• Aucun résultat trouvé

4 Les Systèmes de Payement Électronique

4.1 Les instruments de payement électronique

La monnaie électronique est une valeur monétaire mesurée en unité fiduciaire et stockée sous forme électronique ou dans une puce électronique détenue par le con-sommateur. Il s'agit donc d'une forme binaire de monnaie scripturale, stockée sur un support amovible du type carte à puce. Le caractère scriptural de la monnaie électronique est lié au statut de l'émetteur et à la trempabilité du mouvement des transactions.

La monnaie virtuelle se distingue de la monnaie électronique par le fait que son support, sa représentation et son mode de paiement n'ont pas de forme tangible. La monnaie virtuelle peut être contenue dans des logiciels qui permettent d'effectuer des payements sur des réseaux ouverts, en l'occurrence Internet.

On peut considérer la monnaie virtuelle comme un référent (ou un pointeur) qui renvoie à un compte bancaire. La valeur n'est jamais détenue physiquement par le porteur.

La monnaie numérique une solution ambitieuse pour les payements en ligne.

Chaque pièce de monnaie numérique est identifiée par un numéro de série unique.

Cependant le support de la monnaie est virtuel, la valeur étant stockée sous forme d'algorithmes, en mémoire d'ordinateur sur le disque dur de l'utilisateur ou dans une carte à puce.

Porte-monnaie et porte jeton électronique une porte-monnaie électronique est une carte prépayée, rechargeable et polyvalente, transportant des unités électroni-ques de paiement pour les payements de proximité ou de faibles montants. Les portes jetons sont comparables aux moyens de paiement privatifs comme les titres de restauration (chèque-restaurant, ticket-restaurant) et les coupons de rabais dis-tribués par les fabricants. Le porte-jeton le plus utilisé est la carte de payement té-léphonique qui contient des unités de payement donnant droit à des liaisons télé-phoniques prépayées.

Porte-monnaie et porte jeton virtuel Un porte-monnaie virtuel est un compte préchargé évalué en unités monétaires stockées dans le système d'encaissement de l'opérateur non bancaire (par exemple une galerie marchande). L'accès à ce porte-monnaie virtuel se fait à l'aide d'un logiciel installé sur le micro ordinateur du client afin de régler des micropaiements en ligne.

4.2 Propriétés Transactionnelles des Monnaies Dématérialisées

Les transactions monétaires assistées par ordinateur doivent obligatoirement posséder les propriétés suivantes :

Le Commerce Électronique : Protocoles et technologies 6 L'atomicité : Une transaction doit se dérouler intégralement jusqu'au bout avant de produire un résultat. Cette propriété est essentielle pour pouvoir restaurer l'état initial en cas d'interruption.

La consistance : tout les intervenants doivent être d'accord sur les points essentiels de la transaction.

L’isolement : le déroulement d'une transaction ne doit pas perturber les autres transactions afin que le résultat final d'un ensemble de transactions qui se recouvrent partiellement soit le même quel que soit l'ordre de l'exécution.

La durabilité : c'est la propriété qui permet de retrouver l'état antérieur au début de la transaction.

Anonymat et traçabilité selon les cas.

4.3 Protocoles de Payement Sécurisé

4.3.1 Les protocoles iKP

Les protocoles iKP, où i =1,2,3, constituent une famille de protocoles de paiement sécurisés reposant sur la cryptographique à clé publique et compatibles avec l'infra-structure de paiement existante, notamment celle de cartes de crédit. Ils se distinguent les unes des autres par le nombre de participants munis de leur propre paire de clés publique et privée; ce nombre varie de 1 à 3 selon le matricule du protocole.

Chaque protocole décrit les interventions des trois entités : le client, le marchand et la passerelle de paiement. La passerelle, agent de la banque acquéreur, interroge les gestionnaires à travers les réseaux financiers usuels afin de vérifier leur assentiment pour toute transaction. Par conséquent, les protocoles iKP peuvent être utilisés dans des relations de paiement trilatérales puisqu'ils ne se connotent pas aux relations bila-térales comme d'autres protocoles tels que SSL.

Figure 2 : Échanges prescrits par iKP dans un paiement sécurisé Figure 3 : déroulement d’une transaction ikp

Le protocole 1KP : C’est le cas où la passerelle de paiement détient une paire de clés publique et privée et un certificat établi par l’autorité de certification. Elle

communique sa clé publique au vendeur et au client en joignant son certificat dûment authentifié avec la clé publique de l’autorité de certification.

Le protocole 2KP : Le protocole 2KP reprend les principes de 1KP. Le vendeur pos-sède en outre sa propre paire de lés publique et privée et un certificat CERTm, émis par l'autorité de certification et confirmant sa clé publique. L'authentification se fait de la même manière que pour 1KP, c'est à dire en utilisant le numéro de la carte de crédit, la date d'échéance et le code secret du client.

Le protocole 3 KP : Le protocole 3KP met en jeu trois paires de clés publique et privée et les certificats de clé publique correspondants, ce qui garantit la non-répudiation.

Le Commerce Électronique : Protocoles et technologies 7 4.3.2 CyberCash

Crée en 1994, est à la fois une solution technologique et une offre de service.

Dans le protocole CyberCash les opérations de chiffrement utilisent l'algorithme DES avec une clé de 56 bits et RSA avec une clé de 768 bits. Il est prévu que le protocole de CyberCash sera modifié à terme en conformité aux spécifications de SET.

Les logiciels de paiement sont mis à la disposition des clients et des commerçants gratuitement. Cependant, la commission que CyberCash perçoit sur le commerçant s'élève à 2% du montant de la commande.

Le client commence par tèlècharger le logiciel CyberCash Wallet et choisit ensuite son identifiant CyberCash ID ainsi qu'une phrase secrète. CyberCash lui retourne une paire de clés publique/clé privée RSA de 768 bits (96 octets). L'identifiant établit la relation entre le client et la paire de clés RSA. La phrase secrète et l'identifiant servi-ront conjointement à fermer le compte en cas d'urgence, par exemple, si une fraude est soupçonnée. Une clé est clé secrète DES de 56 bits est fournie pour assurer la confi-dentialité des échanges avec la passerelle. Tous les éléments cryptographiques du client sont stockés sur les disques dur de son ordinateur.

Le client fournit alors ses coordonnées et les informations concernant les moyens de payement qu'il compte utiliser (une ou plusieurs cartes bancaires). Ces données sont transmises chiffrées au serveur de CyberCash.

Le logiciel du commerçant se compose de deux parties, une caisse-registre appelée Secure Merchant Payement System et une passerelle marchand dénommée CyberCash Gateway Server. Une autre clé secrète DES de 56 bits assure la confidentialité des échanges du marchand avec la passerelle de CyberCash.

Si la banque du commerçant n'accepte pas ce mode de payement, CyberCash propose soit d'intervenir auprès de la banque, soit de faire parvenir au commerçant la liste des banques avec lesquelles il a tissé des accords.

Figure 4 : Déroulement d'une transaction CyberCash avec carte de crédit Figure 5 : Déroulement d'une transaction CyberCash avec carte de débit

4.3.3 Le Protocole SSL (Secure Socket Layer)

Le protocole SSL (Secure Socket Layer) est un protocole généraliste de sécurisation des échanges, actuellement très utilisé dans les applications du commerce électroni-que.

SSL est intégré depuis 1994 dans les navigateurs pour assurer la sécurité de tous les échanges entre un client et un serveur sur les réseaux ouverts d'une manière transpa-rente. Aussi a-t-il dépassé le protocole S-HTTP (Secure HTTP ) qui considère seule-ment à sécuriser les échanges régis par le protocole HTTP.

Sa dernière version 3.0 est actuellement disponible. SSL est un produit de Netscape.

Les échanges définis par SSL se déroulent en deux temps :

1. Durant la phase préliminaire, ont lieu l'identification des parties, la négociation des attributs cryptographiques, la génération et le partage des clés;

2. Durant les échanges de données, la sécurisation opère à partir des algorithmes et des paramètres secrets négociés durant la phase préliminaire.

A tout moment, il est possible de signaler une instruction ou une erreur d'opération.

Le Commerce Électronique : Protocoles et technologies 8 Une session est identifiée par les six variables d'états suivantes :

L’identificateur de session (session ID) : séquence arbitraire de 32 octets choisie par le serveur pour identifier une session active ou pouvant être réactivée;

Le certificat du pair (peer certificate) : certificat du correspondant conforme à la version 3 de X.509. La valeur du certificat est nulle si le correspondant n'est pas certi-fié ou si l'algorithme utilisé est celui de fortezza.

La méthode de compression c’est à dire l'algorithme de compression utilisé : le pro-tocole SSL prévoit en effet la possibilité de négocier une méthode de compression de données. Pour le moment, aucune méthode n'a été retenue et par conséquent ce champ reste vide ;

La suite de chiffrement (chiper spec) : elle définit les algorithmes de cryptage et de hachage utilisés à partir d'une liste préétablie;

Le Master secret : est un secret de 48 octets partagé entre le client et le serveur, à partir duquel on génère les autres secrets. Ce paramètre est donc valable pour toute la session;

Le drapeau (is resumable) : ce paramètre signale s'il est permis d'ouvrir de nouvelles connexions sur la session en question.

Une suite de chiffrement est définit par les cinq éléments suivants : la catégorie de chiffrement utilisée; l'algorithme de chiffrement utilisé; l'algorithme de hachage utilisé et la taille du condensât; la variable binaire signalant la permission d'exporter l'algo-rithme de chiffrement conformément à la loi étasunienne sur l'exportation de logiciels cryptographiques.

4.3.4 Le Protocole SET ( Secure Electronic Transaction)

SET est un protocole de sécurisation des transactions par carte bancaire effectuées sur les réseaux ouverts, comme l'Internet. Il a été parrainé par Visa et MasterCard avec la collaboration des principaux acteurs du monde informatique tels IBM, GTE, Micro-soft, SAIC (Science Application International Corporation ), Terisa Systems et Veri-sign. Le but est de développer l'usage des cartes bancaires pour les paiements en ligne et d'éviter l'éclatement du marché entre une multitude de protocoles incompatibles entre eux.

SET opère au niveau de l'application indépendamment de la couche de transport, ce qui le distingue de SSL. En pratique, il est envisagé de l'utiliser pour sécuriser les transports conformes au protocole TCP.

SET porte uniquement sur l'acte de paiement, excluant ainsi la recherche et la sélec-tion des produits.

Dans une transaction SET, le porteur de la carte effectue son paiement en présentant un certificat que lui a déjà délivré une autorité certifiante. Ce certificat est enregistré sur le disque dur d'un micro-ordinateur ou sur une disquette et permet d'authentifier le porteur à l'aide de la cryptographie à clé publique.

Figure 6 : Les acteurs d’une transaction SET

Les transactions de SET fournissent les services suivants :

Inscription des porteurs et des marchands auprès de l'autorité certifiante;

Octroi des certificats aux porteurs et aux marchands;

Le Commerce Électronique : Protocoles et technologies 9 Authentification, confidentialité, intégrité des transactions d'achat;

Autorisation du paiement;

Capture (collecte) du paiement pour initier la demande de compensation financière au profit du marchand.

SET utilise les techniques de cryptographie à clé publique afin de garantir à la fois : 1. La confidentialité des messages pour qu'ils ne puissent pas être lus en ligne par

une entité extérieure à la transaction.

2. L'intégrité des données échangées entre le client, le marchand et la banque ac-quéreur. Elle a pour but de garantir que les données réceptionnées sont bien celles que l'émetteur avait envoyées et qu'elles n'ont pas été modifiées par malveillance ou par erreur pendant leur transit sur le réseau.

3. L’identification des intervenants;

4. L’authentification des intervenants.

5. Net Bill : Un système de télépaiement adapté aux micropaiements à distance via l'Internet

NetBill est un ensemble de règles, de protocoles et de logiciels conçus pour la vente et la livraison de textes, d'images et de logiciels sur l'Internet. Il a été développé par l'Université Carnegir Mellon en partenariat avec VISA et la Mellon Bank pour cibler les paiements de l'ordre d'un centième de dollar.

Il reçoit l'information chiffrée, règle la facture et reçoit la clé de décryptage qui lui permet d'extraire l'information reçue. Cette approche est particulièrement adaptée à la vente répétitive de petites qualités d'information.

En plus de sa fonction d'intermédiaire de paiement, le serveur de NetBill joue le rôle d'autorité de certification. Il gère la distribution de paire de clés RSA publique/privé et des clés de session qu'utilisent le client et le marchand pour chiffrer les échanges entre eux et leurs échanges avec le serveur de NetBill.

Achat Le protocole d'achat de base fait appel à huit messages HTTP couvrant quatre étapes de la transaction commerciale et financière : la négociation, la commande, la livraison, le payement. L'ensemble des échanges a lieu entre le client, le marchand et l'intermédiaire de payement (le serveur de NetBill appelé). L'intermédiaire de paye-ment joue les rôles de notaire et de tiers de confiance ; il communique directepaye-ment avec le marchand et indirectement, via le marchand, avec le client.

Phase de négociation : Pendant cette phase, le client demande le prix d’articles et le marchand répond à cette demande par une cotation personnalisée. L'identification du client permet au marchand d'accorder son offre au profil du client.

Phase de commande : Le client indique son accord en envoyant la commande.

Phase de livraison : A la suite de la réception de la commande d'achat, le marchand expédie l'information numérique chiffrée à l'aide d'une clé de chiffrage symétrique.

Phase de payement : Durant cette phase, le client envoie le paiement qui, en contre-partie, lui livre la clé de déchiffrement. Le logiciel du client construit un ordre de paiement électronique ou QPE (Electronic Payment Order ou EPO) qui se composent

Le Commerce Électronique : Protocoles et technologies 10 des champs suivants : l'identité du client; l'identification du produit; le prix négocié;

l'identité du marchand; l'empreinte (ou condensât) des articles chiffrés, l'empreinte des données du produit demandé qui se trouvait dans la requête ; l'empreinte des coordon-nées bancaires du client ; IDOPE, l'index d'adressage de la transaction dans le registre de NetBill;

Compensation : Les recettes des marchands sont cumulées puis déposées périodi-quement via VisaNet sur leurs comptes bancaires.

La commission de NetBill varie entre 2.5 cents pour une transaction de 10 cents et 7 cents pour une transaction de 1 dollar (soit une charge de 25 % à 7 % du montant de la transaction). Figure 7 : Echange de messages dans un achat Netbill.

6. Conclusion

Le commerce électronique redéfinit la nature des agents économiques et le type de relations qu'ils entretiennent. Ses répercussions se feront sentir sur toute la chaîne de valeur : la production des articles, la distribution des renseignements et des catalogues, la manière de négocier les conditions d'achat et de paiement, les instructions de paie-ment proprepaie-ment dites et enfin, la livraison et la réception de la marchandise acquise.

Ces changements porteront sur trois choix essentiels :

1. L'infrastructure de soutien pour le commerce électronique ;

L'infrastructure nécessaire pour soutenir le commerce électronique se compose de trois blocs essentiels :

• Un réseau de télécommunication fiable. Disponible et de haute capacité, c'est pour cette raison que le commerce électronique ne peut être sérieusement envisa-gé que dans les pays couverts par un dense réseau téléphonique.

• Des systèmes terminaux ( ordinateurs personnels, cartes à puce...) ;

• Des moyens de sécurisation des échanges et des données emmagasinées ; 2. Le traitement des moyens de paiement sélectionnés;

3. Les normes et les standards utilisés.

Références

1. Mostapha Hashem Sherif, Ahmed Serhouchni, La monnaie électronique systèmes de paie-ment sécurisé décembre 1999 éditions Eyrolles

Le Commerce Électronique : Protocoles et technologies 11

.

Figure 2 : Échanges prescrits par iKP dans un paiement sécurisé

Figure3 Figure 1

Le Commerce Électronique : Protocoles et technologies 12

Figure 4 Figure 5

Figure 6

Figure 7