Académique Documents
Professionnel Documents
Culture Documents
E-Commerce
1
Chap.1 Contexte du Commerce Electronique
1. Introduction et Motivation
1.1. Définition du CE
Le commerce électronique décrit le processus d’achat, de vente de biens et de services et
d’échange d’informations par le biais de réseaux de communication y compris l’internet. Le
commerce électronique concerne non seulement les entreprises mais aussi les particuliers.
Les Xnets
2
Chap.1 Contexte du Commerce Electronique
3
Chap.1 Contexte du Commerce Electronique
Architecture du Web
Le serveur web crée un cookie sur le disque dur du client. Il est envoyé en tant qu'en-tête HTTP
par le serveur web au navigateur web qui le renvoie inchangé à chaque fois qu'il accède au
serveur. Un cookie peut être utilisé pour une authentification, une session (maintenance d'état),
et pour stocker une information spécifique sur l'utilisateur, comme les préférences d'un site ou
le contenu d'un panier d'achat électronique.
2. Les modèles du CE
Le CE se déroule essentiellement entre entreprises et particuliers mais les interventions se
diffèrent. En effet, on trouve :
4
Chap.1 Contexte du Commerce Electronique
Il faut noter que ces modèles peuvent être interdépendants, la mise en œuvre d'un projet
e-business correspond généralement à une combinaison de ces différents modèles avec un
modèle de base complété secondairement par d'autres modèles. Par exemple, la réalisation
d'un projet B2C amènera souvent à adopter un modèle B2B pour le réapprovisionnement de
certains produits.
5
Chap.1 Contexte du Commerce Electronique
• Travail collaboratif.
• Accroître la productivité et les ventes.
• Développer de nouveaux marchés; de nouveaux horizons
• Vecteur d’expansion géographique: Hausse des ventes et clientèle étrangère •
Désintermédiation et accès direct aux marchés.
• Décloisonnement et marché global.
• Favorisation de l’interactivité en développant une relation personnelle avec le
consommateur ou le client, facilitant la vente « one to one » (personnalisée) et le
sur-mesure.
• Permission d’envisager des politiques de fidélisation du client à travers une offre de
services et à forte valeur ajoutée.
• La possibilité de réduire les prix publics des produits en éliminant la marge laissée
habituellement aux intermédiaires, comme certains coûts de structure.
6
Chap.1 Contexte du Commerce Electronique
7
Chapitre 2 La conception d’un site marchand
Objectifs
Public visé
3.1. Le front-office
C’est le découpage du contenu en des sections. Il s’agit de décider pour chaque rubrique le
nombre de pages associées. Donc, la projection de la structure thématique (thème, sous-
thème,..) en pages donne la structure frontale.
Il faut essayer de séparer le contenu en sections en gardant en mémoire les objectifs à réaliser,
et en plaçant dans la même section les informations qui se rapportent aux mêmes sujets. Parfois
les objectifs et les sections sont fort semblables.
Par exemple pour une librairie en ligne, l'objectif de vente en ligne des livres peut être associé
à une section commande de livres. Dans cette phase il faut se faire une idée de ce que l'on va
décrire dans les pages. Par exemple les sections du site marchand d’un commerçant de
chaussures pourraient être:
• Accueil et présentation générale de l’entreprise
• Catalogue de produit pour homme
• Catalogue de produit pour femme
• Commande en ligne
• Contacts commerciaux.
9
Chap.2 Une Démarche de Conception d’un Site Marchand
lecteur pour explorer et la vôtre pour présenter l'information. Cette structuration est néanmoins
très intéressante pour mettre en ligne des sujets qui sont très linéaires comme des livres, des
instructions pas à pas, etc.
Le modèle hiérarchisé
C'est probablement le modèle le plus logique pour structurer un site. Ce type de structuration
est particulièrement adapté à des systèmes d'aide en ligne. On doit d'abord faire un choix parmi
des sujets génériques puis, plus on avance, plus les sujets deviennent particuliers. Dans une
structure hiérarchique, il est facile de s'y retrouver car les choix sont limités. On peut aller un
niveau au-dessus pour des sujets plus génériques ou un niveau en dessous pour des sujets plus
détaillés. Il est intéressant de fournir un lien vers le menu principal, de façon à ce que le lecteur
puisse retourner rapidement à un endroit connu. Dans cette organisation, le home page fournit
une vue d'ensemble du contenu accessible via des liens. Il faut éviter d'inclure trop de niveaux
et trop de choix ; 2 ou 3 niveaux sont un bon nombre. Trop de pages de menu conduisent au
"voice mail syndrome", c'est-à-dire qu'après avoir dû choisir parmi trop de niveaux, le visiteur
a oublié la raison de sa visite.
10
Chap.2 Une Démarche de Conception d’un Site Marchand
Le modèle web
Les structures WEB permettent au visiteur d'errer dans le site ; elles sont idéales quand on veut
encourager le visiteur à naviguer sur le site. Un exemple d'utilisation de cette structure pourrait
être un ensemble de chambres virtuelles. Dans ce contexte, chaque page est organisée de façon
à correspondre à une location (une pièce) et de cette location on peut se déplacer dans
différentes directions pour explorer les environs comme on passe de pièce en pièce dans un
building. Le problème avec ce type d'organisation, c'est qu'il est facile de se perdre. Sans aucune
structure du contenu, il est difficile de se représenter les relations entre l'endroit où l'on se trouve
et l'endroit où on va aller. Ce type de structure est très désorientant quand le visiteur a un objectif
en tête. Pour solutionner le problème on peut soit prévoir sur chaque page un lien vers le home
page soit inclure une carte du site avec une indication de la position du visiteur dans la structure
(comme les flèches vous êtes ici dans les grands immeubles par exemple).
3.2. Le back-office
C’est la façade arrière du site, par exemple la sauvegarde des paramètres d’authentification
(login et mot de passe) d’un client passager est inutile). Il s’agit de distinguer entre pages
statiques et pages dynamiques, de créer la BD, de développer les scripts…
11
Chap.2 Une Démarche de Conception d’un Site Marchand
4. L’aspect visuel
Il s’agit de définir l’identité du site. L’aspect visuel comprend :
• les images et les photos des produits pour former le catalogue et pour présenter le local
de l’entreprise.
• Une séquence vidéo est nécessaire si le client a besoin de regarder le produit de tous les
côtés et pour bien présenter les caractéristiques techniques du produit.
• Il est conseillé de présenter des graphiques montrant bien le résultat d’une statistique.
5. L’aspect fonctionnel
Il touche au fonctionnement du site, par exemple la taille réduite d’un fichier texte (<30 ko)
assure la rapidité du téléchargement.
12
Chapitre 3 La Sécurité dans le Commerce Electronique
1. Concepts de base
La sécurité informatique est un ensemble de tactiques retardant l’accès non autorisé à des
données.
contre le CE sont :
Chap.3 La Sécurité dans le Commerce Electronique
• l’usurpation d’identité,
• l’interception de données,
• la modification de données,
• la répudiation et
• l’accès non autorisé.
• la cryptographie
• la signature digitale
• le certificat électronique
Il est à noter qu’il existe trois niveaux de sécurité, de données, de transactions et du réseau.
2.1. La cryptographie
➢ Une méthode de cryptage et décryptage est appelée un chiffrement.
➢ Généralement on a 2 fonctions liées : une pour crypter et l’autre pour décrypter.
➢ Quelques méthodes de cryptage se basent sur des algorithmes secrets.
➢ Tous les algorithmes modernes utilisent une clé pour contrôler le cryptage et le
décryptage.
➢ Il existe trois types d’algorithmes de cryptage : symétrique, asymétrique et hybride.
14
Chap.3 La Sécurité dans le Commerce Electronique
Cryptage symétrique
Cryptage symétrique
Cette méthode est la plus simple à comprendre : si un expéditrice (A) veut envoyer un message
chiffré à un destinataire (B) elle doit lui communiquer un mot de passe (Clé). Comme
l'algorithme de chiffrement est symétrique, on a la relation suivante :
Cryptage asymétrique
Cette méthode fait appel aux mathématiques. La propriété des algorithmes asymétriques est
qu'un message codé par une clé publique n'est lisible que par le propriétaire de la clé privée
correspondante. A l'inverse, un message chiffré par la clé privé sera lisible par tous ceux qui
possèdent la clé publique. Ainsi la clé privée d’Anne permet de prouver qu'elle est l'auteur d'un
message, alors que sa clé publique préservera le contenu du message à destination d'Anne car
il ne sera lisible que par celle-ci.
1. L’expéditeur génère une clé de session aléatoire, la crypte en utilisant la clé publique
du receveur et l’envoie.
2. Le receveur décrypte le message avec sa clé privée pour retrouver la clé de session.
15
Chap.3 La Sécurité dans le Commerce Electronique
16
Chap.3 La Sécurité dans le Commerce Electronique
6. Le receveur compare le message M qu’il a reçu dans le couple (M,S) avec le message
M qu’il a trouvé. S’ils sont égaux alors il accepte le message, sinon il le rejette.
1. Pour obtenir ce certificat chaque entreprise doit envoyer à une autorité de certification
(certification authority CA tels que Vérisign, KPMG…) différentes informations lui
concernant (dénomination sociale, adresse, émail, activité, clé publique..)
2. Puis l’autorité de certification vérifie les informations fournies et ajoute au certificat
son propre nom, une date limite de validité, et surtout une signature numérique. Le
format des certificats est défini par le standard X509v3.
3. Le certificat numérique est signé par la clé privé de l’organisme de certification et
remis au demandeur sous forme d’un fichier qu’il peut stocker dans le disque dur de son
PC ou sur une carte à puce ou un USB.
4. L’organisme de certification publie le certificat décodé sur son annuaire.
5. Lorsque l’entreprise certifié souhaite prouver son identité à son destinataire, elle lui
envoie son certificat.
6. Le destinataire déchiffre le certificat avec la clé public de l’organisme de
certification et la compare avec la version disponible dans l’annuaire de CA lorsque
l’expéditeur et le destinataire s’authentifient avec leurs certificats numériques ils
peuvent communiquer avec des protocoles sécurisées tels que SSL (Secure sockets
layer) et S –http.
3.1. S-HTTP
L'HyperText Transfer Protocol, plus connu sous l'abréviation HTTP — littéralement «
protocole de transfert hypertexte » — est un protocole de communication client-serveur
développé pour le World Wide Web. HTTPS (avec S pour secured, soit « sécurisé ») est la
variante du HTTP sécurisée par l'usage des protocoles SSL ou TLS.
17
Chap.3 La Sécurité dans le Commerce Electronique
HTTP est un protocole de la couche application. Il peut fonctionner sur n'importe quelle
connexion fiable, dans les faits on utilise le protocole TCP comme couche de transport. Un
serveur HTTP utilise alors par défaut le port 80 (443 pour HTTPS utilisé avec SSL).
Les clients HTTP les plus connus sont les navigateurs Web permettant à un utilisateur d'accéder
à un serveur contenant les données. Ces clients se connectent à des serveurs HTTP tels
qu'Apache HTTP Server.
Il est à noter que le S-http est une révision de http pour incorporer différents formats de message
cryptés sur client et serveur web essentiellement au niveau de la couche d’application.
✓ Les adresses IP source et destination ne sont pas cryptés, donc on connaît les
machines (identifiées par les adresses IP) qui sont en cours d’interaction → Pas de
confidentialité de communication.
✓ De plus le numéro de port est connu donc on connait l’application en cours d’exécution.
3.2. SSL
Transport Layer Security (TLS), anciennement nommé Secure Sockets Layer (SSL), est un
protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape (SSL
version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF
suite au rachat du brevet de Netscape par l'IETF en 2001.
Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS. SSL est utilisé
au niveau session.
3.3. SET
SET (Secure Electronic Transaction) est un protocole de sécurisation des transactions
électroniques mis au point par Visa et MasterCard, et s'appuyant sur le standard SSL.
SET est basé sur l'utilisation d'une signature électronique au niveau de l'acheteur et une
transaction mettant en jeu non seulement l'acheteur et le vendeur, mais aussi leurs banques
respectives.
Fonctionnement de SET
Lors d'une transaction sécurisée avec SET, les données sont envoyées par le client au serveur
du vendeur, mais ce dernier ne récupère que la commande. En effet, le numéro de carte bleue
est envoyé directement à la banque du commerçant, qui va être en mesure de lire les
coordonnées bancaires de l'acheteur, et donc de contacter sa banque afin de les vérifier en temps
réel.
18
Chap.3 La Sécurité dans le Commerce Electronique
Fonctionnement du SET
Ce type de méthode nécessite une signature électronique au niveau de l'utilisateur de la carte
afin de certifier qu'il s'agit bien du possesseur de cette carte.
Son champ d'application se réduit au chiffrement des seules données bancaires, contrairement
à SSL qui peut chiffrer les images et le texte. Le protocole SET implique trois parties : le client,
le vendeur et la banque du vendeur. Ce système SET requiert des certificats auprès des trois
parties. Les certificats du client et du vendeur sont fournis par leur banque respective après quoi
la transaction commerciale peut avoir lieu. Avec le SET, le numéro de carte bancaire peut ne
pas être connu du vendeur, donc ne sera pas stocké dans ses fichiers et être récupéré par une
personne mal intentionnée. Le SET assure en principe une transaction de non répudiation, mais
cette clause peut varier d'un pays à l'autre suivant la législation en vigueur.
Si le SSL et le SET assurent chacun un haut degré de confidentialité, seul le SET permet une
pleine identification réciproque des deux parties grâce à un tiers de confiance, en l'occurrence
la banque du vendeur. Ainsi, elle s'assure que la carte est bonne et qu'elle n'a pas été volée.
3.4. VPN
Le réseau privé virtuel (Virtual Private Network ) est vu comme une extension des réseaux
locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Il
correspond en fait à une interconnexion de réseaux locaux via une technique de « tunnel »
(canal sécurisé grâce au chiffrement des messages). On parle de VPN lorsqu'un organisme
interconnecte ses sites via une infrastructure partagée avec d'autres organismes.
19
Chap.3 La Sécurité dans le Commerce Electronique
• un réseau privé :
o non reliés à Internet : donc pas d’accès à Internet.
o des serveurs terminaux privés (établissement d’une liaison directe avec le
partenaire→ pb non faisable car cette solution est limitée par les contraintes
juridique, géographique…).
4.1.4. La journalisation
Le concept d'historique des événements ou de logging désigne l'enregistrement séquentiel dans
un fichier ou une base de données de tous les événements affectant un processus particulier
(application, activité d'un réseau informatique…). Le journal (en anglais log file ou plus
simplement log), désigne alors le fichier contenant ces enregistrements. Généralement datés et
classés par ordre chronologique, ces derniers permettent d'analyser pas à pas l'activité interne
du processus et ses interactions avec son environnement. pb :
le fichier est de taille importante ce qui rend la tâche de détection de menace difficile pour
l’administrateur réseau.
Afin de sécuriser l’intranet de l’entreprise qui contient des ressources matérielles et logicielles
(serveur web, serveur de données, imprimantes,...), il est nécessaire de contrôler le trafic réseau
de l’intranet vers l’internet et inversement.
• le serveur proxy.
• le firewall : logiciel et matériel.
20
Chap.3 La Sécurité dans le Commerce Electronique
Les serveurs proxy remplissent deux fonctions principales : amélioration des performances du
réseau et filtrage des demandes des ordinateurs clients.
Lors de l'utilisation d'un serveur proxy, les ordinateurs du réseau local sont configurés avec
des adresses IP privées. Lorsqu'un ordinateur transmet une demande de connexion à Internet,
il transmet ses données au serveur proxy par le biais du réseau TCP/IP. Le serveur proxy
modifie la demande, insère ses propres nom et adresse IP, laquelle est fournie par le
fournisseur de services Internet, puis envoie les données sur Internet. Lorsqu'une réponse à la
demande est reçue, le serveur proxy la renvoie à l'ordinateur qui est à l'origine de la demande,
par le biais du réseau local.
Le proxy s’exécute à l’intranet, il connait les clients donc il peut les identifier grâce à une table
d’habilitation définissant les droits d’accès des clients.
4.2.2. Le firewall
Tout réseau connecté à Internet doit transmettre des communications à travers un pare-feu. Un
pare-feu représente la combinaison d'éléments logiciels et matériels qui interdit l'accès non
autorisé à un réseau interne à partir de l'extérieur. Tous les messages du réseau, en entrée ou en
sortie, passent par le pare-feu, qui les examine et bloque ceux qui ne répondent pas aux critères
de sécurité définis. Un pare-feu filtre le trafic qui ne doit pas passer d'Internet à votre réseau
privé, par exemple des messages échangés entre deux ordinateurs sur votre réseau privé.
21
Chap.3 La Sécurité dans le Commerce Electronique
Un pare-feu empêche toute communication directe entre le réseau et des ordinateurs externes
en routant les communications par l'intermédiaire d'un serveur proxy situé à l'extérieur du
réseau. Le pare-feu détermine s'il n'est pas dangereux de laisser un fichier passer, vers ou depuis
le réseau. Un pare-feu est appelé également passerelle de sécurité.
Une passerelle est un système connecté à plusieurs réseaux TCP/IP physiques, et capable de
router ou de remettre des paquets IP entre eux. Une passerelle assure la conversion entre des
protocoles de transport ou des formats de données différents, par exemple IPX (Internetwork
Packet eXchange) et IP. Elle est principalement ajoutée à un réseau pour ses capacités de
conversion.
• Les utilisateurs doivent se connecter sur des applications fiables sur le firewall avant
toute autre connexion.
• il faut garder seulement les comptes des utilisateurs qui sont responsables de la
configuration du firewall.
• il faut d’enlever tout fichier exécutable non nécessaire surtout les programmes réseaux
tels que FTP, Telnet… (uniquement le firewall s’exécute)
• Etendre « audit log » et monitoring pour vérifier les accès à distance grâce aux scénarios
modélisant une attaque.
• désactiver « ip forwarding » pour éviter que le firewall transfère des paquets non
autorisés entre internet et intranet.
22
Chap.3 La Sécurité dans le Commerce Electronique
« ip forwarding » est un service, s’il est actif alors la machine est configurée comme étant un
point de relais (nœud de transmission) qui a pour fonction de faire passer le paquet sans regarder
le contenu.
23
Chapitre 4 Le Paiement Electronique
1. Définition
• Le paiement électronique permet la réalisation de la phase financière d’une transaction
commerciale →Le facteur clé de succès du e-commerce.
• Toutes les parties impliquées doivent être sécuritaires en effectuant une transaction
électronique. →La sécurité est fondamentale à la réussite de cette transaction.
• Les banques/maisons de carte de crédit sont réticent à développer des systèmes de e-
paiement gratuits.
• Facilité d'utilisation : l'internaute moyen doit pouvoir acheter simplement, sans procédé
fastidieux à mettre en œuvre.
• Sécurisation des transactions : l'internaute doit pouvoir acheter avec confiance (sécurité
des données nominatives et bancaires)
• Homogénéisation des protocoles: L'achat doit être transparent quel que soit le site
utilisé, et les technologies employées communes
➔Le commerce électronique ne prendra son véritable envol que si l'on développe des modes
de paiement sûrs, facile d'utilisation et accepté du grand public.
• E-banking
• Le porte-monnaie électronique
• Les cartes de crédit
• Surtaxe Téléphonique
2.1. E-Banking
C’est l’ensemble des opérations bancaires qui s’effectuent sur le web
• Le virement bancaire
• Consultation solde
• …
Le porte-monnaie virtuel est alimenté par l'internaute de façon ponctuelle à partir de sa carte
bancaire, et qu'il utilise ultérieurement pour ses achats. Le porte-monnaie électronique sert
essentiellement à régler les petites sommes qui ne sont pas couvertes par les cartes classiques.
Des systèmes de paiement par sur-taxation de la communication téléphonique pour l’usager sont
également possible.
✓ Les banques ne savent pas ce que les clients ont dépensé et où (anonymat) : Système de
"monnaie en ligne" : vérification de l'authenticité en temps réel par la banque émettrice.
✓ Utilisation de la cryptographie et de signatures numériques authentifiant les utilisateurs
et garantissant contre les risques de sécurité
e-cash
Caractéristiques :
• Représente une somme d’argent définie : utilisation du numéro de la carte pour effectuer
un paiement.
• Valable uniquement sur les sites qui sont affiliés au gestionnaire des cartes prépayées.
• Utilisation d’un identifiant personnel en plus de numéro de la carte
• Le crédit de la carte est débité une fois que la transaction effectuée.
Les avantages :
Il peut être un procédé d'avenir, car son coût décroissant, le rendra rentable à moyen terme. La
25
Chap.4 Le Paiement Electronique
26
Chap.4 Le Paiement Electronique
2.3.4. Avantages
• Pour le Porteur :
✓ Disponibilité des avoirs 24h/24 et 7j/7.
✓ Retrait auprès de tous les GABs.
✓ Paiement auprès des commerçants.
✓ Cash Advance auprès des guichets de banques.
✓ Consultation du solde.
✓ Commodité, discrétion…
• Pour le Commerçant :
✓ Augmentation de son chiffre d affaires en acceptant ce moyen de paiement. ✓
Garantie de paiement.
• Pour la Banque (Agence)
✓ Désengorger le guichet de l’Agence.
✓ Allégement du traitement des opérations de retrait et des coûts y afférents (retrait
déplacé…)
✓ Economie de charge (confection de chèque)
✓ Développer les commissions (cotisation, commission commerçants…) améliorer la
rentabilité
27
Chap.4 Le Paiement Electronique
• une carte perdue, volée, non délivrée ou contrefaite par un acteur non identifié.
• une carte par son porteur en contradiction avec les clauses du contrat signé.
• Ces fraudes peuvent provenir de fraudeurs isolés ou d’organisations criminelles
internationales.
• SSL
• SET
• C-SET
28
Chap.4 Le Paiement Electronique
Fonctionnement :
• Les données bancaires du client sont cryptées avant d’être transmises sur le Net.
• Le commerçant ne reçoit que les détails de la commande.
• Le numéro de carte crédit est envoyé directement à la banque du vendeur qui vérifiera la
validité de la carte avec la banque de l’acheteur.
• Le protocole SET repose sur le système de signature électronique qui nécessite
l´installation d’un logiciel spécifique sur l’ordinateur du client intitulé Wallet.
Protocole abandonné depuis l'an 2000, car très peu déployé et lourd sur le plan logistique
et organisationnel.
3.3. C-SET
Définition
Le protocole C-SET a été conçu pour pallier l'absence de preuve physique de possession de la
carte de paiement, qui est la faiblesse du SET. Il ajoute aux fondements de SET, qui restent les
mêmes, la présence d'un lecteur de la puce (Chip) de la carte de crédit chez l'internaute.
Fonctionnement
29