3D Secure 3D Secure

1
3D Secure
Cindy et Natalia
30/01/2009
2
30/01/2009
Plan
• Introduction
• Le SET
• SSL/TLS
• Fonctionnement de 3D-Secure
• Conclusion
3
Introduction
30/01/2009
4
30/01/2009
Qu’est-ce que c’est ?
• Protocole de paiement sécurisé sur Internet
• But : réduire le risque d'impayé émis pour
contestation de l’acheteur
• Créé par Visa et Mastercard
• Ce n’est pas : une garantie de paiement !
5
30/01/2009
Etapes du paiement
6
30/01/2009
L’information personnelle
7
Le SET
Ancêtre de 3D-Secure
30/01/2009
8
30/01/2009
Cahier des charges
• Confidentialité
• Intégrité des données transférées
• Authentification de l’utilisateur d’une carte et
du marchand
• Indépendant des protocoles, plate-formes, OS, ...
9
30/01/2009
Vers 3D Secure…
• Echec à cause de sa complexité
• Mise en place de 3D-Secure : schéma simplifié
• Introduction du SSL/TLS
10
SSL/TLS
Protocoles utilisés par 3D-Secure
30/01/2009
11
30/01/2009
Qu’est-ce que c’est ?
• Sécurise la connexion entre deux applications
• Protocoles Internet situés entre le niveau
Transport et Application
• Evolutifs
• Plusieurs concepts cryptographiques
12
30/01/2009
Fonctionnalités de SSL
• Authentification
• Confidentialité
• Identification et intégrité
13
30/01/2009
Limites de SSL:
• Permet d ’authentifier le serveur web du
marchand et pas le marchand lui-même
• Ne permet pas d ’authentifier le porteur de la
carte de crédit
• Les données de paiement peuvent être
transmises au site web marchand.
14
Fonctionnement de 3D Secure
30/01/2009
15
30/01/2009
Concepts
• Protocole de paiement sécurisé sur Internet
• Lier autorisation financière et authentification
• Utilisation de
▫ messages XML
▫ connexions SSL
= authentification client & serveur via certificats
▫ signatures digitales
= intégrité des données
16
30/01/2009
3D = 3 Domaines
• Domaine du Client = l’émetteur
• Domaine Interbancaire
• Domaine du Marchand = l’acquéreur
17
30/01/2009
Architecture générale
18
30/01/2009
Domaine du Client
• Authentification du client
▫ Le Client
achète en ligne
▫ L’Access Control Server (ACS)
vérifie les authentifications
▫ Le Navigateur du client
connexion sécurisée
▫ L’Emetteur (banque du client)
obtention carte
fournisseur d’infos
19
30/01/2009
Domaine du Marchand
• Authentification du marchand
▫ Le Marchand
▫ Le Merchant Plug In (MPI)
intermédiaire pour les échanges
▫ L’Acquéreur (banque du marchand)
authentification du marchand
demande paiement
20
30/01/2009
Domaine Interbancaire
• Gestion d’envoi de messages
▫ Le Directory Server (DS)
vérifie numéro de carte
authentification client
▫ L’Authentification History Server (AHS)
utile si conflit banque/client
▫ L’Etablissement de crédit (VisaNet)
lien entre les 2 banques
21
30/01/2009
Inscription
22
30/01/2009
Achat
23
Conclusion
30/01/2009
24
30/01/2009
Critiques et limites
• Label « Vérifié par Visa »
• Ne règle pas les problèmes d’observation ou Key
Logger
• 3-D Secure engage la responsabilité de l’acheteur
Solution : Reconnaissance d’un élément matériel
25
30/01/2009
Autres solutions
• C-SET
▫
▫
▫
▫
Chip-Secure Electronic Transaction
Utilisation d’une carte à puce
Basé sur le protocole SET
Trop lourd et trop coûteux
• SPA
▫ Secure Payment Application
▫ Problèmes de compatibilité
▫ Inscription longue et fastidieuse
26
30/01/2009
Sources
• http://fr.securityvibes.com/3d-securemobilegov-press-1059.html
• http://www.smsi.rnu.tn/html/manifes/ji
p05/presentations/ANCE.pdf
• http://www.montefiore.ulg.ac.be/~dumo
nt/pdf/crypto.pdf