> Tech > TLS : polyvalent mais compliqué

TLS : polyvalent mais compliqué

Tech - Par iTPro - Publié le 24 juin 2010
email

A première vue, TLS semble régler parfaitement le problème des transactions électroniques. Mais examinons de plus près la figure 2 pour voir quelques-uns des pièges cachés de ce procédé. Premièrement, le vendeur fonde chaque transaction d'achat sur trois valeurs simples et pas si privées que cela : nom du client,

TLS : polyvalent mais compliqué

numéro de carte de
crédit et date d’expiration. Rien dans une transaction TLS classique ne vérifie
que le client est bien celui qu’il prétend être. Toute personne possédant ces
trois données magiques peut faire des achats au nom du client.

Deuxièmement, une fois que le vendeur a reçu ces valeurs, TLS ne peut plus les
protéger. Le vendeur va certainement stocker les informations, mais c’est lui
qui décide où et pour combien de temps. Si le vendeur est négligent quant à  ce
stockage, les informations pourraient fort bien être divulguées ultérieurement,
permettant à  un voleur de les réutiliser et d’escroquer le client. Le vendeur
devrait bien entendu crypter les informations et les mettre en lieu sûr, mais
rien dans TLS ne l’y oblige.

Troisièmement, le reste de la transaction, entre le vendeur et la banque, n’est
pas défini par TLS et est complètement incontrôlable par le client. Il n’existe
pas de méthode standard unique, pour les vendeurs et les banques, de vérification
d’une transaction par carte de crédit, et les diverses méthodes existantes ont
chacune leurs points forts et leurs points faibles en matière de sécurité. Nous
verrons plus loin qu’on peut utiliser TLS pour atténuer ce problème, mais comme
il n’existe pas de norme en la matière, les administrateurs de sécurité doivent
généralement utiliser la méthode propre à  l’organisme bancaire.

Et, pour finir, parlons de la répudiation, c’est à  dire de l’acte par lequel un
client nie avoir effectué un achat. Comme les transactions TLS ne comportent pas
d’authentification du client, ni le commerçant ni la banque ne peut prouver que
le client a bien effectué l’achat. Lorsque l’achat par carte de crédit a lieu
en personne, le commerçant a une signature (écrite ou code PIN) et peut demander
au client la preuve de son identité. Avec TLS, le commerçant n’a que la parole
du client.

Téléchargez gratuitement cette ressource

Guide de Cloud Privé Hébergé

Guide de Cloud Privé Hébergé

Comment permettre aux entreprises de se focaliser sur leur cœur de métier, de gagner en agilité, réactivité et résilience en s’appuyant sur un socle informatique performant, évolutif et sécurisé ? Découvrez les avantages des solutions de Cloud Privé hébergé de la CPEM.

Tech - Par iTPro - Publié le 24 juin 2010