730 likes | 904 Views
Étude d ’approfondissement Le Paiement Électronique. FOULC Aurélie GUILLEMOT Perrine. RICM-3 18 Octobre 2001. Plan. Introduction 1- Présentation et objectifs 2- Méthodes 3- Produits 4- Législation Conclusion Questions. Plan. Introduction 1- Présentation et objectifs 2- Méthodes
E N D
Étude d ’approfondissement Le Paiement Électronique FOULC Aurélie GUILLEMOT Perrine RICM-3 18 Octobre 2001
Plan • Introduction • 1- Présentation et objectifs • 2- Méthodes • 3- Produits • 4- Législation • Conclusion • Questions
Plan • Introduction • 1- Présentation et objectifs • 2- Méthodes • 3- Produits • 4- Législation • Conclusion • Questions
1- Présentation et Objectifs • 1.1- Définition • 1.2- Types de paiement • 1.3- Propriétés à respecter • 1.4- Moyens mis en œuvre • 1.5- Coûts • 1.6- B2B
Moyen permettant d’effectuer des transactions commerciales pour l ’échange de biens ou de services sur Internet Définition • Échelle des transactions • Macro : > 5 $ • Mini et Micro : entre 1/1000 $ et 5 $ 1- Présentation et objectifs
Types de paiement • Cartes de crédit • Cartes à puce • Comptes bancaires • Ordres de paiement 1- Présentation et objectifs
Propriétés à respecter • Le paiement doit être : • Universel • Portable • Infalsifiable et Inviolable • Privé • Anonyme 1- Présentation et objectifs
Propriétés à respecter • Off-line • Rapide • Non contraignant • Non répudiable • Divisible • Légal 1- Présentation et objectifs
Moyens mis en oeuvre • Algorithmes de cryptage • Authentification • Protocoles 1- Présentation et objectifs
Coûts • Main d’œuvre • Prévention des risques • Infrastructures • Transactions • Application des lois 1- Présentation et objectifs
Gros montant : paiement papier Sinon, comme B2C B2B
Plan • Introduction • 1- Présentation et objectifs • 2- Méthodes • 3- Produits • 4- Législation • Conclusion • Questions
2- Méthodes • 2.1- Sécurisation et Authentification • 2.2- Transfert de l ’information
2.1- Sécurisation et authentification • Cryptographie • Signature électronique • Certificat électronique • Kerberos • Datation 2- Méthodes
Cryptographie • Mécanisme de clés : • clé secrète ou cryptage symétrique • clé publique / privéeou cryptage asymétrique • Confidentialité des messages 2-1. Sécurisation et authentification
Cryptage symétrique • Avantage : simplicité • Problème : transmission de la clé Source : http://cuisung.unige.ch/memoires/Hugentobler/crypto.html 2.1- Sécurisation et authentification : Crytographie
Cryptage asymétrique Source : http://cuisung.unige.ch/memoires/Hugentobler/crypto.html • Authentification • Confidentialité • Technique utilisé pour l’échange de clé secrète 2.1- Sécurisation et authentification : Cryptographie
Exemple 1 :DataEncryptionStandard • développé parIBM, la NSA et le NBS dans les années 1970 • 16 itérations : • Cryptage symétrique par blocs avec une clé de 56 bits Bloc de 64 bits Crypté avec une partie de la clé + transposition transposition 2.1- Sécurisation et authentification : Cryptographie
Exemple 1 :DataEncryptionStandard • Standard du gouvernement des E.U (77) • Performance : entre 300 Mbits/s et 3 Gbits/s (cryptage ou décryptage) • Fiabilité : facile à casser • Triple DES 2.1- Sécurisation et authentification : Cryptographie
Exemple 2 : AdvancedEncryptionStandardOctobre 2000 • Cryptage symétrique • Remplacement du DES (compétition lancée par le NIST) • Blocs de 128 bits • Clés de longueurs différentes : 128, 192 ou 256 bits • Plusieurs rounds de 4 opérations • Substitution • Décalage • Mélange • Ou exclusif avec la clé • Plus sur et plus rapide que le DES Le paiement électronique
Exemple 3 : RivestShamirAdelman • Cryptage asymétrique • Performances : 100 fois plus lent que le DES • Fiabilité : factorisation irréalisable • Usage : largement répandu 2.1- Sécurisation et authentification : Cryptographie
Bob Rivest Shamir Adelman • p et q 2 nombres premiers : p=11 et q=17 • n = p x q = 187 • Clé = clé secrète = (p,q,d) + clé publique = (n,e) • 2 entiers d=7 et e=23 • (e x d –1) est multiple de (p-1)(q-1) et e<n c = me modulo n m’ = cd modulo n 2.1- Sécurisation et authentification : Cryptographie
m h(m) Signature S hachage Codage Clé privée m + S S h(m) h(m) m hachage Décodage Clé publique Signature électronique • Intégrité, non répudiation et authentification • Empreinte = ? 2.1- Sécurisation et authentification
Exemple 1 : MD5 • Disponible dans le domaine public depuis 1992 • Empreinte sur 128 bits • Fiabilité des empreintes (peu de collisions et non inversible) • Checksum anti-virus sur des systèmes de fichiers 2.1- Sécurisation et authentification : Signature électronique
Exemple 2 : SHA-1 • Secure Hash Algorithm-1 • Empreintes sur 160 bits • Plus robuste mais plus lent que MD5 • Documents d’au moins 264 bits 2.1- Sécurisation et authentification : Signature électronique
Certificat électronique • Document numérique attestant de la propriété d’une clé publique par une personne : identification • Infalsifiable (norme standard=X.509) : • Clé publique • Nom du propriétaire • Date d’expiration de la clé • Nom du responsable du certificat • Numéro de série 2.1- Sécurisation et authentification
1. Logiciel de génération de clés 3. Clé publique du gestionnaire ? 4. réponse 5. Envoi clé publique encryptée 7. Certificat signé par clé secrète Certificat électronique Gestionnaire de clés 2. Génération des clés 6. Déchiffrement de la clé Assurance de l’identité du producteur 2.1- Sécurisation et authentification
Kerberos Kerberos 1.identification du client auprès du service Kerberos 2. Obtention d’une clé secrète et d’un certificat permettant un dialogue avec le serveur de tickets Client 2.1- Sécurisation et authentification
Kerberos Kerberos Serveur de tickets 1.identification du client auprès du serveur de tickets 2. Obtention d’une clé secrète et d’un certificat permettant un dialogue avec le serveur voulu Client 2.1- Sécurisation et authentification
Kerberos Serveurs Kerberos Serveur de tickets Dialogue avec le serveur Client 2.1- Sécurisation et authentification
Datation • Signature en aveugle : signature pratiquée par une identité qui n’a pas accès au contenu de ce document • Service de datation : • Cryptage change de façon aléatoire • Clés publiques archivées • Retrouver la clé publique en vigueur à la date supposée 2.1- Sécurisation et authentification
SSL SET PMTP MPTP S-HTTP 2.2- Transfert de l ’information 2- Méthodes
Serveur Client c Clé secrète c m m ’ S Pub Authentification du serveur c c ’ SSL • Secure Socket Layer : développé par Netscape • Protection du contenu 2.2- Transfert de l'information
SET • Secure Electronic Transaction • Protocole sécuritaire pour les transactions par carte bancaire sans puce • 2 couples de clés asymétriques : • clés de cryptage et clés de signature • Portefeuille électronique • logiciel regroupant différentes CB 2.2- Transfert de l'information
SET Source : www.set.ch/basics/basics-procedure-fr.html 2.2- Transfert de l'information
C-SET • Chip-Secure Electronic Transaction • Dispositif de paiement sécurisé sur Internet par carte à puce • Étend SET • Niveau de sécurité plus élevé 2.2- Transfert de l'information
PMTP • Pay-Me Transfert Protocol • Chacun a sa paire de clé publique et privée • Utilisable par tous • Porte-monnaieélectronique • mode de paiement permettant de remplacer • l'argent liquide dans un environnement on-line 2.2- Transfert de l'information
MPTP • Micro Payment Transfert Protocol (1995) • Transfert de petites valeurs • Il faut un intermédiaire commun 2.2- Transfert de l'information
S-HTTP • Secure HTTP • Confidentialité, authenticité, intégrité • et non répudiation • Cryptage du message + signature 2.2- Transfert de l'information
Récapitulatif • Choix techniques 2.2- Transfert de l'information
Et en pratique ... • CyberCash.com • Cryptage SSL à 128 bits • Amazon.fr • Cryptage SSL • LeroyMerlin.fr • Cryptage SSL et RSA 2- Méthodes
Plan • Introduction • 1- Présentation et objectifs • 2- Méthodes • 3- Produits • 4- Législation • Conclusion • Questions
3- Produits • Cartes de crédit • Cartes à puce • Comptes bancaires • Ordres de paiement
Cartes de crédit • Très répandue • Paiement en direct sur Internet et en temps réel • Différentes solutions selon le lieu de stockage des informations sensibles (numéro de cartes par exemple) • Aucune conservation : • Avantages : indépendance / ordinateur, fraudes • Inconvénient : transmission à chaque achat 3- Produits
Fournisseur effectue tout le processus de transaction • Aucun logiciel chez le client • Cartes d’achat, micro-transactions regroupées client marchand password Gestion de CR facture confirmation reçu 3- Produits
Cartes de crédit • Intermédiaire ou une banque : • Informations conservées sur le disque dur du client : • Avantage : faibles risques d’interception • Inconvénient : logiciel indispensable • Avantages : • le client n’a pas à entrer les informations manuellement • temps moins important • Inconvénients : • dépendant / ordinateur • risques de fraudes importants 3- Produits
Système de paiement immédiat, sûr et facile d’utilisation • Association avec plusieurs compagnies de gestion de carte de crédit • système d’enregistrement : anonymat du client Banque Marchand client marchand CyberCash 15 / 20 secondes Banque Client 3- Produits
Cartes de crédit • Informations conservées sur le disque dur de la banque : • Avantages : élimine le risque de fraude par les commerçants • Inconvénients : attrait de gain pour les fraudeurs 3- Produits
Cartes à puce • « Porte-monnaie électronique » contenant de l’ « argent électronique » pouvant être rechargé • Paiement de carte à puce à carte à puce : les marchands ne voient aucune information • Problèmes de logistique : matériel particulier pour les débits/crédits non disponibles dans le grand public 3- Produits
Argent chargé sur la carte • Paiement effectué via un terminal • Clé publique + Processeur sécurisé • Portefeuille électronique Source: http://www.rambit.qc.ca/plamondon/mondex.htm 3- Produits