Solutions de paiement électronique

mellowfetaSecurity

Jun 19, 2012 (5 years and 4 months ago)

377 views

Solutions de paiement
électronique

Antonin CHAZALET


chazalet@imag.fr

UJF/IMA/M2PGI/SRR

http://ufrima.imag.fr/dessgi

Année Universitaire 2004
-
2005

13/03/2013 08:24

Solutions de paiement électronique

2

Sommaire




Introduction


Partie 1 : Les solutions existantes


Partie 2 : Protocoles utilisés/utilisables


Conclusions et Perspectives


Documentations

13/03/2013 08:24

Solutions de paiement électronique

3

Introduction



Augmentation du nombre d’internautes,
1 internaute = 1 client potentiel.


Façades commerciales disponibles en
permanence et faible coût.


Enorme flexibilité du rapport offre/demande.


Technologie jeune, mais extrêmement fiable.


Législation adéquate.



13/03/2013 08:24

Solutions de paiement électronique

4

Partie 1 : Les solutions existantes



Transaction SSL sans intermédiaire.


Transaction SSL via un organisme bancaire.


Variante SSL sans intermédiaire.


Variante SSL Booking.


PayPal


SET

13/03/2013 08:24

Solutions de paiement électronique

5

Transaction SSL sans intermédiaire

CLIENT

Consultation
Choix
Achat

MARCHAND (SITE)

Offre produits

paiement


BANQUE

TPE


SSL

WEB

EXTRANET BANQUE

MANUELLEMENT

13/03/2013 08:24

Solutions de paiement électronique

6

Transaction SSL sans intermédiaire



Ce qu’il faut retenir :


Signature avec une banque d’un contrat de VAD et
acquisition d’un TPE.


Rapatriement des infos CB stockées sur le serveur.


Saisie en mode manuel du montant à débiter sur le compte du
client, via le TPE.


Marchand autonome, gère son propre site, mais forte
compétence/formation en informatique.


Mais il gère seul le bon déroulement du paiement.


Achat d’un certificat SSL ou utilisation de celui d’un
consortium.

13/03/2013 08:24

Solutions de paiement électronique

7

Transaction SSL via un organisme bancaire

13/03/2013 08:24

Solutions de paiement électronique

8

Transaction SSL via un organisme bancaire



Ce qu’il faut retenir :


Sélection d’une solution bancaire et signature avec la banque
d’un contrat VAD avec location d’un TPE virtuel.


Gestion des paiements via l’extranet mis à disposition par la
banque.


Marchand et client en sécurité, l’organisme bancaire assure
aux deux parties le bon déroulement du paiement.


Marchand n’a pas besoin d’acheter un certificat SSL.

13/03/2013 08:24

Solutions de paiement électronique

9

Variante SSL sans intermédiaire

CLIENT

Consultation
Choix
Achat

SERVEUR
FACADE (SITE)

Offres produits

Récupère les
coordonnées
bancaires du
client


SSL

WEB

BD Cryptée

Stocke les
coordonnées
bancaires du
client

Marchand

Effectue le
paiement via
son TPE

Mail

Récupération des
coordonnées bancaires du
client

13/03/2013 08:24

Solutions de paiement électronique

10

Variante SSL sans intermédiaire



Ce qu’il faut retenir :


Affiliation à un serveur façade Web.


Marchand récupère lui
-
même les infos bancaires du client sur
la BD cryptée, il doit être formé à la récupération des infos de
la BD.


Marchand ne s’occupe ni du site, ni du paiement électronique.


Marchand possède un TPE.




13/03/2013 08:24

Solutions de paiement électronique

11

Variante SSL Booking

CLIENT

Consultation
Choix
Achat

SITE (BOOKER) regroupant
PLUSIEURS MARCHANDS.

Stocke les coordonnées
bancaires et des informations
sur les clients.

SSL

MARCHAND

Stocke les informations
sur le client.












Similitude avec les
systèmes de réservation.


Puis paiement sur TPE
lorsque le client passe
chez le marchand.

Mails

13/03/2013 08:24

Solutions de paiement électronique

12

Variante SSL Booking

CLIENT

Consultation
Choix
Achat

SITE regroupant PLUSIEURS
MARCHANDS.

Transmet au marchand les
coordonnées bancaires et les
informations sur le client.

SSL

MARCHAND

Encaisse un
dédommagement.












Non respect du contrat par le client =>
Transmission des coordonnées bancaires au
marchand qui encaisse un dédommagement.

Mails

SSL ?

13/03/2013 08:24

Solutions de paiement électronique

13

Variante SSL Booking












Client :

-

large offre.





-

prix très avantageux.




-

réservation rapide, 24h/24, 7j/7, à distance.



Marchand :
-

plus grande visibilité.


-

délégation de « l’informatique » au site.


-

assuré de percevoir le paiement ou le





dédommagement.



BOOKER :
-

technologie générique.





-

intéressement aux transactions.





-

positionnement dans un nouveau marché.

13/03/2013 08:24

Solutions de paiement électronique

14

PayPal : Banque en ligne












Technologie de cryptage : SSL 128 bits


13/03/2013 08:24

Solutions de paiement électronique

15

PayPal : Banque en ligne



Fonctionnement côté acheteur :



Création d’un compte PayPal en ligne,
approvisionnement via virement et/ou carte bleue.


Paiements via compte en ligne, identifiant.


Consultation des transactions en temps réel.

13/03/2013 08:24

Solutions de paiement électronique

16

PayPal : Banque en ligne



Fonctionnement côté vendeur :



Création d’un compte PayPal en ligne.


PayPal s’occupe des paiements.


Consultation des transactions en temps réel.


Virement automatique du compte PayPal au compte
bancaire.

13/03/2013 08:24

Solutions de paiement électronique

17

SET


SET : les entités participantes







Principes :


Le client et le marchand doivent avoir un certificat (délivré par une
“autorité habilitée”).


Le marchand ne voit aucune information de paiement.


L’organisme de cartes de crédit ne voit aucune information relative à
la commande.



La banque ne communique qu’avec l’ organisme de cartes de crédit.

Client

Organisme
de crédit

Banque

Organisme de certification

Certificat

Marchand

Certificat


Commande

Paiement

13/03/2013 08:24

Solutions de paiement électronique

18

Partie 2 : Protocoles utilisés/utilisables



Deux exemples de protocoles sécurisés sur les réseaux:





-

Un protocole général : SSL destiné à sécuriser un
échange client serveur (confidentialité, authentification).




-

Un protocole spécialisé pour les paiements : SET
destiné à sécuriser les paiements par carte bancaire
(confidentialité, authentification, intégrité, non dénégation).



Il existe d’autres protocoles : 3D
-
SET, S
-
HTTP

13/03/2013 08:24

Solutions de paiement électronique

19

Protocoles utilisés/utilisables

Secure Socket Layer (SSL)


Fonctions

:



Protocole d’échanges de données assure :




-

la confidentialité des échanges entre 2 applications.





-

l’authentification des serveurs.




Origine : Netscape
-

utilisé en particulier pour HTTP.


Principes

:



U
tilise RSA (clé publique) pour échanger des clés DES (secrètes).




Protocole de négociation (choix clés).




Protocole d’échange (chiffré par DES).




Ne fournit pas de garantie contre le déni.




Authentifie un navigateur, non une personne.




SSL est une couche entre au dessus HTTP et au dessous TCP/IP.

13/03/2013 08:24

Solutions de paiement électronique

20

Protocoles utilisés/utilisables

Secure Electronic Transactions (SET)


Origine :


Protocole développé par Visa et MasterCard, avec d’autres

partenaires (IBM, Microsoft, Netscape, etc.)


Spécification publique, gérée par un consortium.


Objectifs :


Assurer le paiement par carte bancaire sur l’Internet, avec
garanties de :



-

confidentialité.



-

intégrité de données.



-

authentification du client et du fournisseur.



-

non déni pour le client et le fournisseur.

13/03/2013 08:24

Solutions de paiement électronique

21

Conclusions et Perspectives


Marché en plein « boom » :



démocratisation de l’accès à Internet.



confiance dans les solutions.



1994 : 14 M

, 1995 : 95 M

, 2004 : 550M


(prévisions).


VAD / VPC via Internet très appréciées :



-

du client : anonymat, tarifs avantageux, comparaison aisée,
commande 24h/24 7j/7, pas de déplacement, livraison à domicile, offres
plus larges, législation(VAD/VPC) proche de la vente directe.




-

du marchand : plus besoin de locaux bien situés, moins de
vendeur, moins de gestion de l’humain, moins de coût.
Mais pages Web bien référencées, gestion importante stock et
distribution.

13/03/2013 08:24

Solutions de paiement électronique

22

Conclusions et Perspectives


Marché très intéressant pour nous :



besoins d’experts en cryptographie, développement, maintenance…



les solutions sont vendues en fonction du flux d’argent généré =>
intéressement aux bénéfices.



Développement de E
-
Magasins similaires à nos
supermarchés



=> Systèmes Répartis et Réseaux !!! (grandes

infrastructures)

13/03/2013 08:24

Solutions de paiement électronique

23

Documentations consultées


Sacha Krakowiac, Sécurité de systèmes répartis, cours,
http://sardes.inrialpes.fr
\
people
\
krakowia
\
Enseignement
\
M2P
-
GI
\
Flips
\
10b
-
securite.pdf


TPE VIRTUEL : http://www.paybox.com


http://www.paiement
-
securise.org/boutique/catalog/paiement
-
securise.php


PAYPAL http://www.paypal.com/fr


SSL http://home.netscape.com/security/techbriefs/ssl.html


SET
http://www.setco.org


13/03/2013 08:24

Solutions de paiement électronique

24





QUESTIONS ?