Paiement électronique
33
Paiement électronique Anthony GARCIA Laurent EYRAUD [email protected] Laurent.Eyraud @e.ujf-grenoble.fr UJF/IMA/DESS GI/SRR http://ufrima.imag.fr/ Année Universitaire 2002-2003
description
Paiement électronique. Anthony GARCIA Laurent EYRAUD [email protected] Laurent.Eyraud @e.ujf-grenoble.fr. UJF/IMA/DESS GI/SRR http://ufrima.imag.fr/. Année Universitaire 2002-2003. Sommaire. Introduction Problématique Provenance de l’argent électronique Micro paiements - PowerPoint PPT Presentation
Transcript of Paiement électronique
Paiement électronique
Anthony GARCIALaurent [email protected] @e.ujf-grenoble.fr
UJF/IMA/DESS GI/SRRhttp://ufrima.imag.fr/ Année Universitaire 2002-2003
13/11/2002pa
iem
ent é
lect
roni
que
2
Sommaire
Introduction Problématique Provenance de l’argent électronique Micro paiements Sécurité Exemple : NetBill
13/11/2002pa
iem
ent é
lect
roni
que
3
Introduction
Développement lié au grand nombre d’utilisateur potentiel
Possède des utilisations diverses• Achat de service• Achat de bien de consommation
• Informatique• Physique
• Règlement de taxes Présente les mêmes avantages qu’Internet
• Diminution des coûts• Comparaison aisée• Accès 24h/24
13/11/2002pa
iem
ent é
lect
roni
que
4
Problématique
Apparition de nouveaux problèmes lié au paiement et à l’utilisation d’Internet
Problèmes Juridiques• Authentification de l'argent électronique
• Validité de la monnaie• Non duplication de l argent
• Authentification et intégrité des messages• Reconnaissance des clients et vendeurs
• Non répudiation• Assurance de l’existence des messages
13/11/2002pa
iem
ent é
lect
roni
que
5
Problématique
Problèmes Économiques• Divisibilité de l’argent
• Possibilité d’utiliser son argent sous toutes formes• Disponibilité
• Possibilité d’utiliser son argent sous toutes conditions Problème de Sécurité
• Fiabilité• Protection de l’argent
• Confidentialité• Protection du client
13/11/2002pa
iem
ent é
lect
roni
que
6
Problématique
Solutions diverses• Provenance de l’argent électronique
• Carte bleu, compte bancaire, porte-monnaie électronique• Protocole de sécurité
• Codage des informations• Sécurité des réseaux• Protection du client
13/11/2002pa
iem
ent é
lect
roni
que
7
Provenance de l’argent électronique
Désigne la source de l’argent électronique Différentes méthodes développées dans
des buts de sécurité Carte de débit
• Frais de la transaction assumé par le marchand
• Possibilité de différer ces paiements• Assurance de l’organisme de la carte de crédit• C’est la méthode la plus fréquemment utilisée
13/11/2002pa
iem
ent é
lect
roni
que
8
Provenance de l’argent électronique
Compte bancaire régulier• Argent électronique se situe à la banque du
client• Le client doit fournir des informations
confidentielles pour y accéder Compte bancaire spécial
• L’argent électronique est sous une forme spéciale
• Présence d’un intermédiaire qui détient ou fournit l’argent au client
13/11/2002pa
iem
ent é
lect
roni
que
9
Provenance de l’argent électronique
• Argent chez l’intermédiaire• Le client crédite un compte spécial chez
l’intermédiaire et ce dernier s’occupe des transactions
• L’argent pour avoir des formes variées • Argent chez le particulier
• L’intermédiaire « transforme » l’argent sous forme uniquement électronique
• Problème de conservation des informations
13/11/2002pa
iem
ent é
lect
roni
que
10
Provenance de l’argent électronique
Cartes à puces Nécessite des équipements spécialisé chez
le client Pose des problèmes en cas de perte ou vol
de la carte Solution en voie de développement
13/11/2002pa
iem
ent é
lect
roni
que
11
Micro Paiements
Problème lié au frais d’une transaction électronique
Cas particulier ou le frais de la transaction n’est pas négligeable devant le montant impliqué dans celle-ci:• X + (Y% du total de la transaction) • Où X représente un montant fixe, par exemple 0.25€
Y est un pourcentage appliqué au total, par exemple 2%
13/11/2002pa
iem
ent é
lect
roni
que
12
Micro Paiements
Différentes solutions selon les cas de figures Regroupement des transactions avant facturation
• Suppose des achats multiples Utilisation d’un intermédiaire pour le paiement
• Tiers personne de confiance qui est en contact avec les organismes de paiements
Utilisation d’argent électronique• Le client crédite un « compte » d’argent électronique• Pas de frais pour chaque transaction mais des frais globaux
13/11/2002pa
iem
ent é
lect
roni
que
13
Sécurité
Sécurisation du canal de communication Sécurisation des données transmises
• Confidentialité• intégrité
Authentification des acteurs• Client , marchand , banque
Aspect juridique• Protection des intervenants
13/11/2002pa
iem
ent é
lect
roni
que
14
Les protocoles de sécurité
Intégrés aux navigateurs• SSL• S-HTTP
PGP Authentification
• Kerberos SET
13/11/2002pa
iem
ent é
lect
roni
que
15
SSL : Définitions
Secure Socket Layer Développé par Netscape et intégré aux
navigateurs web Assure 3 services de sécurité :
• confidentialité : chiffrement symétrique (DES, IDEA, 3DES, RC4, …)
• intégrité : MAC (Message Authentification Code) basé sur fonction de hachage MD5 ou SHA-1
• authentification : des entités avec des certificats X.509 et des données avec les MACs
Utilisé par Downtown Anywhere, NetMarket,...
13/11/2002pa
iem
ent é
lect
roni
que
16
SSL : Communications
http://www.securiteinfo.com/crypto/ssl.shtml
CLIENT
SERVEUR
ClientHello
ServerHello Certificate
Certificate Request*Server Key Exchange*Server Hello Done
Certificate*Client Key Exchange
Certificate Verify*Change Cypher Spec
Finished
Change Cypher SpecFinished
Application Data
13/11/2002pa
iem
ent é
lect
roni
que
17
SSL :Faiblesses
Clé trop petite (128 bits recommandés) Man in the Middle Authentification du client optionnelle Vérification des certificats du serveur Attaques poussées (rollback, attaques
brutes, …)
13/11/2002pa
iem
ent é
lect
roni
que
18
S-HTTP : Définitions
Secure HTTP Développé par CommerceNet Uniquement pour HTTP Messages en 3 parties :
• Le message HTTP• Les préférences cryptographiques de l ’envoyeur• Celles du destinataire
3 fonctionnalités :• Confidentialité• Authentification• Non-répudiation
13/11/2002pa
iem
ent é
lect
roni
que
19
PGP : Définitions
Pretty Good Privacy Combine la cryptographie symétrique
(rapidité) et asymétrique (simplicité de mise en œuvre)
Chiffrement symétrique avec CAST, 3-DES et IDEA
Chiffrement asymétrique type RSA Utilisé dans OpenMarket par exemple
13/11/2002pa
iem
ent é
lect
roni
que
20
PGP : Cryptage
D ’après www.openpgp.fr.st
Texte clair
Crypté avec laclé de session
Texte chiffré
Clé de session
Crypté avec laclé publique dudestinataire
Clé chiffrée
Envoyé audestinataire
13/11/2002pa
iem
ent é
lect
roni
que
21
PGP : Décryptage
D ’après www.openpgp.fr.st
Texte chiffré
Clé chiffrée
Décryptée avec laclé privée de l ’utilisateur
Clé de session
Décryptée avec laclé de session
Texte claird ’origine
13/11/2002pa
iem
ent é
lect
roni
que
22
PGP : Faiblesses
Falsification de clé publique Suppression de fichier incomplète Mot de passe associé à la clé privée Virus et chevaux de Troie
13/11/2002pa
iem
ent é
lect
roni
que
23
Kerberos : introduction
Décharger les applications du processus d ’authentification
Les utilisateurs doivent avoir une confiance aveugle dans le serveur Kerberos
Authentification du client auprès du serveur, échange de tickets
Utilisé par NetCheque
13/11/2002pa
iem
ent é
lect
roni
que
24
Kerberos : protocole
kerberos
client
appli
Nom+nom du service
Demande authentification
Ticket crypté avec password
Ticket Gran
ting Ticket
Ticket serveur
Ticket serveurÉchanges
13/11/2002pa
iem
ent é
lect
roni
que
25
Kerberos : inconvénients
Le client n ’a pas authentifié le serveur d ’application
Difficultés d ’intégration• intégration complète dans l ’architecture
logicielle du réseau• nécessité de contrôler son environnement
13/11/2002pa
iem
ent é
lect
roni
que
26
SET : définition
Secure Electronic Transaction Visa et Mastercard Norme de chiffrement et d ’authentification
des opérations par carte de débit sur Internet Utilisation de certificats pour authentifier les
acteurs auprès des organismes financiers
13/11/2002pa
iem
ent é
lect
roni
que
27
SET : fonctionnement
Commerçant
Client
Tiers de confiance
Banque commerçant
Banque client
Commande+certificat
Vérification certificat
Formulaire+certificat
Vér
ifica
tion
certi
ficat
Instructions paiement cryptéesavec clé publique commerçant
Envoi instructions
Dem
ande authorisation
Con
firm
atio
n
Autorisation unique de prélèvement
13/11/2002pa
iem
ent é
lect
roni
que
28
SET : faiblesses
Falsification de certificats Cryptanalyse
13/11/2002pa
iem
ent é
lect
roni
que
29
C-SET
Commerçant
Site Commerçant
Banque commerçant
Banque client
Client
Bon de commandeOrdre de paiement
Bon
de
com
man
deSET +(ordre de paiement)
Dem
ande
aut
oris
atio
n
Aut
oris
atio
n
Paiement OK
Paie
men
t OK
Paiement accepté
13/11/2002pa
iem
ent é
lect
roni
que
30
Récapitulatif
Protocoles de sécurité:• SSL, S-HTTP (dans les navigateurs)• PGP• Kerberos (authentification)• SET, C-SET (cartes bancaires)
Provenances de l ’argent:• Carte de débit• Compte bancaire courant• Compte bancaire dédié
Micro paiements:• Regroupement des transactions• Utilisation d ’un intermédiaire• Argent électronique
13/11/2002pa
iem
ent é
lect
roni
que
31
Exemple : NetBill
http://www.essi.fr/~riveill
13/11/2002pa
iem
ent é
lect
roni
que
32
Exemple : NetBill
http://www.essi.fr/~riveill
13/11/2002pa
iem
ent é
lect
roni
que
33
Conclusion
Beaucoup d’entreprises se sont lancées dans ce domaine et peu ont réussi
Domaine encore en évolution et en développement
Apparition de normes liés aux problèmes juridiques
Méfiance encore présente vis à vis d’Internet peu justifiée, constitue un frein à la croissance
