Académique Documents
Professionnel Documents
Culture Documents
E Paiement PDF
E Paiement PDF
Universit Du Centre
Institut Suprieur De Gestion De Sousse
Master Spcialis :
Commerce International et Technologie de lInformation
Dossier De Recherche :
Kathy
OLEAVY
Introduction.....4
Conclusion.....33
Bibliographie...35
I) Introduction
Il est fort intressant de noter que malgr les contraintes de scurit sur
Internet et surtout celles relatives au paiement lectronique, la valeur ajoute
du commerce lectronique est incontestable et consiste :
Assurer une ouverture au march mondial puisque les sites marchands sont
accessibles par tous les internautes dans les quatre coins du monde ;
Le but de ce dossier est de prsent une typologie des types de paiements sur
Internet, exposes les exigences auxquelles doit rependre un procd de
paiement lectronique fiable et en fin prsent les solutions techniques de
scurit permettant Internet daccueillir les paiements.
Il faut noter comme mme que les cartes de crdit ne deviendront pourtant
jamais un moyen de paiement universel. Les prlvements quelles imposent
entre 2 et 5% de la transaction ne sont endurs quen labsence dune
alternative plus conomique. Ce cot est justifi par labsence dun contrle
immdiat sur la situation bancaire du titulaire de la carte.
2. Les chques
Les chques sont dun usage courant en Europe et au Japon, car une
rglementation stricte en garantie le paiement. Inversement, les cartes de
crdit ny sont que pour les transactions internationales ou distance. Dans le
cas du chque europen, la garantie est offerte au commerant, non par
lorganisme de gestion des cartes, mais par un groupement bancaire
institutionnel. Cela revient finalement au mme.
Le client visite un magasin, il fait ses courses, comme dans toute boutique
virtuelle classique, mais au moment de paiement, le magasin lui demande sil
est ou non dj client. Si lacheteur potentiel est dj client, il naura pas
besoin redonner son numro de carte ni sa date dexpiration, puisquil est
identifi par son nom de membre et le mot de passe de son choix ;
Ce mode de paiement est trs performant en terme de scurit pour les deux
parties savoir lacheteur et le commerant. Le client ne fait circuler ses
numros de carte au commerant et ne risque pas de se faire piger par des
sites pirates. Le commerant sait que son client est identifi par lorganisme
bancaire. La carte ne peut pas venir dun vol rcent pas encore enregistr dans
les bases de donnes des banques.
Etant donn que le portefeuille lectronique est le fruit dun vritable contrat
pass entre lorganisme financier et son dtenteur, ce systme permet un
certain nombre de souplesses difficiles imaginer dans tout autre contexte.
Un client final fait ses achats chez un commerant sur Internet, il passe la
commande et valide sa facture ;
h. Les rponses de demain : Aux Etats Unis, la socit Miros a lanc une
technique reposant sur la biomtrie qui est une formule didentification de
lutilisateur par ces caractres physiques personnels.
La socit Net Nanny, spcialise dans le filtrage daccs aux sites Web aux
Etats Unis vient de dvelopper un systme de reconnaissance de frappe au
clavier. Aprs apprentissage, le logiciel est capable didentifier sans risque
derreur la personne qui utilise lordinateur.
Il nest donc plus besoin de mot de passe ou autre puisque cest lutilisateur
lui-mme qui est reconnu. Ce logiciel, toujours en phase dessais, est, daprs
la socit Net Nanny, tellement infaillible, quil pourra servir aux
distributeurs de billets, aux contrles daccs, etc. Mais, dans ce panorama
doutils de paiement sur le Web, quelles sont les exigences auxquelles doit
rpondre un procd de qualit pour le paiement lectronique ?
Ce qui peut paratre paradoxal lorsquil sagit du rglement dun achat sur le
Web, les deux parties ont la mme peur. Le client a peur de payer et de rien
recevoir, le commerant a peur de livrer et de ne pas tre pay. Donc, une
mthode de qualit pour le paiement lectronique doit apporter la confiance
Le seul souci lgitime du commerant est dtre pay. Le systme doit donc
tre en mesure de fournir cette garantie tout en masquant la situation du
compte de lacheteur. La position des organismes internationaux de carte
bancaire est ici avantageuse, car ils peuvent masquer jusqu la provenance
gographique des fonds.
Pour des raisons de sret, lacheteur ne souhaite pas non plus que son
identit bancaire soit rvle au commerant. Les systmes lectroniques
peuvent prsenter cet gard un avantage sur les systmes actuels de cartes et
de chques et procurer la mme confidentialit que largent liquide.
Il est impratif que les transactions soient atomiques, cest dire quelles
seffectuent en totalit et lentire satisfaction des parties ou pas du tout.
Toute entorse ce principe ; souvent dsign intgrit de la transaction ;
ruinerait la crdibilit du procd.
4. Non-rpudiation : Elle permet dviter ce que lune des deux parties nie
la transmission ou la rception de linformation lors de procd de commande
dchange de donnes ou de paiement lectronique sur le Web.
Mais quels sont les mcanismes et les techniques utilises pour garantir la
scurit du paiement lectronique sur Internet ?
Sur Internet, circulent des paquets qui suivent des circuits de routage de
machines (host en Anglais) en machines. Chacune de ces machines effectue
ce routage avec des logiciels standards aux spcifications bien connues. Le
chemin varie en fonction de la disponibilit des machines et des connexions.
Cest ce que fait la robustesse dInternet.
Les techniques qui seront voquer dans cette troisime partie sont : Les
procds de cryptages, la signature lectronique, la certification lectronique,
lidentification, la datation, le protocole SSL et en fin le protocole qui a t
dvelopp conjointement par Visa et MasterCard, avec la participation des
tnors de linformatique parmi lesquels Microsoft, IBM et Netscape savoir
le protocole SET.
La faon dont le plain texte est trait : (Block cypher et stream cypher).
Dans le chiffrement par bloc le message est dcoup en blocs de 8, 32,
64 bits et chaque bloc est chiffr indpendamment de la valeur des
autres blocs (DES, RSA, IDEA, RC2). Dans le chiffrement en contenu
le message est dcoup en blocs de 8, 32, 64 bits mais chaque bloc est
chiffr en fonction de la cl mais aussi de la valeur du bloc prcdent
et/ou suivant ( RC4, SEAL, WAKE).
Un cryptage par blocs (block cipher, en anglais) est algorithme qui transforme
un bloc de donnes de taille fixe (en gnral un mot de 64 bits) en un bloc de
mme longueur. Cette proprit est essentielle pour des applications
rclamant une bande passante garantie.
Les cryptages par blocs sont raliss selon des modes dpendant des
applications. Dans un flot de donnes, on ne se contente gnralement pas de
crypter les blocs de donnes un par un. On utilise souvent les donnes dun
bloc pour modifier le suivant. On peut par exemple appliquer un OU
EXCLUSIF entre les deux. Cela complique nettement la tche dun espion,
car mme sil trouve la clef, il doit remonter au dpart de lchange pour le
dcrypter.
b. Cryptages asymtriques
En logiciel, lalgorithme DES est 100 fois plus rapide que le cryptage RSA.
Sur une implantation matrielle, il est entre 1000 et 10000 fois plus rapide
(entre 300 Mbits et 3 Gbits/ seconde). Au fur des progrs des algorithmes et
des composants, la performance de DES progressera plus rapidement que
celle de RSA, car DES se compose doprations plus purement informatiques.
sera ponctuel, on ne les emploiera que pour transmettre des donnes courtes,
de quelques octets, tels que les clefs prives et les signatures lectroniques.
De nombreux algorithmes asymtriques font chaque anne leur apparition lors
des confrences : ElGamal, Crypto, Eurocrypt et Asiacrypt.
Les systmes ralisant des cryptages forts peuvent nanmoins tre diffuss
condition dtre intgres certains types dapplication, parmi lesquelles les
applications strictement financires. Les producteurs amricains de logiciels
pourront donc diffuser mondialement des produits intgrant ces technologies,
ils en auront dailleurs lexclusivit. A titre dexemple, on peut citer le cas de
la compagnie CyberCash qui a ouvert la voie en obtenant le droit dexporter
son systme qui incorpore un cryptage RSA 768 bits.
2. La signature lectronique
Le dtenteur dune clef asymtrique prive peut tre tenu pour responsable de
tout cryptage ralis avec elle. Soit il en est lauteur, soit il a commis une
imprudence. Dans un cas comme dans lautre, il en assume les consquences.
Cest le principe de non-rpudiation ou appel aussi non-dsaveu. A
contrario, un dsaveu est toujours possible quand la signature nest pas
secrte, comme cest le cas avec les numros de cartes de crdit et mme les
signatures manuscrites.
MD5 et SHA-1 sont les deux fonctions de hachage les plus populaires.
La rgle veut quune autorit certifiante digne de foi publie ses procdures
didentification. Elle peut par exemple ne dlivrer de certificat quen main
propre et sur prsentation de pice didentit. Le site de la compagnie
VeriSign propose une gamme de produits relis aux certificats lectroniques.
4. Lidentification
dun service central de distribution de clefs, lequel distribue des clefs secrtes
ses clients.
Kerberos est lastique car il comporte une notion de domaines dont chacun
possde son serveur de clefs qui peuvent se connecter entre eux pour tendre
le service. Kerberos a la capacit dtendre les notions classiques pour un
ordinateur unique ou pour un rseau local de contrles daccs et de profils
dusager un ensemble de machines sur Internet.
b. Alice va signer D par sa clef secrte. Cest dire quelle gnre une
empreinte E(D), quelle crypte avec sa clef secrte CSA pour former la
signature lectronique SE(D) = CSA(E(D)) ;
c. Alice gnre une clef symtrique CC, avec laquelle elle crypte la
signature de D, soit CC(SE(D)) ;
Aprs cet change, Bob et Alice peuvent communiquer secrtement par des
messages crypts selon CC.
5. La datation
technique qui vise scuriser au moindre cot les transactions par carte
bancaire sur les rseaux ouverts tels Internet.
SET est indpendant du transport. Il peut par exemple fonctionner sur le Web
en interactif. Pour ce faire, les messages de SET sont dfinis en tant que type
MIME (Multipurpose Internet Mail Extension). Les transactions peuvent tre
trs longues. Elles sont identifies par un numro unique repris dans tous les
messages.
Les clefs de signature sont plus cruciales. Elles doivent tre plus fortes
et mieux protges. Personne ne doit obtenir votre clef secrte de
signature.
SET innove avec le procd dit de la signature duale, qui est employ pour
faire une offre dachat. Grce ce procd, lacheteur envoie simultanment
son offre au commerant et les instructions de paiement la banque, en tenant
compte des deux contraintes ci-dessous :
Pour viter des aller retours complexes, une manuvre lgante a t cre qui
exploite les proprits des empreintes lectroniques.
Le procd rellement utilis par SET est simplifi par rapport au procd
thorique ci-dessus, car aucun message nest transmis de lacheteur la
banque. Celle-ci est en mesure de reconstituer les mmes instructions de
paiement (I) laide des informations bancaires sur lacheteur et du prix
prsent par le commerant. Elle vrifie les intentions de lacheteur en
comparant lempreinte des instructions E(I).
SET entrine les normes de fait et effectue des choix dfinitifs. DES est
employ pour le cryptage des messages. Les enveloppes lectroniques
forment une variante du format PKCS#7 de RSA. SET compte imposer ce
format comme nouveau standard. Les signatures suivent les standards de
RSA. Les empreintes sont ralises par lalgorithme SHA-1 et les certificats
sont au norme X.509.
La faiblesse de SET est quil sagit dun systme usage unique (paiement
par carte). Le systme ne permet pas de modifier le scnario ni dy introduire
de nouveaux intervenants. Cette caractristique fait laffaire des financiers.
Les systmes proposs par les informaticiens optent naturellement pour des
transports scuriss, ce qui largit le champ dapplications. Nanmoins, les
perspectives de SSL sont moins claires, car elles visent un champ
dapplications encore plus vaste, qui dborde du Web.
V) Conclusion
par les banques et les informaticiens pour scuris les transactions entre les
cyberconsommateurs et le sites marchands.
Le fait de savoir toutes les mthodes de paiement sur Internet et les protocoles
de scurit ; nous permet dapprendre les reflexes ncessaires pour viter la
plupart des piges du monde virtuel.