Protocoles SET et 3D-SECURE

1
 Introduction
Le commerce électronique se développe rapidement
depuis quelques années enregistrant de 35 à 40 % de
croissance donnant ainsi une importance de plus en
plus grande à ce qui est parfois appelé l'e-Paiement.

2
 Introduction
La cryptographie à clé publique et la signature électronique
rendent la monnaie électronique possible. La monnaie
électronique tend à se généraliser sur l'Internet. Cela nécessite:
 l'identification des parties au moyen de Certificat
électronique
 une conservation des historiques des transferts dans des
lieux sécurisés.

3
 Introduction
 Notre exposé propose donc un tour d’horizon de la
sécurité du Web et du rôle majeur des protocoles
dans la protection des données sensibles et la mise
en confiance des clients.
 Nous débuterons par le cryptage SET (Secure
Electronic Transaction). Nous nous pencherons
ensuite sur le protocole 3D-SECURE, et d’autres
mesures permettant l’authentification d’un site Web
et l’instauration d’une relation de confiance avec le
client.
4
Concepts de sécurité du e-commerce
 Toute entreprise amenée à échanger des
informations sensibles sur Internet doit faire de
la confiance clients une priorité absolue.
 Le client:
– craint de voir son identité usurpée
– se montre méfiant à l’idée de communiquer
des renseignements personnels sur des sites
perçus comme non fiables.

5
 Concepts de sécurité du e-commerce

 Problématique
USA:
 d’après le 11ème rapport annuel sur la fraude en ligne, le montant
des pertes des cybermarchands nord-américains imputables à la
fraude s’élevait à 3,3 milliards US en 2009.

 Quant au nombre total d’attaques de phishing signalées au Groupe

de travail anti-phishing (APWG), il se chiffrait à 46 190 pour le seul
mois de décembre 2009.

6
 Concepts de sécurité du e-commerce

Réti
ce
Problématique coté clients nce
s??

Données en claires non protégées

Sites falsifiés par des fraudeurs

Données interceptées en cours de transfert

Cartes volées et utilisées pour acheter

7
 Concepts de sécurité du e-commerce

Problématique
Ma
rch and
s'assurer d’être payé

Ach
ete
ur
s'assurer que le service sera fourni par le marchand

B an
q ue
s'assurer qu'il n'y a pas d'usurpation d'identité afin de protéger son client

Et les fraudeurs? sont à coté !

8
Concepts de sécurité du e-commerce
 Conséquences
Principale conséquence : l’abandon de panier –
véritable plaie du commerce en ligne.
 21 % des utilisateurs n’auraient pas concrétisé
un achat en ligne.
 Clients se contentent d’opérations modestes
et plafonnent le montant de leurs transactions
par peur d’une arnaque.

9
 Concepts de sécurité du e-commerce

Existant non satisfaisant!

• Le plus souvent, l’acheteur effectue le paiement
en donnant simplement le numéro et la date
d’expiration de sa carte bancaire au commerçant.

• Ensuite, le commerçant se retourne vers sa

banque et lui demande de procéder au paiement.

10
 Concepts de sécurité du e-commerce

Historique des solutions

 Protocole Digicash créé en 1994 et utilisé par Mark
Twain Bank, EUnet Finland et la Deutsche Bank
 Protocole SET défini par Visa, MasterCard et
American Express
 En 2000 arrive le 3-D Secure, plus souple.

11
 LE PROTOCOLE SSL 1/16

 Toute information transmise sur un site Web non

sécurisé est potentiellement en danger.

 L’utilisation de certificats SSL pour le cryptage et la

protection des données clients sensibles est devenue
indispensable à la survie de tout site marchand.

 Ce protocole présentera ses insuffisances qui feront

appel au protocole SET.
12
 LE PROTOCOLE SSL 2/16
• Le SSL (Secure Sockets Layer), est un protocole pour sécuriser l'échange
d'informations, utilisé par HTTPS (Hyper Text Transfert Protocol
Secured).
• Dans le cas du commerce en ligne, il permet de sécuriser dans une certaine
mesure l'échange de données entre clients et marchands.

13
 LE PROTOCOLE SET 2/16

• Le protocole SET (Secure Electronic Transaction) est une

solution générique se basant sur un système ouvert et une
architecture multi plate-forme.
• Elle permet de gérer divers mécanismes de paiement, de la
carte de crédit, au porte-monnaie électronique ou au chèque
électronique.
• Conçue par le consortium bancaire (Visa et MasterCard) et les
sociétés GlobeSET et tandem en1990 pour faire face aux
manquement en terme de sécurité lié au e-commerce et
s'appuyant sur le protocole SSL. 14
 LE PROTOCOLE SET 3/16

Il peut se décomposer en quatre principale étape:

1) Grâce à l'utilisation d'une infrastructure à clés publiques, le
marchand possède sa clé privée, ainsi qu'une clé publique,
qu'il transmet au client.

15
 LE PROTOCOLE SET 4/16

2) Pour sécuriser l'envoi de ses données, le client va

utiliser un algorithme générant aléatoirement une nouvelle
clé.
Il envoie celle-ci au marchand en la chiffrant, grâce à la clé
publique de ce dernier, qu'il a précédemment récupérée. La
suite de la transaction sera chiffrée avec cette clé secrète.

16
 LE PROTOCOLE SET 5/16

3) Pour vérifier que l'échange précédent s'est bien déroulé, le

client va fournir au marchand une information quelconque,
qu'il chiffre avec la clé secrète, précédemment créée.

Le marchand s'authentifie auprès du client en déchiffrant

l'information, et en la lui renvoyant en clair.

17
 LE PROTOCOLE SET 6/16

4) Enfin, le client envoie au marchand le numéro, la date

d'expiration et le cryptogramme visuel de sa carte
bancaire, en les chiffrant à l'aide de la clé secrète, qu'ils
sont les seuls à posséder. Le marchand peut alors lui même
utiliser ces informations pour débiter le compte du client
et finaliser la transaction.
 SSL assure donc:
- L’authentification
- La confidentialité
- L’intégrité 18
 LE PROTOCOLE SET 7/16

Protocole SSL

 Cryptage: intégrité et confidentialité

 Un certificat SSL est un fichier électronique

 Le « signataire » d’un certificat SSL est une

autorité de certification (AC)
 Ex: VeriSign

19
 LE PROTOCOLE SET 7/16

Protocole SSL
Obtention d’un certificat

20
 Concepts de sécurité du e-commerce
Protocole SSL

21
 LE PROTOCOLE SET 8/16

 PROTOCOLE SSL

 Limites:
- Permet d ’authentifier le serveur web du marchand et pas le
marchand lui-même.

- Ne permet pas d ’authentifier le porteur de la

carte de crédit donc ne permet pas la non-répudiation par le client

- Le marchand reçoit au final toutes les coordonnées bancaires du

client en clair, ce qui pose problème si ce dernier est malintentionné.

22
 LE PROTOCOLE SET 9/16
FONCTIONNEMENT DE SET
Le protocole SET fonctionne selon le schéma suivant:

23
 LE PROTOCOLE SET 10/16

1) Enregistrement du client.
• Le client fait une demande d'enregistrement
auprès de sa banque, qui lui sert ainsi d'autorité de
certification.
• La banque se charge de vérifier son identité.
• Ensuite, le client crée sa paire de clé, et communique
sa clé publique à sa banque. Celle-ci créée, signe et lui
fait parvenir son certificat.

24
 LE PROTOCOLE SET 11/16

2) L'ordre d'achat.
• Le marchand possède lui aussi un certificat.
• Le client l'authentifie et lui fait parvenir sa demande
d'achat, ainsi que ses informations de paiement.
• Le marchand se charge de retransmettre le message
contenant les informations de paiement, après en avoir
vérifié l'intégrité, à la passerelle de paiement.

25
 LE PROTOCOLE SET 12/16

3) Paiement.
• La passerelle de paiement vérifie les données
bancaires, puis autorise le marchand à finaliser la
transaction.
• Ce dernier répond donc à la demande d'achat du client,
et peut ensuite demander le paiement à la passerelle.

26
 LE PROTOCOLE SET 13/16

 AVANTAGES ET INCONVENIENTS DE SET

 Avantages de SET
- Ce protocole garantit l'intégrité des données échangées à tous
niveaux, ainsi que l'authentification du client, du marchand et de la
passerelle de paiement.

- Un des avantages réside dans le renforcement de la confidentialité.

Le client, le marchand comme la passerelle de paiement possèdent
chacun un certificat.

27
 LE PROTOCOLE SET 14/16

 Avantages de SET
Le client envoie un message contenant sa demande d'achat et ses
informations bancaires, mais la passerelle de paiement n'a pas accès à
l'ordre d'achat du client.

Le marchand ne pourra pas accéder aux coordonnées bancaires du

client, ce qui résout un problème précédemment évoqué avec le SSL.

28
 LE PROTOCOLE SET 15/16

 Inconvénients de SET
- La complexité et le coût du système SET.

- Le Déploiement du SET : une transaction SET typique comporte

l‛échange de renseignements privés entre un client et un marchand
(comme les articles commandés), et un autre échange d‛information
privée entre le client et la banque (comme le numéro de carte de
Crédit du client).

29
 LE PROTOCOLE SET 16/16
Conclusion:
Ce système est pénalisant pour le marchand. En effet, c'est lui qui se
charge de transmettre les coordonnées bancaires du client à la
passerelle de paiement. Bien que pouvant vérifier l'intégrité de ce
message, il ne peut pas en vérifier les données. Il est donc désigné
comme responsable en cas d'informations frauduleuses fournies par le
client.

30
 LE PROTOCOLE 3D SECURE

Définition
Historique
Mode d’utilisation
Fonctionnement
Avantages & inconvénients

31
 LE PROTOCOLE 3D SECURE
Définition
3-D SECURE est un protocole sécurisé de paiement par carte bancaire
sur Internet. Ce système de paiement en ligne est censé diminuer la
fraude à la carte bancaire sur les sites e-commerce.

32
 LE PROTOCOLE 3D SECURE
Historique:
Depuis octobre 2008, les banques et les marchands internet ont
commencé à adopter le système 3-D Secure pour les paiements en
ligne.
3-D Secure a été développé par VISA et MASTERCARD pour permettre
aux e-commerçants de limiter les risques de fraude lors d'achats sur
internet.
Cela consiste à s'assurer, lors de chaque paiement en ligne, que la carte
est bien utilisée par son propriétaire.

33
 LE PROTOCOLE 3D SECURE
Apport:
3D SECURE effectue toutes les authentifications, mais n'utilise pas de
hiérarchie avec autorité de certification maîtresse, ni de passerelle de
paiement. La nouveauté est l'intervention du serveur Visa. Il permet à
Visa de réaliser les fonctions suivantes :
 Un service d'annuaire, pour déterminer la banque d'un client et
son numéro de compte à partir de sa carte.
 Une autorité de certification, qui génère les différents certificats.
 Un historique de toutes les tentatives d'authentifications réalisées
au cours de transactions passées.

34
 LE PROTOCOLE 3D SECURE
Apport:

35
 Mode d’utilisation du 3d Secure

Pour effectuer les paiements en 3D Secure, il faut que la carte de

l'internaute soit 3DSecure et que la e boutique supporte 3DSecure.

Il faut savoir que la quasi-totalité des cartes bancaires fabriquées sont

désormais 3DSecure.
Si, à la fois la e boutique et la banque du propriétaire de la carte sont
équipés, une étape supplémentaire a lieu au moment du paiement de
la commande :

36
 Mode d’utilisation du 3d Secure
En plus du numéro de carte, de la date d'expiration et des trois chiffres
du code de sécurité, l'acheteur doit saisir un mot de passe, tel que sa
date de naissance ou un code à usage unique (code envoyé par sms
par exemple) ou une autre information personnelle non précisée sur la
carte bancaire, informations que seul l'internaute est censé connaître,
prouvant bien qu'il est le véritable détenteur de la carte. Chaque
banque est libre de choisir son moyen d'authentification.

37
Mode d’utilisation du 3d Secure

38
 Fonctionnement du 3D Secure
Le concept de base de ce protocole (basé sur l'échange de messages
XML ) est de lier le processus d'autorisation financière avec une
authentification en ligne. Cette authentification est basée sur un
modèle comportant trois domaines (d'où le nom 3D) qui sont :
 le commerçant et la banque qui recevra les fonds ((en) Acquirer
Domain)
 la banque qui a délivré la carte de paiement ((en) Issuer Domain)

 le système de carte bancaire ((en) Interoperability Domain)

39
 Fonctionnement du 3D Secure
Le protocole utilise des messages XML envoyés via des connexions SSL
(qui garantissent l'authentification du serveur et du client par des
certificats numériques).

Exemple:

40
Fonctionnement du 3D Secure

41
 Fonctionnement du 3D Secure

Exemple: Avertissement par SMS

42
 Les avantages du 3D Secure

Les principaux avantage de 3D SECURE sont:

 La Sécurisation des transactions: réduction de la fraude chez les
marchands en ligne et pour les internautes

 Non seulement le e-commerçant de la boutique est davantage

protégé contre la fraude mais en plus il n'accède pas au code
supplémentaire 3D Secure de son client.

 Personne à part l'acheteur ne peut donc connaître ce code, tout

particulièrement si la banque utilise une méthode
d'authentification forte.

43
 LE PROTOCOLE 3D SECURE

3-D Secure réduit considérablement le risque de fraude et de non-

paiement pour cause d'utilisation abusive des cartes.

Permet de garantir la non répudiation des traces c’est-à-dire une fois

identifié, le titulaire de carte ne peut plus contester le paiement.

Permet de garantir aussi si la carte bancaire est volée ou captée, elle

est inutilisable sur tous les sites marchands qui utilisent 3D Secure.

Seul le titulaire de la carte peut donc effectuer les paiements voulus.

44
 inconvénients

Les principaux inconvénients de 3D Secure sont

La diminution des ventes :

 Le laps de temps correspondant à l'étape du paiement s'allongeant,

les abandons de panier se sont démultipliés

 Le client, peu habitué au système, devant fournir un renseignement

qu'il n'avait pas forcément sous la main au moment de l'achat,
abandonnait sa commande en cours.

On a noté par conséquent une baisse moyenne du chiffre d'affaires se

situant entre 10 % et 15 % sur les commandes en e boutique utilisant 45
 inconvénients

Le souci provenait aussi du fait qu' aucune banque n' avait informé les
particuliers ni les e-commerçants de la mise en place du dispositif, de
ses enjeux et de ses contraintes.

Résultat : les internautes ne comprenaient pas pourquoi il leur est

demandé un nouveau code à renseigner(la confiance).

De nombreuses banques envoient sur le portable le code à saisir, mais

si le portable n'est pas avec l'internaute au moment de payer, la
transaction ne peut se faire ! Ceux à qui on demande la date de
naissance hésitaient à la laisser de peur de se faire pirater leur carte.
46
 inconvénients

L’acte d’achat en 3D-Secure étant plus long et contraignant pour le

porteur CB, un site marchand équipé de ce protocole à l’heure actuelle
voit son volume de ventes diminuer de l’ordre de 10%.

L’inconvénient majeur pour le e-commerçant est une chute des

commandes, du fait qu’on impose une étape supplémentaire pour
valider la commande.

47
 Résumé
Les e-boutique à fort panier moyen, vendant des articles high-tech par
exemple, ont tout intérêt à utiliser un paiement par carte bancaire avec
3D Secure, et ce, de façon systématique. Par contre ce protocole n'est
pas utile sur des e boutique dont les des transactions sont de faible
montant.

48
 Autres solutions

 C-SET
Chip-Secure Electronic Transaction
Utilisation d’une carte à puce
Basé sur le protocole SET
Trop lourd et trop coûteux

 SPA
Secure Payment Application
Problèmes de compatibilité
Inscription longue et fastidieuse 49
 Conclusion

Avec l’explosion de la fraude sur Internet, la sécurité des

transmissions de données personnelles est devenue un enjeu

majeur pour le commerce en ligne. Tristement célèbre pour

sa récurrence et ses conséquences, l’usurpation d’identité

fait l’objet de toutes les craintes et de toutes les attentions.

50
 Conclusion

Plus la confiance règnera sur la planète e-

commerce, plus le consommateur aura de chances
d’effectuer le meilleur choix possible, sans risque
pour la confidentialité de ses données.

51
 Sources
Trusr-fr.fr/VeriSign
www.VeriSign.fr.
http://www.raynette.fr/guide-e-commerce/3d-secure.php

http://www.raynette.fr/guide-e-commerce/3d-secure.php

http://www.comparatif-paiement.com/le-paiement-en-
ligne/3d-secure/

http://www.authsecu.com/ssl-tls/ssl-tls.php

52
Merci de votre attention !

53