Institut Suprieur des Sciences Appliques et de Technologie de Sousse

Le Commerce Electronique

Responsable du cours :

Mme. Rahma FOURATI DAMMAK

Auditoire : 3me anne LA-TMW

Anne universitaire : 2011-2012

Sommaire
Chapitre 1 1. Contexte du Commerce Electronique .................................................................. 1 Introduction et Motivation .............................................................................................. 1 1.1. 1.2. 1.3. 1.4. 2. 3. 4. Dfinition du CE ...................................................................................................... 1 Les Xnets ................................................................................................................. 1 Pourquoi le CE maintenant ? ................................................................................... 2 Architecture du Web ................................................................................................ 3

Les modles du CE .......................................................................................................... 3 Les facteurs de russite du CE ........................................................................................ 4 Les avantages et les inconvnients du CE ....................................................................... 5 4.1. 4.2. 4.3. 4.4. Les avantages pour lentreprise ............................................................................... 5 Les avantages pour le client ..................................................................................... 5 Les inconvnients pour lentreprise ......................................................................... 6 Les inconvnients pour le client .............................................................................. 6 La conception dun site marchand ....................................................................... 7

Chapitre 2 1.

Fixer les objectifs : pourquoi ce site web ? ..................................................................... 7 1.1. 1.2. 1.3. Objectif stratgique .................................................................................................. 7 Objectif marketing ................................................................................................... 7 Objectif commercial................................................................................................. 7

2. 3.

Le public vis : qui je madresse ? ............................................................................... 7 Le contenu : quelles informations je place sur le site ? ................................................... 8 3.1. 3.2. Le front-office .......................................................................................................... 8 Le back-office ........................................................................................................ 10

4. 5.

Laspect visuel............................................................................................................... 11 Laspect fonctionnel ...................................................................................................... 11 La Scurit dans le Commerce Electronique ..................................................... 12

Chapitre 3 1.

Concepts de base ........................................................................................................... 12 1.1. 1.2. 1.3. Les services de scurit .......................................................................................... 12 Les menaces contre le CE ...................................................................................... 12 Les mcanismes de scurit ................................................................................... 13

2.

La scurit des donnes ................................................................................................. 13

2.1. 2.2. 2.3. 3.

La cryptographie .................................................................................................... 13 Signature digitale ................................................................................................... 15 Le certificat lectronique ....................................................................................... 16

La scurit des transactions ........................................................................................... 17 3.1. 3.2. 3.3. 3.4. S-HTTP .................................................................................................................. 17 SSL ......................................................................................................................... 17 SET ........................................................................................................................ 18 VPN........................................................................................................................ 19

4.

La scurit des rseaux .................................................................................................. 19 4.1. 4.2. Les moyens classique ............................................................................................. 19 Les nouvelles tendances ......................................................................................... 20 Le Paiement Electronique .................................................................................. 24

Chapitre 4 1. 2.

Dfinition ...................................................................................................................... 24 Les systmes de paiement lectroniques ....................................................................... 24 2.1. 2.2. 2.3. E-Banking .............................................................................................................. 24 Le porte monnaie lectronique............................................................................... 25 Carte bancaire ........................................................................................................ 26

3.

Les protocoles de paiement lectronique ...................................................................... 28 3.1. 3.2. 3.3. SSL (Secure Socket Layer) .................................................................................... 28 SET (Secure Electronic Transcation)..................................................................... 28 C-SET .................................................................................................................... 29

4.

Les moyens de paiement en Tunisie ............................................................................. 30 4.2. 4.3. 4.4. 4.5. Le e-dinar (www.e-dinar.poste.tn) ......................................................................... 33 e-Banking (www.ccpnet.poste.tn).......................................................................... 34 e-Billing (Electronic Bill Presentment and Payment System) ............................... 35 Track and Trace (www.rapidposte.poste.tn) .......................................................... 36

Chap.1 Contexte du Commerce Electronique

Chapitre 1 Contexte du Commerce Electronique

1.
1.1.

Introduction et Motivation
Dfinition du CE

Le commerce lectronique dcrit le processus dachat, de vente de biens et de services et dchange dinformations par le biais de rseaux de communication y compris linternet. Le commerce lectronique concerne non seulement les entreprises mais aussi les particuliers.

1.2.

Les Xnets

Le commerce lectronique ne se limite pas au seul rseau Internet. Dans le cadre du commerce inter-entreprises, on utilise lextranet comme rseau pour lchange lectronique de donnes (Electronic Data Interchange).

Figure 1-1 Les Xnets Internet est un systme mondial d'interconnexion de rseau informatique, utilisant un ensemble standardis de protocole de transfert de donnes. C'est donc un rseau de rseaux, sans centre nvralgique, compos de millions de rseaux aussi bien publics, privs, universitaires, commerciaux et gouvernementaux. Internet transporte un large spectre d'information et permet l'laboration d'applications et de services varis comme le courrier lectronique, la messagerie instantane et le World Wide Web.

Chap.1 Contexte du Commerce Electronique

Un extranet est une extension du systme d'information de l'entreprise des partenaires situs au-del du rseau. Laccs lextranet se fait via Internet, par une connexion scurise avec mot de passe dans la mesure o cela offre un accs au systme d'information des personnes situes en dehors de l'entreprise. Lextranet est donc en gnral un site accs scuris qui permet lentreprise de nautoriser la consultation dinformations confidentielles qu certains intervenants externes comme ses fournisseurs, ses clients, aux cadres situs lextrieur de lentreprise, aux commerciaux, etc. Un extranet n'est ni un intranet, ni un site internet. Il s'agit d'un systme supplmentaire offrant par exemple aux clients d'une entreprise, ses partenaires ou des filiales, un accs privilgi certaines ressources informatiques de l'entreprise. Un intranet est un rseau informatique utilis l'intrieur d'une entreprise ou de toute autre entit organisationnelle utilisant les techniques de communication d'Internet (IP, serveurs HTTP).

1.3.

Pourquoi le CE maintenant ?
Convergence des technologies : du ct software, il ny a pas de contrainte sur le client car nimporte quel navigateur peut se connecteur au serveur web de lentreprise. De plus, lentreprise doit tre informatise pour pouvoir intgrer les applications intervenant au commerce lectronique. Du ct hardware, on peut connecter des diffrents matriels. Existence des rseaux de communication : en effet, les technologies Web ont t largement dveloppes. Facilit dusage : linterface utilisateur est facile manipuler (c..d le navigateur). Il est noter que toutes les applications doivent cooprer ensemble pour pouvoir raliser le projet commercial do la compatibilit software.

Figure 1-2 Les services Internet

Chap.1 Contexte du Commerce Electronique

1.4.

Architecture du Web

Figure 1-3 Architecture du Web Le serveur web cre un cookie sur le disque dur du client. Il est envoy en tant qu'en-tte HTTP par le serveur web au navigateur web qui le renvoie inchang chaque fois qu'il accde au serveur. Un cookie peut tre utilis pour une authentification, une session (maintenance d'tat), et pour stocker une information spcifique sur l'utilisateur, comme les prfrences d'un site ou le contenu d'un panier d'achat lectronique.

2.

Les modles du CE

Le CE se droule essentiellement entre entreprises et particuliers mais les interventions se diffrent. En effet, on trouve : B2C Business to Consumer (exp : web catalog, E-Mall, vente aux enchres) Il concerne l'utilisation de supports lectroniques pour tout ou partie des relations commerciales entre une entreprise et les particuliers notamment la prsentation de catalogue les commandes en ligne, le paiement lectronique, la publicit en ligne, les promotions en ligne B2B Business to Business (exp: procuration, vente aux enchres) Il concerne les applications numriques lies aux relations entre plusieurs entreprises ou les services dune mme entreprise tels les que les achats de matire premire de produits semi-finis, les prestations de services, la sous-traitance de la fabrication dun produit fini, la coordination de plusieurs activits de recherche et dveloppement disperss gographiquement B2G Business to Government (restrictif cause des regulations, B2A) Il concerne lchange numrique de donnes entre des entreprises et des

Chap.1 Contexte du Commerce Electronique

administrations tels que les dclarations dimpts ou de douane et la consultation de certains documents administratives tels que les procdures dimport export. Portals (portails dinformations exp: www.poste.tn)

Figure 1-4 Les diffrents types du CE Il faut noter que ces modles peuvent tre interdpendants, la mise en uvre d'un projet e-business correspond gnralement une combinaison de ces diffrents modles avec un modle de base complt secondairement par d'autres modles. Par exemple, la ralisation d'un projet B2C amnera souvent adopter un modle B2B pour le rapprovisionnement de certains produits.

3.

Les facteurs de russite du CE

Proposer un catalogue complet : Ne mettre en ligne que quelques produits ou prestations, cest comme si on ne remplissait que la moiti des rayons dans une boutique classique. Il y a alors de grandes chances que linternaute ne revienne pas. Rassurer les clients : La confiance est un passage oblig pour que le e-client ait envie de passer sa commande. Il faut absolument que les informations restent confidentielles et que le systme de paiement soit parfaitement scuris. Proposer un site ergonomique : Rien ne sert de retenir trop longtemps le client avec un menu trop copieux ou contraignant. Particulirement exigent et press, tout

Il est ncessaire de prendre en compte les facteurs cls de russite suivants :

Chap.1 Contexte du Commerce Electronique

cyberacheteur fait en gnral le tour de la concurrence. Il doit donc pouvoir trouver se quil souhaite rapidement et prcisment. Fidliser le client : Un client est plus facile fidliser qu trouver. Les statistques montrent dailleurs que les acheteurs en ligne sont des clients fidles. Avec une bonne politique de fidlisation, ceci ne vous quitteront pas facilement lorsque la concurrence arrivera son tour sur le net. Il sagit donc de mener une politique de promotion offensive (prix intressants, rductions sur les nouveauts, programme de fidlisation allchant) Faire de la pub en ligne : La modestie ne paye pas sur le net. Il faut acheter de lespace en ligne, notamment sous forme de bandeaux publicitaires interactifs communicant un message clair et attrayant. Pour tre vu, le bandeau doit tre lger et rpondre une taille standard. Se bouger en permanence : Linternaute est un consommateur part qui veut trouver sur le site visit de la qualit, de loriginalit, du choix et de la sduction. Laustrit, la banalit ou la prsence de produits ordinaires le feront fuir coup sur vers la concurrence. Il faut donc rechercher amliorer sans cesse lattraction du site et/ou renouveler son contenu, afin de le faire revenir le plus souvent possible.

4.
4.1.

Les avantages et les inconvnients du CE

Les avantages pour lentreprise
Rduire les cots. Faciliter l'change d'informations. Travail collaboratif. Accrotre la productivit et les ventes. Dvelopper de nouveaux marchs; de nouveaux horizons Vecteur dexpansion gographique: Hausse des ventes et clientle trangre Dsintermdiation et accs direct aux marchs. Dcloisonnement et march global. Favorisation de linteractivit en dveloppant une relation personnelle avec le consommateur ou le client, facilitant la vente one to one (personnalise) et le sur-mesure. Permission denvisager des politiques de fidlisation du client travers une offre de services et forte valeur ajoute. La possibilit de rduire les prix publics des produits en liminant la marge laisse habituellement aux intermdiaires, comme certains cots de structure.

4.2.

Les avantages pour le client

Le e-commerce est un extraordinaire outil de pr-slection ; les cyberconsommateurs ont un accs immdiat et permanent (24 heures par jour) des informations dtailles concernant les prix et les caractristiques dun grand nombre de fournisseurs. Les acheteurs potentiels ne subissent pas de pression de la part des vendeurs puisque ils ne sont pas en contact direct avec eux.

Chap.1 Contexte du Commerce Electronique

Un march aux puces lchelle mondiale ; Un gain de temps ; il facilite les transactions en vitant lacheteur de se dplacer (donc lui faire gagner du temps et baisser la pollution et la consommation du carburant) tout en lui offrant un service identique et confortable. Une offre actualise de produit (on trouve les derniers modles).

4.3.

Les inconvnients pour lentreprise

Lincertitude et le manque de confiance autour de la scurisation des moyens de paiement, malgr le fait que dornavant les mthodes de cryptage de donnes assurent une confidentialit quasi parfaite lors de la transaction. La rsistance des intermdiaires (grossistes, distributeurs) qui craignent une destruction demplois assortie dune perte de chiffre daffaires. Certaines produits tels que les biens alimentaires prissable et les vtements de haute gamme et les accessoires de luxe ne peuvent pas tre vendus en ligne car le consommateur a besoin de les examiner avant de les acheter. Linsuffisance du taux dquipement des mnages en ordinateurs et daccs linternet dans certains pays en dveloppement constitue un frein important au dveloppement de commerce lectronique Rien ne permet de garantir les couleurs du Web les couleurs diffrent selon le type d'ordinateur, le type de l'cran, les rglages de l'cran et son ge.

4.4.

Les inconvnients pour le client

Le pistage informatique partir des cookies, c'est--dire ces petits fichiers qui identifient lordinateur appelant de faon unique afin pouvoir retracer toutes les habitudes dappel et de consommation. Linscurit des paiements et la peur de tomber sur un cybermarchand mal honnte qui ne livre pas. Le manque de relations humaines et le sentiment disolement devant sa machine (cas des Internautes peu expriments). Le manque de contact avec le produit. Les cots de tlphone. Les dtails et tarifs de livraison. Le matraquage publicitaire travers lmail

Chapitre 2 La conception dun site marchand

Objectifs

Public vis

Contenu

Visuel

Fonctionnel

1.

Fixer les objectifs : pourquoi ce site web ?

Cette phase doit prcder le choix de design et de l'organisation du site car les pages web doivent tre crites pour remplir les objectifs et pas le contraire.

1.1.

Objectif stratgique
tre prsent sur le web. tromper la concurrence travers la maximation du trafic de la clientle sur le site. Recueillir certaines informations sur les clients en vue de mieux connaitre leurs attentes et de mieux les cibler par des offres commerciaux.

1.2.

Objectif marketing
Publier des informations sur lentreprise et ses activits en vue damliorer son image et de favoriser des contacts commerciaux avec des intermdiaires ou des clients. Offrir des promotions et des nouveauts.

1.3.

Objectif commercial
Passage de la vente lchelle nationale vers la vente lchelle mondiale. Approvisionnement plus efficace. Augmenter la qualit de services et le support client (assistance clientle, service aprs vente).

2.

Le public vis : qui je madresse ?

internaute expert : cest un internaute qui a lhabitude de naviguer. internaute spcifique : cest un internaute ayant un ge prcis, dun pays spcial, dthique diffrente, ayant un budget fix. visiteur passager c..d occasionnel. visiteur fidle.

Le public en fonction de lobjectif :

Le public en fonction de la visite :

Chap.2 Une Dmarche de Conception dun Site Marchand

3.

Le contenu : quelles informations je place sur le site ?

Il sagit de laspect informationnel et rdactionnel. Le contenu dpend du public vis. Par exemple, si le site vise les clients fidles (qui connaissent bien lentreprise), alors il est inutile de placer les informations de localisation et de lhistorique de lentreprise. On distingue deux parties pour le contenu : larchitecture frontale ( front office ) et larchitecture navigationnelle ( back-office ).

3.1.

Le front-office

Cest le dcoupage du contenu en des sections. Il sagit de dcider pour chaque rubrique le nombre de pages associes. Donc, la projection de la structure thmatique (thme, sousthme,..) en pages donne la structure frontale. Il faut essayer de sparer le contenu en sections en gardant en mmoire les objectifs raliser, et en plaant dans la mme section les informations qui se rapportent aux mmes sujets. Parfois les objectifs et les sections sont fort semblables. Par exemple pour une librairie en ligne, l'objectif de vente en ligne des livres peut tre associ une section commande de livres. Dans cette phase il faut se faire une ide de ce que l'on va dcrire dans les pages. Par exemple les sections du site marchand dun commerant de chaussures pourraient tre: Accueil et prsentation gnrale de lentreprise Catalogue de produit pour homme Catalogue de produit pour femme Commande en ligne Contacts commerciaux.

Il ne faut pas se proccuper de l'ordre des tapes ou de la manire dont on va permettre le passage d'une section une autre. Il faut juste lister les choses que l'on veut dcrire dans les pages. On peut dfinir autant de sections que l'on veut mais il faut essayer de garder chaque section dans une taille raisonnable. Si une section est trop grande, il vaut mieux la sparer en sous sections. Par exemple, si la gamme de produit est trop large, faire une section pour chaque ligne de produit. Certaines critres permettent de diviser le site en pages tels que : la taille du fichier. lhomognit de linformation

Il existe des modles pour le front-office, savoir : la structure squentielle ou linaire, la structure linaire avec alternatives, la structure hirarchise et la structure en rseau ou web. 3.1.1. La structure squentielle/linaire Ce modle est assez similaire la manire dont on parcourt les documents imprims. Dans un modle linaire, le home page est le titre ou l'introduction et chaque page suit squentiellement. Dans un modle linaire strict, il y a des liens pour aller d'une page l'autre,

Chap.2 Une Dmarche de Conception dun Site Marchand

en gnral la page suivante et la page prcdente. Un contexte linaire est trs rigide et limite la libert du lecteur pour explorer et la votre pour prsenter l'information. Cette structuration est nanmoins trs intressante pour mettre en ligne des sujets qui sont trs linaires comme des livres, des instructions pas pas, etc. 3.1.2. La structure linaire avec alternatives Ce modle permet d'assouplir la rigidit du modle linaire en autorisant le lecteur dvier du chemin principal certains endroits. Ce modle convient bien, par exemple, pour l'explication d'une procdure d'installation d'un produit dont toutes les tapes, sauf une, sont identiques. Le cheminement est identique jusqu'au moment o il diffre pour une plate-forme : l'utilisateur doit alors choisir l'tape suivante qui convient sa plate-forme. Une fois la spcificit traite, l'utilisateur est renvoy vers la partie commune de l'installation. 3.1.3. La structure hirarchise

Figure 2-1 Le modle hirarchis C'est probablement le modle le plus logique pour structurer un site. Ce type de structuration est particulirement adapt des systmes d'aide en ligne. On doit d'abord faire un choix parmi des sujets gnriques puis, plus on avance, plus les sujets deviennent particuliers. Dans une structure hirarchique, il est facile de s'y retrouver car les choix sont limits. On peut aller un niveau au-dessus pour des sujets plus gnriques ou un niveau en dessous pour des sujets plus dtaills. Il est intressant de fournir un lien vers le menu principal, de faon ce que le lecteur puisse retourner rapidement un endroit connu. Dans cette organisation, le home page fournit une vue d'ensemble du contenu accessible via des liens. Il faut viter d'inclure trop de niveaux et trop de choix ; 2 ou 3 niveaux sont un bon nombre. Trop de pages de menu conduisent au "voice mail syndrome", c'est--dire qu'aprs avoir d choisir parmi trop de niveaux, le visiteur a oubli la raison de sa visite. 3.1.1. La structure rseau/web Un WEB est un ensemble de documents avec peu ou pas de structure. La seule chose qui lie les pages entre elles, c'est un lien. Le lecteur passe de document en document en suivant les liens environnants.

Chap.2 Une Dmarche de Conception dun Site Marchand

Figure 2-2 Le modle web Les structures WEB permettent au visiteur d'errer dans le site ; elles sont idales quand on veut encourager le visiteur naviguer sur le site. Un exemple d'utilisation de cette structure pourrait tre un ensemble de chambres virtuelles. Dans ce contexte, chaque page est organise de faon correspondre une location (une pice) et de cette location on peut se dplacer dans diffrentes directions pour explorer les environs comme on passe de pice en pice dans un building. Le problme avec ce type d'organisation, c'est qu'il est facile de se perdre. Sans aucune structure du contenu, il est difficile de se reprsenter les relations entre l'endroit o l'on se trouve et l'endroit o on va aller. Ce type de structure est trs dsorientant quand le visiteur a un objectif en tte. Pour solutionner le problme on peut soit prvoir sur chaque page un lien vers le home page soit inclure une carte du site avec une indication de la position du visiteur dans la structure (comme les flches vous tes ici dans les grands immeubles par exemple).

3.2.

Le back-office

Cest la faade arrire du site, par exemple la sauvegarde des paramtres dauthentification (login et mot de passe) dun client passager est inutile). Il sagit de distinguer entre pages statiques et pages dynamiques, de crer la BD, de dvelopper les scripts Pour distinguer entre page statique et page dynamique, on se base sur : la dure de vie de linformation, si elle est courte, alors linformation change souvent et donc cest une page dynamique. la frquence de linformation : la puissance du serveur : si le serveur nest pas puissant alors la page est statique (exp : les FAQ) le mode du serveur : sil est en mode diffr alors il fait lactualisation des informations des pages statiques quand la charge est basse.

Chap.2 Une Dmarche de Conception dun Site Marchand

4.

Laspect visuel
les images et les photos des produits pour former le catalogue et pour prsenter le local de lentreprise. Une squence vido est ncessaire si le client a besoin de regarder le produit de tous les cts et pour bien prsenter les caractristiques techniques du produit. Il est conseill de prsenter des graphiques montrant bien le rsultat dune statistique.

Il sagit de dfinir lidentit du site. Laspect visuel comprend :

5.

Laspect fonctionnel

Il touche au fonctionnement du site, par exemple la taille rduite dun fichier texte (<30 ko) assure la rapidit du tlchargement.

Chapitre 3 La Scurit dans le Commerce Electronique

1.

Concepts de base

La scurit informatique est un ensemble de tactiques retardant laccs non autoris des donnes. Politique de scurit : numrer ce qui est autoris exp : Le marchand veut vendre seulement pour les clients quil connait

Services de scurit : quest-ce quon garantie ?

Mcanismes : par quels moyens on assure ces services

1.1.

Les services de scurit

Authentification : lors de l'envoi d'un message ou lors de la connexion un systme, on connat srement l'identit de l'metteur ou l'identit de l'utilisateur qui s'est connect. Confidentialit : assure que seulement les personnes autorises peuvent comprendre les donnes protges (Confidentialit de donnes). De plus, elle assure de cacher le fait quil y a une communication (Confidentialit de communication). Intgrit : on a la garantie qu'un message expdi n'a pas t altr, accidentellement ou intentionnellement. Non-rpudiation : assure quune personne ne peut pas refuser davoir effectu une opration sur des donnes, c..d lmetteur ne peut pas nier sa responsabilit denvoi du message. Contrle daccs : le site marchand dispose des ressources aidant au bon fonctionnement de son application du e-commerce. Le contrle daccs assure que seulement des personnes autorises peuvent accder des ressources protges.

1.2.

Les menaces contre le CE

contre le rseau interne (lintranet de lentreprise), contre les serveurs TCP/IP de linternet (linfrastructure du rseau mondial, exp : programmer TCP/IP de faon que l@source=@destination et donc le serveur entre en boucle infinie do la surcharge du serveur). contre la transmission de donnes (transmission avec erreurs)

Les menaces peuvent attaquer diffrents niveaux, savoir :

Chap.3 La Scurit dans le Commerce Electronique

contre la disponibilit (le serveur du marchand sera non accessible)

Les menaces contre le CE sont : lusurpation didentit, linterception de donnes, la modification de donnes, la rpudiation et laccs non autoris.

1.3.

Les mcanismes de scurit

Les mcanismes de scurit sont les moyens techniques permettant dassurer les services de scurit. Parmi les mcanismes, nous citons : la cryptographie la signature digitale le certificat lectronique

Il est noter quil existe trois niveaux de scurit, de donnes, de transactions et du rseau. scurit de donnes et des transactions : assurer la privacy et la confidentialit des messages lectroniques et les paquets de donnes, ceci inclut le cryptage de donnes en utilisant diverses mthodes de cryptage. scurit client/serveur : assurer que uniquement les personnes permises accdent aux ressources du rseau ou au contenu des serveurs web, ceci inclut la protection des mots de passe, lutilisation de encrypted smart cards et firewalls.

2.

La scurit des donnes

La cryptographie est la contribution la plus forte dans le domaine de scurit de des donnes. Dautres mcanismes sont apparus mais ils se basent sur le principe de cryptage.

2.1.

La cryptographie

Une mthode de cryptage et dcryptage est appele un chiffrement. Gnralement on a 2 fonctions lies : une pour crypter et lautre pour dcrypter. Quelques mthodes de cryptage se basent sur des algorithmes secrets. Tous les algorithmes modernes utilisent une cl pour contrler le cryptage et le dcryptage. Il existe trois types dalgorithmes de cryptage : symtrique, asymtrique et hybride.

Chap.3 La Scurit dans le Commerce Electronique

2.1.1.

Algorithmes symtriques

Figure 3-1 Cryptage symtrique

Cryptage symtrique Cette mthode est la plus simple comprendre : si un expditrice Anne(A) veut envoyer un message chiffr un destinataire Bob (B) elle doit lui communiquer un mot de passe (Cl). Comme l'algorithme de chiffrement est symtrique, on a la relation suivante :

Message Cod = Chiffrement(Cl, Message) algorithme simple et rapide. problme dchange de la cl. la cl est sauvegard sur pc donc risque de piratage de la cl. Exemples des algorithmes : DES, RC4, IDEA, Blowfish 2.1.2. Algorithmes asymtriques

Figure 3-2 Cryptage asymtrique

Cryptage asymtrique Cette mthode fait appel aux mathmatiques. La proprit des algorithmes asymtriques est qu'un message cod par une cl publique n'est lisible que par le propritaire de la cl prive

Chap.3 La Scurit dans le Commerce Electronique

correspondante. A l'inverse, un message chiffr par la cl priv sera lisible par tous ceux qui possdent la cl publique. Ainsi la cl prive dAnne permet de prouver qu'elle est l'auteur d'un message, alors que sa cl publique prservera le contenu du message destination d'Anne car il ne sera lisible que par celle-ci. Meilleure gestion de cls. divination de cl plus difficile. plus lent, plus complexe. Exemples dalgorithmes : RSA, Diffie-Hellman, El Gamal, 2.1.3. Algorithmes hybrides En pratique, le cryptage asymtrique est utilis pour scuriser et distribuer la cl de session. Cette cl est utilise avec un cryptage symtrique pour la communication. 1. Lexpditeur gnre une cl de session alatoire, la crype en utilisant la cl publique du receveur et lenvoie. 2. Le receveur dcrypte le message avec sa cl prive pour retrouver la cl de session. 3. Les deux cryptent/dcryptent leurs communications en utilisant la cl de session. 4. Les partenaires se mettent daccord sur une nouvelle cl temporairement. 5. La cl est dtruite la fin de la session.

Le problme dchange de cl est rsolu par un algorithme asymtrique. Le problme de gestion de cl est rsolu par la notion de session donc on na pas besoin de stocker la cl.

2.2.

Signature digitale

Une signature digitale est un protocole qui produit le mme effet quune signature relle. Elle est une marque que seul lexpditeur peut faire. Les autres personnes peuvent facilement reconnatre quelle appartient lexpditeur (grce la fonction de vrification). Les signatures digitales doivent tre : non forgeables (non reproduites) : si P signe un message M avec sa signature S(P,M), il est impossible pour les autres de produire le mme pair [M, S(P,M)]. authentiques : R recevant la pair [M, S(P,M)] peut vrifier que la signature est rellement de P. 1. Dans un algorithme symtrique, le fait que la cl est secrte garantit lauthentification. Mais ceci nlimine pas la possibilit de forger la cl. De plus, il ny a pas de protection contre la rpudiation (nier lenvoi du message). on a besoin dun arbitre pour liminer la possibilit de forger la cl. 2. Lalgorithme asymtrique est idal pour la signature digitale (on a linverse : cryptage avec cl priv/dcryptage avec cl publique).

Chap.3 La Scurit dans le Commerce Electronique

Pour signer un message : Lmetteur utilise sa cl prive pour crypter le message avec sa signature. Le receveur peut vrifier la signature en utilisant la cl publique de lmetteur. Donc uniquement lmetteur qui a pu signer le message puisque sa cl prive appartient lui seul authentification+non rpudiation. Le receveur sauvegarde le message et la signature pour toute vrification future.

Scnario de la signature digitale : (envoyer un message M) 1. Lmetteur crypte le message avec sa cl prive, il obtient la signature S. 2. Il crypte le couple (M,S) avec la cl publique du receveur, il obtient le message M1 envoyer. 3. Il envoie le message M1. 4. Le receveur dcrypte M1 avec sa cl prive pour obtenir le couple (M,S). 5. Il dcrypte S avec la cl publique de lmetteur pour obtenir un message M. 6. Le receveur compare le message M quil a reu dans le couple (M,S) avec le message M quil a trouv. Sils sont gaux alors il accepte le message, sinon il le rejette.

2.3.

Le certificat lectronique

Dans une transaction lectronique lexpditeur dun message a besoin de sassurer de la validit de lidentit rclam par son destinataire par exemple un acheteur de CD sur internet doit vrifier quil a envoy son virement lectronique un commerant et non pas un pirate qui aurait usurp son identit. Afin de prouver leur identit aux acheteurs les commerants utilisent un certificat numrique qui joue le rle dune pice didentit numrique. Scnario du certificat lectronique :

1. Pour obtenir ce certificat chaque entreprise doit envoyer une autorit de certification (certification authority CA tels que Vrisign, KPMG) diffrentes informations lui concernant ( dnomination sociale, adresse, mail, activit , cl publique..) 2. Puis lautorit de certification vrifie les informations fournies et ajoute au certificat son propre nom, une date limite de validit, et surtout une signature numrique. Le format des certificats est dfini par le standard X509v3. 3. Le certificat numrique est sign par la cl priv de lorganisme de certification et remis au demandeur sous forme dun fichier quil peut stocker dans le disque dur de son PC ou sur une carte puce ou un USB. 4. Lorganisme de certification publie le certificat dcod sur son annuaire. 5. Lorsque lentreprise certifi souhaite prouver son identit son destinataire, elle lui envoie son certificat. 6. Le destinataire dchiffre le certificat avec la cl public de lorganisme de certification et la compare avec la version disponible dans lannuaire de CA lorsque lexpditeur et le destinataire sauthentifient avec leurs certificats numriques ils

Chap.3 La Scurit dans le Commerce Electronique

peuvent communiquer avec des protocoles scurises tels que SSL (Secure sockets layer) et S http.

3.

La scurit des transactions

Lauthentification : le serveur est confient de lidentifiant des clients quil communique avec. (mthode commune : login+pwd) La privacy et la confidentialit : la conversation du client avec le serveur est prive. (mthode commune : cryptage) Lintgrit du message : la conversation du client est non modifi. (cryptage puis signature digitale)

La scurit de transaction concerne trois services :

3.1.

S-HTTP

L'HyperText Transfer Protocol, plus connu sous l'abrviation HTTP littralement protocole de transfert hypertexte est un protocole de communication client-serveur dvelopp pour le World Wide Web. HTTPS (avec S pour secured, soit scuris ) est la variante du HTTP scurise par l'usage des protocoles SSL ou TLS. HTTP est un protocole de la couche application. Il peut fonctionner sur n'importe quelle connexion fiable, dans les faits on utilise le protocole TCP comme couche de transport. Un serveur HTTP utilise alors par dfaut le port 80 (443 pour HTTPS utilis avec SSL). Les clients HTTP les plus connus sont les navigateurs Web permettant un utilisateur d'accder un serveur contenant les donnes. Ces clients se connectent des serveurs HTTP tels qu'Apache HTTP Server. Il est noter que le S-http est une rvision de http pour incorporer diffrents formats de message crypts sur client et serveur web essentiellement au niveau de la couche dapplication. Les adresses IP source et destination ne sont pas crypts, donc on connat les machines (identifies par les adresses IP) qui sont en cours dinteraction Pas de confidentialit de communication. De plus le numro de port est connu donc on connait lapplication en cours dexcution.

3.2.

SSL

Transport Layer Security (TLS), anciennement nomm Secure Sockets Layer (SSL), est un protocole de scurisation des changes sur Internet, dvelopp l'origine par Netscape (SSL version 2 et SSL version 3). Il a t renomm en Transport Layer Security (TLS) par l'IETF suite au rachat du brevet de Netscape par l'IETF en 2001. Par abus de langage, on parle de SSL pour dsigner indiffremment SSL ou TLS. SSL est utilis au niveau session. Il crypte les adresses IP do la confidentialit de communication.

Chap.3 La Scurit dans le Commerce Electronique

Il crypte le numro de port, donc lapplication en cours dexcution est inconnue. Problme dacheminement du paquet par les routeurs puisque ladresse IP quil doit chercher dans sa table de routage est illisible. la solution est de configuer les routeurs de faon quils seront capables dextraire ladresse IP en clair (par dcryptage).

3.3.

SET

SET (Secure Electronic Transaction) est un protocole de scurisation des transactions lectroniques mis au point par Visa et MasterCard, et s'appuyant sur le standard SSL. SET est bas sur l'utilisation d'une signature lectronique au niveau de l'acheteur et une transaction mettant en jeu non seulement l'acheteur et le vendeur, mais aussi leurs banques respectives. Fonctionnement de SET Lors d'une transaction scurise avec SET, les donnes sont envoyes par le client au serveur du vendeur, mais ce dernier ne rcupre que la commande. En effet, le numro de carte bleue est envoy directement la banque du commerant, qui va tre en mesure de lire les coordonnes bancaires de l'acheteur, et donc de contacter sa banque afin de les vrifier en temps rel.

Figure 3-3 Fonctionnement du SET Ce type de mthode ncessite une signature lectronique au niveau de l'utilisateur de la carte afin de certifier qu'il s'agit bien du possesseur de cette carte. Comparaison entre SET et SSL Son champ d'application se rduit au chiffrement des seules donnes bancaires, contrairement SSL qui peut chiffrer les images et le texte. Le protocole SET implique trois parties : le client, le vendeur et la banque du vendeur. Ce systme SET requiert des certificats auprs des trois parties. Les certificats du client et du vendeur sont fournis par leur banque respective aprs quoi la transaction commerciale peut avoir lieu. Avec le SET, le numro de carte bancaire peut ne pas tre connu du vendeur, donc ne sera pas stock dans ses fichiers et tre rcupr par une personne mal intentionne. Le SET assure en principe une transaction de non rpudiation, mais cette clause peut varier d'un pays l'autre suivant la lgislation en vigueur. Si le SSL et le SET assurent chacun un haut degr de confidentialit, seul le SET permet une pleine identification rciproque des deux parties grce un tiers de confiance, en l'occurrence la banque du vendeur. Ainsi, elle s'assure que la carte est bonne et qu'elle n'a pas t vole.

Chap.3 La Scurit dans le Commerce Electronique

3.4.

VPN

Le rseau priv virtuel (Virtual Private Network ) est vu comme une extension des rseaux locaux et prserve la scurit logique que l'on peut avoir l'intrieur d'un rseau local. Il correspond en fait une interconnexion de rseaux locaux via une technique de tunnel (canal scuris grace au chiffrement des messages). On parle de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure partage avec d'autres organismes.

Figure 3-4 VPN

4.

La scurit des rseaux

les moyens classiques. la nouvelle tendance.

Il existe deux approches diffrentes :

4.1.

Les moyens classique

4.1.1. Les rseaux privs On distingue deux types : un rseau priv : o non relis Internet : donc pas daccs Internet. o des serveurs terminaux privs (tablissement dune liaison directe avec le partenaire pb non faisable car cette solution est limite par les contraintes juridique, gographique).

4.1.2. Services cachs On cache notre site travers le renommage de la page daccueil pour viter le rfrencement par les moteurs de recherche (par exemple nommer ventes.html au lieu de index.html ) pb : le site ne sera pas accessible par tout le monde. sol : il faut donner lurl complte aux clients. 4.1.3. Code daccs et mots de passes.

4.1.4. La journalisation Le concept d'historique des vnements ou de logging dsigne l'enregistrement squentiel dans un fichier ou une base de donnes de tous les vnements affectant un processus particulier (application, activit d'un rseau informatique). Le journal (en anglais log file ou plus simplement log), dsigne alors le fichier contenant ces enregistrements. Gnralement

Chap.3 La Scurit dans le Commerce Electronique

dats et classs par ordre chronologique, ces derniers permettent d'analyser pas pas l'activit interne du processus et ses interactions avec son environnement. pb : le fichier est de taille importante ce qui rend la tche de dtection de menace difficile pour ladministrateur rseau.

4.2.

Les nouvelles tendances

Afin de scuriser lintranet de lentreprise qui contient des ressources matrielles et logicielles (serveur web, serveur de donnes, imprimantes,...), il est ncessaire de contrler le trafic rseau de lintranet vers linternet et inversement. Parmi les moyens nouveaux de scurit, on cite : le serveur proxy. le firewall : logiciel et matriel.

4.2.1. Serveur proxy La plupart des rseaux domestiques ou de bureau de petite taille utilisent une connexion au rseau par accs distant ou par modem pour se connecter un fournisseur de services Internet, qui les connecte alors Internet. Ce fournisseur de services Internet affecte une adresse IP unique chaque rseau pour le connecter Internet. En outre, chaque ordinateur d'un rseau doit disposer d'une adresse IP pour tablir des connexions Internet. Au lieu d'utiliser des adresses IP distinctes pour chaque ordinateur, il est plus conomique d'utiliser une mme adresse IP pour plusieurs ordinateurs. Un serveur proxy est un composant de pare-feu qui permet de connecter plusieurs ordinateurs en rseau Internet avec une mme adresse IP. Les serveurs proxy remplissent deux fonctions principales : amlioration des performances du rseau et filtrage des demandes des ordinateurs clients. Amlioration des performances Les serveurs proxy rduisent le temps ncessaire pour rpondre aux demandes mises par des groupes d'utilisateurs. En effet, un serveur proxy met en cache, ou enregistre, les rsultats de toutes les demandes transmises pendant un laps de temps. Si un utilisateur souhaite afficher de nouveau une page Web dj demande, le serveur proxy lui renvoie simplement cette page, au lieu de transfrer sa demande au serveur Web et de tlcharger la mme page. Filtrage des demandes des ordinateurs clients Les serveurs proxy permettent aussi de filtrer les demandes des ordinateurs clients pour certaines connexions Internet. Par exemple, une entreprise peut utiliser un serveur proxy pour empcher ses employs d'accder un ensemble particulier de sites Web.

Fonctionnement d'un serveur proxy Lors de l'utilisation d'un serveur proxy, les ordinateurs du rseau local sont configurs avec des adresses IP prives. Lorsqu'un ordinateur transmet une demande de connexion Internet,

Chap.3 La Scurit dans le Commerce Electronique

il transmet ses donnes au serveur proxy par le biais du rseau TCP/IP. Le serveur proxy modifie la demande, insre ses propres nom et adresse IP, laquelle est fournie par le fournisseur de services Internet, puis envoie les donnes sur Internet. Lorsqu'une rponse la demande est reue, le serveur proxy la renvoie l'ordinateur qui est l'origine de la demande, par le biais du rseau local. Le proxy sexcute lintranet, il connait les clients donc il peut les identifier grce une table dhabilitation dfinissant les droits daccs des clients. 4.2.2. Le firewall Tout rseau connect Internet doit transmettre des communications travers un pare-feu. Un pare-feu reprsente la combinaison d'lments logiciels et matriels qui interdit l'accs non autoris un rseau interne partir de l'extrieur. Tous les messages du rseau, en entre ou en sortie, passent par le pare-feu, qui les examine et bloque ceux qui ne rpondent pas aux critres de scurit dfinis. Un pare-feu filtre le trafic qui ne doit pas passer d'Internet votre rseau priv, par exemple des messages changs entre deux ordinateurs sur votre rseau priv.

Figure 3-5 Le filtrage par firewall Fonctionnement d'un pare-feu Un pare-feu empche toute communication directe entre le rseau et des ordinateurs externes en routant les communications par l'intermdiaire d'un serveur proxy situ l'extrieur du rseau. Le pare-feu dtermine s'il n'est pas dangereux de laisser un fichier passer, vers ou depuis le rseau. Un pare-feu est appel galement passerelle de scurit.

Chap.3 La Scurit dans le Commerce Electronique

Une passerelle est un systme connect plusieurs rseaux TCP/IP physiques, et capable de router ou de remettre des paquets IP entre eux. Une passerelle assure la conversion entre des protocoles de transport ou des formats de donnes diffrents, par exemple IPX (Internetwork Packet eXchange) et IP. Elle est principalement ajoute un rseau pour ses capacits de conversion. 3.4.2.2.1 Machine firewall ddie (Soft) Cest un machine configure uniquement pour la scurit (appele bastion). Les utilisateurs doivent se connecter sur des applications fiables sur le firewall avant toute autre connexion. il faut garder seulement les comptes des utilisateurs qui sont responsables de la configuration du firewall. il faut denlever tout fichier excutable non ncessaire surtout les programmes rseaux tels que FTP, Telnet (uniquement le firewall sexcute) Etendre audit log et monitoring pour vrifier les accs distance grce aux scnarios modlisant une attaque. dsactiver ip forwarding pour viter que le firewall transfre des paquets non autoriss entre internet et intranet.

ip forwarding est un service, sil est actif alors la machine est configure comme tant un point de relais (nud de transmission) qui a pour fonction de faire passer le paquet sans regarder le contenu. 3.4.2.2.2 Packet screening router (Hard) La fonction de base dun routeur est la transmission du paquet la base des adresses ip source et destination en consultant sa table de routage. On va enrichir la fonctionnalit de routage simple par la fonctionnalit de filtrage (le routeur contiendra une table de routage+rgles de filtrage). Les rgles de filtrage refltent la politique de scurit adopte. Exemple de rgles de filtrages : bas sur le protocole (TCP, UDP, ICMP) bas sur ladresse IP source bas sur le N de port destination (port 80 donc application Web). Rapide car cest du matriel programm (excution hard est plus rapide que lexcution soft). Les rgles de filtrage sont difficiles spcifier (il existe diffrents besoins). Ds le dbut il faut spcifier presque la majorit des rgles de filtrage do elles sont pr-programmes lachat. Cest pourquoi il est difficile de changer ces fonctionnalits. Il peut tre dup (tromp) par un client qui comprend les rgles de filtrage (par exp : il change le N du port TCP).

Chap.3 La Scurit dans le Commerce Electronique

Le routeur nassure pas lauthentification car il ne connat pas la personne plutt la machine. Donc Ali peut se connecter de nimporte quelle machine du rseau et donc il peut tromper le routeur. Cote cher.

Chapitre 4 Le Paiement Electronique

1.

Dfinition
Le paiement lectronique permet la ralisation de la phase financire dune transaction commerciale Le facteur cl de succs du e-commerce. Toutes les parties impliques doivent tre scuritaires en effectuant une transaction lectronique. La scurit est fondamentale la russite de cette transaction. Les banques/maisons de carte de crdit sont rticent dvelopper des systmes de e-paiement gratuits.

Les enjeux du paiement lectronique : Facilit d'utilisation : l'internaute moyen doit pouvoir acheter simplement, sans procd fastidieux mettre en uvre. Scurisation des transactions : l'internaute doit pouvoir acheter avec confiance (scurit des donnes nominatives et bancaires) Homognisation des protocoles: L'achat doit tre transparent quel que soit le site utilis, et les technologies employes communes

Le commerce lectronique ne prendra son vritable envol que si l'on dveloppe des modes de paiement srs, facile d'utilisation et accept du grand public.

2.

Les systmes de paiement lectroniques

E-banking Le porte-monnaie lectronique Les cartes de crdit Surtaxe Tlphonique

On distingue essentiellement 4 systmes de paiement qui sont :

2.1.

E-Banking
Le virement bancaire Consultation solde

Cest lensemble des oprations bancaires qui seffectuent sur le web

Pratiquement toutes les banques ont leurs sites e-banking Pratique et rapidit de lopration

Chap.4 Le Paiement Electronique

2.2.

Le porte monnaie lectronique

Ce mode de paiement relve dune philosophie diffrente. Il envisage la mise disposition dune somme dargent prpaye sur une carte puce ou sur le disque dur des acteurs. Le porte-monnaie virtuel est aliment par l'internaute de faon ponctuelle partir de sa carte bancaire, et qu'il utilise ultrieurement pour ses achats. Le porte-monnaie lectronique sert essentiellement rgler les petites sommes qui ne sont pas couvertes par les cartes classiques. Des systmes de paiement par sur-taxation de la communication tlphonique pour lusager sont galement possible. Les banques ne savent pas quest ce que les clients ont dpens et o (anonymat) : Systme de "monnaie en ligne" : vrification de l'authenticit en temps rel par la banque mettrice. Utilisation de la cryptographie et de signatures numriques authentifiant les utilisateurs et garantissant contre les risques de scurit e-cash Type de paiement permettant le stockage dunits montaires numriques, rserv aux petites dpenses. une carte de paiement prpaye, o une certaine somme dargent a t charge, permettant le rglement dune multitude de services. Une rserve financire sera donc "stocke" sur le microprocesseur de la carte. Le porte-monnaie lectronique peut galement contenir des jetons usage unique comme dans le cas des cartes de tlphone. Transaction: ne fait pas intervenir la banque immdiatement. Celui-ci n'est sollicit qu'au moment o le commerant souhaite convertir son argent fictif en argent rel.

Caractristiques : Reprsente une somme dargent dfinie :utilisation du numro de la carte pour effectuer un paiement. Valable uniquement sur les sites qui sont affilis au gestionnaire des cartes prpayes. Utilisation dun identifiant personnel en plus de numro de la carte Le crdit de la carte est dbit une foisque la transaction effectue.

Les avantages : Ne ncessite pas d'autorisation de paiement, donc pas de transaction immdiate avec un systme distant. Son moindre cot le rend intressant pour des transactions de faible valeur. idal pour les distributeurs automatiques, le paiement du tlphone, les services Web faible valeur ajoute. Exemples : Mondex, Mono Visa Cash, E-dinar

Chap.4 Le Paiement Electronique

Il peut tre un procd d'avenir, car son cot dcroissant, le rendra rentable moyen terme. La monnaie lectronique : Fonctionnement 1. Linternaute ouvre un compte chez un fournisseur de monnaie lectronique 2. Il transfre de largent dans ce compte. 3. Quand il fait des achats sur un site marchand, il entre son numro de compte de monnaie lectronique. 4. L'acheteur reoit alors des certificats crypts qu'il envoie avec ses bons de commande. 5. Le site vrifie le certificat en employant la cl publique du client. Le site na pas daccs direct au compte bancaire du client. Cest le fournisseur du porte-monnaie qui rgle le montant des achats.

2.3.

Carte bancaire

2.3.1. Dfinition Les cartes de paiement ou crdit est une carte plastique, quipe d'une bande magntique et/ou puce lectronique permettant : Le paiement d'achats et prestations de services, auprs de fournisseurs possdant un terminal de paiement pouvant lire la carte et connect ou non sa banque. Les retraits aux distributeurs de billets, Le tlpaiement Internet, etc. La carte bancaire se caractrise par un BIN (Bank Identification Number) qui permet d'identifier ltablissement metteur de la carte. Utilisation de la carte de crdit

2.3.2.

Figure 4-1 Mcanisme de base de la carte de crdit

Chap.4 Le Paiement Electronique

1. Lacheteur indique le numro de la carte de crdit sa date de validit, le nom et prnom et le code CVV(Card verification Value) 2. Le site marchand vrifie les donnes au prs de la banque mettrice de la carte. 3. La banque mettrice autorise la transaction et renvoie lautorisation. 4. Si lautorisation est donne, les parties en prsence (lacheteur et le commerant) sont informes. 5. Le service est alors fourni lacheteur. 2.3.3. Gestion clientle : Segmentation La segmentation est la distinction entre plusieurs besoins de la clientle. En effet il existe 4 niveaux comme lillustre la figure suivante.

Figure 4-2 Les niveaux de segmentation A chaque segment peut correspondre une ou plusieurs Cartes. 2.3.4. Avantages Pour le Porteur : Disponibilit des avoirs 24h/24 et 7j/7. Retrait auprs de tous les GABs. Paiement auprs des commerants. Cash Advance auprs des guichets de banques. Consultation du solde. Commodit, discrtion Pour le Commerant : Augmentation de son chiffre d affaires en acceptant ce moyen de paiement. Garantie de paiement. Pour la Banque (Agence) Dsengorger le guichet de lAgence. Allgement du traitement des oprations de retrait et des cots y affrents (retrait dplac) Economie de charge (confection de chque)

Chap.4 Le Paiement Electronique

Dvelopper les commissions (cotisation, commission commerants) amliorer la rentabilit Matriser le risque (possibilit de modifier les paramtres de fonctionnement) Amlioration de la Qualit des Services rendus. Soccuper de tches valeurs ajoutes. Amliorer la rentabilit ou le compte dexploitation. 2.3.5. Les fraudes La Fraude est dfinie comme lutilisation de : une carte perdue, vole, non dlivre ou contrefaite par un acteur non identifi. une carte par son porteur en contradiction avec les clauses du contrat sign. Ces fraudes peuvent provenir de fraudeurs isols ou dorganisations criminelles internationales.

Les types de fraude sont : Cartes perdues / voles : 60 % de la fraude. Cartes non reues : cartes interceptes. Contrefaon : Carte r-embosse ou r-encode, reproduction complte, fausse facturette (empreinte rutilise) Utilisation frauduleuse dun N de carte. Autres types de fraudes : le fractionnement. Logiciels pirates : sur Internet pour gnrer automatiquement des numros de cartes (CreditMaster)

3.

Les protocoles de paiement lectronique

SSL SET C-SET

Il y a plusieurs protocoles. Les plus utiliss sont :

3.1.

SSL (Secure Socket Layer)

Protocole qui garantit lintgrit et la confidentialit. Bas sur une cryptographie clef publique : dans le paiement sur Internet la cl est 128 bits. Aucune vrification de lidentit des parties en prsence.

Rappel

3.2.

SET (Secure Electronic Transcation)

SET utilise le protocole SSL seulement pour le chiffrement des donnes bancaires. L'incapacit identifier formellement l'acheteur est l'un des principaux points faibles des solutions SSL.

Chap.4 Le Paiement Electronique

Mastercard, Visa, IBM, Microsoft et Netscape ont Dvelopp en 1996 le protocole SET. SET permet d'identifier clairement et srement l'metteur du paiement, la diffrence de SSL qui n'identifie que des applications.

Figure 4-3 Composants du protocole SET Fonctionnement : Les donnes bancaires du client sont cryptes avant dtre transmises sur le Net. Le commerant ne reoit que les dtails de la commande. Le numro de carte crdit est envoy directement la banque du vendeur qui vrifiera la validit de la carte avec la banque de lacheteur. Le protocole SET repose sur le systme de signature lectronique qui ncessite linstallation dun logiciel spcifique sur lordinateur du client intitul Wallet. SET satisfait aux exigences suivantes: Intgrit des donnes (signature numrique) Authentification du titulaire de la carte Authentification du commerant Confidentialit des donnes

Protocole abandonn depuis l'an 2000, car trs peu dploy et lourd sur le plan logistique et organisationnel.

3.3.

C-SET

Dfinition

Chap.4 Le Paiement Electronique

Le protocole C-SET a t conu pour pallier l'absence de preuve physique de possession de la carte de paiement, qui est la faiblesse du SET. Il ajoute aux fondements de SET, qui restent les mmes, la prsence d'un lecteur de la puce (Chip) de la carte de crdit chez l'internaute. Fonctionnement Validation de la commande et activation du protocole. Le client introduit sa CB dans un terminal connect son PC. Transaction financire effectue, scurise selon le protocole C-SET.

4.

Les moyens de paiement en Tunisie

Figure 4-4 Les moyens de paiement en Tunisie

L'expertise de Montique-Tunisie se concentre autour : Des moyens de paiement : carte bancaire, carte affaire, co-branding, carte privative, carte de crdit etc. Des canaux de distribution : DAB/GAB, TPE, Internet, etc.

Les acteurs sont :

Chap.4 Le Paiement Electronique

4.1.1. Le serveur de paiement scuris Le Serveur de Paiement Scuris permet doffrir les autorisations sur les cartes bancaires, dans un environnement scuris ; toutes les cartes de paiement locales ou trangres sont acceptes. La fonction du SPS est dassurer le paiement scuris : identifier le commerant, prendre en charge les informations de la transaction, adresser la SMT une demande dautorisation et en fournir au client un reu et au commerant un acquittement pour livrer la marchandise. Les changes des instructions de paiement en ligne sont sous le protocole SSL (mode https). 4.1.2. Lentreprise : SMT Des interventions modulables. La conjugaison du stratgique et de l'oprationnel. Pour ce faire, la SMT dispose d : Un Centre dautorisation reli aux organismes internationaux, et oprationnel 24h/24, tous les jours de lanne; Un Centre serveur pour la gestion des TPEs et des DABs; Un Centre dembossage et dencodage des cartes.

Chap.4 Le Paiement Electronique

Figure 4-5 Infrastructure de la montique-tunisienne La scurit de SPS est associe trois qualits : Lintgrit La confidentialit La disponibilit.

La montique Tunisie : Rpond par dlgation aux demandes dautorisations parvenues du SPS. Fait le routage des demandes dautorisation vers les serveurs des banques locales. Fait le routage aux organismes internationaux (Visa et MasterCard) pour les cartes internationales.

Il mrite de signaler que les transactions internationales ont enregistr un chiffre d'affaires de 11 094 154,107DT soit 76% du chiffre d'affaires global (15 200 141,747DT), ce chiffre est ralis hauteur de 8,319,397,470DT par les cartes internationales VISA et 2,774,756,637DT par les cartes internationales MasterCard.

Chap.4 Le Paiement Electronique

Le chiffre d'affaires moyen des transactions autorises par jour est pass de 330DT pour les 3 premiers mois d'activit 24 363,397DT pour les 3 derniers mois, soit un chiffre d'affaires moyen par jour de 16 239,468DT pour les 31mois d'activit.

4.2.

Le e-dinar (www.e-dinar.poste.tn)
Porte monnaie lectronique. Multi-Usage : Internet : achat de biens et de services DAB : retrait dargent interbancaire TPE : paiement dans les magasins et commerces Carte de paiement prpaye, disponible dans les bureaux de Poste. Rechargeable : carte de recharge, par carte bancaire sur les DAB de la Poste (89), en espce dans les bureaux de poste. Cible : Grand Public, clients ayant ou non un compte courant bancaire ou postal Scurit et confidentialit : Code DAB et Code Internet (8 chiffres)

Le e-dinar est :

Figure 4-6 Le systme de paiement e-Dinar La figure 4-7 prsente quelques sites marchands partenaires.

Chap.4 Le Paiement Electronique

Figure 4-7 Sites Partenaires de la poste tunisienne Procdure daffiliation la plateforme e-dinar : Sur le plan administratif : Demande daffiliation : description du produit, compte CCP, responsable financier, responsable technique, moyens de paiements sollicits. Acquisition certificat lectronique : Agence Nationale de Certification Electronique (ANCE). Signature dun contrat.

Sur le plan technique : Dveloppement du site marchand (boutique en ligne), Intgration du kit marchand, Installation du certificat lectronique, Interface de suivi des transactions (Monitoring), Test et mise en production.

4.3.

e-Banking (www.ccpnet.poste.tn)
Services Site Web : extrait de compte, consultation solde, virements. Transferts de compte compte : payement des fournisseurs, salaire employes, factures, Securit (high level)

Les chques postaux en ligne : une solution de paiement scurise pour les grands montants.

Chap.4 Le Paiement Electronique

authentification : digital certificate Signature lectronique : solution reconnu lgalement Clients : Entreprises, banques, administrations, citoyen,

Figure 4-8 Architecture de la solution e-Banking

4.4.

e-Billing (Electronic Bill Presentment and Payment System)

(www.fatouranet.poste.tn)

Chap.4 Le Paiement Electronique

Figure 4-9 Architecture du e-Billing Services Consultation Payement Factures STEG, SONEDE, Tunisie Tlcom, Tunisiana Factures FSI : ADSL, TTN Clients Citoyens rsident en Tunisie ou ltranger Compagnies, entreprises Mode de paiement Carte UNIVERSEL Cartes bancaire Transferts : e-Banking system

4.5.

Track and Trace (www.rapidposte.poste.tn)

Electronic Track & Trace System of mail and express parcels.

Chap.4 Le Paiement Electronique

Figure 4-10 Suivi lectronique des envois rapide poste