Présentation
RÉSUMÉ
Les moyens utilisés actuellement dans le paiement électronique effectué en ligne ne sont pas tous satisfaisants, ils illustrent à merveille le problème de la sécurité des échanges sous internet. Après une présentation de l’état du e-commerce électronique, l’article expose les nombreux protocoles mis en œuvre récemment pour tenter de répondre à cette problématique fortement inquiétante. Le protocole SET (secure electronic transaction), parrainé par Visa et MasterCard, est actuellement le plus rencontré dans le monde. SET distribue aux acteurs un document numérique attestant leur identité. Ce certificat permet de s’assurer des autorisations que possèdent ces acteurs pour procéder à un achat au moyen d’une carte de paiement.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Gérard RIBIÈRE : Architecte en systèmes d’information IBM
INTRODUCTION
Les moyens utilisés couramment dans le paiement associé au commerce électronique, que ce soit sur Internet ou Minitel, ne sont pas satisfaisants. Le plus souvent, l’acheteur effectue le paiement en donnant simplement le numéro et la date d’expiration de sa carte bancaire au commerçant. Ensuite, le commerçant se retourne vers sa banque et lui demande de procéder au paiement.
Il va de soi que cette méthode n’assure pas la protection des informations de la carte bancaire : n’importe qui, par la suite, peut utiliser ces informations pour procéder à un autre paiement. En outre, le commerçant n’est pas certain d’être payé car il se peut que l’acheteur ne soit pas solvable, ou qu’il veuille utiliser la possibilité légale de répudier ce paiement. Il va de soi que cela n’est pas acceptable si la marchandise achetée peut être distribuée immédiatement à l’acheteur, comme c’est le cas pour l’achat d’un logiciel sur Internet par exemple.
Certaines méthodes de paiement, s’appuyant sur le protocole de chiffrement et d’authentification SSL (secure socket layer), permettent de chiffrer les données et ensuite de demander l’autorisation bancaire en direct. Malgré cette amélioration de la sécurité, rien ne dit que l’acheteur est bien le possesseur de la carte bancaire.
Dans cet article, nous présentons tout d’abord le scénario de commerce électronique, tel qu’il est aujourd’hui ; puis nous citons les problèmes posés par la sécurisation du processus de paiement.
De nombreux protocoles ont été mis en œuvre récemment pour apporter une réelle sécurité au paiement sur Internet, comme par exemple « Kleline » soutenu par la Compagnie bancaire, C-SET lancé par le Groupement des cartes bancaires et le protocole SET (secure electronic transaction) parrainé par Visa et MasterCard. C’est ce dernier protocole, actuellement le plus répandu dans le monde, que nous présentons ici.
À fin d’illustration, nous présentons ensuite les solutions logicielles développées par IBM sur la base des spécifications SET et nous évoquons les projets pilotes utilisant ces progiciels.
Nous mentionnons enfin les projets SET utilisant la carte à puce comme moyen d’authentification, notamment en France avec Cyber-COMM.
VERSIONS
- Version archivée 1 de mai 1998 par Gérard RIBIERE
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
2. Standard de paiement SET
2.1 Définition
SET (Secure Electronic Transaction ) est un protocole de paiement sécurisé destiné au commerce électronique. C’est un standard parrainé par Visa et MasterCard, développé par ces derniers et par des sociétés telles qu’IBM, VeriSign, GTE, etc.
Les spécifications de SET sont ouvertes, en ce sens qu’elles sont accessibles à tous et notamment aux éditeurs de logiciels qui voudraient développer des produits s’appuyant sur ce standard (les spécifications de SET sont accessibles sur Internet [1] [2] [3]).
Bien sûr, on retrouvera dans SET une réponse aux besoins exprimés précédemment, soit :
-
un protocole d’échange, c’est-à-dire des spécifications pour les formats des messages échangés, ainsi que l’ordre et la signification des messages ;
-
la délivrance d’accréditation aux acteurs sous la forme de certificats qu’ils peuvent s’échanger en vue de leur authentification respective ;
-
le chiffrement de quelques informations sensibles : données de paiement et de commande ;
-
le scellement et la signature des données échangées, ce qui permet respectivement de maintenir l’intégrité de ces données et d’en authentifier les émetteurs.
2.2 Techniques utilisées
Pour répondre aux besoins de sécurité sur Internet, sont utilisées certaines techniques de cryptographie :
-
le chiffrement et le déchiffrement de données par des techniques à clé secrète et à clé publique 2.2.1 ;
-
la technique de création de condensés d’informations obtenus par des opérations de hachage 2.2.2 ;
-
la signature des messages échangés afin de permettre l’authentification de leurs émetteurs 2.2.3...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Standard de paiement SET
BIBLIOGRAPHIE
-
(1) - Secure Electronic Transaction (SET) Specification Book 1 - : http://www.mastercard.com ou http://www.visa.com
-
(2) - Secure Electronic Transaction (SET) Programmer’s Guide Book 2 - : http://www.mastercard.com ou http://www.visa.com
-
(3) - Secure Electronic Transaction (SET) Formal Protocol Definition Book 3 - : http://www.mastercard.com ou http://www.visa.com
-
(4) - SCHNEIER (B.) - Applied Cryptography. - 1996 Wiley.
-
(5) - Public Key Cryptography Standards (PKCS), - RSA Data Security, Inc. Version 1.5, revised nov. 1, 1993.
-
(6) - Data Encryption Standard, - Federal Information Processing Standards Publication 46, 1977.
-
...
DANS NOS BASES DOCUMENTAIRES
NORMES
-
Messages initiés par carte de transaction financière. Spécifications d’échange de messages. - ISO 8583 - 2003
-
Technologies de l’information – Interconnexion de systèmes ouverts (OSI) – L’Annuaire : cadre d’authentification (Idem ITU Rec-X.509, 1993). - ISO/IEC 9594-8 - 1998
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive