Bonjour à tous !
Je me présente Ewar et j'ai une question à vous poser sur les achats sur internet et notamment le protocole le plus utilisé : SSL.
J'ai trouvé un site fort intéressant sur le sujet:
http://www.secuser.com/dossiers/securite_paiements.htm
Il y a un petit point que je ne comprends pas.
Je vais vous l'expliquer. Tout d'abord, je précise que je comprends le processus du SSl c'est à dire que le client et le serveur obtiennent tous les deux une clé commune secrète qui ne peut s'être échangé entre les deux parties seulement après l'avoir chiffré avec un système asymétrique.
Mon problème se situe plus au niveau du déroulement dans le cas de l'intervention d'un tiers.
D'après le site, il dise qu'il y a un intermédiaire financier qui se charge de vérifier les données auprès de la banque du client.
Avez déjà en tête une entreprise qui joue ce rôle ?
L'acheteur se connecte sur le site marchand et entame la procédure d'achat (il y a donc le commencement d'échange d'informations entre le navigateur de l'acheteur et celui du site marchand afin d'établir un clé secrète commune et par la même occasion s'assurer de l'authenticité du site marchand par le certificat).
Logiquement l'acheteur est redirigé vers le site de l'intermédiaire financiers où il entre son numéro de carte, le cryptogramme, la date de validité. L'intermédiaire va se charger de contrôler si le compte du client est valide, si la carte est non opposée, auprès de la banque du client...et envoie un message de confirmation au site marchand.
Mon problème est comment l'acheteur a pu envoyé ses coordonnées bancaires, en sachant que la clé de session servant à chiffrer justement les coordonnées bancaires, a été établi et non entre l'acheteur et l'intermédiaire entre l'acheteur et le site marchand financier .
Avez vous une idée ?
Il y a forcement une session SSL avec le commerçant (pour pouvoir l'authentifier et vérifier qu'il est bien celui qu'il prétend être)
Merci d'avance !
-----