45 1 740KB
INPTIC M1 Les TIC et le Management
E-Commerce Le paiement en ligne
M.BenMiloud
Introduction Le commerce électronique se développe rapidement depuis quelques années, enregistrant de 35 à 40 % de croissance donnant ainsi une importance de plus en plus grande à ce qui est parfois appelé l'e Paiement
e Paiement Dans le contexte du commerce électronique, le paiement prend toutefois une nouvelle importance. En effet, l’essor du commerce dématérialisé passe avant tout par la disponibilité de moyens efficaces de paiement. Ainsi, le commerçant et le client se doivent donc absolument de comprendre les implications pratiques des différents moyens de paiement mis de l’avant au niveau des sites marchands afin de choisir celui ou ceux qui correspondent le mieux à leurs milieux et à leurs besoins.
Définition de EE- Paiement Le E-paiement c’est le paiement sur Internet qui désigne les moyens mis en œuvre pour payer sur Internet. Outre la carte de paiement classique, on trouve aussi des moyens plus spécifiques comme les transactions entre particuliers (C2C). Intégrité, confidentialité, authentification et sécurité sont les objectives de base d’une solution de paiement en ligne.
Historique En 1987, la création d’un protocole de signature permettant de supporter les transactions sur Internet. A partir des années 1990, on a assisté l’arrivée de la fameuse carte à puce et le Porte-monnaie électronique. La création de Digicash, en 1994, c’est la première monnaie fiduciaire virtuelle. En 1995, CyberCash propose son protocole de traitement de carte de crédit. Fondé en 1998, Billpoint est un système de paiement basé sur les cartes de crédits.
Les acteurs (1) Le Consommateur : il achète des biens et/ou services à partir d’un commerçant. L’utilisateur utilise un matériel informatique (exemple : ordinateur, etc.) connecté au réseau pour sélectionner le produit à acheter et passer par la suite à l’achat et au payement. Le Commerçant : il vend des produits qui peuvent être soit des biens et/ou services à des consommateurs qui les achètent à distance à travers un réseau. La Banque du Commerçant : le vendeur traite les autorisations de paiements ; pour réaliser ces opérations, la banque du commerçant entretient des liens avec les banques des acheteurs affiliés à travers les réseaux bancaires. Elle saisit les paramètres du paiement et les envois à la banque de l’acheteur pour compensation et alimentation du compte du commerçant par le montant reçu en contre partie du bien et/ou service vendu.
Les acteurs (2) La Banque du Consommateur : la banque de l’acheteur fournit la technologie de paiement au consommateur et s’engage à rembourser la dette de son client au profit de la banque du commerçant. L’autorité de certification : ce dernier garantie la sûreté du moyen de paiement .L'autorité de certification est chargée de délivrer les certificats, et sensée de gérer les clés utilisées pour le chiffrement et la signature des données confidentielles échangées entre les acteurs de paiement. Elle n’est pas directement impliquée dans les transactions de paiement en ligne entre le consommateur et le commerçant. Les relations entre les acteurs du paiement dépendent du moyen de paiement et requièrent une autorité de certification
Les atouts du paiement électronique Des achats plus importants Lors de leurs achats, les clients ne sont plus limités au seul contenu de leur portefeuille. Si le site accepte les cartes de crédit, ils ne sont même plus limités au solde de leur compte. • Des transactions rapides Le paiement électronique est particulièrement rapide: La durée de la transaction est très courte, il permet d’évitez ainsi les longues files d’attentes • Des paiements sûrs la somme payée est directement transférée sur le compte du commerçants: sécurité, gain du temps et de l’argent en réduisant les déplacements à la banque. • Une administration réduite Simplification considérable de l’administration et de la comptabilité en diminuant nettement le risque d’erreur. •
Les étapes de paiement en ligne 1 : le client passe la commande 2 : le commerçant transmet en mode sécurisé les données de contexte (référence, montant de la facture,...) au serveur Paiement. 2 bis : le client est routé sur le serveur Paiement en mode sécurisé SSL et inscrit son numéro de carte bancaire et la date de validité. 3 : le serveur paiement contrôle la carte et fait une demande d'autorisation auprès de la banque du client. 4 : le serveur paiement informe le commerçant du résultat de la transaction en mode sécurisé. 5 : Plutard, le serveur paiement effectue une remise auprès de la banque du commerçant.
Moyens de paiement (1) Paiement par Carte Bancaire : au moment de l’achat en ligne, le client transmet au vendeur les coordonnées de sa carte bancaire (Numéro, date d’expiration, etc.) ; celui-ci les transmet à l’organisme gestionnaire de la carte et qui contrôle ses données. Une fois ces coordonnées validées, le compte du client sera débité et le compte du vendeur sera crédité du montant de produit ou service acquis. Paiement par Carte à Puce : on l’appelle aussi "smart card" ou bien "carte intelligente". La puce contient le montant qu’on peut débiter, l’information concernant la banque et les informations pour authentifier le propriétaire de la carte. Paiement par Digicash : on l’appel aussi "e-cash", c’est un système mettant en jeu une véritable monnaie virtuelle. Dans ce mode de paiement, l’argent est stocké non pas sur un serveur central ou sur une carte à puce, mais directement sur le disque dur de l’utilisateur.
Moyens de paiement (2) Paiement par Visa Cash : c’est un porte-monnaie électronique. Il s’agit d’une carte pré-chargée pour le paiement de petits montants, elle peut être intégrée à une carte visa standard. Paiement par Kleline : c’est un moyen de paiement qui gère des comptes clients/fournisseurs en fournissant une interface avec les réseaux bancaires. L’internaute installe les logiciels Klebox sur son poste, enregistre ses cartes bancaires et approvisionne des porte-monnaie pour les paiements de petits montants. Paiement par Mondex : c’est un système de paiement électronique, au comptant, faisant appel à la technologie de la carte à monnaie. La carte Mondex est un porte-monnaie électronique sur carte à puce. Elle permet de payer des biens et services au même titre que l’argent liquide. Il est possible de transférer l’argent d’une carte à une autre.
Les banques virtuelles Les banque virtuelles possèdent le même principe qu'une banque normale. Elles permettent à leurs clients de déposer et de retirer de l'argent sur tous les sites marchants en ligne. Ils acceptent aussi le règlement des achats par ce moyen de paiement, elles permettent même d’envoyer de l'argent à un ami disposant d’un compte dans la même banques. Il existe plusieurs banques virtuelles sur Internet tel que Moneybookers, K-Pay mais, la plus connue reste encore PayPal.
Systèmes de payment en ligne Paypal PayPal est une entreprise qui propose un service de paiement sur Internet, permettant à un internaute d’envoyer et de recevoir ses paiements via Internet avec une adresse électronique, sans avoir à communiquer ses coordonnées de carte bancaire à chaque transaction. PayPal est la manière la plus sécurisée et la plus simple d'envoyer et de recevoir des paiements en ligne. Ce service permet à quiconque d'effectuer des paiements dans le mode de son choix, que ce soit par carte de crédit, via un compte bancaire, un crédit d'acheteur ou un solde de compte, et ce sans devoir échanger d'informations financières
Origine de Paypal PayPal a été créée en 2000 par la fusion de deux start-ups nommés Confinity et X.com. Confinity était une société créée en 1998 par Max Levchin, Peter Thiel et Luke Nosek. Elle était spécialisée dans les paiements et la cryptographie via PalmPilot. X.com était une startup Internet fondée en mars 1999 par Elon Musk proposant des services de banque en ligne. PayPal a été rachetée en 2002 par la société eBay pour 1,5 milliard de dollars, notamment parce qu'environ la moitié des transactions du site d'enchères utilisait PayPal et que le système interne à eBay ne soutenait pas la concurrence.
PayPal PayPal : est un service de paiement électronique qui permet de payer des achats, de recevoir des paiements, ou d’envoyer et de recevoir de l'argent. Pour bénéficier de ces services, une personne doit transmettre diverses coordonnées financières à PayPal, tel que numéro de carte de crédit. Par la suite, les transactions sont effectuées sans avoir à communiquer de coordonnées financières, une adresse de courrier électronique et un mot de passe étant suffisant.
PayPal
Les qualités d’un procédé éligible pour le paiement électronique Globalement, tout système sécurisé de paiement doit répondre à ces critères de base : Identifier et authentifier le vendeur et garder l’anonymat de l’acheteur vis à vis du commerçant. Confidentialité de la transaction et des renseignements bancaires. Intégrité du procédé. Non-répudiation. Contrôle d’accès
Identifier et authentifier le vendeur et garder l’anonymat de l’acheteur vis à vis du commerçant(1). Il s’agit de garantir que le catalogue de produits diffusé sur la toile appartient bien à un marchand dont l’identité est validée par tiers de confiance. Il faut donc que le commerçant propriétaire du site marchand soit référencé auprès d’un organisme digne de foi, qui se porte garant vis à vis de l’acheteur et offre une voie de recours en cas de litige.
Identifier et authentifier le vendeur et garder l’anonymat de l’acheteur vis à vis du commerçant(2). Vis à vis du commerçant, l’acheteur ne souhaite pas nécessairement se faire connaître. Cela permet d’éviter que le commerçant exploite un registre de ces clients. Il y a également un enjeu légal, car un problème crucial de liberté publique se pose sitôt qu’un organisme s’arroge la prérogative d’identifier les personnes physiques. Cet enjeu est décuplé avec le passage à la télématique, qui permet de collecter et fusionner les informations en provenance de sources multiples. La légilastion de certains pays, tels les Etats de l’Union européenne est à cet égard explicite et impose un monopole de l’état civil.
Confidentialité de la transaction et des renseignements bancaires. bancaires. La substance de la transaction ne doit être connue que de l’acheteur et du commerçant. Mais, il est impératif que l’acheteur doit être en mesure de conserver un document valable juridiquement ‘ Trace de la commande ’, certifiant de façon définitive toutes les caractéristiques de la transaction : identité des parties, substance, montant et dates.
Intégrité du procédé. procédé. Toute entorse à ce principe, souvent désigné intégrité de la transaction, ruinerait la crédibilité du procédé. L’intégrité assure aussi le fait qu’aucune modification est apportée aux données et surtout à la trace de la commande. Le mot modification englobe en fait, la duplication, l’insertion, l’effacement d’une partie de l’information et le changement dans l’ordonnancement des informations.
Non--répudiation. Non répudiation. Elle permet d’éviter à ce que l’une des deux parties nie la transmission ou la réception de l’information lors de procédé de commande d’échange de données ou de paiement électronique sur le Web.
Contrôle d’accès Assure que seulement des personnes autorisées peuvent obtenir accès lors du paiement. L’objectif de ce critère est de protégé les informations. Un problème se pose à ce niveau puisque les organismes financiers opérant à l’international ont quelques obligations, en particulier dans la lutte contre le blanchissement d’argent. Certains Etats (en fait, les organismes de contreespionnage) désirent également être en mesure de surveiller tous les échanges qui s’effectuent au travers de leurs frontières !
Réflexion! Quels sont les mécanismes et les techniques utilisées pour garantir la sécurité du paiement électronique sur Internet ?
Techniques et procédés procédés de sécurité Les techniques qui seront évoquer sont : Les procédés de cryptages, La signature électronique, La certification électronique, L’identification, La datation, Le protocole SSL, Leprotocole SET.
La signature électronique La signature électronique d’un document n’est généralement pas le cryptage de tout le document mais d’une forme abrégée du message, de taille fixe, appelée : L’empreinte électronique « Digest en Anglais ». Cette empreinte est réalisée par une fonction de hachage à sens unique.
Fonction de hachage Plusieurs fonctions de hachage sont couramment employées. Les qualités demandées à une fonction de hachage sont : Grande dispersion : Un petit écart entre deux documents doit créer un grand écart entre deux messages. Absence de collisions : Deux documents différents ne doivent avoir aucune chance de donner la même empreinte. Il doit être impossible de point de vue informatique, de générer deux documents ayant la même empreinte. Inversion impossible : Il ne faut pas que l’on puisse recréer le document à partir de l’empreinte
L’identification Avant d’entamer un échange sécurisé sur un réseau, on va s’assurer une bonne fois de l’identité de son correspondant et partager ensuite avec lui une clef symétrique (privée) qui permettra de crypter par blocs la suite des échanges. Les deux se font dans la même phase, dite d’identification (authentification en anglais).
Le protocole SSL (Secure Socket Layer) Le protocole SSL a été développé par Netscape pour offrir la sécurité et la confidentialité sur Internet. Ce protocole permet d’identifier: clients et serveurs dans une connexion de type socket. Le mot Socket peut être défini comme la combinaison d’une adresse IP avec un numéro de port. Le protocole SSL s’applique au niveau de la couche TCP/IP et il chiffre les communications entre le navigateur et les serveurs.
Le protocole SSL (Secure Socket Layer) SSL s’inscrit comme une couche intermédiaire du protocole de communication (niveau session). Elle n’est pas liée à une application en particulier. Elle permet donc de sécuriser tout protocole existant d’application Internet, que ce soit HTTP, SMTP, Telnet, FTP ou autre et ce, sans modifier les logiciels.
Le protocole SSL (Secure Socket Layer) C’est est un protocole de communication d’information qui permet d’assurer l’authentification, la confidentialité et l’intégrité des données échangées. Les données à protéger sont constituées des informations concernant la Carte Bancaire et la transmission des données. Il utilise un moyen de cryptographie pour coder les données. La cryptographie à clé publique, est une méthode de chiffrement ou d’encodage qui utilise une clé publique (qui est diffusée) permettant de coder le message et une clé privée (gardée secrète) permet tant de décoder le message. Ainsi l'expéditeur peut coder le message que seul le destinataire pourra décoder. SSL fonctionne en trois étapes : -1- Authentification des acteurs à l’aide de certificats -2- Envoi des clés publiques. -3- Envoi des informations codées. Remarque: SSL effectue la gestion des clés et l’authentification du serveur avant que les informations ne soient échangées.
Le protocole SET (Secure Electronic Transaction) Le protocole SET a été développé conjointement par Visa, MasterCard, Microsoft, IBM et Netscape. En effet, le protocole SETest une spécification. Technique qui vise à sécuriser au moindre coût les transactions par carte bancaire sur les réseaux ouverts tels Internet. SET est indépendant du transport. Il peut par exemple fonctionner sur le Web en interactif. Pour ce faire, les messages de SET sont définis en tant que type MIME (Multipurpose Internet Mail Extension). Les transactions peuvent être très longues. Elles sont identifiées par un numéro unique repris dans tous les messages.
Processus de paiement sécurisé SSL Etape 1 : le client sélectionne les articles désirés et les ajoute au panier virtuel. Lorsqu'il terminé, il valide ses achats. Etape 2 : la boutique électronique demande alors au client ses coordonnées. Etape 3 : S'il a déjà commandé dans cette boutique la seule saisie de son code client rappellera ses coordonnées postales sans qu'il ait besoin de les ressaisir. Sinon il devra saisir ses coordonnées postales et se verra attribué un code client (utilisable pour de futurs commandes). Il valide ses coordonnées postales. Etape 4 : la boutique électronique calcule alors le montant total de la commande . Etape 5 : Le client valide l'ensemble de la commande avec les frais de livraison. Etape 6 : la boutique électronique se connecte alors au serveur sécurisé SSL Etape 7: Celui-ci demande au client ses coordonnées bancaires. Etape 8: Le client saisit ses coordonnées bancaires sur le serveur sécurisée SSL ou sont stockées les informations (dans la base de données). Etape 9 : Le client recevra une confirmation de la commande par e-mail et le commerçant (détenteur de la boutique en ligne) sera averti par e-mail de l'arrivée d'une commande. Etape 10: il consulte la commande sur le site en mode sécurisé. Etape 11 : le compte bancaires du client sera débité.
Le SPS Le Serveur de Paiement Sécurisé permet d’offrir les autorisations sur les cartes bancaires, dans un environnement sécurisé. toutes les cartes de paiement locales ou étrangères sont acceptées. La sécurité de SPS est étroitement associée à trois qualités
•
La confidentialité: certains documents ne doivent être vus et utilisés que par des utilisateurs déterminés. C'est notamment le cas des informations apparaissant sur une carte bancaire.
•
L'intégrité: Il s’agit ici de s’assurer que l’information n’a pas été modifiée au cours de son transfert ou dans la base de données, de façon accidentelle ou par malveillance.
•
La disponibilité: Pour assurer l’utilité et augmenter la qualité, SPS doit être disponible à la communauté des internautes 24/24 et sans anomalies. Les services du réseau et la fonction de paiement ne doivent en aucun moment être interrompus.