Table des matières. Avant-propos

Transcription

1 Table des matières Avant-propos V 1 Qu'est-ce que le commerce électronique? 1.1 Définition du commerce électronique Catégories du commerce électronique Exemples dans le commerce interentreprise Exemples dans le commerce grand public Exemples dans le commerce de proximité et de paiement sur automate Exemples dans le commerce entre particuliers L'effet «Internet» ebay Amazon Stamps.com TM et Neopost Internet et la sécurité des transactions La culture et le rôle d'internet Quelques observations sur le tapage autour Internet Infrastructure du commerce électronique Accès au réseau Accès par liaisons fixes Accès sans fil Multiplexage du trafic Les conséquences du commerce électronique Clients Fournisseurs Substituts Nouveaux entrants Les banques Rôle des Etats Récapitulatif 24 2 La monnaie et les systèmes de paiement 2.1 La monnaie et ses propriétés Les instruments de paiement Espèces 30

2 2.2.2 Chèques Virements Avis de prélèvement Titres interbancaires de paiement Les effets de commerce Les cartes de paiement Les monnaies et les instruments de paiement dématérialisés La monnaie électronique La monnaie virtuelle La monnaie numérique Porte-monnaie et porte-jeton électroniques Porte-monnaie et porte-jeton virtuels Diffusion des porte-monnaie électroniques Propriétés transactionnelles des monnaies dématérialisées Comparaison entre les instruments de paiement Pratique de la monnaie dématérialisée Protocoles des systèmes de monnaie dématérialisée Paiement direct au commerçant Paiement via un intermédiaire Les systèmes de compensation bancaire Etat-Unis Royaume-Uni France Récapitulatif 64 3 Architectures et algorithmes de sécurisation 3.1 Sécurisation des transactions commerciales Sécurité des réseaux financiers ouverts Objectifs de la sécurisation Modèle OSI de sécurisation cryptographique Le modèle de référence OSI Services de sécurisation : définitions et emplacement Services de sécurité de la couche liaison Services de sécurité de la couche réseau Service de sécurité de la couche application La confidentialité des messages Cryptographie symétrique Cryptographie à clé publique L'intégrité des données Vérification de l'intégrité avec une fonction de hachage à sens unique Vérification de l'intégrité avec la cryptographie à clé publique Vérification de l'intégrité avec la cryptographie symétrique Identification des participants Authentification des participants Contrôle de l'accès Déni de service Non-répudiation Gestion sécurisée des clés de chiffrement loi Contraintes de la sécurisation des clés Echange de clés secrètes: Kerberos 103

3 Echange de clés publiques : ISAKMP (Internet Security Association and Key Management Protocol) Gestion des certificats Principes d'opération Description d'un certificat X Itinéraire de certification Lézardes des services de sécurisation Récapitulatif 133 Annexe 3.1: Notions de chiffrement symétrique Modes d'utilisation des algorithmes en bloc AES DES Triple DES I DEA SKIPJACK Camellia 141 Annexe 3.11 Notions de chiffrement asymétrique RSA Les standards PKCS PGP Cryptographie sur courbe elliptique 145 Annexe Principe de l'algorithme de signature numérique (DSA) 146 Annexe 3.IV Données comparatives IV.1 Performance pour JSAFE IV.2 Performance avec S/WAN IV.3 Performance avec BSAFE TM IV.4 Performance pour BSAFE TM SSL (Secure Sockets Layer) et TLS (Transport Layer Security) 4.1 Architecture Les services de sécurisation de SSUTLS L'authentification La confidentialité L'intégrité Les sous-protocoles de SSL Déroulement des échanges SSL/TLS Calculs de paramètres Le protocole Handshake Le protocole ChangeCipherSpec (CCS) Le protocole Record Le protocole Alert Performance de SSUTLS Accélérateurs SSL Réponses aux blocs Record de type inconnu Implémentations Récapitulatif 186 Annexe 4.1 Structures des messages du Handshake 187

4 5 Sécurisation des échanges sans fil 5.1 WTLS (Wireless Transport Layer Security) Architecture De TLS à WTLS Problème de la mise en service de WTLS Dispositions possibles de la passerelle WAP/WEB ITLS (Integrated Transport Layer Security) NAETEA (NetworkAssisted End- To-End Authentication) Adaptation de TLS aux mobiles Récapitulatif Le protocole SET 6.1 Architecture Sécurisation Algorithmes cryptologiques utilisés La méthode de la signature duale La certification Achat Procédures facultatives Réalisations Evaluation Récapitulatif Sécurisation hybride des paiements en ligne 7.1 C-SET et Cyber-COMM Architecture de C-SET Inscription Distribution du logiciel de paiement Achat Sécurisation Interopérabilité SET/C-SET Architecture hybride TLS (SSL)/SET Fonctionnement hybride SET/SSL Déroulement de la transaction Evaluation D Secure Architecture de 3-D Secure Inscription Achat et paiement Acquisition et compensation Sécurisation Paiements par CD-ROM Récapitulatif Micropaiements et commerce de proximité 8.1 Caractéristiques des systèmes de micropaiement Le prépaiement La vérification hors ligne L'allégement de la charge du traitement numérique Le regroupement des compensations 267

5 8.2 CEPS (Common electronic purse specifications - Spécifications communes de porte-monnaie électronique) Authentification du porte-monnaie par l'émetteur Chargement de la valeur Paiement de proximité ECML (Electronic Commerce Modeling Language - Langage de modélisation pour le commerce électronique) Advantis Chipper FeliCa GeldKarte Inscription et chargement de valeur Paiement Sécurisation Mondex Chargement de valeur Paiement Sécurisation Expériences pilotes Proton Chargement de la valeur Paiement Applications internationales Comparaison des porte-monnaie électroniques Récapitulatif Micropaiements à distance 9.1 Les systèmes de la première génération Sécurisation sans cryptage : First Virtual NetBill KLELine Odysseo FIRSTGATE Click&Buy BANKPASS Web TM Millicent PayWord MicroMint ecoin Comparaison entre les systèmes de télé-micropaiement de la première génération Les systèmes de télé-micropaiement de la deuxième génération Les cartes virtuelles dynamiques (CVD) Les systèmes de post-paiement par kiosque Les cartes prépayées Les porte-monnaie virtuels Les systèmes de télé-micropaiement de la troisième génération i - mode M-pay 321

6 9.4.3 Mobile2Pay MobilMat Mobipay Paybox wwwbon Les kiosques de troisième génération Récapitulatif La monnaie numérique 10.1 Principes de base Non-traçabilité du débiteur Non-traçabilité du créancier Non-traçabilité réciproque du débiteur et du créancier Description des coupures numériques Détection du faux monnayage (la dépense multiple) DigiCash (Ecash) I nscription et chargement de valeur Achat et paiement Compensation Livraison NETCASH I nscription et chargement de valeur Achat Extensions de NetCash Evaluation Récapitulatif Le chèque dématérialisé 11.1 Traitement classique du chèque papier Renouvellement du chéquier Traitement des chèques papier Traitement dématérialisé du chèque papier Les images chèques et les chèques tronqués Autorisation de chèques au point de vente Les chèques images NetCheque I nscription Paiement et compensation bancaire Bank Internet Payment System (BIPS) Types de transactions Architecture echeck Paiement et compensation Représentation de echeck Comparaison des chèques virtuels et des cartes bancaires Récapitulatif La sécurisation des cartes à puce 12.1 Rappel historique Applications 366

7 Cartes à puce à contacts Cartes à puce sans contact Description des cartes à puce Types de mémoire Systèmes d'exploitation Normes des cartes à puce Normes ISO pour les cartes à contacts Normes pour les cartes sans contact EMV (EuroPay, MasterCard, Visa) Sécurisation des cartes à puce Sécurisation pendant la production Sécurisation physique de la carte pendant l'utilisation Sécurisation logique de la carte pendant l'utilisation Exemples d'authentification Evaluation Cartes à puce polyvalentes Le système de fichier ISO La carte d'identité électronique suédoise Gestion des applications dans une carte polyvalente Intégration des cartes à puce aux ordinateurs OpenCard Framework PC/SC Limites de la sécurisation Les attaques logiques (non invasives) Les attaques physiques (destructrices) Les attaques dues aux carences des réalisations Les attaques contre le canal de communication puce - lecteur Récapitulatif Le commerce interentreprise 13.1 Vue d'ensemble du commerce interentreprise Petite histoire du commerce électronique interentreprise L'ère des pionniers La normalisation L'ère de l'internet Difficultés du commerce électronique interentreprise Exemples d'applications du commerce interentreprise Applications bancaires Applications aéronautiques Applications dans l'industrie automobile Les systèmes de commerce électronique interentreprise Génération et réception des données structurées Gestion de la diffusion Gestion de la sécurité Gestion de la conversion des échanges L'EDI alphanumérique (traditionnel) ANSI X EDIFACT Comparaison entre les structures d'edifact et de X Messageries de l'edi X

8 SMTP/MIME Sécurisation de l'edi Sécurisation de X Sécurisation de l'edifact Sécurisation de l'edi sur SMTP/MIME Empilements protocolaires pour l'edi Interopérabilité de l'edi sécurisé avec le protocole SUIVIE L'EDI et les virements bancaires (transferts électroniques de fonds) Virements par EDIFACT Virements par X La dématérialisation des factures L'EDI dans les processus industriels Normes pour la structuration des documents SGML ( Standard Generalized Markup Language) XML (Extensible Markup Language) Nouveaux vocabulaires en XML Convergence de XML et de l'edi alphanumérique Intégration EDI/XML par opérateurs spécialisés Prolongements en XML de l'edi La refonte du commerce électronique interentreprise Les services Web WSDL (Web Services Description Language) UDDI ( Universal Description, Discovery and lntegration) SOAP ( Simple ObjectAccess Protocol) Traitement des messages Sécurité Qualité du service Evaluation Electronic Business XML (ebxml) Normalisation des échanges du commerce électronique interenreprise EDI/EDIFACT Intégration XML/EDI XML et ses dérivés Normalisation par métier Récapitulatif Systèmes de commerce électronique 14.1 SEMPER Architecture de SEMPER Vocabulaire de SEMPER pour les paiements Le gestionnaire de paiement CAFE JEPI PICS et P3P Analyse du comportement des usagers Cartes de fidélisation Considérations sur la qualité du service Récapitulatif 474

9 15 Le commerce électronique dans la société 15.1 I nfrastructure du commerce électronique Harmonisation et normalisation Emission de la monnaie électronique La propriété intellectuelle comme frein à l'innovation Surveillance électronique et droit à l'opacité Censure et filtrage Taxation du commerce électronique Prévention de la fraude Les dangers de la dématérialisation des archives Le commerce électronique et l'internet Récapitulatif 490 Sigles 491 Pour en savoir plus Général 503 Chiffrement 503 KERBEROS 504 Certification 504 Biométrie 504 I nformations génerales 504 Normalisation et standardisation 505 Exemples de produits disponibles 505 SSL/TLS/WTLS 506 Porte-monnaie et porte-jeton 506 Paiements en ligne 506 Chèques électroniques et virtuels 506 Cartes à puce ou à microprocesseur 507 Commerce interentreprise 507 EDI 507 Intégration XML/EDI 507 SEMPER 509 Organismes de Iabelisation 509 Classification du contenu 509 Défense des droits et libertés civiques 509 Bibliographie 511 I ndex 547