Commerce électronique : SSL et SET

  Il est très pratique de contrôler ses comptes, ou de commander son billet de train depuui chez soi, grâce à Internet. Souvent, on donne son numéro de CB sans se soucier de quoi que ce soit : circule-t-il en clair sur le réseau? est-ce bien au commerçant qu'il est transmis, pas à quelqu'un qui usurpe son identité?

  Heureusement, les protocoles de sécurisation des transactions électroniques s'occupent de cela. Le plus répandu est SSL (Secure Sockets Layers, couche de transport sécurisé), mis au point par la société Netscape en 1994. Il fonctionne de manière totalement transparente pour l'utilisateur, qui ne se rend pas compte qu'il est connecté à un site sécurisé, si ce n'est l'URL qui commence par https:// (s pour secure), et un petit cadenas qui s'affiche dans le navigateur.

  Ssl utilise la cryptographie à clé publique, la cryptographie à clé secrète, et les certificats électroniques. Supposons que Greg commande un bouquet à la boutique en ligne "Milfleurs". Nous assistons à l'échange suivant :
  • Greg se connecte au site sécurisé de Milfleurs. Ce dernier lui envoie un certificat électronique, qui donne sa clé publique d'échange P, ainsi que le certificat qui prouve qu'il s'agit bien de lui.
  • Greg (en fait, son navigateur) vérifie le certificat. Il se met d'accord avec le serveur distant sur un système cryptographique commun à clé secrète à utiliser (en pratique, le plus sûr qu'ils ont en commun). Puis il choisit au hasard une clé pour cet algorithme, la clé de session.
  • Greg transmet cette clé au serveur, en utilisant la clé publique de celui-ci. Les 2 protagonistes sont alors en possession d'une même clé de session qu'ils sont les seuls à posséder. Greg peut envoyer son numéro de carte bancaire en toute sécurité.
  Ce protocole a deux inconvénients majeurs :
  • il n'évite pas la non-répudiation : rien ne certifie au marchand que c'est Greg qui a passé commande, et celui-ci peut toujours protesté auprès de sa banque pour être remboursé.
  • le marchand est en possession du numéro de CB du client. S'il est peu scrupuleux, il peut s'en servir à son compte. Cela dit, jusqu'en 2001, les facturettes de CB (dont le commerçant récupère un exemplaire) comportait aussi ce numéro.
  Un nouveau protocole, le SET (Secure Electronic Transaction) est en voie de remplacer SSL. Considérablement plus complexe, il a été mis au point par les sociétés Visa et Mastercard. Il fait cette fois intervenir aussi les banques du client et du commerçant. Greg envoie cette fois directement son numéro de CB à la banque du commerçant. Celle-ci vérifie les coordonnées bancaires, et confirme au commmerçant si elles sont valides ou non. Les deux inconvénients précédemment cités sont éliminés.



Et encore, dans la cryptographie expliquée...


Sommaire de la Cryptographie Expliquée - Plan du site - Retour à la BibM@th - Tous droits réservés - Frédéric Bayart -