La première page du mémoire (avec le fichier pdf):
Ecole nationale supérieure d’informatique - Option: Systèmes d’informations & Systèmes Informatiques
Mémoire de fin d’études pour l’obtention du diplôme d’Ingénieur d’Etat en Informatique - 2009-2020

Sécurité de l’e-paiement : chiffrement, PKI et certificat d’authentification

  1. La réalisation d’une plateforme de commerce électronique
  2. Historique du commerce électronique: l’évolution du e‐com
  3. Qu’est-ce que le e-commerce? Type d’échange B2C et stratégies
  4. Le e-commerce B to C : les avantages et les inconvénients
  5. E-paiement : déf., e-commerce et paiement électronique
  6. Sécurité de l’e-paiement : chiffrement, PKI et certificat d’authentification
  7. Les protocoles de sécurité dans le paiement en ligne
  8. Le BenchMarking : Définition, offre du marché et analyse
  9. Les 14 étapes pour créer une plateforme de e-commerce (avec cas)
  10. Capture des besoins techniques et des spécifications
  11. Les catégories de classes et découper le modèle UML
  12. Développement du modèle dynamique d'UML
  13. Diagramme d'états-transitions
  14. Modèle logique de conception technique d’une plateforme
  15. Conception préliminaire: Modèles de déploiement et d'exploitation
  16. Conception des classes d'associations et de modèle relationnel
  17. Langage et environnement de développement de plate‐forme
  18. L'architecture de développement de plate-forme e-commerce
  19. Sécurité de la plateforme e-Commerce
  20. La plateforme e-Commerce: qualité du logiciel et prise d’écran

La sécurité des paiements sur Internet

Dans ce contexte de manque de confiance dans le paiement sur Internet, de nombreux systèmes de paiement électronique sont proposés aux agents économiques afin de sécuriser leurs transactions.

Ces systèmes peuvent être regroupés au sein de cinq grandes classes.

Une première classe est constituée de protocoles de sécurisation des paiements par carte bancaire adossés ou non à un mécanisme de signature électronique (Secure Electronic Transaction, Secure Socket Layer).

5. Techniques de Sécurité de l’e-paiement

5.1. Chiffrement (ou cryptage)

« Le chiffrement est l’action de transformation d’un texte « lisible » en un texte « illisible« , via une clé de chiffrement.

Seule une personne disposant de la clé de déchiffrement (qui peut être la même que celle de chiffrement) sera en mesure de déchiffrer le texte. » [SECDEV 09]

5.1.1. Type de chiffrement

On distingue deux types de chiffrement [SECDEV 09]:

a) Chiffrement symétrique

Un procédé de chiffrement est dit « symétrique » si les clés de chiffrement et de déchiffrement sont les mêmes.

Le chiffrement symétrique est aussi appelé « chiffrement à clé secrète », puisque cette clé ne doit être connue que par des personnes censées avoir le droit de chiffrer / déchiffrer le message.

b) Chiffrement asymétrique

Le chiffrement asymétrique est aussi appelé « chiffrement à clé publique ». En effet, si une personne souhaite que ses correspondants lui envoient des messages chiffrés, elle devra alors générer 2 clés:

  1. Une première clé servant à chiffrer les messages, qui devra être communiquée à ses correspondants, pour que ceux-ci l’utilisent afin de chiffrer leurs messages.
  2. Une seconde clé, servant quant à elle au déchiffrement, et qui devra rester privée, afin que seule la personne émettrice des clés puisse déchiffrer les messages.

5.1.2. Efficacité de la méthode

« Un système de chiffrement n’est jamais complètement inviolable ! Il faut même partir du principe que quelque soit l’algorithme employé, trouver une faille ou un moyen de déchiffrer les données protégées n’est qu’une question de temps.

Selon la taille de la clé (qui se mesure en bits), il existe un nombre fini de combinaisons qu’un pirate peut essayer pour tenter de déchiffrer le message.

Et la robustesse du système est directement proportionnelle au temps nécessaire qu’il faudrait pour le cracker, donc à la taille de la clé.

En résumé, pour qu’un message chiffré soit correctement protégé, il faut que le temps de craquage estimé soit supérieur à la pérennité du contenu du message protégé.

Par exemple, si une information est censée rester secrète un mois, et qu’elle est protégée par un système de chiffrement pouvant résister 5 ans, la sécurité de votre message est en théorie assurée !

Aujourd’hui, il est fréquent d’utiliser des clés de 128 bits dans le chiffrement symétrique, ce qui signifie qu’elle est composée d’une suite de 128 « 0 » ou « 1 », ce qui donne 2^128 possibilités de clés.

Concernant le chiffrement asymétrique, des clés publiques de 1024 bits sont maintenant conseillées, l’opération de déchiffrement ne relevant pas du même procédé que le chiffrement symétrique, il faut dans ce cas utiliser des clés beaucoup plus importantes. » [SECDEV 09]

5.2. Signature numérique

La signature numérique d’un document électronique à pour vocation de répondre aux mêmes exigences que la signature manuscrite d’un document papier [SECDEV 09]:

  • Permettre d’authentifier l’auteur d’un document.
  • Garantir qu’une fois signé, le document ne sera plus modifié (falsifié).
  • Donner une valeur juridique (sous certaines conditions) au document.

sécurité de l’e-paiementEn pratique, une signature numérique est nettement plus fiable qu’une signature manuscrite, puisque cette technologie utilise la technique du chiffrement asymétrique:

Vous signez numériquement un document à l’aide de votre clé privée, et la lecture du document se fait par l’intermédiaire de la clé publique correspondante, en général transmise avec le document puisque contrairement au chiffrement classique, le but n’est pas de rendre secret le contenu du message.

Ces clés font partie de ce qu’on appelle un certificat d’authentification (voir paragraphe suivant) la valeur juridique du document n’est reconnue que si le certificat d’authentification a été fourni par un organisme certifié et agréé.

Il existe des logiciels gratuits pour permettre de signer numériquement les documents (le plus connu étant PGP), mais ces documents n’auront donc pas de valeur légale.

5.3. Infrastructure à clés publiques (PKI)

« Une infrastructure à clés publiques (ICP) ou infrastructure de Gestion de Clés (IGC) ou encore Public Key Infrastructure (PKI), est un ensemble de composants physiques (des ordinateurs, des équipements cryptographiques ou HSM, des cartes à puces), de procédures humaines (vérifications, validation) et de logiciels (système et application) en vue de gérer le cycle de vie des certificats numériques ou certificats électroniques. » [UNIVPAR 09]

Une infrastructure à clés publiques délivre un ensemble de services pour le compte de ses utilisateurs:

  • Enregistrement des utilisateurs (ou équipement informatique).
  • Génération de certificats.
  • Renouvellement de certificats.
  • Révocation de certificats.
  • Publication de certificats.
  • Publication des listes de révocation (comprenant la liste des certificats révoqués).
  • Identification et authentification des utilisateurs (administrateurs ou utilisateurs qui accèdent à l’IGC).
  • Archivage, séquestre et recouvrement des certificats (option).

5.4 Certificat d’authentification

5.4.1. Définition

« Un certificat permet d’associer une clé publique à une entité (une personne, une machine, ) afin d’en assurer la validité.

Le certificat est en quelque sorte la carte d’identité de la clé publique, délivré par un organisme appelé autorité de certification (souvent notée CA pour Certification Authority).

L’autorité de certification est chargée de délivrer les certificats, de leur assigner une date de validité (équivalent à la date limite de péremption des produits alimentaires), ainsi que de révoquer éventuellement des certificats avant cette date en cas de compromission de la clé (ou du propriétaire) » [CCMCR 09]

5.4.2. Les informations du certificat

Les certificats sont de petits fichiers divisés 3 parties:
Structure d'un certificat d'authentification
Figure08. Structure d’un certificat d’authentification [SAMJER 10].

5.4.3. L’utilisation des certificats

Les certificats servent principalement dans trois types de contextes [CCMCR 09]:

a) Le certificat client

Stocké sur le poste de travail de l’utilisateur ou embarqué dans un conteneur tel qu’une carte à puce et permet d’identifier un utilisateur et de lui associer des droits.

Dans la plupart des scénarios il est transmis au serveur lors d’une connexion, qui affecte des droits en fonction de l’accréditation de l’utilisateur.

Il s’agit d’une véritable carte d’identité numérique utilisant une paire de clés asymétriques d’une longueur de 512 à 1024 bits.

b) Le certificat serveur

Installé sur un serveur web, il permet d’assurer le lien entre le service et le propriétaire du service.

Dans le cas d’un site web, il permet de garantir que l’URL et en particulier le domaine de la page web appartiennent bien à telle ou telle entreprise.

Par ailleurs il permet de sécuriser les transactions en ligne avec les utilisateurs grâce au protocole SSL (Voir paragraphe SSL).

c) Le certificat VPN

Est un type de certificat installé dans les équipements réseaux, permettant de chiffrer les flux de communication de bout en bout entre deux points (par exemple deux sites d’une entreprise).

Dans ce type de scénario, les utilisateurs possèdent un certificat client, les serveurs mettent en oeuvre un certificat serveur et les équipements de communication utilisent un certificat particulier (généralement un certificat IP Sec).

5.4.4. Inconvénients de l’utilisation des certificats

a) Complexe

Les mécanismes d’attribution, de validation et de révocation en font un système très complexe à gérer.

b) Pointu techniquement

L’infrastructure à mettre en place (PKI) nécessite une parfaite maîtrise technique.

c) Coûts
  • Les solutions disponibles sur le marché sont réservées à des applications stratégiques.
  • Le coût de déploiement est souvent prohibitif.
  • Tendance à sous‐estimer les coûts humains de maintenance.
  • Le système n’a de valeur que si l’on garantit la parfaite confidentialité, intégrité et disponibilité de la clé privée associée.
Rechercher
Abonnez-vous!
Inscrivez-vous gratuitement à la Newsletter et accédez à des milliers des mémoires de fin d’études ! Inscrivez-vous gratuitement à la Newsletter et accédez à des milliers des mémoires de fin d’études !
En continuant, vous acceptez la politique de confidentialité

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.