1 / 73

Étude d ’approfondissement Le Paiement Électronique

Étude d ’approfondissement Le Paiement Électronique. FOULC Aurélie GUILLEMOT Perrine. RICM-3 18 Octobre 2001. Plan. Introduction 1- Présentation et objectifs 2- Méthodes 3- Produits 4- Législation Conclusion Questions. Plan. Introduction 1- Présentation et objectifs 2- Méthodes

chalice
Télécharger la présentation

Étude d ’approfondissement Le Paiement Électronique

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Étude d ’approfondissement Le Paiement Électronique FOULC Aurélie GUILLEMOT Perrine RICM-3 18 Octobre 2001

  2. Plan • Introduction • 1- Présentation et objectifs • 2- Méthodes • 3- Produits • 4- Législation • Conclusion • Questions

  3. Plan • Introduction • 1- Présentation et objectifs • 2- Méthodes • 3- Produits • 4- Législation • Conclusion • Questions

  4. 1- Présentation et Objectifs • 1.1- Définition • 1.2- Types de paiement • 1.3- Propriétés à respecter • 1.4- Moyens mis en œuvre • 1.5- Coûts • 1.6- B2B

  5. Moyen permettant d’effectuer des transactions commerciales pour l ’échange de biens ou de services sur Internet Définition • Échelle des transactions • Macro : > 5 $ • Mini et Micro : entre 1/1000 $ et 5 $ 1- Présentation et objectifs

  6. Types de paiement • Cartes de crédit • Cartes à puce • Comptes bancaires • Ordres de paiement 1- Présentation et objectifs

  7. Propriétés à respecter • Le paiement doit être : • Universel • Portable • Infalsifiable et Inviolable • Privé • Anonyme 1- Présentation et objectifs

  8. Propriétés à respecter • Off-line • Rapide • Non contraignant • Non répudiable • Divisible • Légal 1- Présentation et objectifs

  9. Moyens mis en oeuvre • Algorithmes de cryptage • Authentification • Protocoles 1- Présentation et objectifs

  10. Coûts • Main d’œuvre • Prévention des risques • Infrastructures • Transactions • Application des lois 1- Présentation et objectifs

  11. Gros montant : paiement papier Sinon, comme B2C B2B

  12. Plan • Introduction • 1- Présentation et objectifs • 2- Méthodes • 3- Produits • 4- Législation • Conclusion • Questions

  13. 2- Méthodes • 2.1- Sécurisation et Authentification • 2.2- Transfert de l ’information

  14. 2.1- Sécurisation et authentification • Cryptographie • Signature électronique • Certificat électronique • Kerberos • Datation 2- Méthodes

  15. Cryptographie • Mécanisme de clés : • clé secrète ou cryptage symétrique • clé publique / privéeou cryptage asymétrique • Confidentialité des messages 2-1. Sécurisation et authentification

  16. Cryptage symétrique • Avantage : simplicité • Problème : transmission de la clé Source : http://cuisung.unige.ch/memoires/Hugentobler/crypto.html 2.1- Sécurisation et authentification : Crytographie

  17. Cryptage asymétrique Source : http://cuisung.unige.ch/memoires/Hugentobler/crypto.html • Authentification • Confidentialité • Technique utilisé pour l’échange de clé secrète 2.1- Sécurisation et authentification : Cryptographie

  18. Exemple 1 :DataEncryptionStandard • développé parIBM, la NSA et le NBS dans les années 1970 • 16 itérations : • Cryptage symétrique par blocs avec une clé de 56 bits Bloc de 64 bits Crypté avec une partie de la clé + transposition transposition 2.1- Sécurisation et authentification : Cryptographie

  19. Exemple 1 :DataEncryptionStandard • Standard du gouvernement des E.U (77) • Performance : entre 300 Mbits/s et 3 Gbits/s (cryptage ou décryptage) • Fiabilité : facile à casser • Triple DES 2.1- Sécurisation et authentification : Cryptographie

  20. Exemple 2 : AdvancedEncryptionStandardOctobre 2000 • Cryptage symétrique • Remplacement du DES (compétition lancée par le NIST) • Blocs de 128 bits • Clés de longueurs différentes : 128, 192 ou 256 bits • Plusieurs rounds de 4 opérations • Substitution • Décalage • Mélange • Ou exclusif avec la clé • Plus sur et plus rapide que le DES Le paiement électronique

  21. Exemple 3 : RivestShamirAdelman • Cryptage asymétrique • Performances : 100 fois plus lent que le DES • Fiabilité : factorisation irréalisable • Usage : largement répandu 2.1- Sécurisation et authentification : Cryptographie

  22. Bob Rivest Shamir Adelman • p et q 2 nombres premiers : p=11 et q=17 • n = p x q = 187 • Clé = clé secrète = (p,q,d) + clé publique = (n,e) • 2 entiers d=7 et e=23 • (e x d –1) est multiple de (p-1)(q-1) et e<n c = me modulo n m’ = cd modulo n 2.1- Sécurisation et authentification : Cryptographie

  23. m h(m) Signature S hachage Codage Clé privée m + S S h(m) h(m) m hachage Décodage Clé publique Signature électronique • Intégrité, non répudiation et authentification • Empreinte = ? 2.1- Sécurisation et authentification

  24. Exemple 1 : MD5 • Disponible dans le domaine public depuis 1992 • Empreinte sur 128 bits • Fiabilité des empreintes (peu de collisions et non inversible) • Checksum anti-virus sur des systèmes de fichiers 2.1- Sécurisation et authentification : Signature électronique

  25. Exemple 2 : SHA-1 • Secure Hash Algorithm-1 • Empreintes sur 160 bits • Plus robuste mais plus lent que MD5 • Documents d’au moins 264 bits 2.1- Sécurisation et authentification : Signature électronique

  26. Certificat électronique • Document numérique attestant de la propriété d’une clé publique par une personne : identification • Infalsifiable (norme standard=X.509) : • Clé publique • Nom du propriétaire • Date d’expiration de la clé • Nom du responsable du certificat • Numéro de série 2.1- Sécurisation et authentification

  27. 1. Logiciel de génération de clés 3. Clé publique du gestionnaire ? 4. réponse 5. Envoi clé publique encryptée 7. Certificat signé par clé secrète Certificat électronique Gestionnaire de clés 2. Génération des clés 6. Déchiffrement de la clé Assurance de l’identité du producteur 2.1- Sécurisation et authentification

  28. Kerberos Kerberos 1.identification du client auprès du service Kerberos 2. Obtention d’une clé secrète et d’un certificat permettant un dialogue avec le serveur de tickets Client 2.1- Sécurisation et authentification

  29. Kerberos Kerberos Serveur de tickets 1.identification du client auprès du serveur de tickets 2. Obtention d’une clé secrète et d’un certificat permettant un dialogue avec le serveur voulu Client 2.1- Sécurisation et authentification

  30. Kerberos Serveurs Kerberos Serveur de tickets Dialogue avec le serveur Client 2.1- Sécurisation et authentification

  31. Datation • Signature en aveugle : signature pratiquée par une identité qui n’a pas accès au contenu de ce document • Service de datation : • Cryptage change de façon aléatoire • Clés publiques archivées • Retrouver la clé publique en vigueur à la date supposée 2.1- Sécurisation et authentification

  32. SSL SET PMTP MPTP S-HTTP 2.2- Transfert de l ’information 2- Méthodes

  33. Serveur Client c Clé secrète c m m ’ S Pub Authentification du serveur c c ’ SSL • Secure Socket Layer : développé par Netscape • Protection du contenu 2.2- Transfert de l'information

  34. SET • Secure Electronic Transaction • Protocole sécuritaire pour les transactions par carte bancaire sans puce • 2 couples de clés asymétriques : • clés de cryptage et clés de signature • Portefeuille électronique • logiciel regroupant différentes CB 2.2- Transfert de l'information

  35. SET Source : www.set.ch/basics/basics-procedure-fr.html 2.2- Transfert de l'information

  36. C-SET • Chip-Secure Electronic Transaction • Dispositif de paiement sécurisé sur Internet par carte à puce • Étend SET • Niveau de sécurité plus élevé 2.2- Transfert de l'information

  37. PMTP • Pay-Me Transfert Protocol • Chacun a sa paire de clé publique et privée • Utilisable par tous • Porte-monnaieélectronique • mode de paiement permettant de remplacer • l'argent liquide dans un environnement on-line 2.2- Transfert de l'information

  38. MPTP • Micro Payment Transfert Protocol (1995) • Transfert de petites valeurs • Il faut un intermédiaire commun 2.2- Transfert de l'information

  39. S-HTTP • Secure HTTP • Confidentialité, authenticité, intégrité • et non répudiation • Cryptage du message + signature 2.2- Transfert de l'information

  40. Récapitulatif • Choix techniques 2.2- Transfert de l'information

  41. Et en pratique ... • CyberCash.com • Cryptage SSL à 128 bits • Amazon.fr • Cryptage SSL • LeroyMerlin.fr • Cryptage SSL et RSA 2- Méthodes

  42. Plan • Introduction • 1- Présentation et objectifs • 2- Méthodes • 3- Produits • 4- Législation • Conclusion • Questions

  43. 3- Produits • Cartes de crédit • Cartes à puce • Comptes bancaires • Ordres de paiement

  44. Cartes de crédit • Très répandue • Paiement en direct sur Internet et en temps réel • Différentes solutions selon le lieu de stockage des informations sensibles (numéro de cartes par exemple) • Aucune conservation : • Avantages : indépendance / ordinateur, fraudes • Inconvénient : transmission à chaque achat 3- Produits

  45. Fournisseur effectue tout le processus de transaction • Aucun logiciel chez le client • Cartes d’achat, micro-transactions regroupées client marchand password Gestion de CR facture confirmation reçu 3- Produits

  46. Cartes de crédit • Intermédiaire ou une banque : • Informations conservées sur le disque dur du client : • Avantage : faibles risques d’interception • Inconvénient : logiciel indispensable • Avantages : • le client n’a pas à entrer les informations manuellement • temps moins important • Inconvénients : • dépendant / ordinateur • risques de fraudes importants 3- Produits

  47. Système de paiement immédiat, sûr et facile d’utilisation • Association avec plusieurs compagnies de gestion de carte de crédit • système d’enregistrement : anonymat du client Banque Marchand client marchand CyberCash 15 / 20 secondes Banque Client 3- Produits

  48. Cartes de crédit • Informations conservées sur le disque dur de la banque : • Avantages : élimine le risque de fraude par les commerçants • Inconvénients : attrait de gain pour les fraudeurs 3- Produits

  49. Cartes à puce • « Porte-monnaie électronique » contenant de l’   « argent électronique » pouvant être rechargé • Paiement de carte à puce à carte à puce : les marchands ne voient aucune information • Problèmes de logistique : matériel particulier pour les débits/crédits non disponibles dans le grand public 3- Produits

  50. Argent chargé sur la carte • Paiement effectué via un terminal • Clé publique + Processeur sécurisé • Portefeuille électronique Source: http://www.rambit.qc.ca/plamondon/mondex.htm 3- Produits

More Related