Les paiements sécurisés

De
Publié par

Les paiements sécurisés

Publié le : mardi 5 juillet 2011
Lecture(s) : 78
Nombre de pages : 6
Voir plus Voir moins
  
 
 
  
• Le risque encouru après un paiement par CB non sécurisé est de voir la CB réutilisée à une fin frauduleuse • Processeurs plus rapides, haut débit plus courant, échanges plus courants • Aucun système fiable à 100% • Les institutions financières sont réticentes à donner les chiffres de la fraude • Une clé du développement est de rassurer l’internaute acheteurinstaurer la confiance
   
  
  
• Les moyens de cryptage des données – Le SSL • Les moyens de paiement – Par carte bancaire – Paypal – Vocal ID – Audiotel – Paiement par FAI – Carte Virtuelle Dynamique (CVD) ou Ecarte bleue – Verified by Visa – Id Tronic – Sympass – Autres
• Les assurances – FiaNet
 
  
 • Clé du développement du commerce électronique • De nombreux acteurs intéressés par les paiements  sécurisés: – Les internautes – les sites marchands – les banques – les assurances – … Objectif :sécuriser la transaction monétaire en ligne – Sécuriser le paiement – Assurer la non-répudiation
 

Montant de la transaction Fréquence de la transaction Habitudes culturelles Normes et équipements nationaux Montant de l’investissement – Pour le site web – Pour l’internaute Temps de réponse, disponibilité … Commissions reversées assurances
  
               Secure Socket Layer(couche de socket sécurisée) (socket = méthode de communication + https +entre un serveur et un ordinateur distant)
• Procédé de sécurisation des transactions effectuées via Internet mis au point parpeacsteN, avecradrcteasM,Bank of America, MCIetSilicon Graphics • RebaptiséTLS(Transport Laye Security) après le rachat du brevet en 2001 • Transparent pour l'utilisateur:c’est le navigateur qui assure la cryptographie, sans que l’internaute ne s’en préoccupe • Installé par défaut sur les navigateurs • repose sur un procédé de cryptographie par clef pri vée/publique (pour identification de l’internaute par les sites marchands ; cf. cours sur la signature -électronique Thomas)
1
           

  
Ne vous découvrez pas sur Internet SSL, les paquets d’informations circulent enSans un cryptage clair sur les réseaux. • Ima iez un courrier postal dans une enveloppe les dgoinnenzé eqsu. eS vi oeullse es novnost yodnen lea  qvuail epuru, t cye sa cpceérdsoern na elsa  ppoourront les transparente. Toute per e ssibilité de voir prendre ou les modifier.C’est pareil sans SSL ! u’un site Web est un représentant conce?nfiaq suov-zevsat enmm Coprree isaqàlllueitne euql edtneauth e vous accordez votre LeSSt caépré csteuqahCifitrec feroépitnt.eéifirév elleveer purr ou sund re snaitrailucne spéciun domairuu ene ifuq eop ssionn • C e e conduire, un certificat SSL est émoimsmpea ruunnpea sasutporoirttéodueucnopnefrei amlnsiacuteroL . al euqsctsaantrL SSn ioes fidcaentih déroule, le navigateur demand tion du serveur. est imé, le nSai vliignfaoterumra taifofinc hnee  ucno rrmeesspsoangde  pdaes rroeuu sr.i  le certificat pér
                "!
La sécurisation des transactions par SSL est basée sur un échange de clés entre client et serveur
Envoi du certificat avec la clé publique signée par l’autorité de certification Envoi du nom du cryptosystème commun le plus complexe
                $! La sécurisation des transactions par SSL est basée sur un échange de clés entre client et serveur
Communication avec une clé commune connue des seules deux entités
Lerestedesn rtansactiospeut se faireàl'aide de clédesession, garantissantl'intégrité et la confidentialité des donnéeséchangées.
                ! La sécurisation des transactions par SSL est basée sur un échange de clés entre client et serveur Clés publiques et clés privées au service de la confidentialité • Un certificat SSL se compose d’une clé publique et d’ une clé privée. La clé publiqueest utilisée pour le cryptage des informations La clé privéeest utilisée pour les décrypter. Lorsqu’un navigateur se connecte à un domaine sécurisé, une connexion SSL authentifie le serveur et le client, puis définit une méthode de cryptage et un clé unique de session. Ils peuvent entamer une session sécurisée qui garantit la confidentialité et l’intégrité du message. Serveur marchand cyberacheteur Connexion SSL Demande d’identification Envoi de la liste des cryptosystèmes supportés
                #! La sécurisation des transactions par SSL est basée sur un échange de clés entre client et serveur
Vérifie la validité du certificat Créée un clé secrète (privée) Envoie le résultat
             & % 1. Commande, identification,choix du mode de paiement
2. Règlement à la banqu (terminal de paiement we
3. Confirmation
2
             & %  • Assez lourd à mettre en place – Impose l’installation sur le serveur du marchand de scripts personnalisés: • Coordonnées bancaires • Option de paiement • Authentification • Variables liées à la transaction • Accessible seulement aux porteurs de CB • Suscite encore la méfiance • Le marchand est exposé à la fraude • Le serveur du commerçant est considéré comme un TPE (crédité rapidement et à moindre frais par la banque) • Accès international
          %
  
%l'Linet eprrninacuitpeep r:paay Pte ue ql,vonne isio uneavecetd c radéti ercossacier àune adress e-eamliu  nocpm li'effeoL .uqsr uectar p exemple t en l t d'envoyer un simple ordre de virement par e-ma ilu. nL 'aacrhgaent esit ganleo,r sil  tlruai nssufféfirédu compte PayPalde l'acheteur au compte PayPal du vendeur.
1- Créer gratuitement son compte Paypalsur le site de Paypal. 2- Pour approvisionner ce compte, fournir un n° de vot re carte bancaire. Le principal avantage de cette solution est que les coordonnées bancaires ne sont jamais communiquées au cours d'une transaction. Le système est-il si sûr ? Globalement, le système est hautement sécurisé. Mais il est l'objet depuis 2004 de tentatives deihpnihsg.
            ' ' • Développée parElva, une société franco-américaine • Carte équipée d’une puce, d’une pile et d’un émett eur de son (interface acoustique) • Utilisable par les lecteurs physiques • Ne nécessite qu’unfaible investissement pour l’internaute (micro) • Utilise le téléphone: solution globale • Ne génèrequ’une seule foi a même fréquence • Le site marchand doit s’équiper d’unplug-in de décryptage
          %
  
%• = ‘le copain du paiement’ • Solution de paiement sécurisé utilisantl’email et la CB • Évite de donner un n°de CB à un commerçant • Largement reconnu: (surtout aux USA) – principal réseau de paiements pour les sites d'enchères en ligne, et est de plus en plus utilisé sur le Net. Plus de 100 millions d'internautes ont aujourd'hui un compte Paypal. – 3 millions de comptes marchands – 30 000 ouvertures de comptes par jour – Racheté par ebay • Inscription gratuite • coût à la transaction: – 30 centimes / transaction + 0,7 à 2,9 % du montant • Permet de facturer en fonction du stock (pas d’avo ir, etc…) • Pas d’installation logicielle ni matérielle pour l e client ni le marchand  //:ptth(paypwww.om/fal.c)r
          %
%
1. Commande, choix du mode de paiement
4. N°CB (paiement) 3. Instructions de paiement (par email)
  
2. Demande de règlement
5. Validation et confirmation
            ' ' ( 1. Connexion au serveur internaute
7. Acc service
3
          
 1. L’internaute cherche à afficher des pages payantes 3. Après saisie du code, les pages payantes saffichent
  
2. L’internaute appelle 4. Le serveur auditel un numéro surtaxé et rémunère le site marchand obtient un code
            ) % )• très simple d'utilisation. permet de commander des produits ou des services sans avoir àles régler directement au moment de l'achat. • le fournisseur d'accès Internet re-facturera l’internaute sur sa facture. l'internaute –ne s’identifie pas (juste login / mot de passe d'abonné de FAI) –ne laisse pas de numéro de carte bancaire Système de paiement fiable adapté aux petites sommes • seuls deux FAI proposent ce procédé (Wanadoo et Club Internet) • Peu de sites marchands proposent cette solution. • commissions prélevées par les opérateurs: elles sont de l'ordre de 5 à 8% • coût de mise en place pour les sites marchands: environ 360 euros par an plus 1500 euros d'installation.
             &' &'Banque du client 1. Demande de paiement 2. Génération & envoi des numéros (CB + Clé + date expiration) 3. Envoi des numéros 6. Vérification & 5. Envoi des envoi de l’accord numéros
4. Envoi des numéros
Banque du marchand
           
  
Solution très souple: – Pas de CB nécessaire – Le client paie par sa facture de téléphone – Adapté au micropaiement – Configuration ample: • Tarifs dégressifs • Essai gratuit • Nombre de pages affichées • Durée de validité du code… – Taux de reversement intéressant(env 70%) – Système peu contraignant et fiable Disponible seulement en France(et certains pays européens) Ex:icsarmpevti
             &' &  ' • Développé par Orbiscom (Orbis + France Telecom) • Logiciel téléchargé / CD-ROM • Raccourci dans la barre de tâches toujours disponi ble Génère un numéro de CB différent à chaque paiement • 70 000 utilisateurs, boom avant les fêtes • Augmente la fréquence d’achat pour les internautes déjà acheteurs • Paiement au forfait, ou à la commission, ou les deu x Il faut autant de CVD qu’on a de banques Pas possible pour les retraits d’articles avec présentation de la CB (SNCF…) Problème de gestion en cas de stock insuffisant (avoir, recrédit…) Numéro imprenable (inutilisable): très rassurant Internationale Pas d’investissement pour le marchand Pas d’achat pour le client
            (   (   • Ajoute ‘ce que vous savez’ à ‘ce que vous avez’ • Ajoute un mot de passe au n°de CB • Évite le détournement de la CB: rend le numéro à 16 chiffres seul inutile • Gratuit • Pas de matériel ni de logiciel supplémentaire néce ssaire • Si
4
          (   ( 
  
• Accessible seulement: – Aux détenteurs de cartes VISA – Aux sites web participant • Les popup killers doivent être désactivés • Accessible surtout aux USA • Protège le commerçant et le consommateur… mais rend la banque vulnérable
      "   * ) ) • Issu de FIA,Française Interprofessionnelle d’Assurance, spécialisé dans les risques spéciaux • Structure indépendante depuis 1999 • Le contrat Risque Internet de FIA-NET est garanti auprès du groupe AXA Un site machand souscrit à l’assurance FIA NET. Les clients sont assuréscontre les détournement de paiements (remboursés en cas de fraude) au moment de la transaction ou contre le pillage des bases de données les utilisations frauduleuses de la CB sont assurées, dès leTOUTES 1er centime (jusqu’à 7622 euros), partout dans le monde • Le client ne paie pas • Achats garantis sans restrictions de frontières • du site marchand • de la banque du site • de l’acheteur
      "  • Les chèques représentent 15% des paiements en lign e= une part plutôt stable qui implique une lourde organisation.      oMuae irse ilpli rqpéueseuentnt ,atteindres  5d5e% 1 d%esc  opcamaisem mep epanro tsul ra c loap moFsmnseaib cic,l iht2ée ze dxTtorénêlnémémeeas r akqueuti ter moin s xp dans le premier x internautes depayer à la livraison, et dans le second,par la mise en place d’un seuil d’achat de 140 euros. >>> d’automatiser les procédures commeCdiscountqui affecte à chaque internaute payant par chèqueun code barrequ’il doit imprimer et joindre à son paiement pour en faciliter le traitement. D’autres ne proposent as ce mode de de la lloa uCrdaemuirf doeu  ldoersg a3 nSisuaistisoepns  o[u… ]d.e risques d ipmaipeamyeésn.t  Càecsat ulse ecas de           
    "    
  
• Le volume des transactions en ligne explose • On prévoit que les grands risques financiers du XXIèmesiècle seront liés aux paiements en ligne • Aucun paiement n’est sécurisé à 100% • Solution: assurer les transactions • Assure la transaction • Améliore la confiance de l’internaute • Les assurances positionnées ont une envergure mondiale (AXA, Commercial Union…)
    "   * ) )+
  
Les sites assurés auprès de FIA NET: – Proposent tous un mode de paiement sécurisé – n’ont pas d’infrastructure à mettre en place, d’achat de matériel ou de logiciel – sont environ un millier (parmi les plus gros marchands), surtout des français (pixmania, redoute, Grosbill…) – Ont subi un audit de qualité et de sécurité – Sont des entreprises déclarées – Respectent la législation et la déontologie de la VPC – Accordent une aide juridique auprès des clients en cas de litige avec eux – Offrent un droit de rétractation de 7 jours
    " 
  
         • Après une période d’essai,ATAC, la société en charge des transports en commun à Rome, a installé un service permettant de payer son ticket de métro, de bus ou de tram grâce à son téléphone portable.
5
    " 
  
%     *+BNP Paribas, Bouygues Telecom, Groupe Crédit Mutuel CIC, Orange et SFRtester une solution commune de paiement par mobile sans contact. Phase Pilote envisagée avant la fin de l’année 2007. Application de paiement bancaire installée sur la carte SIM des Utilisateurs. Ce projet, placé sous l’égide du Pôle de Compétitivité TES] de Basse - Normandie
    " 
  
/-% Un principe simple Couper une information en deux parties disjointes n'ayant pas de valeur prise séparément. Saisir ces données sur deux claviers différents. Véhiculer ces informations sur deux réseaux distincts. Synchroniser les deux flux d'information. Réconcilier ces informations uniquement là où elles doivent être réconciliées.
Sécurisation sans SSL L'utilisateur entre la première moitié de son numéro sur son téléphone i Il entre le numéro du téléphone a appelé Le téléphone sonne. Il entre la deuxième partie de son numéro de carte sur le clavier du télé La sécurité est optimale si deux téléphones sont utilisés!
    " 
, -
  
• L’internaute ne donne que son N°perso d’inscriptio n à ID-Tronic et le code reçu par SMS. • Inscription 1 fois pour toute sur ID-Tronic >>> réc eption du code ID-Tronic qui servira à récupérer un sceau. Ce s ceau sera à apposer pour le paiement en ligne sur l’une d es galerie marchande référencée par la Caisse d’Epargne. • Pas de saisie de N°de CB en ligne
démo d’inscription démo de paiement
    "  /-% 0112221
  
démo Cdiscount >
6
Soyez le premier à déposer un commentaire !

17/1000 caractères maximum.