Table des matières. Avant-propos

(1)

Table des matières

Avant-propos

V

1 Qu'est-ce que le commerce électronique?

1.1 Définition du commerce électronique 1

1.2 Catégories du commerce électronique 3

1.2.1 Exemples dans le commerce interentreprise 3

1.2.2 Exemples dans le commerce grand public 4

1.2.3 Exemples dans le commerce de proximité et de paiement sur automate 5 1.2.4

Exemples dans le commerce entre particuliers 6

1.3 L'effet « Internet» 6

1.3.1 eBay 7

1.3.2 Amazon 7

1.3.3 Stamps.com

^TM

et Neopost 8

1.3.4 I nternet et la sécurité des transactions 9

1.3.5 La culture et le rôle d'Internet 10

1.3.6 Quelques observations sur le tapage autour Internet 12 1.4

I nfrastructure du commerce électronique 12

1.5 Accès au réseau 15

1.5.1 Accès par liaisons fixes 15

1.5.2 Accès sans fil 15

1.5.3 Multiplexage du trafic 17

1.6 Les conséquences du commerce électronique 20

1.6.1 Clients 20

1.6.2 Fournisseurs 21

1.6.3 Substituts 22

1.6.4 Nouveaux entrants 22

1.6.5 Les banques 23

1.6.6 Rôle des Etats 24

1.7 Récapitulatif 24

2 La monnaie et les systèmes de paiement

2.1 La monnaie et ses propriétés 27

2.2 Les instruments de paiement 29

2.2.1 Espèces 30

(2)

2.2.2 Chèques 33 2.2.3

Virements 36

2.2.4

Avis de prélèvement 38

2.2.5

Titres interbancaires de paiement 39

2.2.6 Les effets de commerce 40

2.2.7

Les cartes de paiement 40

2.3 Les monnaies et les instruments de paiement dématérialisés 44 2.3.1

La monnaie électronique 44

2.3.2

La monnaie virtuelle 45

2.3.3 La monnaie numérique 45

2.3.4

Porte-monnaie et porte-jeton électroniques 46

2.3.5

Porte-monnaie et porte-jeton virtuels 47

2.3.6

Diffusion des porte-monnaie électroniques 48

2.3.7

Propriétés transactionnelles des monnaies dématérialisées 50

2.4 Comparaison entre les instruments de paiement 52

2.5 Pratique de la monnaie dématérialisée 54

2.5.1

Protocoles des systèmes de monnaie dématérialisée 54 2.5.2

Paiement direct au commerçant 57

2.5.3

Paiement via un intermédiaire 57

2.6 Les systèmes de compensation bancaire 60

2.6.1

Etat-Unis 61

2.6.2 Royaume-Uni 62

2.6.3

France 63

2.7

Récapitulatif 64

3 Architectures et algorithmes de sécurisation

3.1

Sécurisation des transactions commerciales 65

3.2 Sécurité des réseaux financiers ouverts 66

3.3

Objectifs de la sécurisation 67

3.4 Modèle OSI de sécurisation cryptographique 68

3.4.1

Le modèle de référence OSI 68

3.4.2

Services de sécurisation : définitions et emplacement 69 3.4.3

Services de sécurité de la couche liaison 71

3.4.4

Services de sécurité de la couche réseau 71

3.4.5

Service de sécurité de la couche application 74

3.5 La confidentialité des messages 76

3.5.1

Cryptographie symétrique 76

3.5.2

Cryptographie à clé publique 78

3.6

L'intégrité des données 79

3.6.1

Vérification de l'intégrité avec une fonction de hachage à sens unique 79 3.6.2

Vérification de l'intégrité avec la cryptographie à clé publique 81 3.6.3

Vérification de l'intégrité avec la cryptographie symétrique 84 3.7

I dentification des participants 86

3.8

Authentification des participants 94

3.9 Contrôle de l'accès 95

3.10 Déni de service 97

3.11 Non-répudiation 99

3.12 Gestion sécurisée des clés de chiffrement

loi

3.12.1 Contraintes de la sécurisation des clés 101

3.12.2 Echange de clés secrètes: Kerberos 103

(3)

3.12.3 Echange de clés publiques : 108 3.12.4 ISAKMP (Internet Security Association and Key Management Protocol) 109

3.13 Gestion des certificats 111

3.13.1 Principes d'opération 114

3.13.2 Description d'un certificat X.509 115

3.13.3 Itinéraire de certification 117

3.14 Lézardes des services de sécurisation 130

3.15 Récapitulatif 133

Annexe 3.1: Notions de chiffrement symétrique 134

3.1.1 Modes d'utilisation des algorithmes en bloc 134

3.1.2 AES 139

3.1.3 DES 140

3.1.4 Triple DES 140

3.1.5 I DEA 140

3.1.6 SKIPJACK 141

3.1.7 Camellia 141

Annexe 3.11 Notions de chiffrement asymétrique 142

3.11.1 RSA 142

3.11.2 Les standards PKCS 143

3.11.3 PGP 144

3.11.4 Cryptographie sur courbe elliptique 145

Annexe 3.111 Principe de l'algorithme de

signature numérique (DSA) 146

Annexe 3.IV Données comparatives 147

3.IV.1 Performance pour JSAFE 1.1 148

3.IV.2 Performance avec S/WAN 148

3.IV.3 Performance avec BSAFE^TM3.0 150

3.IV.4 Performance pour BSAFE^TM4.1 153

4 SSL (Secure Sockets Layer) et TLS (Transport Layer Security)

4.1 Architecture 156

4.2 Les services de sécurisation de SSUTLS 158

4.2.1 L'authentification 158

4.2.2 La confidentialité 159

4.2.3 L'intégrité 159

4.3 Les sous-protocoles de SSL 159

4.3.1 Déroulement des échanges SSL/TLS 160

4.3.2 Calculs de paramètres 164

4.3.3 Le protocole Handshake 165

4.3.4 Le protocole ChangeCipherSpec (CCS) 178

4.3.5 Le protocole Record 179

4.3.6 Le protocole Alert 180

4.4 Performance de SSUTLS 183

4.4.1 Accélérateurs SSL 184

4.4.2 Réponses aux blocs Record de type inconnu 184

4.5 I mplémentations 186

Annexe 4.1 Structures des messages du Handshake 187

(4)

5 Sécurisation des échanges sans fil

5.1 WTLS (Wireless Transport Layer Security) 193

5.1.1 Architecture 193

5.1.2 De TLS à WTLS 194

5.2 Problème de la mise en service de WTLS 201

5.2.1 Dispositions possibles de la passerelle WAP/WEB 201 5.2.2 ITLS (Integrated Transport Layer Security) 202 5.2.3 NAETEA

(NetworkAssisted End- To-End Authentication)

203 5.3 Adaptation de TLS aux mobiles 206

5.4 Récapitulatif 208

6 Le protocole SET

6.1 Architecture 209

6.2 Sécurisation 211

6.2.1 Algorithmes cryptologiques utilisés 213

6.2.2 La méthode de la signature duale 215

6.2.3 La certification 217

6.3 Achat 227

6.4 Procédures facultatives 236

6.5 Réalisations 236

6.6 Evaluation 238

6.7 Récapitulatif 239

7 Sécurisation hybride des paiements en ligne

7.1 C-SET et Cyber-COMM 241

7 . 1.1 Architecture de C-SET 242

7 . 1.2 I nscription 243

7 . 1.3 Distribution du logiciel de paiement 245

7 . 1.4 Achat 246

7. 1.5 Sécurisation 248

7. 1.6 I nteropérabilité SET/C-SET 249

7.2 Architecture hybride TLS (SSL)/SET 251

7 . 2.1 Fonctionnement hybride SET/SSL 251

7 . 2.2 Déroulement de la transaction 252

7 . 2.3 Evaluation 256

7.3 3-D Secure 256

7 . 3.1 Architecture de 3-D Secure 257

7. 3.2 I nscription 258

7. 3.3 Achat et paiement 259

7. 3.4 Acquisition et compensation 261

7 . 3.5 Sécurisation 261

7.4 Paiements par CD-ROM 263

7.5 Récapitulatif 263

8 Micropaiements et commerce de proximité

8.1 Caractéristiques des systèmes de micropaiement 266

8.1.1 Le prépaiement 266

8.1.2 La vérification hors ligne 266

8.1.3 L'allégement de la charge du traitement numérique 267

8.1.4 Le regroupement des compensations 267

(5)

8.2 CEPS

( Common

electronic purse specifications -

Spécifications communes de porte-monnaie électronique)

268

8.2.1 Authentification du porte-monnaie par l'émetteur

²⁶⁸

8.2.2 Chargement de la valeur

²⁶⁸

8.2.3 Paiement de proximité

²⁶⁹

8.3 ECML

( Electronic Commerce Modeling Language -

Langage de modélisation pour le commerce électronique)

269

8.4 Advantis

270

8.5 Chipper

^® 270

8.6 FeliCa

²⁷¹

8.7 GeldKarte

²⁷²

8.7.1 Inscription et chargement de valeur

273

8.7.2 Paiement

273

8.7.3 Sécurisation

²⁷⁶

8.8 Mondex

²⁷⁶

8.8.1 Chargement de valeur

277

8.8.2 Paiement

277

8.8.3 Sécurisation

278

8.8.4 Expériences pilotes

²⁷⁸

8.9 Proton

278

8.9.1 Chargement de la valeur

279

8.9.2 Paiement

279

8.9.3 Applications internationales

²⁷⁹

8.10 Comparaison des porte-monnaie électroniques

280

8.11 Récapitulatif

281

9 Micropaiements à distance

9.1 Les systèmes de la première génération

284

9.1.1 Sécurisation sans cryptage : First Virtual

284

9.1.2 NetBill

287

9.1.3 KLELine

293

9.1.4 Odysseo

296

9.1.5 FIRSTGATE Click&Buy°

²⁹⁷

9.1.6 BANKPASS Web

^TM ²⁹⁷

9.1.7 Millicent

²⁹⁷

9.1.8 PayWord

³⁰⁴

9.1.9 MicroMint

³⁰⁸

9.1.10 eCoin

³¹¹

9.2 Comparaison entre les systèmes de télé-micropaiement

de la première génération

³¹²

9.3 Les systèmes de télé-micropaiement de

l a deuxième génération

312

9.3.1 Les cartes virtuelles dynamiques (CVD)

³¹⁴

9.3.2 Les systèmes de post-paiement par kiosque

³¹⁵

9.3.3 Les cartes prépayées

³¹⁵

9.3.4 Les porte-monnaie virtuels

³¹⁷

9.4 Les systèmes de télé-micropaiement de

l a troisième génération

³¹⁹

9.4.1 i - mode

³²⁰

9.4.2 M-pay

³²¹

(6)

9.4.3 Mobile2Pay 321

9.4.4 MobilMat 321

9.4.5 Mobipay 321

9.4.6 Paybox 321

9.4.7 wwwbon 322

9.4.8 Les kiosques de troisième génération 322

10 La monnaie numérique

10.1 Principes de base 325

10.1.1 Non-traçabilité du débiteur 326

10.1.2 Non-traçabilité du créancier 329

10.1.3 Non-traçabilité réciproque du débiteur et du créancier 330

10.1.4 Description des coupures numériques 330

10.1.5 Détection du faux monnayage (la dépense multiple) 333

10.2 DigiCash (Ecash) 335

10.2.1 I nscription et chargement de valeur 335

10.2.2 Achat et paiement 337

10.2.3 Compensation 337

10.2.4 Livraison 338

10.3 NETCASH 338

10.3.1 I nscription et chargement de valeur 338

10.3.2 Achat 339

10.3.3 Extensions de NetCash 340

10.3.4 Evaluation 342

11 Le chèque dématérialisé

11.1 Traitement classique du chèque papier 346

11.1.1 Renouvellement du chéquier 346

11.1.2 Traitement des chèques papier 346

11.2 Traitement dématérialisé du chèque papier 347

11.2.1 Les images chèques et les chèques tronqués 347 11.2.2 Autorisation de chèques au point de vente 349

11.2.3 Les chèques images 349

11.3 NetCheque 350

11.3.1 I nscription 350

11.3.2 Paiement et compensation bancaire 351

11.4 Bank Internet Payment System (BIPS) 352

11.4.1 Types de transactions 353

11.4.2 Architecture 355

11.5 eCheck 356

11.5.1 Paiement et compensation 356

11.5.2 Représentation de eCheck 360

11.6 Comparaison des chèques virtuels et des cartes bancaires 361

12 La sécurisation des cartes à puce

12.1 Rappel historique 365

12.1.1 Applications 366

(7)

12.1.2 Cartes à puce à contacts 367

12.1.3 Cartes à puce sans contact 367

12.2 Description des cartes à puce 369

12.2.1 Types de mémoire 369

12.2.2 Systèmes d'exploitation 370

12.3 Normes des cartes à puce 370

12.3.1 Normes ISO pour les cartes à contacts 371

12.3.2 Normes pour les cartes sans contact 372

12.3.3 EMV (EuroPay, MasterCard, Visa) 372

12.4 Sécurisation des cartes à puce 373

12.4.1 Sécurisation pendant la production 374

12.4.2 Sécurisation physique de la carte pendant l'utilisation 376 12.4.3 Sécurisation logique de la carte pendant l'utilisation 377

12.4.4 Exemples d'authentification 379

12.5 Cartes à puce polyvalentes 387

12.5.1 Le système de fichier ISO7816-4 387

12.5.2 La carte d'identité électronique suédoise 388

12.5.3 Gestion des applications dans une carte polyvalente 389

12.6 Intégration des cartes à puce aux ordinateurs 391

12.6.1 OpenCard Framework 392

12.6.2 PC/SC ³⁹³

12.7 Limites de la sécurisation 394

12.7.1 Les attaques logiques (non invasives) 395

12.7.2 Les attaques physiques (destructrices) 396

12.7.3 Les attaques dues aux carences des réalisations 396

12.7.4 Les attaques contre le canal de communication puce - lecteur 397

13 Le commerce interentreprise

13.1 Vue d'ensemble du commerce interentreprise 402

13.2 Petite histoire du commerce électronique interentreprise 404

13.2.1 L'ère des pionniers 405

13.2.2 La normalisation 405

13.2.3 L'ère de l'Internet 406

13.2.4 Difficultés du commerce électronique interentreprise 407 13.3 Exemples d'applications du commerce interentreprise 408

13.3.1 Applications bancaires 408

13.3.2 Applications aéronautiques 408

13.3.3 Applications dans l'industrie automobile 409

13.4 Les systèmes de commerce électronique interentreprise 410

13.4.1 Génération et réception des données structurées 410

13.4.2 Gestion de la diffusion 411

13.4.3 Gestion de la sécurité 412

13.4.4 Gestion de la conversion des échanges 412

13.5 L'EDI alphanumérique (traditionnel) 413

13.5.1 ANSIX12 414

13.5.2 EDIFACT 415

13.5.3 Comparaison entre les structures d'EDIFACT et deX12 420

13.6 Messageries de l'EDI 421

13.6.1 X.400 ⁴²¹

(8)

13.6.2 SMTP/MIME 423

13.7 Sécurisation de l'EDI 424

13.7.1 Sécurisation de X12 424

13.7.2 Sécurisation de l'EDIFACT 425

13.7.3 Sécurisation de l'EDI sur SMTP/MIME 431

13.7.4 Empilements protocolaires pour l'EDI 435

13.7.5 Interopérabilité de l'EDI sécurisé avec le protocole SUIVIE 435 13.8 L'EDI et les virements bancaires

(transferts électroniques de fonds) 437

13.8.1 Virements par EDIFACT 440

13.8.2 Virements par X12 441

13.9 La dématérialisation des factures 442

13.10 L'EDI dans les processus industriels 443

13.11 Normes pour la structuration des documents 445

13.11.1 SGML( Standard Generalized Markup Language) ₄₄₆

13.11.2 XML(Extensible Markup Language) ₄₄₆

13.11.3 Nouveaux vocabulaires en XML 446

13.12 Convergence de XML et de l'EDI alphanumérique 448

13.12.1 Intégration EDI/XML par opérateurs spécialisés 449

13.12.2 Prolongements en XML de l'EDI 449

13.12.3 La refonte du commerce électronique interentreprise 450

13.13 Les services Web 451

13.13.1 WSDL (Web ServicesDescription Language) 453 13.13.2 UDDI( Universal Description, Discovery and lntegration) ₄₅₃

13.13.3 SOAP( SimpleObjectAccess Protocol) 453

13.13.4 Traitement des messages 454

13.13.5 Sécurité 454

13.13.6 Qualité du service 456

13.14 Electronic Business XML (ebXML) 456

13.15 Normalisation des échanges du commerce électronique

i nterenreprise 458

13.15.1 EDI/EDIFACT 458

13.15.2 Intégration XML/EDI 460

13.15.3 XML et ses dérivés 462

13.15.4 Normalisation par métier 462

14 Systèmes de commerce électronique

14.1 SEMPER 465

14.1.1 Architecture de SEMPER 466

14.1.2 Vocabulaire de SEMPER pour les paiements 467

14.1.3 Le gestionnaire de paiement 469

14.2 CAFE 469

14.3 JEPI 471

14.4 PICS et P3P 472

14.5 Analyse du comportement des usagers 472

14.6 Cartes de fidélisation 473

14.7 Considérations sur la qualité du service 474

(9)