2.1 S

1
Étude d approfondissement Le Paiement
Électronique
FOULC Aurélie GUILLEMOT Perrine
RICM-3 18 Octobre 2001
2
Plan

Introduction 1- Présentation et objectifs 2-
Méthodes 3- Produits 4- Législation Conclusion Qu
estions
3
Plan

Introduction 1- Présentation et objectifs 2-
Méthodes 3- Produits 4- Législation Conclusion Qu
estions
4
1- Présentation et Objectifs
1.1- Définition 1.2- Types de paiement 1.3-
Propriétés à respecter 1.4- Moyens mis en
œuvre 1.5- Coûts 1.6- B2B
5
Définition

• Moyen permettant deffectuer des transactions
  commerciales pour l échange de biens ou de
  services sur Internet

• Échelle des transactions
• Macro gt 5
• Mini et Micro entre 1/1000 et 5

6
Types de paiement

• Cartes de crédit
• Cartes à puce
• Comptes bancaires
• Ordres de paiement

7
Propriétés à respecter
Le paiement doit être

• Universel

• Portable

• Infalsifiable et Inviolable

• Privé

• Anonyme

8
Propriétés à respecter

• Off-line

• Rapide

• Non contraignant

• Non répudiable

• Divisible

• Légal

9
Moyens mis en oeuvre

• Algorithmes de cryptage
• Authentification
• Protocoles

10
Coûts

• Main dœuvre
• Prévention des risques
• Infrastructures
• Transactions
• Application des lois

11
B2B

• Gros montant paiement papier
• Sinon, comme B2C

12
Plan
Introduction 1- Présentation et objectifs 2-
Méthodes 3- Produits 4- Législation Conclusion Qu
estions
13
2- Méthodes
2.1- Sécurisation et Authentification 2.2-
Transfert de l information
14
2.1- Sécurisation et authentification

• Cryptographie
• Signature électronique
• Certificat électronique
• Kerberos
• Datation

15
Cryptographie

• Confidentialité des messages

• Mécanisme de clés
• clé secrète ou cryptage symétrique
• clé publique / privée ou cryptage asymétrique

16
Cryptage symétrique
Source http//cuisung.unige.ch/memoires/Hugentob
ler/crypto.html

• Avantage simplicité
• Problème transmission de la clé

17
Cryptage asymétrique
Source http//cuisung.unige.ch/memoires/Hugentob
ler/crypto.html

• Confidentialité

• Authentification

• Technique utilisé pour léchange de clé secrète

18
Exemple 1 Data Encryption Standard

• développé par IBM, la NSA et le NBS dans les
  années 1970

• Cryptage symétrique par blocs avec une clé de 56
  bits

• 16 itérations

Bloc de 64 bits
Crypté avec une partie de la clé transposition
transposition
19
Exemple 1 Data Encryption Standard

• Standard du gouvernement des E.U (77)
• Performance entre 300 Mbits/s et 3 Gbits/s
  (cryptage ou décryptage)
• Fiabilité facile à casser
• Triple DES

20
Exemple 2 Advanced Encryption StandardOctobre
2000

• Cryptage symétrique
• Remplacement du DES (compétition lancée par le
  NIST)
• Blocs de 128 bits
• Clés de longueurs différentes 128, 192 ou 256
  bits
• Plusieurs rounds de 4 opérations
• Substitution
• Décalage
• Mélange
• Ou exclusif avec la clé
• Plus sur et plus rapide que le DES

21
Exemple 3 Rivest Shamir Adelman

• Cryptage asymétrique

• Performances 100 fois plus lent que le DES
• Fiabilité factorisation irréalisable
• Usage largement répandu

22
Rivest Shamir Adelman

• p et q 2 nombres premiers p11 et q17
• n p x q 187

• 2 entiers d7 et e23
• (e x d 1) est multiple de (p-1)(q-1) et eltn

• Clé clé secrète (p,q,d)
• clé publique (n,e)

c me modulo n m cd modulo n
23
Signature électronique

• Intégrité, non répudiation et authentification
• Empreinte

?
24
Exemple 1 MD5

• Disponible dans le domaine public depuis 1992
• Empreinte sur 128 bits
• Fiabilité des empreintes (peu de collisions et
  non inversible)
• Checksum anti-virus sur des systèmes de fichiers

25
Exemple 2 SHA-1

• Secure Hash Algorithm-1
• Empreintes sur 160 bits
• Plus robuste mais plus lent que MD5
• Documents dau moins 264 bits

26
Certificat électronique

• Document numérique attestant de la propriété
  dune clé publique par une personne
  identification
• Infalsifiable (norme standardX.509)
• Clé publique
• Nom du propriétaire
• Date dexpiration de la clé
• Nom du responsable du certificat
• Numéro de série

27
Certificat électronique
Gestionnaire de clés
2. Génération des clés
6. Déchiffrement de la clé Assurance de
lidentité du producteur
28
Kerberos
Kerberos
1.identification du client auprès du service
Kerberos
2. Obtention dune clé secrète et dun certificat
permettant un dialogue avec le serveur de tickets
Client
29
Kerberos
Kerberos
Serveur de tickets
1.identification du client auprès du serveur de
tickets
2. Obtention dune clé secrète et dun certificat
permettant un dialogue avec le serveur voulu
Client
30
Kerberos
Serveurs
Kerberos
Serveur de tickets
Dialogue avec le serveur
Client
31
Datation

• Signature en aveugle signature pratiquée par
  une identité qui na pas accès au contenu de ce
  document

• Service de datation
• Cryptage change de façon aléatoire
• Clés publiques archivées
• Retrouver la clé publique en vigueur à la date
  supposée

32
2.2- Transfert de l information

• SSL
• SET
• PMTP
• MPTP
• S-HTTP

33
SSL
Secure Socket Layer développé par Netscape

• Protection du contenu

34
SET
Secure Electronic Transaction

• Protocole sécuritaire pour les transactions par
  carte bancaire sans puce
• 2 couples de clés asymétriques
• clés de cryptage et clés de signature

• Portefeuille électronique
• logiciel regroupant différentes CB

35
SET
Source www.set.ch/basics/basics-procedure-fr.htm
l
36
C-SET
Chip-Secure Electronic Transaction

• Dispositif de paiement sécurisé sur Internet par
  carte à puce
• Étend SET
• Niveau de sécurité plus élevé

37
PMTP
Pay-Me Transfert Protocol

• Chacun a sa paire de clé publique et privée
• Utilisable par tous

• Porte-monnaie électronique
• mode de paiement permettant de remplacer
• l'argent liquide dans un environnement on-line

38
MPTP
Micro Payment Transfert Protocol (1995)

• Transfert de petites valeurs
• Il faut un intermédiaire commun

39
S-HTTP
Secure HTTP

• Confidentialité, authenticité, intégrité
• et non répudiation
• Cryptage du message signature

40
Récapitulatif
Choix techniques
41
Et en pratique ...

• CyberCash.com
• Cryptage SSL à 128 bits

• Amazon.fr
• Cryptage SSL

• LeroyMerlin.fr
• Cryptage SSL et RSA

42
Plan

Introduction 1- Présentation et objectifs 2-
Méthodes 3- Produits 4- Législation Conclusion Qu
estions
43
3- Produits

• Cartes de crédit
• Cartes à puce
• Comptes bancaires
• Ordres de paiement

44
Cartes de crédit

• Très répandue
• Paiement en direct sur Internet et en temps réel
• Différentes solutions selon le lieu de stockage
  des informations sensibles (numéro de cartes par
  exemple)

• Aucune conservation

• Avantages indépendance / ordinateur, fraudes

• Inconvénient transmission à chaque achat

45

• Fournisseur effectue tout le processus de
  transaction
• Aucun logiciel chez le client
• Cartes dachat, micro-transactions regroupées

client
marchand
password
Gestion de CR
facture
confirmation
reçu
46
Cartes de crédit

• Intermédiaire ou une banque

• Avantage faibles risques dinterception
• Inconvénient logiciel indispensable

• Informations conservées sur le disque dur du
  client

• Avantages
• le client na pas à entrer les informations
  manuellement
• temps moins important

• Inconvénients
• dépendant / ordinateur
• risques de fraudes importants

47

• Système de paiement immédiat, sûr et facile
  dutilisation
• Association avec plusieurs compagnies de gestion
  de carte de crédit
• système denregistrement anonymat du client

Banque Marchand
client
marchand
CyberCash
15 / 20 secondes
Banque Client
48
Cartes de crédit

• Informations conservées sur le disque dur de la
  banque

• Avantages élimine le risque de fraude par les
  commerçants

• Inconvénients attrait de gain pour les
  fraudeurs

49
Cartes à puce

•  Porte-monnaie électronique  contenant de l  
   argent électronique  pouvant être rechargé
• Paiement de carte à puce à carte à puce les
  marchands ne voient aucune information
• Problèmes de logistique matériel particulier
  pour les débits/crédits non disponibles dans le
  grand public

50

• Argent chargé sur la carte
• Paiement effectué via un terminal
• Clé publique Processeur sécurisé
• Portefeuille électronique

Source http//www.rambit.qc.ca/plamondon/mondex.h
tm
51
Porte-monnaie électronique

• Mondex, Moneo et Modeus
• Verrouillage du marché sur le dos des
  consommateurs
• commission de 0,9 à 2 de la transaction
  cotisation annuelle auprès des banques matériel
  de paiement
• gt manque de sécurité
• gt non respect de la vie privée

52
VirtuoCash

• Porte-monnaie électronique basé sur le système de
  téléphonie mobile GSM
• Compatibilité avec le standard CEPS
• Indépendance vis-à-vis de lopérateur
  téléphonique
• Porte-monnaie dans le téléphone
• Confidentialité et intégrité garanties

53
CEPS

• Common Electronic Purse Specification
• Série de spécifications
• Délivre un standard qui permet le différenciation
  et la compétition mais qui délivre une
  interopérabilité.
• RSA et authentification mutuelle

54
Comptes Bancaires

• Régulier Vs Spécial
• Internet Vs Poste
• Banque Vs Disque dur
• Argent numérique ou non

55
Bank-Net
Secure Trust Bank
INTERNET
MarketNet
POSTE
MarketNet
Internet WorkHouse
56
e-Cash

• Développé par DigiCash
• Logiciel en ligne

• 2 Comptes bancaires
• Anonymat signatures aveugles
• Clé publique et privée

• Problème la taille de la BD
• -gt PMTP

57
e-Cash
Banque
Cryptage
Marchand
Client Web
Serveur Web
58
Ordres de paiement

• Chèque électronique
• Système de paiement

59
Chèque électronique

• Mode de paiement en ligne visant à remplacer les
  chèques papier
• Signature électronique logiciel

60
Netbill

• Négociation des prix
• Protection des 2 parties
• Plusieurs services

61
Netbill
Tiroir caisse
Porte monnaie
62
MilliCentTM Microcommerce Network Fonctionnalité
pay-per-click

• Agrégation
• Titre provisoire argent électronique valide
  localement pour un vendeur spécifique

63
Récapitulatif

• Inscription
• Intermédiaire
• Provenance
• Logiciel
• Importance du paiement
• Rapidité

64
Plan

Introduction 1- Présentation et objectifs 2-
Méthodes 3- Produits 4- Législation Conclusion Qu
estions
65
4- Législation

• Vente à distance ou par correspondance
• Contrat écrit signé pour toute transaction de
  plus de 5000 francs faite par un particulier
• Signature électronique loi en Mars 2000
• Respect de la vie privé

66
Cas pratique ...

• Comment puis-je prouver que j'ai bien effectué un
  achat par carte de crédit sur Internet ?
• En effet, le vendeur refuse de me livrer en
  prétextant n'avoir pas été réglé...

67
Plan

Introduction 1- Présentation et objectifs 2-
Méthodes 3- Produits 4- Législation Conclusion Qu
estions
68
Plan

Introduction 1- Présentation et objectifs 2-
Méthodes 3- Produits 4- Législation Conclusion Qu
estions
69
Questions

70
Bibliographie

• Alain Plamondon - 1996 "Paiement électronique"
• http//rambit.qc.ca/plamondon/ecashin.html
• Présentation bien développée sur le paiement
  électroniques analyse fonctionnelle,
  protocoles, entreprises privées
• Stuart Feldman "The changing face of
  E-Commerce  et "Electronic marketplaces"
• IBM Institute for Advanced Commerce
• IEEEE Internet Computing
• http//computer.org/internet/
• Administration http//www.finances.gouv.fr
• Ensemble des impôts que les contribuables peuvent
  payer en ligne
• DigiCash http//www.digicash.nl

71
Bibliographie

• SET http//www.set.ch
• MarketNet et BankNet http//www.mkn.co.ok
• NetBill http//www.ini.cmu.edu/netbill/
• Projet de l'université Carnegie Mellon
  (Information Network Institute)
• http//parodie.com/monetique/
• Projets de Porte-monnaie électroniques
• Réglementation sur la signature électronique
• Yescards - Vulnérabilités des cartes bancaires -
  Groupement des cartes bancaires
• Jean-Claude Morand Paiement sur Internet
• http//www.idf.net/articles/paiements.html
• Moyens de sécurisation (SSL et SET) - Paiements
  sur Internet (C-SET et e-COMM) - Portefeuille
  virtuel

72
Bibliographie

• CEPS http//www.cepsco.org
• Ensemble de spécifications communes aux portes
  monnaies électroniques
• PMTP Michael Peirce - Donal O'Mahony
• "Scaleable, Secure Cash Payment for WWW Resources
  with the PayMe Protocol Set"
• http//www.w3.orgTRWD-mptp-951122
• E-Cash, NetCash - PayMe Transfer Protocol (PMTP)
• http//www.murielle-cahen.com/page2200.asp
• Cas pratiques de paiement sur Internet
• Législation
• http//europa.eu.int
• Recommandation de la Commission du 30 juillet
  1997 concernant les opérations effectuées au
  moyen d'instruments de paiement électronique, en
  particulier la relation entre émetteur et
  titulaire

73
Bibliographie

• Cryptographie
• Laurent CAPRANI, Avril 96, cours à luniversité
  du Quebec à Montréal
• http//www.er.uqam.ca/nobel/m237636/paiement/intro
  .html
• Présentation des différents modes de paiement,
  introduction à la cryptographie, authentification
  électronique et présentation du protocole SET
• Alain Hugentobler, mémoire de licence, Juin 2000
• http//cuisung.unige.ch/memoires/Hugentobler/table
  -cont.html
• Cryptographie, protocoles SSL, certificats
  numériques
• RSA
• http//www.rsa.com
• Site officiel
• VirtuoCash
• http//www.bantry-technologies.com/mpayement.html