Les paiements sécurisés A.

Introduction Les paiements sécurisés

Les enjeux
• Clé du développement du commerce électronique
Les paiements sécurisés • De nombreux acteurs intéressés par les paiements
sécurisés:
– Les internautes
– les sites marchands
– les banques
– les assurances
– …
• Objectif : sécuriser la transaction
monétaire en ligne
– Sécuriser le paiement
– Assurer la non-répudiation

Les paiements sécurisés Les paiements sécurisés

A. Introduction A. Introduction

Les risques Variables

• Le risque encouru après un paiement par CB non • Montant de la transaction
sécurisé est de voir la CB réutilisée à une fin • Fréquence de la transaction
frauduleuse
• Habitudes culturelles
• Processeurs plus rapides, haut débit plus courant,

échanges plus courants • Normes et équipements nationaux
• Aucun système fiable à 100% • Montant de l’investissement
– Pour le site web
• Les institutions financières sont réticentes à donner
– Pour l’internaute
les chiffres de la fraude
• Temps de réponse, disponibilité …
• Une clé du développement est de rassurer
l’internaute acheteur
instaurer la confiance • Commissions reversées
• assurances

Les paiements sécurisés Les paiements sécurisés

B. Solutions de paiements B. Solutions de paiements
1. Les moyens de paiement – le SSL

Solutions de paiements Le SSL

• Les moyens de cryptage des données
– Le SSL • Secure Socket Layer (couche de socket sécurisée)
(socket = méthode de communication +
• Les moyens de paiement entre un serveur et un ordinateur distant)
– Par carte bancaire https +
– Paypal
– Vocal ID
– Audiotel • Procédé de sécurisation des transactions effectuées via Internet
mis au point par Netscape, avec Mastercard, Bank of America,
– Paiement par FAI MCI et Silicon Graphics
– Carte Virtuelle Dynamique (CVD) ou Ecarte bleue
• Rebaptisé TLS (Transport Laye Security) après le rachat du
– Verified by Visa brevet en 2001
– Id Tronic
• Transparent pour l'utilisateur: c’est le navigateur qui assure la
– Sympass cryptographie, sans que l’internaute ne s’en préoccupe
– Autres
• Installé par défaut sur les navigateurs
• repose sur un procédé de cryptographie par clef privée/publique
(pour identification de l’internaute par les sites marchands ; cf. cours sur la signature
• Les assurances électronique - Thomas)
– FiaNet

1
 Les paiements sécurisés Les paiements sécurisés
B. Solutions de paiements B. Solutions de paiements
1. Les moyens de paiement – le SSL 1. Les moyens de paiement – le SSL

SSL SSL: principe (1)

Ne vous découvrez pas sur Internet
• Sans un cryptage SSL, les paquets d’informations circulent en
clair sur les réseaux.
• Imaginez que vous envoyiez un courrier postal dans une enveloppe
transparente. Toute personne qui peut y accéder a la possibilité de voir
les données. Si elles ont de la valeur, ces personnes pourront les
prendre ou les modifier. C’est pareil sans SSL !
• Comment savez-vous qu’un site Web est un représentant
authentique de l’entreprise à laquelle vous accordez votre
confiance ?
• Chaque certificat SSL est créé pour un serveur particulier dans un
domaine spécifique pour une entité professionnelle vérifiée.
• Comme un passeport ou un permis de conduire, un certificat SSL est
émis par une autorité de confiance. Lorsque la transaction SSL se
déroule, le navigateur demande l’authentification du serveur.
• Si l’information ne correspond pas ou si le certificat est périmé, le
navigateur affiche un message d’erreur.
La sécurisation des transactions par SSL est basée sur un
échange de clés entre client et serveur
Clés publiques et clés privées au service de la confidentialité
• Un certificat SSL se compose d’une clé publique et d’une clé privée.
La clé publique est utilisée pour le cryptage des informations
La clé privée est utilisée pour les décrypter.
Lorsqu’un navigateur se connecte à un domaine sécurisé, une connexion SSL
authentifie le serveur et le client, puis définit une méthode de cryptage et un
clé unique de session. Ils peuvent entamer une session sécurisée qui garantit
la confidentialité et l’intégrité du message.
Serveur marchand
cyberacheteur
Connexion SSL
Demande d’identification
Envoi de la liste des
cryptosystèmes supportés

Les paiements sécurisés Les paiements sécurisés

B. Solutions de paiements B. Solutions de paiements
1. Les moyens de paiement – le SSL 1. Les moyens de paiement – le SSL

SSL: principe (2) SSL: principe (3)

La sécurisation des transactions par SSL est basée sur un La sécurisation des transactions par SSL est basée sur un
échange de clés entre client et serveur échange de clés entre client et serveur

Envoi du certificat avec la clé Vérifie la validité du certificat

publique signée par l’autorité Créée un clé secrète (privée)
de certification Envoie le résultat
Envoi du nom du cryptosystème
commun le plus complexe

Les paiements sécurisés Les paiements sécurisés

B. Solutions de paiements B. Solutions de paiements
1. Les moyens de paiement – le SSL 1. Les moyens de paiement – la CB

SSL: principe (4) Paiement par carte bancaire

La sécurisation des transactions par SSL est basée sur un
échange de clés entre client et serveur
1. Commande, identification,choix du
mode de paiement

Communication avec une clé 3. Confirmation

commune connue des seules
deux entités
2. Règlement à la banque
(terminal de paiement web)

Le reste des transactions peut se faire à l'aide de clé

clé de session,
garantissant l'inté
l'intégrité
grité et la confidentialité
confidentialité des donné
données échangé
changées.

2
 Les paiements sécurisés Les paiements sécurisés
B. Solutions de paiements B. Solutions de paiements
1. Les moyens de paiement – la CB 1. Les moyens de paiement – Paypal

Paiement par carte bancaire Paypal

• = ‘le copain du paiement’
• Solution de paiement sécurisé utilisant l’email et la CB
• Assez lourd à mettre en place
• Évite de donner un n°de CB à un commerçant
– Impose l’installation sur le serveur du marchand de scripts
personnalisés: • Largement reconnu: (surtout aux USA)
• Coordonnées bancaires – principal réseau de paiements pour les sites d'enchères en ligne, et
• Option de paiement est de plus en plus utilisé sur le Net. Plus de 100 millions d'internautes
• Authentification ont aujourd'hui un compte Paypal.
• Variables liées à la transaction
– 3 millions de comptes marchands
• Accessible seulement aux porteurs de CB – 30 000 ouvertures de comptes par jour
• Suscite encore la méfiance – Racheté par ebay
• Le marchand est exposé à la fraude • Inscription gratuite
• coût à la transaction :
• Le serveur du commerçant est considéré comme un TPE – 30 centimes / transaction + 0,7 à 2,9 % du montant
(crédité rapidement et à moindre frais par la banque)
• Permet de facturer en fonction du stock (pas d’avoir, etc…)
• Accès international
• Pas d’installation logicielle ni matérielle pour le client ni le
marchand (http://www.paypal.com/fr)

Les paiements sécurisés Les paiements sécurisés

B. Solutions de paiements B. Solutions de paiements
1. Les moyens de paiement – Paypal 1. Les moyens de paiement – Paypal

Paypal Paypal
Le principe : associer à une adresse e-mail un compte Paypal, que 1. Commande, choix du
l'internaute provisionne avec une carte de crédit. Lorsqu'il effectue par mode de paiement
exemple un achat en ligne, il lui suffit d'envoyer un simple ordre de virement
par e-mail. L'argent est alors transféré du compte PayPal de l'acheteur au
compte PayPal du vendeur.
2. Demande de règlement
4. N°CB
(paiement)

1- Créer gratuitement son compte Paypal sur le site de Paypal. 3. Instructions de

2- Pour approvisionner ce compte, fournir un n°de vot re carte bancaire. paiement (par email)

Le principal avantage de cette solution est que les coordonnées bancaires

ne sont jamais communiquées au cours d'une transaction.
5. Validation et confirmation
Le système est-il si sûr ?
Globalement, le système est hautement sécurisé.
Mais il est l'objet depuis 2004 de tentatives de phishing.

Les paiements sécurisés Les paiements sécurisés

B. Solutions de paiements B. Solutions de paiements
1. Les moyens de paiement – VocalID 1. Les moyens de paiement – VocalID

VocalID VocalID:
VocalID: fonctionnement
1. Connexion au serveur
internaute
• Développée par Elva, une société franco-américaine 2. Message d’accueil
• Carte équipée d’une puce, d’une pile et d’un émetteur de son
(interface acoustique) 3. Émission de la séquence sonore

• Utilisable par les lecteurs physiques 4. Authentification de la carte

• Ne nécessite qu’un faible investissement pour l’internaute (micro)
5. Code confidentiel (optionnel)
• Utilise le téléphone: solution globale
• Ne génère qu’une seule fois la même fréquence
6. Authentification de l’utilisateur
• Le site marchand doit s’équiper d’un plug-in de décryptage

7. Accès aux
services, achats

3
 Les paiements sécurisés Les paiements sécurisés
B. Solutions de paiements B. Solutions de paiements
1. Les moyens de paiement – Audiotel 1. Les moyens de paiement – Audiotel

Audiotel Audiotel
1. L’internaute cherche à Solution très souple:
afficher des pages payantes
– Pas de CB nécessaire
– Le client paie par sa facture de téléphone
3. Après saisie du code, – Adapté au micropaiement
les pages payantes
s’affichent – Configuration ample:
• Tarifs dégressifs
• Essai gratuit
• Nombre de pages affichées
• Durée de validité du code…
2. L’internaute appelle
4. Le serveur auditel – Taux de reversement intéressant (env 70%)
rémunère le site marchand
un numéro surtaxé et – Système peu contraignant et fiable
obtient un code

Disponible seulement en France (et certains pays

européens)
Ex: activ’permis

Les paiements sécurisés Les paiements sécurisés

B. Solutions de paiements B. Solutions de paiements
1. Les moyens de paiement – FAI 1. Les moyens de paiement – la CVD

Paiement par FAI La Carte Virtuelle Dynamique

• très simple d'utilisation.
ecarte bleue
• permet de commander des produits ou des services sans avoir à les • Développé par Orbiscom (Orbis + France Telecom)
régler directement au moment de l'achat. • Logiciel téléchargé / CD-ROM
• le fournisseur d'accès Internet re-facturera l’internaute sur sa facture.
• Raccourci dans la barre de tâches toujours disponible
• l'internaute
– ne s’identifie pas (juste login / mot de passe d'abonné de FAI) • Génère un numéro de CB différent à chaque paiement
– ne laisse pas de numéro de carte bancaire • 70 000 utilisateurs, boom avant les fêtes
• Système de paiement fiable
• Augmente la fréquence d’achat pour les internautes déjà acheteurs
• adapté aux petites sommes
• seuls deux FAI proposent ce procédé (Wanadoo et Club Internet) • Paiement au forfait, ou à la commission, ou les deux
• Peu de sites marchands proposent cette solution.
• commissions prélevées par les opérateurs: elles sont de l'ordre de 5 1) Il faut autant de CVD qu’on a de banques
à 8% 2) Pas possible pour les retraits d’articles avec présentation de la CB (SNCF…)
3) Problème de gestion en cas de stock insuffisant (avoir, recrédit…)
• coût de mise en place pour les sites marchands: environ 360 euros
par an plus 1500 euros d'installation. 1) Numéro imprenable (inutilisable): très rassurant
2) Internationale
3) Pas d’investissement pour le marchand
4) Pas d’achat pour le client

Les paiements sécurisés Les paiements sécurisés

B. Solutions de paiements B. Solutions de paiements
1. Les moyens de paiement – la CVD 1. Les moyens de paiement – Verified by Visa

La CVD: principe Verified by Visa

Banque du client
1. Demande de paiement
• Ajoute ‘ce que vous savez’ à ‘ce que vous avez’
• Ajoute un mot de passe au n°de CB
• Évite le détournement de la CB: rend le numéro à 16 chiffres
2. Génération & envoi des numéros
seul inutile
(CB + Clé + date expiration)
• Gratuit
• Pas de matériel ni de logiciel supplémentaire nécessaire
3. Envoi des numéros
6. Vérification & 5. Envoi des
• Simple à utiliser pour l’internaute
envoi de l’accord numéros

4. Envoi des numéros

Banque du marchand

4
 Les paiements sécurisés Les paiements sécurisés
B. Solutions de paiements B. Solutions de paiements
1. Les moyens de paiement – Verified by Visa 2. Les assurances

Verified by Visa Les assurances

• Accessible seulement: • Le volume des transactions en ligne explose
– Aux détenteurs de cartes VISA • On prévoit que les grands risques financiers du
– Aux sites web participant XXIème siècle seront liés aux paiements en ligne
• Les popup killers doivent être désactivés • Aucun paiement n’est sécurisé à 100%
• Accessible surtout aux USA • Solution: assurer les transactions
• Protège le commerçant et le consommateur… mais • Assure la transaction
rend la banque vulnérable • Améliore la confiance de l’internaute
• Les assurances positionnées ont une envergure
mondiale (AXA, Commercial Union…)

Les paiements sécurisés Les paiements sécurisés

B. Solutions de paiements B. Solutions de paiements
2. Les assurances - Fianet 2. Les assurances - Fianet

Fianet Fia Net

• Issu de FIA, Française Interprofessionnelle d’Assurance, spécialisé dans les
risques spéciaux
• Les sites assurés auprès de FIA NET:
• Structure indépendante depuis 1999
– Proposent tous un mode de paiement sécurisé
• Le contrat Risque Internet de FIA-NET est garanti auprès du groupe AXA
• Un site machand souscrit à l’assurance FIA NET . – n’ont pas d’infrastructure à mettre en place, d’achat de
matériel ou de logiciel
• Les clients sont assurés contre les détournement de paiements
(remboursés en cas de fraude) au moment de la transaction ou contre le – sont environ un millier (parmi les plus gros marchands),
pillage des bases de données surtout des français (pixmania, redoute, Grosbill…)
• TOUTES les utilisations frauduleuses de la CB sont assurées, dès le – Ont subi un audit de qualité et de sécurité
1er centime (jusqu’à 7622 euros), partout dans le monde – Sont des entreprises déclarées
• Le client ne paie pas
– Respectent la législation et la déontologie de la VPC
• Achats garantis sans restrictions de frontières
• du site marchand
– Accordent une aide juridique auprès des clients en cas de
• de la banque du site
litige avec eux
• de l’acheteur – Offrent un droit de rétractation de 7 jours

Les paiements sécurisés Les paiements sécurisés

B. Solutions de paiements B. Solutions de paiements
2. Autres 2. Autres

autres
• Les chèques représentent 15% des paiements en ligne. Rome : la ville où
où l'on paye les
= une part plutôt stable qui implique une lourde organisation.
transports en commun avec son mobile
Soit environ 2/3 des marchands.
Mais il peut atteindre 55% des paiements comme chez Télémarket
ou représenter moins de 1% comme pour la Fnac, 2 extrêmes qui
s’expliquent, dans le premier cas par la possibilité donnée aux • Après une période d’essai, ATAC, la
internautes de payer à la livraison, et dans le second, par la mise
en place d’un seuil d’achat de 140 euros. société en charge des transports en
commun à Rome, a installé un
>>> d’automatiser les procédures comme Cdiscount qui affecte à
chaque internaute payant par chèque un code barre qu’il doit service permettant de payer son
imprimer et joindre à son paiement pour en faciliter le traitement. ticket de métro, de bus ou de tram
D’autres ne proposent pas ce mode de paiement à cause de la grâce à son téléphone portable.
lourdeur de l’organisation ou de risques d’impayés. C’est le cas de
la Camif ou des 3 Suisses […].
• Extrait de la lettre Stratégie Internet, n°78 – septembre 03

5
 Les paiements sécurisés Les paiements sécurisés
B. Solutions de paiements B. Solutions de paiements
2. Autres 2. Autres

Paiement mobile sans contact SSl + SMS

en Basse-
Basse-Normandie
IdTronic
BNP Paribas, Bouygues Telecom, Groupe Crédit Mutuel • L’internaute ne donne que son N°perso d’inscriptio n à ID-
CIC, Orange et SFR
tester une solution commune de paiement Tronic et le code reçu par SMS.
par mobile sans contact. • Inscription 1 fois pour toute sur ID-Tronic >>> réception du
Phase Pilote envisagée avant la fin de l’année 2007. code ID-Tronic qui servira à récupérer un sceau. Ce sceau
sera à apposer pour le paiement en ligne sur l’une des galerie
Application de paiement bancaire installée sur la carte SIM des
marchande référencée par la Caisse d’Epargne.
Utilisateurs. • Pas de saisie de N°de CB en ligne
Ce projet, placé sous l’égide du Pôle de
Compétitivité TES] de Basse - Normandie » démo d’inscription
» démo de paiement

Les paiements sécurisés Les paiements sécurisés

B. Solutions de paiements B. Solutions de paiements
2. Autres 2. Autres

SYMPASS SYMPASS
Un principe simple http://www.sympass.com
http://www.sympass.com/
/
Couper une information en deux parties disjointes n'ayant pas de valeur prise
séparément. » > démo Cdiscount
Saisir ces données sur deux claviers différents.
Véhiculer ces informations sur deux réseaux distincts.
Synchroniser les deux flux d'information.
Réconcilier ces informations uniquement là où elles doivent être réconciliées.

Sécurisation sans SSL

L'utilisateur entre la première moitié de son numéro sur son téléphone imode.
Il entre le numéro du téléphone a appelé
Le téléphone sonne.
Il entre la deuxième partie de son numéro de carte sur le clavier du téléphone.
La sécurité est optimale si deux téléphones sont utilisés!