3D Secure 3D Secure
Transcription
3D Secure 3D Secure
1 3D Secure Cindy et Natalia 30/01/2009 2 30/01/2009 Plan • Introduction • Le SET • SSL/TLS • Fonctionnement de 3D-Secure • Conclusion 3 Introduction 30/01/2009 4 30/01/2009 Qu’est-ce que c’est ? • Protocole de paiement sécurisé sur Internet • But : réduire le risque d'impayé émis pour contestation de l’acheteur • Créé par Visa et Mastercard • Ce n’est pas : une garantie de paiement ! 5 30/01/2009 Etapes du paiement 6 30/01/2009 L’information personnelle 7 Le SET Ancêtre de 3D-Secure 30/01/2009 8 30/01/2009 Cahier des charges • Confidentialité • Intégrité des données transférées • Authentification de l’utilisateur d’une carte et du marchand • Indépendant des protocoles, plate-formes, OS, ... 9 30/01/2009 Vers 3D Secure… • Echec à cause de sa complexité • Mise en place de 3D-Secure : schéma simplifié • Introduction du SSL/TLS 10 SSL/TLS Protocoles utilisés par 3D-Secure 30/01/2009 11 30/01/2009 Qu’est-ce que c’est ? • Sécurise la connexion entre deux applications • Protocoles Internet situés entre le niveau Transport et Application • Evolutifs • Plusieurs concepts cryptographiques 12 30/01/2009 Fonctionnalités de SSL • Authentification • Confidentialité • Identification et intégrité 13 30/01/2009 Limites de SSL: • Permet d ’authentifier le serveur web du marchand et pas le marchand lui-même • Ne permet pas d ’authentifier le porteur de la carte de crédit • Les données de paiement peuvent être transmises au site web marchand. 14 Fonctionnement de 3D Secure 30/01/2009 15 30/01/2009 Concepts • Protocole de paiement sécurisé sur Internet • Lier autorisation financière et authentification • Utilisation de ▫ messages XML ▫ connexions SSL = authentification client & serveur via certificats ▫ signatures digitales = intégrité des données 16 30/01/2009 3D = 3 Domaines • Domaine du Client = l’émetteur • Domaine Interbancaire • Domaine du Marchand = l’acquéreur 17 30/01/2009 Architecture générale 18 30/01/2009 Domaine du Client • Authentification du client ▫ Le Client achète en ligne ▫ L’Access Control Server (ACS) vérifie les authentifications ▫ Le Navigateur du client connexion sécurisée ▫ L’Emetteur (banque du client) obtention carte fournisseur d’infos 19 30/01/2009 Domaine du Marchand • Authentification du marchand ▫ Le Marchand ▫ Le Merchant Plug In (MPI) intermédiaire pour les échanges ▫ L’Acquéreur (banque du marchand) authentification du marchand demande paiement 20 30/01/2009 Domaine Interbancaire • Gestion d’envoi de messages ▫ Le Directory Server (DS) vérifie numéro de carte authentification client ▫ L’Authentification History Server (AHS) utile si conflit banque/client ▫ L’Etablissement de crédit (VisaNet) lien entre les 2 banques 21 30/01/2009 Inscription 22 30/01/2009 Achat 23 Conclusion 30/01/2009 24 30/01/2009 Critiques et limites • Label « Vérifié par Visa » • Ne règle pas les problèmes d’observation ou Key Logger • 3-D Secure engage la responsabilité de l’acheteur Solution : Reconnaissance d’un élément matériel 25 30/01/2009 Autres solutions • C-SET ▫ ▫ ▫ ▫ Chip-Secure Electronic Transaction Utilisation d’une carte à puce Basé sur le protocole SET Trop lourd et trop coûteux • SPA ▫ Secure Payment Application ▫ Problèmes de compatibilité ▫ Inscription longue et fastidieuse 26 30/01/2009 Sources • http://fr.securityvibes.com/3d-securemobilegov-press-1059.html • http://www.smsi.rnu.tn/html/manifes/ji p05/presentations/ANCE.pdf • http://www.montefiore.ulg.ac.be/~dumo nt/pdf/crypto.pdf