> Tech > Commerce électronique : le marché aux puces

Commerce électronique : le marché aux puces

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

Beaucoup d'entreprises considèrent toujours les cartes à  puce comme une technologie futuriste. C'est peut-être le cas de la vôtre. Pour Windows 2000, en revanche, elles sont d'ores et déjà  une réalité bien actuelle, et bénéficieront donc d'un support extrêmement intégré. Cet article présente les cartes à  puce, en expliquant leur importance et leur fonctionnement et comment commencer à  les utiliser dans Windows 2000. Nous détaillerons plus particulièrement la configuration d'une connexion avec la carte à  puce GemSAFE de Gemplus et le lecteur GCR410. Et comme cette technologie n'est pas parfaite non plus, nous verronségalement un certain nombre de risques qui lui sont inhérents.
Les cartes à  puce permettent de créer une infrastructure à  clé publique (PKI pour public key infrastructure), laquelle facilite, à  son tour, l'e-commerce. Une PKI permet d'atteindre un niveau de confiance pour les transactions électroniques, au moins égal à  celui de l'univers du papier et de la signature manuscrite. Une PKI peut garantir l'intégrité des messages, la confidentialité et le non-reniement.
Vous ne pouvez pas nier avoir envoyé un message, s'il est signé de votre certificat numérique, puisque votre clé publique vérifie votre signature.
Si une clé publique vérifie avec succès une signature, la seule personne qui a pu envoyer le message est celle qui détient la clé publique. La pierre angulaire de la sécurité d'une PKI est que la clé privée associée à  un certificat numérique doit rester privée. Sinon, un hacker peut utiliser une clé privée pour contrefaire facilement les transactions.

Les cartes à  puce permettent de créer une infrastructure à  clé publique (PKI), laquelle facilite, à  son tour, l'e-commerce

Les cartes à  puce protègent les clés privées, si cruciales pour la PKI. Sans carte
à  puce, les clés privées résident sur le poste de travail local, à  la merci des
attaques de hackers et de l’accès physique. Lorsque le certificat est stocké sur
une carte à  puce, le processeur intégré à  la carte génère directement et en permanence
la clé privée correspondante.
La carte à  puce traite toute information devant être chiffrée en se servant de
votre clé privée.Cette procédure pourrait sembler peu pratique quand il s’agit
de chiffrer et d’envoyer par e-mail un fichier de plusieurs mégaoctets.

Comment les ressources relativement lentes d’une carte à  puce peuvent-elles réaliser
ce chiffrement ?
Parce que conformément à  la stratégie de PKI, ce ne sont pas les données réelles
qui sont chiffrées avec les clés publiques et privées. En fait, le système génère
une clé de session symétrique, beaucoup plus rapide pour chiffrer le fichier,
puis envoie cette clé et le fichier, que la carte à  puce chiffre d’abord avec
la clé privée. Le destinataire déchiffre la clé de session avec la clé publique
de votre certificat, puis les données.

De cette manière, seule une infime quantité de données passe par la carte à  puce.Les
cartes à  puce permettent aussi d’emmener sa clé privée avec soi. Si vous vous
déplacez d’un poste de travail à  l’autre sans carte à  puce, vous risquez de ne
pas avoir accès à  votre certificat selon le logiciel de PKI que vous utilisez.

En revanche avec une carte à  puce vous pouvez aller sur n’importe quel système
possédant un lecteur de carte et vous connecter, engager des transactions, signer
et chiffrer le courrier électronique, etc. Finalement, lorsqu’il existera des
PKI vraiment publiques, vous pourrez effectuer les mêmes actions dans les kiosques
Internet d’un aéroport. En limitant la clé privée à  une carte à  puce, vous évitez
beaucoup de risques.
Dans l’article  » Protégez vos mots de passe  » d’octobre 1998, j’ai décrit les
nombreuses façons de voler les mots de passe NT qui sont stockés sur le système
local. Comme les hackers commencent à  s’intéresser à  la PKI eux aussi, je prévois
des incidents similaires avec des vols de clés privées stockées localement.

Les cartes à  puce réduisent aussi les risques des mots de passe. Les utilisateurs
négligent souvent de créer des mots de passe de qualité ; c’est pourquoi les pirates
peuvent facilement les deviner. Les mots de passe sont également vulnérables aux
programmes d’espionnage du réseau et d’intrusion. Les cartes à  puce assurent une
authentification beaucoup plus forte : l’utilisateur doit avoir la carte à  puce
physiquement et doit connaître le code PIN (personal identification number) de
celle-ci. Même lorsqu’un utilisateur égare sa carte à  puce, un hacker n’a que
peu de chances de deviner le code PIN avant que la carte ne se verrouille définitivement
elle-même.
Dès que l’utilisateur signale la perte de la carte, le logiciel de PKI peut révoquer
le certificat et l’invalider même si l’intrus découvre le PIN.Les cartes à  puce
sont infraudables – on ne peut pas les ouvrir et extraire physiquement la clé
privée, ni les copier comme leurs prédécesseurs à  bande magnétique.

De plus nous y sommes familiarisés : nous sommes habitués à  nous servir et à  manipuler
soigneusement les cartes de crédit et de retrait, et à  utiliser un code PIN. Leur
acceptation par les utilisateurs est cruciale pour permettre d’avoir une PKI universelle.
(Pour en savoir plus sur les avantages – et inconvénients – des cartes à  puce,
voir l’encadré  » Les  » smart cards  » sont-elles intelligentes ? « )Windows NT n’offre
pas nativement le support des cartes à  puce, mais vous pouvez l’ajouter avec des
produits comme GemSAFE et sécuriser ainsi la messagerie électronique et la navigation
sur le Web.

De plus les applications supportant les standards PKI peuvent alors utiliser les
cartes à  puce pour le chiffrement ou les signatures numériques.

Par exemple, Microsoft Office 2000 permet de signer numériquement les macros de
Word et Adobe Acrobat 4.0 supporte les signatures numériques. Windows 2000 supporte
la PKI et les cartes à  puce au niveau de l’OS et des répertoires, facilitant ainsi
son utilisation universelle dans tout le système.
Il permet d’utiliser les cartes à  puce pour ouvrir une session, chiffrer le courrier
électronique et les fichiers sur disque, accéder au Web et plus encore.

Téléchargez gratuitement cette ressource

Guide de facturation électronique, voie royale pour le DAF et la digitalisation de la fonction finance

Guide de facturation électronique, voie royale pour le DAF et la digitalisation de la fonction finance

Ce livre blanc expose les problématiques auxquelles sont confrontés les DAF modernes et souligne les bénéfices de la facturation électronique pour la trésorerie. Il dévoile également le processus de déploiement de ce projet de transformation digitale que la réglementation rendra bientôt obligatoire.

Tech - Par iTPro.fr - Publié le 24 juin 2010