E-commerce : Cyber-Comm veut contrer SSL avec sa carte bancaire

Aujourd’hui encore, la sécurisation des paiements sur Internet est une question cruciale pour le commerce électronique. Pourtant, dans la grande majorité des cas, la technologie Secure Socket Layer (SSL) demeure la seule brique de sécurisation des paiements. Dans une telle situation, les cartes à puce pourraient bien avoir un rôle à jouer. Sans affirmer dès maintenant avec Hervé Sitruk, directeur général de Cyber-Comm, que “la carte à puce est l’avenir du commerce électronique”. Et que “sans carte, Internet sera sans aucun doute vecteur de fraudes. “ Il faut dire que Cyber-Comm est justement la société qui commercialise l’une des toutes premières solutions de paiement en ligne autorisant l’utilisation de la carte de crédit et fondée sur le protocole de sécurisation SET (Secure Electronic Transaction).
Faute de système d’authentification fort, les paiements en ligne ne sont pas signés, et le marchand ne peut rien contre un client qui répudie son achat. Pour cette raison, la signature enfouie dans la carte doit assurer que le payeur est bien le possesseur du petit rectangle de plastique. Dans ce cadre, Cyber-Comm a choisi une infrastructure à clé publique (PKI, voir encadré ” La technologie clé”). Tout en prenant cependant quelques libertés avec le modèle. En effet, aucun type de carte bancaire (voir schéma EMV et B0′) ne contient de clé privée au sens strict du terme. Avec Cyber-Comm, celle-ci est générée dynamiquement au cours de chaque session de paiement. Concrètement, le lecteur connecté au PC du client récupère des clés propres à la carte et calcule lui-même une clé privée. Associée à la clé publique envoyée par le commerçant lors de la connexion, elle donnera lieu à un échange sécurisé des données avec le client. La carte à puce ne joue ensuite plus aucun rôle dans le processus de paiement, qui se poursuit au ni-veau du lecteur. Celui-ci contient une sorte de boîte noire – hautement protégée par la banque émettrice -, qui déchiffre la signature, la contrôle et valide le paiement. Mais c’est le terminal qui se charge du reste. Il constitue d’ailleurs la brique fondamentale du système en jouant à la fois le rôle de lecteur et de transmetteur de la signature, qu’il chiffre au passage.
Mais il reste de nombreux obstacles. Ainsi, même si Compaq doit sortir des PC avec terminal de paiement à carte intégré dès juillet, la démarche reste rare. Et si Cyber-Comm promeut la mise en place de lecteurs, deux mois après le lancement de son système, il n’en a même pas distribué vingt mille, alors qu’il tablait sur dix fois plus avant la fin de l’année.

La technologie clé

Les systèmes à base de clé privée et clé publique (Public Key Infrastructure) couvrent la protection des données et l’authentification. Elles émettent un certificat propre à chaque utilisateur selon des procédures spécifiées par l’IETF (Internet Engineering Task Force). Chaque certificat constitue donc une signature qui ne peut être déchiffrée que par l’association de la clé privée (normalement stockée en dur dans la carte et générée dynamiquement, dans le cas de Cyber-Comm) à la clé publique. Bien qu’offrant aujourd’hui la meilleure sécurité, ces infrastructures restent complexes à mettre en ?”uvre et peu utilisées. ” Je doute qu’une autorité de certification internationale détenant les clés des systèmes de toutes les entreprises et gouvernements du monde séduise les unes et les autres “, souligne Patrick Jourdas, directeur Europe du Sud de Baltimore. Pour le paiement, c’est pourtant déjà chose faite : concernant Visa et Master Card, c’est leur société commune Setco qui signe toutes les clés du monde.

Témoignage : ” La carte à puce annonce la fin des risques pour le marchand “

Michel Marcombe, directeur général de Club Achat Service, distributeur de TV, hifi, vidéo et électroménager :

” Nous utilisons le service Telecommerce depuis 1998. Et, tous les jours, nous enregistrons des tentatives de fraude avec des cartes dérobées, mais suffisamment viables pour obtenir l’autorisation du centre de paiement. Le service de Telecommerce n’est pas en cause. En effet, tous les systèmes de paiement existants protègent le client… mais pas le marchand ! Pour cette raison, nous avons tout de suite adhéré au système proposé par Cyber-Comm, qui freinera considérablement le taux de fraudes. Nous nous retrouverons sur Internet dans une situation similaire à celle d’un magasin physique utilisant un terminal de paiement pour cartes à puce, à une différence près : le terminal sera chez le client. A condition que les banques le diffusent. “

SSL, la solution concurrente

Une protection par chiffrage beaucoup trop limitée

Aujourd’hui, en matière de sécurisation, la majorité des systèmes de paiement en ligne se repose sur le protocole SSL (Secure Socket Layer), qui chiffre les données avant leur transfert sur le réseau. Sa simplicité en a fait un standard utilisé par la plupart des sites de commerce électronique. Et il a sans aucun doute profité d’un besoin de rapidité de mise en ?”uvre dans la plupart des projets. Mais leur maturité grandissante fera peut-être évoluer les sites de commerce électronique vers des solutions certes beaucoup plus lourdes, mais bien plus sécurisées.
Le succès de SSL réside dans plusieurs éléments. Tout d’abord, il ne nécessite aucune installation chez le client. Standardisé, il s’agit d’une simple extension intégrée à la plupart des navigateurs. L’acte d’achat s’en voit simplifié, et le client, peu habitué à débourser sur Internet, a moins de raisons de s’effrayer. Une seule étape peut encore le troubler : la saisie de son numéro de carte bancaire.
Techniquement, le protocole se borne à sécuriser la couche transport de TCP/IP. Une fois lancée, une session SSL se charge donc uniquement de crypter le numéro de la carte de paiement (et les données concernant la transaction) pendant leur transfert sur le réseau. Mais, par exemple, aucun stockage sécurisé dudit numéro de carte dans les bases de données du marchand n’est prévu… Rien non plus dans SSL pour authentifier les utilisateurs. En général, le client s’identifie à l’aide de son nom associé à un mot de passe, qui peut être perdu, piraté, volé, etc. Une identification qui ne constitue pas en soi une signature. En effet, une commande ou un paiement non signé est une commande ou un paiement qui peut être facilement répudié.

” Pour les particuliers, SSL suffit “

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Marie Varandat