Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

LA SÉCURISATION DU PAIEMENT SUR LES RÉSEAUX OUVERTS 39 LA SÉCURISATION DU PAIEM

LA SÉCURISATION DU PAIEMENT SUR LES RÉSEAUX OUVERTS 39 LA SÉCURISATION DU PAIEMENT SUR LES RÉSEAUX OUVERTS YVES RANDOUX L es nouvelles technologies de traitement de l’information devien- nent chaque jour de plus en plus banalisées. La médiatisation naturelle qui accompagne leur évolution leur donne un retentis- sement considérable, au point qu’elle sous-entend que tout est possible, facile, disponible et… opérationnel. Mais la réalité du terrain atténue quelque peu les espoirs et les attentes légitimes que les différents acteurs mettent, à plus ou moins bon escient, dans ces technologies. Il en va ainsi du commerce électronique. La lecture de la presse nationale et internationale illustre le foisonnement d’idées et de réalisa- tions au quotidien, sans que des solutions pertinentes puissent voir durablement le jour. Les banques du Groupement des Cartes Bancaires « CB » proposent de franchir un pas décisif dans le domaine de la sécurisation du paiement sur les réseaux ouverts. En expliquant de façon détaillée les voies et moyens empruntés pour mettre en œuvre cet ambitieux projet, cet article se veut donc résolument pédagogique. Il expose dans un premier temps la problématique actuelle du paiement sur Internet, présente ensuite les différents éléments de la solution proposée, évalue dans une troisième partie les enjeux sous-jacents et éclaire dans une dernière partie les attentes des divers acteurs économiques face à ce formidable défi que constitue désormais la nécessaire sécurisation des transactions de paie- ment sur les réseaux ouverts. Avant d’entrer dans le vif du sujet, il paraît judicieux de rappeler quelques notions de base, de nature à expliciter ensuite le modèle mis en place. Au quotidien, la plupart des achats se font en face à face : un acheteur est devant un fournisseur et l’opération de paiement est réputée 1 Administrateur du Groupement des Cartes Bancaires « CB « REVUE D'ÉCONOMIE FINANCIÈRE 40 « parfaite » parce que le bien ou le service existe, vendeur et acheteur se rencontrent ; le prix est connu voire discuté et l’instrument de paiement vient clore physiquement la transaction : nous sommes dans un monde réel, où confiance et sécurité sont réciproques et tangibles. En revanche, dans le monde de l’achat dit électronique, c’est-à-dire à travers un réseau et via un support informatique - traditionnellement mais non exclusivement un PC - un client réputé réel, achète un bien potentiellement délivrable (mais existe-t-il réellement ?) à un marchand virtuel, et d’autant plus virtuel qu’il se situe quelque part dans le monde et seul un accès sur le réseau le rend « réel ». Confiance et sécurité sont perçues alors comme aléatoires et l’incertitude voire l’insatisfaction résident dans le cœur même de l’acte d’achat. C’est donc pour instaurer la confiance et la sécurité dans de telles opérations à distance que le paiement sur réseau ouvert constitue un réel enjeu pour tous les acteurs. LES TENTATIVES DE SÉCURISATION DU COMMERCE ÉLECTRONIQUE SUR RÉSEAUX OUVERTS La France s’est dotée depuis près de vingt ans, grâce au minitel, d’une infrastructure technique et juridique du paiement à distance. Dans cet univers, l’expérimentation du paiement dématérialisé et délocalisé est un acquis durable, grâce à l’utilisation récurrente de la carte bancaire mais aussi du chèque. S’agissant du paiement par carte, sécurité et confiance ont été renforcées depuis une dizaine d’années par l’utilisation de la carte à puce et la composition au clavier du code confidentiel par le client effectuant l’achat. C’est ainsi que le minitel Magis est venu récemment élever le niveau de sécurisation du commerce électronique grâce au lecteur de carte à puce dont il est désormais doté. Le contexte bancaire français est donc riche d’une expérience éprou- vée, mais il n’est pas le seul puisque, par exemple, les cartes privatives représentent à elles seules 23 % des paiements par carte dans le monde du paiement à distance contre 16 % effectués par carte bancaire « CB ». Enfin, d’autres approches ont vu le jour spécifiquement sur Internet parce que ce dernier est un réseau ouvert et qu’il présente des caractéris- tiques d’acheminement des informations dans le domaine du commerce électronique qui conviennent aux commerçants. Brève typologie des instruments de sécurisation de paiement sur Internet Au risque d’être simplificateur, on peut considérer deux grandes familles de paiement à l’heure actuelle : les paiements de petits montants et les paiements d’opérations commerciales courantes. LA SÉCURISATION DU PAIEMENT SUR LES RÉSEAUX OUVERTS 41 La sécurisation actuelle des paiements de petits montants On recense, aujourd’hui, toutes solutions confondues, plus de trois cents modes de paiement sur Internet. Il serait fastidieux de les lister de façon exhaustive ici, d’autant plus que la plupart n’ont eu qu’une existence éphémère, ou se déroulent dans un environnement tellement restreint, qu’ils ne peuvent prétendre au titre d’instrument de paiement, au regard du seul critère de l’universalité que celui-ci doit revêtir, parmi d’autres, pour être reconnu comme tel. A titre d’exemple pour illustrer le propos, on citera aux USA, les solutions telles que Cybercash, First Virtual, Digicash, voire Netscape ou E-cash. Certains ont d’ores et déjà disparus de cette brève nomencla- ture ! En France, on peut citer la solution Klebox de KLELine, mais aussi Payline développé par Experian, Globe ID développé par CG-TECH, SIPS commercialisé par Atos. L’Europe s’est elle-même lancée dans une expérience identique dans le cadre du projet ESPRIT en proposant un projet européen de monnaie électronique : CAFE (Conditionnal Access For Europe). La protection des opérations commerciales courantes De nombreux « dispositifs » sont actuellement en vigueur pour sécu- riser les transactions autres que celles de petits montants. Deux protoco- les dominent néanmoins le marché ; on s’y limitera. • SSL (Secure Socket Layer) SSL est un protocole de sécurisation des échanges de données conçu par Netscape, et intégré dans son browser, ainsi que dans celui de Microsoft. Il permet de régler en partie les problèmes d’authentification des acteurs et de confidentialité des échanges, mais ne traite pas la chaîne de confiance qui s’établit entre les divers moments de l’acte d’achat. Sans entrer dans le détail de ce protocole, on peut le résumer de la façon suivante, en distinguant 2 phases : - phase initiale de connexion : le client se connecte sur le serveur d’un marchand pour y effectuer ses achats. Le serveur du marchand envoie dans cette phase initiale, sa clé publique de chiffrement. Le logiciel du PC du client, à la réception de cette clé publique, génère une variable aléatoire et secrète, dite clé de session, et l’envoie chiffrée par la clé publique au serveur du commer- çant. Le dialogue sécurisé peut alors s’établir entre le PC et le serveur du commerçant. - phase d’achat : le client choisit ensuite le produit désiré et envoie sa commande avec ses coordonnées bancaires - par exemple le numéro de sa carte bancaire - le tout chiffré par la clé de session du commerçant. REVUE D'ÉCONOMIE FINANCIÈRE 42 A l’arrivée du message, le serveur déchiffre le message avec la clé secrète du commerçant, appelle la banque du client pour obtenir l’autorisation de débiter le client - s’il y a lieu - ou obtenir une garantie bancaire de la bonne fin du paiement. En cas de réponse positive, il délivre le bien au client et fait recouvrer sa créance par les voies traditionnelles de la compensation. Cette solution est simple, rapide et efficace ; mais on verra qu’elle comporte quelques failles importantes. • SET (Secure Electronic Transaction) Ce protocole présente une structure de fonctionnement plus spéciali- sée - car il est dédié aux cartes des réseaux Visa et Mastercard - et plus complexe car il organise clairement la séparation entre les données liées à l’achat et celles liées au paiement à l’aide de clés séparées. La phase initiale de mise en relation client/commerçant n’existe pas réellement : l’opération débute par la connexion du client au serveur du marchand et le choix d’un bien qu’il désire acquérir. Dès que ce choix est effectué, le client indique également le mode de paiement retenu et en l’espèce le paiement par carte, en sélectionnant le réseau utilisé : Visa ou Mastercard. Pendant cette phase, le serveur du commerçant, comme dans SSL, envoie au PC du porteur la clé publique du commerçant et celle de sa banque. Le logiciel du client fabrique alors un enregistrement comprenant : - l’identification du client ; - les données relatives au bien acheté par le client ; - les références bancaires du client (n° de carte bancaire par exemple) ; - un numéro unique de transaction transmis par le serveur du com- merçant. L’ensemble ainsi constitué, est concaténé puis signé et chiffré par les clés publiques de la banque et du commerçant et enfin envoyé au serveur du commerçant. Celui-ci reçoit en fait deux types de données : - celles destinées à l’achat proprement dit : elles sont directement exploitables par le marchand ; - celles destinées au banquier : elles ne sont jamais accessibles par le commerçant, mais routées vers le serveur bancaire, qui vérifie les don- nées ainsi reçues, effectue le traitement approprié et renvoie un acquit- tement au serveur commerçant. En fin d’opération, uploads/Geographie/ 541-la-monnaie-lectronique 3 .pdf