1 / 33

Paiement électronique

Paiement électronique. Anthony GARCIA Laurent EYRAUD Anthony.Garcia@e.ujf-grenoble.fr Laurent.Eyraud @e.ujf-grenoble.fr. UJF/IMA/DESS GI/SRR http://ufrima.imag.fr/. Année Universitaire 2002-2003. Sommaire. Introduction Problématique Provenance de l’argent électronique Micro paiements

ossie
Download Presentation

Paiement électronique

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Paiement électronique Anthony GARCIA Laurent EYRAUD Anthony.Garcia@e.ujf-grenoble.fr Laurent.Eyraud @e.ujf-grenoble.fr UJF/IMA/DESS GI/SRR http://ufrima.imag.fr/ Année Universitaire 2002-2003

  2. Sommaire • Introduction • Problématique • Provenance de l’argent électronique • Micro paiements • Sécurité • Exemple : NetBill paiement électronique

  3. Introduction • Développement lié au grand nombre d’utilisateur potentiel • Possède des utilisations diverses • Achat de service • Achat de bien de consommation • Informatique • Physique • Règlement de taxes • Présente les mêmes avantages qu’Internet • Diminution des coûts • Comparaison aisée • Accès 24h/24 paiement électronique

  4. Problématique • Apparition de nouveaux problèmes lié au paiement et à l’utilisation d’Internet • Problèmes Juridiques • Authentification de l'argent électronique • Validité de la monnaie • Non duplication de l argent • Authentification et intégrité des messages • Reconnaissance des clients et vendeurs • Non répudiation • Assurance de l’existence des messages paiement électronique

  5. Problématique • Problèmes Économiques • Divisibilité de l’argent • Possibilité d’utiliser son argent sous toutes formes • Disponibilité • Possibilité d’utiliser son argent sous toutes conditions • Problème de Sécurité • Fiabilité • Protection de l’argent • Confidentialité • Protection du client paiement électronique

  6. Problématique • Solutions diverses • Provenance de l’argent électronique • Carte bleu, compte bancaire, porte-monnaie électronique • Protocole de sécurité • Codage des informations • Sécurité des réseaux • Protection du client paiement électronique

  7. Provenance de l’argent électronique • Désigne la source de l’argent électronique • Différentes méthodes développées dans des buts de sécurité • Carte de débit • Frais de la transaction assumé par le marchand • Possibilité de différer ces paiements • Assurance de l’organisme de la carte de crédit • C’est la méthode la plus fréquemment utilisée paiement électronique

  8. Provenance de l’argent électronique • Compte bancaire régulier • Argent électronique se situe à la banque du client • Le client doit fournir des informations confidentielles pour y accéder • Compte bancaire spécial • L’argent électronique est sous une forme spéciale • Présence d’un intermédiaire qui détient ou fournit l’argent au client paiement électronique

  9. Provenance de l’argent électronique • Argent chez l’intermédiaire • Le client crédite un compte spécial chez l’intermédiaire et ce dernier s’occupe des transactions • L’argent pour avoir des formes variées • Argent chez le particulier • L’intermédiaire « transforme »  l’argent sous forme uniquement électronique • Problème de conservation des informations paiement électronique

  10. Provenance de l’argent électronique • Cartes à puces • Nécessite des équipements spécialisé chez le client • Pose des problèmes en cas de perte ou vol de la carte • Solution en voie de développement paiement électronique

  11. Micro Paiements • Problème lié au frais d’une transaction électronique • Cas particulier ou le frais de la transaction n’est pas négligeable devant le montant impliqué dans celle-ci: • X + (Y% du total de la transaction) • Où X représente un montant fixe, par exemple 0.25€Y est un pourcentage appliqué au total, par exemple 2% paiement électronique

  12. Micro Paiements • Différentes solutions selon les cas de figures • Regroupement des transactions avant facturation • Suppose des achats multiples • Utilisation d’un intermédiaire pour le paiement • Tiers personne de confiance qui est en contact avec les organismes de paiements • Utilisation d’argent électronique • Le client crédite un « compte » d’argent électronique • Pas de frais pour chaque transaction mais des frais globaux paiement électronique

  13. Sécurité • Sécurisation du canal de communication • Sécurisation des données transmises • Confidentialité • intégrité • Authentification des acteurs • Client , marchand , banque • Aspect juridique • Protection des intervenants paiement électronique

  14. Les protocoles de sécurité • Intégrés aux navigateurs • SSL • S-HTTP • PGP • Authentification • Kerberos • SET paiement électronique

  15. SSL : Définitions • Secure Socket Layer • Développé par Netscape et intégré aux navigateurs web • Assure 3 services de sécurité : • confidentialité : chiffrement symétrique (DES, IDEA, 3DES, RC4, …) • intégrité : MAC (Message Authentification Code) basé sur fonction de hachage MD5 ou SHA-1 • authentification : des entités avec des certificats X.509 et des données avec les MACs • Utilisé par Downtown Anywhere, NetMarket,... paiement électronique

  16. ClientHello Certificate* Client Key Exchange Finished Change Cypher Spec Certificate Verify* Certificate Request* Finished Server Key Exchange* ServerHello Certificate Server Hello Done Application Data Change Cypher Spec SSL : Communications http://www.securiteinfo.com/crypto/ssl.shtml S E R V E U R CLIENT paiement électronique

  17. SSL :Faiblesses • Clé trop petite (128 bits recommandés) • Man in the Middle • Authentification du client optionnelle • Vérification des certificats du serveur • Attaques poussées (rollback, attaques brutes, …) paiement électronique

  18. S-HTTP : Définitions • Secure HTTP • Développé par CommerceNet • Uniquement pour HTTP • Messages en 3 parties : • Le message HTTP • Les préférences cryptographiques de l ’envoyeur • Celles du destinataire • 3 fonctionnalités : • Confidentialité • Authentification • Non-répudiation paiement électronique

  19. PGP : Définitions • Pretty Good Privacy • Combine la cryptographie symétrique (rapidité) et asymétrique (simplicité de mise en œuvre) • Chiffrement symétrique avec CAST, 3-DES et IDEA • Chiffrement asymétrique type RSA • Utilisé dans OpenMarket par exemple paiement électronique

  20. Crypté avec la clé de session Texte clair Texte chiffré Envoyé au destinataire Crypté avec la clé publique du destinataire Clé de session Clé chiffrée PGP : Cryptage D ’après www.openpgp.fr.st paiement électronique

  21. Décryptée avec la clé privée de l ’utilisateur Décryptée avec la clé de session Texte clair d ’origine Texte chiffré Clé de session Clé chiffrée PGP : Décryptage D ’après www.openpgp.fr.st paiement électronique

  22. PGP : Faiblesses • Falsification de clé publique • Suppression de fichier incomplète • Mot de passe associé à la clé privée • Virus et chevaux de Troie paiement électronique

  23. Kerberos : introduction • Décharger les applications du processus d ’authentification • Les utilisateurs doivent avoir une confiance aveugle dans le serveur Kerberos • Authentification du client auprès du serveur, échange de tickets • Utilisé par NetCheque paiement électronique

  24. k e r b e r o s Nom+nom du service a p p l i c l i e n t Ticket serveur Ticket Granting Ticket Ticket crypté avec password Demande authentification Échanges Ticket serveur Kerberos : protocole paiement électronique

  25. Kerberos : inconvénients • Le client n ’a pas authentifié le serveur d ’application • Difficultés d ’intégration • intégration complète dans l ’architecture logicielle du réseau • nécessité de contrôler son environnement paiement électronique

  26. SET : définition • Secure Electronic Transaction • Visa et Mastercard • Norme de chiffrement et d ’authentification des opérations par carte de débit sur Internet • Utilisation de certificats pour authentifier les acteurs auprès des organismes financiers paiement électronique

  27. Autorisation unique de prélèvement Banque commerçant Tiers de confiance Vérification certificat Envoi instructions Demande authorisation Vérification certificat Commerçant Confirmation Commande+certificat Formulaire+certificat Instructions paiement cryptées avec clé publique commerçant Client Banque client SET : fonctionnement paiement électronique

  28. SET : faiblesses • Falsification de certificats • Cryptanalyse paiement électronique

  29. Banque commerçant SET + Bon de commande Paiement OK (ordre de paiement) Commerçant Site Commerçant Bon de commande Ordre de paiement Demande autorisation Paiement OK Client Autorisation Paiement accepté Banque client C-SET paiement électronique

  30. Récapitulatif • Protocoles de sécurité: • SSL, S-HTTP (dans les navigateurs) • PGP • Kerberos (authentification) • SET, C-SET (cartes bancaires) • Provenances de l ’argent: • Carte de débit • Compte bancaire courant • Compte bancaire dédié • Micro paiements: • Regroupement des transactions • Utilisation d ’un intermédiaire • Argent électronique paiement électronique

  31. Exemple : NetBill http://www.essi.fr/~riveill paiement électronique

  32. Exemple : NetBill http://www.essi.fr/~riveill paiement électronique

  33. Conclusion • Beaucoup d’entreprises se sont lancées dans ce domaine et peu ont réussi • Domaine encore en évolution et en développement • Apparition de normes liés aux problèmes juridiques • Méfiance encore présente vis à vis d’Internet peu justifiée, constitue un frein à la croissance paiement électronique

More Related