Cours de

E-Commerce

1
 Chap.1 Contexte du Commerce Electronique

Chapitre 1 Contexte du Commerce Electronique

1. Introduction et Motivation
1.1. Définition du CE
Le commerce électronique décrit le processus d’achat, de vente de biens et de services et
d’échange d’informations par le biais de réseaux de communication y compris l’internet. Le
commerce électronique concerne non seulement les entreprises mais aussi les particuliers.

1.2. Les Xnets

Le commerce électronique ne se limite pas au seul réseau Internet. Dans le cadre du commerce
inter-entreprises, on utilise l’extranet comme réseau pour l’échange électronique de données
(Electronic Data Interchange).

Les Xnets

• Internet est un système mondial d'interconnexion de réseau informatique, utilisant un

ensemble standardisé de protocole de transfert de données. C'est donc un réseau de
réseaux, sans centre névralgique, composé de millions de réseaux aussi bien publics,
privés, universitaires, commerciaux et gouvernementaux. Internet transporte un large
spectre d'information et permet l'élaboration d'applications et de services variés comme
le courrier électronique, la messagerie instantanée et le World Wide Web.

2
 Chap.1 Contexte du Commerce Electronique

• Un extranet est une extension du système d'information de l'entreprise à des partenaires

situés au-delà du réseau. L’accès à l’extranet se fait via Internet, par une connexion
sécurisée avec mot de passe dans la mesure où cela offre un accès au système
d'information à des personnes situées en dehors de l'entreprise. L’extranet est donc en
général un site à accès sécurisé qui permet à l’entreprise de n’autoriser la consultation
d’informations confidentielles qu’à certains intervenants externes comme à ses
fournisseurs, ses clients, aux cadres situés à l’extérieur de l’entreprise, aux
commerciaux, etc. Un extranet n'est ni un intranet, ni un site internet. Il s'agit d'un
système supplémentaire offrant par exemple aux clients d'une entreprise, à ses
partenaires ou à des filiales, un accès privilégié à certaines ressources informatiques de
l'entreprise.
• Un intranet est un réseau informatique utilisé à l'intérieur d'une entreprise ou de toute
autre entité organisationnelle utilisant les techniques de communication d'Internet (IP,
serveurs HTTP).
1.3. Pourquoi le CE maintenant ?
• Convergence des technologies : du côté software, il n’y a pas de contrainte sur le client
car n’importe quel navigateur peut se connecter au serveur web de l’entreprise. De plus,
l’entreprise doit être informatisée pour pouvoir intégrer les applications intervenant au
commerce électronique. Du côté hardware, on peut connecter des différents matériels.
• Existence des réseaux de communication : en effet, les technologies Web ont été
largement développées.
• Facilité d’usage : l’interface utilisateur est facile à manipuler (c.à.d le navigateur). Il est
à noter que toutes les applications doivent coopérer ensemble pour pouvoir réaliser le
projet commercial.

Les services Internet

3
 Chap.1 Contexte du Commerce Electronique

1.4. Architecture du Web

Architecture du Web
Le serveur web crée un cookie sur le disque dur du client. Il est envoyé en tant qu'en-tête HTTP
par le serveur web au navigateur web qui le renvoie inchangé à chaque fois qu'il accède au
serveur. Un cookie peut être utilisé pour une authentification, une session (maintenance d'état),
et pour stocker une information spécifique sur l'utilisateur, comme les préférences d'un site ou
le contenu d'un panier d'achat électronique.

2. Les modèles du CE
Le CE se déroule essentiellement entre entreprises et particuliers mais les interventions se
diffèrent. En effet, on trouve :

• B2C « Business to Consumer »

Il concerne l'utilisation de supports électroniques pour tout ou partie des relations
commerciales entre une entreprise et les particuliers notamment la présentation de
catalogue les commandes en ligne, le paiement électronique, la publicité en ligne, les
promotions en ligne …
• B2B «Business to Business»
Il concerne les applications numériques liées aux relations entre plusieurs entreprises ou
les services d’une même entreprise tels les que les achats de matière première de
produits semi-finis, les prestations de services, la sous-traitance de la fabrication d’un
produit fini, la coordination de plusieurs activités de recherche et développement
dispersés géographiquement …
• B2G “Business to Government”

4
 Chap.1 Contexte du Commerce Electronique

Il concerne l’échange numérique de données entre des entreprises et des administrations

tels que les déclarations d’impôts ou de douane et la consultation de certains documents
administratives tels que les procédures d’import export.

Il faut noter que ces modèles peuvent être interdépendants, la mise en œuvre d'un projet
e-business correspond généralement à une combinaison de ces différents modèles avec un
modèle de base complété secondairement par d'autres modèles. Par exemple, la réalisation
d'un projet B2C amènera souvent à adopter un modèle B2B pour le réapprovisionnement de
certains produits.

3. Les facteurs de réussite du CE

Il est nécessaire de prendre en compte les facteurs clés de réussite suivants :

• Proposer un catalogue complet : Ne mettre en ligne que quelques produits ou

prestations, c’est comme si on ne remplissait que la moitié des rayons dans une boutique
classique. Il y a alors de grandes chances que l’internaute ne revienne pas.
• Rassurer les clients : La confiance est un passage obligé pour que le e-client ait envie
de passer sa commande. Il faut absolument que les informations restent confidentielles
et que le système de paiement soit parfaitement sécurisé.
• Proposer un site ergonomique : Rien ne sert de retenir trop longtemps le client avec
un menu trop copieux ou contraignant. Particulièrement exigent et pressé, tout
cyberacheteur fait en général le tour de la concurrence. Il doit donc pouvoir trouver ce
qu’il souhaite rapidement et précisément.
• Fidéliser le client : Un client est plus facile à fidéliser qu’à trouver. Les statistiques
montrent d’ailleurs que les acheteurs en ligne sont des clients fidèles. Avec une bonne
politique de fidélisation, ceux-ci ne vous quitteront pas facilement lorsque la
concurrence arrivera à son tour sur le net. Il s’agit donc de mener une politique de
promotion offensive (prix intéressants, réductions sur les nouveautés, programme de
fidélisation alléchant…)
• Faire de la pub en ligne : La modestie ne paye pas sur le net. Il faut acheter de l’espace
en ligne, notamment sous forme de bandeaux publicitaires interactifs communicant un
message clair et attrayant. Pour être vu, le bandeau doit être léger et répondre à une taille
standard.
• Se bouger en permanence : L’internaute est un consommateur à part qui veut trouver
sur le site visité de la qualité, de l’originalité, du choix et de la séduction. L’austérité, la
banalité ou la présence de produits ordinaires le feront fuir à coup sûr vers la
concurrence. Il faut donc rechercher à améliorer sans cesse l’attraction du site et/ou à
renouveler son contenu, afin de le faire revenir le plus souvent possible.

4. Les avantages et les inconvénients du CE

4.1. Les avantages pour l’entreprise
• Réduire les coûts.
• Faciliter l'échange d'informations.

5
 Chap.1 Contexte du Commerce Electronique

• Travail collaboratif.
• Accroître la productivité et les ventes.
• Développer de nouveaux marchés; de nouveaux horizons
• Vecteur d’expansion géographique: Hausse des ventes et clientèle étrangère •
Désintermédiation et accès direct aux marchés.
• Décloisonnement et marché global.
• Favorisation de l’interactivité en développant une relation personnelle avec le
consommateur ou le client, facilitant la vente « one to one » (personnalisée) et le
sur-mesure.
• Permission d’envisager des politiques de fidélisation du client à travers une offre de
services et à forte valeur ajoutée.
• La possibilité de réduire les prix publics des produits en éliminant la marge laissée
habituellement aux intermédiaires, comme certains coûts de structure.

4.2. Les avantages pour le client

• Le e-commerce est un extraordinaire outil de pré-sélection ; les cyberconsommateurs ont
un accès immédiat et permanent (24 heures par jour) à des informations détaillées
concernant les prix et les caractéristiques d’un grand nombre de fournisseurs.
• Les acheteurs potentiels ne subissent pas de pression de la part des vendeurs puisqu’ils
ne sont pas en contact direct avec eux.
• Un marché aux puces à l’échelle mondiale ;
• Un gain de temps ; il facilite les transactions en évitant à l’acheteur de se déplacer (donc
lui faire gagner du temps et baisser la pollution et la consommation du carburant) tout en
lui offrant un service identique et confortable.
• Une offre actualisée de produit (on trouve les derniers modèles).

4.3. Les inconvénients pour l’entreprise

• L’incertitude et le manque de confiance autour de la sécurisation des moyens de
paiement, malgré le fait que dorénavant les méthodes de cryptage de données assurent
une confidentialité quasi parfaite lors de la transaction.
• La résistance des intermédiaires (grossistes, distributeurs) qui craignent une destruction
d’emplois assortie d’une perte de chiffre d’affaires.
• Certains produits tels que les biens alimentaires périssable et les vêtements de haute
gamme et les accessoires de luxe ne peuvent pas être vendus en ligne car le
consommateur a besoin de les examiner avant de les acheter.
• L’insuffisance du taux d’équipement des ménages en ordinateurs et d’accès à l’internet
dans certains pays en développement constitue un frein important au développement de
commerce électronique
• Rien ne permet de garantir les couleurs du Web les couleurs différent selon le type
d'ordinateur, le type de l'écran, les réglages de l'écran et son âge.

6
 Chap.1 Contexte du Commerce Electronique

4.4. Les inconvénients pour le client

• Le pistage informatique à partir des cookies, c'est-à-dire ces petits fichiers qui identifient
l’ordinateur appelant de façon unique afin pouvoir retracer toutes les habitudes d’appel
et de consommation.
• L’insécurité des paiements et la peur de tomber sur un cybermarchand mal honnête qui
ne livre pas.
• Le manque de relations humaines et le sentiment d’isolement devant sa machine (cas des
Internautes peu expérimentés).
• Le manque de contact avec le produit.
• Les coûts de téléphone.
• Les détails et tarifs de livraison.
• Le matraquage publicitaire à travers l’émail

7
 Chapitre 2 La conception d’un site marchand
Objectifs

Public visé

Contenu Visuel Fonctionnel

1. Fixer les objectifs : pourquoi ce site web ?

Cette phase doit précéder le choix de design et de l'organisation du site car les pages web doivent
être écrites pour remplir les objectifs et pas le contraire.

1.1. Objectif stratégique

• être présent sur le web.
• tromper la concurrence à travers la maximation du trafic de la clientèle sur
le site.
• Recueillir certaines informations sur les clients en vue de mieux connaitre leurs
attentes et de mieux les cibler par des offres commerciales.

1.2. Objectif marketing

• Publier des informations sur l’entreprise et ses activités en vue d’améliorer
son image et de favoriser des contacts commerciaux avec des intermédiaires
ou des clients.
• Offrir des promotions et des nouveautés.

1.3. Objectif commercial

• Passage de la vente à l’échelle nationale vers la vente à l’échelle mondiale.
• Approvisionnement plus efficace.
• Augmenter la qualité de services et le support client (assistance clientèle,
service après-vente).

2. Le public visé : à qui je m’adresse ?

Le public en fonction de l’objectif :
• internaute expert : c’est un internaute qui a l’habitude de naviguer.
• internaute spécifique : c’est un internaute ayant un âge précis, d’un pays spécial,
d’éthique différente, ayant un budget fixé….
Le public en fonction de la visite :
• visiteur passager c.à.d occasionnel.
• visiteur fidèle.
 Chap.2 Une Démarche de Conception d’un Site Marchand

3. Le contenu : quelles informations je place sur le site ?

Il s’agit de l’aspect informationnel et rédactionnel. Le contenu dépend du public visé. Par
exemple, si le site vise les clients fidèles (qui connaissent bien l’entreprise), alors il est inutile
de placer les informations de localisation et de l’historique de l’entreprise.

On distingue deux parties pour le contenu : l’architecture frontale (« front office ») et

l’architecture navigationnelle (« back-office »).

3.1. Le front-office
C’est le découpage du contenu en des sections. Il s’agit de décider pour chaque rubrique le
nombre de pages associées. Donc, la projection de la structure thématique (thème, sous-
thème,..) en pages donne la structure frontale.

Il faut essayer de séparer le contenu en sections en gardant en mémoire les objectifs à réaliser,
et en plaçant dans la même section les informations qui se rapportent aux mêmes sujets. Parfois
les objectifs et les sections sont fort semblables.

Par exemple pour une librairie en ligne, l'objectif de vente en ligne des livres peut être associé
à une section commande de livres. Dans cette phase il faut se faire une idée de ce que l'on va
décrire dans les pages. Par exemple les sections du site marchand d’un commerçant de
chaussures pourraient être:
• Accueil et présentation générale de l’entreprise
• Catalogue de produit pour homme
• Catalogue de produit pour femme
• Commande en ligne
• Contacts commerciaux.

Il ne faut pas se préoccuper de l'ordre des étapes ou de la manière dont on va permettre le

passage d'une section à une autre. Il faut juste lister les choses que l'on veut décrire dans les
pages. On peut définir autant de sections que l'on veut mais il faut essayer de garder chaque
section dans une taille raisonnable. Si une section est trop grande, il vaut mieux la séparer en
sous sections. Par exemple, si la gamme de produit est trop large, faire une section pour chaque
ligne de produit.

Certaines critères permettent de diviser le site en pages tels que :

• la taille du fichier.
• l’homogénéité de l’information
Il existe des modèles pour le front-office, à savoir : la structure séquentielle ou linéaire, la
structure linéaire avec alternatives, la structure hiérarchisée et la structure en réseau ou web.

3.1.1. La structure séquentielle/linéaire

Ce modèle est assez similaire à la manière dont on parcourt les documents imprimés. Dans un
modèle linéaire, le home page est le titre ou l'introduction et chaque page suit séquentiellement.
Dans un modèle linéaire strict, il y a des liens pour aller d'une page à l'autre, en général à la
page suivante et à la page précédente. Un contexte linéaire est très rigide et limite la liberté du

9
 Chap.2 Une Démarche de Conception d’un Site Marchand

lecteur pour explorer et la vôtre pour présenter l'information. Cette structuration est néanmoins
très intéressante pour mettre en ligne des sujets qui sont très linéaires comme des livres, des
instructions pas à pas, etc.

3.1.2. La structure linéaire avec alternatives

Ce modèle permet d'assouplir la rigidité du modèle linéaire en autorisant le lecteur à dévier du
chemin principal à certains endroits. Ce modèle convient bien, par exemple, pour l'explication
d'une procédure d'installation d'un produit dont toutes les étapes, sauf une, sont identiques. Le
cheminement est identique jusqu'au moment où il diffère pour une plate-forme : l'utilisateur
doit alors choisir l'étape suivante qui convient à sa plate-forme. Une fois la spécificité traitée,
l'utilisateur est renvoyé vers la partie commune de l'installation.

3.1.3. La structure hiérarchisée

Le modèle hiérarchisé
C'est probablement le modèle le plus logique pour structurer un site. Ce type de structuration
est particulièrement adapté à des systèmes d'aide en ligne. On doit d'abord faire un choix parmi
des sujets génériques puis, plus on avance, plus les sujets deviennent particuliers. Dans une
structure hiérarchique, il est facile de s'y retrouver car les choix sont limités. On peut aller un
niveau au-dessus pour des sujets plus génériques ou un niveau en dessous pour des sujets plus
détaillés. Il est intéressant de fournir un lien vers le menu principal, de façon à ce que le lecteur
puisse retourner rapidement à un endroit connu. Dans cette organisation, le home page fournit
une vue d'ensemble du contenu accessible via des liens. Il faut éviter d'inclure trop de niveaux
et trop de choix ; 2 ou 3 niveaux sont un bon nombre. Trop de pages de menu conduisent au
"voice mail syndrome", c'est-à-dire qu'après avoir dû choisir parmi trop de niveaux, le visiteur
a oublié la raison de sa visite.

3.1.1. La structure réseau/web

Un WEB est un ensemble de documents avec peu ou pas de structure. La seule chose qui lie les
pages entre elles, c'est un lien. Le lecteur passe de document en document en suivant les liens
environnants.

10
 Chap.2 Une Démarche de Conception d’un Site Marchand

Le modèle web
Les structures WEB permettent au visiteur d'errer dans le site ; elles sont idéales quand on veut
encourager le visiteur à naviguer sur le site. Un exemple d'utilisation de cette structure pourrait
être un ensemble de chambres virtuelles. Dans ce contexte, chaque page est organisée de façon
à correspondre à une location (une pièce) et de cette location on peut se déplacer dans
différentes directions pour explorer les environs comme on passe de pièce en pièce dans un
building. Le problème avec ce type d'organisation, c'est qu'il est facile de se perdre. Sans aucune
structure du contenu, il est difficile de se représenter les relations entre l'endroit où l'on se trouve
et l'endroit où on va aller. Ce type de structure est très désorientant quand le visiteur a un objectif
en tête. Pour solutionner le problème on peut soit prévoir sur chaque page un lien vers le home
page soit inclure une carte du site avec une indication de la position du visiteur dans la structure
(comme les flèches vous êtes ici dans les grands immeubles par exemple).

3.2. Le back-office
C’est la façade arrière du site, par exemple la sauvegarde des paramètres d’authentification
(login et mot de passe) d’un client passager est inutile). Il s’agit de distinguer entre pages
statiques et pages dynamiques, de créer la BD, de développer les scripts…

Pour distinguer entre page statique et page dynamique, on se base sur :

• la durée de vie de l’information, si elle est courte, alors l’information change souvent et
donc c’est une page dynamique.
• la fréquence de l’information :
• la puissance du serveur : si le serveur n’est pas puissant alors la page est statique (exp :
les FAQ)
• le mode du serveur : s’il est en mode différé alors il fait l’actualisation des informations
des pages statiques quand la charge est basse.

11
 Chap.2 Une Démarche de Conception d’un Site Marchand

4. L’aspect visuel
Il s’agit de définir l’identité du site. L’aspect visuel comprend :

• les images et les photos des produits pour former le catalogue et pour présenter le local
de l’entreprise.
• Une séquence vidéo est nécessaire si le client a besoin de regarder le produit de tous les
côtés et pour bien présenter les caractéristiques techniques du produit.
• Il est conseillé de présenter des graphiques montrant bien le résultat d’une statistique.

5. L’aspect fonctionnel
Il touche au fonctionnement du site, par exemple la taille réduite d’un fichier texte (<30 ko)
assure la rapidité du téléchargement.

12
 Chapitre 3 La Sécurité dans le Commerce Electronique

1. Concepts de base
La sécurité informatique est un ensemble de tactiques retardant l’accès non autorisé à des
données.

Politique de sécurité : énumérer ce qui est autorisé

exp : Le marchand veut vendre seulement pour les clients qu’il connait

Services de sécurité : qu’est-ce qu’on garantie ?

Mécanismes : par quels moyens on assure ces services

1.1. Les services de sécurité

• Authentification : lors de l'envoi d'un message ou lors de la connexion à un système,

on connaît sûrement l'identité de l'émetteur ou l'identité de l'utilisateur qui s'est connecté.
• Confidentialité : assure que seulement les personnes autorisées peuvent comprendre
les données protégées (Confidentialité de données). De plus, elle assure de cacher le fait
qu’il y a une communication (Confidentialité de communication).
• Intégrité : on a la garantie qu'un message expédié n'a pas été altéré, accidentellement
ou intentionnellement.
• Non-répudiation : assure qu’une personne ne peut pas refuser d’avoir effectué une
opération sur des données, c.à.d l’émetteur ne peut pas nier sa responsabilité d’envoi du
message.
• Contrôle d’accès : le site marchand dispose des ressources aidant au bon
fonctionnement de son application du e-commerce. Le contrôle d’accès assure que
seulement des personnes autorisées peuvent accéder à des ressources protégées.

1.2. Les menaces contre le CE

Les menaces peuvent attaquer différents niveaux, à savoir :

• contre le réseau interne (l’intranet de l’entreprise),

• contre les serveurs TCP/IP de l’internet (l’infrastructure du réseau mondial, exp :
programmer TCP/IP de façon que l’@source=@destination et donc le serveur entre
en boucle infinie d’où la surcharge du serveur).
• contre la transmission de données (transmission avec
erreurs)
• contre la disponibilité (le serveur du marchand sera non accessible) Les menaces

contre le CE sont :
 Chap.3 La Sécurité dans le Commerce Electronique

• l’usurpation d’identité,
• l’interception de données,
• la modification de données,
• la répudiation et
• l’accès non autorisé.

1.3. Les mécanismes de sécurité

Les mécanismes de sécurité sont les moyens techniques permettant d’assurer les services de
sécurité. Parmi les mécanismes, nous citons :

• la cryptographie
• la signature digitale
• le certificat électronique

Il est à noter qu’il existe trois niveaux de sécurité, de données, de transactions et du réseau.

• sécurité de données et des transactions : assurer la « privacy » et la confidentialité des

messages électroniques et les paquets de données, ceci inclut le cryptage de données en
utilisant diverses méthodes de cryptage.
• sécurité client/serveur : assurer que uniquement les personnes permises accèdent aux
ressources du réseau ou au contenu des serveurs web, ceci inclut la protection des mots
de passe, l’utilisation de « encrypted smart cards » et firewalls.

2. La sécurité des données

La cryptographie est la contribution la plus forte dans le domaine de sécurité de des données.
D’autres mécanismes sont apparus mais ils se basent sur le principe de cryptage.

2.1. La cryptographie
➢ Une méthode de cryptage et décryptage est appelée un chiffrement.
➢ Généralement on a 2 fonctions liées : une pour crypter et l’autre pour décrypter.
➢ Quelques méthodes de cryptage se basent sur des algorithmes secrets.
➢ Tous les algorithmes modernes utilisent une clé pour contrôler le cryptage et le
décryptage.
➢ Il existe trois types d’algorithmes de cryptage : symétrique, asymétrique et hybride.

14
 Chap.3 La Sécurité dans le Commerce Electronique

2.1.1. Algorithmes symétriques

Cryptage symétrique

Cryptage symétrique
Cette méthode est la plus simple à comprendre : si un expéditrice (A) veut envoyer un message
chiffré à un destinataire (B) elle doit lui communiquer un mot de passe (Clé). Comme
l'algorithme de chiffrement est symétrique, on a la relation suivante :

Message Codé = Chiffrement (Clé, Message)

✓ algorithme simple et rapide.

 problème d’échange de la clé.
 la clé est sauvegardé sur pc donc risque de piratage de la clé. Exemples des

algorithmes : DES, RC4, IDEA, Blowfish…

2.1.2. Algorithmes asymétriques

Cryptage asymétrique
Cette méthode fait appel aux mathématiques. La propriété des algorithmes asymétriques est
qu'un message codé par une clé publique n'est lisible que par le propriétaire de la clé privée
correspondante. A l'inverse, un message chiffré par la clé privé sera lisible par tous ceux qui
possèdent la clé publique. Ainsi la clé privée d’Anne permet de prouver qu'elle est l'auteur d'un
message, alors que sa clé publique préservera le contenu du message à destination d'Anne car
il ne sera lisible que par celle-ci.

✓ Meilleure gestion de clés.

✓ divination de clé plus difficile.
✓ plus lent, plus complexe.

Exemples d’algorithmes : RSA, Diffie-Hellman, El Gamal,…

2.1.3. Algorithmes hybrides

En pratique, le cryptage asymétrique est utilisé pour sécuriser et distribuer la clé de session.
Cette clé est utilisée avec un cryptage symétrique pour la communication.

1. L’expéditeur génère une clé de session aléatoire, la crypte en utilisant la clé publique
du receveur et l’envoie.
2. Le receveur décrypte le message avec sa clé privée pour retrouver la clé de session.

15
 Chap.3 La Sécurité dans le Commerce Electronique

3. Les deux cryptent/décryptent leurs communications en utilisant la clé de session.

4. Les partenaires se mettent d’accord sur une nouvelle clé temporairement.
5. La clé est détruite à la fin de la session.

✓ Le problème d’échange de clé est résolu par un algorithme asymétrique.

✓ Le problème de gestion de clé est résolu par la notion de « session » donc on n’a pas
besoin de stocker la clé.

2.2. Signature digitale

Une signature digitale est un protocole qui produit le même effet qu’une signature réelle. Elle
est une marque que seul l’expéditeur peut faire. Les autres personnes peuvent facilement
reconnaître qu’elle appartient à l’expéditeur (grâce à la fonction de vérification).

Les signatures digitales doivent être :

• non forgeables (non reproduites) : si P signe un message M avec sa signature S(P,M), il

est impossible pour les autres de produire le même pair [M, S(P,M)].
• authentiques : R recevant la paire [M, S(P,M)] peut vérifier que la signature est
réellement de P.
1. Dans un algorithme symétrique, le fait que la clé est secrète garantit l’authentification.
Mais ceci n’élimine pas la possibilité de forger la clé. De plus, il n’y a pas de protection
contre la répudiation (nier l’envoi du message). → on a besoin d’un arbitre pour
éliminer la possibilité de forger la clé.
2. L’algorithme asymétrique est idéal pour la signature digitale (on a l’inverse : cryptage
avec clé privé/décryptage avec clé publique).

Pour signer un message :

• L’émetteur utilise sa clé privée pour crypter le message avec sa signature.

• Le receveur peut vérifier la signature en utilisant la clé publique de l’émetteur.
• Donc uniquement l’émetteur qui a pu signer le message puisque sa clé privée appartient
à lui seul → authentification + non répudiation.
• Le receveur sauvegarde le message et la signature pour toute vérification future.

Scénario de la signature digitale : (envoyer un message M)

1. L’émetteur crypte le message avec sa clé privée, il obtient la signature S.

2. Il crypte le couple (M,S) avec la clé publique du receveur, il obtient le message M1 à
envoyer.
3. Il envoie le message M1.
4. Le receveur décrypte M1 avec sa clé privée pour obtenir le couple (M,S).
5. Il décrypte S avec la clé publique de l’émetteur pour obtenir un message M.

16
 Chap.3 La Sécurité dans le Commerce Electronique

6. Le receveur compare le message M qu’il a reçu dans le couple (M,S) avec le message
M qu’il a trouvé. S’ils sont égaux alors il accepte le message, sinon il le rejette.

2.3. Le certificat électronique

Dans une transaction électronique l’expéditeur d’un message a besoin de s’assurer de la validité
de l’identité réclamé par son destinataire par exemple un acheteur de CD sur internet doit vérifier
qu’il a envoyé son virement électronique à un commerçant et non pas à un pirate qui aurait usurpé
son identité. Afin de prouver leur identité aux acheteurs les commerçants utilisent un certificat
numérique qui joue le rôle d’une pièce d’identité numérique.

Scénario du certificat électronique :

1. Pour obtenir ce certificat chaque entreprise doit envoyer à une autorité de certification
(certification authority CA tels que Vérisign, KPMG…) différentes informations lui
concernant (dénomination sociale, adresse, émail, activité, clé publique..)
2. Puis l’autorité de certification vérifie les informations fournies et ajoute au certificat
son propre nom, une date limite de validité, et surtout une signature numérique. Le
format des certificats est défini par le standard X509v3.
3. Le certificat numérique est signé par la clé privé de l’organisme de certification et
remis au demandeur sous forme d’un fichier qu’il peut stocker dans le disque dur de son
PC ou sur une carte à puce ou un USB.
4. L’organisme de certification publie le certificat décodé sur son annuaire.
5. Lorsque l’entreprise certifié souhaite prouver son identité à son destinataire, elle lui
envoie son certificat.
6. Le destinataire déchiffre le certificat avec la clé public de l’organisme de
certification et la compare avec la version disponible dans l’annuaire de CA lorsque
l’expéditeur et le destinataire s’authentifient avec leurs certificats numériques ils
peuvent communiquer avec des protocoles sécurisées tels que SSL (Secure sockets
layer) et S –http.

3. La sécurité des transactions

La sécurité de transaction concerne trois services :

• L’authentification : le serveur est confiant de l’identifiant des clients qu’il communique

avec. (méthode commune : login + pwd)
• La privacy et la confidentialité : la conversation du client avec le serveur est privée.
(méthode commune : cryptage)
• L’intégrité du message : la conversation du client est non modifié. (cryptage puis
signature digitale)

3.1. S-HTTP
L'HyperText Transfer Protocol, plus connu sous l'abréviation HTTP — littéralement «
protocole de transfert hypertexte » — est un protocole de communication client-serveur
développé pour le World Wide Web. HTTPS (avec S pour secured, soit « sécurisé ») est la
variante du HTTP sécurisée par l'usage des protocoles SSL ou TLS.

17
 Chap.3 La Sécurité dans le Commerce Electronique

HTTP est un protocole de la couche application. Il peut fonctionner sur n'importe quelle
connexion fiable, dans les faits on utilise le protocole TCP comme couche de transport. Un
serveur HTTP utilise alors par défaut le port 80 (443 pour HTTPS utilisé avec SSL).

Les clients HTTP les plus connus sont les navigateurs Web permettant à un utilisateur d'accéder
à un serveur contenant les données. Ces clients se connectent à des serveurs HTTP tels
qu'Apache HTTP Server.

Il est à noter que le S-http est une révision de http pour incorporer différents formats de message
cryptés sur client et serveur web essentiellement au niveau de la couche d’application.

✓ Les adresses IP source et destination ne sont pas cryptés, donc on connaît les
machines (identifiées par les adresses IP) qui sont en cours d’interaction → Pas de
confidentialité de communication.
✓ De plus le numéro de port est connu donc on connait l’application en cours d’exécution.

3.2. SSL
Transport Layer Security (TLS), anciennement nommé Secure Sockets Layer (SSL), est un
protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape (SSL
version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF
suite au rachat du brevet de Netscape par l'IETF en 2001.

Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS. SSL est utilisé
au niveau session.

✓ Il crypte les adresses IP d’où la confidentialité de communication.

✓ Il crypte le numéro de port, donc l’application en cours d’exécution est inconnue.
• Problème d’acheminement du paquet par les routeurs puisque l’adresse IP qu’il doit
chercher dans sa table de routage est illisible.
✓ la solution est de configuer les routeurs de façon qu’ils seront capables d’extraire
l’adresse IP en clair (par décryptage).

3.3. SET
SET (Secure Electronic Transaction) est un protocole de sécurisation des transactions
électroniques mis au point par Visa et MasterCard, et s'appuyant sur le standard SSL.

SET est basé sur l'utilisation d'une signature électronique au niveau de l'acheteur et une
transaction mettant en jeu non seulement l'acheteur et le vendeur, mais aussi leurs banques
respectives.

Fonctionnement de SET

Lors d'une transaction sécurisée avec SET, les données sont envoyées par le client au serveur
du vendeur, mais ce dernier ne récupère que la commande. En effet, le numéro de carte bleue
est envoyé directement à la banque du commerçant, qui va être en mesure de lire les
coordonnées bancaires de l'acheteur, et donc de contacter sa banque afin de les vérifier en temps
réel.

18
 Chap.3 La Sécurité dans le Commerce Electronique

Fonctionnement du SET
Ce type de méthode nécessite une signature électronique au niveau de l'utilisateur de la carte
afin de certifier qu'il s'agit bien du possesseur de cette carte.

Comparaison entre SET et SSL

Son champ d'application se réduit au chiffrement des seules données bancaires, contrairement
à SSL qui peut chiffrer les images et le texte. Le protocole SET implique trois parties : le client,
le vendeur et la banque du vendeur. Ce système SET requiert des certificats auprès des trois
parties. Les certificats du client et du vendeur sont fournis par leur banque respective après quoi
la transaction commerciale peut avoir lieu. Avec le SET, le numéro de carte bancaire peut ne
pas être connu du vendeur, donc ne sera pas stocké dans ses fichiers et être récupéré par une
personne mal intentionnée. Le SET assure en principe une transaction de non répudiation, mais
cette clause peut varier d'un pays à l'autre suivant la législation en vigueur.

Si le SSL et le SET assurent chacun un haut degré de confidentialité, seul le SET permet une
pleine identification réciproque des deux parties grâce à un tiers de confiance, en l'occurrence
la banque du vendeur. Ainsi, elle s'assure que la carte est bonne et qu'elle n'a pas été volée.
3.4. VPN
Le réseau privé virtuel (Virtual Private Network ) est vu comme une extension des réseaux
locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Il
correspond en fait à une interconnexion de réseaux locaux via une technique de « tunnel »
(canal sécurisé grâce au chiffrement des messages). On parle de VPN lorsqu'un organisme
interconnecte ses sites via une infrastructure partagée avec d'autres organismes.

4. La sécurité des réseaux

Il existe deux approches différentes :

• les moyens classiques.

• la nouvelle tendance.

19
 Chap.3 La Sécurité dans le Commerce Electronique

4.1. Les moyens classiques

4.1.1. Les réseaux privés

On distingue deux types :

• un réseau privé :
o non reliés à Internet : donc pas d’accès à Internet.
o des serveurs terminaux privés (établissement d’une liaison directe avec le
partenaire→ pb non faisable car cette solution est limitée par les contraintes
juridique, géographique…).

4.1.2. Services cachés

On cache notre site à travers le renommage de la page d’accueil pour éviter le référencement
par les moteurs de recherche (par exemple nommer « ventes.html » au lieu de « index.html »)
→ pb : le site ne sera pas accessible par tout le monde. sol : il faut donner l’url complète aux
clients.

4.1.3. Code d’accès et mots de passes.

4.1.4. La journalisation
Le concept d'historique des événements ou de logging désigne l'enregistrement séquentiel dans
un fichier ou une base de données de tous les événements affectant un processus particulier
(application, activité d'un réseau informatique…). Le journal (en anglais log file ou plus
simplement log), désigne alors le fichier contenant ces enregistrements. Généralement datés et
classés par ordre chronologique, ces derniers permettent d'analyser pas à pas l'activité interne
du processus et ses interactions avec son environnement. pb :
le fichier est de taille importante ce qui rend la tâche de détection de menace difficile pour
l’administrateur réseau.

4.2. Les nouvelles tendances

Afin de sécuriser l’intranet de l’entreprise qui contient des ressources matérielles et logicielles
(serveur web, serveur de données, imprimantes,...), il est nécessaire de contrôler le trafic réseau
de l’intranet vers l’internet et inversement.

Parmi les moyens nouveaux de sécurité, on cite :

• le serveur proxy.
• le firewall : logiciel et matériel.

20
 Chap.3 La Sécurité dans le Commerce Electronique

4.2.1. Serveur proxy

La plupart des réseaux domestiques ou de bureau de petite taille utilisent une connexion au
réseau par accès distant ou par modem pour se connecter à un fournisseur de services Internet,
qui les connecte alors à Internet. Ce fournisseur de services Internet affecte une adresse IP
unique à chaque réseau pour le connecter à Internet. En outre, chaque ordinateur d'un réseau
doit disposer d'une adresse IP pour établir des connexions à Internet. Au lieu d'utiliser des
adresses IP distinctes pour chaque ordinateur, il est plus économique d'utiliser une même
adresse IP pour plusieurs ordinateurs. Un serveur proxy est un composant de pare-feu qui
permet de connecter plusieurs ordinateurs en réseau à Internet avec une même adresse IP.

Les serveurs proxy remplissent deux fonctions principales : amélioration des performances du
réseau et filtrage des demandes des ordinateurs clients.

• Amélioration des performances

Les serveurs proxy réduisent le temps nécessaire pour répondre aux demandes émises
par des groupes d'utilisateurs. En effet, un serveur proxy met en cache, ou enregistre,
les résultats de toutes les demandes transmises pendant un laps de temps. Si un
utilisateur souhaite afficher de nouveau une page Web déjà demandée, le serveur
proxy lui renvoie simplement cette page, au lieu de transférer sa demande au serveur
Web et de télécharger la même page.
✓ Filtrage des demandes des ordinateurs clients
Les serveurs proxy permettent aussi de filtrer les demandes des ordinateurs clients
pour certaines connexions à Internet. Par exemple, une entreprise peut utiliser un
serveur proxy pour empêcher ses employés d'accéder à un ensemble particulier de
sites Web.

Fonctionnement d'un serveur proxy

Lors de l'utilisation d'un serveur proxy, les ordinateurs du réseau local sont configurés avec
des adresses IP privées. Lorsqu'un ordinateur transmet une demande de connexion à Internet,
il transmet ses données au serveur proxy par le biais du réseau TCP/IP. Le serveur proxy
modifie la demande, insère ses propres nom et adresse IP, laquelle est fournie par le
fournisseur de services Internet, puis envoie les données sur Internet. Lorsqu'une réponse à la
demande est reçue, le serveur proxy la renvoie à l'ordinateur qui est à l'origine de la demande,
par le biais du réseau local.

Le proxy s’exécute à l’intranet, il connait les clients donc il peut les identifier grâce à une table
d’habilitation définissant les droits d’accès des clients.

4.2.2. Le firewall
Tout réseau connecté à Internet doit transmettre des communications à travers un pare-feu. Un
pare-feu représente la combinaison d'éléments logiciels et matériels qui interdit l'accès non
autorisé à un réseau interne à partir de l'extérieur. Tous les messages du réseau, en entrée ou en
sortie, passent par le pare-feu, qui les examine et bloque ceux qui ne répondent pas aux critères
de sécurité définis. Un pare-feu filtre le trafic qui ne doit pas passer d'Internet à votre réseau
privé, par exemple des messages échangés entre deux ordinateurs sur votre réseau privé.

21
 Chap.3 La Sécurité dans le Commerce Electronique

Le filtrage par firewall

Fonctionnement d'un pare-feu

Un pare-feu empêche toute communication directe entre le réseau et des ordinateurs externes
en routant les communications par l'intermédiaire d'un serveur proxy situé à l'extérieur du
réseau. Le pare-feu détermine s'il n'est pas dangereux de laisser un fichier passer, vers ou depuis
le réseau. Un pare-feu est appelé également passerelle de sécurité.
Une passerelle est un système connecté à plusieurs réseaux TCP/IP physiques, et capable de
router ou de remettre des paquets IP entre eux. Une passerelle assure la conversion entre des
protocoles de transport ou des formats de données différents, par exemple IPX (Internetwork
Packet eXchange) et IP. Elle est principalement ajoutée à un réseau pour ses capacités de
conversion.

3.4.2.2.1 Machine firewall dédiée (Soft)

C’est une machine configurée uniquement pour la sécurité (appelée bastion).

• Les utilisateurs doivent se connecter sur des applications fiables sur le firewall avant
toute autre connexion.
• il faut garder seulement les comptes des utilisateurs qui sont responsables de la
configuration du firewall.
• il faut d’enlever tout fichier exécutable non nécessaire surtout les programmes réseaux
tels que FTP, Telnet… (uniquement le firewall s’exécute)
• Etendre « audit log » et monitoring pour vérifier les accès à distance grâce aux scénarios
modélisant une attaque.
• désactiver « ip forwarding » pour éviter que le firewall transfère des paquets non
autorisés entre internet et intranet.

22
 Chap.3 La Sécurité dans le Commerce Electronique

« ip forwarding » est un service, s’il est actif alors la machine est configurée comme étant un
point de relais (nœud de transmission) qui a pour fonction de faire passer le paquet sans regarder
le contenu.

3.4.2.2.2 Packet screening router (Hard)

La fonction de base d’un routeur est la transmission du paquet à la base des adresses ip source
et destination en consultant sa table de routage.

On va enrichir la fonctionnalité de routage simple par la fonctionnalité de filtrage (le routeur

contiendra une table de routage + règles de filtrage). Les règles de filtrage reflètent la politique
de sécurité adoptée.

Exemple de règles de filtrages :

• basé sur le protocole (TCP, UDP, ICMP)

• basé sur l’adresse IP source
• basé sur le N° de port destination (port 80 donc application Web).
✓ Rapide car c’est du matériel programmé (exécution hard est plus rapide que l’exécution
soft).
 Les règles de filtrage sont difficiles à spécifier (il existe différents besoins).
 Dès le début il faut spécifier presque la majorité des règles de filtrage d’où elles sont
pré-programmées à l’achat. C’est pourquoi il est difficile de changer ces
fonctionnalités.
 Il peut être dupé (trompé) par un client qui comprend les règles de filtrage (par exp : il
change le N° du port TCP).
 Le routeur n’assure pas l’authentification car il ne connaît pas la personne plutôt la
machine. Donc Ali peut se connecter de n’importe quelle machine du réseau et donc il
peut tromper le routeur.  Coûte cher.

23
 Chapitre 4 Le Paiement Electronique

1. Définition
• Le paiement électronique permet la réalisation de la phase financière d’une transaction
commerciale →Le facteur clé de succès du e-commerce.
• Toutes les parties impliquées doivent être sécuritaires en effectuant une transaction
électronique. →La sécurité est fondamentale à la réussite de cette transaction.
• Les banques/maisons de carte de crédit sont réticent à développer des systèmes de e-
paiement gratuits.

Les enjeux du paiement électronique :

• Facilité d'utilisation : l'internaute moyen doit pouvoir acheter simplement, sans procédé
fastidieux à mettre en œuvre.
• Sécurisation des transactions : l'internaute doit pouvoir acheter avec confiance (sécurité
des données nominatives et bancaires)
• Homogénéisation des protocoles: L'achat doit être transparent quel que soit le site
utilisé, et les technologies employées communes

➔Le commerce électronique ne prendra son véritable envol que si l'on développe des modes
de paiement sûrs, facile d'utilisation et accepté du grand public.

2. Les systèmes de paiement électroniques

On distingue essentiellement 4 systèmes de paiement qui sont :

• E-banking
• Le porte-monnaie électronique
• Les cartes de crédit
• Surtaxe Téléphonique

2.1. E-Banking
C’est l’ensemble des opérations bancaires qui s’effectuent sur le web

• Le virement bancaire
• Consultation solde
• …

Pratiquement toutes les banques ont leurs sites e-banking

✓ Pratique et rapidité de l’opération

 Chap.4 Le Paiement Electronique

2.2. Le porte monnaie électronique

Ce mode de paiement relève d’une philosophie différente. Il envisage la mise à disposition d’une
somme d’argent prépayée sur une carte à puce ou sur le disque dur des acteurs.

Le porte-monnaie virtuel est alimenté par l'internaute de façon ponctuelle à partir de sa carte
bancaire, et qu'il utilise ultérieurement pour ses achats. Le porte-monnaie électronique sert
essentiellement à régler les petites sommes qui ne sont pas couvertes par les cartes classiques.

Des systèmes de paiement par sur-taxation de la communication téléphonique pour l’usager sont
également possible.

✓ Les banques ne savent pas ce que les clients ont dépensé et où (anonymat) : Système de
"monnaie en ligne" : vérification de l'authenticité en temps réel par la banque émettrice.
✓ Utilisation de la cryptographie et de signatures numériques authentifiant les utilisateurs
et garantissant contre les risques de sécurité

e-cash

• Type de paiement permettant le stockage d’unités monétaires numériques, réservé aux

petites dépenses.
• une carte de paiement prépayée, où une certaine somme d’argent a été chargée,
permettant le règlement d’une multitude de services.
• Une réserve financière sera donc "stockée" sur le microprocesseur de la carte.
• Le porte-monnaie électronique peut également contenir des jetons à usage unique comme
dans le cas des cartes de téléphone.
• Transaction: ne fait pas intervenir la banque immédiatement. Celui-ci n'est sollicité qu'au
moment où le commerçant souhaite convertir son argent fictif en argent réel.

Caractéristiques :

• Représente une somme d’argent définie : utilisation du numéro de la carte pour effectuer
un paiement.
• Valable uniquement sur les sites qui sont affiliés au gestionnaire des cartes prépayées.
• Utilisation d’un identifiant personnel en plus de numéro de la carte
• Le crédit de la carte est débité une fois que la transaction effectuée.
Les avantages :

✓ Ne nécessite pas d'autorisation de paiement, donc pas de transaction immédiate avec un

système distant.
✓ Son moindre coût le rend intéressant pour des transactions de faible valeur.
✓ idéal pour les distributeurs automatiques, le paiement du téléphone, les services Web à
faible valeur ajoutée.

Il peut être un procédé d'avenir, car son coût décroissant, le rendra rentable à moyen terme. La

monnaie électronique : Fonctionnement

1. L’internaute ouvre un compte chez un fournisseur de monnaie électronique

25
 Chap.4 Le Paiement Electronique

2. Il transfère de l’argent dans ce compte.

3. Quand il fait des achats sur un site marchand, il entre son numéro de compte de monnaie
électronique.
4. L'acheteur reçoit alors des certificats cryptés qu'il envoie avec ses bons de commande.
5. Le site vérifie le certificat en employant la clé publique du client.

• Le site n’a pas d’accès direct au compte bancaire du client.

• C’est le fournisseur du porte-monnaie qui règle le montant des achats.

2.3. Carte bancaire

2.3.1. Définition
Les cartes de paiement ou crédit est une carte plastique, équipée d'une bande magnétique et/ou
puce électronique permettant :

• Le paiement d'achats et prestations de services, auprès de fournisseurs possédant un

«terminal de paiement» pouvant lire la carte et connecté ou non à sa banque. • Les
retraits aux distributeurs de billets,
• Le télépaiement Internet, etc.
• La carte bancaire se caractérise par un BIN (Bank Identification Number) qui permet
d'identifier l’établissement émetteur de la carte.
2.3.2. Utilisation de la carte de crédit

Mécanisme de base de la carte de crédit

1. L’acheteur indique le numéro de la carte de crédit sa date de validité, le nom et prénom
et le code CVV(Card verification Value)
2. Le site marchand vérifie les données auprès de la banque émettrice de la carte.
3. La banque émettrice autorise la transaction et renvoie l’autorisation.

26
 Chap.4 Le Paiement Electronique

4. Si l’autorisation est donnée, les parties en présence (l’acheteur et le commerçant) sont

informées.
5. Le service est alors fourni à l’acheteur.

2.3.3. Gestion clientèle : Segmentation

La segmentation est la distinction entre plusieurs besoins de la clientèle. En effet il existe 4
niveaux comme l’illustre la figure suivante.

Les niveaux de segmentation

A chaque segment peut correspondre une ou plusieurs Cartes.

2.3.4. Avantages
• Pour le Porteur :
✓ Disponibilité des avoirs 24h/24 et 7j/7.
✓ Retrait auprès de tous les GABs.
✓ Paiement auprès des commerçants.
✓ Cash Advance auprès des guichets de banques.
✓ Consultation du solde.
✓ Commodité, discrétion…
• Pour le Commerçant :
✓ Augmentation de son chiffre d affaires en acceptant ce moyen de paiement. ✓
Garantie de paiement.
• Pour la Banque (Agence)
✓ Désengorger le guichet de l’Agence.
✓ Allégement du traitement des opérations de retrait et des coûts y afférents (retrait
déplacé…)
✓ Economie de charge (confection de chèque)
✓ Développer les commissions (cotisation, commission commerçants…) améliorer la
rentabilité

27
 Chap.4 Le Paiement Electronique

✓ Maîtriser le risque (possibilité de modifier les paramètres de fonctionnement…) ✓

Amélioration de la Qualité des Services rendus.
✓ S’occuper de tâches à valeurs ajoutées.
✓ Améliorer la rentabilité ou le compte d’exploitation.

2.3.5. Les fraudes

La Fraude est définie comme l’utilisation de :

• une carte perdue, volée, non délivrée ou contrefaite par un acteur non identifié.
• une carte par son porteur en contradiction avec les clauses du contrat signé.
• Ces fraudes peuvent provenir de fraudeurs isolés ou d’organisations criminelles
internationales.

Les types de fraude sont :

• Cartes perdues / volées : 60 % de la fraude.

• Cartes non reçues : cartes interceptées.
• Contrefaçon : Carte ré-embossée ou ré-encodée, reproduction complète, fausse facturette
(empreinte réutilisée)
• Utilisation frauduleuse d’un N° de carte.
• Autres types de fraudes : le fractionnement.
• Logiciels pirates : sur Internet pour générer automatiquement des numéros de cartes.

3. Les protocoles de paiement électronique

Il y a plusieurs protocoles. Les plus utilisés sont :

• SSL
• SET
• C-SET

3.1. SSL (Secure Socket Layer) Rappel

• Protocole qui garantit l’intégrité et la confidentialité.
• Basé sur une cryptographie à clef publique : dans le paiement sur Internet la clé est 128
bits.
• Aucune vérification de l’identité des parties en présence.

3.2. SET (Secure Electronic Transcation)

• SET utilise le protocole SSL seulement pour le chiffrement des données bancaires.
• L'incapacité à identifier formellement l'acheteur est l'un des principaux points faibles des
solutions SSL.
• Mastercard, Visa, IBM, Microsoft et Netscape ont Développé en 1996 le protocole SET.
• SET permet d'identifier clairement et sûrement l'émetteur du paiement, à la différence de
SSL qui n'identifie que des applications.

28
 Chap.4 Le Paiement Electronique

Fonctionnement :
• Les données bancaires du client sont cryptées avant d’être transmises sur le Net.
• Le commerçant ne reçoit que les détails de la commande.
• Le numéro de carte crédit est envoyé directement à la banque du vendeur qui vérifiera la
validité de la carte avec la banque de l’acheteur.
• Le protocole SET repose sur le système de signature électronique qui nécessite
l´installation d’un logiciel spécifique sur l’ordinateur du client intitulé Wallet.

SET satisfait aux exigences suivantes:

• Intégrité des données (signature numérique)

• Authentification du titulaire de la carte
• Authentification du commerçant
• Confidentialité des données

 Protocole abandonné depuis l'an 2000, car très peu déployé et lourd sur le plan logistique
et organisationnel.

3.3. C-SET
Définition
Le protocole C-SET a été conçu pour pallier l'absence de preuve physique de possession de la
carte de paiement, qui est la faiblesse du SET. Il ajoute aux fondements de SET, qui restent les
mêmes, la présence d'un lecteur de la puce (Chip) de la carte de crédit chez l'internaute.

Fonctionnement

• Validation de la commande et activation du protocole.

• Le client introduit sa CB dans un terminal connecté à son PC.
• Transaction financière effectuée, sécurisée selon le protocole C-SET.

29