Le commerce sécurisé sur Internet grâce à C-SET

Publié le par e-commerce

  

Le paiement par carte nécessite que les acteurs s'authentifient mutuellement pour éviter les fraudes.

En paiement de proximité, le logo de la marque, l'hologramme sur la carte, la signature ou le code confidentiel, ainsi que la vitrophanie commerçant, permettent au client et au commerçant de se reconnaître, voire de s'authentifier correctement.

En paiement à distance, on ne peut pas procéder de même puisque le client et le commerçant ne se voient pas. On a recourt à des "certificat client" et "certificat commerçant", qui sont en quelque sorte la "carte d'identité Internet" propre au client et la "carte d'identité Internet" propre au commerçant, que chacun peut vérifier. Plus d'informations techniques.

Avant toute première utilisation, il est nécessaire de délivrer son "certificat" au client : c'est le point sensible de cette méthode. En effet, l'obtention du "certificat" par le client est prévue on-line. Il se pose donc le problème d'authentifier le client préalablement, avant de lui fournir un "certificat" qui lui permettra de s'authentifier ensuite auprès des commerçants. On le voit, c'est un problème "de poule et d'œuf" !

Les sécurisations SET et C-SET apportent une réponse différente à la délivrance initiale du certificat au client, et aux risques de fraude couverts.

Les FAQ suivantes devraient répondre à toutes vos interrogations.


Pourquoi le nom "C-SET" ?

Il signifie "Chip-Secure Electronique Transaction", c'est à dire en français "Transaction de paiement Electronique (sur Internet) Sécurisée par carte à Puce".

Le nom a été choisi en février 96, pour diverses raisons :

  • pour montrer que le protocole s'appuie sur le protocole SET (pour "Secure Electronic Transaction") défini par MasterCard et VISA, dont il reprend tous les principes,
  • pour montrer que le protocole SET a été adapté à l'environnement "carte à puce", ou plus exactement qu'il a été adapté pour prendre en compte un environnement sécuritaire physique (ce que SET avait explicitement laissé de côté). Seule l'utilisation de lecteurs de cartes et des boîtes noires, permettent une réelle sécurisation.

Le nom anglo-saxon "C-SET" est ensuite resté dans la communauté bancaire française.


Quels sont les différents risques de fraude ?

  • Faux porteur : le client indique un faux numéro de carte, ou un vrai numéro qui n'est pas le sien. Le pirate peut généralement être retrouvé grâce au nom et à l'adresse de livraison (s'ils sont exacts !), mais cela génère des coûts de recherche, voire des frais juridiques, pour le commerçant. Dans certains cas, cela peut représenter une perte pour le commerçant. Si par hasard le numéro est bon, cela génère également un désagrément du vrai porteur de la carte, et une atteinte à l'image de la carte, de la banque, et du commerçant.
  • Faux commerçant : un pirate crée un serveur Internet pour vendre soi-disant un produit, mais n'envoie rien et disparaît au bout de quelques semaines avec tous les numéros de cartes mémorisés, pour les utiliser de façon frauduleuse par ailleurs. Variante : le pirate relie son serveur Internet à un vrai web-commerçant, et mémorise au passage les numéros de cartes ; le vrai web-commerçant livrant les produits aux clients, il n'y a pas de réclamations, et ce piratage peut durer plus longtemps avant que quelqu'un s'en aperçoive. Dans les 2 cas, il y a risque de perte pour la banque du client "piraté", et risque de décrédibilisation vis à vis des clients.
  • Virus "cheval de Troie" : des virus sont des logiciels particuliers qui peuvent se transmettre à partir d'une disquette infectée, d'un réseau local, d'un téléchargement FTP, d'un courrier électronique reçu avec un fichier attaché, ou d'une consultation de page sur Internet (via applet Java ou Active X). Certains virus, dits "chevaux de Troie" (heureusement encore très peu nombreux, mais cela pourrait venir...), peuvent sommeiller dans votre micro-ordinateur en attendant certaines actions telles que : frappe d'une séquence de chiffres au clavier pouvant être un numéro de carte, ou transit du numéro de carte non chiffré sur le bus interne du micro-ordinateur, ou détection d'un fichier à la norme X509 pouvant être un certificat client, etc. Une fois détectée, les données sont mémorisées jusqu'à un moment d'inactivité du micro-ordinateur (heure de déjeuner, voire en pleine nuit) et le virus peut déclencher une connexion Internet (en rallumant le micro-ordinateur si besoin, sur les derniers modèles, et en rendant généralement inopérant les protections "firewall" des réseaux d'entreprise qui ne filtrent souvent que les accès entrants), et envoie un courrier électronique au "pirate" avec les données interceptées. Le pirate peut alors se faire passer pour le vrai client. Le risque financier est le même que dans le cas "faux commerçant".
  • Virus "no-WYSIWYG" : se dit des virus capables d'afficher à l'écran une information différente de celle utilisée dans le paiement. Par exemple, affichage du prix réel de l'article commandé, mais utilisation de 10 fois le prix dans le paiement envoyé au commerçant. Ces virus pourraient générer des profits sur des commerçants frauduleux (qui disparaîtraient par exemple sous 15 jours, avant les réclamations des clients), ou plus probablement générer des perturbations chez tous les commerçants de bonne foie et une perte de confiance des utilisateurs. Il n'y a pas encore de cas connu de ce type de virus...

La sécurisation SET apporte certaines protections aux risques évoqués ci-dessus. La sécurisation C-SET apporte par contre une protection complète.


Quelles sont les caractéristiques principales de C-SET par rapport à SET ?

SET est un protocole défini par MasterCard, VISA, et des acteurs américains intervenant sur Internet, pour sécuriser les paiements effectués par carte sur Internet.

Le client n'utilise pas physiquement sa carte, mais utilise son "certificat SET" qui lui a été donné. Ce certificat est enregistré sur le disque dur de son micro-ordinateur, ou sur une disquette.

C-SET est un protocole et surtout une architecture définis par le Groupement des Cartes Bancaires.

Le protocole C-SET est une adaptation du protocole SET permettant d'intégrer un environnement de sécurité physique (ce que ne fait pas SET), notamment la carte à puce, des lecteurs sécurisés de cartes à puce, et des "Boîtes Noires Commerce Electronique" :

  • La caractéristique la plus évidente de C-SET est que la carte bancaire actuelle est physiquement utilisée avec sa puce.
  • Les lecteurs sécurisés se présentent sous la forme d'un boîtier au format d'une calculatrice, et intègrent un lecteur de puce bi-position : AFNOR pour la lecture des cartes dites B0' (comme les cartes bancaires diffusées actuellement en France), et ISO pour la lecture de cartes EMV (pour des applications futures). Ils comportent également un pavé numérique et un afficheur. Enfin ils intègrent un logiciel interne, et un module cryptographique RSA pour vérifier ou effectuer des signatures, et contrôler l'intégrité des logiciels utilisés. Le logiciel interne est téléchargé de façon sécurisée, ce qui permettra d'intégrer d'autres applications, telles que la Banque à Domicile, le contrôle d'accès, le téléchargement sécurisé d'informations dans la puce, etc. Cela permettra également une évolution facile vers l'utilisation de cartes aux normes EMV. Enfin un dispositif s'assure que le logiciel porteur est authentique (donc certifié par la banque) et offre une traçabilité des éventuelles tentatives de piratage. A terme, les lecteurs pourraient être intégrés par les constructeurs de micro-ordinateurs (dans le clavier par exemple). Pour fonctionner, les lecteurs devront être agréés par le Groupement des Cartes Bancaires.
  • Les Boîtes Noires Commerce Electronique sont des matériels sécurisés de cryptographie, adaptés des Boîtes Noires bancaires, actuellement utilisées en France, à un environnement réseau TCP/IP et à la cryptographie RSA.
  • Enfin, signalons que l'architecture C-SET comporte 2 types de matériels fondamentaux : les "Gestionnaires de Télépaiement Internet" et les "Traducteurs" :
  • Les Gestionnaires de Télépaiement Internet reprennent les principes sécuritaires qui avaient été définis pour la sécurisation du Télépaiement par Minitel. Ils gèrent les paiements nationaux pour le compte des banques des commerçants, et permettent d'offrir un service de délégation, sous certains montants, pour le compte des banques émettrices de cartes.
  • Les Traducteurs assurent la gestion des flux internationaux en jouant le rôle de Passerelles de Sécurité entre la France et l'International.


La sécurisation C-SET est-elle interopérable avec la sécurisation SET ?

Oui. Le Traducteur situé à Europay France permettra une interopérabilité totale avec SET, et cela aussi bien pour les paiements internationaux des étrangers SET sur des webs français C-SET , que pour les paiements internationaux des français munis d'un lecteur et d'une carte à puce, sur des webs étrangers.

De plus, le Traducteur joue un rôle de Passerelle de Sécurité permettant d'utiliser en France des clés de chiffrement françaises, même pour les paiements internationaux, et satisfaire ainsi à la législation française. C-SET est LA SEULE solution ayant cette caractéristique.


Quel est le principe de fonctionnement de C-SET ?

Le client devra télécharger le logiciel "C-SET client", une fois pour toutes. C'est ce logiciel qui sera appelé (en tant que "helper") par son navigateur, automatiquement lors du paiement.

Lors du paiement, le logiciel "C-SET client" est activé par le navigateur, et demande au porteur de carte d'insérer sa carte (ou une de ses cartes bancaires à puce) pour payer.

Le client insère sa carte dans le lecteur de cartes à puce, connecté sur son micro-ordinateur.

Le lecteur de cartes à puce s'utilise comme le terminal de paiement électronique chez les commerçants : le montant est affiché, et le code confidentiel est demandé pour validation.

Après frappe du code confidentiel, les "données Internet" chiffrées sont récupérées dans la puce, et envoyées au commerçant, avec d'autres informations calculées par la puce (en utilisant l'algorithme cryptographique DES interne aux cartes à puce, et la clé secrète propre à la carte).

Le commerçant ne peut les déchiffrer, et les envoie au Gestionnaire de Télépaiement Internet (GTI). Le GTI effectue tous les contrôles sécuritaires, génère éventuellement une demande d'autorisation sur le Réseau des Cartes Bancaires, et renvoie une réponse, positive ou négative, au commerçant qui informe le client de l'acceptation ou du refus de la commande.

Durant toute la phase du paiement, le logiciel "C-SET client" affiche sur l'écran du micro-ordinateur l'action en cours, pour terminer par l'affichage d'un ticket de paiement, avec : date, montant, nom de la carte utilisée (mais pas le numéro ou la date de validité !), nom du commerçant, adresse Internet (URL) du commerçant. Ce ticket peut être imprimé ou enregistré pour impression ultérieure (utile pour les micro-ordinateurs portables).


Quelle sécurité apporte l'utilisation d'un lecteur sécurisé et de la puce ?

La solution C-SET est LA solution apportant à ce jour la meilleure sécurité qui soit, grâce notamment aux cartes à puce et aux lecteurs sécurisés :

  • protection contre la délivrance de "certificats" aux faux porteurs : la carte à puce et le code confidentiel permettent d'authentifier le vrai porteur de la carte, pour télécharger dans la carte les "données Internet" propres au porteur,
  • protection contre les tentatives de paiement par les faux porteurs : à chaque paiement, un "aléa" est envoyé à la puce par le "Gestionnaire de Télépaiement Internet" pour calculer une signature, qui est ensuite vérifiée par ce "Gestionnaire de Télépaiement Internet", en cohérence avec les "données Internet" incluses dans la puce ; un faux porteur ne possède pas la carte et ne sera pas capable de présenter une signature conforme ; C-SET est LA SEULE solution offrant un tel niveau de sécurité, aussi bien pour les paiements en France que pour les paiements chez des commerçants étrangers.
  • protection contre les tentatives de fraude du type "faux commerçant" : comme dans SET, chaque commerçant possède un "certificat" qui assure le client de l'authenticité du commerçant,
  • protection contre les virus "chevaux de Troie" : l'utilisation d'une carte à puce et d'un lecteur sécurisé de cartes à puce, avec son propre logiciel et son propre clavier numérique, permet d'être insensible aux "chevaux de Troie" ; C-SET est LA SEULE solution offrant un tel niveau de sécurité,
  • protection contre les virus "no-WYSIWYG" : l'utilisation d'une carte à puce et d'un lecteur sécurisé avec son propre afficheur permet d'être insensible aux virus "no-WYSIWYG" ; C-SET est LA SEULE solution offrant un tel niveau de sécurité.


Comment sont stockées les données sensibles avec C-SET ?

Dans une étape ultérieure, toutes les données propres aux clients, et nécessaires pour payer sur Internet, seront incorporées chiffrées dans les cartes, dès leur fabrication (ou plus exactement, à l'étape dite de "personnalisation" des cartes). Comme Monsieur Jourdain faisait de la prose sans le savoir, les porteurs de cartes auront tous, la plupart sans le savoir, des "données Internet" chiffrées dans leur carte pour payer sur Internet.

Le numéro de carte et la date de validité chiffrés, ainsi que l'adresse Internet du Traducteur de la Banque, font notamment partie des "données Internet" propres au client.

Le changement des chaînes de personnalisation étant une étape lourde d'un point de vue logistique, une étape intermédiaire est prévue, et durera environ 2 ans.

Dans cette phase intermédiaire, les "données Internet" propres au client seront téléchargées chiffrées dans la carte, de façon sécuritaire (méthode dite de "post-personnalisation"). Ceci concernera les seuls clients intéressés par le paiement sur Internet, et qui auront fait l'achat d'un lecteur sécurisé agréé par le groupement des Cartes Bancaires.

La durée de vie des "données Internet" propre au porteur de carte est limitée intentionnellement à la date de validité de la carte.


Quelles facilités d'utilisation C-SET procure-t-il ?

Un des gros intérêts de C-SET, en dehors de sa forte sécurité, est son excellente "portabilité" : une fois vos données chargées dans votre puce, vous pouvez payez où que vous soyez, pourvu qu'il y ait un lecteur de carte à puce connecté au micro-ordinateur.

Si vous avez un lecteur au bureau ou à la maison, vous pouvez également en faire profiter vos collègues ou vos amis, pour peu qu'ils se téléchargent préalablement leurs "données Internet" privées, dans leur carte, via votre lecteur.

C-SET pourra être utilisé dans des lieux publics comme les Cyber-Café puisque toutes les données nécessaires pour les transactions sont stockées dans la puce.

Actuellement inexistants, demain existants à quelques 10.000 exemplaires avec le lancement du pilote Europay France, mais encore rares, ils deviendront de plus en plus nombreux au fur et à mesure que des possibilités nouvelles apparaîtront, et que le prix des lecteurs diminuera

L'apparition de ce type de lecteurs intégrés au micro-ordinateur par les constructeurs pourrait accélérer fortement leur diffusion (à l'image des lecteurs de CD-ROM qui étaient aussi rarissimes au début).


Quels sont les autres avantages de C-SET ?

En dehors de sa forte sécurité, du respect de la législation française en matière de cryptographie, de la garantie de paiement pouvant être offerte au commerçant, et de sa grande portabilité, C-SET présente de nombreux avantages pour un futur proche :

  • C-SET permet également de sécuriser les services de "Banque à Domicile" : consultations de compte, virements, achat de parts de SICAV, passage d'ordre de Bourse, etc.
  • les lecteurs pourront lire également des cartes "porte-monnaie électronique" permettant d'acheter des services de petits montants : recherche et lecture d'un article de journaux, téléchargement d'un jeu ou d'un logiciel, etc.
  • les lecteurs sont d'ores et déjà adaptés pour les futures cartes bancaires aux normes EMV qui existeront d'ici quelques années,
  • les lecteurs pourront télécharger dans les cartes EMV des informations diverses, telles que l'achat d'un billet de transport, d'une place de théâtre, etc.
  • enfin, les lecteurs pourront aussi servir pour des applications non-bancaires telles que la protection d'accès à l'ordinateur, la lecture de la future carte santé, l'anti-piratage des logiciels livrés avec carte à puce, etc.


Qu'est-ce qu'un " certificat " ?

Un "certificat" comporte des données, propres à celui qui les détient, "signées" par un Tiers de Confiance du système, et dont chacun peut vérifier l'authenticité de la signature électronique (en utilisant la clé publique RSA, connue de tous, du Tiers de Confiance).

RSA est un système de cryptographie asymétrique. Chaque acteur détient un "bi-clé" comprenant une clé publique et une clé privée associée. Il communique sa clé publique au destinataire, mais garde confidentielle sa clé privée ... d'où le nom des clés ! Un message chiffrée par une clé (publique ou privée), ne peut être déchiffré que par l'autre clé (respectivement : privée ou publique). Si le destinataire B utilise la clé publique de A pour chiffrer un message et l'envoyer à A, seul A pourra le déchiffrer avec sa clé privée qu'il est le seul à détenir : cela assure la confidentialité du message. Si A chiffre des données avec sa clé privée et envoie cela à B en joignant sa clé publique, alors B peut les déchiffrer : cela permet à B de s'assurer de l'authenticité de la provenance des données, car seul A a pu les chiffrer avec sa clé privée (et donc les données ne proviennent pas d'un pirate se faisant passer pour A).

Le Tiers peut être une société américaine telle que GTE ou VERISIGN, ou une société nationale (banque, organisme interbancaire, ou prestataire bancaire) reconnue par MasterCard et/ou VISA.

Les données comprennent l'identité de l'acteur (nom, adresse si besoin, etc.) et sa clé publique RSA. Un condensât de ces données est effectué, ensuite chiffré avec la clé privée RSA du Tiers de Confiance. Le résultat s'appelle "signature des données ". Elle est transmise en même temps que les données en clair, au destinataire. L'ensemble des données en clair et de leur signature s'appelle "certificat".

Le destinataire peut déchiffrer la signature en utilisant la clé publique RSA du Tiers de Confiance connue de tous ; il vérifie ensuite qu'il obtient bien le même condensât à partir des données en clair, ce qui lui montre l'authenticité du certificat reçu.


Pourquoi C-SET simplifie-t-il l'implémentation chez le commerçant ?

Selon la norme SET, le paiement par carte nécessite, pour éviter les fraudes, que les acteurs s'authentifient mutuellement. On a donc recourt à des "certificat client" et "certificat commerçant". Ce sont, en quelque sorte, des "carte d'identité Internet" propres à chaque client et à chaque commerçant.

Ces certificats dépendent des organismes émetteurs de cartes bancaires tels que VISA ou Eurocard-MasterCard. Or pour que des transactions entre un commerçant et un client soient possibles il faut que les certificats du client et du commerçant proviennent du même organisme d'émission de carte. Sachant que les clients des commerçants peuvent adhérer à n'importe lequel de ces organismes, il est donc nécessaire pour un commerçant d'obtenir autant de certificats qu'il y a d'organismes émetteurs.

Pour faciliter la mise en œuvre logistique chez le commerçant, C-SET, contrairement à SET, fourni un seul certificat au commerçant lui permettant ainsi d'effectuer des transactions avec tous ses clients quelque soient les organismes émetteurs auxquels ils adhèrent.


C-SET est-elle une solution de cryptographie permise en France ?

C-SET fait l'objet d'une demande d'autorisation auprès du SCSSI (Service Central de la Sécurité des Systèmes d'Information), service dépendant du Premier Ministre.

De nombreuses remarques du SCSSI ont été prises en compte pour garantir que :

  • toute la cryptographie soit déportée dans la carte à puce (cryptographie DES) et dans le lecteur sécurisé (cryptographie RSA), afin qu'aucun moyen cryptographique ne soit à la disposition du client et puisse être détourné,
  • les clés utilisées soient des clés françaises (même pour des paiements internationaux) et puissent être données, ou les messages déchiffrés, sur commission rogatoire.

C-SET est LA SEULE solution en cours d'autorisation en France par le SCSSI.


Quel est le rôle d'Europay France ?

  • Europay France coordonne la phase pilote et met en place tous les moyens techniques nécessaires :
  • achat groupé des lecteurs de cartes à puce et subvention partielle,
  • Traducteurs C-SET/SET et SET/C-SET, pour gérer les paiements internationaux,
  • Gestionnaire de Télépaiement Internet, pour gérer les paiements nationaux,
  • Serveur de Téléchargement du logiciel "C-SET client" et des "données Internet" dans les cartes,
  • Poste d'accréditation des commerçants C-SET,
  • Rubrique "Commerce Electronique" sur le web "eurocardmastercard.tm.fr", pour communiquer sur C-SET, sur le pilote, et recueillir les candidatures porteurs et commerçants,

  • Où puis-je me procurer les spécifications C-SET du Groupement des Cartes Bancaires ?

Vous pouvez télécharger les spécifications C-SET rédigées par le Groupement des Cartes Bancaires en vous connectant sur leur site.

ATTENTION : ces spécifications sont du niveau de complexité de SET, et sont à usage des techniciens avertis en matière de sécurité.


Quels sont les dix points forts de C-SET ?

Voici, en bref, les principales caractéristiques de C-SET :

1.C-SET dispose du meilleur niveau sécuritaire. L'utilisation conjointe de boîtes noires chez les commerçants ainsi que de lecteurs sécurisés et de cartes à puce chez les clients, font aujourd'hui de C-SET la solution la mieux sécurisée.

2.C-SET est la seule solution de commerce électronique permise en France à ce jour. Elle a fait l'objet d'une autorisation du SCSSI (Service Central de la Sécurité des Systèmes d'Information).

3.C-SET totalement interopérable avec SET, permet d'effectuer des paiements en France comme à l'étranger. Les porteurs français peuvent acheter chez des commerçants étrangers disposant de SET. Réciproquement, les clients internationaux certifiés SET, peuvent effectuer leurs achats chez des commerçants français.

4.Les lecteurs de carte à puces utilisés avec C-SET, sont compatibles avec les cartes actuelles et les futures cartes EMV.

5.C-SET offre aux clients une portabilité excellente. Toutes les données nécessaires pour le paiement sont stockées dans la puce. Le porteur peut payer indifféremment de n'importe quel ordinateur disposant d'un lecteur sécurisé : chez lui, chez un ami, au bureau, dans un cyber-café ou tout autre lieu public.

6.C-SET présente la même ergonomie que dans le paiement de proximité. Le client n'est ainsi pas dérouté par son utilisation.

7.C-SET est le seul système à offrir une garantie de paiement pour les clients français, et un régime comparable à la vente par correspondance pour les clients internationaux.

8.C-SET créé par le Groupement de carte Bancaire est le seul dispositif de paiement sur Internet validé par toutes les banques françaises.

9.Le système de certification de C-SET rend beaucoup plus simple sa mise en œuvre logistique chez le commerçant.

10.Les lecteurs de cartes à puces, connectés aux machines des clients, constituent des périphériques de sécurité pouvant avoir dans un proche avenir beaucoup d'autres applications. Par exemple :

  • accès sécurisé aux services de Banques à Domicile (virement, Bourse, etc...),
  • dispositif d'identification permettant l'accès protégé aux PC et aux systèmes en réseaux,
  • la lecture de la future carte santé,
  • le chargement dans la carte EMV de billets d'avion, de places de théâtre, ...

 

source : http://thierry-pericard.net

 

Publié dans cours et exercices

Commenter cet article