Accueil / Commerce et Marketing / Solution E-business En Algérie (E-commerce) / Comment surmonter les défis de la sécurité des paiements en ligne en Algérie ?

Comment surmonter les défis de la sécurité des paiements en ligne en Algérie ?

Commerce et Marketing
Pour citer ce mémoire et accéder à toutes ses pages
Solution E-business En Algérie (E-commerce)
🏫 UNIVERSITE ABOUBEKR BELKAID TLEMCEN - Faculte de Technologie - DEPARTEMENT DE GENIE ELECTRIQUE ET ELECTRONIQUE
📅 Mémoire de fin de cycle en vue de l'obtention du diplôme de MASTER - 2011-2012
🎓 Auteur·trice·s
BAGHDAD Othmane
BAGHDAD Othmane

La sécurité des paiements en ligne est cruciale pour le succès du commerce électronique en Algérie. Cette étude révèle comment les protocoles SSL, parmi les plus utilisés, garantissent des transactions sécurisées et répondent aux défis du marché. Quelles solutions innovantes peuvent transformer votre expérience d’achat en ligne ?

Protocole de sécurité dans le paiement en ligne

Solutions innovantes pour la sécurité des paiements en ligne

Nous allons voir les 3 protocoles les plus utilisés dans les solutions de sécurité dans le paiement en ligne

Protocole SSL

  1. Définition

« SSL (Secure Sockets Layers, que l’on pourrait traduire par couche de sockets sécurisée) est un procédé de sécurisation des transactions effectuées via Internet. Le standard SSL a été mis au point par Netscape, en collaboration avec Mastercard, Bank of America, MCI et Silicon Graphics. Il repose sur un procédé de cryptographie par clef publique afin de garantir la sécurité de la transmission de données sur internet. Son principe consiste à établir un canal de communication sécurisé (chiffré) entre deux machines (un client et un serveur) après une étape d’authentification.

Le système SSL est indépendant du protocole utilisé, ce qui signifie qu’il peut aussi bien sécuriser des transactions faites sur le Web par le protocole HTTP que des connexions via le protocole FTP, POP ou IMAP. En effet, SSL agit telle une couche supplémentaire, permettant d’assurer la sécurité des données, située entre la couche application et la couche transport (protocole TCP par exemple).

De cette manière, SSL est transparent pour l’utilisateur (entendez par là qu’il peut ignorer qu’il utilise SSL). Par exemple un utilisateur utilisant un navigateur internet pour se connecter à un site de commerce électronique sécurisé par SSL enverra des données chiffrées sans aucune manipulation nécessaire de sa part. »

« Un serveur web sécurisé par SSL possède une URL commençant par https://, où le « s » signifie bien évidemment secured (sécurisé). Il a été renommé en 2001 Transport Layer Security (TLS).Il y a très peu de différences entre SSL version 3 et TLS version 1, TLS diffère de SSL pour la génération des clés symétriques. Cette génération est plus sécurisée dans SSLv3 dans la mesure où aucune étape de l’algorithme ne repose uniquement sur MD5 pour lequel sont apparues des faiblesses en cryptanalyse. Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS. »

Fonctionnement de SSL

La sécurisation des transactions par SSL est basée sur un échange de clés entre client et serveur. La transaction sécurisée par SSL se fait selon le modèle suivant :

  • Dans un premier temps, le client se connecte au site marchand sécurisé par SSL et lui demande de s’authentifier.
  • Le serveur à réception de la requête envoie un certificat au client, contenant la clé publique du serveur, signée par une autorité de certification (CA), ainsi que le nom du crypto système le plus haut dans la liste avec lequel il est compatible.
  • Le client vérifie la validité du certificat (donc l’authenticité du marchand), puis crée une clé secrète aléatoire, chiffre cette clé à l’aide de la clé publique du serveur, puis lui envoie le résultat (la clé de session).
  • Le serveur est en mesure de déchiffrer la clé de session avec sa clé privée. Ainsi, les deux entités sont en possession d’une clé commune dont ils sont seuls connaisseurs. Le reste des transactions peut se faire à l’aide de clé de session, garantissant l’intégrité et la confidentialité des données échangées.

Mise en œuvre d’un service HTTPS

[11_img_1]

Figure 22. Etapes de la mise en œuvre d’un service HTTPS

Phase « Mise en production »

  • 0 : Génération clé publique / clé privé.
  • 1 : Demande auprès d’une autorité (publique) d’un certificat serveur.
  • 2 : Génération du certificat serveur.
  • 3 : Installation du certificat serveur sur le Serveur Web.

Phase « Navigation internaute »

  • 4 : Ouverture connexion SSL : « clic sur URL https://www.echri.dz ».
  • 5 : Envoi certificat du serveur vers le client.
  • 6 : Génération clé de session symétrique.
  • 7 : Envoi clé symétrique (chiffrée avec clé publique du serveur).
  • 8 : Echanges protégés (confidentialité, intégrité).

Il est à relever que déjà à partir de sa version 2.0, SSL a commencé à être utiliser. Raison pour laquelle encore aujourd’hui, la plupart des intervenants SSL, tentent lors de la phase d’établissement, de dialoguer avec le protocole V3.0, mais si l’un des deux partenaires ne supporte que la version 2.0, et bien c’est cette version antérieur qui va être utilisé. A noter que cette ancienne version contient des clés de cryptage considérées aujourd’hui comme peu sûres.

[11_img_2]

Figure 23. Site sécurisé dont l’adresse possède le préfixe « https »

[11_img_3]

Figure 24. Site web non sécurisé

  1. Secure Electronic Transactions (SET)

« Le SET (Secure Electronic Transaction) est un protocole destiné spécialement à sécuriser les transactions Internet de paiement par carte bancaire. Il a été développé à l’origine par Visa International et MasterCard, en 1996, avec l’aide des grandes compagnies informatiques de la planète. »

« Son champ d’application se réduit au chiffrement des seules données bancaires, contrairement à SSL qui peut chiffrer les images et le texte. Le protocole SET implique trois parties : le client, le vendeur et la banque du vendeur. Ce système SET requiert des certificats auprès des trois parties. Les certificats du client et du vendeur sont fournis par leur banque respective après quoi la transaction commerciale peut avoir lieu.

Avec le SET, le numéro de carte bancaire peut ne pas être connu du vendeur, donc ne sera pas stocké dans ses fichiers et être récupéré par une personne malintentionnée. Le SET assure en principe une transaction de non répudiation, mais cette clause peut varier d’un pays à l’autre suivant la législation en vigueur.

3‐D Secure

  1. Définition

« 3‐D Secure est un protocole de paiement sécurisé sur Internet. Il a été développé par Visa pour augmenter le niveau de sécurité des transactions, et il a été adopté par Mastercard. Il permet une meilleure authentification du détenteur de la carte de paiement lors d’achats effectués sur des sites web. 3‐D Secure ne doit être confondu ni avec le code secret de la carte bancaire, ni avec le cryptogramme visuel (3 derniers chiffres imprimés au dos de la carte). » [ACADRU 09]

Fonctionnement

Le concept de base de ce protocole (basé sur XML) est de lier le processus d’autorisation financière avec une authentification en ligne. Cette authentification est basée sur un modèle comportant 3 domaines (d’où le nom 3D) qui sont:

  • Le commerçant (Acquirer Domain en anglais)
  • La banque (Issuer Domain en anglais)
  • Le système de carte bancaire (Interoperability Domain en anglais)

Le protocole utilise des messages XML envoyés via des connexions SSL (qui garantit l’authentification du serveur et du client par des certificats numériques) .

Mode d’authentification

Le mode d’authentification de notre solution c’est : le client doit s’authentifier avec son numéro de téléphone et un code qui a été déjà envoyé par SMS.

Protocole WTLS

Wireless transport Layer Security. Méthode de chiffrement pour les transferts de données entre appareils sans fil, analogue à SSL.

Definition

WTLS: Wireless Transport Layer Secure

La couche sécurité vient s’intégrer juste au-dessus de la couche transport de telle sorte qu’elle est située au niveau le plus bas possible, ce qui permet d’assurer grâce à des normes établies, une sécurité meilleure que si elle avait été seulement au niveau applicatif.

Le protocole WTLS permet de respecter trois des quatre contraintes principales lorsqu’on parle de sécurité liée aux réseaux :

  1. La confidentialité : Elle assure aux deux parties en présence (mécanisme client serveur) qu’elles sont les seules à avoir accès aux informations échangées. Ceci est assuré par un mécanisme d’encryptions des données.
  2. L’intégrité des données : cela permet de s’assurer que les données n’ont pas été altérées par l’une ou l’autre des parties. On utilise pour cela des algorithmes de hachage pour s’assurer de la validité des données. Il y a une réémission si un changement d’empreinte est détecté d’un coté doté ou de l’autre.
  3. L’authentification (coté serveur): l’authentification a pour but de prouver qu’un tiers est bien celui qu’il prétend être. Des certificats permettent d’authentifier les serveurs.

Seul le principe de non répudiation n’est pas géré par la couche sécurité : celle-ci aurait pour but de faire preuve juridique qu’une transaction a bien eu lieu. Ce mécanisme est souvent associé à une signature numérique.

On peut penser que les mécanismes de sécurité mis en œuvre nécessitent de grosse puissance de calcul, mais il n’en est rien est rien. WTLS a été pensé de manière à s’adapter aux capacités de calcul et de mémoire limitées et restriction gouvernementale en matière de chiffrement.

Les applications WAP sont capables de sélectionner les besoin de diverse fonctionnalité offerte par WTLS en fonction du niveau de sécurité visée et des caractéristiques du réseau physique de transport. WTLS supporte 3 modes de fonctionnement :

  • WTLS Level Class 1 : secret et intégrité.
  • WTLS Level Class 2 : secret, intégrité et authentification de la Gateway WAP.
  • WTLS Level Class 3 : secret, intégrité et authentification de la Gateway et du terminal WAP
Principe de fonctionnement

La couche sécurité est construite de façon modulaire, c’est-à-dire qu’elle dépend du niveau de sécurité demandé pour ne application donnée. La couche WTLS permet d’avoir une interface pour l’administration des connexions sécurisées. Ce modèle respecte les spécificités définies par TLS 1.0. Les mécanismes mis en œuvre dans cette partie ne seront pas abordés dans les détails, certains étant plus proche de l’algorithmique ou de la cryptographie.

La couche WTLS permet à un client d’établir une connexion sécurisée avec un serveur et de fixer les options de sécurités prises en compte. L’établissement de la connexion sécurisée s’effectue en plusieurs étapes et le client aussi bien que le serveur peut annuler la communication à tout moment. La négociation inclut les paramètres de sécurité, l’échange de clés et l’authentification.

Dans une session pleinement sécurisée, on retrouve un mécanisme similaire à la figure ci-dessous :

[11_img_4]

Figure 25. Session sécurisé WTLS

Tableau03. Principe de fonctionnement protocole WTLS.
NomDescription
Sec-Unit-DataEchange d’informations
Sec-CreateCréation de connexion
Sec-ExchangeEchange de clé
Sec-CommitPassage en mode sécurisé
Sec-terminateMettre fin au mode sécurisé
Sec-exceptionAvertir d’une exception
Sec-Creat RequestDemande d’initialisation de part du serveur
Couche enregistrement

Pour réaliser toute opération, la couche WTLS est en fait subdivisée en deux autres couches. L’une est appelée la couche enregistrement, chargée de transmettre les données, éventuellement les compresser, d’appliquer un code d’authentification, de chiffrer et de faire les opérations inverses pour le déchiffrage. L’autre couche est en fait le protocole d’accord permettant aux deux éléments en présence de se mettre d’accord sur la sécurité mise en jeu.

Une fois que ces paramètres de sécurité ont été échangés et que les clés ont été établies, les états de connexion peuvent être initialisés en leur faisant passer certaines étapes. Pour que la connexion soit maintenue, les méthodes mises en œuvre doivent respecter les paramètres de sécurité définis au dessus, notamment le temps maximal avant une réémission de la clé.

Couche de négociation de connexion

Pour négocier une connexion sécurisée, un protocole d’accord appelé Handshake est nécessaire.

Le protocole Handshake met en œuvre les fonctions suivantes :

  • Echange de messages de bienvenue pour un accord entre les deux parties sur les algorithmes utilisés.
  • Echange de valeurs aléatoires.
  • Echange des paramètres de chiffrement pour permettre au lient et au serveur de se mettre d’accord sur une « pré clé de chiffrement ».
  • Echange de certificats et des informations chiffrées pour permettre au client et au serveur de s’authentifier.
  • Génération de la clé secrète à partir de la « pré clé secrète » et échange de données aléatoires.
  • Proposer des mécanismes de sécurité pour la couche enregistrement.
  • Permettre au client ou au serveur de vérifier que l’autre extrémité à bien calculer les mêmes paramètres de sécurité et que la négociation s’est bien déroulée sans tentatives d’accès malveillant (hacker).

Protocole SET

Le protocole SET a été conçu avec l’hypothèse que les utilisateurs effectuent par le biais de terminaux fixes reliés les uns aux autres via des connexions à haut débit. Un terminal typique serait un ordinateur portable ou un PC de bureau capable de réaliser des computations complexes et consommatrices de ressources. De même la disponibilité d’une connexion à haut débit implique qu’une grande quantité d’information peut être échangée entre les différentes parties prenant part à la transaction. Avec la recrudescence du commerce mobile le besoin d’effectuer des transactions SET via des appareils portatifs se fait de plus en plus ressentir.

En effet la grande majorité de ces appareils sont conçus pour fonctionner avec le réseau téléphonique voix, et ont des performances inférieures à celles des ordinateurs conventionnels. Avec l’arrivée des services de troisième génération, on peut s’attendre à ce que SET soit utilisé en commerce mobile de la même manière qu’il est utilisé en commerce électronique mais en attendant le développement des dits services des solutions palliatives doivent être mise en œuvre.

Définition SET

SET ou Secure Electronic Transaction, est une technologie qui décrit les algorithmes et protocoles nécessaire pour sécuriser les paiements su des réseaux publics comme internet. Elle est publique et utilisable par quiconque souhaite sécuriser ses transactions en lignes.

SET a été au départ pour atteindre les objectifs suivants :

  • Respecter et préserver la relation Banques-clients.
  • Promouvoir le développement du commerce électronique.
  • Assurer l’authentification (identification électronique) des porteurs de cartes, des commerçants ainsi que des banques.
  • Préserver l’intégrité des données du paiement.
Schéma d’une transaction basée sur SET

Le circuit commence par l’émission de certificat. Pour obtenir un certificat, l’acheteur doit impérativement installer un logiciel sur son PC. Une fois le logiciel installé, il doit s’inscrire auprès de l’autorité certifiant de sa banque. Pour ce faire il doit utiliser son logiciel pour transmettre a l’autorité certifiant les informations permettant de l’authentifier ainsi que sa clé publique mémorisée.

En réponse à la demande de l’acheteur, l’autorité certifiant lui transmet un certificat digital. C’est en fait la clé publique de l’acheteur revêtue de la signature digitale de l’autorité certifiant. Une fois émis, le certificat en question ne peut être modifié.

SET n’intervient que lorsque le consommateur souhaite régler le montant d’une transaction. Le logiciel engage alors une conversation avec le serveur du marchand utilisant SET. Une authentification des deux parties a lieu par l’échange des certificats. Ce sont les deux logiciels SET acheteur et marchand qui assurent cette vérification.

L’acheteur fait son choix de produits/services. Le marchand lui envoie un bon de commande accompagné de son certificat. L’acheteur choisit le moyen de paiement qu’il veut l’utiliser, les instructions de paiement sont créées par le logiciel de l’acheteur et envoyées au vendeur cryptées avec la clé public de l’instruction financière du vendeur. Le vendeur transmet ces informations à son institution financière. Une fois cette information sur le paiement reçue de façon sure, l’institution financière du vendeur demande une autorisation de l’institution financière de l’acheteur. L’autorisation obtenue, le vendeur confirme la vente de l’acheteur. virement et règlement se font selon les procédures habituelles.

SET dans le commerce mobile

Comme la montre la figure du « SET Wallet Server », c’est une approche simpliste équivalente à l’approche SET utilisée dans les transactions conventionnelles. Le logiciel SET client est installé sur un terminal mobile qui a la configuration nécessaire pour réaliser des calcules cryptographiques complexes. L’avantage de cette approche c’est qu’il n’y a aucune modification à apporter au protocole SET original cependant la vitesse de transmission se dégrade si une grande d’information doit être transférée (pas plus de 9600 bits/seconde dans le cas des réseaux GSM).

SET Wallet server

Contrairement à la première approche SET, Wallet server prend en considération la configuration limitée des appareils portatifs et les limites des réseaux sans fils en termes de bande passante. Le serveur Wallet est une machine fiable, puissante et hautement sécurisée reliée au réseau qui effectue le paiement des transactions sur ordre de l’abonnée. Au lieu d’être placées sur le terminal mobile, les fonctionnalités SET sont centralisées sur ce serveur au même titre que les clés publiques et privées de l’abonnée. La participation du terminal mobile à la transaction est ainsi réduite au strict minimum puisque quelle ne fait que déclencher a distance le processus d’encryptions au niveau du serveur au moyen d’une requête appelée communément Payment Request Message.

A réception de cette requête le serveur Wallet s’engage dans un dialogue avec le serveur du marchand en utilisant les règles habituelles du protocole SET.

L’avantage de cette approche c’est qu’elle permet à l’abonné de se mettre hors ligne en attendant le déroulement de la transaction, ce qui s’avère moins couteux.

Le protocole HTTPS

HTTPS est une technique acronyme de protocole de transfert hypertexte sécurisée. Comme son nom l’indique, il est sûr et sécuritaire de la version habituelle http (hyper Text Transfer Protocol).

En HTTPS, le transfert des données est facilité dans une manière plus sûre afin d’éviter les discordances et ingérence inutile et les interceptions de parties non désirés et sans scrupules.

C’est pourquoi, HTTPS est essentiellement idéal pour les transactions de commerce électronique, en particulier des services bancaires en ligne.

Dans l’utilisation de l’HTTPS, les certificats numériques sont cryptés pour garantir la session http sur « Secure Sockets couches » ou SSL est sûr et protégé de l’intrusion extérieure. Au fond, tout autre site Web peut utiliser le protocole HTTPS. Presque tous les types de navigateurs et peut facilement se connecter se connecter à Internet en utilisant soit les protocoles http ou HTTPS.

Conclusion

Nous Avons présenté dans ce chapitre le E-business de manière générale spécialement le E-commerce et E-paiement , ainsi que les différents type et technique de sécurité afin de concevoir un nouveau modèle de E-commerce avec intégration de moyen de paiement électronique sécurisé grâce au différents technique vu dans ce chapitre .

Rechercher
Télécharger ce mémoire en ligne PDF (gratuit)
Lire aussi :
  1. Comprendre le consommateur marocain dans l'ère du e-commerce
  2. 7 étapes clés pour maîtriser le paiement électronique 
  3. Quelles applications pratiques du e-commerce en Algérie ?
  4. 7 clés pour comprendre le e-commerce dans sa globalité 
  5. 7 clés de la croissance explosive du e-commerce au Maroc 
  6. 7 clés pour comprendre l’impact du e-commerce sur le consommateur marocain 

Si le bouton de téléchargement ne répond pas, vous pouvez télécharger ce mémoire en PDF à partir cette formule ici.

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Scroll to Top