Document 7879692
Download
Report
Transcript Document 7879692
Étude d ’approfondissement
Le Paiement Électronique
FOULC Aurélie
GUILLEMOT Perrine
RICM-3
18 Octobre 2001
Plan
Introduction
1- Présentation et objectifs
2- Méthodes
3- Produits
4- Législation
Conclusion
Questions
Le Paiement Electronique
Plan
Introduction
1- Présentation et objectifs
2- Méthodes
3- Produits
4- Législation
Conclusion
Questions
Le Paiement Electronique
1- Présentation et Objectifs
1.1- Définition
1.2- Types de paiement
1.3- Propriétés à respecter
1.4- Moyens mis en œuvre
1.5- Coûts
1.6- B2B
Le Paiement Electronique
Définition
Moyen permettant d’effectuer des transactions commerciales
pour l ’échange de biens ou de services sur Internet
Échelle des transactions
Macro : > 5 $
Mini et Micro : entre 1/1000 $ et 5 $
Le paiement électronique
1- Présentation et objectifs
Types de paiement
Cartes de crédit
Cartes à puce
Comptes bancaires
Ordres de paiement
Le Paiement Electronique
1- Présentation et objectifs
Propriétés à respecter
Le paiement doit être :
Universel
Portable
Infalsifiable et Inviolable
Privé
Anonyme
Le Paiement Electronique
1- Présentation et objectifs
Propriétés à respecter
Off-line
Rapide
Non contraignant
Non répudiable
Divisible
Légal
Le Paiement Electronique
1- Présentation et objectifs
Moyens mis en oeuvre
Algorithmes de cryptage
Authentification
Protocoles
Le Paiement Electronique
1- Présentation et objectifs
Coûts
Main d’œuvre
Prévention des risques
Infrastructures
Transactions
Application des lois
Le Paiement Electronique
1- Présentation et objectifs
B2B
Gros montant : paiement papier
Sinon, comme B2C
Le Paiement Electronique
Plan
Introduction
1- Présentation et objectifs
2- Méthodes
3- Produits
4- Législation
Conclusion
Questions
Le Paiement Electronique
2- Méthodes
2.1- Sécurisation et Authentification
2.2- Transfert de l ’information
Le Paiement Electronique
2.1- Sécurisation et authentification
Cryptographie
Signature électronique
Certificat électronique
Kerberos
Datation
Le paiement électronique
2- Méthodes
Cryptographie
Confidentialité des messages
Mécanisme de clés :
clé secrète ou cryptage symétrique
clé publique / privée ou cryptage asymétrique
Le paiement électronique
2-1. Sécurisation et authentification
Cryptage symétrique
Source : http://cuisung.unige.ch/memoires/Hugentobler/crypto.html
Avantage : simplicité
Problème : transmission de la clé
Le paiement électronique
2.1- Sécurisation et authentification : Crytographie
Cryptage asymétrique
Source :
http://cuisung.unige.ch/memoires/Hugentobl
er/crypto.html
Confidentialité
Authentification
Technique utilisé pour l’échange de clé secrète
Le paiement élecrtonique
2.1- Sécurisation et authentification : Cryptographie
Exemple 1 : Data Encryption Standard
développé par IBM, la NSA et le NBS dans les années 1970
Cryptage symétrique par blocs avec une clé de 56 bits
16 itérations :
Crypté avec une partie de la clé
Bloc de 64 bits
transposition
+ transposition
Le paiement électronique
2.1- Sécurisation et authentification : Cryptographie
Exemple 1 : Data Encryption Standard
Standard du gouvernement des E.U (77)
Performance : entre 300 Mbits/s et 3
Gbits/s (cryptage ou décryptage)
Fiabilité : facile à casser
Triple DES
Le paiement électronique
2.1- Sécurisation et authentification : Cryptographie
Exemple 2 : Advanced Encryption Standard
Octobre 2000
Cryptage symétrique
Remplacement du DES (compétition lancée par le NIST)
Blocs de 128 bits
Clés de longueurs différentes : 128, 192 ou 256 bits
Plusieurs rounds de 4 opérations
Substitution
Décalage
Mélange
Ou exclusif avec la clé
Plus sur et plus rapide que le DES
Le paiement électronique
Exemple 3 : Rivest Shamir Adelman
Cryptage asymétrique
Performances : 100 fois plus lent que le DES
Fiabilité : factorisation irréalisable
Usage : largement répandu
Le paiement électronique
2.1- Sécurisation et authentification : Cryptographie
Rivest Shamir Adelman
p et q 2 nombres premiers :
2 entiers d=7 et e=23
p=11 et q=17
n = p x q = 187
(e x d –1) est multiple de (p-1)(q-1) et e<n
Clé =
clé secrète = (p,q,d)
+ clé publique = (n,e)
c = me modulo n
Le paiement électronique
Bob
m’ = cd modulo n
2.1- Sécurisation et authentification : Cryptographie
Signature électronique
Intégrité, non répudiation et authentification
Empreinte
m
h(m)
hachage
Signature S
Codage
Clé privée
m+S
h(m) = h(m)
Décodage
?
Clé publique
S
Le paiement électronique
hachage
m
2.1- Sécurisation et authentification
Exemple 1 : MD5
Disponible dans le domaine public depuis 1992
Empreinte sur 128 bits
Fiabilité des empreintes (peu de collisions et non
inversible)
Checksum anti-virus sur des systèmes de fichiers
Le paiement électronique
2.1- Sécurisation et authentification : Signature électronique
Exemple 2 : SHA-1
Secure Hash Algorithm-1
Empreintes sur 160 bits
Plus robuste mais plus lent que MD5
Documents d’au moins 264 bits
Le paiement électronique
2.1- Sécurisation et authentification : Signature électronique
Certificat électronique
Document numérique attestant de la propriété d’une clé
publique par une personne : identification
Infalsifiable (norme standard=X.509) :
Clé publique
Nom du propriétaire
Date d’expiration de la clé
Nom du responsable du certificat
Numéro de série
Le paiement électronique
2.1- Sécurisation et authentification
Certificat électronique
1. Logiciel de
génération de clés
Gestionnaire
de clés
3. Clé publique du
gestionnaire ?
2. Génération des clés
4. réponse
5. Envoi clé publique
6. Déchiffrement de la clé
Assurance de l’identité du producteur
encryptée
7. Certificat signé par
clé secrète
Le paiement électronique
2.1- Sécurisation et authentification
Kerberos
Kerberos
1.identification du client auprès du
service Kerberos
2. Obtention d’une clé secrète et
d’un certificat permettant un
dialogue avec le serveur de tickets
Client
Le paiement électronique
2.1- Sécurisation et authentification
Kerberos
Kerberos
Serveur
de tickets
1.identification du client auprès du
serveur de tickets
2. Obtention d’une clé secrète et
d’un certificat permettant un
dialogue avec le serveur voulu
Client
Le paiement électronique
2.1- Sécurisation et authentification
Kerberos
Serveurs
Kerberos
Serveur
de tickets
Client
Le paiement électronique
Dialogue avec le serveur
2.1- Sécurisation et authentification
Datation
Signature en aveugle : signature pratiquée par une
identité qui n’a pas accès au contenu de ce document
Service de datation :
Cryptage change de façon aléatoire
Clés publiques archivées
Retrouver la clé publique en vigueur à la date supposée
Le paiement électronique
2.1- Sécurisation et authentification
2.2- Transfert de l ’information
SSL
SET
PMTP
MPTP
S-HTTP
Le Paiement Electronique
2- Méthodes
SSL
Secure Socket Layer : développé par Netscape
Protection du contenu
Serveur
Client
c
Clé secrète c
S Pub
c
c’
m
m’
Authentification du serveur
Le Paiement Electronique
2.2- Transfert de l'information
SET
Secure Electronic Transaction
Protocole sécuritaire pour les transactions par
carte bancaire sans puce
2 couples de clés asymétriques :
clés de cryptage et clés de signature
Portefeuille électronique
logiciel regroupant différentes CB
Le Paiement Electronique
2.2- Transfert de l'information
SET
Source : www.set.ch/basics/basics-procedure-fr.html
Le Paiement Electronique
2.2- Transfert de l'information
C-SET
Chip-Secure Electronic Transaction
Dispositif de paiement sécurisé sur Internet
par carte à puce
Étend SET
Niveau de sécurité plus élevé
Le Paiement Electronique
2.2- Transfert de l'information
PMTP
Pay-Me Transfert Protocol
Chacun a sa paire de clé publique et privée
Utilisable par tous
Porte-monnaie électronique
mode de paiement permettant de remplacer
l'argent liquide dans un environnement on-line
Le Paiement Electronique
2.2- Transfert de l'information
MPTP
Micro Payment Transfert Protocol (1995)
Transfert de petites valeurs
Il faut un intermédiaire commun
Le Paiement Electronique
2.2- Transfert de l'information
S-HTTP
Secure HTTP
Confidentialité, authenticité, intégrité
et non répudiation
Cryptage du message + signature
Le Paiement Electronique
2.2- Transfert de l'information
Récapitulatif
Choix techniques
SSL
SET
S-HTTP
Algo de cryptage
Identification
RC2, RC4, IDEA,
RSA
DES et 3DES
DES
RSA
DES, 3DES, DESX, RSA ou Kerberos
IDEA, RC2 et CDMF
Le Paiement Electronique
Empreinte
MD5 ou SHA
Certificat
X.509
SHA-1
X.509
X.509
2.2- Transfert de l'information
Et en pratique ...
CyberCash.com
Cryptage SSL à 128 bits
Amazon.fr
Cryptage SSL
LeroyMerlin.fr
Cryptage SSL et RSA
Le Paiement Electronique
2- Méthodes
Plan
Introduction
1- Présentation et objectifs
2- Méthodes
3- Produits
4- Législation
Conclusion
Questions
Le Paiement Electronique
3- Produits
Cartes de crédit
Cartes à puce
Comptes bancaires
Ordres de paiement
Le paiement électronique
Cartes de crédit
Très répandue
Paiement en direct sur Internet et en temps réel
Différentes solutions selon le lieu de stockage des
informations sensibles (numéro de cartes par exemple)
Aucune conservation :
Avantages : indépendance / ordinateur, fraudes
Inconvénient : transmission à chaque achat
Le paiement électronique
3- Produits
Fournisseur effectue tout le processus de
transaction
Aucun logiciel chez le client
Cartes d’achat, micro-transactions regroupées
client
marchand
password
facture
confirmation
Gestion
de CR
reçu
Le paiement électronique
3- Produits
Cartes de crédit
Intermédiaire ou une banque :
Avantage : faibles risques d’interception
Inconvénient : logiciel indispensable
Informations conservées sur le disque dur du client :
Avantages :
le client n’a pas à entrer les informations manuellement
temps moins important
Inconvénients :
dépendant / ordinateur
risques de fraudes importants
Le paiement électronique
3- Produits
Système de paiement immédiat, sûr et facile d’utilisation
Association avec plusieurs compagnies de gestion de carte de crédit
système d’enregistrement : anonymat du client
client
marchand
15 / 20 secondes
Le paiement électronqiue
CyberCash
Banque
Marchand
Banque Client
3- Produits
Cartes de crédit
Informations conservées sur le disque dur de la banque :
Avantages : élimine le risque de fraude par les commerçants
Inconvénients : attrait de gain pour les fraudeurs
Le paiement électronique
3- Produits
Cartes à puce
« Porte-monnaie électronique » contenant de l’ « argent
électronique » pouvant être rechargé
Paiement de carte à puce à carte à puce : les marchands
ne voient aucune information
Problèmes de logistique : matériel particulier pour les
débits/crédits non disponibles dans le grand public
Le paiement électronique
3- Produits
Argent chargé sur la carte
Paiement effectué via un terminal
Clé publique + Processeur sécurisé
Portefeuille électronique
Source: http://www.rambit.qc.ca/plamondon/mondex.htm
Le Paiement Electronique
3- Produits
Porte-monnaie électronique
Mondex, Moneo et Modeus
Verrouillage du marché sur le dos des
consommateurs
commission : de 0,9 à 2 % de la transaction
+ cotisation annuelle auprès des banques
+ matériel de paiement
=> manque de sécurité
=> non respect de la vie privée
Le paiement électronique
3- Produits
VirtuoCash
Porte-monnaie électronique basé sur le système de
téléphonie mobile GSM
Compatibilité avec le standard CEPS
Indépendance vis-à-vis de l’opérateur téléphonique
Porte-monnaie dans le téléphone
Confidentialité et intégrité garanties
Le paiement électronique
3- Produits
CEPS
Common Electronic Purse Specification
Série de spécifications
Délivre un standard qui permet le différenciation et la
compétition mais qui délivre une interopérabilité.
RSA et authentification mutuelle
Le paiement électronique
3- Produits
Comptes Bancaires
Régulier Vs Spécial
Internet Vs Poste
Banque Vs Disque dur
Argent numérique ou non
Le Paiement Electronique
3- Produits
Bank-Net
Secure Trust Bank
POSTE
MarketNet
Le Paiement Electronique
INTERNET
MarketNet
Internet WorkHouse
3- Produits
e-Cash
Développé par DigiCash
Logiciel en ligne
2 Comptes bancaires
Anonymat : signatures aveugles
Clé publique et privée
Problème : la taille de la BD
-> PMTP
Le Paiement Electronique
3- Produits
e-Cash
Banque
Cyber Wallet
Client Web
Le Paiement Electronique
Cryptage
Marchand
Serveur Web
3- Produits
Ordres de paiement
Chèque électronique
Système de paiement
Le paiement électronique
3- Produits
Chèque électronique
Mode de paiement en ligne visant à remplacer les
chèques papier
Signature électronique logiciel
Le paiement électronique
3- Produits
Netbill
Négociation des prix
Protection des 2 parties
Plusieurs services
Le paiement électronique
3- Produits
Netbill
Tiroir caisse
Serveur
Netbill
Banque
client
Banque
fournisseur
Porte monnaie
Le paiement électronique
Kerberos
3- Produits
MilliCentTM Microcommerce Network
Fonctionnalité : pay-per-click
Agrégation
Titre provisoire = argent électronique valide
localement pour un vendeur spécifique
Le Paiement Electronique
3- Produits
Récapitulatif
Inscription
Intermédiaire
Provenance
Logiciel
Importance du paiement
Rapidité
Le paiement électronique
Plan
Introduction
1- Présentation et objectifs
2- Méthodes
3- Produits
4- Législation
Conclusion
Questions
Le Paiement Electronique
4- Législation
Vente à distance ou par correspondance
Contrat : écrit signé pour toute transaction de
plus de 5000 francs faite par un particulier
Signature électronique : loi en Mars 2000
Respect de la vie privé
Le Paiement Electronique
Cas pratique ...
Comment puis-je prouver que j'ai bien effectué un achat par
carte de crédit sur Internet ?
En effet, le vendeur refuse de me livrer en prétextant n'avoir
pas été réglé...
Le Paiement Electronique
4- Législation
Plan
Introduction
1- Présentation et objectifs
2- Méthodes
3- Produits
4- Législation
Conclusion
Questions
Le Paiement Electronique
Plan
Introduction
1- Présentation et objectifs
2- Méthodes
3- Produits
4- Législation
Conclusion
Questions
Le Paiement Electronique
Questions …
Le Paiement Electronique
Bibliographie
Alain Plamondon - 1996 : "Paiement électronique"
http://rambit.qc.ca/plamondon/ecashin.html
Présentation bien développée sur le paiement électroniques : analyse fonctionnelle,
protocoles, entreprises privées …
Stuart Feldman : "The changing face of E-Commerce » et "Electronic
marketplaces"
IBM Institute for Advanced Commerce
IEEEE Internet Computing
http://computer.org/internet/
Administration : http://www.finances.gouv.fr
Ensemble des impôts que les contribuables peuvent payer en ligne
DigiCash : http://www.digicash.nl
Le Paiement Electronique
Bibliographie
SET : http://www.set.ch
MarketNet et BankNet : http://www.mkn.co.ok
NetBill : http://www.ini.cmu.edu/netbill/
Projet de l'université Carnegie Mellon (Information Network Institute)
http://parodie.com/monetique/
Projets de Porte-monnaie électroniques
Réglementation sur la signature électronique
Yescards - Vulnérabilités des cartes bancaires - Groupement des cartes bancaires
Jean-Claude Morand : Paiement sur Internet
http://www.idf.net/articles/paiements.html
Moyens de sécurisation (SSL et SET) - Paiements sur Internet (C-SET et e-COMM) Portefeuille virtuel
Le Paiement Electronique
Bibliographie
CEPS : http://www.cepsco.org
Ensemble de spécifications communes aux portes monnaies électroniques
PMTP : Michael Peirce - Donal O'Mahony
"Scaleable, Secure Cash Payment for WWW Resources with the PayMe Protocol Set"
http://www.w3.orgTRWD-mptp-951122
E-Cash, NetCash - PayMe Transfer Protocol (PMTP)
http://www.murielle-cahen.com/page2200.asp
Cas pratiques de paiement sur Internet
Législation
http://europa.eu.int
Recommandation de la Commission du 30 juillet 1997 concernant les opérations
effectuées au moyen d'instruments de paiement électronique, en particulier la
relation entre émetteur et titulaire
Le Paiement Electronique
Bibliographie
Cryptographie
Laurent CAPRANI, Avril 96, cours à l’université du Quebec à Montréal
http://www.er.uqam.ca/nobel/m237636/paiement/intro.html
Présentation des différents modes de paiement, introduction à la cryptographie,
authentification électronique et présentation du protocole SET
Alain Hugentobler, mémoire de licence, Juin 2000
http://cuisung.unige.ch/memoires/Hugentobler/table-cont.html
Cryptographie, protocoles SSL, certificats numériques
RSA
http://www.rsa.com
Site officiel
VirtuoCash
http://www.bantry-technologies.com/mpayement.html
Le Paiement Electronique