Étude d approfondissement Le Paiement Électronique FOULC Aurélie GUILLEMOT Perrine RICM-3 18...

Étude Étude

d ’approfondissement d ’approfondissement

Le Paiement Le Paiement

ÉlectroniqueÉlectronique

FOULC AurélieFOULC Aurélie

GUILLEMOT GUILLEMOT PerrinePerrine

RICM-3RICM-318 Octobre 200118 Octobre 2001

Le Paiement Electronique

IntroductionIntroduction

1- Présentation et objectifs1- Présentation et objectifs

2- Méthodes2- Méthodes

3- Produits 3- Produits

4- Législation4- Législation

ConclusionConclusion

QuestionsQuestions

PlanPlan


1.1- Définition1.1- Définition

1.2- Types de paiement1.2- Types de paiement

1.3- Propriétés à respecter1.3- Propriétés à respecter

1.4- Moyens mis en œuvre1.4- Moyens mis en œuvre

1.5- Coûts1.5- Coûts

1.6- B2B1.6- B2B

1- Présentation et Objectifs1- Présentation et Objectifs

Le paiement électronique 1- Présentation et objectifs

DéfinitionDéfinition

Moyen permettant d’effectuer des transactions commerciales Moyen permettant d’effectuer des transactions commerciales pour l ’échange de biens ou de services sur Internetpour l ’échange de biens ou de services sur Internet

Échelle des transactionsÉchelle des transactions Macro : > 5 $Macro : > 5 $ Mini et Micro : entre 1/1000 $ et 5 $Mini et Micro : entre 1/1000 $ et 5 $

Le Paiement Electronique 1- Présentation et objectifs

Cartes de créditCartes de crédit

Cartes à puceCartes à puce

Comptes bancairesComptes bancaires

Ordres de paiementOrdres de paiement

Types de paiementTypes de paiement


Le paiement doit être :Le paiement doit être :

UniverselUniversel

PortablePortable

Infalsifiable et InviolableInfalsifiable et Inviolable

PrivéPrivé

AnonymeAnonyme

Propriétés à respecterPropriétés à respecter


Off-lineOff-line

RapideRapide

Non contraignantNon contraignant

Non répudiableNon répudiable

DivisibleDivisible

LégalLégal

Propriétés à respecterPropriétés à respecter


Algorithmes de cryptageAlgorithmes de cryptage

Authentification Authentification

ProtocolesProtocoles

Moyens mis en oeuvreMoyens mis en oeuvre


Main d’œuvre Main d’œuvre

Prévention des risquesPrévention des risques

InfrastructuresInfrastructures

TransactionsTransactions

Application des loisApplication des lois

CoûtsCoûts


B2BB2B

Gros montant : paiement papierGros montant : paiement papier

Sinon, comme B2CSinon, comme B2C








QuestionsQuestions

PlanPlan


2.1- Sécurisation et Authentification2.1- Sécurisation et Authentification

2.2- Transfert de l ’information2.2- Transfert de l ’information


Le paiement électronique 2- Méthodes

2.1- Sécurisation et 2.1- Sécurisation et authentificationauthentification

CryptographieCryptographie

Signature électroniqueSignature électronique

Certificat électroniqueCertificat électronique

KerberosKerberos

DatationDatation

Le paiement électronique 2-1. Sécurisation et authentification

CryptographieCryptographie

Mécanisme de clés :Mécanisme de clés :

clé secrète ou clé secrète ou cryptage symétriquecryptage symétrique

clé publique / privéeclé publique / privée ou ou cryptage asymétriquecryptage asymétrique

Confidentialité des messagesConfidentialité des messages

Le paiement électronique 2.1- Sécurisation et authentification : Crytographie

Cryptage symétriqueCryptage symétrique

Avantage : simplicitéAvantage : simplicité Problème : transmission de la cléProblème : transmission de la clé

Source : http://cuisung.unige.ch/memoires/Hugentobler/crypto.html

Le paiement élecrtonique 2.1- Sécurisation et authentification : Cryptographie

Cryptage asymétriqueCryptage asymétriqueSource :

http://cuisung.unige.ch/memoires/Hugentobler/crypto.html

AuthentificatioAuthentificationn

ConfidentialitConfidentialitéé

Technique utilisé pour l’échange de clé secrèteTechnique utilisé pour l’échange de clé secrète

Le paiement électronique 2.1- Sécurisation et authentification : Cryptographie

Exemple 1 :Exemple 1 : DDataata EEncryptionncryption SStandardtandard

16 itérations :16 itérations :

Crypté avec une partie de la clé

+ transposition

Cryptage symétriqueCryptage symétrique par blocs avec une clé de 56 par blocs avec une clé de 56

bitsbits

développé pardéveloppé par IBM, la NSA et le NBS dans les IBM, la NSA et le NBS dans les

années 1970années 1970

Bloc de 64 bits

transposition


Standard du gouvernement des E.U (77)Standard du gouvernement des E.U (77)

Performance : entre 300 Mbits/s et 3 Gbits/s Performance : entre 300 Mbits/s et 3 Gbits/s

(cryptage ou décryptage)(cryptage ou décryptage)

Fiabilité : facile à casserFiabilité : facile à casser

Triple DESTriple DES

Exemple 1 :Exemple 1 : DDataata EEncryptionncryption SStandardtandard

Le paiement électronique

Exemple 2 : Exemple 2 : AAdvanceddvanced EEncryptionncryption SStandardtandard

Octobre 2000Octobre 2000

Cryptage symétriqueCryptage symétrique Remplacement du DES (compétition lancée par le NIST)Remplacement du DES (compétition lancée par le NIST) Blocs de 128 bitsBlocs de 128 bits Clés de longueurs différentes : 128, 192 ou 256 bitsClés de longueurs différentes : 128, 192 ou 256 bits Plusieurs rounds de 4 opérations Plusieurs rounds de 4 opérations

SubstitutionSubstitution DécalageDécalage MélangeMélange Ou exclusif avec la cléOu exclusif avec la clé

Plus sur et plus rapide que le DESPlus sur et plus rapide que le DES


Exemple 3Exemple 3 : : RRivestivest SShamirhamir AAdelmandelman

Cryptage asymétriqueCryptage asymétrique

Performances : 100 fois plus lent que le Performances : 100 fois plus lent que le

DESDES

Fiabilité : factorisation irréalisableFiabilité : factorisation irréalisable

Usage : largement répanduUsage : largement répandu


RRivestivest S Shamirhamir A Adelmandelman

Clé = clé secrète = (Clé = clé secrète = (pp,,qq,,dd) )

+ clé publique = (+ clé publique = (nn,,ee))BobBob

p et q 2 nombres premiers :p et q 2 nombres premiers :pp=11 et =11 et qq=17 =17

nn = p = p xx q = 187 q = 187 2 entiers 2 entiers dd=7 et =7 et ee=23 =23

(e x d –1) est multiple de (p-1)(q-1) et e<n(e x d –1) est multiple de (p-1)(q-1) et e<n

c = mc = me e modulo n modulo n m’ = c m’ = cdd modulo nmodulo n

Le paiement électronique 2.1- Sécurisation et authentification

Signature électroniqueSignature électronique

Intégrité, non répudiation et authentificationIntégrité, non répudiation et authentification

EmpreinteEmpreinte

m + Sm + S

hachage mm

h(m)h(m)CodageClé privée

Signature Signature SS

S S

DécodageClé publique

h(m)h(m)hachage

mmh(m)h(m) = ?

Le paiement électronique 2.1- Sécurisation et authentification : Signature électronique

Exemple 1 : MD5Exemple 1 : MD5

Disponible dans le domaine public depuis Disponible dans le domaine public depuis 19921992

Empreinte sur Empreinte sur 128 bits128 bits

Fiabilité des empreintes (peu de collisions et non Fiabilité des empreintes (peu de collisions et non

inversible)inversible)

Checksum anti-virus sur des systèmes de fichiersChecksum anti-virus sur des systèmes de fichiers

Le paiement électronique 2.1- Sécurisation et authentification : Signature électronique

Exemple 2 : SHA-1Exemple 2 : SHA-1

Secure Hash Algorithm-1Secure Hash Algorithm-1

Empreintes sur Empreintes sur 160 bits160 bits

Plus robuste mais plus lent que MD5Plus robuste mais plus lent que MD5

Documents d’au moins 264 bitsDocuments d’au moins 264 bits



Document numérique attestant de la propriété d’une Document numérique attestant de la propriété d’une

clé publique par une personne : clé publique par une personne : identificationidentification

InfalsifiableInfalsifiable (norme standard=X.509) : (norme standard=X.509) : Clé publiqueClé publique Nom du propriétaireNom du propriétaire Date d’expiration de la cléDate d’expiration de la clé Nom du responsable du certificatNom du responsable du certificat Numéro de sérieNuméro de série


Gestionnaire de clés

1. Logiciel de

génération de clés

2. Génération des clés

3. Clé publique du

gestionnaire ?

4. réponse

5. Envoi clé publique

encryptée

6. Déchiffrement de la clé Assurance de l’identité du producteur

7. Certificat signé par

clé secrète



KerberosKerberos

Client

Kerberos

1.identification du client auprès du service Kerberos

2. Obtention d’une clé secrète et d’un certificat permettant un dialogue avec le serveur de tickets


KerberosKerberos

Client

Kerberos Serveur de tickets

1.identification du client auprès du serveur de tickets

2. Obtention d’une clé secrète et d’un certificat permettant un dialogue avec le serveur voulu


KerberosKerberos

Client

ServeursKerberos

Serveur de tickets

Dialogue avec le serveur


DatationDatation

Signature en aveugleSignature en aveugle : signature pratiquée par une : signature pratiquée par une

identité qui n’a pas accès au contenu de ce documentidentité qui n’a pas accès au contenu de ce document

Service de datation : Service de datation :

Cryptage change de façon aléatoireCryptage change de façon aléatoire

Clés publiques archivéesClés publiques archivées

Retrouver la clé publique en vigueur à la date Retrouver la clé publique en vigueur à la date

supposéesupposée

Le Paiement Electronique 2- Méthodes

2.2- Transfert de l ’information2.2- Transfert de l ’information

SSLSSL

SETSET

PMTPPMTP

MPTPMPTP

S-HTTPS-HTTP

Le Paiement Electronique 2.2- Transfert de l'information

Secure Socket LayerSecure Socket Layer : développé par : développé par NetscapeNetscape Protection du contenuProtection du contenu

Serveur Client

Clé secrète c

c c ’S Pub

m ’mc

Authentification du serveur

SSLSSL


Secure Electronic TransactionSecure Electronic Transaction

Protocole sécuritaire pour les transactions Protocole sécuritaire pour les transactions par carte bancaire sans pucepar carte bancaire sans puce

2 couples de clés asymétriques : 2 couples de clés asymétriques :

clés de cryptage et clés de signature clés de cryptage et clés de signature

Portefeuille électroniquePortefeuille électronique

logiciel regroupant différentes CBlogiciel regroupant différentes CB

SETSET


SETSETSource : www.set.ch/basics/basics-procedure-fr.html


Chip-Secure Electronic TransactionChip-Secure Electronic Transaction

Dispositif de paiement sécurisé sur Dispositif de paiement sécurisé sur Internet par carte à puceInternet par carte à puce

Étend SETÉtend SET

Niveau de sécurité plus élevéNiveau de sécurité plus élevé

C-SETC-SET


Pay-Me Transfert ProtocolPay-Me Transfert Protocol

Chacun a sa paire de clé publique et Chacun a sa paire de clé publique et privéeprivée

Utilisable par tous Utilisable par tous Porte-monnaiePorte-monnaie électronique électronique

mode de paiement permettant de remplacer mode de paiement permettant de remplacer

l'argent liquide dans un environnement on-linel'argent liquide dans un environnement on-line

PMTPPMTP


Micro Payment Transfert ProtocolMicro Payment Transfert Protocol (1995) (1995)

Transfert de petites valeurs Transfert de petites valeurs

Il faut un intermédiaire communIl faut un intermédiaire commun

MPTPMPTP


Secure HTTPSecure HTTP

Confidentialité, authenticité, intégrité Confidentialité, authenticité, intégrité

et non répudiationet non répudiation

Cryptage du message + signatureCryptage du message + signature

S-HTTPS-HTTP


Choix techniquesChoix techniques

Algo de cryptage Identification Empreinte CertificatSSL RC2, RC4, IDEA,

DES et 3DESRSA MD5 ou SHA X.509

SET DES RSA SHA-1 X.509S-HTTP DES, 3DES, DESX,

IDEA, RC2 et CDMFRSA ou Kerberos X.509

RécapitulatifRécapitulatif

Le Paiement Electronique 2- Méthodes

CyberCash.comCyberCash.com

Cryptage SSL à 128 bitsCryptage SSL à 128 bits

Amazon.frAmazon.fr

Cryptage SSLCryptage SSL

LeroyMerlin.frLeroyMerlin.fr

Cryptage SSL et RSACryptage SSL et RSA

Et en pratique ...Et en pratique ...








QuestionsQuestions

PlanPlan

Le paiement électronique Le paiement électronique

3- Produits3- Produits

Cartes de crédit Cartes de crédit


Comptes bancairesComptes bancaires

Ordres de Ordres de

paiementpaiement

Le paiement électronique 3- Produits

Cartes de Cartes de créditcrédit

Très répandueTrès répandue

Paiement en direct sur Internet et en temps réelPaiement en direct sur Internet et en temps réel

Différentes solutions selon le lieu de stockage des Différentes solutions selon le lieu de stockage des

informations sensibles (numéro de cartes par informations sensibles (numéro de cartes par

exemple)exemple) Aucune conservationAucune conservation : :

Avantages : indépendance / ordinateur, fraudesAvantages : indépendance / ordinateur, fraudes

Inconvénient : transmission à chaque achatInconvénient : transmission à chaque achat


Fournisseur effectue tout le processus Fournisseur effectue tout le processus de transactionde transaction

Aucun logiciel chez le clientAucun logiciel chez le client Cartes d’achat, micro-transactions Cartes d’achat, micro-transactions

regroupéesregroupées

clientclient marchandmarchandGestion Gestion de CRde CR

password

facture

reçuconfirmation



Intermédiaire ou une banqueIntermédiaire ou une banque : :

Avantage : faibles risques d’interceptionAvantage : faibles risques d’interception Inconvénient : logiciel indispensableInconvénient : logiciel indispensable

Informations conservées sur le disque dur du clientInformations conservées sur le disque dur du client : :

Avantages : Avantages : le client n’a pas à entrer les informations le client n’a pas à entrer les informations manuellementmanuellement temps moins importanttemps moins important

Inconvénients :Inconvénients : dépendant / ordinateurdépendant / ordinateur risques de fraudes importantsrisques de fraudes importants

Le paiement électronqiue 3- Produits

Système de paiement immédiat, sûr et facile d’utilisationSystème de paiement immédiat, sûr et facile d’utilisation

Association avec plusieurs compagnies de gestion de carte de Association avec plusieurs compagnies de gestion de carte de

créditcrédit

système d’enregistrement : anonymat du clientsystème d’enregistrement : anonymat du client

clientclient marchandmarchand CyberCashCyberCash

Banque Banque MarchandMarchand

Banque ClientBanque Client15 / 20 secondes15 / 20 secondes



Informations conservées sur le disque dur de la Informations conservées sur le disque dur de la banquebanque : :

Inconvénients : attrait de gain pour les fraudeursInconvénients : attrait de gain pour les fraudeurs

Avantages : élimine le risque de fraude par les commerçantsAvantages : élimine le risque de fraude par les commerçants



« Porte-monnaie électronique » contenant de l’ « Porte-monnaie électronique » contenant de l’

« « argent électroniqueargent électronique » pouvant être rechargé » pouvant être rechargé

Paiement de Paiement de carte à pucecarte à puce à à carte à puce carte à puce : les : les

marchands ne voient aucune informationmarchands ne voient aucune information

Problèmes de logistiqueProblèmes de logistique : matériel particulier pour : matériel particulier pour

les débits/crédits non disponibles dans le grand les débits/crédits non disponibles dans le grand

publicpublic

Le Paiement Electronique 3- Produits

Argent chargé sur la carteArgent chargé sur la carte

Paiement effectué via un terminalPaiement effectué via un terminal

Clé publique + Processeur sécuriséClé publique + Processeur sécurisé

Portefeuille électroniquePortefeuille électronique

Source: http://www.rambit.qc.ca/plamondon/mondex.htm


Porte-monnaie électroniquePorte-monnaie électronique

Mondex, Moneo et ModeusMondex, Moneo et Modeus Verrouillage du marché sur le dos des Verrouillage du marché sur le dos des

consommateursconsommateurs commissioncommission : de 0,9 à 2 % de la transaction : de 0,9 à 2 % de la transaction

+ cotisation annuelle auprès des banques+ cotisation annuelle auprès des banques+ matériel de paiement+ matériel de paiement

=> manque de sécurité=> manque de sécurité

=> non respect de la vie privée=> non respect de la vie privée


VirtuoCashVirtuoCash

Porte-monnaie électronique basé sur le Porte-monnaie électronique basé sur le

système de téléphonie mobile GSMsystème de téléphonie mobile GSM

Compatibilité avec le standard CEPSCompatibilité avec le standard CEPS

Indépendance vis-à-vis de l’opérateur Indépendance vis-à-vis de l’opérateur

téléphoniquetéléphonique

Porte-monnaie dans le téléphonePorte-monnaie dans le téléphone

Confidentialité et intégrité garantiesConfidentialité et intégrité garanties


CEPSCEPS

Common Electronic Purse SpecificationCommon Electronic Purse Specification

Série de spécificationsSérie de spécifications Délivre un standard qui permet le Délivre un standard qui permet le

différenciation et la compétition mais qui différenciation et la compétition mais qui délivre une interopérabilité.délivre une interopérabilité.

RSA et authentification mutuelleRSA et authentification mutuelle


Régulier Vs SpécialRégulier Vs Spécial

Internet Vs PosteInternet Vs Poste

Banque Vs Disque durBanque Vs Disque dur

Argent numérique ou nonArgent numérique ou non

Comptes BancairesComptes Bancaires


Bank-NetBank-Net

INTERNETINTERNET

Internet WorkHouseInternet WorkHouse

MarketNetMarketNetPOSTEPOSTE

Secure Trust BankSecure Trust Bank

MarketNetMarketNet


e-Cashe-Cash

Développé par DigiCashDéveloppé par DigiCash

Logiciel en ligneLogiciel en ligne

2 Comptes bancaires2 Comptes bancaires

AnonymatAnonymat : signatures aveugles : signatures aveugles

Clé publique et privéeClé publique et privée ProblèmeProblème : la taille de la BD : la taille de la BD

-> -> PMTPPMTP


e-Cashe-Cash

Client WebClient Web Serveur WebServeur Web

Cyber WalletCyber Wallet MarchandMarchand

BanqueBanque CryptageCryptage


Ordres de paiementOrdres de paiement

Chèque électroniqueChèque électronique

Système de paiement Système de paiement


Chèque électroniqueChèque électronique

Mode de paiement en ligne visant à remplacer Mode de paiement en ligne visant à remplacer

les chèques papierles chèques papier

Signature électronique logicielSignature électronique logiciel


NetbillNetbill

Négociation des prixNégociation des prix

Protection des 2 partiesProtection des 2 parties

Plusieurs servicesPlusieurs services


NetbillNetbill

Porte monnaie

Tiroir caisseServeur Netbill

Kerberos

Banque client

Banque fournisseur


MilliCentTM Microcommerce NetworkMilliCentTM Microcommerce Network

FonctionnalitéFonctionnalité : : pay-per-clickpay-per-click

Agrégation Agrégation

Titre provisoireTitre provisoire = argent électronique = argent électronique

valide localement pour un vendeur valide localement pour un vendeur

spécifiquespécifique

Le paiement électronique

RécapitulatifRécapitulatif

Inscription Inscription

IntermédiaireIntermédiaire

ProvenanceProvenance

LogicielLogiciel

Importance du paiementImportance du paiement

RapiditéRapidité








QuestionsQuestions

PlanPlan


Vente à distance ou par correspondanceVente à distance ou par correspondance

ContratContrat : écrit signé pour toute : écrit signé pour toute

transaction de plus de 5000 francs faite transaction de plus de 5000 francs faite

par un particulierpar un particulier

Signature électroniqueSignature électronique : loi en Mars : loi en Mars

20002000

Respect de la vie privéRespect de la vie privé


Le Paiement Electronique 4- Législation

Comment puis-je prouver que j'ai bien effectué un Comment puis-je prouver que j'ai bien effectué un

achat par carte de crédit sur Internet ? achat par carte de crédit sur Internet ?

En effet, le vendeur refuse de me livrer en prétextant En effet, le vendeur refuse de me livrer en prétextant

n'avoir pas été réglé...n'avoir pas été réglé...

Cas pratique ...Cas pratique ...


PlanPlan







QuestionsQuestions








QuestionsQuestions

PlanPlan


Questions …Questions …


BibliographieBibliographie

Alain Plamondon - 1996 : "Paiement électronique"http://rambit.qc.ca/plamondon/ecashin.htmlPrésentation bien développée sur le paiement électroniques : analyse

fonctionnelle, protocoles, entreprises privées …

Stuart Feldman : "The changing face of E-Commerce » et "Electronic marketplaces"

IBM Institute for Advanced CommerceIEEEE Internet Computinghttp://computer.org/internet/

Administration : http://www.finances.gouv.frEnsemble des impôts que les contribuables peuvent payer en ligne

DigiCash : http://www.digicash.nl


BibliographieBibliographie SET : http://www.set.ch

MarketNet et BankNet : http://www.mkn.co.ok

NetBill : http://www.ini.cmu.edu/netbill/Projet de l'université Carnegie Mellon (Information Network Institute)

http://parodie.com/monetique/Projets de Porte-monnaie électroniquesRéglementation sur la signature électroniqueYescards - Vulnérabilités des cartes bancaires - Groupement des cartes

bancaires

Jean-Claude Morand : Paiement sur Internethttp://www.idf.net/articles/paiements.htmlMoyens de sécurisation (SSL et SET) - Paiements sur Internet (C-SET et e-

COMM) - Portefeuille virtuel


BibliographieBibliographie CEPS : http://www.cepsco.orgEnsemble de spécifications communes aux portes monnaies électroniques

PMTP : Michael Peirce - Donal O'Mahony"Scaleable, Secure Cash Payment for WWW Resources with the PayMe

Protocol Set"http://www.w3.orgTRWD-mptp-951122E-Cash, NetCash - PayMe Transfer Protocol (PMTP)

http://www.murielle-cahen.com/page2200.aspCas pratiques de paiement sur Internet

Législationhttp://europa.eu.intRecommandation de la Commission du 30 juillet 1997 concernant les

opérations effectuées au moyen d'instruments de paiement électronique, en particulier la relation entre émetteur et titulaire


BibliographieBibliographie CryptographieLaurent CAPRANI, Avril 96, cours à l’université du Quebec à Montréalhttp://www.er.uqam.ca/nobel/m237636/paiement/intro.htmlPrésentation des différents modes de paiement, introduction à la

cryptographie, authentification électronique et présentation du protocole SET

Alain Hugentobler, mémoire de licence, Juin 2000http://cuisung.unige.ch/memoires/Hugentobler/table-cont.htmlCryptographie, protocoles SSL, certificats numériques

RSAhttp://www.rsa.comSite officiel

VirtuoCashhttp://www.bantry-technologies.com/mpayement.html

Étude d approfondissement Le Paiement Électronique FOULC Aurélie GUILLEMOT Perrine RICM-3 18...

Documents

Transcript of Étude d approfondissement Le Paiement Électronique FOULC Aurélie GUILLEMOT Perrine RICM-3 18...