Étude d ’approfondissement Le Paiement Électronique

Étude Étude d ’approfondissement d ’approfondissement

Le Paiement Le Paiement ÉlectroniqueÉlectronique

FOULC AurélieFOULC AurélieGUILLEMOT GUILLEMOT

PerrinePerrine

RICM-3RICM-318 Octobre 200118 Octobre 2001

Le Paiement Electronique

IntroductionIntroduction1- Présentation et objectifs1- Présentation et objectifs2- Méthodes2- Méthodes3- Produits 3- Produits 4- Législation4- LégislationConclusionConclusionQuestionsQuestions

PlanPlan


1.1- Définition1.1- Définition

1.2- Types de paiement1.2- Types de paiement

1.3- Propriétés à respecter1.3- Propriétés à respecter

1.4- Moyens mis en œuvre1.4- Moyens mis en œuvre

1.5- Coûts1.5- Coûts

1.6- B2B1.6- B2B

1- Présentation et Objectifs1- Présentation et Objectifs

Le paiement électronique 1- Présentation et objectifs

DéfinitionDéfinition

Moyen permettant d’effectuer des transactions commerciales Moyen permettant d’effectuer des transactions commerciales pour l ’échange de biens ou de services sur Internetpour l ’échange de biens ou de services sur Internet

Échelle des transactionsÉchelle des transactions Macro : > 5 $Macro : > 5 $ Mini et Micro : entre 1/1000 $ et 5 $Mini et Micro : entre 1/1000 $ et 5 $

Le Paiement Electronique 1- Présentation et objectifs

Cartes de créditCartes de crédit Cartes à puceCartes à puce Comptes bancairesComptes bancaires Ordres de paiementOrdres de paiement

Types de paiementTypes de paiement


Le paiement doit être :Le paiement doit être : UniverselUniversel

PortablePortable

Infalsifiable et InviolableInfalsifiable et Inviolable

PrivéPrivé

AnonymeAnonyme

Propriétés à respecterPropriétés à respecter


Off-lineOff-line

RapideRapide Non contraignantNon contraignant

Non répudiableNon répudiable

DivisibleDivisible

LégalLégal

Propriétés à respecterPropriétés à respecter


Algorithmes de cryptageAlgorithmes de cryptage

Authentification Authentification

ProtocolesProtocoles

Moyens mis en oeuvreMoyens mis en oeuvre


Main d’œuvre Main d’œuvre Prévention des risquesPrévention des risques InfrastructuresInfrastructures TransactionsTransactions Application des loisApplication des lois

CoûtsCoûts


B2BB2B

Gros montant : paiement papierGros montant : paiement papier Sinon, comme B2CSinon, comme B2C



PlanPlan


2.1- Sécurisation et Authentification2.1- Sécurisation et Authentification

2.2- Transfert de l ’information2.2- Transfert de l ’information

2- Méthodes2- Méthodes

Le paiement électronique 2- Méthodes

2.1- Sécurisation et 2.1- Sécurisation et authentificationauthentification

CryptographieCryptographie Signature électroniqueSignature électronique Certificat électroniqueCertificat électronique KerberosKerberos DatationDatation

Le paiement électronique 2-1. Sécurisation et authentification

CryptographieCryptographie

Mécanisme de clés :Mécanisme de clés : clé secrète ou clé secrète ou cryptage symétriquecryptage symétrique clé publique / privéeclé publique / privée ou ou cryptage asymétriquecryptage asymétrique

Confidentialité des messagesConfidentialité des messages

Le paiement électronique 2.1- Sécurisation et authentification : Crytographie

Cryptage symétriqueCryptage symétrique

Avantage : simplicitéAvantage : simplicité Problème : transmission de la cléProblème : transmission de la clé

Source : http://cuisung.unige.ch/memoires/Hugentobler/crypto.html

Le paiement élecrtonique 2.1- Sécurisation et authentification : Cryptographie

Cryptage asymétriqueCryptage asymétriqueSource :

http://cuisung.unige.ch/memoires/Hugentobler/crypto.html

AuthentificatioAuthentificationn

ConfidentialitConfidentialitéé

Technique utilisé pour l’échange de clé secrèteTechnique utilisé pour l’échange de clé secrète

Le paiement électronique 2.1- Sécurisation et authentification : Cryptographie

Exemple 1 :Exemple 1 : DDataata EEncryptionncryption SStandardtandard

16 itérations :16 itérations :

Crypté avec une partie de la clé

+ transposition

Cryptage symétriqueCryptage symétrique par blocs avec une clé de 56 par blocs avec une clé de 56 bitsbits

développé pardéveloppé par IBM, la NSA et le NBS dans les IBM, la NSA et le NBS dans les années 1970années 1970

Bloc de 64 bitstransposition


Standard du gouvernement des E.U (77)Standard du gouvernement des E.U (77)

Performance : entre 300 Mbits/s et 3 Gbits/s Performance : entre 300 Mbits/s et 3 Gbits/s

(cryptage ou décryptage)(cryptage ou décryptage)

Fiabilité : facile à casserFiabilité : facile à casser

Triple DESTriple DES

Exemple 1 :Exemple 1 : DDataata EEncryptionncryption SStandardtandard

Le paiement électronique

Exemple 2 : Exemple 2 : AAdvanceddvanced EEncryptionncryption SStandardtandard

Octobre 2000Octobre 2000

Cryptage symétriqueCryptage symétrique Remplacement du DES (compétition lancée par le NIST)Remplacement du DES (compétition lancée par le NIST) Blocs de 128 bitsBlocs de 128 bits Clés de longueurs différentes : 128, 192 ou 256 bitsClés de longueurs différentes : 128, 192 ou 256 bits Plusieurs rounds de 4 opérations Plusieurs rounds de 4 opérations

SubstitutionSubstitution DécalageDécalage MélangeMélange Ou exclusif avec la cléOu exclusif avec la clé

Plus sur et plus rapide que le DESPlus sur et plus rapide que le DES


Exemple 3Exemple 3 : : RRivestivest SShamirhamir AAdelmandelman

Cryptage asymétriqueCryptage asymétrique Performances : 100 fois plus lent que le Performances : 100 fois plus lent que le DESDES Fiabilité : factorisation irréalisableFiabilité : factorisation irréalisable Usage : largement répanduUsage : largement répandu


RRivestivest S Shamirhamir A Adelmandelman

Clé = clé secrète = (Clé = clé secrète = (pp,,qq,,dd) ) + clé publique = (+ clé publique = (nn,,ee))

BobBob

p et q 2 nombres premiers :p et q 2 nombres premiers :pp=11 et =11 et qq=17 =17 nn = p = p xx q = 187 q = 187 2 entiers 2 entiers dd=7 et =7 et ee=23 =23 (e x d –1) est multiple de (p-1)(q-1) et e<n(e x d –1) est multiple de (p-1)(q-1) et e<n

c = mc = me e modulo n modulo n m’ = c m’ = cdd modulo nmodulo n

Le paiement électronique 2.1- Sécurisation et authentification

Signature électroniqueSignature électronique Intégrité, non répudiation et authentificationIntégrité, non répudiation et authentification EmpreinteEmpreinte

m + Sm + S

hachage mm

h(m)h(m)CodageClé privée

Signature Signature SS

S S

DécodageClé publique

h(m)h(m)hachage

mmh(m)h(m) = ?

Le paiement électronique 2.1- Sécurisation et authentification : Signature électronique

Exemple 1 : MD5Exemple 1 : MD5

Disponible dans le domaine public depuis Disponible dans le domaine public depuis 19921992 Empreinte sur Empreinte sur 128 bits128 bits Fiabilité des empreintes (peu de collisions et non Fiabilité des empreintes (peu de collisions et non

inversible)inversible) Checksum anti-virus sur des systèmes de fichiersChecksum anti-virus sur des systèmes de fichiers

Le paiement électronique 2.1- Sécurisation et authentification : Signature électronique

Exemple 2 : SHA-1Exemple 2 : SHA-1

Secure Hash Algorithm-1Secure Hash Algorithm-1

Empreintes sur Empreintes sur 160 bits160 bits

Plus robuste mais plus lent que MD5Plus robuste mais plus lent que MD5

Documents d’au moins 264 bitsDocuments d’au moins 264 bits


Certificat électroniqueCertificat électronique Document numérique attestant de la propriété d’une Document numérique attestant de la propriété d’une

clé publique par une personne : clé publique par une personne : identificationidentification InfalsifiableInfalsifiable (norme standard=X.509) : (norme standard=X.509) :

Clé publiqueClé publique Nom du propriétaireNom du propriétaire Date d’expiration de la cléDate d’expiration de la clé Nom du responsable du certificatNom du responsable du certificat Numéro de sérieNuméro de série


Gestionnaire de clés

1. Logiciel de

génération de clés

2. Génération des clés

3. Clé publique du

gestionnaire ?

4. réponse

5. Envoi clé publique

encryptée

6. Déchiffrement de la clé Assurance de l’identité du producteur

7. Certificat signé par

clé secrète

Certificat électroniqueCertificat électronique


KerberosKerberos

Client

Kerberos

1.identification du client auprès du service Kerberos

2. Obtention d’une clé secrète et d’un certificat permettant un dialogue avec le serveur de tickets


KerberosKerberos

Client

Kerberos Serveur de tickets

1.identification du client auprès du serveur de tickets

2. Obtention d’une clé secrète et d’un certificat permettant un dialogue avec le serveur voulu


KerberosKerberos

Client

ServeursKerberos

Serveur de tickets

Dialogue avec le serveur


DatationDatation

Signature en aveugleSignature en aveugle : signature pratiquée par une : signature pratiquée par une identité qui n’a pas accès au contenu de ce documentidentité qui n’a pas accès au contenu de ce document

Service de datation : Service de datation : Cryptage change de façon aléatoireCryptage change de façon aléatoire Clés publiques archivéesClés publiques archivées Retrouver la clé publique en vigueur à la date Retrouver la clé publique en vigueur à la date supposéesupposée

Le Paiement Electronique 2- Méthodes

2.2- Transfert de l ’information2.2- Transfert de l ’information

SSLSSL SETSET PMTPPMTP MPTPMPTP S-HTTPS-HTTP

Le Paiement Electronique 2.2- Transfert de l'information

Secure Socket LayerSecure Socket Layer : développé par : développé par NetscapeNetscape Protection du contenuProtection du contenu

Serveur Client

Clé secrète c

c c ’S Pub

m ’mc

Authentification du serveur

SSLSSL


Secure Electronic TransactionSecure Electronic Transaction Protocole sécuritaire pour les transactions Protocole sécuritaire pour les transactions par carte bancaire sans pucepar carte bancaire sans puce 2 couples de clés asymétriques : 2 couples de clés asymétriques : clés de cryptage et clés de signature clés de cryptage et clés de signature Portefeuille électroniquePortefeuille électronique logiciel regroupant différentes CBlogiciel regroupant différentes CB

SETSET


SETSETSource : www.set.ch/basics/basics-procedure-fr.html


Chip-Secure Electronic TransactionChip-Secure Electronic Transaction Dispositif de paiement sécurisé sur Dispositif de paiement sécurisé sur Internet par carte à puceInternet par carte à puceÉtend SETÉtend SETNiveau de sécurité plus élevéNiveau de sécurité plus élevé

C-SETC-SET


Pay-Me Transfert ProtocolPay-Me Transfert Protocol Chacun a sa paire de clé publique et Chacun a sa paire de clé publique et privéeprivée Utilisable par tous Utilisable par tous Porte-monnaiePorte-monnaie électronique électronique mode de paiement permettant de remplacer mode de paiement permettant de remplacer l'argent liquide dans un environnement on-linel'argent liquide dans un environnement on-line

PMTPPMTP


Micro Payment Transfert ProtocolMicro Payment Transfert Protocol (1995) (1995) Transfert de petites valeurs Transfert de petites valeurs

Il faut un intermédiaire communIl faut un intermédiaire commun

MPTPMPTP


Secure HTTPSecure HTTP Confidentialité, authenticité, intégrité Confidentialité, authenticité, intégrité et non répudiationet non répudiation Cryptage du message + signatureCryptage du message + signature

S-HTTPS-HTTP


Choix techniquesChoix techniques

Algo de cryptage Identification Empreinte CertificatSSL RC2, RC4, IDEA,

DES et 3DESRSA MD5 ou SHA X.509

SET DES RSA SHA-1 X.509S-HTTP DES, 3DES, DESX,

IDEA, RC2 et CDMFRSA ou Kerberos X.509

RécapitulatifRécapitulatif

Le Paiement Electronique 2- Méthodes

CyberCash.comCyberCash.comCryptage SSL à 128 bitsCryptage SSL à 128 bits Amazon.frAmazon.frCryptage SSLCryptage SSL LeroyMerlin.frLeroyMerlin.frCryptage SSL et RSACryptage SSL et RSA

Et en pratique ...Et en pratique ...



PlanPlan

Le paiement électronique Le paiement électronique

3- Produits3- Produits

Cartes de crédit Cartes de crédit

Cartes à puceCartes à puce

Comptes bancairesComptes bancaires

Ordres de Ordres de paiementpaiement

Le paiement électronique 3- Produits

Cartes de Cartes de créditcrédit

Très répandueTrès répandue Paiement en direct sur Internet et en temps réelPaiement en direct sur Internet et en temps réel Différentes solutions selon le lieu de stockage des Différentes solutions selon le lieu de stockage des

informations sensibles (numéro de cartes par exemple)informations sensibles (numéro de cartes par exemple) Aucune conservationAucune conservation : :

Avantages : indépendance / ordinateur, fraudesAvantages : indépendance / ordinateur, fraudes

Inconvénient : transmission à chaque achatInconvénient : transmission à chaque achat


Fournisseur effectue tout le processus de Fournisseur effectue tout le processus de transactiontransaction

Aucun logiciel chez le clientAucun logiciel chez le client Cartes d’achat, micro-transactions Cartes d’achat, micro-transactions

regroupéesregroupéesclientclient marchandmarchand

Gestion Gestion de CRde CR

passwordfacture

reçuconfirmation


Cartes de créditCartes de crédit Intermédiaire ou une banqueIntermédiaire ou une banque : :

Avantage : faibles risques d’interceptionAvantage : faibles risques d’interception Inconvénient : logiciel indispensableInconvénient : logiciel indispensable

Informations conservées sur le disque dur du clientInformations conservées sur le disque dur du client : : Avantages : Avantages :

le client n’a pas à entrer les informations le client n’a pas à entrer les informations manuellementmanuellement temps moins importanttemps moins important

Inconvénients :Inconvénients : dépendant / ordinateurdépendant / ordinateur risques de fraudes importantsrisques de fraudes importants

Le paiement électronqiue 3- Produits

Système de paiement immédiat, sûr et facile d’utilisationSystème de paiement immédiat, sûr et facile d’utilisation Association avec plusieurs compagnies de gestion de carte de Association avec plusieurs compagnies de gestion de carte de

créditcrédit système d’enregistrement : anonymat du clientsystème d’enregistrement : anonymat du client

clientclient marchandmarchand CyberCashCyberCashBanque Banque

MarchandMarchand

Banque ClientBanque Client15 / 20 secondes15 / 20 secondes


Cartes de créditCartes de crédit

Informations conservées sur le disque dur de la Informations conservées sur le disque dur de la banquebanque : :

Inconvénients : attrait de gain pour les fraudeursInconvénients : attrait de gain pour les fraudeurs

Avantages : élimine le risque de fraude par les commerçantsAvantages : élimine le risque de fraude par les commerçants


Cartes à puceCartes à puce

« Porte-monnaie électronique » contenant de l’ « Porte-monnaie électronique » contenant de l’ « « argent électroniqueargent électronique » pouvant être rechargé » pouvant être rechargé

Paiement de Paiement de carte à pucecarte à puce à à carte à puce carte à puce : les : les marchands ne voient aucune informationmarchands ne voient aucune information

Problèmes de logistiqueProblèmes de logistique : matériel particulier pour : matériel particulier pour les débits/crédits non disponibles dans le grand les débits/crédits non disponibles dans le grand publicpublic

Le Paiement Electronique 3- Produits

Argent chargé sur la carteArgent chargé sur la carte

Paiement effectué via un terminalPaiement effectué via un terminal

Clé publique + Processeur sécuriséClé publique + Processeur sécurisé

Portefeuille électroniquePortefeuille électronique

Source: http://www.rambit.qc.ca/plamondon/mondex.htm


Porte-monnaie électroniquePorte-monnaie électronique Mondex, Moneo et ModeusMondex, Moneo et Modeus Verrouillage du marché sur le dos des Verrouillage du marché sur le dos des

consommateursconsommateurs commissioncommission : de 0,9 à 2 % de la transaction : de 0,9 à 2 % de la transaction

+ cotisation annuelle auprès des banques+ cotisation annuelle auprès des banques+ matériel de paiement+ matériel de paiement

=> manque de sécurité=> manque de sécurité=> non respect de la vie privée=> non respect de la vie privée


VirtuoCashVirtuoCash

Porte-monnaie électronique basé sur le Porte-monnaie électronique basé sur le système de téléphonie mobile GSMsystème de téléphonie mobile GSM

Compatibilité avec le standard CEPSCompatibilité avec le standard CEPS Indépendance vis-à-vis de l’opérateur Indépendance vis-à-vis de l’opérateur

téléphoniquetéléphonique Porte-monnaie dans le téléphonePorte-monnaie dans le téléphone Confidentialité et intégrité garantiesConfidentialité et intégrité garanties


CEPSCEPSCommon Electronic Purse SpecificationCommon Electronic Purse Specification

Série de spécificationsSérie de spécifications Délivre un standard qui permet le Délivre un standard qui permet le

différenciation et la compétition mais qui différenciation et la compétition mais qui délivre une interopérabilité.délivre une interopérabilité.

RSA et authentification mutuelleRSA et authentification mutuelle


Régulier Vs SpécialRégulier Vs Spécial

Internet Vs PosteInternet Vs Poste

Banque Vs Disque durBanque Vs Disque dur

Argent numérique ou nonArgent numérique ou non

Comptes BancairesComptes Bancaires


Bank-NetBank-Net

INTERNETINTERNET

Internet WorkHouseInternet WorkHouse

MarketNetMarketNetPOSTEPOSTE

Secure Trust BankSecure Trust Bank

MarketNetMarketNet


e-Cashe-Cash

Développé par DigiCashDéveloppé par DigiCash Logiciel en ligneLogiciel en ligne 2 Comptes bancaires2 Comptes bancaires AnonymatAnonymat : signatures aveugles : signatures aveugles Clé publique et privéeClé publique et privée ProblèmeProblème : la taille de la BD : la taille de la BD-> -> PMTPPMTP


e-Cashe-Cash

Client WebClient Web Serveur WebServeur Web

Cyber WalletCyber Wallet MarchandMarchand

BanqueBanque CryptageCryptage


Ordres de paiementOrdres de paiement

Chèque électroniqueChèque électronique Système de paiement Système de paiement


Chèque électroniqueChèque électronique

Mode de paiement en ligne visant à remplacer Mode de paiement en ligne visant à remplacer les chèques papierles chèques papier

Signature électronique logicielSignature électronique logiciel


NetbillNetbill

Négociation des prixNégociation des prix Protection des 2 partiesProtection des 2 parties Plusieurs servicesPlusieurs services


NetbillNetbill

Porte monnaie

Tiroir caisseServeur Netbill

Kerberos

Banque client

Banque fournisseur


MilliCentTM Microcommerce NetworkMilliCentTM Microcommerce Network

FonctionnalitéFonctionnalité : : pay-per-clickpay-per-click

Agrégation Agrégation

Titre provisoireTitre provisoire = argent électronique = argent électronique valide localement pour un vendeur valide localement pour un vendeur spécifiquespécifique

Le paiement électronique

RécapitulatifRécapitulatif Inscription Inscription IntermédiaireIntermédiaire ProvenanceProvenance LogicielLogiciel Importance du paiementImportance du paiement RapiditéRapidité



PlanPlan


Vente à distance ou par correspondanceVente à distance ou par correspondance ContratContrat : écrit signé pour toute : écrit signé pour toute

transaction de plus de 5000 francs faite transaction de plus de 5000 francs faite par un particulierpar un particulier

Signature électroniqueSignature électronique : loi en Mars : loi en Mars 20002000

Respect de la vie privéRespect de la vie privé

4- Législation4- Législation

Le Paiement Electronique 4- Législation

Comment puis-je prouver que j'ai bien effectué un Comment puis-je prouver que j'ai bien effectué un achat par carte de crédit sur Internet ? achat par carte de crédit sur Internet ?

En effet, le vendeur refuse de me livrer en prétextant En effet, le vendeur refuse de me livrer en prétextant n'avoir pas été réglé...n'avoir pas été réglé...

Cas pratique ...Cas pratique ...


PlanPlan



Questions …Questions …


BibliographieBibliographie Alain Plamondon - 1996 : "Paiement électronique"http://rambit.qc.ca/plamondon/ecashin.htmlPrésentation bien développée sur le paiement électroniques : analyse

fonctionnelle, protocoles, entreprises privées …

Stuart Feldman : "The changing face of E-Commerce » et "Electronic marketplaces"

IBM Institute for Advanced CommerceIEEEE Internet Computinghttp://computer.org/internet/

Administration : http://www.finances.gouv.frEnsemble des impôts que les contribuables peuvent payer en ligne

DigiCash : http://www.digicash.nl


BibliographieBibliographie SET : http://www.set.ch

MarketNet et BankNet : http://www.mkn.co.ok

NetBill : http://www.ini.cmu.edu/netbill/Projet de l'université Carnegie Mellon (Information Network Institute)

http://parodie.com/monetique/Projets de Porte-monnaie électroniquesRéglementation sur la signature électroniqueYescards - Vulnérabilités des cartes bancaires - Groupement des cartes

bancaires

Jean-Claude Morand : Paiement sur Internethttp://www.idf.net/articles/paiements.htmlMoyens de sécurisation (SSL et SET) - Paiements sur Internet (C-SET et e-

COMM) - Portefeuille virtuel

http://www.set.ch/

http://www.set.ch/


BibliographieBibliographie CEPS : http://www.cepsco.orgEnsemble de spécifications communes aux portes monnaies électroniques

PMTP : Michael Peirce - Donal O'Mahony"Scaleable, Secure Cash Payment for WWW Resources with the PayMe

Protocol Set"http://www.w3.orgTRWD-mptp-951122E-Cash, NetCash - PayMe Transfer Protocol (PMTP)

http://www.murielle-cahen.com/page2200.aspCas pratiques de paiement sur Internet

Législationhttp://europa.eu.intRecommandation de la Commission du 30 juillet 1997 concernant les

opérations effectuées au moyen d'instruments de paiement électronique, en particulier la relation entre émetteur et titulaire


BibliographieBibliographie CryptographieLaurent CAPRANI, Avril 96, cours à l’université du Quebec à Montréalhttp://www.er.uqam.ca/nobel/m237636/paiement/intro.htmlPrésentation des différents modes de paiement, introduction à la cryptographie,

authentification électronique et présentation du protocole SETAlain Hugentobler, mémoire de licence, Juin 2000http://cuisung.unige.ch/memoires/Hugentobler/table-cont.htmlCryptographie, protocoles SSL, certificats numériques

RSAhttp://www.rsa.comSite officiel

VirtuoCashhttp://www.bantry-technologies.com/mpayement.html

http://www.er.uqam.ca/nobel/m237636/paiement

http://cuisung.unige.ch/memoires/Hugentobler/table-cont.html

http://cuisung.unige.ch/memoires/Hugentobler/table-cont.html

http://www.rsa.com/

http://www.bantry-technologies.com/mpayement.html

Étude d ’approfondissement Le Paiement Électronique

Documents

Transcript of Étude d ’approfondissement Le Paiement Électronique