Passer au contenu

SSL : l’inamovible pis-aller de l’e-paiement

Malgré ses failles en termes d’authentification, le protocole Secure Sockets Layer règne toujours en maître sur la sécurité des paiements.

Conçu par Netscape à l’aube de l’explosion d’internet en 1995, SSL constitue le protocole de facto du paiement sur internet. Il est inclus en standard dans chaque navigateur. Les marchands du web dans leur majorité y ont aussi massivement recours. Comme le souligne Pierre Bouriez, PDG du cybermarché Houra.fr, “pour qui veut faire du commerce sur internet et atteindre un nombre important de clients, SSL demeure aujourd’hui la seule solution de protection des transmissions de données”. Ce protocole chiffre et authentifie les échanges entre le serveur web du marchand et le navigateur de l’internaute.

La validité du certificat en question

Seulement voilà : SSL s’appuie sur une déclinaison édulcorée des ICP (infrastructures à clés publiques). L’authentification est l’un de ses talons d’Achille : l’internaute valide lui-même le certificat transmis par le serveur. Il utilise une liste de clés racines des principales autorités de certification référencées dans son navigateur. Il n’y a donc pas de vérification a posteriori de la validité du certificat. Ce qui ouvre la voie à une attaque dite “man in the middle”. La nouvelle version 3 de SSL, rebaptisée TLS (Transport Layer Security) et pilotée par l’IETF, améliore l’authentification. Très peu employée, elle fait toujours l’impasse sur toute notion de révocation et, donc, d’infrastructure.Selon Jacques Pantin, PDG de Certplus, dont le fonds de commerce est constitué principalement des certificats SSL, “ce protocole est destiné à la vente par correspondance. Ces sociétés disposent d’une adresse de livraison et vérifient, une fois la commande enregistrée, la légitimité des commandes afin d’écarter celles qui paraissent les plus suspectes”. Les sociétés de vente par correspondance sont elles-mêmes très prudentes à l’égard de SSL. “Sur internet, la Redoute, à titre d’exemple, n’accepte que des achats effectués par des internautes déjà référencés en tant que clients”, renchérit David Bon, chef de produit monétique pour le cabinet Setib. De plus, SSL engage la responsabilité du marchand en cas de fraude. “Certaines sociétés, qui subissent un taux de fraude élevé, ne présentent même pas les transactions qui leur semblent suspectes pour éviter les frais”, révèle ainsi Jacques Pantin. De ce fait, les banques font payer les frais d’opposition aux commerçants.

SET : une solution de rechange en échec

“Tant que les sociétés n’auront pas été victimes de fraude massive, elles se satisferont de SSL. Si elles sont prises pour cibles, elles souhaiteront très vite mettre en place un autre mécanisme de sécurité”, remarque David Bon.Le protocole SET (Secure Electronic Transactions), soutenu par Visa et Mastercard, a longtemps été poussé comme une alternative à SSL. Arrivé trop tôt et ne bénéficiant pas d’un soutien unanime de la part des banques européennes, il a, depuis, subi un échec cuisant. Des solutions nationales, comme celle de Cyber-Comm en France, ont renforcé ces divisions. Visa UE tente de revenir à la charge avec une initiative baptisée Three Domain SET (3D SET). Elle laisse le libre choix en matière d’authentification cliente, mais conserve SET au niveau du serveur marchand et des passerelles bancaires pour assurer leur interopérabilité.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Xavier Bouchet