L'enjeu primordial du commerce electronique? La securite! Benoit Vanderstichelen, Ancien Directeur general de l'i.e.c., Tax Director Arthur Andersen Apres que les ministres des telecommunications europeens aient adopte une directive imposant a chaque pays de l'union d'introduire une legislation reconnaissant la signature digitale comme equivalente a la signature ecrite, le commerce electronique n'a jamais ete autant d'actualite. Il n'y a qu'a voir les derniers chiffres. En Europe, les pionniers du commerce electronique ne sont pas que des start-up. On trouve parmi eux de grands groupes des secteurs de l'energie, des telecommunications ou de la finance, comme TotalFina ou Migrosbank, etablissement bancaire suisse. Ce constat, qui marque une difference notable avec le developpement du commerce electronique aux Etats-Unis, a surpris Vernon ELLIS, associe d'andersen Consulting, qui a rendu publique, l'an dernier, l'enquete «eeurope» sur les perspectives du commerce electronique. Durant le mois de mai 1999, le cabinet international a interviewe quelque 350 dirigeants d'entreprise dans 11 pays europeens, et 60 aux Etats-Unis. Leurs reponses, associees aux constats des consultants chez quelques grands clients, ont permis de degager quelques tendances sur le developpement du commerce electronique en Europe. Ainsi, Andersen Consulting affirme qu' «un changement spectaculaire s' est opere dans le paysage europeen du commerce electronique». L'activite, qui restait l'an passe cantonnee aux fonctions commerciales, touche aujourd'hui <des approvisionnements, la chafne logistique, la finance, voire le developpement de nouveaux produits». Andersen cite l'exemple de TotalFina, qui, en donnant a ses clients de l' activite raffinage un acces direct a ses services et a ses systemes de livraison, a reduit de 20% a 30% les couts lies a la gestion des commandes. Le cabinet prevoit un developpement important pour les cinq annees a venir, qui conduirait 90% des entreprises a utiliser le commerce electronique pour leurs services commerciaux et, pour 83% d' entre elles, leur approvisionnement. Ces chiffres optimistes viennent de declarations d'intention des chefs d'entreprise qui vont dans le meme sens. Pres des deux tiers d'entre eux (64%) considereraient aujourd'hui que le commerce electronique procure un reel avantage competitif, contre 51 % I' an passe. lis seraient 44% a avoir elabore des plans pour tirer profit de ce nouveau type de commerce, contre 31 % en 1998. D' apres I' etude, le developpement du paysage electronique europeen contribue largement a celui du commerce electronique. L' emergence des reseaux cables, numeriques et des transmissions par satellite serait en train de revolutionner l'infrastructure. Et la predominance de I' Europe dans la telephonie mobile et la television numerique interactive devrait se renforcer. «eeurope» envisage un 499
L'ENJEU PRIMORDIAL DU COMMERCE ELECTRONIQUE? LA SECURITE! marche europeen des communications virtuelles aux alentours de 430 milliards de dollars (383 milliards d'euros) d'ici a 2003. Acette date, le nombre d'internautes europeens devrait atteindre 170 millions, soit autant qu' aux Etats-Unis. Pourtant, les chefs d'entreprise continuent a douter. En Europe, 85% d'entre eux estimaient que leur societe «ne dispose pas des competences necessaires pour exploiter avec succes le potentiel du commerce electronique». Rien de bien inquietant lorsqu'on sait qu'ils sont 90% a eprouver le meme sentiment outre-atlantique! Mais, pour 83% des chefs d' entreprise interroges, la culture de leur entreprise n' est pas compatible avec les changements que leur imposerait la nouvelle economie pour rester competitifs. Enfin, quelques differences se sont fait jour de part et d' autre de l' Atlantique dans I' etude «eeurope». Les Europeens resteraient ainsi assez nombreux a considerer le commerce electronique «isolbnent», lui deniant meme a 45% un role de pour resoudre leurs problemes et les aider a atteindre leurs objectifs. Du pain sur la planche en prevision, pour le cabinet d' origine anglo-saxonne, qui privilegie une approche integree du changement. Les progres technologiques effectues ces derniers mois et le developpement exponentiel des sites marchands qui y est associe, imposent aux gouvernements d'introduire de nouvelles lois prenant en compte les imperatifs du commerce 'virtuel'. Securite manquante Mais voila le «hic»: malgre des progres legislatifs sensibles, un grand nombre de sites marchands demarrent ou continuent de fonctionner en utilisant des technologies a risques, comme le fait remarquer le consultant Laurent MELLINGER, auteur d'une etude tres bien structuree sur ce theme et dont nous reprenons les points des. Ainsi, affirme-t-il, ne vous laissez pas impressionner par des messages du type 'Ce site est totalement securise' ou encore 'Sur a 100%', la plupart des sites europeens utilisent encore un chiffrement faible pour faire transiter votre carte de credit sur Internet. De maniere generale, les transactions electroniques securisees necessitent quatre precautions: Authentification Autorisation Non-repudiation Confidentialite 500
L'ENJEU PRIMORDIAL DU COMMERCE ELECTRONIQUE? LA SECURITE' Authentification L'authentification pennet d'identifier les parties en presence lors d'une transaction. Sur Internet il est imperatif d' etre sur que le serveur sur lequell' on se connecte pour une transaction financiere est bien celui dont on a tape l' adresse dans son navigateur. De meme, lorsque vous faites un virement financier sur votre compte bancaire en ligne, il est imperatif que la banque soit sure que vous etes bien le detenteur du compte debite. La technologie la plus utilisee a l'heure actuelle pour realiser l'authentification est la signature digitale. Elle est comparable a la signature ecrite apposee au bas d'un document. Toutefois, il est possible pour une signature ecrite d'etre contrefaite: combien d' entre nous n' ont pas un jour signe en lieu et place de leurs parents un mot d' excuse pour eviter la terrible interro de maths? A l' ere de la signature digitale, le travail d' artiste des jeunes ecoliers va devenir impossible. En effet, par un mecanisme de lien de confiance, votre signature digitale est certifiee confonne par une autorite tierce. Comme si, en fait, votre signature sur le livret scolaire etait contresignee par une autorite supreme certifiant que c' est bien votre signature qui est apposee au bas de la page, et non pas une pale copie. La signature digitale peut se presenter sous plusieurs formes allant d'un fichier sur le disque dur d'un PC ou sur une carte a puce, aux identifications biometriques par la voix ou I' empreinte digitale. Autorisation Afin de reguler les acces aux informations mises en ligne, il est necessaire de pro ceder a un filtrage des communications. Il serait malvenu que Madame X soit autorisee a consulter le solde de Monsieur Y et d' effectuer des virements a partir d'un compte qui n'est pas le sien. Pour eviter ce genre de desagrement, une serie de regles de securite doit etre mise en place autorisant les acces aux ressources en fonction de l'identite du demandeur et/ou son appartenance a un groupe d'acces. Dans certains cas, l'utilisateur devra fournir un code d'acces en plus d'avoir a prouver son identite pour effectuer une operation. Par exemple, en utilisant sa signature digitale Madame X peut consulter les tarifs de location de voiture dont beneficient les employes de la societe pour laquelle elle travaille, mais pour effectuer une reservation et un paiement en ligne, elle devra fournir la preuve qu'elle est autorisee a le faire en fournissant un code d'acces specifique. Ces filtrages sont effectues d' une part par les firewalls, mais egalement par les serveurs d'application gerant la logique transactionnelle. 501
L'ENJEU PRIMORDIAL DU COMMERCE ELECTRONIQUE? LA SECURITE! N on-repudiation Dans toutes les salles de marches, les conversations telephoniques des dealers sont enregistrees et stockees en permanence. C' est une precaution simple qui permet de prouver qu'un ordre a bien ete passe ou n'a pas ete passe en cas de litige. Dans le cas des transactions en ligne, le principe est le meme, en cas de contestation du client, le serveur doit pouvoir prouver qu'une transaction a bien ete effectuee. Pour ce faire, le serveur enregistre toutes les operations effectuees, y associe le client auteur de la modification, et ce de maniere irrefutable. Ainsi, si Monsieur Y fait un virement de 100 sur le compte de Madame X, l'information doit etre stockee de maniere a prouver irremediablement que la transaction a bien eu lieu, de maniere a ce que Monsieur Y ne puisse pas nier avoir fait le virement. La mise en reuvre de cette logique se fait au niveau de l' application gerant les transactions. Confidentialite Dans certains westerns I' on voit des bandits grimper aux poteaux telegraphiques, brancher un casque sur deux fils et intercepter les communications du telegraphe. Bien que plus d'un siecle separe I'Internet de cette scene, le principe est toujours d' actualite. Les outils et les methodes ont change et les bandits de l' epoque sont les ancetres des crackers de nos jours. Il n'existe qu'une solution pour parer a ce que l'on appelle assez explicitement le 'sniffing': le chiffrement des communications. Le chiffrement ne permet pas d' empecher la recuperation des informations, mais il en empeche la comprehension. Une attaque sur une communication chiffree est possible, mais dans ce cas le but du jeu devient le dechiffrement. Toute la protection repose alors sur la force du chiffrement. Le chiffrement de donnees transactionnelles repose sur un algorithme dit 'symetrique', c' est -a-dire que la meme cle permet le chiffrement et le dechiffrement. Le protocole SSL (Secure Socket Layer) utilise un algorithme symetrique (DES). Une attaque sur ce genre d'algorithme consiste tout simplement a essayer toutes les cles possibles, jusqu' a trouver la bonne, et plus la cle est longue, plus il y a de combinaisons possibles. C'est pourquoi un chiffrement de 128 bits est plus sur qu'un chiffrement de 40 bits, comme le montre la figure 1. 502
L'ENJEU PRIMORDIAL DU COMMERCE ELECTRONIQUE? LA SECURITE! Longueur Pirate Petit Reseau Grande Agence de ele individuel groupe universitaire compagnie militaire (bits) 40 Semaines Jours Heures Millisecondes Microsecondes 56 Siecles Decades Annees Heures Secondes 64 Millenaires Siecles Decades Jours Minutes 80 Impossible Impossible Impossible Siecles Siecles 128 Impossible Impossible Impossible Impossible Millenaires Figure 1: Dun~e necessaire pour «casser» un algorithme a cle symetrique, base sur la technologie existante en 1997. Extrait de Digital Certificates, J. FEGHI, J. FEGHI, P. WILLIAMS. La longueur de cle offrant une securite suffisante pour des transactions financieres varie d'un minimum de 56 bits jusqu'a 128 bits qui devient le standard. La longueur de la cle est choisie en fonction de la duree pendant laquelle l'information doit rester secrete (sachant que la technologie evolue, et que donc, les temps de calcul diminuent). En Europe, certains problemes legaux empechent encore l'utilisation de cles de longueur superieure a 40 bits avec des algorithmes developpes aux Etats-Unis. 11 est toutefois possible d'utiliser des algorithmes developpes hors des Etats-Unis pour beneficier de la technologie 128 bits. Ces quatre principes sont donc une base a respecter pour application gerant des transactions utilisant Internet comme medium. Afin de le verifier Laurent MELLINGER prend comme exemple une commande sur un site de librairie, et voyons comment dans la plupart des cas, ces regles ne sont pas toutes respectees. La premiere etape consiste pour le client a choisir ses articles et passer la commande. 11 entre sur le site 'securise' du marchand sur le protocole SSL. A ce moment le serveur envoie son certificat (sa signature) au client afin de prouver qu'il est bien le serveur de paiement de la librairie. Le probleme est que la connexion soi-disant securisee se fait avec une cle de chiffrement de 40 bits. Elle devrait se faire au minimum avec une cle de 56 bits. Ensuite le client entre ses coordonnees ainsi que son numero de carte de credit. Toutefois le client n'est pas authentifie, rien ne prouve qu'il n'utilise pas la carte de credit de son pere, par exemple. Enfin, le serveur re~oit le numero de carte de credit et se charge de la connexion avec I' organisme de clearing afin de verifier que I' argent de la transaction est disponible. Et donc le serveur re~oit le numero de carte. Si quelqu'un pirate ce 503
L'ENJEU PRIMORDIAL DU COMMERCE ELECTRONIQUE? LA SECURITE' serveur, il peut recuperer le numero de carte de credit et I' utiliser sur d' autres sites, La connexion devrait se faire directement entre le client et le centre de clearing. Si I' on recapitule cette transaction, voyons quels sont les principes respectes: Authentification Autorisation Non-repudiation Confidentialite Cote serveur seulement, le client n' a pas ete authentifie Pas de restriction dans ce cas, car le site est public Le client n'est pas authentifie donc rien ne prouve que c'est bien lui qui a donne son numero de carte de credit Le chiffrement utilise est tout a fait insuffisant. La plupart des cartes bancaires ont une duree de vie de 2 ans Il est donc clair que ce genre de transaction courante sur le web dispose d'un niveau de securite relativement faible. La technologie evolue et les applicatifs en place aussi bien du cote des serveurs marchands que des organismes de clearing tendent vers des solutions respectant les quatre principes de base. Mais le fait est qu'a l'heure actuelle, commander ses!ivres par Internet comporte encore des risques dans la majorite des cas. Et it l'avenir? Que retenir de cette petite etude de Laurent MELLINGER? Qu'en matiere de commerce electronique, beaucoup - malheureusement - reste encore a faire. Non seulement dans les rapports entreprises-consommateurs (BtoC) mais egalement dans le sens contribuables-administration (fiscale notamment). En Belgique, le Iegislateur travaille d'arrache-pied pour introduire la signature digitale dans notre arsenal juridique. Combine a une meilleure securite des transactions sur Internet, ce serait le prelude a de grands changements et accessoirement, a un gain de temps pour les citoyens et une reaffectation du personnel administratif vers des taches plus productives. Qui s'en plaindra? 504