Table des matières
Avant-propos
V
1 Qu'est-ce que le commerce électronique?
1.1
Définition du commerce électronique 1
1.2 Catégories du commerce électronique 3
1.2.1
Exemples dans le commerce interentreprise 3
1.2.2
Exemples dans le commerce grand public 4
1.2.3
Exemples dans le commerce de proximité et de paiement sur automate 5 1.2.4
Exemples dans le commerce entre particuliers 6
1.3
L'effet « Internet» 6
1.3.1
eBay 7
1.3.2 Amazon 7
1.3.3
Stamps.com
TMet Neopost 8
1.3.4
I nternet et la sécurité des transactions 9
1.3.5
La culture et le rôle d'Internet 10
1.3.6
Quelques observations sur le tapage autour Internet 12 1.4
I nfrastructure du commerce électronique 12
1.5 Accès au réseau 15
1.5.1
Accès par liaisons fixes 15
1.5.2
Accès sans fil 15
1.5.3
Multiplexage du trafic 17
1.6 Les conséquences du commerce électronique 20
1.6.1
Clients 20
1.6.2
Fournisseurs 21
1.6.3
Substituts 22
1.6.4
Nouveaux entrants 22
1.6.5
Les banques 23
1.6.6
Rôle des Etats 24
1.7
Récapitulatif 24
2 La monnaie et les systèmes de paiement
2.1
La monnaie et ses propriétés 27
2.2 Les instruments de paiement 29
2.2.1
Espèces 30
2.2.2 Chèques 33 2.2.3
Virements 36
2.2.4
Avis de prélèvement 38
2.2.5
Titres interbancaires de paiement 39
2.2.6 Les effets de commerce 40
2.2.7
Les cartes de paiement 40
2.3 Les monnaies et les instruments de paiement dématérialisés 44 2.3.1
La monnaie électronique 44
2.3.2
La monnaie virtuelle 45
2.3.3 La monnaie numérique 45
2.3.4
Porte-monnaie et porte-jeton électroniques 46
2.3.5
Porte-monnaie et porte-jeton virtuels 47
2.3.6
Diffusion des porte-monnaie électroniques 48
2.3.7
Propriétés transactionnelles des monnaies dématérialisées 50
2.4 Comparaison entre les instruments de paiement 52
2.5 Pratique de la monnaie dématérialisée 54
2.5.1
Protocoles des systèmes de monnaie dématérialisée 54 2.5.2
Paiement direct au commerçant 57
2.5.3
Paiement via un intermédiaire 57
2.6 Les systèmes de compensation bancaire 60
2.6.1
Etat-Unis 61
2.6.2 Royaume-Uni 62
2.6.3
France 63
2.7
Récapitulatif 64
3 Architectures et algorithmes de sécurisation
3.1
Sécurisation des transactions commerciales 65
3.2 Sécurité des réseaux financiers ouverts 66
3.3
Objectifs de la sécurisation 67
3.4 Modèle OSI de sécurisation cryptographique 68
3.4.1
Le modèle de référence OSI 68
3.4.2
Services de sécurisation : définitions et emplacement 69 3.4.3
Services de sécurité de la couche liaison 71
3.4.4
Services de sécurité de la couche réseau 71
3.4.5
Service de sécurité de la couche application 74
3.5 La confidentialité des messages 76
3.5.1
Cryptographie symétrique 76
3.5.2
Cryptographie à clé publique 78
3.6
L'intégrité des données 79
3.6.1
Vérification de l'intégrité avec une fonction de hachage à sens unique 79 3.6.2
Vérification de l'intégrité avec la cryptographie à clé publique 81 3.6.3
Vérification de l'intégrité avec la cryptographie symétrique 84 3.7
I dentification des participants 86
3.8
Authentification des participants 94
3.9 Contrôle de l'accès 95
3.10 Déni de service 97
3.11 Non-répudiation 99
3.12 Gestion sécurisée des clés de chiffrement
loi
3.12.1 Contraintes de la sécurisation des clés 101
3.12.2 Echange de clés secrètes: Kerberos 103
3.12.3 Echange de clés publiques : 108 3.12.4 ISAKMP (Internet Security Association and Key Management Protocol) 109
3.13 Gestion des certificats 111
3.13.1 Principes d'opération 114
3.13.2 Description d'un certificat X.509 115
3.13.3 Itinéraire de certification 117
3.14 Lézardes des services de sécurisation 130
3.15 Récapitulatif 133
Annexe 3.1: Notions de chiffrement symétrique 134
3.1.1 Modes d'utilisation des algorithmes en bloc 134
3.1.2 AES 139
3.1.3 DES 140
3.1.4 Triple DES 140
3.1.5 I DEA 140
3.1.6 SKIPJACK 141
3.1.7 Camellia 141
Annexe 3.11 Notions de chiffrement asymétrique 142
3.11.1 RSA 142
3.11.2 Les standards PKCS 143
3.11.3 PGP 144
3.11.4 Cryptographie sur courbe elliptique 145
Annexe 3.111 Principe de l'algorithme de
signature numérique (DSA) 146
Annexe 3.IV Données comparatives 147
3.IV.1 Performance pour JSAFE 1.1 148
3.IV.2 Performance avec S/WAN 148
3.IV.3 Performance avec BSAFETM3.0 150
3.IV.4 Performance pour BSAFETM4.1 153
4 SSL (Secure Sockets Layer) et TLS (Transport Layer Security)
4.1 Architecture 156
4.2 Les services de sécurisation de SSUTLS 158
4.2.1 L'authentification 158
4.2.2 La confidentialité 159
4.2.3 L'intégrité 159
4.3 Les sous-protocoles de SSL 159
4.3.1 Déroulement des échanges SSL/TLS 160
4.3.2 Calculs de paramètres 164
4.3.3 Le protocole Handshake 165
4.3.4 Le protocole ChangeCipherSpec (CCS) 178
4.3.5 Le protocole Record 179
4.3.6 Le protocole Alert 180
4.4 Performance de SSUTLS 183
4.4.1 Accélérateurs SSL 184
4.4.2 Réponses aux blocs Record de type inconnu 184
4.5 I mplémentations 186
4.6 Récapitulatif 186
Annexe 4.1 Structures des messages du Handshake 187
5 Sécurisation des échanges sans fil
5.1 WTLS (Wireless Transport Layer Security) 193
5.1.1 Architecture 193
5.1.2 De TLS à WTLS 194
5.2 Problème de la mise en service de WTLS 201
5.2.1 Dispositions possibles de la passerelle WAP/WEB 201 5.2.2 ITLS (Integrated Transport Layer Security) 202 5.2.3 NAETEA
(NetworkAssisted End- To-End Authentication)203
5.3 Adaptation de TLS aux mobiles 206
5.4 Récapitulatif 208
6 Le protocole SET
6.1 Architecture 209
6.2 Sécurisation 211
6.2.1 Algorithmes cryptologiques utilisés 213
6.2.2 La méthode de la signature duale 215
6.2.3 La certification 217
6.3 Achat 227
6.4 Procédures facultatives 236
6.5 Réalisations 236
6.6 Evaluation 238
6.7 Récapitulatif 239
7 Sécurisation hybride des paiements en ligne
7.1 C-SET et Cyber-COMM 241
7 . 1.1 Architecture de C-SET 242
7 . 1.2 I nscription 243
7 . 1.3 Distribution du logiciel de paiement 245
7 . 1.4 Achat 246
7. 1.5 Sécurisation 248
7. 1.6 I nteropérabilité SET/C-SET 249
7.2 Architecture hybride TLS (SSL)/SET 251
7 . 2.1 Fonctionnement hybride SET/SSL 251
7 . 2.2 Déroulement de la transaction 252
7 . 2.3 Evaluation 256
7.3 3-D Secure 256
7 . 3.1 Architecture de 3-D Secure 257
7. 3.2 I nscription 258
7. 3.3 Achat et paiement 259
7. 3.4 Acquisition et compensation 261
7 . 3.5 Sécurisation 261
7.4 Paiements par CD-ROM 263
7.5 Récapitulatif 263
8 Micropaiements et commerce de proximité
8.1 Caractéristiques des systèmes de micropaiement 266
8.1.1 Le prépaiement 266
8.1.2 La vérification hors ligne 266
8.1.3 L'allégement de la charge du traitement numérique 267
8.1.4 Le regroupement des compensations 267
8.2 CEPS
( Commonelectronic purse specifications -
Spécifications communes de porte-monnaie électronique)
2688.2.1 Authentification du porte-monnaie par l'émetteur
2688.2.2 Chargement de la valeur
2688.2.3 Paiement de proximité
2698.3 ECML
( Electronic Commerce Modeling Language -Langage de modélisation pour le commerce électronique)
2698.4 Advantis
2708.5 Chipper
® 2708.6 FeliCa
2718.7 GeldKarte
2728.7.1 Inscription et chargement de valeur
2738.7.2 Paiement
2738.7.3 Sécurisation
2768.8 Mondex
2768.8.1 Chargement de valeur
2778.8.2 Paiement
2778.8.3 Sécurisation
2788.8.4 Expériences pilotes
2788.9 Proton
2788.9.1 Chargement de la valeur
2798.9.2 Paiement
2798.9.3 Applications internationales
2798.10 Comparaison des porte-monnaie électroniques
2808.11 Récapitulatif
2819 Micropaiements à distance
9.1 Les systèmes de la première génération
2849.1.1 Sécurisation sans cryptage : First Virtual
2849.1.2 NetBill
2879.1.3 KLELine
2939.1.4 Odysseo
2969.1.5 FIRSTGATE Click&Buy°
2979.1.6 BANKPASS Web
TM 2979.1.7 Millicent
2979.1.8 PayWord
3049.1.9 MicroMint
3089.1.10 eCoin
3119.2 Comparaison entre les systèmes de télé-micropaiement
de la première génération
3129.3 Les systèmes de télé-micropaiement de
l a deuxième génération
3129.3.1 Les cartes virtuelles dynamiques (CVD)
3149.3.2 Les systèmes de post-paiement par kiosque
3159.3.3 Les cartes prépayées
3159.3.4 Les porte-monnaie virtuels
3179.4 Les systèmes de télé-micropaiement de
l a troisième génération
3199.4.1 i - mode
3209.4.2 M-pay
3219.4.3 Mobile2Pay 321
9.4.4 MobilMat 321
9.4.5 Mobipay 321
9.4.6 Paybox 321
9.4.7 wwwbon 322
9.4.8 Les kiosques de troisième génération 322
9.5 Récapitulatif 324
10 La monnaie numérique
10.1 Principes de base 325
10.1.1 Non-traçabilité du débiteur 326
10.1.2 Non-traçabilité du créancier 329
10.1.3 Non-traçabilité réciproque du débiteur et du créancier 330
10.1.4 Description des coupures numériques 330
10.1.5 Détection du faux monnayage (la dépense multiple) 333
10.2 DigiCash (Ecash) 335
10.2.1 I nscription et chargement de valeur 335
10.2.2 Achat et paiement 337
10.2.3 Compensation 337
10.2.4 Livraison 338
10.3 NETCASH 338
10.3.1 I nscription et chargement de valeur 338
10.3.2 Achat 339
10.3.3 Extensions de NetCash 340
10.3.4 Evaluation 342
10.4 Récapitulatif 343
11 Le chèque dématérialisé
11.1 Traitement classique du chèque papier 346
11.1.1 Renouvellement du chéquier 346
11.1.2 Traitement des chèques papier 346
11.2 Traitement dématérialisé du chèque papier 347
11.2.1 Les images chèques et les chèques tronqués 347 11.2.2 Autorisation de chèques au point de vente 349
11.2.3 Les chèques images 349
11.3 NetCheque 350
11.3.1 I nscription 350
11.3.2 Paiement et compensation bancaire 351
11.4 Bank Internet Payment System (BIPS) 352
11.4.1 Types de transactions 353
11.4.2 Architecture 355
11.5 eCheck 356
11.5.1 Paiement et compensation 356
11.5.2 Représentation de eCheck 360
11.6 Comparaison des chèques virtuels et des cartes bancaires 361
11.7 Récapitulatif 363
12 La sécurisation des cartes à puce
12.1 Rappel historique 365
12.1.1 Applications 366
12.1.2 Cartes à puce à contacts 367
12.1.3 Cartes à puce sans contact 367
12.2 Description des cartes à puce 369
12.2.1 Types de mémoire 369
12.2.2 Systèmes d'exploitation 370
12.3 Normes des cartes à puce 370
12.3.1 Normes ISO pour les cartes à contacts 371
12.3.2 Normes pour les cartes sans contact 372
12.3.3 EMV (EuroPay, MasterCard, Visa) 372
12.4 Sécurisation des cartes à puce 373
12.4.1 Sécurisation pendant la production 374
12.4.2 Sécurisation physique de la carte pendant l'utilisation 376 12.4.3 Sécurisation logique de la carte pendant l'utilisation 377
12.4.4 Exemples d'authentification 379
12.4.5 Evaluation 385
12.5 Cartes à puce polyvalentes 387
12.5.1 Le système de fichier ISO7816-4 387
12.5.2 La carte d'identité électronique suédoise 388
12.5.3 Gestion des applications dans une carte polyvalente 389
12.6 Intégration des cartes à puce aux ordinateurs 391
12.6.1 OpenCard Framework 392
12.6.2 PC/SC 393
12.7 Limites de la sécurisation 394
12.7.1 Les attaques logiques (non invasives) 395
12.7.2 Les attaques physiques (destructrices) 396
12.7.3 Les attaques dues aux carences des réalisations 396
12.7.4 Les attaques contre le canal de communication puce - lecteur 397
12.8 Récapitulatif 398
13 Le commerce interentreprise
13.1 Vue d'ensemble du commerce interentreprise 402
13.2 Petite histoire du commerce électronique interentreprise 404
13.2.1 L'ère des pionniers 405
13.2.2 La normalisation 405
13.2.3 L'ère de l'Internet 406
13.2.4 Difficultés du commerce électronique interentreprise 407 13.3 Exemples d'applications du commerce interentreprise 408
13.3.1 Applications bancaires 408
13.3.2 Applications aéronautiques 408
13.3.3 Applications dans l'industrie automobile 409
13.4 Les systèmes de commerce électronique interentreprise 410
13.4.1 Génération et réception des données structurées 410
13.4.2 Gestion de la diffusion 411
13.4.3 Gestion de la sécurité 412
13.4.4 Gestion de la conversion des échanges 412
13.5 L'EDI alphanumérique (traditionnel) 413
13.5.1 ANSIX12 414
13.5.2 EDIFACT 415
13.5.3 Comparaison entre les structures d'EDIFACT et deX12 420
13.6 Messageries de l'EDI 421
13.6.1 X.400 421
13.6.2 SMTP/MIME 423
13.7 Sécurisation de l'EDI 424
13.7.1 Sécurisation de X12 424
13.7.2 Sécurisation de l'EDIFACT 425
13.7.3 Sécurisation de l'EDI sur SMTP/MIME 431
13.7.4 Empilements protocolaires pour l'EDI 435
13.7.5 Interopérabilité de l'EDI sécurisé avec le protocole SUIVIE 435 13.8 L'EDI et les virements bancaires
(transferts électroniques de fonds) 437
13.8.1 Virements par EDIFACT 440
13.8.2 Virements par X12 441
13.9 La dématérialisation des factures 442
13.10 L'EDI dans les processus industriels 443
13.11 Normes pour la structuration des documents 445
13.11.1 SGML( Standard Generalized Markup Language) 446
13.11.2 XML(Extensible Markup Language) 446
13.11.3 Nouveaux vocabulaires en XML 446
13.12 Convergence de XML et de l'EDI alphanumérique 448
13.12.1 Intégration EDI/XML par opérateurs spécialisés 449
13.12.2 Prolongements en XML de l'EDI 449
13.12.3 La refonte du commerce électronique interentreprise 450
13.13 Les services Web 451
13.13.1 WSDL (Web ServicesDescription Language) 453 13.13.2 UDDI( Universal Description, Discovery and lntegration) 453
13.13.3 SOAP( SimpleObjectAccess Protocol) 453
13.13.4 Traitement des messages 454
13.13.5 Sécurité 454
13.13.6 Qualité du service 456
13.13.7 Evaluation 456
13.14 Electronic Business XML (ebXML) 456
13.15 Normalisation des échanges du commerce électronique
i nterenreprise 458
13.15.1 EDI/EDIFACT 458
13.15.2 Intégration XML/EDI 460
13.15.3 XML et ses dérivés 462
13.15.4 Normalisation par métier 462
13.16 Récapitulatif 463
14 Systèmes de commerce électronique
14.1 SEMPER 465
14.1.1 Architecture de SEMPER 466
14.1.2 Vocabulaire de SEMPER pour les paiements 467
14.1.3 Le gestionnaire de paiement 469
14.2 CAFE 469
14.3 JEPI 471
14.4 PICS et P3P 472
14.5 Analyse du comportement des usagers 472
14.6 Cartes de fidélisation 473
14.7 Considérations sur la qualité du service 474
14.8 Récapitulatif 474