La confidentialité des achats en ligne

La sécurité des transactions sur Internet est assurée par un protocole, nommé SSL (Secure Socket Layer). Ce protocole utilise un moyen de cryptographie connu, l’algorithme RSA, du nom de ceux qui l’ont conçu en 1976 : Rivest, Shamir et Aldeman.
Le but de ce protocole est de coder les informations échangées entre l’acheteur (vous) et le vendeur (le site de commerce électronique). Passé à la moulinette SSL, tout ce qui concerne la transaction, en particulier le numéro de la carte de crédit, se transforme en message secret, un charabia incompréhensible pour les malveillants qui intercepteraient la communication. Le dialogue s’établit facilement puisque le protocole SSL est intégré à la fois dans votre navigateur (Internet Explorer, Netscape ou autre) et dans le logiciel qui équipe l’ordinateur du commerçant en ligne. Tant que vous ne faites que visiter le site, le SSL reste inactif. Il ne se réveille que lorsque vous passez une commande. Vous en êtes averti par un message à l’écran. C’est seulement quand vous acceptez, en cliquant sur OK, que commence la sécurisation, un processus dont vous ne vous apercevez pas, puisqu’il n’appara”t pas à l’écran.
Deux tours de clé
Le module SSL présent dans votre navigateur commence par fabriquer deux ” clés “, qui sont elles-mêmes un code, comme celui qu’on doit composer sur un cadenas, en plus compliqué. Elles servent à transformer en messages secrets les informations que le SSL va envoyer, puis à déchiffrer ceux qui vont lui parvenir. L’une d’elles ne va pas quitter votre ordinateur, on l’appelle ” clé privée “. L’autre va être envoyée vers le site commercial, c’est la ” clé publique “. Un nom un peu abusif, puisque ce site sera le seul à la posséder, et seulement quelques minutes. A chaque transaction en effet, y compris sur le même site, votre navigateur générera deux nouvelles clés, différentes des précédentes. Ces deux clés ne sont bien sûr pas identiques, mais complémentaires : les messages codés par l’une ne peuvent être décodés que par l’autre, et vice versa. La méthode employée est décrite ci-dessous

Le système SET recourt aux banques

Visa et Mastercard sont en faveur d’un système encore plus sécurisé, le SET (Secure Electronic Transaction). Fondé sur le système SSL, il y ajoute deux autres intervenants : la banque du client et celle du commerçant.
Le site commercial, avec ce nouveau système de protection, ne pourra plus lire le numéro de la carte de l’acheteur. Celui-ci sera directement transmis à sa banque, laquelle entrera en contact avec la banque du client, qui accordera, ou pas, son autorisation. La banque du site commercial transmettra alors cet accord à l’ordinateur du commerçant, qui le relaiera vers l’acheteur, auquel il ne restera plus qu’à confirmer. Double avantage : l’acheteur est certain que le site commercial ne pourra pas diffuser son numéro de carte de crédit, même par accident, et le commerçant est certain d’être payé, puisque la banque donne son accord.

Les étapes d’un paiement sur un site Web

Dès le passage en mode sécurisé SSL, votre navigateur envoie son exemplaire de ” clé publique ” vers le site auquel vous êtes connecté.

Votre ordinateur reçoit ce message (
xyav
) et, avec sa clé, le traduit (il lit alors
truc
). Aussitôt, il le code à son tour (ce qui donne, par exemple,
wzpf
) et envoie ce message au site commercial.

L’ordinateur du site décode le message (
wzpf
) avec la clé que vous lui avez envoyée et retrouve
truc
. Assuré que l’expéditeur du message est bien le même que celui qui a envoyé le code, il peut lui adresser le bon de commande.

Le formulaire parvient à votre navigateur, qui le décrypte avec sa clé et l’affiche à l’écran. Vous pouvez y inscrire le numéro de votre carte de crédit. Les seuls qui le verront, ce seront vous et le commerçant… comme dans un magasin.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

La rédaction