4. Les
stratégies de sécurisation sur le canal Internet
Internet élargit l'offre de services bancaires aux
clients du monde entier ; ce qui n'est pas sans poser des
problèmes. En effet, les problèmes de cryptage et de
sécurité se posant au niveau des échanges et des
transactions, deviennent une exigence essentielle pour la protection des
consommateurs. La sécurité est un élément
fondamental de la relation banque - clients en matière
d' « Internet banking » et de valeur ajoutée
bancaire. Notons que nous pouvons distinguer trois principaux types de
protocoles de sécurisation qui sont SSL (le plus utilisé), SET et
C-SET, suivant que la sécurisation s'appuie ou non sur l'utilisation du
microprocesseur de la carte à puce :
a. SSL (Secure
Socket Layer)
C'est le protocole le plus courant de sécurisation. Il
n'utilise pas la puce de la carte bancaire, mais il crypte son numéro.
Ce système a toutefois plusieurs faiblesses, notamment au niveau du
stockage des informations car si le site n'est pas correctement
protégé (par des « firewalls »), rien
n'empêche un pirate d'aller y chercher les numéros des cartes qui
sont stockées et de s'en servir. Certaine banques utilisent l'algorithme
RSA (Secure Server Certification Authority) pour sécuriser leurs
sessions, au travers du protocole SSL développé par Netscape. Ce
protocole est aujourd'hui utilisé par la plupart des sites
sécurisés, du fait de sa souplesse et de sa compatibilité
avec la plupart des navigateurs Web. Il fait aujourd'hui appel à une
clé de cryptage de 40 bits pour les transactions et 128 bits pour le
cryptage du certificat ; ce qui correspond à un niveau de
sécurité suffisant compte tenu des informations qui transitent
sur le réseau.
b. SET (Secure
Electronic Transaction)
Le standard SET se veut la synthèse des protocoles STT
et SEPP respectivement développés par Visa et Mastercard, et
abandonnés au profit de SET. Ce dernier offre actuellement une
protection logicielle (il n'utilise pas non plus la puce de la carte). C'est un
protocole qui unit trois parties, dont un tiers certificateur qui crypte et
détient les informations confidentielles. Il permet la
confidentialité de la transmission et la conservation de
l'intégrité des instructions par signature
électronique.
c. C-SET
(Chip-Secure Electronic Transaction)
Le GIE Cartes Bancaires a développé le standard
C-SET qui a pour objectif d'assurer les paiements sur Internet en s'appuyant
sur le standard SET et sur la carte bancaire à puce : le consommateur
doit donc être équipé d'un lecteur de carte. C-SET se veut
une solution beaucoup plus sûre que SET, mais elle nécessite que
le client ait un lecteur de carte sécurisé.
Les banques, conscientes de l'enjeu, sont de plus en plus
nombreuses à travailler tant sur la sécurisation
« réelle » des transactions que sur la
sécurisation « psychologique » car il s'avère
nécessaire d'adopter des technologies qui donnent confiance aux
clients.
|