Paiement

1
Paiement électronique

• Anthony GARCIA
• Laurent EYRAUD
• Anthony.Garcia_at_e.ujf-grenoble.fr
• Laurent.Eyraud _at_e.ujf-grenoble.fr

UJF/IMA/DESS GI/SRR http//ufrima.imag.fr/
Année Universitaire 2002-2003
2
Sommaire

• Introduction
• Problématique
• Provenance de largent électronique
• Micro paiements
• Sécurité
• Exemple NetBill

3
Introduction

• Développement lié au grand nombre dutilisateur
  potentiel
• Possède des utilisations diverses
• Achat de service
• Achat de bien de consommation
• Informatique
• Physique
• Règlement de taxes
• Présente les mêmes avantages quInternet
• Diminution des coûts
• Comparaison aisée
• Accès 24h/24

4
Problématique

• Apparition de nouveaux problèmes lié au paiement
  et à lutilisation dInternet
• Problèmes Juridiques
• Authentification de l'argent électronique
• Validité de la monnaie
• Non duplication de l argent
• Authentification et intégrité des messages
• Reconnaissance des clients et vendeurs
• Non répudiation
• Assurance de lexistence des messages

5
Problématique

• Problèmes Économiques
• Divisibilité de largent
• Possibilité dutiliser son argent sous toutes
  formes
• Disponibilité
• Possibilité dutiliser son argent sous toutes
  conditions
• Problème de Sécurité
• Fiabilité
• Protection de largent
• Confidentialité
• Protection du client

6
Problématique

• Solutions diverses
• Provenance de largent électronique
• Carte bleu, compte bancaire, porte-monnaie
  électronique
• Protocole de sécurité
• Codage des informations
• Sécurité des réseaux
• Protection du client

7
Provenance de largent électronique

• Désigne la source de largent électronique
• Différentes méthodes développées dans des buts de
  sécurité
• Carte de débit
• Frais de la transaction assumé par le marchand
• Possibilité de différer ces paiements
• Assurance de lorganisme de la carte de crédit
• Cest la méthode la plus fréquemment utilisée

8
Provenance de largent électronique

• Compte bancaire régulier
• Argent électronique se situe à la banque du
  client
• Le client doit fournir des informations
  confidentielles pour y accéder
• Compte bancaire spécial
• Largent électronique est sous une forme spéciale
• Présence dun intermédiaire qui détient ou
  fournit largent au client

9
Provenance de largent électronique

• Argent chez lintermédiaire
• Le client crédite un compte spécial chez
  lintermédiaire et ce dernier soccupe des
  transactions
• Largent pour avoir des formes variées
• Argent chez le particulier
• Lintermédiaire  transforme   largent sous
  forme uniquement électronique
• Problème de conservation des informations

10
Provenance de largent électronique

• Cartes à puces
• Nécessite des équipements spécialisé chez le
  client
• Pose des problèmes en cas de perte ou vol de la
  carte
• Solution en voie de développement

11
Micro Paiements

• Problème lié au frais dune transaction
  électronique
• Cas particulier ou le frais de la transaction
  nest pas négligeable devant le montant impliqué
  dans celle-ci
• X (Y du total de la transaction)
• Où X représente un montant fixe, par exemple
  0.25 Y est un pourcentage appliqué au total,
  par exemple 2

12
Micro Paiements

• Différentes solutions selon les cas de figures
• Regroupement des transactions avant facturation
• Suppose des achats multiples
• Utilisation dun intermédiaire pour le paiement
• Tiers personne de confiance qui est en contact
  avec les organismes de paiements
• Utilisation dargent électronique
• Le client crédite un  compte  dargent
  électronique
• Pas de frais pour chaque transaction mais des
  frais globaux

13
Sécurité

• Sécurisation du canal de communication
• Sécurisation des données transmises
• Confidentialité
• intégrité
• Authentification des acteurs
• Client , marchand , banque
• Aspect juridique
• Protection des intervenants

14
Les protocoles de sécurité

• Intégrés aux navigateurs
• SSL
• S-HTTP
• PGP
• Authentification
• Kerberos
• SET

15
SSL Définitions

• Secure Socket Layer
• Développé par Netscape et intégré aux navigateurs
  web
• Assure 3 services de sécurité
• confidentialité chiffrement symétrique (DES,
  IDEA, 3DES, RC4, )
• intégrité MAC (Message Authentification Code)
  basé sur fonction de hachage MD5 ou SHA-1
• authentification des entités avec des
  certificats X.509 et des données avec les MACs
• Utilisé par Downtown Anywhere, NetMarket,...

16
SSL Communications
S E R V E U R
CLIENT

• http//www.securiteinfo.com/crypto/ssl.shtml

17
SSL Faiblesses

• Clé trop petite (128 bits recommandés)
• Man in the Middle
• Authentification du client optionnelle
• Vérification des certificats du serveur
• Attaques poussées (rollback, attaques brutes, )

18
S-HTTP Définitions

• Secure HTTP
• Développé par CommerceNet
• Uniquement pour HTTP
• Messages en 3 parties
• Le message HTTP
• Les préférences cryptographiques de l envoyeur
• Celles du destinataire
• 3 fonctionnalités
• Confidentialité
• Authentification
• Non-répudiation

19
PGP Définitions

• Pretty Good Privacy
• Combine la cryptographie symétrique (rapidité) et
  asymétrique (simplicité de mise en œuvre)
• Chiffrement symétrique avec CAST, 3-DES et IDEA
• Chiffrement asymétrique type RSA
• Utilisé dans OpenMarket par exemple

20
PGP Cryptage

• D après www.openpgp.fr.st

21
PGP Décryptage

• D après www.openpgp.fr.st

22
PGP Faiblesses

• Falsification de clé publique
• Suppression de fichier incomplète
• Mot de passe associé à la clé privée
• Virus et chevaux de Troie

23
Kerberos introduction

• Décharger les applications du processus
  d authentification
• Les utilisateurs doivent avoir une confiance
  aveugle dans le serveur Kerberos
• Authentification du client auprès du serveur,
  échange de tickets
• Utilisé par NetCheque

24
Kerberos protocole
25
Kerberos inconvénients

• Le client n a pas authentifié le serveur
  d application
• Difficultés d intégration
• intégration complète dans l architecture
  logicielle du réseau
• nécessité de contrôler son environnement

26
SET définition

• Secure Electronic Transaction
• Visa et Mastercard
• Norme de chiffrement et d authentification des
  opérations par carte de débit sur Internet
• Utilisation de certificats pour authentifier les
  acteurs auprès des organismes financiers

27
SET fonctionnement
28
SET faiblesses

• Falsification de certificats
• Cryptanalyse

29
C-SET
30
Récapitulatif

• Protocoles de sécurité
• SSL, S-HTTP (dans les navigateurs)
• PGP
• Kerberos (authentification)
• SET, C-SET (cartes bancaires)
• Provenances de l argent
• Carte de débit
• Compte bancaire courant
• Compte bancaire dédié
• Micro paiements
• Regroupement des transactions
• Utilisation d un intermédiaire
• Argent électronique

31
Exemple NetBill

• http//www.essi.fr/riveill

32
Exemple NetBill

• http//www.essi.fr/riveill

33
Conclusion

• Beaucoup dentreprises se sont lancées dans ce
  domaine et peu ont réussi
• Domaine encore en évolution et en développement
• Apparition de normes liés aux problèmes
  juridiques
• Méfiance encore présente vis à vis dInternet peu
  justifiée, constitue un frein à la croissance