Présentation

Article

1 - COMMERCE ÉLECTRONIQUE

  • 1.1 - Vers le commerce électronique sur Internet
  • 1.2 - Scénario
  • 1.3 - Modes de paiement
  • 1.4 - Besoins en paiement sécurisé

2 - STANDARD DE PAIEMENT SET

3 - PROGICIELS DE PAIEMENT

4 - ACCRÉDITATION SET

5 - MIGRATION PROGRESSIVE VERS SET

6 - SET ET LA CARTE À PUCE

7 - CONCLUSION

| Réf : H3578 v2

Migration progressive vers SET
Paiement sécurisé sur Internet avec le protocole SET

Auteur(s) : Gérard RIBIÈRE

Date de publication : 10 mai 2000

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

Les moyens utilisés actuellement dans le paiement électronique effectué en ligne ne sont pas tous satisfaisants, ils illustrent à merveille le problème de la sécurité des échanges sous internet. Après une présentation de l’état du e-commerce électronique, l’article expose les nombreux protocoles mis en œuvre récemment pour tenter de répondre à cette problématique fortement inquiétante. Le protocole SET (secure electronic transaction), parrainé par Visa et MasterCard, est actuellement le plus rencontré dans le monde. SET distribue aux acteurs un document numérique attestant leur identité. Ce certificat permet de s’assurer des autorisations que possèdent ces acteurs pour procéder à un achat au moyen d’une carte de paiement.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

INTRODUCTION

Les moyens utilisés couramment dans le paiement associé au commerce électronique, que ce soit sur Internet ou Minitel, ne sont pas satisfaisants. Le plus souvent, l’acheteur effectue le paiement en donnant simplement le numéro et la date d’expiration de sa carte bancaire au commerçant. Ensuite, le commerçant se retourne vers sa banque et lui demande de procéder au paiement.

Il va de soi que cette méthode n’assure pas la protection des informations de la carte bancaire : n’importe qui, par la suite, peut utiliser ces informations pour procéder à un autre paiement. En outre, le commerçant n’est pas certain d’être payé car il se peut que l’acheteur ne soit pas solvable, ou qu’il veuille utiliser la possibilité légale de répudier ce paiement. Il va de soi que cela n’est pas acceptable si la marchandise achetée peut être distribuée immédiatement à l’acheteur, comme c’est le cas pour l’achat d’un logiciel sur Internet par exemple.

Certaines méthodes de paiement, s’appuyant sur le protocole de chiffrement et d’authentification SSL (secure socket layer), permettent de chiffrer les données et ensuite de demander l’autorisation bancaire en direct. Malgré cette amélioration de la sécurité, rien ne dit que l’acheteur est bien le possesseur de la carte bancaire.

Dans cet article, nous présentons tout d’abord le scénario de commerce électronique, tel qu’il est aujourd’hui ; puis nous citons les problèmes posés par la sécurisation du processus de paiement.

De nombreux protocoles ont été mis en œuvre récemment pour apporter une réelle sécurité au paiement sur Internet, comme par exemple « Kleline » soutenu par la Compagnie bancaire, C-SET lancé par le Groupement des cartes bancaires et le protocole SET (secure electronic transaction) parrainé par Visa et MasterCard. C’est ce dernier protocole, actuellement le plus répandu dans le monde, que nous présentons ici.

À fin d’illustration, nous présentons ensuite les solutions logicielles développées par IBM sur la base des spécifications SET et nous évoquons les projets pilotes utilisant ces progiciels.

Nous mentionnons enfin les projets SET utilisant la carte à puce comme moyen d’authentification, notamment en France avec Cyber-COMM.

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-h3578


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

5. Migration progressive vers SET

Il est évident que la mise en place de SET, au niveau mondial, ne se fera pas en un jour, ni même en une année. L’un des obstacles à la diffusion de SET est la nécessité pour les acteurs de mettre en place les progiciels requis, cette contrainte étant plus forte pour les commerçants, et encore plus pour les porteurs de carte. Il faut ensuite que les banques mettent en place des infrastructures de certification de leurs porteurs et/ou de leurs commerçants.

C’est pourquoi certains éditeurs de progiciels, dont IBM, font en sorte que leurs progiciels puissent accepter des paiements basés à la fois sur SET et sur le protocole SSL. Cette idée a été standardisée par le consortium SETCo sous le nom de protocole MIA (Merchant Initiated Authorisation ). L’idée (figure 12) est de permettre un échange des informations de paiement entre le porteur et le commerçant en mode SSL, en plus du mode SET. En effet, le progiciel serveur de paiement (IBM Payment Server par exemple) accepte de recevoir des données de paiement construites directement par le serveur commerçant alors qu’il ne les reçoit normalement qu’en provenance du porteur, sous forme de messages SET bien définis.

Bien sûr, ce mode de paiement SSL fait perdre la notion d’authentification du porteur, mais l’intérêt de ce type d’installation est que les investissements du commerçant et de la banque sont directement et immédiatement utilisés. Au fur et à mesure que les acheteurs disposeront de portefeuilles électroniques au standard SET, le paiement pourra se faire en mode SET avec toute la sécurité associée.

Ce dispositif présente d’autres avantages :

  • il est possible, moyennant un petit développement, de brancher un terminal point de vente (POS en anglais) directement sur le serveur de paiement et donc d’effectuer ainsi les paiements en magasin, en se servant du même serveur de paiement que pour le commerce sur Internet. Un intérêt supplémentaire de cette possibilité est que le commerçant va pouvoir utiliser le réseau Internet au lieu d’un réseau privé type Transpac X.25 ;

  • si la station de travail de l’internaute comporte un lecteur de carte à puce, il est possible de concevoir un portefeuille électronique simplifié qui enverrait, sous le protocole SSL, les messages de paiement accompagnés de la signature de la puce, directement au serveur du commerçant. Ce dernier n’aurait plus qu’à demander au serveur de paiement...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Migration progressive vers SET
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) -   Secure Electronic Transaction (SET) Specification Book 1  -   : http://www.mastercard.com ou http://www.visa.com

  • (2) -   Secure Electronic Transaction (SET) Programmer’s Guide Book 2  -   : http://www.mastercard.com ou http://www.visa.com

  • (3) -   Secure Electronic Transaction (SET) Formal Protocol Definition Book 3  -   : http://www.mastercard.com ou http://www.visa.com

  • (4) - SCHNEIER (B.) -   Applied Cryptography.  -  1996 Wiley.

  • (5) -   Public Key Cryptography Standards (PKCS),  -  RSA Data Security, Inc. Version 1.5, revised nov. 1, 1993.

  • (6) -   Data Encryption Standard,  -  Federal Information Processing Standards Publication 46, 1977.

  • ...

NORMES

  • Messages initiés par carte de transaction financière. Spécifications d’échange de messages. - ISO 8583 - 2003

  • Technologies de l’information – Interconnexion de systèmes ouverts (OSI) – L’Annuaire : cadre d’authentification (Idem ITU Rec-X.509, 1993). - ISO/IEC 9594-8 - 1998

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS