Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

allahou akbar Ousmane Coulibaly [Tapez le résumé du document ici. Il s'agit gén

allahou akbar Ousmane Coulibaly [Tapez le résumé du document ici. Il s'agit généralement d'une courte synthèse du document.] ETUDE ET ANALYSE DES PROTOCOLES DE PAIEMENT SUR INTERNET 2 SOMMAIRE : Introduction 1. Fonctionnement du paiement sécurisé 1.1 - Principe 1.2 - Eléments de sécurisations mise en œuvre 2. Les Protocoles de Sécurisation des transactions 2.1 SSL 2.1.1 Fonctionnement 2.1.2 Les certificats : 2.1.3 Exemples de solutions basées sur SSL : 2.1.4 Critiques : 2.2 SET 2.2.1 Fonctionnement 2.2.2 Les certificats a) Contenu d’un certificat SET : b) Hiérarchie de certification 2.2.3 Transaction d'un Achat par le protocole SET 2.2.4 SET et la carte à puce 2.2.5 Critiques 2.3 Le protocole 3D Secure 2.3.1 Architecture : 2.3.2 Transaction d'un Achat par le protocole 3D Secure 2.3.3 Critiques 3. Conclusion 3 Aujourd’hui, nous assistons à une très grande augmentation du commerce sur internet et donc à l’essor des transactions sécurisées sur Internet. Il existe de nombreuses solutions qui permettent de sécuriser les paiements sur internet. Ces solutions sont développées par les grands acteurs informatiques et les banques. Mais il existe de nouveaux acteurs qui, grâce au développement du commerce online se sont placé comme intermédiaires entre les commerçants et les organismes bancaires. L’utilisation des cartes bancaire pour acheter sur internet est devenue une tendance. Face à cette montée du commerce en ligne, une sécurisation des transactions s’impose. Les principes de la sécurisation d’une transaction sont : • la confidentialité (accessible uniquement par le vendeur et l’acheteur) • l’authentification (identités des parties concernées) • l’intégrité (aucune modification ne peut être faite pendant le transfert) • la certification de l’opération (la transaction a bien eu lieu). Aujourd’hui les principaux systèmes de paiements sur Internet sont : - Le paiement en clair : l’acheteur fournit son numéro de carte de crédit par un formulaire sur une page non sécurisée ou par e–mail (fortement déconseiller). - Le paiement crypté : l’acheteur fournit son numéro de carte de crédit par un formulaire sur une page sécurisée. - Le paiement par carte à puce : l’acheteur effectue le paiement à travers un lecteur de cartes connecté à son ordinateur. Nous nous intéresserons plus précisément aux paiements sécurisés, qui sont actuellement les systèmes de paiement les plus utilisés par les internautes. 1 ‐ Fonctionnement du paiement sécurisé La sécurité du paiement par carte bancaire sur Internet est indispensable. En effet, il permet aux commerçants de vendre à distance. Il existe de nombreuses solutions pour sécuriser les paiements sur internet. 1.1 ‐ Principe Le commerçant expose son catalogue de services ou de produits sur serveur web. L’acheteur passe sa commande et sélectionne son moyen de paiement. Il est ensuite dirigé vers le service de paiement par carte bancaire de la banque, dans le cas d’un paiement par carte de crédit. Pendant toute la phase de paiement, le client discutera selon l’architecture de paiement soit avec le serveur de paiement sécurisé de la banque soit avec le serveur sécurisé d’une société intermédiaire. Tous les échanges seront sécurisée assurant la confidentialité des renseignements fournis par le client (numéro et date de validité de la carte de crédit). Après validation de la requête par l’acheteur, la banque ou la société intermédiaire 4 se charge d’effectuer : • authentification du commerçant émetteur de la demande de paiement, • la demande d’autorisation du paiement • l’envoi d’un message de confirmation précisant le résultat du paiement vers le système informatique du commerçant, • la mise en recouvrement du paiement. 1.2 ‐ Eléments de sécurisations mise en œuvre Les piliers de sécurisation mis en œuvre dans le cadre d’un paiement sécurisé sont les suivants : • intégrité des données échangées entre le serveur du commerçant et le serveur de la banque assurée par une méthode de scellement, • authentification du commerçant émetteur de la demande de paiement, • confidentialité des données échangées entre le client et le serveur de paiement de la banque (numéro et date de validité de la carte bancaire) assurée par chiffrement SSL, • saisie directe des coordonnées Carte Bancaire sur le site sécurisé de la banque, garantissant que ni le commerçant, ni aucun intermédiaire technique, n'auront connaissance des informations concernant la carte bancaire. 2. Les Protocoles de Sécurisation des transactions Lors d’un paiement par carte bancaire, le cryptage des données personnelles (nom, adresse, coordonnées bancaires) de l’acheteur nécessaire. Une solution de sécurisation est proposée par les sites marchands et les sites bancaires. Ces solutions font appel aux protocoles de sécurisation des transactions : SSL (Secure Socket Layer) qui est un protocole indépendant et SET (Secure Electronic Transaction) avec ses variantes, et aujourd’hui 3D Secure. Les protocoles SET et 3D Secure sont développés par des institutions bancaires. Nous nous intéressons à ces différents protocole de paiement sur internet. 2.1 SSL (Secure Socket Layer, créée par Netscape). Aujourd’hui, SSL est la solution la plus utilisée pour sécuriser les transactions . Cela s’explique d’une part par la simplicité d’utilisation et d’autre part son intégration à tous les browsers du marché. SSL est un protocole d’ échange d’information. Il permet d’assurer l’authentification, la confidentialité et l’intégrité des données transmises. Dans le cadre d’un paiement en ligne, ces données sont constituées des informations relatives à la Carte bancaires. Il utilise un moyen de cryptographie reconnu : l’algorithme à clé RSA. SSL effectue la gestion des clés et l’authentification du serveur avant que les informations ne soient échangées 2.1.1 FONCTIONNEMMENT DE SSL Le protocole SSL a été défini par Netscape. Il permet d’associer des propriétés de sécurité à une socket indépendamment des informations qui seront transportées par cette socket. 5 Il fonctionne en trois phases: • Authentification du serveur à l’aide de certificats (optionnelle pour le client) • Envoi des clés publiques. • Envoi des informations codées. Ces trois étapes sont décrites dans les schémas ci-dessous. Schéma dans le cas où la société, seule, demande un certificat : a- Le serveur demande à être certifié par un organisme. b- Les navigateurs contiennent une liste d’organismes fiables. Le serveur gère une paire de clés publiques/privées. Le logiciel client demande au logiciel serveur de lui fournir sa clé publique. Le certificat permet au logiciel du client de reconnaître de manière sûr l’identité du serveur. Les informations du client sont aussitôt cryptées avec la clé publique du serveur et transmises au serveur. Le serveur décode le message avec sa clé privée. Il envoie 6 ensuite au logiciel client une confirmation du bon déroulement de l’opération. Avec ce protocole, une nouvelle paire de clés est générée à chaque établissement de la communication entre le logiciel client de l’utilisateur et le logiciel serveur. La communication est donc sûre mais en aucun cas le serveur commercial ne peut s’assurer de l’identité de l’utilisateur à l’autre extrémité. Une façon de résoudre ce problème, est de joindre à ce processus un système de validation, comme par exemple un numéro d’identification personnel (NIP) qui s’obtient par une inscription préalable du client et du serveur. 2.1.2 Les certificats : Un certificat est un document électronique qui atteste qu’une clé publique est bien liée à une organisation ou à une personne. Il permet la vérification de la propriété d’une clé publique pour prévenir la contrefaçon de clés publiques. Un certificat contient généralement une clé publique, un nom ainsi que d’autres champs pour identifier le propriétaire, une date d’expiration, un numéro de série, le nom de l’organisation qui contresigne le certificat et la signature elle-même. Le format des certificats est défini par la norme X509. Le certificat doit être généré par un tiers de confiance. L’organisme certificateur donne la crédibilité au certificat. Il existe deux types de certificats utilisés avec SSL : pour serveur et pour client. Un certificat coté client sert à identifier un utilisateur, il contiendra donc des informations sur cet utilisateur. Coté serveur, le certificat a pour but d’authentifier le serveur et l’organisme qui l’exploite. C’est ce type de certificat dont vous avez besoin pour mettre en place un serveur sécurisé HTTPS 2.1.3 Exemples de solutions basées sur SSL : • Transaction SSL sans intermédiaire : Dans cette configuration, le commerçant signe avec une banque un contrat de VAD et achète d’un TPE. Lors d’un achat, le client fournit ses coordonnées bancaires au serveur marchand à travers une session SSL . Le marchand récupère ensuite les informations CB stockées sur le serveur. Ensuite il saisie manuellement le montant à débiter sur le compte du client, via le TPE. Le marchand est donc autonome, gère son propre site ; Il doit donc avoir de bonnes compétences en informatique. Il doit aussi acquérir un certificat SSL. 7 L’inconvénient principal de cette architecture est que les coordonnées bancaires sont stockées sur une basse de donnée En effet cela est très risqué car un attaquant malintentionné pourra se les procurer. Le marchand est seul responsable du bon déroulement du paiement. • Transaction SSL via un organisme bancaire : Le porteur valide son achat et choisit de payer par carte bleu. Ensuite Il fournit ses données confidentielles et N° de Carte de Crédit dans un environnement sécurisé et crypté. Le commerçant envoie la uploads/Finance/ proj-secu.pdf