Cours Complet Commerce Electronique

Institut Supérieur des Sciences Appliquées et de Technologie de Sousse

Le Commerce Electronique

Responsable du cours :

Mme. Rahma FOURATI DAMMAK

Auditoire : 3ème année LA-TMW

Année universitaire : 2011-2012

Sommaire

Chapitre 1 Contexte du Commerce Electronique .................................................................. 1

1. Introduction et Motivation .............................................................................................. 1

1.1. Définition du CE ...................................................................................................... 1

1.2. Les Xnets ................................................................................................................. 1

1.3. Pourquoi le CE maintenant ? ................................................................................... 2

1.4. Architecture du Web ................................................................................................ 3

2. Les modèles du CE .......................................................................................................... 3

3. Les facteurs de réussite du CE ........................................................................................ 4

4. Les avantages et les inconvénients du CE ....................................................................... 5

4.1. Les avantages pour l’entreprise ............................................................................... 5

4.2. Les avantages pour le client ..................................................................................... 5

4.3. Les inconvénients pour l’entreprise ......................................................................... 6

4.4. Les inconvénients pour le client .............................................................................. 6

Chapitre 2 La conception d’un site marchand ....................................................................... 7

1. Fixer les objectifs : pourquoi ce site web ? ..................................................................... 7

1.1. Objectif stratégique .................................................................................................. 7

1.2. Objectif marketing ................................................................................................... 7

1.3. Objectif commercial ................................................................................................. 7

2. Le public visé : à qui je m’adresse ? ............................................................................... 7

3. Le contenu : quelles informations je place sur le site ? ................................................... 8

3.1. Le front-office .......................................................................................................... 8

3.2. Le back-office ........................................................................................................ 10

4. L’aspect visuel ............................................................................................................... 11

5. L’aspect fonctionnel ...................................................................................................... 11

Chapitre 3 La Sécurité dans le Commerce Electronique ..................................................... 12

1. Concepts de base ........................................................................................................... 12

1.1. Les services de sécurité .......................................................................................... 12

1.2. Les menaces contre le CE ...................................................................................... 12

1.3. Les mécanismes de sécurité ................................................................................... 13

2. La sécurité des données ................................................................................................. 13

2.1. La cryptographie .................................................................................................... 13

2.2. Signature digitale ................................................................................................... 15

2.3. Le certificat électronique ....................................................................................... 16

3. La sécurité des transactions ........................................................................................... 17

3.1. S-HTTP .................................................................................................................. 17

3.2. SSL ......................................................................................................................... 17

3.3. SET ........................................................................................................................ 18

3.4. VPN ........................................................................................................................ 19

4. La sécurité des réseaux .................................................................................................. 19

4.1. Les moyens classique ............................................................................................. 19

4.2. Les nouvelles tendances ......................................................................................... 20

Chapitre 4 Le Paiement Electronique .................................................................................. 24

1. Définition ...................................................................................................................... 24

2. Les systèmes de paiement électroniques ....................................................................... 24

2.1. E-Banking .............................................................................................................. 24

2.2. Le porte monnaie électronique ............................................................................... 25

2.3. Carte bancaire ........................................................................................................ 26

3. Les protocoles de paiement électronique ...................................................................... 28

3.1. SSL (Secure Socket Layer) .................................................................................... 28

3.2. SET (Secure Electronic Transcation) ..................................................................... 28

3.3. C-SET .................................................................................................................... 29

4. Les moyens de paiement en Tunisie ............................................................................. 30

4.2. Le e-dinar (www.e-dinar.poste.tn) ......................................................................... 33

4.3. e-Banking (www.ccpnet.poste.tn) .......................................................................... 34

4.4. e-Billing (Electronic Bill Presentment and Payment System) ............................... 35

4.5. Track and Trace (www.rapidposte.poste.tn) .......................................................... 36

Chap.1 Contexte du Commerce Electronique

Chapitre 1 Contexte du Commerce Electronique

1. Introduction et Motivation

1.1. Définition du CE Le commerce électronique décrit le processus d’achat, de vente de biens et de services et d’échange d’informations par le biais de réseaux de communication y compris l’internet. Le commerce électronique concerne non seulement les entreprises mais aussi les particuliers.

1.2. Les Xnets Le commerce électronique ne se limite pas au seul réseau Internet. Dans le cadre du commerce inter-entreprises, on utilise l’extranet comme réseau pour l’échange électronique de données (Electronic Data Interchange).

Figure 1-1 Les Xnets

• Internet est un système mondial d'interconnexion de réseau informatique, utilisant un ensemble standardisé de protocole de transfert de données. C'est donc un réseau de réseaux, sans centre névralgique, composé de millions de réseaux aussi bien publics, privés, universitaires, commerciaux et gouvernementaux. Internet transporte un large spectre d'information et permet l'élaboration d'applications et de services variés comme le courrier électronique, la messagerie instantanée et le World Wide Web.


• Un extranet est une extension du système d'information de l'entreprise à des partenaires situés au-delà du réseau. L’accès à l’extranet se fait via Internet, par une connexion sécurisée avec mot de passe dans la mesure où cela offre un accès au système d'information à des personnes situées en dehors de l'entreprise. L’extranet est donc en général un site à accès sécurisé qui permet à l’entreprise de n’autoriser la consultation d’informations confidentielles qu’à certains intervenants externes comme à ses fournisseurs, ses clients, aux cadres situés à l’extérieur de l’entreprise, aux commerciaux, etc. Un extranet n'est ni un intranet, ni un site internet. Il s'agit d'un système supplémentaire offrant par exemple aux clients d'une entreprise, à ses partenaires ou à des filiales, un accès privilégié à certaines ressources informatiques de l'entreprise.

• Un intranet est un réseau informatique utilisé à l'intérieur d'une entreprise ou de toute autre entité organisationnelle utilisant les techniques de communication d'Internet (IP, serveurs HTTP).

1.3. Pourquoi le CE maintenant ? • Convergence des technologies : du côté software, il n’y a pas de contrainte sur le

client car n’importe quel navigateur peut se connecteur au serveur web de l’entreprise. De plus, l’entreprise doit être informatisée pour pouvoir intégrer les applications intervenant au commerce électronique. Du côté hardware, on peut connecter des différents matériels.

• Existence des réseaux de communication : en effet, les technologies Web ont été largement développées.

• Facilité d’usage : l’interface utilisateur est facile à manipuler (c.à.d le navigateur). Il est à noter que toutes les applications doivent coopérer ensemble pour pouvoir réaliser le projet commercial d’où la compatibilité software.

Figure 1-2 Les services Internet


1.4. Architecture du Web

Figure 1-3 Architecture du Web

Le serveur web crée un cookie sur le disque dur du client. Il est envoyé en tant qu'en-tête HTTP par le serveur web au navigateur web qui le renvoie inchangé à chaque fois qu'il accède au serveur. Un cookie peut être utilisé pour une authentification, une session (maintenance d'état), et pour stocker une information spécifique sur l'utilisateur, comme les préférences d'un site ou le contenu d'un panier d'achat électronique.

2. Les modèles du CE Le CE se déroule essentiellement entre entreprises et particuliers mais les interventions se diffèrent. En effet, on trouve :

• B2C « Business to Consumer » (exp : web catalog, E-Mall, vente aux enchères) Il concerne l'utilisation de supports électroniques pour tout ou partie des relations commerciales entre une entreprise et les particuliers notamment la présentation de catalogue les commandes en ligne, le paiement électronique, la publicité en ligne, les promotions en ligne …

• B2B «Business to Business» (exp: procuration, vente aux enchères) Il concerne les applications numériques liées aux relations entre plusieurs entreprises ou les services d’une même entreprise tels les que les achats de matière première de produits semi-finis, les prestations de services, la sous-traitance de la fabrication d’un produit fini, la coordination de plusieurs activités de recherche et développement dispersés géographiquement …

• B2G “Business to Government” (restrictif à cause des regulations, B2A) Il concerne l’échange numérique de données entre des entreprises et des


administrations tels que les déclarations d’impôts ou de douane et la consultation de certains documents administratives tels que les procédures d’import export.

• Portals (portails d’informations exp: www.poste.tn)

Figure 1-4 Les différents types du CE

Il faut noter que ces modèles peuvent être interdépendants, la mise en œuvre d'un projet e-business correspond généralement à une combinaison de ces différents modèles avec un modèle de base complété secondairement par d'autres modèles. Par exemple, la réalisation d'un projet B2C amènera souvent à adopter un modèle B2B pour le réapprovisionnement de certains produits.

3. Les facteurs de réussite du CE Il est nécessaire de prendre en compte les facteurs clés de réussite suivants :

• Proposer un catalogue complet : Ne mettre en ligne que quelques produits ou prestations, c’est comme si on ne remplissait que la moitié des rayons dans une boutique classique. Il y a alors de grandes chances que l’internaute ne revienne pas.

• Rassurer les clients : La confiance est un passage obligé pour que le e-client ait envie de passer sa commande. Il faut absolument que les informations restent confidentielles et que le système de paiement soit parfaitement sécurisé.

• Proposer un site ergonomique : Rien ne sert de retenir trop longtemps le client avec un menu trop copieux ou contraignant. Particulièrement exigent et pressé, tout


cyberacheteur fait en général le tour de la concurrence. Il doit donc pouvoir trouver se qu’il souhaite rapidement et précisément.

• Fidéliser le client : Un client est plus facile à fidéliser qu’à trouver. Les statistques montrent d’ailleurs que les acheteurs en ligne sont des clients fidèles. Avec une bonne politique de fidélisation, ceci ne vous quitteront pas facilement lorsque la concurrence arrivera à son tour sur le net. Il s’agit donc de mener une politique de promotion offensive (prix intéressants, réductions sur les nouveautés, programme de fidélisation alléchant…)

• Faire de la pub en ligne : La modestie ne paye pas sur le net. Il faut acheter de l’espace en ligne, notamment sous forme de bandeaux publicitaires interactifs communicant un message clair et attrayant. Pour être vu, le bandeau doit être léger et répondre à une taille standard.

• Se bouger en permanence : L’internaute est un consommateur à part qui veut trouver sur le site visité de la qualité, de l’originalité, du choix et de la séduction. L’austérité, la banalité ou la présence de produits ordinaires le feront fuir à coup sur vers la concurrence. Il faut donc rechercher à améliorer sans cesse l’attraction du site et/ou à renouveler son contenu, afin de le faire revenir le plus souvent possible.

4. Les avantages et les inconvénients du CE

4.1. Les avantages pour l’entreprise • Réduire les coûts. • Faciliter l'échange d'informations. • Travail collaboratif. • Accroître la productivité et les ventes. • Développer de nouveaux marchés; de nouveaux horizons • Vecteur d’expansion géographique: Hausse des ventes et clientèle étrangère • Désintermédiation et accès direct aux marchés. • Décloisonnement et marché global. • Favorisation de l’interactivité en développant une relation personnelle avec le

consommateur ou le client, facilitant la vente « one to one » (personnalisée) et le sur-mesure.

• Permission d’envisager des politiques de fidélisation du client à travers une offre de services et à forte valeur ajoutée.

• La possibilité de réduire les prix publics des produits en éliminant la marge laissée habituellement aux intermédiaires, comme certains coûts de structure.

4.2. Les avantages pour le client • Le e-commerce est un extraordinaire outil de pré-sélection ; les cyberconsommateurs

ont un accès immédiat et permanent (24 heures par jour) à des informations détaillées concernant les prix et les caractéristiques d’un grand nombre de fournisseurs.

• Les acheteurs potentiels ne subissent pas de pression de la part des vendeurs puisque ils ne sont pas en contact direct avec eux.


• Un marché aux puces à l’échelle mondiale ; • Un gain de temps ; il facilite les transactions en évitant à l’acheteur de se déplacer

(donc lui faire gagner du temps et baisser la pollution et la consommation du carburant) tout en lui offrant un service identique et confortable.

• Une offre actualisée de produit (on trouve les derniers modèles).

4.3. Les inconvénients pour l’entreprise • L’incertitude et le manque de confiance autour de la sécurisation des moyens de

paiement, malgré le fait que dorénavant les méthodes de cryptage de données assurent une confidentialité quasi parfaite lors de la transaction.

• La résistance des intermédiaires (grossistes, distributeurs) qui craignent une destruction d’emplois assortie d’une perte de chiffre d’affaires.

• Certaines produits tels que les biens alimentaires périssable et les vêtements de haute gamme et les accessoires de luxe ne peuvent pas être vendus en ligne car le consommateur a besoin de les examiner avant de les acheter.

• L’insuffisance du taux d’équipement des ménages en ordinateurs et d’accès à l’internet dans certains pays en développement constitue un frein important au développement de commerce électronique

• Rien ne permet de garantir les couleurs du Web les couleurs différent selon le type d'ordinateur, le type de l'écran, les réglages de l'écran et son âge.

4.4. Les inconvénients pour le client • Le pistage informatique à partir des cookies, c'est-à-dire ces petits fichiers qui

identifient l’ordinateur appelant de façon unique afin pouvoir retracer toutes les habitudes d’appel et de consommation.

• L’insécurité des paiements et la peur de tomber sur un cybermarchand mal honnête qui ne livre pas.

• Le manque de relations humaines et le sentiment d’isolement devant sa machine (cas des Internautes peu expérimentés).

• Le manque de contact avec le produit. • Les coûts de téléphone. • Les détails et tarifs de livraison. • Le matraquage publicitaire à travers l’émail

Chapitre 2 La conception d’un site marchand

Objectifs

Public visé

Contenu Visuel Fonctionnel

1. Fixer les objectifs : pourquoi ce site web ? Cette phase doit précéder le choix de design et de l'organisation du site car les pages web doivent être écrites pour remplir les objectifs et pas le contraire.

1.1. Objectif stratégique • être présent sur le web. • tromper la concurrence à travers la maximation du trafic de la clientèle sur le site. • Recueillir certaines informations sur les clients en vue de mieux connaitre leurs attentes et

de mieux les cibler par des offres commerciaux.

1.2. Objectif marketing • Publier des informations sur l’entreprise et ses activités en vue d’améliorer son image

et de favoriser des contacts commerciaux avec des intermédiaires ou des clients. • Offrir des promotions et des nouveautés.

1.3. Objectif commercial • Passage de la vente à l’échelle nationale vers la vente à l’échelle mondiale. • Approvisionnement plus efficace. • Augmenter la qualité de services et le support client (assistance clientèle, service après

vente).

2. Le public visé : à qui je m’adresse ? Le public en fonction de l’objectif :

• internaute expert : c’est un internaute qui a l’habitude de naviguer. • internaute spécifique : c’est un internaute ayant un âge précis, d’un pays spécial,

d’éthique différente, ayant un budget fixé….

Le public en fonction de la visite : • visiteur passager c.à.d occasionnel. • visiteur fidèle.

Chap.2 Une Démarche de Conception d’un Site Marchand

3. Le contenu : quelles informations je place sur le site ? Il s’agit de l’aspect informationnel et rédactionnel. Le contenu dépend du public visé. Par exemple, si le site vise les clients fidèles (qui connaissent bien l’entreprise), alors il est inutile de placer les informations de localisation et de l’historique de l’entreprise.

On distingue deux parties pour le contenu : l’architecture frontale (« front office ») et l’architecture navigationnelle (« back-office »).

3.1. Le front-office C’est le découpage du contenu en des sections. Il s’agit de décider pour chaque rubrique le nombre de pages associées. Donc, la projection de la structure thématique (thème, sous-thème,..) en pages donne la structure frontale.

Il faut essayer de séparer le contenu en sections en gardant en mémoire les objectifs à réaliser, et en plaçant dans la même section les informations qui se rapportent aux mêmes sujets. Parfois les objectifs et les sections sont fort semblables.

Par exemple pour une librairie en ligne, l'objectif de vente en ligne des livres peut être associé à une section commande de livres. Dans cette phase il faut se faire une idée de ce que l'on va décrire dans les pages. Par exemple les sections du site marchand d’un commerçant de chaussures pourraient être:

• Accueil et présentation générale de l’entreprise • Catalogue de produit pour homme • Catalogue de produit pour femme • Commande en ligne • Contacts commerciaux.

Il ne faut pas se préoccuper de l'ordre des étapes ou de la manière dont on va permettre le passage d'une section à une autre. Il faut juste lister les choses que l'on veut décrire dans les pages. On peut définir autant de sections que l'on veut mais il faut essayer de garder chaque section dans une taille raisonnable. Si une section est trop grande, il vaut mieux la séparer en sous sections. Par exemple, si la gamme de produit est trop large, faire une section pour chaque ligne de produit.

Certaines critères permettent de diviser le site en pages tels que :

• la taille du fichier. • l’homogénéité de l’information

Il existe des modèles pour le front-office, à savoir : la structure séquentielle ou linéaire, la structure linéaire avec alternatives, la structure hiérarchisée et la structure en réseau ou web.

3.1.1. La structure séquentielle/linéaire Ce modèle est assez similaire à la manière dont on parcourt les documents imprimés. Dans un modèle linéaire, le home page est le titre ou l'introduction et chaque page suit séquentiellement. Dans un modèle linéaire strict, il y a des liens pour aller d'une page à l'autre,


en général à la page suivante et à la page précédente. Un contexte linéaire est très rigide et limite la liberté du lecteur pour explorer et la votre pour présenter l'information. Cette structuration est néanmoins très intéressante pour mettre en ligne des sujets qui sont très linéaires comme des livres, des instructions pas à pas, etc.

3.1.2. La structure linéaire avec alternatives Ce modèle permet d'assouplir la rigidité du modèle linéaire en autorisant le lecteur à dévier du chemin principal à certains endroits. Ce modèle convient bien, par exemple, pour l'explication d'une procédure d'installation d'un produit dont toutes les étapes, sauf une, sont identiques. Le cheminement est identique jusqu'au moment où il diffère pour une plate-forme : l'utilisateur doit alors choisir l'étape suivante qui convient à sa plate-forme. Une fois la spécificité traitée, l'utilisateur est renvoyé vers la partie commune de l'installation.

3.1.3. La structure hiérarchisée

Figure 2-1 Le modèle hiérarchisé

C'est probablement le modèle le plus logique pour structurer un site. Ce type de structuration est particulièrement adapté à des systèmes d'aide en ligne. On doit d'abord faire un choix parmi des sujets génériques puis, plus on avance, plus les sujets deviennent particuliers. Dans une structure hiérarchique, il est facile de s'y retrouver car les choix sont limités. On peut aller un niveau au-dessus pour des sujets plus génériques ou un niveau en dessous pour des sujets plus détaillés. Il est intéressant de fournir un lien vers le menu principal, de façon à ce que le lecteur puisse retourner rapidement à un endroit connu. Dans cette organisation, le home page fournit une vue d'ensemble du contenu accessible via des liens. Il faut éviter d'inclure trop de niveaux et trop de choix ; 2 ou 3 niveaux sont un bon nombre. Trop de pages de menu conduisent au "voice mail syndrome", c'est-à-dire qu'après avoir dû choisir parmi trop de niveaux, le visiteur a oublié la raison de sa visite.

3.1.1. La structure réseau/web Un WEB est un ensemble de documents avec peu ou pas de structure. La seule chose qui lie les pages entre elles, c'est un lien. Le lecteur passe de document en document en suivant les liens environnants.


Figure 2-2 Le modèle web

Les structures WEB permettent au visiteur d'errer dans le site ; elles sont idéales quand on veut encourager le visiteur à naviguer sur le site. Un exemple d'utilisation de cette structure pourrait être un ensemble de chambres virtuelles. Dans ce contexte, chaque page est organisée de façon à correspondre à une location (une pièce) et de cette location on peut se déplacer dans différentes directions pour explorer les environs comme on passe de pièce en pièce dans un building. Le problème avec ce type d'organisation, c'est qu'il est facile de se perdre. Sans aucune structure du contenu, il est difficile de se représenter les relations entre l'endroit où l'on se trouve et l'endroit où on va aller. Ce type de structure est très désorientant quand le visiteur a un objectif en tête. Pour solutionner le problème on peut soit prévoir sur chaque page un lien vers le home page soit inclure une carte du site avec une indication de la position du visiteur dans la structure (comme les flèches vous êtes ici dans les grands immeubles par exemple).

3.2. Le back-office C’est la façade arrière du site, par exemple la sauvegarde des paramètres d’authentification (login et mot de passe) d’un client passager est inutile). Il s’agit de distinguer entre pages statiques et pages dynamiques, de créer la BD, de développer les scripts…

Pour distinguer entre page statique et page dynamique, on se base sur :

• la durée de vie de l’information, si elle est courte, alors l’information change souvent et donc c’est une page dynamique.

• la fréquence de l’information : • la puissance du serveur : si le serveur n’est pas puissant alors la page est statique (exp :

les FAQ) • le mode du serveur : s’il est en mode différé alors il fait l’actualisation des

informations des pages statiques quand la charge est basse.


4. L’aspect visuel Il s’agit de définir l’identité du site. L’aspect visuel comprend :

• les images et les photos des produits pour former le catalogue et pour présenter le local de l’entreprise.

• Une séquence vidéo est nécessaire si le client a besoin de regarder le produit de tous les côtés et pour bien présenter les caractéristiques techniques du produit.

• Il est conseillé de présenter des graphiques montrant bien le résultat d’une statistique.

5. L’aspect fonctionnel Il touche au fonctionnement du site, par exemple la taille réduite d’un fichier texte (<30 ko) assure la rapidité du téléchargement.

Chapitre 3 La Sécurité dans le Commerce Electronique

1. Concepts de base La sécurité informatique est un ensemble de tactiques retardant l’accès non autorisé à des données.

Politique de sécurité : énumérer ce qui est autorisé exp : Le marchand veut vendre seulement pour les clients qu’il connait

Services de sécurité : qu’est-ce qu’on garantie ?

Mécanismes : par quels moyens on assure ces services

1.1. Les services de sécurité

• Authentification : lors de l'envoi d'un message ou lors de la connexion à un système, on connaît sûrement l'identité de l'émetteur ou l'identité de l'utilisateur qui s'est connecté.

• Confidentialité : assure que seulement les personnes autorisées peuvent comprendre les données protégées (Confidentialité de données). De plus, elle assure de cacher le fait qu’il y a une communication (Confidentialité de communication).

• Intégrité : on a la garantie qu'un message expédié n'a pas été altéré, accidentellement ou intentionnellement.

• Non-répudiation : assure qu’une personne ne peut pas refuser d’avoir effectué une opération sur des données, c.à.d l’émetteur ne peut pas nier sa responsabilité d’envoi du message.

• Contrôle d’accès : le site marchand dispose des ressources aidant au bon fonctionnement de son application du e-commerce. Le contrôle d’accès assure que seulement des personnes autorisées peuvent accéder à des ressources protégées.

1.2. Les menaces contre le CE Les menaces peuvent attaquer différents niveaux, à savoir :

• contre le réseau interne (l’intranet de l’entreprise), • contre les serveurs TCP/IP de l’internet (l’infrastructure du réseau mondial, exp :

programmer TCP/IP de façon que l’@source=@destination et donc le serveur entre en boucle infinie d’où la surcharge du serveur).

• contre la transmission de données (transmission avec erreurs)

Chap.3 La Sécurité dans le Commerce Electronique

• contre la disponibilité (le serveur du marchand sera non accessible)

Les menaces contre le CE sont :

• l’usurpation d’identité, • l’interception de données, • la modification de données, • la répudiation et • l’accès non autorisé.

1.3. Les mécanismes de sécurité Les mécanismes de sécurité sont les moyens techniques permettant d’assurer les services de sécurité. Parmi les mécanismes, nous citons :

• la cryptographie • la signature digitale • le certificat électronique

Il est à noter qu’il existe trois niveaux de sécurité, de données, de transactions et du réseau.

• sécurité de données et des transactions : assurer la « privacy » et la confidentialité des messages électroniques et les paquets de données, ceci inclut le cryptage de données en utilisant diverses méthodes de cryptage.

• sécurité client/serveur : assurer que uniquement les personnes permises accèdent aux ressources du réseau ou au contenu des serveurs web, ceci inclut la protection des mots de passe, l’utilisation de « encrypted smart cards » et firewalls.

2. La sécurité des données La cryptographie est la contribution la plus forte dans le domaine de sécurité de des données. D’autres mécanismes sont apparus mais ils se basent sur le principe de cryptage.

2.1. La cryptographie Une méthode de cryptage et décryptage est appelée un chiffrement. Généralement on a 2 fonctions liées : une pour crypter et l’autre pour décrypter. Quelques méthodes de cryptage se basent sur des algorithmes secrets. Tous les algorithmes modernes utilisent une clé pour contrôler le cryptage et le

décryptage. Il existe trois types d’algorithmes de cryptage : symétrique, asymétrique et hybride.


2.1.1. Algorithmes symétriques

Figure 3-1 Cryptage symétrique

Cryptage symétrique Cette méthode est la plus simple à comprendre : si un expéditrice Anne(A) veut envoyer un message chiffré à un destinataire Bob (B) elle doit lui communiquer un mot de passe (Clé). Comme l'algorithme de chiffrement est symétrique, on a la relation suivante :

Message Codé = Chiffrement(Clé, Message)

algorithme simple et rapide. problème d’échange de la clé. la clé est sauvegardé sur pc donc risque de piratage de la clé.

Exemples des algorithmes : DES, RC4, IDEA, Blowfish…

2.1.2. Algorithmes asymétriques

Figure 3-2 Cryptage asymétrique

Cryptage asymétrique Cette méthode fait appel aux mathématiques. La propriété des algorithmes asymétriques est qu'un message codé par une clé publique n'est lisible que par le propriétaire de la clé privée


correspondante. A l'inverse, un message chiffré par la clé privé sera lisible par tous ceux qui possèdent la clé publique. Ainsi la clé privée d’Anne permet de prouver qu'elle est l'auteur d'un message, alors que sa clé publique préservera le contenu du message à destination d'Anne car il ne sera lisible que par celle-ci.

Meilleure gestion de clés. divination de clé plus difficile. plus lent, plus complexe.

Exemples d’algorithmes : RSA, Diffie-Hellman, El Gamal,…

2.1.3. Algorithmes hybrides En pratique, le cryptage asymétrique est utilisé pour sécuriser et distribuer la clé de session. Cette clé est utilisée avec un cryptage symétrique pour la communication.

1. L’expéditeur génère une clé de session aléatoire, la crype en utilisant la clé publique du receveur

2. Le et l’envoie.

receveur décrypte le message avec sa clé privée3. Les deux cryptent/décryptent leurs communications en utilisant la

pour retrouver la clé de session. clé de session

4. Les partenaires se mettent d’accord sur une nouvelle .

clé temporairement5. La

. clé est détruite

à la fin de la session.

Le problème d’échange de clé est résolu par un algorithme asymétrique. Le problème de gestion de clé est résolu par la notion de « session » donc on n’a pas

besoin de stocker la clé.

2.2. Signature digitale Une signature digitale est un protocole qui produit le même effet qu’une signature réelle. Elle est une marque que seul l’expéditeur peut faire. Les autres personnes peuvent facilement reconnaître qu’elle appartient à l’expéditeur (grâce à la fonction de vérification).

Les signatures digitales doivent être :

• non forgeables (non reproduites) : si P signe un message M avec sa signature S(P,M), il est impossible pour les autres de produire le même pair [M, S(P,M)].

• authentiques : R recevant la pair [M, S(P,M)] peut vérifier que la signature est réellement de P.

1. Dans un algorithme symétrique, le fait que la clé est secrète garantit l’authentification. Mais ceci n’élimine pas la possibilité de forger la clé. De plus, il n’y a pas de protection contre la répudiation (nier l’envoi du message).

2. L’algorithme asymétrique est idéal pour la signature digitale (on a l’inverse : cryptage avec clé privé/décryptage avec clé publique).

on a besoin d’un arbitre pour éliminer la possibilité de forger la clé.


Pour signer un message :

• L’émetteur utilise sa clé privée pour crypter le message avec sa signature. • Le receveur peut vérifier la signature en utilisant la clé publique de l’émetteur. • Donc uniquement l’émetteur qui a pu signer le message puisque sa clé privée

appartient à lui seul authentification+non répudiation. • Le receveur sauvegarde le message et la signature pour toute vérification future.

Scénario de la signature digitale : (envoyer un message M)

1. L’émetteur crypte le message avec sa clé privée, il obtient la signature S. 2. Il crypte le couple (M,S) avec la clé publique du receveur, il obtient le message M1 à

envoyer. 3. Il envoie le message M1. 4. Le receveur décrypte M1 avec sa clé privée pour obtenir le couple (M,S). 5. Il décrypte S avec la clé publique de l’émetteur pour obtenir un6. Le receveur compare le message M qu’il a reçu dans le couple (M,S) avec le message

M qu’il a trouvé. S’ils sont égaux alors il accepte le message, sinon il le rejette.

message M.

2.3. Le certificat électronique Dans une transaction électronique l’expéditeur d’un message a besoin de s’assurer de la validité de l’identité réclamé par son destinataire

Scénario du certificat électronique :

par exemple un acheteur de CD sur internet doit vérifier qu’il a envoyé son virement électronique à un commerçant et non pas à un pirate qui aurait usurpé son identité. Afin de prouver leur identité aux acheteurs les commerçants utilisent un certificat numérique qui joue le rôle d’une pièce d’identité numérique.

1. Pour obtenir ce certificat chaque entreprise doit envoyer à une autorité de certification

2. Puis l’autorité de certification vérifie les informations fournies et ajoute au certificat son propre nom, une date limite de validité, et surtout une signature numérique. Le format des certificats est défini par le standard X509v3.

(certification authority CA tels que Vérisign, KPMG…) différentes informations lui concernant ( dénomination sociale, adresse, émail, activité , clé publique..)

3. Le certificat numérique est signé par la clé privé de l’organisme de certification et remis au demandeur sous forme d’un fichier qu’il peut stocker dans le disque dur de son PC ou sur une carte à puce ou un USB.

4. L’organisme de certification publie le certificat décodé sur son annuaire. 5. Lorsque l’entreprise certifié souhaite prouver son identité à son destinataire, elle lui

envoie son certificat. 6. Le destinataire déchiffre le certificat avec la clé public de l’organisme de

certification et la compare avec la version disponible dans l’annuaire de CA lorsque l’expéditeur et le destinataire s’authentifient avec leurs certificats numériques ils


peuvent communiquer avec des protocoles sécurisées tels que SSL (Secure sockets layer) et S –http.

3. La sécurité des transactions La sécurité de transaction concerne trois services :

• L’authentification : le serveur est confient de l’identifiant des clients qu’il communique avec. (méthode commune : login+pwd)

• La privacy et la confidentialité : la conversation du client avec le serveur est privée. (méthode commune : cryptage)

• L’intégrité du message : la conversation du client est non modifié. (cryptage puis signature digitale)

3.1. S-HTTP L'HyperText Transfer Protocol, plus connu sous l'abréviation HTTP — littéralement « protocole de transfert hypertexte » — est un protocole de communication client-serveur développé pour le World Wide Web. HTTPS (avec S pour secured, soit « sécurisé ») est la variante du HTTP sécurisée par l'usage des protocoles SSL ou TLS.

HTTP est un protocole de la couche application. Il peut fonctionner sur n'importe quelle connexion fiable, dans les faits on utilise le protocole TCP comme couche de transport. Un serveur HTTP utilise alors par défaut le port 80 (443 pour HTTPS utilisé avec SSL).

Les clients HTTP les plus connus sont les navigateurs Web permettant à un utilisateur d'accéder à un serveur contenant les données. Ces clients se connectent à des serveurs HTTP tels qu'Apache HTTP Server.

Il est à noter que le S-http est une révision de http pour incorporer différents formats de message cryptés sur client et serveur web essentiellement au niveau de la couche d’application.

Les adresses IP source et destination ne sont pas cryptés, donc on connaît les machines (identifiées par les adresses IP) qui sont en cours d’interaction Pas de confidentialité de communication.

De plus le numéro de port est connu donc on connait l’application en cours d’exécution.

3.2. SSL Transport Layer Security (TLS), anciennement nommé Secure Sockets Layer (SSL), est un protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape (SSL version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF suite au rachat du brevet de Netscape par l'IETF en 2001.

Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS. SSL est utilisé au niveau session.

Il crypte les adresses IP d’où la confidentialité de communication.


Il crypte le numéro de port, donc l’application en cours d’exécution est inconnue. • Problème d’acheminement du paquet par les routeurs puisque l’adresse IP qu’il doit

chercher dans sa table de routage est illisible. la solution est de configuer les routeurs de façon qu’ils seront capables d’extraire

l’adresse IP en clair (par décryptage).

3.3. SET SET (Secure Electronic Transaction) est un protocole de sécurisation des transactions électroniques mis au point par Visa et MasterCard, et s'appuyant sur le standard SSL.

SET est basé sur l'utilisation d'une signature électronique au niveau de l'acheteur et une transaction mettant en jeu non seulement l'acheteur et le vendeur, mais aussi leurs banques respectives.

Fonctionnement de SET

Lors d'une transaction sécurisée avec SET, les données sont envoyées par le client au serveur du vendeur, mais ce dernier ne récupère que la commande. En effet, le numéro de carte bleue est envoyé directement à la banque du commerçant, qui va être en mesure de lire les coordonnées bancaires de l'acheteur, et donc de contacter sa banque afin de les vérifier en temps réel.

Figure 3-3 Fonctionnement du SET

Ce type de méthode nécessite une signature électronique au niveau de l'utilisateur de la carte afin de certifier qu'il s'agit bien du possesseur de cette carte.

Comparaison entre SET et SSL

Son champ d'application se réduit au chiffrement des seules données bancaires, contrairement à SSL qui peut chiffrer les images et le texte. Le protocole SET implique trois parties : le client, le vendeur et la banque du vendeur. Ce système SET requiert des certificats auprès des trois parties. Les certificats du client et du vendeur sont fournis par leur banque respective après quoi la transaction commerciale peut avoir lieu. Avec le SET, le numéro de carte bancaire peut ne pas être connu du vendeur, donc ne sera pas stocké dans ses fichiers et être récupéré par une personne mal intentionnée. Le SET assure en principe une transaction de non répudiation, mais cette clause peut varier d'un pays à l'autre suivant la législation en vigueur.

Si le SSL et le SET assurent chacun un haut degré de confidentialité, seul le SET permet une pleine identification réciproque des deux parties grâce à un tiers de confiance, en l'occurrence la banque du vendeur. Ainsi, elle s'assure que la carte est bonne et qu'elle n'a pas été volée.


3.4. VPN Le réseau privé virtuel (Virtual Private Network ) est vu comme une extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Il correspond en fait à une interconnexion de réseaux locaux via une technique de « tunnel » (canal sécurisé gràace au chiffrement des messages). On parle de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure partagée avec d'autres organismes.

Figure 3-4 VPN

4. La sécurité des réseaux Il existe deux approches différentes :

• les moyens classiques. • la nouvelle tendance.

4.1. Les moyens classique

4.1.1. Les réseaux privés On distingue deux types :

• un réseau privé : o non reliés à Internet : donc pas d’accès à Internet. o des serveurs terminaux privés (établissement d’une liaison directe avec le

partenaire pb non faisable car cette solution est limitée par les contraintes juridique, géographique…).

4.1.2. Services cachés On cache notre site à travers le renommage de la page d’accueil pour éviter le référencement par les moteurs de recherche (par exemple nommer « ventes.html » au lieu de « index.html ») pb : le site ne sera pas accessible par tout le monde.

sol : il faut donner l’url complète aux clients.

4.1.3. Code d’accès et mots de passes.

4.1.4. La journalisation Le concept d'historique des événements ou de logging désigne l'enregistrement séquentiel dans un fichier ou une base de données de tous les événements affectant un processus particulier (application, activité d'un réseau informatique…). Le journal (en anglais log file ou plus simplement log), désigne alors le fichier contenant ces enregistrements. Généralement


datés et classés par ordre chronologique, ces derniers permettent d'analyser pas à pas l'activité interne du processus et ses interactions avec son environnement. pb : le fichier est de taille importante ce qui rend la tâche de détection de menace difficile pour l’administrateur réseau.

4.2. Les nouvelles tendances

Afin de sécuriser l’intranet de l’entreprise qui contient des ressources matérielles et logicielles (serveur web, serveur de données, imprimantes,...), il est nécessaire de contrôler le trafic réseau de l’intranet vers l’internet et inversement.

Parmi les moyens nouveaux de sécurité, on cite :

• le serveur proxy. • le firewall : logiciel et matériel.

4.2.1. Serveur proxy La plupart des réseaux domestiques ou de bureau de petite taille utilisent une connexion au réseau par accès distant ou par modem pour se connecter à un fournisseur de services Internet, qui les connecte alors à Internet. Ce fournisseur de services Internet affecte une adresse IP unique à chaque réseau pour le connecter à Internet. En outre, chaque ordinateur d'un réseau doit disposer d'une adresse IP pour établir des connexions à Internet. Au lieu d'utiliser des adresses IP distinctes pour chaque ordinateur, il est plus économique d'utiliser une même adresse IP pour plusieurs ordinateurs. Un serveur proxy est un composant de pare-feu qui permet de connecter plusieurs ordinateurs en réseau à Internet avec une même adresse IP.

Les serveurs proxy remplissent deux fonctions principales : amélioration des performances du réseau et filtrage des demandes des ordinateurs clients.

• Amélioration des performances Les serveurs proxy réduisent le temps nécessaire pour répondre aux demandes émises par des groupes d'utilisateurs. En effet, un serveur proxy met en cache, ou enregistre, les résultats de toutes les demandes transmises pendant un laps de temps. Si un utilisateur souhaite afficher de nouveau une page Web déjà demandée, le serveur proxy lui renvoie simplement cette page, au lieu de transférer sa demande au serveur Web et de télécharger la même page.

Filtrage des demandes des ordinateurs clients Les serveurs proxy permettent aussi de filtrer les demandes des ordinateurs clients pour certaines connexions à Internet. Par exemple, une entreprise peut utiliser un serveur proxy pour empêcher ses employés d'accéder à un ensemble particulier de sites Web.

Fonctionnement d'un serveur proxy

Lors de l'utilisation d'un serveur proxy, les ordinateurs du réseau local sont configurés avec des adresses IP privées. Lorsqu'un ordinateur transmet une demande de connexion à Internet,


il transmet ses données au serveur proxy par le biais du réseau TCP/IP. Le serveur proxy modifie la demande, insère ses propres nom et adresse IP, laquelle est fournie par le fournisseur de services Internet, puis envoie les données sur Internet. Lorsqu'une réponse à la demande est reçue, le serveur proxy la renvoie à l'ordinateur qui est à l'origine de la demande, par le biais du réseau local.

Le proxy s’exécute à l’intranet, il connait les clients donc il peut les identifier grâce à une table d’habilitation définissant les droits d’accès des clients.

4.2.2. Le firewall Tout réseau connecté à Internet doit transmettre des communications à travers un pare-feu. Un pare-feu représente la combinaison d'éléments logiciels et matériels qui interdit l'accès non autorisé à un réseau interne à partir de l'extérieur. Tous les messages du réseau, en entrée ou en sortie, passent par le pare-feu, qui les examine et bloque ceux qui ne répondent pas aux critères de sécurité définis. Un pare-feu filtre le trafic qui ne doit pas passer d'Internet à votre réseau privé, par exemple des messages échangés entre deux ordinateurs sur votre réseau privé.

Figure 3-5 Le filtrage par firewall

Fonctionnement d'un pare-feu

Un pare-feu empêche toute communication directe entre le réseau et des ordinateurs externes en routant les communications par l'intermédiaire d'un serveur proxy situé à l'extérieur du réseau. Le pare-feu détermine s'il n'est pas dangereux de laisser un fichier passer, vers ou depuis le réseau. Un pare-feu est appelé également passerelle de sécurité.


Une passerelle est un système connecté à plusieurs réseaux TCP/IP physiques, et capable de router ou de remettre des paquets IP entre eux. Une passerelle assure la conversion entre des protocoles de transport ou des formats de données différents, par exemple IPX (Internetwork Packet eXchange) et IP. Elle est principalement ajoutée à un réseau pour ses capacités de conversion.

3.4.2.2.1 Machine firewall dédiée (Soft) C’est un machine configurée uniquement pour la sécurité (appelée bastion).

• Les utilisateurs doivent se connecter sur des applications fiables sur le firewall avant toute autre connexion.

• il faut garder seulement les comptes des utilisateurs qui sont responsables de la configuration du firewall.

• il faut d’enlever tout fichier exécutable non nécessaire surtout les programmes réseaux tels que FTP, Telnet… (uniquement le firewall s’exécute)

• Etendre « audit log » et monitoring pour vérifier les accès à distance grâce aux scénarios modélisant une attaque.

• désactiver « ip forwarding » pour éviter que le firewall transfère des paquets non autorisés entre internet et intranet.

« ip forwarding » est un service, s’il est actif alors la machine est configurée comme étant un point de relais (nœud de transmission) qui a pour fonction de faire passer le paquet sans regarder le contenu.

3.4.2.2.2 Packet screening router (Hard) La fonction de base d’un routeur est la transmission du paquet à la base des adresses ip source et destination en consultant sa table de routage.

On va enrichir la fonctionnalité de routage simple par la fonctionnalité de filtrage (le routeur contiendra une table de routage+règles de filtrage). Les règles de filtrage reflètent la politique de sécurité adoptée.

Exemple de règles de filtrages :

• basé sur le protocole (TCP, UDP, ICMP) • basé sur l’adresse IP source • basé sur le N° de port destination (port 80 donc application Web). Rapide car c’est du matériel programmé (exécution hard est plus rapide que

l’exécution soft). Les règles de filtrage sont difficiles à spécifier (il existe différents besoins). Dès le début il faut spécifier presque la majorité des règles de filtrage d’où elles sont

pré-programmées à l’achat. C’est pourquoi il est difficile de changer ces fonctionnalités.

Il peut être dupé (trompé) par un client qui comprend les règles de filtrage (par exp : il change le N° du port TCP).


Le routeur n’assure pas l’authentification car il ne connaît pas la personne plutôt la machine. Donc Ali peut se connecter de n’importe quelle machine du réseau et donc il peut tromper le routeur.

Coûte cher.

Chapitre 4 Le Paiement Electronique

1. Définition • Le paiement électronique permet la réalisation de la phase financière d’une transaction

commerciale Le facteur clé de succès du e-commerce. • Toutes les parties impliquées doivent être sécuritaires en effectuant une transaction

électronique. La sécurité est fondamentale à la réussite de cette transaction. • Les banques/maisons de carte de crédit sont réticent à développer des systèmes de

e-paiement gratuits.

Les enjeux du paiement électronique :

• Facilité d'utilisation : l'internaute moyen doit pouvoir acheter simplement, sans procédé fastidieux à mettre en œuvre.

• Sécurisation des transactions : l'internaute doit pouvoir acheter avec confiance (sécurité des données nominatives et bancaires)

• Homogénéisation des protocoles: L'achat doit être transparent quel que soit le site utilisé, et les technologies employées communes

Le commerce électronique ne prendra son véritable envol que si l'on développe des modes de paiement sûrs, facile d'utilisation et accepté du grand public.

2. Les systèmes de paiement électroniques On distingue essentiellement 4 systèmes de paiement qui sont :

• E-banking • Le porte-monnaie électronique • Les cartes de crédit • Surtaxe Téléphonique

2.1. E-Banking C’est l’ensemble des opérations bancaires qui s’effectuent sur le web

• Le virement bancaire • Consultation solde • …

Pratiquement toutes les banques ont leurs sites e-banking

Pratique et rapidité de l’opération

Chap.4 Le Paiement Electronique

2.2. Le porte monnaie électronique Ce mode de paiement relève d’une philosophie différente. Il envisage la mise à disposition d’une somme d’argent prépayée sur une carte à puce ou sur le disque dur des acteurs.

Le porte-monnaie virtuel est alimenté par l'internaute de façon ponctuelle à partir de sa carte bancaire, et qu'il utilise ultérieurement pour ses achats. Le porte-monnaie électronique sert essentiellement à régler les petites sommes qui ne sont pas couvertes par les cartes classiques.

Des systèmes de paiement par sur-taxation de la communication téléphonique pour l’usager sont également possible.

Les banques ne savent pas qu’est ce que les clients ont dépensé et où (anonymat) : Système de "monnaie en ligne" : vérification de l'authenticité en temps réel par la banque émettrice.

Utilisation de la cryptographie et de signatures numériques authentifiant les utilisateurs et garantissant contre les risques de sécurité

e-cash

• Type de paiement permettant le stockage d’unités monétaires numériques, réservé aux petites dépenses.

• une carte de paiement prépayée, où une certaine somme d’argent a été chargée, permettant le règlement d’une multitude de services.

• Une réserve financière sera donc "stockée" sur le microprocesseur de la carte. • Le porte-monnaie électronique peut également contenir des jetons à usage unique

comme dans le cas des cartes de téléphone. • Transaction: ne fait pas intervenir la banque immédiatement. Celui-ci n'est sollicité

qu'au moment où le commerçant souhaite convertir son argent fictif en argent réel.

Caractéristiques :

• Représente une somme d’argent définie :utilisation du numéro de la carte pour effectuer un paiement.

• Valable uniquement sur les sites qui sont affiliés au gestionnaire des cartes prépayées. • Utilisation d’un identifiant personnel en plus de numéro de la carte • Le crédit de la carte est débité une foisque la transaction effectuée.

Les avantages :

Ne nécessite pas d'autorisation de paiement, donc pas de transaction immédiate avec un système distant.

Son moindre coût le rend intéressant pour des transactions de faible valeur. idéal pour les distributeurs automatiques, le paiement du téléphone, les services Web à

faible valeur ajoutée.

Exemples : Mondex, Monéo Visa Cash, E-dinar


Il peut être un procédé d'avenir, car son coût décroissant, le rendra rentable à moyen terme.

La monnaie électronique : Fonctionnement

1. L’internaute ouvre un compte chez un fournisseur de monnaie électronique 2. Il transfère de l’argent dans ce compte. 3. Quand il fait des achats sur un site marchand, il entre son numéro de compte de

monnaie électronique. 4. L'acheteur reçoit alors des certificats cryptés qu'il envoie avec ses bons de commande. 5. Le site vérifie le certificat en employant la clé publique du client.

• Le site n’a pas d’accès direct au compte bancaire du client. • C’est le fournisseur du porte-monnaie qui règle le montant des achats.

2.3. Carte bancaire

2.3.1. Définition Les cartes de paiement ou crédit est une carte plastique, équipée d'une bande magnétique et/ou puce électronique permettant :

• Le paiement d'achats et prestations de services, auprès de fournisseurs possédant un «terminal de paiement» pouvant lire la carte et connecté ou non à sa banque.

• Les retraits aux distributeurs de billets, • Le télépaiement Internet, etc. • La carte bancaire se caractérise par un BIN (Bank Identification Number) qui permet

d'identifier l’établissement émetteur de la carte.

2.3.2. Utilisation de la carte de crédit

Figure 4-1 Mécanisme de base de la carte de crédit


1. L’acheteur indique le numéro de la carte de crédit sa date de validité, le nom et prénom et le code CVV(Card verification Value)

2. Le site marchand vérifie les données au prés de la banque émettrice de la carte. 3. La banque émettrice autorise la transaction et renvoie l’autorisation. 4. Si l’autorisation est donnée, les parties en présence (l’acheteur et le commerçant) sont

informées. 5. Le service est alors fourni à l’acheteur.

2.3.3. Gestion clientèle : Segmentation La segmentation est la distinction entre plusieurs besoins de la clientèle. En effet il existe 4 niveaux comme l’illustre la figure suivante.

Figure 4-2 Les niveaux de segmentation

A chaque segment peut correspondre une ou plusieurs Cartes.

2.3.4. Avantages • Pour le Porteur : Disponibilité des avoirs 24h/24 et 7j/7. Retrait auprès de tous les GABs. Paiement auprès des commerçants. Cash Advance auprès des guichets de banques. Consultation du solde. Commodité, discrétion…

• Pour le Commerçant : Augmentation de son chiffre d affaires en acceptant ce moyen de paiement. Garantie de paiement.

• Pour la Banque (Agence) Désengorger le guichet de l’Agence. Allégement du traitement des opérations de retrait et des coûts y afférents (retrait

déplacé…) Economie de charge (confection de chèque)


Développer les commissions (cotisation, commission commerçants…) améliorer la rentabilité

Maîtriser le risque (possibilité de modifier les paramètres de fonctionnement…) Amélioration de la Qualité des Services rendus. S’occuper de tâches à valeurs ajoutées. Améliorer la rentabilité ou le compte d’exploitation.

2.3.5. Les fraudes La Fraude est définie comme l’utilisation de :

• une carte perdue, volée, non délivrée ou contrefaite par un acteur non identifié. • une carte par son porteur en contradiction avec les clauses du contrat signé. • Ces fraudes peuvent provenir de fraudeurs isolés ou d’organisations criminelles

internationales.

Les types de fraude sont :

• Cartes perdues / volées : 60 % de la fraude. • Cartes non reçues : cartes interceptées. • Contrefaçon : Carte ré-embossée ou ré-encodée, reproduction complète, fausse

facturette (empreinte réutilisée) • Utilisation frauduleuse d’un N° de carte. • Autres types de fraudes : le fractionnement. • Logiciels pirates : sur Internet pour générer automatiquement des numéros de cartes

(CreditMaster)

3. Les protocoles de paiement électronique Il y a plusieurs protocoles. Les plus utilisés sont :

• SSL • SET • C-SET

3.1. SSL (Secure Socket Layer) Rappel

• Protocole qui garantit l’intégrité et la confidentialité. • Basé sur une cryptographie à clef publique : dans le paiement sur Internet la clé est

128 bits. • Aucune vérification de l’identité des parties en présence.

3.2. SET (Secure Electronic Transcation) • SET utilise le protocole SSL seulement pour le chiffrement des données bancaires. • L'incapacité à identifier formellement l'acheteur est l'un des principaux points faibles

des solutions SSL.


• Mastercard, Visa, IBM, Microsoft et Netscape ont Développé en 1996 le protocole SET.

• SET permet d'identifier clairement et sûrement l'émetteur du paiement, à la différence de SSL qui n'identifie que des applications.

Figure 4-3 Composants du protocole SET

Fonctionnement : • Les données bancaires du client sont cryptées avant d’être transmises sur le Net. • Le commerçant ne reçoit que les détails de la commande. • Le numéro de carte crédit est envoyé directement à la banque du vendeur qui vérifiera

la validité de la carte avec la banque de l’acheteur. • Le protocole SET repose sur le système de signature électronique qui nécessite

l´installation d’un logiciel spécifique sur l’ordinateur du client intitulé Wallet.

SET satisfait aux exigences suivantes:

• Intégrité des données (signature numérique) • Authentification du titulaire de la carte • Authentification du commerçant • Confidentialité des données

Protocole abandonné depuis l'an 2000, car très peu déployé et lourd sur le plan

logistique et organisationnel.

3.3. C-SET Définition


Le protocole C-SET a été conçu pour pallier l'absence de preuve physique de possession de la carte de paiement, qui est la faiblesse du SET. Il ajoute aux fondements de SET, qui restent les mêmes, la présence d'un lecteur de la puce (Chip) de la carte de crédit chez l'internaute.

Fonctionnement

• Validation de la commande et activation du protocole. • Le client introduit sa CB dans un terminal connecté à son PC. • Transaction financière effectuée, sécurisée selon le protocole C-SET.

4. Les moyens de paiement en Tunisie

Figure 4-4 Les moyens de paiement en Tunisie

L'expertise de Monétique-Tunisie se concentre autour :

• Des moyens de paiement : carte bancaire, carte affaire, co-branding, carte privative, carte de crédit etc.

• Des canaux de distribution : DAB/GAB, TPE, Internet, etc.

Les acteurs sont :


4.1.1. Le serveur de paiement sécurisé Le Serveur de Paiement Sécurisé permet d’offrir les autorisations sur les cartes bancaires, dans un environnement sécurisé ; toutes les cartes de paiement locales ou étrangères sont acceptées.

La fonction du SPS est d’assurer le paiement sécurisé : identifier le commerçant, prendre en charge les informations de la transaction, adresser à la SMT une demande d’autorisation et en fournir au client un reçu et au commerçant un acquittement pour livrer la marchandise.

Les échanges des instructions de paiement en ligne sont sous le protocole SSL (mode https).

4.1.2. L’entreprise : SMT • Des interventions modulables. • La conjugaison du stratégique et de l'opérationnel.

Pour ce faire, la SMT dispose d’ :

• Un Centre d’autorisation relié aux organismes internationaux, et opérationnel 24h/24, tous les jours de l’année;

• Un Centre serveur pour la gestion des TPEs et des DABs; • Un Centre d’embossage et d’encodage des cartes.


Figure 4-5 Infrastructure de la monétique-tunisienne

La sécurité de SPS est associée à trois qualités :

• L’intégrité • La confidentialité • La disponibilité.

La monétique Tunisie :

• Répond par délégation aux demandes d’autorisations parvenues du SPS. • Fait le routage des demandes d’autorisation vers les serveurs des banques locales. • Fait le routage aux organismes internationaux (Visa et MasterCard) pour les cartes

internationales.

Il mérite de signaler que les transactions internationales ont enregistré un chiffre d'affaires de 11 094 154,107DT soit 76% du chiffre d'affaires global (15 200 141,747DT), ce chiffre est

réalisé à hauteur de 8,319,397,470DT par les cartes internationales VISA et 2,774,756,637DT par les cartes internationales MasterCard.


Le chiffre d'affaires moyen des transactions autorisées par jour est passé de 330DT pour les 3 premiers mois d'activité à 24 363,397DT pour les 3 derniers mois, soit un chiffre d'affaires moyen par jour de 16 239,468DT pour les 31mois d'activité.

4.2. Le e-dinar (www.e-dinar.poste.tn) Le e-dinar est :

• Porte monnaie électronique. • Multi-Usage : Internet : achat de biens et de services DAB : retrait d’argent interbancaire TPE : paiement dans les magasins et commerces

• Carte de paiement prépayée, disponible dans les bureaux de Poste. • Rechargeable : carte de recharge, par carte bancaire sur les DAB de la Poste (89), en

espèce dans les bureaux de poste. • Cible : Grand Public, clients ayant ou non un compte courant bancaire ou postal • Sécurité et confidentialité : Code DAB et Code Internet (8 chiffres)

Figure 4-6 Le système de paiement e-Dinar

La figure 4-7 présente quelques sites marchands partenaires.

http://www.e-dinar.poste.tn/�


Figure 4-7 Sites Partenaires de la poste tunisienne

Procédure d’affiliation à la plateforme e-dinar :

Sur le plan administratif :

• Demande d’affiliation : description du produit, compte CCP, responsable financier, responsable technique, moyens de paiements sollicités.

• Acquisition certificat électronique : Agence Nationale de Certification Electronique (ANCE).

• Signature d’un contrat.

Sur le plan technique :

• Développement du site marchand (boutique en ligne), • Intégration du kit marchand, • Installation du certificat électronique, • Interface de suivi des transactions (Monitoring), • Test et mise en production.

4.3. e-Banking (www.ccpnet.poste.tn) Les chèques postaux en ligne : une solution de paiement sécurisée pour les grands montants.

• Services Site Web : extrait de compte, consultation solde, virements. • Transferts de compte à compte : payement des fournisseurs, salaire employées,

factures,… • Securité (high level)

http://www.ccpnet.poste.tn/�


authentification : digital certificate Signature électronique : solution reconnu légalement

• Clients : Entreprises, banques, administrations, citoyen, …

Figure 4-8 Architecture de la solution e-Banking

4.4. e-Billing (Electronic Bill Presentment and Payment System) (www.fatouranet.poste.tn)

http://www.fatouranet.poste.tn/�


Figure 4-9 Architecture du e-Billing

• Services Consultation Payement

• Factures STEG, SONEDE, Tunisie Télécom, Tunisiana Factures FSI : ADSL,… TTN

• Clients Citoyens résident en Tunisie ou à l’étranger Compagnies, entreprises

• Mode de paiement Carte UNIVERSEL Cartes bancaire Transferts : e-Banking system

4.5. Track and Trace (www.rapidposte.poste.tn) Electronic Track & Trace System of mail and express parcels.

http://www.rapidposte.poste.tn/�


Figure 4-10 Suivi électronique des envois rapide poste

Cours Complet Commerce Electronique

Documents

Transcript of Cours Complet Commerce Electronique