En ordre de visualiser proprement tous les aspects d’une transaction dans e-commerce, les suppositions suivantes sont valides pour toute cette partie:
1- Les deux parties sont connectés a un réseau non sécurisé (l’Internet).
2- La négociation entre les deux parties constitue une transaction d’affaires qui exige une commande, une confirmation de commande, un paiement, et une accepta-tion pour la confirmaaccepta-tion de la commande. Comme la commande est pour un service, elle va inclure une confirmation pour la conclusion du service.
La transaction entre ces deux partenaires peut être une paiement (client et banque) ou un service en ligne de marché des actions (le courtier informe des clients, qui for-mulent alternativement une commission de vente ou d'achat)
D'abord les aspects conceptuels sont couverts, qui sont reliés au processus d'affai-res. En second lieu, les aspects logiques sont couverts, décrivant comment la transac-tion est structurée et quels sont les aspects qui ont besoins d'être sécurisés. En conclu-sion, dans la troisième étape les mesures de sécurité physiques sont décrites.
Aspects Conceptuels
Puisque cette transaction de commande est importante à sécuriser, les processus d'af-faires de commande /livraison doivent être sécurisés. Les conditions suivantes émer-gent de ceci:
1- Chaque commande doit être jointe au paiement de (promesse certifiée pour).
2- L'accès au service est limité aux parties certifiées.
3- Chaque livraison doit être jointe à une commande.
Par ces trois conditions de sécurités les chances sur la fraude sont minimales (car chaque commande exige un paiement) et seulement les parties connues peuvent lancer le service. En outre, le client ne peut pas être facturé sur les services non commandés.
Aspects Logiques
Les conditions de mesures de sécurité dérivées de cet ensemble d’exigences sont:
Les deux parties doivent pouvoir s'authentifier (authentification mutuelle).
L'intégrité des échanges de l'information doit être vérifiable (intégrité de données).
La partie qui passe une commande doit avoir accès au service désiré (accès de ser-vice).
La confidentialité de la transaction doit être garantie (chiffrage de l'information).
La Sécurité des Transactions en E-Commerce 7
La transaction doit être vérifiée par au moins deux canaux. Le deuxième canal de confirmation tient compte d'un contrôle par l'acheteur par la suite. Si par ce canal des transactions sont signalées que l'acheteur n'a pas donné son approbation, un avertisse-ment de fraude peut être lancées.
La transaction consiste de 6 étapes :
1- Demande de Transaction (de l'acheteur au vendeur).
2- Acquittement de la demande de Transaction (du vendeur à l'acheteur).
3- Description de la commande (de l'acheteur au vendeur).
4- Demande de la confirmation et demande de paiement (du vendeur à l'acheteur).
5- Paiement (de l'acheteur àu vendeur )5.
6- Confirmation de l'accomplissement (du vendeur à l'acheteur), à travers au moins deux canaux.
De l'étape cinq il y a une transaction en sens légal, car la commande et le paiement tous les deux sont vérifiés. Si la transaction échoue avant l'étape cinq, il n'y a aucune transaction légale et aucun service ne sera fourni.
Chacune de ces six étapes est reliée l’une à l’autre, mais ils ne constituent pas une seule session. Comme le réseau qui est employé pour transporter les données de trans-action n’est pas sécurisé (par exemple l'Internet), chaque étape dans la transtrans-action doit être assurée que toutes les mesures de sécurité sont satisfaites. Ceci implique la trans-action est exécutée dans un environnement apatride, et ce dans chacune des étapes l'information des étapes précédentes est incluse. En outre, les six étapes sont une des-cription d'une transaction entre l'acheteur et le négociant, mais chacune de ces parties lancera d'autres transactions à d'autres parties afin de vérifier la validité de la transac-tion initiale.
Le vendeur aura ces étapes supplémentaires:
1- Vérifier l’accès pour l'acheteur.
2- Vérifier la confiance pour l'acheteur.
3- Vérifier la confiance pour le paiement.
4- Demander des canaux supplémentaires pour la confirmation d'accomplissement de service.
L’étape quatre assure que l'acheteur est au courant, par un autre canal puis par celui utilisé pour la transaction, au sujet du service fourni.
Cet autre canal (adresse) est fourni par la partie de confiance(TTP) qui a registré l'acheteur.
L'acheteur aura les étapes supplémentaires suivantes:
1- Vérifier la confiance pour le service ou, 2- Vérifier la confiance pour le vendeur.
La Sécurité des Transactions en E-Commerce 8 Évidemment, dans des données de transaction le paquet est une pièce pour l'identi-fication du vendeur, du service et de l'acheteur. En outre, chaque étape dans la trans-action a besoin d'un horodateur global (non basé sur un emplacement géographique mais d'un temps-source simple), pour assurer un contrôle dans l'ordre et pour identifier des retards inattendus entre les étapes. (Le plein écoulement de transaction est montré sur la fig. 5)
Fig.5 Écoulement de transaction entre les différentes parties
Aspects Physiques
Pour assurer la confidentialité et l’intégrité des paquets d’informations de la transac-tion, chaque paquet va être chiffré. La technique utilisée est la RSA, utilisant une longueur de la clé qui assure une sécurité assez suffisante.
Le chiffrage ne va pas être basé sur une clé unique, ça dépend de l’envoyeur et du receveur. La transaction avec toutes les étapes clarifie la situation.
Dans la technique de RSA pour le chiffrage, l’entité capable de déchiffrer va pu-blier une clé publique de chiffrage. Ce qui utilise cette clé pour chiffrer ne peut pas déchiffrer ce message, seulement qui a produit la clé publique de chiffrage peut le faire. C’est important pour l’authentification et le non-reniement.
En ajoutant la Transaction-Id, Order-Id, et Pay-Id au paquet des données de la transaction qui est chiffré à plusieurs reprises les 2 parties peuvent donner l’authentification. Si le client est capable de déchiffrer la Transaction-Id et envoie ce numéro dans la deuxième étape, le marchant sera sur que le client est capable de dé-chiffrer le message. Ça fonctionne en deux sens. (Les détails dans le tableau 1)
La Sécurité des Transactions en E-Commerce 9 Tableau 1 Les 14 étapes du déroulement de transaction.
De À Information Clé pub.
Vendeur TTP ID de l’acheteur TTP
Vérifie la confiance TTP Acheteur Clé publique du
Ven-deur
Achet. Authentifie le ven-deur Achet Vendeur
Commande,
Transac-tion –ID Vendeur Authentifie le ven-deur
Vendeur Banque Vérifier paiement Banque Intégrité de la trans-action
La Sécurité des Transactions en E-Commerce 10
Critiques
Vous avez besoin des personnes ou d'un associé qui peut vérifier la qualité de votre sécurité. Les pirates essayent de pénétrer votre système (pour ne pas faire n'importe quels dommages) et le temps où ils prennent pour pénétrer est un nombre important dans la sécurité de n'importe quel système.
Une règle importante : Pt > Dt + Rt
Où Pt : le temps de pénétration à un système sécurisé Dt : le temps de détection du piratage
Rt : Temps de réponse à cette pénétration.
Sur celle, les intrus vous fournissent une voie de contrôler des procédures de détec-tion et de réponse que vous avez conçues. Les pirates effectuent le travail de test que votre propre organisation ne peut pas effectuer. vous devez être au courant au sujet de la qualité de la sécurité avec le temps.
Si l'organisation ne peut pas expliquer ce que sont les risques de la sécurité, et si les cadres supérieurs ne comprennent pas pourquoi la sécurité est critique dedans, par exemple, dans l’e-commerce, n'importe quel projet de sécurité échouera, soit tardive-ment ou directetardive-ment. Créer une vision de sécurité exige plusieurs sessions avec les joueurs principaux dans l'organisation, par des ateliers ou par des entrevues focali-sées . Naturellement, il exige également d'un officier de sécurité avec l'expertise suffi-sante de sauvegarder n'importe quelle publication sur la sécurité.
Conclusion
La technologie s’évolue rapidement.
Le besoin de la troisième partie (TTP: trusted third party) est importante.
La sécurité des transactions est la clé en E-commerce.
L’implantation de la sécurité dans les systèmes est essentielle, on doit créer une ar-chitecture de sécurité.
À ne pas oublier: on a besoin une base sécurisée dans les deux côtés de la transaction.
Références
1. An Introduction to Cryptography, December 1997, Ian Curry. URL http://www.entrust.com white paper
2.Adam N.R, Dogramaci O., Gangopadhyay A., Yesha Y. (1999).
Electronic Commerce Technical, Business, and Legal Issues Prentice-Hall
3. May, P. (2000). "The Business of Ecommerce From corporate strategy to technology." Cam-bridge University Press
4. URL http://www.ecommercetimes.com
5. Digital Signatures: The Sure Path to Online Document Security, Ira Machefsky, Giga Infor-mation Group