Chapitre 3 Securisation Des Transactions Commerciales 10082022

SECURISATION DES TRANSACTIONS
COMMERCIALES
1. INTRODUCTION
Les fonctions de sécurisation du commerce électronique concernent au
minimum :
1) la protection des réseaux de communication entre le commerçant et
l’acheteur d’un côté et entre le commerçant et sa banque de l’autre
2) la protection des échanges financiers
3) la protection de la marchandise
Au niveau des transactions, la sécurisation du commerce électronique
se rapporte à l’accès au service, à l’identification et à l’authentification
des intervenants afin de leur procurer les services auxquels ils ont
souscrit, l’intégrité des échanges et, si besoin, leur confidentialité.
Enfin, il sera parfois nécessaire de retenir les preuves susceptibles de
régler les litiges éventuels.
2. OBJECTIFS DE LA SECURISATION
Les objectifs de la sécurisation sont les suivants :
Sécurisation des transactions commerciales Page |1

 Interdire à un tiers non autorisé de lire ou de manipuler le contenu
ou les séquences des messages échangés sans risquer d’être
détecté
 Entraver le truquage des pièces ou la génération de messages. Par
exemple, des commerçants ou des centres de traitements peu
scrupuleux ne doivent pas être capables de réutiliser les
informations bancaires des clients pour générer des commandes
frauduleuses ou se faire payer sans livrer les articles achetés.
Réciproquement, les marchands doivent être protégés contre les
révocations abusives de paiements ou les contestations
malveillantes des commandes
 Satisfaire les conditions légales en vigueur pour valider les contrats
et régler les litiges, notamment en matière de protection du
consommateur et de la vie privée et des modalités d’exploitation des
informations obtenues sur les clients à des fins commerciales, des
intervalles de révocation de paiement, etc.
 Assurer l’accès aux services souscrits selon les contrats établis
avec les fournisseurs
 Assurer le même niveau de service à tous les clients, quelle que soit
leur localité géographique et ceci en dépit des variations climatiques
et atmosphériques.

3. SERVICES DE SECURISATION CRYPTOGRAPHIQUE
3.1. Introduction
La sécurisation des échanges du commerce électronique consiste à
utiliser des fonctions mathématiques pour brouiller le texte initial avant
sa transmission. Ce texte devra être restitué sous sa forme initiale
après réception par le destinataire authentique. La sécurisation
comporte les services suivants :
 La confidentialité des messages : interdire la connaissance
par un tiers non autorisé
 L’intégrité des données : donner la preuve que le message n’a
pas été altéré entre l’expédition et la réception
 L’identification des participants : vérifier la relation entre des
caractéristiques individuelles (par exemple, des mots de
passes ou des clés de chiffrement) et les individus, afin de
contrôler l’accès aux ressources du réseau ou aux services
offerts.
 L’authentification des participants : l’identité de l’expéditeur
peut être vérifiée. L’authentification est nécessaire pour
assurer la non-répudiation

 Le contrôle de l’accès : assurer que seules les parties
autorisées dont l’identité a été dûment authentifiée peuvent
avoir accès aux ressources protégés
 La non-répudiation : fournir la preuve de l’intégrité des
données et de leur origine d’une manière irréfutable par
l’expéditeur ou sa réception par le destinataire.
3.2. Etymologie et vocabulaire
Étymologie
Le mot cryptographie vient des mots en grec ancien kruptos (κρυπτός)
« caché » et graphein (γράφειν) « écrire ».
Vocabulaire
 Chiffrement : transformation à l'aide d'une clé, d'un message en clair
(dit texte clair) en un message incompréhensible (dit texte chiffré);
 Chiffre : un ensemble de règles permettant d'écrire et de lire dans un
langage secret ;
 Cryptogramme : message chiffré ;
 Cryptosystème : algorithme de chiffrement;
 Décrypter : retrouver le message clair correspondant à un message
chiffré sans posséder la clé de déchiffrement ;

 Cryptographie : la science visant à créer des cryptogrammes, c'est-à-
dire à chiffrer.
Il y a essentiellement deux types de cryptographie :
1) La cryptographie à clé secrète ou cryptographie symétrique
C’est la plus ancienne.
2) La cryptographie à clé publique ou cryptographie asymétrique
Ces algorithmes ont besoin de deux clés :
 une clé publique qui sert au chiffrement ou parfois aussi
à la vérification de signature,
 une clé privée qui sert au déchiffrement ou parfois aussi
à la signature
 Cryptanalyse : science analysant les cryptogrammes en vue de les
décrypter ;
 Cryptologie : science regroupant la cryptographie et la cryptanalyse.
3.3. L’usage de la cryptographie
La cryptographie est traditionnellement utilisée pour dissimuler des
messages aux yeux de certains utilisateurs. Désormais, la cryptographie
sert non seulement à préserver la confidentialité des données mais aussi
à garantir leur intégrité et leur authenticité, ainsi que la non-répudiation

4. LA CONFIDENTIALITE DES MESSAGES
La dissimulation des messages est réalisée à l’aide d’algorithmes de
chiffrement. On reconnaît deux types de chiffrement :
3) le chiffrement symétrique, où les opérations de brouillage des
messages et de leur révélation emploient la même clé secrète
4) le chiffrement à clé publique, où la clé de chiffrement est
secrète mais la clé de déchiffrement publique.
4.1. Cryptographie symétrique
Le chiffrement est dit symétrique parce que la clé qu’utilise l’expéditeur
pour chiffrer le message doit être la même que celle qu’emploie le
destinataire pour le déchiffrer et récupérer le secret. L’échange de clé
entre les correspondants doit être assuré avant la communication prévue,
à travers d’autres canaux de communication sécurisés :
Clé de
chiffrement
Texte Texte
en Texte en
clair Chiffrement chiffré Déchiffrement clair
Expéditeur Destinataire
Figure 1 : Principe de chiffrement symétrique

Soit M le message à chiffrer par un procédé de chiffrement E à l’aide de
la clé de chiffrement symétrique K.
Le résultat est le message chiffré C tel que :
E[K(M)] = C
Le procédé de chiffrement D, fonction inverse de E, redonne le message
en clair :
D(C) = M
Le tableau N1 ci-dessous présente quelques algorithmes de chiffrement
symétriques utilisés dans le commerce électronique.
Tableau N°1
Algorithme Nom et commentaires Type de Longueur de la
chiffrement clé en bits
AES Advanced Encryption En bloc de 128, 192, ou 256
Standard 128, 192, ou
256
DES Data Encryption En bloc de 64 56
Standard bits

IDEA International Data En bloc de 64 128
Encryption Algorithm bits
SKIPJACK Algorithme confidentiel En bloc de 64 80
développé aux Etats- bits
Unis par la NSA
(National Security
Agency – Agence de la
Sécurité Nationale) pour
des applications sur la
carte PCMCIA Fortezza
Le principal inconvénient des systèmes cryptographiques symétriques est
que les deux parties doivent, d’une manière ou d’une autre, posséder
l’unique clé de chiffrement. Cela a deux conséquences :
 La clé secrète doit être communiquée entre les deux parties
par un canal de communication sécurisé.
 Étant donné que les deux parties ont la même clé, elles
peuvent toutes deux crypter des messages. Etant donné un
message crypté, toute personne en possession de la clé
secrète pourrait en être l’auteur. Le chiffrement symétrique a
donc des faiblesses au niveau de l’authentification et de la
non-répudiation

La cryptographie à clé publique proposée en 1976 par Diffie et Hellman,
permet de résoudre le problème d’échange de clé
4.2. Cryptographie à clé publique
4.2.1. Introduction
Les algorithmes à clé publique font intervenir une paire de clés pour
chaque participant, l’une privée KS et l’autre publique KP. Les clés sont
choisies de sorte qu’il est pratiquement impossible de reconstituer la clé
privée à partir de la clé publique.
Soient deux utilisateurs A et B ayant respectivement les jeux de clés
publiques et privés (KPA, KSA) et (KPB, KSB). Ainsi :
1) Pour envoyer un message secret x à un individu B, l’individu A le
chiffre avec la clé publique de B et expédie le message chiffré à B.
Cette opération est représentée par :
e = KPB(x)
2) B récupère l’information à l’aide de sa clé privé de déchiffrement
KSB. Etant donné que B est l’unique possesseur de KSB, cet
échange peut être utilisé pour identifier B (voir authentification).
L’opération de déchiffrement est représentée par :
x = KSB(e) ou x = KSB[KPB(x)]

3) B peut aussi répliquer à A en envoyant un nouveau secret x’ chiffré
à l’aide de clé publique de chiffrement KPA de A :
e’ = KPA(x’)
4) A obtient x’ en déchiffrant e’ :
x’ = KSA(e’) ou x’ = KSA[KPA(x’)]
La clé publique est la clé de chiffrement et la clé privée est la clé de
recouvrement.
L’algorithme standard pour le chiffrement à clé publique est l’algorithme
RSA inventé par Ronald Rivest, Adi Shamir et Leonard Adelman en 1977.
Néanmoins, depuis quelques années la cryptographie sur courbe
elliptique (Elliptic Curve Cryptography) fournit des algorithmes de
signature numérique et pour l’établissement des clés de chiffrement
symétrique.
Exemple d’algorithmes à clé publique : DSA (Digital Signature Algorithm),
ElGamal, RSA
4.2.2. L’algorithme RSA et application
Présentation de l’algorithme RSA
 La clé publique est un couple d’entiers :
Sécurisation des transactions commerciales P a g e | 10

k=(e,n)
 Le chiffrement d’un bloc M codé numériquement de façon que M<n,
se fait au moyen de l’élévation à la puissance e modulo n :
C = Ek(M) = Me mod n
(On chiffre le bloc M par la méthode E et la clé de chiffrement k)
 La clé secrète est un couple d’entiers :
K = (d,n)
 Le déchiffrement se fait au moyen de l’élévation à la puissance d
modulo n :
M = DK(C) = Cd mod n
(On déchiffre C avec la méthode D et la clé de chiffrement K)
Le calcul des clés se fait de la façon suivante :
 Détermination de n
Trouver deux entiers p et q très grands : Calculer n = pq
Les valeurs de p et q doivent rester secrètes : La sécurité du
système repose sur la difficulté de factoriser un grand entier n en
deux entiers premiers p et q. Le nombre n doit avoir une longueur
supérieure à 512 bits.
 Détermination de e
Calculer z = (p-1)(q-1)

Choisir un entier e premier avec z
La clé publique est (e,n)
 Détermination de d
Choisir d tel que ed = 1 mod z (d est l’inverse de e dans
l’arithmétique modulo z)
La clé privée est (d,n)
Application de l’algorithme RSA : Signature en aveugle
La signature en aveugle est une procédure spéciale pour faire signer un
message par un notaire, à l’aide de l’algorithme cryptographique à clé
publique, sans lui en révéler le contenu.
Soit un débiteur qui veut faire signer son paiement en aveugle par une
banque qui a une clé publique e, une clé privée d et un module publique
N. Il choisit un nombre aléatoire k compris entre 1 et N et le garde secret.
 Le paiement p est «enveloppé» avant d’envoyer le message
à la banque en appliquant la formule suivante :
(pke) mod N
 La banque signe l’enveloppe à l’aide de sa clé privée :
(pke)d mod N = pdk mod N

 Elle retourne ensuite la note de paiement au débiteur. Le
débiteur peut alors extraire la note signée en la divisant par k.
Il peut alors vérifier que la note reçue correspond bien à celle
qui avait été envoyé car,
(pd)e mod N ≡ p mod N
Les divers protocoles de paiement par monnaie numérique exploitent la
signature en aveugle pour satisfaire les conditions d’anonymat.
Type de signatures par algorithmes à clé publique
Appellation Commentaire
estampillage Signature d’un message en
aveugle (sans connaître le
contenu) afin d’authentifier son
origine
griffe Chiffrement de tout le document
avec la clé privé de signature de
l’émetteur
sceau Chiffrement de l’empreinte ou du
condensât avec la clé de
l’expéditeur

4.2.3. Echange de clés publiques : Echange Diffie-Hellman
L’algorithme Diffie-Hellman
L’algorithme Diffie-Hellman, publié en 1976, est le premier algorithme
d’échange de clé pour les algorithmes à clé publique. L’échange de clés
se déroule de la manière suivante :
 Les deux parties A et B se mettent d’accord sur deux grands
entiers, n et g, de manière que g soit primitif par rapport à n.
Ces deux entiers ne sont pas obligatoirement dissimulés, mais
leur choix peut avoir une influence substantielle sur l’efficacité
de la sécurisation ;
 A choisit un grand nombre entier aléatoire x et envoie à B le
résultat du calcul : X = gx mod n
 B choisit un autre nombre grand entier aléatoire y et envoie à
A le résultat du calcul : Y = gy mod n
 A calcule : k = Yx mod n = (gx)y mod n
 B calcule : k = Xy mod n = (gy)x mod n

La valeur de k est la clé secrète échangée entre les deux correspondants
et sa taille est 1024 bits (la taille du modulo n).
Ainsi, la clé secrète a été négociée en ligne sans l’envoyer.
5. L’INTEGRITE DES DONNEES
5.1. Introduction
Le but du service d’intégrité est d’empêcher toute modification non
autorisée des messages durant leur parcours entre l’expéditeur et le
destinataire. On utilise une séquence de bits associée d’une manière
univoque au document à protéger. Cette séquence de bits constitue une
«empreinte» unique et infalsifiable. Le destinataire recalcule la valeur de
l’empreinte à partir du message reçu et compare le résultat obtenu avec
la valeur qui lui a été envoyé. Toute différence indique que l’intégrité du
message n’a pas été préservée.
L’empreinte peut être construite en appliquant une fonction de hachage.
Une fonction de hachage convertit une chaîne de caractères de longueur
quelconque en une chaîne de caractères de taille fixe L, généralement
plus petite que la chaîne initiale, appelée condensât.
Si l’algorithme de hachage est connu, n’importe qui peut calculer
l’empreinte à partir du message et de la fonction de hachage.

Par mesure de sécurité, en plus du contenu du message, le condensât
dépendra soit de la clé privé de l’expéditeur (cas d’un algorithme de
chiffrement à clé publique) soit d’une clé secrète que seuls détiennent
l’expéditeur et le destinataire.
5.2. Vérification de l’intégrité avec la fonction de hachage
à sens unique
Dans les applications à sécuriser, l’empreinte du message est calculée à
l’aide de la fonction à sens unique H(), c’est-à-dire une fonction
relativement simple à calculer dans un sens mais considérablement plus
difficile dans le sens inverse.
Ainsi, pour y=H(x), il est difficile d’obtenir x en connaissant y.
La fonction choisie doit satisfaire les propriétés suivantes :
 Absence de «collision» : Pour un message m1, la probabilité de
trouver un message m2 ≠ m1, tel que H(m1) = H(m2), est
extrêmement petite ;
 Impossibilité d’inversion : étant donné l’empreinte h d’un message,
il est pratiquement impossible de calculer le message m tel que H(m)
=h

 Grande dispersion : un petit écart entre 2 messages crée un grand
écart entre leur condensât. Ainsi, toute modification du texte initial,
même minime, devra être répercutée, en moyenne sur la moitié des
bits du condensât
Exemples de fonctions de hachage utilisées dans les applications du
commerce électronique
Tableau N° 2
Algorithme Nom Longueur de
l’empreinte
MD4 Message Digest 128
Algorithm
MD5 Message Digest 128
Algorithm
SHA Secure Hash 160
Algorithm (remplacé
par SHA-1)
SHA-1 Secure Hash 160
Algorithm (révision et
rectification du SHA)

5.3. Vérification de l’intégrité avec la cryptographie à clé publique
Un algorithme de chiffrement à clé publique est dit permutable si les
opérations de déchiffrement et de chiffrement peuvent être inversées, ce
qui s’exprime par :
M = KPx(KSx(M))
Dans le cas de chiffrement par algorithme à clé permutable, un élément
d’information M chiffré par la clé secrète KSx d’une entité X est lisible par
tout utilisateur en possession de la clé publique correspondante KPx . Pour
signer numériquement un document, un expéditeur le chiffre avec une clé
privée réservée pour l’opération de signature. Il rattache le chiffre produit
au message avant de l’envoyer. Toute personne ayant connaissance de
la clé publique correspondante est en mesure de déchiffrer le chiffre et de
vérifier qu’il correspond bien au message réceptionné.
Algorithmes à clé publique de signature numérique utilisés pour sceller les
messages
Algorithme Commentaires Longueur de
l’empreinte
DSA Digital Signature 512 à 1024 bits
Algorithm.

Une variante de
l’algorithme ElGamal
ElGamal Un message variable
correspond à plusieurs
signatures
RSA Algorithme standard 512 à 1024 bits
pour le chiffrement à
clé publique qui peut
être utilisé pour
calculer la signature
5.4. Vérification de l’intégrité avec la cryptographie symétrique
Le paraphe ou code d’authentification de message est le produit d’une
fonction de hachage à sens unique qui dépend d’une clé secrète. Le
paraphe assure simultanément l’intégrité du contenu du message et
l’authentification de l’expéditeur.
Le moyen le plus commun pour construire un paraphe est de chiffrer le
condensât produit par une fonction de hachage à sens unique à l’aide d’un
algorithme de chiffrement de blocs. Ce paraphe est ensuite accolé au
message initial en clair et le tout est expédié au destinataire. Celui-ci
recalcule le condensât en appliquant la même fonction de hachage au

message reçu pour comparer le résultat obtenu avec le paraphe déchiffré.
L’égalité des deux résultats confirme l’intégrité des données
6. IDENTIFICATION DES PARTICIPANTS
L’identification revient à apporter la preuve de l’identité de chaque
intervenant, à l’aide d’une caractéristique qui lui est particulière. Elle est
distincte de l’authentification qui est la confirmation que l’identificateur
correspond bien à l’utilisateur déclaré.
La signature numérique est le moyen le plus usuel d’identification.
D’autres méthodes d’identification et d’authentification simultanées des
usagers humains, exploitent des caractéristiques biométriques
Identification biométrique
On distingue deux sortes de mesures biométriques :
 Comportement et aptitudes acquises :
- locution (reconnaissance vocale),
- écriture (reconnaissance graphologique)
- dactylographie (reconnaissance dactylographique)
- etc.
 Propriétés innées :
- Reconnaissance du faciès et du visage
- Reconnaissance de l’iris,

- Reconnaissance de la rétine
- Reconnaissance de la géométrie de la main,
- Reconnaissance de la forme de l’oreille
- Reconnaissance des empreintes digitales
- etc.
Les méthodes qui se fondent sur la démarche, l’odeur ou le patrimoine
génétique à partir de l’ADN ont peu d’application pour l’identification en
ligne.
7. AUTHENTIFICATION DES PARTICIPANTS
L’authentification des participants a pour objectifs de réduire sinon
d’éliminer les risques d’usurpation d’identité en vue de poursuivre des
opérations non autorisées.
Selon le cadre d’authentification que définissent les recommandations
X.500 et X.811 de l’UIT-T, l’authentification simple peut être réalisée de
plusieurs façons :
 Nom et mot de passe échangé en clair
 Nom, mot de passe et un aléa ou un horodatage, avec vérification
de l’intégrité à l’aide d’une fonction de hachage
 Nom, mot de passe, un aléa et un horodatage, avec vérification
de l’intégrité à l’aide d’une fonction de hachage

L’authentification poussée se fonde sur une infrastructure de certification
comprenant les entités suivantes :
 Des autorités certifiantes qui cautionnent les clés publiques des
utilisateurs à l’aide de certificats
 Une base de données d’authentification ou annuaire, qui
renferme les détails relatifs aux clés de chiffrements privées telles
que leur valeur, la durée de leur volatilité, l’identité des
possesseurs
 Une autorité de désignation, d’appellation, de nommage ou
d’inscription afin de définir et d’attribuer des noms distinctifs aux
participants. L’autorité de nommage est éventuellement
indépendante de l’autorité certifiante.
Le certificat garantit la correspondance entre une clé publique donnée et
l’entité dont le nom distinctif unique est contenu dans le certificat. Ce
certificat est scellé par la clé privée de l’autorité certifiante.
8. NON-REPUDIATION
La non-répudiation est un service qui permet d’éviter qu’une personne
ayant accompli une action puisse la récuser plus tard, en partie ou en
totalité.

La non-répudiation est une notion légale qui doit être précisée par la voie
législative.
Le rôle de l’informatique est de fournir les moyens techniques pour
soutenir l’offre de service dans le cadre de la loi.
On dénombre deux types de service de non-répudiation :
- La non-répudiation de l’origine qui protège un destinataire
confronté à un expéditeur niant avoir envoyé le message ;
- La non-répudiation de la réception qui joue le rôle inverse du
précédent, à savoir démontrer que le destinataire a bien reçu le
message que l’expéditeur a envoyé.
Utilisation de la cryptographie à clé publique
Dans le cadre de la cryptographie clé publique, chaque utilisateur est le
seul et unique détenteur de sa clé privée. Ainsi, tout message
accompagné par la signature électronique d’un utilisateur ne pourra pas
être répudié par celui-ci, à moins que tout le système de sécurité n’ait été
pénétré. A l’opposé, la non-répudiation n’est pas directement acquise
dans les systèmes utilisant des clés secrètes.
La non-répudiation de la réception peut se faire par les mêmes
mécanismes mais en inversant les rôles : le destinataire doit envoyer un
accusé de réception signé et horodaté.

L’horodatage des messages établit un lien entre chaque message et la
date de son expédition, ce qui permet de tracer les échanges.
L’ajout d’un numéro de séquence au message avant le chiffrement
permet de détecter la duplication ou le rejeu de messages, mais aussi
l’insertion de messages superflus, la suppression ou la perte de
messages.
9. GESTION DES CERTIFICATS
9.1. Introduction
Bien qu’il soit possible de définir des protocoles de sécurité entre entités
paires c’est-à-dire de responsabilité équivalente, tous les protocoles
utilisés en pratique s’appuient sur un troisième partenaire. Celui-ci
possède deux propriétés :
- Il est gardien de données qui permettent d’authentifier les
participants d’un échange (clé symétrique, clé publique, mots de
passe) ;
- Il certifie la validité de l’association entre un nom d’entité et la
donnée correspondante.
Ce partenaire s’appelle, dans les systèmes basés sur le chiffrement
symétrique, le gardien des clés et, dans les systèmes à clés publiques,
l’autorité de certification.

9.2. Le gardien des clés : système basé sur la cryptographie symétrique
Dans ce type de système, le partenaire fiable est le dépositaire de toutes
les clés. Celles-ci sont stockées dans un fichier dont la chaque
enregistrement contient : le nom de l’entité, sa clé, la période de validité
de cette clé et un marqueur permettant de marquer la clé si elle est
invalide.
Ce fichier doit être protégé en intégrité (seul le gardien peut le modifier) et
en confidentialité
9.3. L’autorité de certification
9.3.1. Rôle
Créer et publier des certificats. Les éléments essentiels qui constituent un
certificat sont : un identifiant unique pour une autorité donnée, le nom de
l’entité détentrice, sa clé publique, la période de validité du certificat et la
signature de l’autorité de certification. Le rôle de l’autorité de certification
et sa responsabilité font l’objet de nombreuses études et de normes.
9.3.2. Annuaire des certificats
Les certificats valides (qui ne sont ni périmés ni révoqués) sont stockés
sur une base de données appelée annuaire de certificats. Un annuaire
public doit pouvoir être interrogé par n’importe quelle application (via
Internet, par exemple). Ce peut être un client de messagerie, un

navigateur, un serveur web, un serveur de domaine DNS ou une
application spécifique de commerce.
La norme X.509 définit le contenu des certificats et leur syntaxe de
transfert.
Contenu du certificat X.509 de base
Champ Nom du champ Description
Version version Version de la norme
X.509
Numéro de série serialNumber Numéro de série
unique du certificat
Signature Signature Informations se
rapportant à
l’algorithme utilisé
pour la signature et les
paramètres utilisés
Emetteur Issuer Nom de l’autorité de
certification
Validité Validity Période de validité du
certificat

Sujet Subject Références propres à
l’utilisateur : noms
distinctifs,
identificateur unique,
etc.
Information sur la clé subjectPublicKeyInfo Informations
publique concernant
l’algorithme à clé
publique de
l’expéditeur, les
différents paramètres
de son emploi ainsi
que la clé publique
elle-même
L’accès à l’annuaire se fait selon on protocole client/serveur selon la
norme Internet LDAP (Lightweight Directory Access Protocol) pour les
petits annuaires et la norme X500 pour les annuaires importants
nécessitant une répartition de données
9.3.3. Distribution des certificats
a) Délivrer soi-même le certificat :

OpenSSL ou un outil commercial du genre
Sun ONE Certificate Server ou Microsoft’s Certificate Server
b) Se repporter à un fournisseur commercial
Verisign (www.verisign.com)
Thwate (www.thwate.com)
Certinomis (www.certinomis.com)
Selso (www.selso.com)
TP : installation et utilisation de PGP

Chapitre 3 Securisation Des Transactions Commerciales 10082022

Transféré par

Informations du document

Titre original

Copyright

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Chapitre 3 Securisation Des Transactions Commerciales 10082022

Titre original :

Transféré par

Droits d'auteur :

SECURISATION DES TRANSACTIONS

Les fonctions de sécurisation du commerce électronique concernent au

1) la protection des réseaux de communication entre le commerçant et

l’acheteur d’un côté et entre le commerçant et sa banque de l’autre

2) la protection des échanges financiers

Au niveau des transactions, la sécurisation du commerce électronique

se rapporte à l’accès au service, à l’identification et à l’authentification

souscrit, l’intégrité des échanges et, si besoin, leur confidentialité.

Enfin, il sera parfois nécessaire de retenir les preuves susceptibles de

régler les litiges éventuels.

Les objectifs de la sécurisation sont les suivants :

Sécurisation des transactions commerciales Page |1

ou les séquences des messages échangés sans risquer d’être

 Entraver le truquage des pièces ou la génération de messages. Par

exemple, des commerçants ou des centres de traitements peu

scrupuleux ne doivent pas être capables de réutiliser les

informations bancaires des clients pour générer des commandes

frauduleuses ou se faire payer sans livrer les articles achetés.

Réciproquement, les marchands doivent être protégés contre les

révocations abusives de paiements ou les contestations

malveillantes des commandes

 Satisfaire les conditions légales en vigueur pour valider les contrats

et régler les litiges, notamment en matière de protection du

consommateur et de la vie privée et des modalités d’exploitation des

informations obtenues sur les clients à des fins commerciales, des

intervalles de révocation de paiement, etc.

 Assurer l’accès aux services souscrits selon les contrats établis

avec les fournisseurs

leur localité géographique et ceci en dépit des variations climatiques

Sécurisation des transactions commerciales Page |2

La sécurisation des échanges du commerce électronique consiste à

utiliser des fonctions mathématiques pour brouiller le texte initial avant

sa transmission. Ce texte devra être restitué sous sa forme initiale

après réception par le destinataire authentique. La sécurisation

comporte les services suivants :

 La confidentialité des messages : interdire la connaissance

par un tiers non autorisé

 L’intégrité des données : donner la preuve que le message n’a

pas été altéré entre l’expédition et la réception

 L’identification des participants : vérifier la relation entre des

caractéristiques individuelles (par exemple, des mots de

passes ou des clés de chiffrement) et les individus, afin de

contrôler l’accès aux ressources du réseau ou aux services

 L’authentification des participants : l’identité de l’expéditeur

peut être vérifiée. L’authentification est nécessaire pour

Sécurisation des transactions commerciales Page |3

autorisées dont l’identité a été dûment authentifiée peuvent

avoir accès aux ressources protégés

 La non-répudiation : fournir la preuve de l’intégrité des

données et de leur origine d’une manière irréfutable par

l’expéditeur ou sa réception par le destinataire.

3.2. Etymologie et vocabulaire

Le mot cryptographie vient des mots en grec ancien kruptos (κρυπτός)

« caché » et graphein (γράφειν) « écrire ».

 Chiffrement : transformation à l'aide d'une clé, d'un message en clair

(dit texte clair) en un message incompréhensible (dit texte chiffré);

 Chiffre : un ensemble de règles permettant d'écrire et de lire dans un

 Cryptogramme : message chiffré ;

 Cryptosystème : algorithme de chiffrement;

 Décrypter : retrouver le message clair correspondant à un message

chiffré sans posséder la clé de déchiffrement ;

Sécurisation des transactions commerciales Page |4

Il y a essentiellement deux types de cryptographie :

1) La cryptographie à clé secrète ou cryptographie symétrique

C’est la plus ancienne.