Embed Size (px)
Citation preview
E-PAIMENT
Introduction
Dans le contexte du commerce électronique, le paiement prendtoutefois une nouvelle importance. En effet, l’essor du commerce dématérialisé passe avant tout par la disponibilité de moyens efficaces de paiement. Ainsi, le commerçant et le client se doivent donc absolument de comprendre les implications pratiques des différents moyens de paiement mis de l’avant au niveau des sites marchands afin de choisir celui ou ceux qui correspondent le mieux à leurs milieux et à leurs besoins.
Le E-paiement c’est le paiement sur Internet qui désigne les moyens mis en œuvre pour payer sur Internet. Outre la carte de paiement classique, on trouve aussi des moyens plus spécifiques comme les transactions entre particuliers (C2C).
Intégrité, confidentialité, authentification et sécurité sont les objectives de base d’une solution de paiement en ligne.
Définition de E- Paiement
En 1987, la création d’un protocole de signature permettant de supporter les transactions sur Internet.
A partir des années 1990, on a assisté l’arrivée de la fameuse carte à puce et le Porte-monnaie électronique.
La création de Digicash, en 1994, c’est la première monnaie fiduciaire virtuelle.
En 1995, CyberCash propose son protocole de traitement de carte de crédit.
Fondé en 1998, Billpoint est un système de paiement basé sur les cartes de crédits.
Historique
Le Consommateur : il achète des biens et/ou services à partir d’un commerçant. L’utilisateur utilise un matériel informatique (exemple : ordinateur, etc.) connecté au réseau pour sélectionner le produit à acheter et passer par la suite à l’achat et au payement.
Le Commerçant : il vend des produits qui peuvent être soit des biens et/ou services à des consommateurs qui les achètent à distance à travers un réseau.
La Banque du Commerçant : le vendeur traite les autorisations de paiements ; pour réaliser ces opérations, la banque du commerçant entretient des liens avec les banques des acheteurs affiliés à travers les réseaux bancaires. Elle saisit les paramètres du paiement et les envois à la banque de l’acheteur pour compensation et alimentation du compte du commerçant par le montant reçu en contre partie du bien et/ou service vendu.
Les acteurs (1)
La Banque du Consommateur : la banque de l’acheteur fournit la technologie de paiement au consommateur et s’engage à rembourser la dette de son client au profit de la banque du commerçant.
L’autorité de certification : ce dernier garantie la sûreté du moyen de paiement .L'autorité de certification est chargée de délivrer les certificats, et sensée de gérer les clés utilisées pour le chiffrement et la signature des données confidentielles échangées entre les acteurs de paiement. Elle n’est pas directement impliquée dans les transactions de paiement en ligne entre le consommateur et le commerçant. Les relations entre les acteurs du paiement dépendent du moyen de paiement et requièrent une autorité de certification.
Les acteurs (2)
Les atouts du paiement électronique
• Des achats plus importantsLors de leurs achats, les clients ne sont plus limités au seul contenu de leur portefeuille. Si le site accepte les cartes de crédit, ils ne sont même plus limités au solde de leur compte.
• Des transactions rapidesLe paiement électronique est particulièrement rapide: La durée de la transaction est très courte, il permet d’évitez ainsi les longues files d’attentes
• Des paiements sûrsla somme payée est directement transférée sur le compte du commerçants: sécurité, gain du temps et de l’argent en réduisant les déplacements à la banque.
• Une administration réduiteSimplification considérable de l’administration et de la comptabilité en diminuant nettement le risque d’erreur.
1 : le client passe la commande2 : le commerçant transmet en mode sécurisé les données de contexte (référence, montant de la facture,...) au serveur Paiement.2 bis : le client est routé sur le serveur Paiement en mode sécurisé SSL et inscrit son numéro de carte bancaire et la date de validité.3 : le serveur paiement contrôle la carte et fait une demande d'autorisation auprès de la banque du client.4 : le serveur paiement informe le commerçant du résultat de la transaction en mode sécurisé.5 : le soir, le serveur paiement effectue une remise auprès de la banque du commerçant.
Les étapes de paiement en ligne
Une nouvelle loi, n° 2005-51 du 27 juin 2005, a été adoptée concernant le transfert électronique de fonds.Cette loi a définie les termes suivants :
Instrument de transfert électronique : tout moyen permettant d’effectuer par voie entièrement ou partiellement électronique une des opérations suivantes : (transfert de fonds, retrait et dépôt de fonds, l’accès à un compte, le chargement et le déchargement d’un instrument rechargeable).
Instrument rechargeable : tout instrument de transfert électronique de fonds sur lequel des unités de valeurs sont stockées électroniquement.
Emetteur : toute personne morale que la loi autorise dans le cadre de son activité commerciale à mettre un instrument de transfert électronique de fonds à la disposition d’une autre personne en vertu d’un contrat conclu avec celle-ci.
Bénéficiaire : toute personne qui détient un instrument de transfert électronique de fonds, en vertu d’un contrat qu’elle a conclu avec un émetteur.
Carte : tout instrument de transfert électronique de fonds dont les fonctions sont supportées par une carte magnétique ou intelligente.
Fonds : l’argent en dinars tunisien ou en devise conformément aux règlements en vigueur relatifs aux changes.De même, la dite loi a mis à la charge de l’émetteur et du bénéficiaire certaines obligations.Des sanctions pénales sont prévues.
Cadre juridique en Tunisie
Paiement par Carte Bancaire : au moment de l’achat en ligne, le client transmet au vendeur les coordonnées de sa carte bancaire (Numéro, date d’expiration, etc.) ; celui-ci les transmet à l’organisme gestionnaire de la carte et qui contrôle ses données. Une fois ces coordonnées validées, le compte du client sera débité et le compte du vendeur sera crédité du montant de produit ou service acquis.
Paiement par Carte à Puce : on l’appelle aussi "smart card" ou bien "carte intelligente". La puce contient le montant qu’on peut débiter, l’information concernant la banque et les informations pour authentifier le propriétaire de la carte.
Paiement par Digicash : on l’appel aussi "e-cash", c’est un système mettant en jeu une véritable monnaie virtuelle. Dans ce mode de paiement, l’argent est stocké non pas sur un serveur central ou sur une carte à puce, mais directement sur le disque dur de l’utilisateur.
Moyens de paiement (1)
Paiement par Visa Cash : c’est un porte-monnaie électronique. Il s’agit d’une carte pré-chargée pour le paiement de petits montants, elle peut être intégrée à une carte visa standard.
Paiement par Kleline : c’est un moyen de paiement qui gère des comptes clients/fournisseurs en fournissant une interface avec les réseaux bancaires. L’internaute installe les logiciels Klebox sur son poste, enregistre ses cartes bancaires et approvisionne des porte-monnaie pour les paiements de petits montants.
Paiement par Mondex : c’est un système de paiement électronique, au comptant, faisant appel à la technologie de la carte à monnaie. La carte Mondex est un porte-monnaie électronique sur carte à puce. Elle permet de payer des biens et services au même titre que l’argent liquide. Il est possible de transférer l’argent d’une carte à une autre.
Moyens de paiement (2)
Les banque virtuelles possèdent le même principe qu'une banque normale. Elles permettent à leurs clients de déposer et de retirer de l'argent sur tous les sites marchants en ligne. Ils acceptent aussi le règlement des achats par ce moyen de paiement, elles permettent même d’envoyer de l'argent à un ami disposant d’un compte dans la même banques.
Il existe plusieurs banques virtuelles sur Internet tel que Moneybookers, K-Pay mais, la plus connue reste encore PayPal.
Les banques virtuelles
PayPal : est un service de paiement électronique qui permet de payer des achats, de recevoir des paiements, ou d’envoyer et de recevoir de l'argent. Pour bénéficier de ces services, une personne doit transmettre diverses coordonnées financières à PayPal, tel que numéro de carte de crédit. Par après, les transactions sont effectuées sans avoir à communiquer de coordonnées financières, une adresse de courrier électronique et un mot de passe étant suffisant.
PayPal
PayPal
PayPal
Schéma du système de paiement électronique sur Internet
•Le protocole SSL « Secure Sockets Layer » :
C’est est un protocole de communication d’information qui permet d’assurer l’authentification,la confidentialité et l’intégrité des données échangées.Les données à protéger sont constituées des informations concernant la Carte Bancaire et la transmissiondes données. Il utilise un moyen de cryptographie pour coder les données.La cryptographie à clé publique, est une méthode de chiffrement ou d’encodage qui utilise une clé publique (qui est diffusée) permettant de coder le message et une clé privée (gardée secrète) permet tant de décoder le message. Ainsi l'expéditeur peut coder le message que seul le destinataire pourra décoder.
SSL fonctionne en trois étapes :-1- Authentification des acteurs à l’aide de certificats-2- Envoi des clés publiques. -3- Envoi des informations codées.
Remarque: SSL effectue la gestion des clés et l’authentification du serveur avant que les informations ne soient échangées.
•Le protocole SET « Secure Electronic Transactions »: C’est un protocole destiné à sécuriser les paiements par carte bancaire
les Protocoles
Etape 1 : le client sélectionne les articles désirés et les ajoute au panier virtuel. Lorsqu'il terminé, il valide ses achats.Etape 2 : la boutique électronique demande alors au client ses coordonnées.Etape 3 : S'il a déjà commandé dans cette boutique la seule saisie de son code client rappellera ses coordonnées postales sans qu'il ait besoin de les ressaisir. Sinon il devra saisir ses coordonnées postales et se verra attribué un code client (utilisable pour de futurs commandes). Il valide ses coordonnées postales.Etape 4 : la boutique électronique calcule alors le montant total de la commande .Etape 5 : Le client valide l'ensemble de la commande avec les frais de livraison.Etape 6 : la boutique électronique se connecte alors au serveur sécurisé SSLEtape 7: Celui-ci demande au client ses coordonnées bancaires.Etape 8: Le client saisit ses coordonnées bancaires sur le serveur sécurisée SSL ou sont stockées les informations (dans la base de données).Etape 9 : Le client recevra une confirmation de la commande par e-mail et le commerçant (détenteur de la boutique en ligne) sera averti par e-mail de l'arrivée d'une commande.Etape 10: il consulte la commande sur le site en mode sécurisé.Etape 11 : le compte bancaires du client sera débité.
Processus de paiement sécurisé SSL
Le SPS
Le Serveur de Paiement Sécurisé permet d’offrir les autorisations sur les cartes bancaires, dans un environnement sécurisé. toutes les cartes de paiement locales ou
étrangères sont acceptées.
La sécurité de SPS est étroitement associée à trois qualités •La confidentialité: certains documents ne doivent être vus et utilisés que par des utilisateurs déterminés. C'est notamment le cas des informations apparaissant sur une carte bancaire.•L'intégrité: Il s’agit ici de s’assurer que l’information n’a pas été modifiée au cours de son transfert ou dans la base de données, de façon accidentelle ou par malveillance.•La disponibilité: Pour assurer l’utilité et augmenter la qualité, SPS doit être disponible à la communauté des internautes 24/24 et sans anomalies. Les services du réseau et la fonction de paiement ne doivent en aucun moment être interrompus.
Achat et validation de la commandeRedirection vers la page de paiementIntroduction des informations sur la carteTraitement au niveau du serveur de la SMT
Demande d’autorisation auprès de la banque de l’acheteur
Retour de la réponse à SPS
Envoi du résultat de l’autorisation de paiement au commerçant et à l’acheteur
11223344
55
6677
Le 3D secure
Le 3d-secure, comme son nom l'indique (three Domain Secure), implique trois domaines de sécurisations distincts, sécurise à la fois le domaine de l’émetteur, les serveurs et le domaine de l’acquéreur:
Domaine émetteur Domaine acquéreur
Domaine d'interopérabilité
La SMT est une filiale des Banques Tunisiennes, elle est spécialisée dans l’activité monétique bancaire en Tunisie elle a pour objet de :
Promouvoir le développement et l’utilisation de la carte de paiement par les nationaux tunisiens ;
Promouvoir l’acceptation des cartes en Tunisie, en paiement des dépenses effectuées par les touristes, hommes d’affaires, émises par les grands organismes internationaux
• Elle répond par délégation aux demandes d’autorisations parvenues du SPS
• Fait le routage des demandes d’autorisation vers les serveurs des banques locales.
• Fait le routage aux organismes internationaux (Visa et MasterCard) pour les cartes internationales.
La SMT (société monétique de Tunisie)
L’hameçonnage (ou phishing, et parfois filoutage), est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc.
C'est une forme d'attaque informatique reposant sur l'ingénierie sociale. L'hameçonnage peut se faire par courriel, par des sites internet falsifiés ou autres moyens électroniques.
Hameçonnage
• Il ne faut pas donner son code secret à personne (police, banques, assurance, etc.) sous aucun prétexte et dans aucune circonstance !!
• Il ne faut pas noter le code ou le n° de carte ou le cryptogramme visuel (série de chiffre au dos de la carte) sur quoi que ce soit.
• Sur Internet attention aux attaques de type "phishing". Pour éviter ces attaques il ne faut pas répondre aux mails qui vous invitent à entrer vos données de connexion.
• Vérifier l'adresse exacte du site (http://....), plutôt utiliser des raccourcis pour se connecter à des sites favoris, vérifier la présence du cadenas en bas à droite du navigateur indiquant que le protocole est sécurisé.
Quelques conseils pour éviter la fraude
Conclusion
