Académique Documents
Professionnel Documents
Culture Documents
1
Introduction
Le commerce électronique se développe rapidement
depuis quelques années enregistrant de 35 à 40 % de
croissance donnant ainsi une importance de plus en
plus grande à ce qui est parfois appelé l'e-Paiement.
2
Introduction
La cryptographie à clé publique et la signature électronique
rendent la monnaie électronique possible. La monnaie
électronique tend à se généraliser sur l'Internet. Cela nécessite:
l'identification des parties au moyen de Certificat
électronique
une conservation des historiques des transferts dans des
lieux sécurisés.
3
Introduction
Notre exposé propose donc un tour d’horizon de la
sécurité du Web et du rôle majeur des protocoles
dans la protection des données sensibles et la mise
en confiance des clients.
Nous débuterons par le cryptage SET (Secure
Electronic Transaction). Nous nous pencherons
ensuite sur le protocole 3D-SECURE, et d’autres
mesures permettant l’authentification d’un site Web
et l’instauration d’une relation de confiance avec le
client.
4
Concepts de sécurité du e-commerce
Toute entreprise amenée à échanger des
informations sensibles sur Internet doit faire de
la confiance clients une priorité absolue.
Le client:
– craint de voir son identité usurpée
– se montre méfiant à l’idée de communiquer
des renseignements personnels sur des sites
perçus comme non fiables.
5
Concepts de sécurité du e-commerce
Problématique
USA:
d’après le 11ème rapport annuel sur la fraude en ligne, le montant
des pertes des cybermarchands nord-américains imputables à la
fraude s’élevait à 3,3 milliards US en 2009.
6
Concepts de sécurité du e-commerce
Réti
ce
Problématique coté clients nce
s??
7
Concepts de sécurité du e-commerce
Problématique
Ma
rch and
s'assurer d’être payé
Ach
ete
ur
s'assurer que le service sera fourni par le marchand
B an
q ue
s'assurer qu'il n'y a pas d'usurpation d'identité afin de protéger son client
9
Concepts de sécurité du e-commerce
10
Concepts de sécurité du e-commerce
11
LE PROTOCOLE SSL 1/16
13
LE PROTOCOLE SET 2/16
15
LE PROTOCOLE SET 4/16
16
LE PROTOCOLE SET 5/16
17
LE PROTOCOLE SET 6/16
Protocole SSL
19
LE PROTOCOLE SET 7/16
Protocole SSL
Obtention d’un certificat
20
Concepts de sécurité du e-commerce
Protocole SSL
21
LE PROTOCOLE SET 8/16
PROTOCOLE SSL
Limites:
- Permet d ’authentifier le serveur web du marchand et pas le
marchand lui-même.
22
LE PROTOCOLE SET 9/16
FONCTIONNEMENT DE SET
Le protocole SET fonctionne selon le schéma suivant:
23
LE PROTOCOLE SET 10/16
1) Enregistrement du client.
• Le client fait une demande d'enregistrement
auprès de sa banque, qui lui sert ainsi d'autorité de
certification.
• La banque se charge de vérifier son identité.
• Ensuite, le client crée sa paire de clé, et communique
sa clé publique à sa banque. Celle-ci créée, signe et lui
fait parvenir son certificat.
24
LE PROTOCOLE SET 11/16
2) L'ordre d'achat.
• Le marchand possède lui aussi un certificat.
• Le client l'authentifie et lui fait parvenir sa demande
d'achat, ainsi que ses informations de paiement.
• Le marchand se charge de retransmettre le message
contenant les informations de paiement, après en avoir
vérifié l'intégrité, à la passerelle de paiement.
25
LE PROTOCOLE SET 12/16
3) Paiement.
• La passerelle de paiement vérifie les données
bancaires, puis autorise le marchand à finaliser la
transaction.
• Ce dernier répond donc à la demande d'achat du client,
et peut ensuite demander le paiement à la passerelle.
26
LE PROTOCOLE SET 13/16
Avantages de SET
- Ce protocole garantit l'intégrité des données échangées à tous
niveaux, ainsi que l'authentification du client, du marchand et de la
passerelle de paiement.
27
LE PROTOCOLE SET 14/16
Avantages de SET
Le client envoie un message contenant sa demande d'achat et ses
informations bancaires, mais la passerelle de paiement n'a pas accès à
l'ordre d'achat du client.
28
LE PROTOCOLE SET 15/16
Inconvénients de SET
- La complexité et le coût du système SET.
29
LE PROTOCOLE SET 16/16
Conclusion:
Ce système est pénalisant pour le marchand. En effet, c'est lui qui se
charge de transmettre les coordonnées bancaires du client à la
passerelle de paiement. Bien que pouvant vérifier l'intégrité de ce
message, il ne peut pas en vérifier les données. Il est donc désigné
comme responsable en cas d'informations frauduleuses fournies par le
client.
30
LE PROTOCOLE 3D SECURE
Définition
Historique
Mode d’utilisation
Fonctionnement
Avantages & inconvénients
31
LE PROTOCOLE 3D SECURE
Définition
3-D SECURE est un protocole sécurisé de paiement par carte bancaire
sur Internet. Ce système de paiement en ligne est censé diminuer la
fraude à la carte bancaire sur les sites e-commerce.
32
LE PROTOCOLE 3D SECURE
Historique:
Depuis octobre 2008, les banques et les marchands internet ont
commencé à adopter le système 3-D Secure pour les paiements en
ligne.
3-D Secure a été développé par VISA et MASTERCARD pour permettre
aux e-commerçants de limiter les risques de fraude lors d'achats sur
internet.
Cela consiste à s'assurer, lors de chaque paiement en ligne, que la carte
est bien utilisée par son propriétaire.
33
LE PROTOCOLE 3D SECURE
Apport:
3D SECURE effectue toutes les authentifications, mais n'utilise pas de
hiérarchie avec autorité de certification maîtresse, ni de passerelle de
paiement. La nouveauté est l'intervention du serveur Visa. Il permet à
Visa de réaliser les fonctions suivantes :
Un service d'annuaire, pour déterminer la banque d'un client et
son numéro de compte à partir de sa carte.
Une autorité de certification, qui génère les différents certificats.
Un historique de toutes les tentatives d'authentifications réalisées
au cours de transactions passées.
34
LE PROTOCOLE 3D SECURE
Apport:
35
Mode d’utilisation du 3d Secure
36
Mode d’utilisation du 3d Secure
En plus du numéro de carte, de la date d'expiration et des trois chiffres
du code de sécurité, l'acheteur doit saisir un mot de passe, tel que sa
date de naissance ou un code à usage unique (code envoyé par sms
par exemple) ou une autre information personnelle non précisée sur la
carte bancaire, informations que seul l'internaute est censé connaître,
prouvant bien qu'il est le véritable détenteur de la carte. Chaque
banque est libre de choisir son moyen d'authentification.
37
Mode d’utilisation du 3d Secure
38
Fonctionnement du 3D Secure
Le concept de base de ce protocole (basé sur l'échange de messages
XML ) est de lier le processus d'autorisation financière avec une
authentification en ligne. Cette authentification est basée sur un
modèle comportant trois domaines (d'où le nom 3D) qui sont :
le commerçant et la banque qui recevra les fonds ((en) Acquirer
Domain)
la banque qui a délivré la carte de paiement ((en) Issuer Domain)
39
Fonctionnement du 3D Secure
Le protocole utilise des messages XML envoyés via des connexions SSL
(qui garantissent l'authentification du serveur et du client par des
certificats numériques).
Exemple:
40
Fonctionnement du 3D Secure
41
Fonctionnement du 3D Secure
42
Les avantages du 3D Secure
43
LE PROTOCOLE 3D SECURE
44
inconvénients
Le souci provenait aussi du fait qu' aucune banque n' avait informé les
particuliers ni les e-commerçants de la mise en place du dispositif, de
ses enjeux et de ses contraintes.
47
Résumé
Les e-boutique à fort panier moyen, vendant des articles high-tech par
exemple, ont tout intérêt à utiliser un paiement par carte bancaire avec
3D Secure, et ce, de façon systématique. Par contre ce protocole n'est
pas utile sur des e boutique dont les des transactions sont de faible
montant.
48
Autres solutions
C-SET
Chip-Secure Electronic Transaction
Utilisation d’une carte à puce
Basé sur le protocole SET
Trop lourd et trop coûteux
SPA
Secure Payment Application
Problèmes de compatibilité
Inscription longue et fastidieuse 49
Conclusion
50
Conclusion
51
Sources
Trusr-fr.fr/VeriSign
www.VeriSign.fr.
http://www.raynette.fr/guide-e-commerce/3d-secure.php
http://www.raynette.fr/guide-e-commerce/3d-secure.php
http://www.comparatif-paiement.com/le-paiement-en-
ligne/3d-secure/
http://www.authsecu.com/ssl-tls/ssl-tls.php
52
Merci de votre attention !
53