3D Secure

1

3D SecureCindy et Natalia

30/01/2009

Plan

• Introduction

• Le SET

30/01/2009

2

• Le SET

• SSL/TLS

• Fonctionnement de 3D-Secure

• Conclusion

Introduction

3

Introduction 30/01/2009

Qu’est-ce que c’est ?

• Protocole de paiement sécurisé sur Internet

• But : réduire le risque d'impayé émis pour

30/01/2009

4

• But : réduire le risque d'impayé émis pour contestation de l’acheteur

• Créé par Visa et Mastercard

• Ce n’est pas : une garantie de paiement !

Etapes du paiement

30/01/2009

5

L’information personnelle

30/01/2009

6

Le SET

7

Le SETAncêtre de 3D-Secure

30/01/2009

Cahier des charges

• Confidentialité

• Intégrité des données transférées

30/01/2009

8

• Intégrité des données transférées

• Authentification de l’utilisateur d’une carte et du marchand

• Indépendant des protocoles, plate-formes, OS, ...

Vers 3D Secure…

• Echec à cause de sa complexité

• Mise en place de 3D-Secure : schéma simplifié

30/01/2009

9

• Mise en place de 3D-Secure : schéma simplifié

• Introduction du SSL/TLS

SSL/TLS

10

SSL/TLSProtocoles utilisés par 3D-Secure

30/01/2009

Qu’est-ce que c’est ?

• Sécurise la connexion entre deux applications

• Protocoles Internet situés entre le niveau

30/01/2009

11

• Protocoles Internet situés entre le niveau Transport et Application

• Evolutifs

• Plusieurs concepts cryptographiques

Fonctionnalités de SSL

• Authentification

• Confidentialité

30/01/2009

12

• Confidentialité

• Identification et intégrité

Limites de SSL:

• Permet d ’authentifier le serveur web du marchand et pas le marchand lui-même

30/01/2009

13

• Ne permet pas d ’authentifier le porteur de la carte de crédit

• Les données de paiement peuvent être transmises au site web marchand.

Fonctionnement de 3D Secure

14

Fonctionnement de 3D Secure30/01/2009

Concepts

• Protocole de paiement sécurisé sur Internet

• Lier autorisation financière et authentification

30/01/2009

15

• Lier autorisation financière et authentification

• Utilisation de▫ messages XML

▫ connexions SSL= authentification client & serveur via certificats

▫ signatures digitales= intégrité des données

3D = 3 Domaines

• Domaine du Client = l’émetteur

• Domaine Interbancaire

• Domaine du Marchand = l’acquéreur

30/01/2009

16

• Domaine du Marchand = l’acquéreur

Architecture générale

30/01/2009

17

Domaine du Client• Authentification du client

▫ Le Client� achète en ligne

30/01/2009

18

� achète en ligne

▫ L’Access Control Server (ACS)� vérifie les authentifications

▫ Le Navigateur du client� connexion sécurisée

▫ L’Emetteur (banque du client)� obtention carte

� fournisseur d’infos

Domaine du Marchand

• Authentification du marchand

▫ Le Marchand

30/01/2009

19

▫ Le Merchant Plug In (MPI)� intermédiaire pour les échanges

▫ L’Acquéreur (banque du marchand)� authentification du marchand

� demande paiement

Domaine Interbancaire

• Gestion d’envoi de messages

▫ Le Directory Server (DS)� vérifie numéro de carte

30/01/2009

20

� vérifie numéro de carte

� authentification client

▫ L’Authentification History Server (AHS)� utile si conflit banque/client

▫ L’Etablissement de crédit (VisaNet)� lien entre les 2 banques

Inscription

30/01/2009

21

Achat

30/01/2009

22

Conclusion

23

Conclusion30/01/2009

Critiques et limites

• Label « Vérifié par Visa »

• Ne règle pas les problèmes d’observation ou Key

30/01/2009

24

• Ne règle pas les problèmes d’observation ou Key Logger

• 3-D Secure engage la responsabilité de l’acheteur

Solution : Reconnaissance d’un élément matériel

Autres solutions

• C-SET▫ Chip-Secure Electronic Transaction▫ Utilisation d’une carte à puce

30/01/2009

25

▫ Utilisation d’une carte à puce▫ Basé sur le protocole SET▫ Trop lourd et trop coûteux

• SPA▫ Secure Payment Application▫ Problèmes de compatibilité▫ Inscription longue et fastidieuse

Sources

• http://fr.securityvibes.com/3d-secure-mobilegov-press-1059.html

30/01/2009

26

• http://www.smsi.rnu.tn/html/manifes/jip05/presentations/ANCE.pdf

• http://www.montefiore.ulg.ac.be/~dumont/pdf/crypto.pdf