Techniques de sécurité de l’e-paiement

By 14 April 2011

5. Techniques de Sécurité de l’e-paiement

5.1. Chiffrement (ou cryptage)

« Le chiffrement est l’action de transformation d’un texte “lisible” en un texte “illisible“, via une clé de chiffrement. Seule une personne disposant de la clé de déchiffrement (qui peut être la même que celle de chiffrement) sera en mesure de déchiffrer le texte. » [SECDEV 09]

5.1.1. Type de chiffrement

On distingue deux types de chiffrement [SECDEV 09]:

a) Chiffrement symétrique

Un procédé de chiffrement est dit “symétrique” si les clés de chiffrement et de déchiffrement sont les mêmes. Le chiffrement symétrique est aussi appelé “chiffrement à clé secrète”, puisque cette clé ne doit être connue que par des personnes censées avoir le droit de chiffrer / déchiffrer le message.

b) Chiffrement asymétrique

Le chiffrement asymétrique est aussi appelé “chiffrement à clé publique”. En effet, si une personne souhaite que ses correspondants lui envoient des messages chiffrés, elle devra alors générer 2 clés:

  • – Une première clé servant à chiffrer les messages, qui devra être communiquée à ses correspondants, pour que ceux-ci l’utilisent afin de chiffrer leurs messages.
  • – Une seconde clé, servant quant à elle au déchiffrement, et qui devra rester privée, afin que seule la personne émettrice des clés puisse déchiffrer les messages.

5.1.2. Efficacité de la méthode

« Un système de chiffrement n’est jamais complètement inviolable ! Il faut même partir du principe que quelque soit l’algorithme employé, trouver une faille ou un moyen de déchiffrer les données protégées n’est qu’une question de temps. Selon la taille de la clé (qui se mesure en bits), il existe un nombre fini de combinaisons qu’un pirate peut essayer pour tenter de déchiffrer le message.

Et la robustesse du système est directement proportionnelle au temps nécessaire qu’il faudrait pour le cracker, donc à la taille de la clé. En résumé, pour qu’un message chiffré soit correctement protégé, il faut que le temps de craquage estimé soit supérieur à la pérennité du contenu du message protégé.
Par exemple, si une information est censée rester secrète un mois, et qu’elle est protégée par un système de chiffrement pouvant résister 5 ans, la sécurité de votre message est en théorie assurée !

Aujourd’hui, il est fréquent d’utiliser des clés de 128 bits dans le chiffrement symétrique, ce qui signifie qu’elle est composée d’une suite de 128 “0” ou “1”, ce qui donne 2^128 possibilités de clés.

Concernant le chiffrement asymétrique, des clés publiques de 1024 bits sont maintenant conseillées, l’opération de déchiffrement ne relevant pas du même procédé que le chiffrement symétrique, il faut dans ce cas utiliser des clés beaucoup plus importantes. » [SECDEV 09]

5.2. Signature numérique

La signature numérique d’un document électronique à pour vocation de répondre aux mêmes exigences que la signature manuscrite d’un document papier [SECDEV 09]:

  • Permettre d’authentifier l’auteur d’un document.
  • Garantir qu’une fois signé, le document ne sera plus modifié (falsifié).
  • Donner une valeur juridique (sous certaines conditions) au document.

En pratique, une signature numérique est nettement plus fiable qu’une signature manuscrite, puisque cette technologie utilise la technique du chiffrement asymétrique: vous signez numériquement un document à l’aide de votre clé privée, et la lecture du document se fait par l’intermédiaire de la clé publique correspondante, en général transmise avec le document puisque contrairement au chiffrement classique, le but n’est pas de rendre secret le contenu du message.

sécurité de l’e-paiementCes clés font partie de ce qu’on appelle un certificat d’authentification (voir paragraphe suivant) la valeur juridique du document n’est reconnue que si le certificat d’authentification a été fourni par un organisme certifié et agréé. Il existe des logiciels gratuits pour permettre de signer numériquement les documents (le plus connu étant PGP), mais ces documents n’auront donc pas de valeur légale.

5.3. Infrastructure à clés publiques (PKI)

« Une infrastructure à clés publiques (ICP) ou infrastructure de Gestion de Clés (IGC) ou encore Public Key Infrastructure (PKI), est un ensemble de composants physiques (des ordinateurs, des équipements cryptographiques ou HSM, des cartes à puces), de procédures humaines (vérifications, validation) et de logiciels (système et application) en vue de gérer le cycle de vie des certificats numériques ou certificats électroniques. » [UNIVPAR 09]

Une infrastructure à clés publiques délivre un ensemble de services pour le compte de ses utilisateurs:

  • Enregistrement des utilisateurs (ou équipement informatique).
  • Génération de certificats.
  • Renouvellement de certificats.
  • Révocation de certificats.
  • Publication de certificats.
  • Publication des listes de révocation (comprenant la liste des certificats révoqués).
  • Identification et authentification des utilisateurs (administrateurs ou utilisateurs qui accèdent à l’IGC).
  • Archivage, séquestre et recouvrement des certificats (option).

Lire le mémoire complet ==> (Conception et réalisation d’une plate-forme de commerce électronique)
Mémoire de fin d’études pour l’obtention du diplôme d’Ingénieur d’Etat en Informatique
Ecole nationale supérieure d’informatique