> Tech > SET : sûr mais encombrant

SET : sûr mais encombrant

Tech - Par iTPro - Publié le 24 juin 2010
email

En réexaminant la figure 3, on voit immédiatement que SET corrige les faiblesses de TLS. SET authentifie le client au moyen de son porte-monnaie électronique, lequel est protégé par un numéro d'identification personnel (PIN) que seul le client connaît, empêchant toute utilisation illicite (au moins pour les clients prudents). Cela

SET : sûr mais encombrant

règle à  la fois la réutilisation illicite et la répudiation par
le client. Lors de sa transmission au commerçant, le logiciel SET du client crypte
le numéro de carte de crédit avec la clé publique de la banque, afin que seule
celle-ci puisse le lire. Le commerçant ne reçoit jamais une version en clair des
informations identifiant la carte de crédit du client, ce qui élimine le risque
de divulgation future (délibérée ou accidentelle) par le commerçant ou son personnel.
Comme toutes les parties d’une transaction SET sont cryptées, il n’y aucun risque
de divulgation entre le commerçant et la banque.

Mais il y a quand même un os : comment ce porte-monnaie électronique est-il obtenu,
rangé et utilisé par le client ? Il peut fort bien n’être qu’un fichier crypté
sur le disque dur du client. Le client le crée en le demandant auprès de l’émetteur
de la carte de crédit et en fournissant certaines informations d’identification,
comme des données figurant sur le relevé de carte de crédit du client. La société
de carte de crédit envoie alors au client un fichier à  stocker sur son disque
dur, ce qui demande au client d’entrer un code PIN. Ce dernier est plus long que
les codes à  quatre chiffres utilisés avec les cartes de crédit, et donc beaucoup
plus sûr.

SET ne protège que la transaction de paiement proprement dite

Alors, où est l’os ? Tout simplement, où est votre porte-monnaie électronique
? Vous n’en n’avez pas ? Moi non plus et c’est là  que ça coince ! Pour que SET
fonctionne, les clients doivent adopter le concept du porte-monnaie électronique,
mais quid de Monsieur tout le monde ? Outre le fait qu’il est peu commode de solliciter
et de stocker ce curieux ustensile, le porte-monnaie SET peut être difficile à 
utiliser. Que faire si le porte-monnaie électronique se trouve sur le micro-ordinateur
du domicile et si l’on veut acheter un objet à  partir du lieu de travail, ou à 
partir de la borne interactive Internet d’un aéroport, ou par courrier électronique
? Les supporters du SET rétorquent que l’on peut fort bien stocker un porte-monnaie
électronique sur une carte intelligente ou autre badge électronique personnel
portatif. Bien sûr, mais cela présuppose l’existence d’une norme pour ce type
de badge, ainsi que la présence de lecteurs de badges aux points d’achat. Malheureusement,
il n’existe ni une telle norme ni de tels lecteurs.

Au-delà  du problème que pose le porte-monnaie électronique, l’utilisation de SET
par les commerçants est loin d’être simple. IBM supporte SET dans son système
Net.Commerce, mais beaucoup d’autres programmes courants de boutique sur le Web
l’ignorent. Plus grave encore, les banques sont encore réticentes. Elles ont peu
à  y gagner, parce que ce sont les clients et les commerçants, et pas les banques,
qui assument à  l’heure actuelle les coûts de la fraude et de la répudiation. De
plus, l’introduction de SET dans les circuits de carte de crédit d’une banque,
impose de coûteuses mises à  niveau matérielles et logicielles.

Les propriétaires de SET, Visa International, et MasterCard International, déclarent
répondre à  ces préoccupations en introduisant un standard pour le shopping mobile
SET et en simplifiant la mise en oeuvre de SET pour les commerçants et les banques.
Mais si les problèmes de TLS peuvent être résolus, SET peut être trop gros et
trop précoce, et ses infrastructures trop petites et trop tardives.

Téléchargez cette ressource

Guide de cybersécurité en milieu sensible

Guide de cybersécurité en milieu sensible

Sur fond de vulnérabilités en tout genre, les établissements hospitaliers, pharmacies, laboratoires et autres structures de soin font face à des vagues incessantes de cyberattaques. L’objectif de ce livre blanc est de permettre aux responsables informatiques ainsi qu’à l’écosystème des sous-traitants et prestataires du secteur médical de se plonger dans un état de l’art de la cybersécurité des établissements de santé. Et de faire face à la menace.

Tech - Par iTPro - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT