INPTIC M1 Les TIC et le Management

E-Commerce Le paiement en ligne

M.BenMiloud

Introduction
Le commerce lectronique se dveloppe rapidement depuis quelques annes, enregistrant de 35 40 % de croissance donnant ainsi une importance de plus en plus grande ce qui est parfois appel l'e Paiement

e Paiement
Dans le contexte du commerce lectronique, le paiement prend toutefois une nouvelle importance. En effet, lessor du commerce dmatrialis passe avant tout par la disponibilit de moyens efficaces de paiement. Ainsi, le commerant et le client se doivent donc absolument de comprendre les implications pratiques des diffrents moyens de paiement mis de lavant au niveau des sites marchands afin de choisir celui ou ceux qui correspondent le mieux leurs milieux et leurs besoins.

Dfinition de EE- Paiement

Le E-paiement cest le paiement sur Internet qui dsigne les moyens mis en uvre pour payer sur Internet. Outre la carte de paiement classique, on trouve aussi des moyens plus spcifiques comme les transactions entre particuliers (C2C). Intgrit, confidentialit, authentification et scurit sont les objectives de base dune solution de paiement en ligne.

Historique
En 1987, la cration dun protocole de signature permettant de supporter les transactions sur Internet. A partir des annes 1990, on a assist larrive de la fameuse carte puce et le Porte-monnaie lectronique. La cration de Digicash, en 1994, cest la premire monnaie fiduciaire virtuelle. En 1995, CyberCash propose son protocole de traitement de carte de crdit. Fond en 1998, Billpoint est un systme de paiement bas sur les cartes de crdits.

Les acteurs (1)

Le Consommateur : il achte des biens et/ou services partir dun commerant. Lutilisateur utilise un matriel informatique (exemple : ordinateur, etc.) connect au rseau pour slectionner le produit acheter et passer par la suite lachat et au payement. Le Commerant : il vend des produits qui peuvent tre soit des biens et/ou services des consommateurs qui les achtent distance travers un rseau. La Banque du Commerant : le vendeur traite les autorisations de paiements ; pour raliser ces oprations, la banque du commerant entretient des liens avec les banques des acheteurs affilis travers les rseaux bancaires. Elle saisit les paramtres du paiement et les envois la banque de lacheteur pour compensation et alimentation du compte du commerant par le montant reu en contre partie du bien et/ou service vendu.

Les acteurs (2)

La Banque du Consommateur : la banque de lacheteur fournit la technologie de paiement au consommateur et sengage rembourser la dette de son client au profit de la banque du commerant. Lautorit de certification : ce dernier garantie la sret du moyen de paiement .L'autorit de certification est charge de dlivrer les certificats, et sense de grer les cls utilises pour le chiffrement et la signature des donnes confidentielles changes entre les acteurs de paiement. Elle nest pas directement implique dans les transactions de paiement en ligne entre le consommateur et le commerant. Les relations entre les acteurs du paiement dpendent du moyen de paiement et requirent une autorit de certification

Les atouts du paiement lectronique

Des achats plus importants Lors de leurs achats, les clients ne sont plus limits au seul contenu de leur portefeuille. Si le site accepte les cartes de crdit, ils ne sont mme plus limits au solde de leur compte. Des transactions rapides Le paiement lectronique est particulirement rapide: La dure de la transaction est trs courte, il permet dvitez ainsi les longues files dattentes Des paiements srs la somme paye est directement transfre sur le compte du commerants: scurit, gain du temps et de largent en rduisant les dplacements la banque. Une administration rduite Simplification considrable de ladministration et de la comptabilit en diminuant nettement le risque derreur.

Les tapes de paiement en ligne

1 : le client passe la commande 2 : le commerant transmet en mode scuris les donnes de contexte (rfrence, montant de la facture,...) au serveur Paiement. 2 bis : le client est rout sur le serveur Paiement en mode scuris SSL et inscrit son numro de carte bancaire et la date de validit. 3 : le serveur paiement contrle la carte et fait une demande d'autorisation auprs de la banque du client. 4 : le serveur paiement informe le commerant du rsultat de la transaction en mode scuris. 5 : Plutard, le serveur paiement effectue une remise auprs de la banque du commerant.

Moyens de paiement (1)

Paiement par Carte Bancaire : au moment de lachat en ligne, le client transmet au vendeur les coordonnes de sa carte bancaire (Numro, date dexpiration, etc.) ; celui-ci les transmet lorganisme gestionnaire de la carte et qui contrle ses donnes. Une fois ces coordonnes valides, le compte du client sera dbit et le compte du vendeur sera crdit du montant de produit ou service acquis. Paiement par Carte Puce : on lappelle aussi "smart card" ou bien "carte intelligente". La puce contient le montant quon peut dbiter, linformation concernant la banque et les informations pour authentifier le propritaire de la carte. Paiement par Digicash : on lappel aussi "e-cash", cest un systme mettant en jeu une vritable monnaie virtuelle. Dans ce mode de paiement, largent est stock non pas sur un serveur central ou sur une carte puce, mais directement sur le disque dur de lutilisateur.

Moyens de paiement (2)

Paiement par Visa Cash : cest un porte-monnaie lectronique. Il sagit dune carte pr-charge pour le paiement de petits montants, elle peut tre intgre une carte visa standard. Paiement par Kleline : cest un moyen de paiement qui gre des comptes clients/fournisseurs en fournissant une interface avec les rseaux bancaires. Linternaute installe les logiciels Klebox sur son poste, enregistre ses cartes bancaires et approvisionne des porte-monnaie pour les paiements de petits montants. Paiement par Mondex : cest un systme de paiement lectronique, au comptant, faisant appel la technologie de la carte monnaie. La carte Mondex est un porte-monnaie lectronique sur carte puce. Elle permet de payer des biens et services au mme titre que largent liquide. Il est possible de transfrer largent dune carte une autre.

Les banques virtuelles

Les banque virtuelles possdent le mme principe qu'une banque normale. Elles permettent leurs clients de dposer et de retirer de l'argent sur tous les sites marchants en ligne. Ils acceptent aussi le rglement des achats par ce moyen de paiement, elles permettent mme denvoyer de l'argent un ami disposant dun compte dans la mme banques. Il existe plusieurs banques virtuelles sur Internet tel que Moneybookers, K-Pay mais, la plus connue reste encore PayPal.

Systmes de payment en ligne Paypal

PayPal est une entreprise qui propose un service de paiement sur Internet, permettant un internaute denvoyer et de recevoir ses paiements via Internet avec une adresse lectronique, sans avoir communiquer ses coordonnes de carte bancaire chaque transaction. PayPal est la manire la plus scurise et la plus simple d'envoyer et de recevoir des paiements en ligne. Ce service permet quiconque d'effectuer des paiements dans le mode de son choix, que ce soit par carte de crdit, via un compte bancaire, un crdit d'acheteur ou un solde de compte, et ce sans devoir changer d'informations financires

Origine de Paypal
PayPal a t cre en 2000 par la fusion de deux start-ups nomms Confinity et X.com. Confinity tait une socit cre en 1998 par Max Levchin, Peter Thiel et Luke Nosek. Elle tait spcialise dans les paiements et la cryptographie via PalmPilot. X.com tait une startup Internet fonde en mars 1999 par Elon Musk proposant des services de banque en ligne. PayPal a t rachete en 2002 par la socit eBay pour 1,5 milliard de dollars, notamment parce qu'environ la moiti des transactions du site d'enchres utilisait PayPal et que le systme interne eBay ne soutenait pas la concurrence.

PayPal
PayPal : est un service de paiement lectronique qui permet de payer des achats, de recevoir des paiements, ou denvoyer et de recevoir de l'argent. Pour bnficier de ces services, une personne doit transmettre diverses coordonnes financires PayPal, tel que numro de carte de crdit. Par la suite, les transactions sont effectues sans avoir communiquer de coordonnes financires, une adresse de courrier lectronique et un mot de passe tant suffisant.

PayPal

Les qualits dun procd ligible pour le paiement lectronique Globalement, tout systme scuris de paiement doit rpondre ces critres de base :
Identifier et authentifier le vendeur et garder lanonymat de lacheteur vis vis du commerant. Confidentialit de la transaction et des renseignements bancaires. Intgrit du procd. Non-rpudiation. Contrle daccs

Identifier et authentifier le vendeur et garder lanonymat de lacheteur vis vis du commerant(1). Il sagit de garantir que le catalogue de produits diffus sur la toile appartient bien un marchand dont lidentit est valide par tiers de confiance. Il faut donc que le commerant propritaire du site marchand soit rfrenc auprs dun organisme digne de foi, qui se porte garant vis vis de lacheteur et offre une voie de recours en cas de litige.

Identifier et authentifier le vendeur et garder lanonymat de lacheteur vis vis du commerant(2).

Vis vis du commerant, lacheteur ne souhaite pas ncessairement se faire connatre. Cela permet dviter que le commerant exploite un registre de ces clients. Il y a galement un enjeu lgal, car un problme crucial de libert publique se pose sitt quun organisme sarroge la prrogative didentifier les personnes physiques. Cet enjeu est dcupl avec le passage la tlmatique, qui permet de collecter et fusionner les informations en provenance de sources multiples. La lgilastion de certains pays, tels les Etats de lUnion europenne est cet gard explicite et impose un monopole de ltat civil.

Confidentialit de la transaction et des renseignements bancaires. bancaires. La substance de la transaction ne doit tre connue que de lacheteur et du commerant. Mais, il est impratif que lacheteur doit tre en mesure de conserver un document valable juridiquement Trace de la commande , certifiant de faon dfinitive toutes les caractristiques de la transaction : identit des parties, substance, montant et dates.

Intgrit du procd. procd.

Toute entorse ce principe, souvent dsign intgrit de la transaction, ruinerait la crdibilit du procd. Lintgrit assure aussi le fait quaucune modification est apporte aux donnes et surtout la trace de la commande. Le mot modification englobe en fait, la duplication, linsertion, leffacement dune partie de linformation et le changement dans lordonnancement des informations.

NonNon -rpudiation. rpudiation.

Elle permet dviter ce que lune des deux parties nie la transmission ou la rception de linformation lors de procd de commande dchange de donnes ou de paiement lectronique sur le Web.

Contrle daccs
Assure que seulement des personnes autorises peuvent obtenir accs lors du paiement. Lobjectif de ce critre est de protg les informations. Un problme se pose ce niveau puisque les organismes financiers oprant linternational ont quelques obligations, en particulier dans la lutte contre le blanchissement dargent. Certains Etats (en fait, les organismes de contreespionnage) dsirent galement tre en mesure de surveiller tous les changes qui seffectuent au travers de leurs frontires !

Rflexion!
Quels sont les mcanismes et les techniques utilises pour garantir la scurit du paiement lectronique sur Internet ?

Techniques et procds procds de scurit

Les techniques qui seront voquer sont : Les procds de cryptages, La signature lectronique, La certification lectronique, Lidentification, La datation, Le protocole SSL, Leprotocole SET.

La signature lectronique
La signature lectronique dun document nest gnralement pas le cryptage de tout le document mais dune forme abrge du message, de taille fixe, appele : Lempreinte lectronique Digest en Anglais . Cette empreinte est ralise par une fonction de hachage sens unique.

Fonction de hachage
Plusieurs fonctions de hachage sont couramment employes. Les qualits demandes une fonction de hachage sont : Grande dispersion : Un petit cart entre deux documents doit crer un grand cart entre deux messages. Absence de collisions : Deux documents diffrents ne doivent avoir aucune chance de donner la mme empreinte. Il doit tre impossible de point de vue informatique, de gnrer deux documents ayant la mme empreinte. Inversion impossible : Il ne faut pas que lon puisse recrer le document partir de lempreinte

Lidentification
Avant dentamer un change scuris sur un rseau, on va sassurer une bonne fois de lidentit de son correspondant et partager ensuite avec lui une clef symtrique (prive) qui permettra de crypter par blocs la suite des changes. Les deux se font dans la mme phase, dite didentification (authentification en anglais).

Le protocole SSL (Secure Socket Layer)

Le protocole SSL a t dvelopp par Netscape pour offrir la scurit et la confidentialit sur Internet. Ce protocole permet didentifier: clients et serveurs dans une connexion de type socket. Le mot Socket peut tre dfini comme la combinaison dune adresse IP avec un numro de port. Le protocole SSL sapplique au niveau de la couche TCP/IP et il chiffre les communications entre le navigateur et les serveurs.

Le protocole SSL (Secure Socket Layer)

SSL sinscrit comme une couche intermdiaire du protocole de communication (niveau session). Elle nest pas lie une application en particulier. Elle permet donc de scuriser tout protocole existant dapplication Internet, que ce soit HTTP, SMTP, Telnet, FTP ou autre et ce, sans modifier les logiciels.

Le protocole SSL (Secure Socket Layer)

Cest est un protocole de communication dinformation qui permet dassurer lauthentification, la confidentialit et lintgrit des donnes changes. Les donnes protger sont constitues des informations concernant la Carte Bancaire et la transmission des donnes. Il utilise un moyen de cryptographie pour coder les donnes. La cryptographie cl publique, est une mthode de chiffrement ou dencodage qui utilise une cl publique (qui est diffuse) permettant de coder le message et une cl prive (garde secrte) permet tant de dcoder le message. Ainsi l'expditeur peut coder le message que seul le destinataire pourra dcoder. SSL fonctionne en trois tapes : -1- Authentification des acteurs laide de certificats -2- Envoi des cls publiques. -3- Envoi des informations codes. Remarque: SSL effectue la gestion des cls et lauthentification du serveur avant que les informations ne soient changes.

Le protocole SET (Secure Electronic Transaction)

Le protocole SET a t dvelopp conjointement par Visa, MasterCard, Microsoft, IBM et Netscape. En effet, le protocole SETest une spcification. Technique qui vise scuriser au moindre cot les transactions par carte bancaire sur les rseaux ouverts tels Internet. SET est indpendant du transport. Il peut par exemple fonctionner sur le Web en interactif. Pour ce faire, les messages de SET sont dfinis en tant que type MIME (Multipurpose Internet Mail Extension). Les transactions peuvent tre trs longues. Elles sont identifies par un numro unique repris dans tous les messages.

Processus de paiement scuris SSL

Etape 1 : le client slectionne les articles dsirs et les ajoute au panier virtuel. Lorsqu'il termin, il valide ses achats. Etape 2 : la boutique lectronique demande alors au client ses coordonnes. Etape 3 : S'il a dj command dans cette boutique la seule saisie de son code client rappellera ses coordonnes postales sans qu'il ait besoin de les ressaisir. Sinon il devra saisir ses coordonnes postales et se verra attribu un code client (utilisable pour de futurs commandes). Il valide ses coordonnes postales. Etape 4 : la boutique lectronique calcule alors le montant total de la commande . Etape 5 : Le client valide l'ensemble de la commande avec les frais de livraison. Etape 6 : la boutique lectronique se connecte alors au serveur scuris SSL Etape 7: Celui-ci demande au client ses coordonnes bancaires. Etape 8: Le client saisit ses coordonnes bancaires sur le serveur scurise SSL ou sont stockes les informations (dans la base de donnes). Etape 9 : Le client recevra une confirmation de la commande par e-mail et le commerant (dtenteur de la boutique en ligne) sera averti par e-mail de l'arrive d'une commande. Etape 10: il consulte la commande sur le site en mode scuris. Etape 11 : le compte bancaires du client sera dbit.

Le SPS
Le Serveur de Paiement Scuris permet doffrir les autorisations sur les cartes bancaires, dans un environnement scuris. toutes les cartes de paiement locales ou trangres sont acceptes. La scurit de SPS est troitement associe trois qualits

La confidentialit: certains documents ne doivent tre vus et utiliss que par des utilisateurs dtermins. C'est notamment le cas des informations apparaissant sur une carte bancaire.

L'intgrit: Il sagit ici de sassurer que linformation na pas t modifie au cours de son transfert ou dans la base de donnes, de faon accidentelle ou par malveillance.

La disponibilit: Pour assurer lutilit et augmenter la qualit, SPS doit tre disponible la communaut des internautes 24/24 et sans anomalies. Les services du rseau et la fonction de paiement ne doivent en aucun moment tre interrompus.