Upload
others
View
11
Download
0
Embed Size (px)
Citation preview
Plan
• Introduction
• Le SET
30/01/2009
2
• Le SET
• SSL/TLS
• Fonctionnement de 3D-Secure
• Conclusion
Qu’est-ce que c’est ?
• Protocole de paiement sécurisé sur Internet
• But : réduire le risque d'impayé émis pour
30/01/2009
4
• But : réduire le risque d'impayé émis pour contestation de l’acheteur
• Créé par Visa et Mastercard
• Ce n’est pas : une garantie de paiement !
Cahier des charges
• Confidentialité
• Intégrité des données transférées
30/01/2009
8
• Intégrité des données transférées
• Authentification de l’utilisateur d’une carte et du marchand
• Indépendant des protocoles, plate-formes, OS, ...
Vers 3D Secure…
• Echec à cause de sa complexité
• Mise en place de 3D-Secure : schéma simplifié
30/01/2009
9
• Mise en place de 3D-Secure : schéma simplifié
• Introduction du SSL/TLS
Qu’est-ce que c’est ?
• Sécurise la connexion entre deux applications
• Protocoles Internet situés entre le niveau
30/01/2009
11
• Protocoles Internet situés entre le niveau Transport et Application
• Evolutifs
• Plusieurs concepts cryptographiques
Fonctionnalités de SSL
• Authentification
• Confidentialité
30/01/2009
12
• Confidentialité
• Identification et intégrité
Limites de SSL:
• Permet d ’authentifier le serveur web du marchand et pas le marchand lui-même
30/01/2009
13
• Ne permet pas d ’authentifier le porteur de la carte de crédit
• Les données de paiement peuvent être transmises au site web marchand.
Concepts
• Protocole de paiement sécurisé sur Internet
• Lier autorisation financière et authentification
30/01/2009
15
• Lier autorisation financière et authentification
• Utilisation de▫ messages XML
▫ connexions SSL= authentification client & serveur via certificats
▫ signatures digitales= intégrité des données
3D = 3 Domaines
• Domaine du Client = l’émetteur
• Domaine Interbancaire
• Domaine du Marchand = l’acquéreur
30/01/2009
16
• Domaine du Marchand = l’acquéreur
Domaine du Client• Authentification du client
▫ Le Client� achète en ligne
30/01/2009
18
� achète en ligne
▫ L’Access Control Server (ACS)� vérifie les authentifications
▫ Le Navigateur du client� connexion sécurisée
▫ L’Emetteur (banque du client)� obtention carte
� fournisseur d’infos
Domaine du Marchand
• Authentification du marchand
▫ Le Marchand
30/01/2009
19
▫ Le Merchant Plug In (MPI)� intermédiaire pour les échanges
▫ L’Acquéreur (banque du marchand)� authentification du marchand
� demande paiement
Domaine Interbancaire
• Gestion d’envoi de messages
▫ Le Directory Server (DS)� vérifie numéro de carte
30/01/2009
20
� vérifie numéro de carte
� authentification client
▫ L’Authentification History Server (AHS)� utile si conflit banque/client
▫ L’Etablissement de crédit (VisaNet)� lien entre les 2 banques
Critiques et limites
• Label « Vérifié par Visa »
• Ne règle pas les problèmes d’observation ou Key
30/01/2009
24
• Ne règle pas les problèmes d’observation ou Key Logger
• 3-D Secure engage la responsabilité de l’acheteur
Solution : Reconnaissance d’un élément matériel
Autres solutions
• C-SET▫ Chip-Secure Electronic Transaction▫ Utilisation d’une carte à puce
30/01/2009
25
▫ Utilisation d’une carte à puce▫ Basé sur le protocole SET▫ Trop lourd et trop coûteux
• SPA▫ Secure Payment Application▫ Problèmes de compatibilité▫ Inscription longue et fastidieuse