‹en-tête›
‹date/heure›
Cliquez pour modifier les styles du texte du masque
Deuxième niveau
Troisième niveau
Quatrième niveau
Cinquième niveau
‹pied de page›
‹#›
Paiement électronique = moyen de paiement permettant d’effectuer des transactions commerciales pour l’échange de biens et services sur Internet
Le paiement ne s’effectue pas exclusivement via le réseau
Problématique = échange de certaines information sensibles présentant certains risques (interception et utilisation à mauvais escient)
Cartes de crédit
Moyen le plus utilisé mais le plus cher
Exemples de produit : OpenMarket et CyberCash Cartes à puce
Existent sous de nombreuses formes
Rechargeables indéfiniment
Intermédiaire entre argent électronique et réel : banque
 Exemple de produit : Mondex Comptes bancaires
Débit immédiat
2 types de comptes : régulier et spécial
 Exemples de produit : BankNet et DigiCash Ordres de paiement
Paiement différé
 Exemple de produit : NetBill
Portable
S ’adapte à tous les systèmes et à tous les environnements Privé
Seules les parties en présence connaissent les montants … Anonyme
Personne ne peut identifier le payeur
Off-line
Certaines vérifications peuvent ne pas se faire en ligne Non répudiable
Personne ne peut désavouer ce qu ’il a dit ou fait Divisible
Tous les montants sont permis
Application des lois
Par exemple, il faut rendre publique les algorithmes de cryptage utilisés
B2B
Administrations
On peut payer ses impôts en ligne
Exemples : impôt sur le revenu, taxes d ’habitation, taxes professionnelles ...
Garantie de confidentialité en cachant les informations à toute personne qui n’est pas censée en avoir connaissance Le mécanisme de clés permet de coder et décoder les informations transitant sur le réseau, celles-ci sont donc illisibles par toute personne qui ne possède pas la clé de décryptage
Le récepteur utilise la même clé pour décoder le message que celle que l’émetteur a utilisé pour l’encoder.
Personne d’autre que les correspondants ne doit connaître la clé d’échange.
Chaque utilisateur possède une paire de clés ( une publique et l’autre privée), le cryptage est effectué avec l’une des 2 clés et le décryptage avec l’autre. 2 propriétés peuvent être assurées ( confidentialité et authentification) : le cryptage et décryptage sont différents selon la propriété à prendre en compte.
La clé publique est connue de tous.
La confidentialité est assurée par le fait que seul le récepteur possède la clé de décryptage, toute personne autre qui intercepte le message ne pourra pas s’en servir. L’authentification est assurée par le fait que seul le récepteur possède la clé de cryptage et peut donc envoyer les messages sous son identité.
Triple DES : 3 cryptages successifs grâce à 2 clés différentes.
Le plus célèbre et le plus répandu des algorithmes asymétriques
Utilisation du cryptage asymétrique et assurance de la propriété d’authentification (cryptage du message via la clé privée de l’émetteur) : cf cryptage asymétrique Permet de garantir qu’un message a bien été émis par celui qui dit l’avoir fait et qu’il n’a pas été modifié en cours de transmission. Problème de transmission d’une signature en même temps que le message : 2 fois plus d’information que nécessaire est transmise => empreinte : application d’une fonction de hachage sur le message à transmettre afin d’obtenir un « résumé » de celui-ci => permet de réduire la taille de l’information à transmise, c’est donc cette empreinte que l’on signe.
Permet au titulaire de prouver à tous que la clé publique associée à ce certificat lui appartient et qu’il pourra décoder le message que toute personne lui enverra en utilisant cette clé publique. Il est infalsifiable car l’autorité émettrice le signe grâce à sa propre clé privée dont elle est le seul détenteur.
Système d’authentification développé par le MIT permettant à des serveurs d’identifier les utilisateurs et de communiquer en toute sécurité, il repose sur le présence d’un service central de distribution des clés secrètes(utilisation du système de cryptage symétrique DES).
Standard pour Netscape
Assure la sécurité et la confidentialité des contenus sur Internet grâce à des algorithmes de cryptage : personne ne peut interpréter les flux transitants sur le réseau.
Connexion de type Socket entre client et serveur
Sécurise tout type d ’applications d ’Internet
S -> C : S envoie son certificats et les algo de cryptge qu ’il reconnaît
Identification de C par sa signature électronique et ses certificats
Utilisation du cryptage asymétrique pour envoyer la clé secrète qui servira au cryptage symétrique des autres données.
Cf TLS : nom du standard - équivalent à SSL
Développé par VISA et MASTERCARD avec la participation de MICROSOFT, IBM et NETSCAPE Standard pour l ’authentification des personnes impliquées lors d ’achats en ligne : SET délivre des certificats d ’authenticité des transactions électroniques
Clé asymétrique de cryptage : pour l ’authentification et  l ’échange des clés
Clé asymétrique de signature : pour signer les documents
Inconvénient : système uniquement pour les paiements par CB
C doit s ’enregistrer dans l ’univers SET pour obtenir un certificat
C choisit une carte de crédit dans son porte-feuille. Puis il vérifie le certificat de M. Puis il envoie à M sa réponse cryptée et son certificat.
Passerelle de paiement : logiciel dont a besoin le responsable du traitement des paiements par carte de crédit pour participer à SET
Défini par le Groupement des Cartes Bancaires
Permet d ’effectuer des paiements en France comme à l ’étranger grâce à la mise en place d ’un service traducteur entre la norme internationale  SET  et C-SET. Plus de1000 clients de cartes EUROCARD-MASTERCARD ont déjà reçu de leur banque un lecteur de carte à mémoire connectable à leur PC
BD de l ’argent électronique en circulation
Protocole à grande échelle : beaucoup de banques et de clients
Amélioration du produit e-Cash de DigiCash
Porte-monnaie : mémoire portative et rechargeable indéfiniment
Micro-paiements pour applications interactives
Travail en partie off-line
Banque commune aux clients et au marchand
Plusieurs politiques de paiement suivant le type de transaction, le degré de vérification souhaité, le degré de risque ...
Extension sécurisés du protocole HTTP
Tous les messages sont sryptés
Type de paiement le plus cher
Prélèvement des banques : de 2 à 5% de la transaction
Coût justifié par l ’absence de contrôle immédiat sur la situation bancaire du titulaire de la carte
MASTERCARD : 0,29$ + 2% de la valeur de la transaction
Exemple : un coût demandé de 100$ coûte au marchand 2,29$
YESCARD : simulacre de carte bleue, utilisable une seule fois, reconnu par les terminaux de paiement comme émanent de l ’autorité bancaire.
Intermédiaire ou banque :
évite le besoin de transmettre l’information à chaque achat (un seul transfert à l’inscription)
L’intermédiaire complète la transaction avec les informations sur la carte de crédit du client
1- le client choisit un produit sur le site du marchand
2- le serveur du marchand retourne un sommaire : prix, numéro d’identification de la transaction
3- validation par le client
4- envoi de l’information concernant le paiement avec la signature numérique du marchand
5- redirection vers la banque du m,    archand
6- requête d’autorisation à la banque du client
7- envoi d’un code d’autorisation ou de refus à CyberCash
8- retour de ce code au marchand
9- puis au client
Attrait pour les fraudeurs car toutes les informations sont stockées à la banque
Une carte à puce est équipée de 3 systèmes permettant l ’identification :
 piste magnétique
 puce
 numéro gravé dans la plastique de la carte
Pour stocker les mêmes informations :
 numéro à 16 chiffres
 date d ’expiration
 nom et prénom du porteur
Pour lire les informations, il faut le code à 4 chiffres.
Sur Internet, on vérifie le format du numéro à 16 chiffres (clé de Luhn) à l ’aide d ’un logiciel utilisable directement sur une page web. La plupart du temps, vérification auprès des banques de l ’existence du numéro.
VISA : plus de 80 cartes à puce à travers 35 pays + Internet
Soit, plus de 23 millions de cartes, plus de 1,5 trillion $ en volume annuel.
Projet international promu par MASTERCARD
Système en utilisation en Suisse et en cours de développement au Canada
Promu en France par le Crédit Mutuel : système actuellement en test à Strasbourg. Porte-monnaie MONDEX accepte l ’argent des autres portes-monnaies MONDEX Projet bientôt abandonné par le Crédit Mutuel parce qu ’elle est engagé dans un autre projet MONEO
Pouvoirs publiques : d ’accord car veulent contrôler la traçabilité des flux monétaires
MONDEX
MONEO : BNP-Paribas, Crédit Agricole, Crédit Lyonnais, Banques Populaires, CIC, CCF, Crédit Mutuel
S ’appuie sur une technologie allemande
Quelques commerçants à Tours acceptent ce porte-monnaie
En cours d ’utilisation en Bretagne.
Utilise une clé DES à 56 bits qui sera bientôt cassée
MODEUS : RATP, SNCF, Caisses d ’Épargne, La Poste, Société Générale, France Télécom
Vont s ’allier à MONEO
Technologie « sans contact » pour éviter les queues : remplacera le ticket de métro ou de train
Une version avec contact existe en attendant la disponibilité des composants
Marché sera verrouillé compte tenu de la situation monopolistique des intervenants
Pour faire face à la prolifération des porte-monnaies électroniques propriétaires. Une série de spécifications qui permet une interopérabilité domestique et internationale pour les porte-monnaies électroniques à travers le monde.
Délivre un standard qui supporte les options et les modèles.
Apporte l ’interopérabilité aux transactions de petites valeurs.
Régulier
Compte bancaire avec chéquier papier et CB normale Spécial
Ne sert qu ’au paiement par Internet
COMPTE BANCAIRE REGULIER
Inscription : Internet + Poste
Vitrine commerciale : MarketNet
Argent sur le compte bancaire
Aucune liste officielle des utilisateurs
Logiciel : WorkHouse, pour envoyer des messages électroniques portant une signature numériaue Construction d ’une clé privée pour le cryptage de sa signature. Il faut préciser la valeur de certains paramètres : TTL, montant max des transactions ...
COMPTE BANCAIRE SPECIAL
Ouverture physique des 2 comptes bancaires : régulier et spécial
Inscription complète sur internet
Argent numérique stocké sur le disque dur du client
ORDRE DE PAIEMENT
Paiement différé
Comme un chèque papier
Signature électronique pour authentifier le payeur et sa banque
ORDRE DE PAIEMENT
Intermédiaire entre C et M
Assure d ’autres services : authentification, gestion des comptes, traitement des transactions, facturation, production de rapports …
Tout type de montants
OEP : Ordre Electronique de Paiement
Contient la signature numérique de C
MICRO-PAIEMENTS
Gère des flots de demandes en parallèle
Il faut un compte chez Millicent
Paiement : carte de crédit / débit, ordre de paiement …
Agent : titre provisoire : argent numérique valide pour un vendeur spécifique
Validation locale pour éviter les fraudes
Agrégation
Porte-feuille électronique
7 jours pour se rétracter
Facturation par mail n ’est pas légale
Code civil : règle non d ’ordre publique donc dérogation par convention possible Signature électronique : décret publié le 31 mars 2001, mais pas encore d ’arrêté.
Pour être équivalent à une signature manuscrite
Il faut que ce soit vérifiable par tous, les algos utilisés doivent être publiés …
Il y a toujours des problèmes, mais on tend à une reconnaissance juridique
Il faut éviter que l ’État ou les banques n ’imposent des standards, pour éviter de nouveaux monopoles. Les projets de porte-monnaies électroniques présentés par les banques constituent une intrusion dans l  ’anonymat des actes de la vie quotidienne.
L ’acheteur doit prouver au vendeur qu ’il a bien payé à l ’aide de son relevé bancaire
Nous avons présenté différentes méthodes de paiement sur Internet en direct et en temps réel Le paiement est sécurisé grâce à des algos de cryptage et d ’authentification. Il vaut mieux passer par un intermédiaire.
Tous les prix sont possibles grâce aux nouveaux systèmes de paiement
Problèmes : les réticences de la population à divulguer ses informations personnelles sur Internet + le manque de lois pour protéger les clients
Nous n ’avons pas traité les problèmes de fiscalité
En conclusion, le paiement électronique sécuritaire est bel et bien à notre porte.