Chapitre 4

1,045 views
876 views

Published on

cours e-commerce

0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,045
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
7
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Chapitre 4

  1. 1. Chapitre 4: Les moyens de sécurité des transactions du E-Commerce Institut des Hautes Etudes Licence (L3): Commerce international Raouf JAZIRI [email_address]
  2. 2. La sécurité du paiement électroniques <ul><li> Le paiement sécurisé est de nature à : </li></ul><ul><li>Permettre l’ authentification des acteurs </li></ul><ul><li>Garantir l’ intégrité des données (pas d’altération) </li></ul><ul><li>Garantir la confidentialité des données </li></ul><ul><li>Garantir la non répudiation des intervenants </li></ul>
  3. 3. Problématique de sécurité des e-transactions Politique de Sécurité Infrastructure de Sécurité Authentification Confidentialité Intégrité Non-Répudiation E-Commerce E-Government E-Banking
  4. 4. 1. Confidentialité des Données <ul><li>Concept permettant de s’assurer que l’information ne peut être lue que par les personnes autorisées </li></ul><ul><li>Solution dans le monde réel : </li></ul><ul><ul><li>Utilisation d’enveloppes scellées </li></ul></ul><ul><ul><li>Verrouillage avec clés </li></ul></ul><ul><ul><li>Mesures de Sécurité physique </li></ul></ul><ul><ul><li>Utilisation de l’encre invisible </li></ul></ul><ul><ul><li>etc </li></ul></ul>
  5. 5. 2. Authentification <ul><li>Concept permettant de s’assurer que l’identité de l’interlocuteur et bien celle qu’il prétend </li></ul><ul><li>Techniques traditionnelles : </li></ul><ul><ul><li>Some Thing you Know : mot de passe </li></ul></ul><ul><ul><li>Some Thing you Have : carte à puce </li></ul></ul><ul><ul><li>Some Thing you Are : empreinte digitale </li></ul></ul>
  6. 6. 3. Intégrité des Données <ul><li>Ensemble de moyens et techniques permettant de restreindre la modification des données aux personnes autorisées. </li></ul>
  7. 7. 4. Non-Répudiation <ul><li>Ensemble de moyens et techniques permettant de prouver la participation d’une entité dans un échange de données </li></ul><ul><li>Technique traditionnelle : la signature légalisée </li></ul>
  8. 8. Problèmes de Sécurité sur Internet <ul><li>Problèmes dus à des failles notamment dans les protocoles de communication </li></ul><ul><ul><li>Toute information circulant sur Internet peut être capturée et enregistrée et/ou modifiée </li></ul></ul><ul><ul><ul><li>Problème de confidentialité et d’intégrité </li></ul></ul></ul><ul><ul><li>Toute personne peut falsifier son adresse IP ( spoofing ) ce qui engendre une fausse identification </li></ul></ul><ul><ul><ul><li>Problème d’authentification </li></ul></ul></ul><ul><ul><li>Aucune preuve n’est fournie par Internet quant à la participation dans un échange électronique </li></ul></ul><ul><ul><ul><li>Problème d’absence de traçabilité (problème de répudiation) </li></ul></ul></ul>
  9. 9. La cryptographie (1) <ul><li>Science mathématique permettant d’effectuer des opérations sur un texte intelligible afin d’assurer une ou plusieurs propriétés de la sécurité de l’information </li></ul>Confidentialité Non-Répudiation Intégrité Authentification
  10. 10. Cryptographie : Terminologie <ul><li>Cryptanalyse : la Science permettant d’étudier les systèmes cryptographiques en vue de les tester ou de les casser </li></ul><ul><li>Cryptologie : la science qui regroupe la cryptographie et la cryptanalyse </li></ul>
  11. 11. Crypto-Systèmes <ul><li>Les crypto-systèmes symétriques </li></ul><ul><li>Les crypto-systèmes asymétriques </li></ul>
  12. 12. 1. Cryptographie Symétrique : Principes <ul><li>Les deux parties communicantes utilisent un algorithme symétrique et une même clé pour crypter et décrypter les données </li></ul><ul><li>Une clé symétrique appelée aussi clé de session est une séquence binaire aléatoire dont la longueur dépend de l’algorithme </li></ul>
  13. 13. <ul><li>Une clé secrète (Unique) partagée entre les 2 parties qui sert pour le chiffrement et le déchiffrement du message </li></ul>Cryptographie: Chiffrement Symétrique
  14. 14. Cryptographie à clé secrète <ul><li>Ali et Mohamed partagent une clé S (SKC) </li></ul>A M S S
  15. 15. Cryptographie Symétrique : Principes Cryptage Internet Décryptage Voici le numéro de ma carte de crédit 111111, ☺☼♀☻ ♠♣▼╫◊ ♫◙◘€ £ ¥₪Ω ٭ Texte clair Clé 01010000111 Clé 01010000111 Emetteur Récepteur Voici le numéro de ma carte de crédit 111111, Texte clair Texte crypté
  16. 16. Cryptographie Symétrique : Avantages et Inconvénients <ul><li>Assure la confidentialité des données </li></ul><ul><li>Souffre d’un problème de distribution de clés </li></ul><ul><li>Problème de Gestion des clés </li></ul>
  17. 17. <ul><li>Algorithmes utilisant ce système : </li></ul><ul><ul><li>DES (Data Encryption Standard, très répandu) : les données sont découpées en blocs de 64 bits et codées grâce à la clé secrète de 56 bits propre à un couple d’utilisateurs </li></ul></ul><ul><ul><li>Avantage : </li></ul></ul><ul><ul><li>Rapide </li></ul></ul><ul><li>Inconvénients : </li></ul><ul><ul><li>Il faut autant de paires de clés que de couples de correspondants </li></ul></ul><ul><ul><li>La non-répudiation n’est pas assurée. Mon correspondant possédant la même clé que moi, il peut fabriquer un message en usurpant mon identité </li></ul></ul><ul><ul><li>Transmission de clé </li></ul></ul>Cryptographie: Chiffrement Symétrique
  18. 18. Cryptographie Asymétrique : Principes <ul><li>Chaque personne dispose d’une paire de clé : </li></ul><ul><ul><li>Clé privée: connue uniquement par son propriétaire </li></ul></ul><ul><ul><li>Clé publique: publiée dans des annuaires publiques </li></ul></ul><ul><li>On crypte avec les clés publiques, le décryptage se fait uniquement avec les clés privées </li></ul>
  19. 19. <ul><ul><li>Clé publique </li></ul></ul><ul><ul><ul><li>Sert à chiffrer le message </li></ul></ul></ul><ul><ul><li>Clé privée </li></ul></ul><ul><ul><ul><li>Sert à déchiffrer le message </li></ul></ul></ul>Cryptographie Chiffrement Asymétrique
  20. 20. <ul><li>Chaque personne a 2 clés </li></ul><ul><li>Clé publique pour chiffrement de message connue par les deux acteurs (Ka,b) </li></ul><ul><li>Clé secrète pour chacun (Ka et Kb) pour déchiffrement de message </li></ul><ul><li>Ali connaît ka , Ka,b </li></ul>Cryptographie : Chiffrement Asymétrique A M
  21. 21. <ul><li>Ali veut protéger le message envoyé à Mohamed. </li></ul><ul><li>Mohamed veut s’assurer que le message vient d ’Ali </li></ul>Client Serveur HTTP Client veut protéger son numéro de carte #VISA 4973 …. …. 9332 A B Cryptographie : Exemples d’utilisation
  22. 22. Cryptographie Asymétrique Premier Mode (1) Cryptage Internet Décryptage Voici le numéro de ma carte de crédit 111111, ☺☼♀☻ ♠♣▼╫◊ ♫◙◘€ £ ¥₪Ω ٭ Texte clair Clé publique du récepteur Clé privée du récepteur Emetteur Récepteur Voici le numéro de ma carte de crédit 111111, Texte clair Texte crypté
  23. 23. Cryptographie Asymétrique Premier Mode (2) <ul><li>Ce mode assure la confidentialité des données </li></ul>Confidentialité
  24. 24. Cryptographie Asymétrique signature électronique (1) Cryptage Internet Décryptage Voici le numéro de ma carte de crédit 111111, ☺☼♀☻ ♠♣▼╫◊ ♫◙◘€ £ ¥₪Ω ٭ Texte clair Clé privée de l’émetteur Clé publique de l’émetteur Emetteur Récepteur Voici le numéro de ma carte de crédit 111111, Texte clair Texte crypté
  25. 25. Cryptographie Asymétrique Deuxième Mode (2) <ul><li>Ce mode assure l’authenticité de l’émetteur ainsi que la non-répudiation </li></ul>Non-Répudiation Authentification
  26. 26. Cryptographie Asymétrique : Exemples <ul><li>RSA (Ron Rivest, Adi Shamir et leonard Adelman) : algorithme utilisé pour le cryptage et la signature électronique </li></ul><ul><li>Diffie-Hellman : algorithme utilisé pour l’échange et la distribution des clés symétriques </li></ul>
  27. 27. Cryptographie Asymétrique: Avantages et Inconvénients <ul><li>Assure l’authentification et la non-répudiation </li></ul><ul><li>N’est pas limité par la distribution des clés </li></ul><ul><li>Système très lent </li></ul>
  28. 28. Authentification <ul><li>Définition </li></ul><ul><li>La personne à qui j'envoie un message crypté est-elle bien celle à laquelle je pense ? </li></ul><ul><li>La personne qui m'envoie un message crypté est-elle bien celle à qui je pense ? </li></ul>
  29. 29. Authentification : Technique d’identification <ul><li>Prouveur </li></ul><ul><ul><li>Celui qui s’identifie, qui prétend être… </li></ul></ul><ul><li>Vérifieur </li></ul><ul><ul><li>Fournisseur du service </li></ul></ul><ul><li>Challenge </li></ul><ul><ul><li>Le Vérifieur va lancer un challenge au prouveur que ce dernier doit réaliser ? </li></ul></ul>
  30. 30. Technique A Clé Publique: Principe <ul><li>Algorithme RSA = Réversible </li></ul><ul><ul><li>(( Mess ) CPu ) CPr = (( Mess ) CPr ) CPu </li></ul></ul><ul><li>Confidentialité </li></ul><ul><li>Authentification </li></ul>
  31. 31. Confidentialité Le Texte est totalement confidentiel car le destinataire est le seul a avoir la clé privée
  32. 32. Authentification On est sûr de l’identité de l’émetteur car il est le seul à pouvoir chiffrer un message avec cette clé privée
  33. 33. Technique A Clé Publique: Protocole Mohamed 1) F demande la Clé Publique de D 2) S envoie la Clé Publique de D à F 3) F envoie le « challenge » à D: Décrypte mon message M1 ( If ) et renvoie mon If pour me le prouver! 4) D décrypte M1 et demande à S la Clé Publique de F 5) S envoie la Clé Publique de F à D 6) A son tour D envoie un « challenge » à F: Décrypte mon message M2 ( If , Id ) et renvoie mon Id ! 7) F décrypte M2 et renvoie M3 ( Id ) à D pour lui montrer qu’il y est arrivé 8) F & D peuvent maintenant par ex s’envoyer des messages en créant une Clé Privée à partir de ( If , Id ) Serveur d’authentification – Annuaire (Clé Publiques de Ali & Mohamed…) 1 2 Ali 4 5 6 M2 3 M1 7 M3 8

×