
23
Paiement off-line

• Le client approvisionne un compte local en
  monnaie électronique (monnaie virtuelle) et
  réalise la transaction commerciale avec elle.

24
FIN