PAIEMENT PAR TELEPHONE MOBILE
Transcript of PAIEMENT PAR TELEPHONE MOBILE
N° d’ordre : 04/TCO/RS
Année universitaire : 2007/2008
UNIVERSITE D’ANTANANARIVO -----------------------
ECOLE SUPERIEURE POLYTECHNIQUE -----------------------
DEPARTEMENT TELECOMMUNICATION
MEMOIRE DE FIN D’ETUDES
En vue de l’obtention
du DIPLOME D’INGENIEUR
Spécialité : Télécommunication Option : Réseaux et Systèmes
par : RAHOLISON Zafitomponirina Nantenaina
PAIEMENT PAR TELEPHONE MOBILE Soutenu le Mercredi 07 Janvier 2009 devant la commission d’examen composée de :
Président :
Monsieur RANDRIAMITANTSOA Paul Auguste
Examinateurs :
Monsieur RAZAKARIVONY Jules
Monsieur RASAMOELINA Jacques Nirina
Monsieur RADONAMANDIMBY Edmond Jean Pierre
Directeur de mémoire :
Monsieur RATSIMBAZAFY Andriamanga
i
REMERCIEMENTS
De tout mon être, je voudrais dire merci au SEIGNEUR, c’est par sa grâce que j’ai pu arriver à terme
à ce mémoire.
Je tiens également à exprimer ma gratitude envers les personnes suivantes :
Monsieur RAMANANTSIZEHENA Pascal, Professeur Titulaire, Directeur de l’Ecole Supérieure
Polytechnique d’Antananarivo
Monsieur RANDRIAMITANTSOA Paul Auguste, Professeur, Chef de Département
Télécommunication, qui m’a permise d’effectuer mes études au sein dudit Département et qui me fait
l’honneur de présider le jury.
Monsieur RATSIMBAZAFY Andriamanga, Maître de Conférences, Directeur de ce mémoire, qui a
bien voulu partager ses connaissances et donner ses conseils lors de la réalisation de ce mémoire
Les enseignants qui ont accepté de siéger parmi les membres de jury :
- Monsieur RAZAKARIVONY Jules, Maître de Conférences, Enseignant-Chercheur au sein du
Département Télécommunication
- Monsieur RASAMOELINA Jacques Nirina, Assistant, Enseignant-Chercheur au sein du
Département Télécommunication
- Monsieur RADONAMANDIMBY Edmond Jean Pierre, Assistant, Enseignant-Chercheur au
sein du Département Télécommunication
Tous les membres du corps enseignant et du personnel administratif à l’Ecole Supérieure
Polytechnique d’Antananarivo
Mes chers parents qui n’ont pas cessé de me soutenir aussi bien moralement que matériellement
durant ces longues années d’études.
Toute ma famille, tous mes amis et tous ceux qui ont contribué à l’élaboration ce mémoire.
Je vous suis reconnaissante et que Dieu vous bénisse dans tout ce que vous entreprenez.
ii
TABLE DES MATIERES
REMERCIEMENTS ...................................................................................................................................... ...... i
LISTE DES ABREVIATIONS ...................................................................................................................... ..... v
INTRODUCTION .......................................................................................................................................... ..... 1
CHAPITRE 1 : LA TELEPHONIE MOBILE ET LE COMMERCE EL ECTRONIQUE ..................... ..... 3
1.1. La téléphonie mobile ................................................................................................................................ ..... 3
1.1.1. Historique ................................................................................................................................................................... 3
1.1.2. La norme GSM .......................................................................................................................................................... 4
1.1.2.1. Présentation ......................................................................................................................................................... 4
1.1.2.2. Les bandes de fréquence utilisées par le GSM .................................................................................................. 5
1.1.2.3. Caractéristiques radio de la norme GSM .......................................................................................................... 5
1.1.2.4. Architecture d’un réseau GSM .......................................................................................................................... 6
1.1.2.5. Les besoins du GSM ............................................................................................................................................ 8
1.1.2.6. Les protocoles .................................................................................................................................................... 10
1.1.2.7. L’évolution du GSM ......................................................................................................................................... 11
1.1.3. Les services à valeur ajoutée ................................................................................................................................... 12
1.2. Le commerce électronique ...................................................................................................................... ... 14
1.2.1. Définitions ................................................................................................................................................................ 14
1.2.1.1. L’e-commerce ou commerce électronique ...................................................................................................... 14
1.2.1.2. Le paiement électronique .................................................................................................................................. 15
1.2.1.3. Le terminal de paiement électronique ou TPE ............................................................................................... 15
1.2.2. Types de transaction ................................................................................................................................................ 15
1.2.3. Caractéristiques du paiement électronique ............................................................................................................. 16
1.2.3.1. Confidentialité ................................................................................................................................................... 16
1.2.3.2. Intégrité .............................................................................................................................................................. 16
1.2.3.3. Authentification ................................................................................................................................................. 16
1.3. Conclusion…….. ...................................................................................................................................... ... 17
CHAPITRE 2 : LES SOLUTIONS DE PAIEMENT MOBILE ..... ............................................................ ... 18
2.1. La chaîne de valeur des paiements mobiles ........................................................................................... ... 18
2.1.1. Structure ................................................................................................................................................................... 18
2.1.2. Définition des rôles .................................................................................................................................................. 18
2.1.2.1. Le client .............................................................................................................................................................. 18
2.1.2.2. Le marchand ...................................................................................................................................................... 19
2.1.2.3. Le FSPM (Fournisseur de Service de Paiement Mobile) ............................................................................... 19
2.1.2.4. Le Fournisseur de solution de paiement .......................................................................................................... 20
iii
2.1.2.5. L’opérateur de réseau ....................................................................................................................................... 20
2.1.2.6. Les institutions financières ............................................................................................................................... 20
2.2. Mécanismes de paiement mobile ............................................................................................................ ... 20
2.2.1. La facture postpayée ................................................................................................................................................ 22
2.2.2. Le compte prépayé ................................................................................................................................................... 22
2.2.3. Le débit direct ........................................................................................................................................................... 23
2.2.4. La carte de crédit ..................................................................................................................................................... 24
2.2.5. Le porte-monnaie réseau ......................................................................................................................................... 24
2.3. Technologies d’accès ................................................................................................................................ ... 25
2.3.1. Les SMS ................................................................................................................................................................... 25
2.3.2. Le WAP (Wireless Application Protocol) ................................................................................................................ 25
2.3.3. La Commande vocale .............................................................................................................................................. 26
2.3.4. La technologie NFC Near Field Communication .................................................................................................. 26
2.4. Procédures de paiement .......................................................................................................................... ... 27
2.4.1. Payer son parking ................................................................................................................................................... 27
2.4.2. Acheter un ticket électronique ................................................................................................................................. 27
2.4.3. Payer chez un commerçant ..................................................................................................................................... 28
2.5. Le protocole WAP (Wireless Application Protocol) ............................................................................. ... 28
2.5.1. Principe .................................................................................................................................................................... 28
2.5.2. Architecture ............................................................................................................................................................. 29
2.5.2.1. Un serveur de contenu ..................................................................................................................................... 29
2.5.2.2. Un proxy WAP .................................................................................................................................................. 29
2.5.2.3. Un client léger WAP .......................................................................................................................................... 29
2.5.3. La passerelle WAP ................................................................................................................................................... 30
2.5.4. Les couches WAP .................................................................................................................................................... 30
2.5.4.1. Couche WAE ..................................................................................................................................................... 31
2.5.4.2. Couche WSP ...................................................................................................................................................... 32
2.5.4.3. Couche WTP ...................................................................................................................................................... 32
2.5.4.4. Couche WTLS ................................................................................................................................................... 32
2.5.4.5. Couches WDP et UDP ....................................................................................................................................... 33
2.5.4.6. Les supports ....................................................................................................................................................... 33
2.5.5. Les modèles d’interaction ........................................................................................................................................ 33
2.5.5.1. Pull ...................................................................................................................................................................... 33
2.5.5.2. Push .................................................................................................................................................................... 33
2.6. Conclusion….. .......................................................................................................................................... ... 35
CHAPITRE 3 : SECURISATION ................................................................................................................. ... 36
3.1. La cryptographie ..................................................................................................................................... ... 36
iv
3.1.1. Les algorithmes à clef simple (symétriques) - Type DES (Data Encryption System) ........................................... 36
3.1.2. Les algorithmes à clefs doubles (asymétriques) - Type RSA (Rivest, Schamir and Adleman) .............................. 37
3.1.3. Cryptographie hybride ............................................................................................................................................. 38
3.2. Mécanismes d’authentification ............................................................................................................... ... 39
3.2.1. Mot de passe ............................................................................................................................................................. 39
3.2.2. Systèmes biométriques ............................................................................................................................................. 40
3.2.2.1. Identification vocale .......................................................................................................................................... 40
3.2.2.2. Empreinte digitale ............................................................................................................................................. 41
3.2.2.3. Physiologie de la main ....................................................................................................................................... 41
3.2.2.4. Scan de l’iris ou de la rétine .............................................................................................................................. 42
3.3. Protocoles…. . … ....................................................................................................................................... ... 43
3.3.1. SSL : Secure Socket Layer ...................................................................................................................................... 43
3.3.1.1. Principe .............................................................................................................................................................. 43
3.3.1.2. Avantages ........................................................................................................................................................... 44
3.3.1.3. Faiblesses ............................................................................................................................................................ 44
3.3.2. SET : Secure Electronic Transactions .................................................................................................................... 45
3.3.2.1. Principe .............................................................................................................................................................. 45
3.3.2.2. Avantages ........................................................................................................................................................... 46
3.3.2.3. Faiblesses ............................................................................................................................................................ 46
3.4. Conclusion….. .......................................................................................................................................... ... 46
CHAPITRE 4 : SIMULATION AVEC SUN JAVA WIRELESS TOOL KIT 2.5.1 ................................. ... 47
4.1. Les outils utilisés pour la simulation ...................................................................................................... ... 47
4.1.1. La plateforme J2ME ................................................................................................................................................ 47
4.1.2. Sun Java Wireless ToolKit ...................................................................................................................................... 47
4.2. Simulation du cas du porte-monnaie électronique ................................................................................ ... 49
4.2.1. Hypothèses ............................................................................................................................................................... 49
4.2.2. Message d’accueil et saisie du code personnel ....................................................................................................... 49
4.2.3. Accéder au service ................................................................................................................................................... 50
4.2.4. Référence et quantité du produit ............................................................................................................................. 50
4.2.5. Résultat de la transaction ........................................................................................................................................ 52
4.2.6. Messages d’erreur .................................................................................................................................................... 52
4.3. Conclusion….. .......................................................................................................................................... ... 53
CONCLUSION…. .......................................................................................................................................... ... 54
ANNEXE: CODE SOURCE .......................................................................................................................... ... 55
BIBLIOGRAPHIE .......................................................................................................................................... ... 68
PAGE DE RENSEIGNEMENTS .................................................................................................................. ... 70
RESUME………… ......................................................................................................................................... ... 71
v
LISTE DES ABREVIATIONS
AMPS : Advanced Mobile Phone Service
AMRF : Accès Multiple à Répartition de Fréquence
AMRT : Accès Multiple à Répartition dans le Temps
ARCEP : Autorité de Régulation des Communications Electroniques et des Postes
AUC : AUthentication Center
BSC : Base Station Controller
BSS : Base Station Subsystem
BTS : Base Transmitter Station
CC : Call Control
CCITT : Comité Consultatif International pour le Téléphone et le Télégraphe
CDC : Connected Device Configuration
CDMA : Code Division Multiple Access
CEPT : Conférence Européenne des Postes et Télécommunications
CFU : Call Forwarding Unconditional
CLDC : Connected Limited Device Configuration
CLIP : Calling Line Identification Presentation
CVM : Compact Virtual Machine
DCS : Data Communication System
DES : Data Encryption System
EDGE : Enhanced Data rates for GSM Evolution
ETSI : European Telecommunication Standard Institute
FCC : Federal Communications Commission
FSPM : Fournisseur de Service de Paiement Mobile
GMSK : Gaussian Minimum Shift Keying
GPRS : General Packet Radio Service
GSM : Global System for Mobile communication
HLR : Home Location Register
HTML : HyperText Markup Language
HTTP : HyperText Transfer Protocol
J2ME : Java 2 Micro Edition
vi
J2SE : Java 2 Standard Edition
JVM : Java Virtual Machine
KVM : Kilobyte Virtual Machine
LAPD : Link Access Protocol D-channel
LTP : Long Term Prediction
MET : Mobile Electronic Transaction
MIC : Modulation par Impulsion et Codage
MIDP : Mobile Information Device Profile
MM : Mobility Management
MS : Mobile Station
MSC : Mobile Switching Controller
NFC : Near Field Communication
NSS : Network SubSystem
OMC : Operation and Maintenance Center
PDA : Personal Digital Assistant
PIN : Personal Identifier Number
RFID : Radio Frequency IDentification
RNIS : Réseau Numérique à Intégration de Service
RPE : Regular Pulse Excited
RR : Radio Ressource management
RSA : Rivest, Schamir and Adleman
RTCP : Réseau Téléphonique Commuté Public
SET : Secure Electronic Transactions
SI : System Indication
SL : System Loading
SMS : Short Message Service
SS : Supplementary Services
SS7 : Signaling System N°7
SSL : Secure Socket Layer
SVA : Service à Valeur Ajoutée
SVI : Serveur Vocal Interactif
vii
TCP/IP : Transmission Control Protocol/ Internet Protocol
TIC : Technologie de l’Information et de la Communication
TLS : Transaction Layer Service
TPE : Terminal de Paiement Electronique
UAP : User Agent Profil
UDP : User Datagram Protocol
UIT : Union International des Télécommunications
UMTS : Universal Mobile Telecommunication System
VLR : Visitor Location Register
WAE : Wireless Application Environment
WAP : Wirelesss Application Protocol
WBMP : Wireless BitMaP
WDP : Wireless Datagram Protocol
WIM : Wireless Identification Module
WML : Wireless Markup Language
WSP : Wireless Session Protocol
WTA : Wireless Telephony Application
WTK : Wireless ToolKit
WTLS : Wireless Transaction Layer Security
WTP : Wireless Transaction Protocol
XML : eXtended Markup Language
1
INTRODUCTION
Comme toute entreprise, il est exigé aux réseaux de Télécommunication innovation, offre de nouveaux
services afin de garder leurs clients et pour en attirer d’autres.
Le commerce n’a cessé de prendre diverses formes depuis l’âge du troc. A nos jours, le commerce
électronique se développe avec un rythme considérable.
Actuellement, étant donné que l’utilisation du téléphone mobile devient très répandue, un nouveau
mode de paiement a été développé utilisant celui-ci. Ce mode nommé m-paiement (paiement par
mobile) permettrait d’apporter des solutions dans tout cas de paiement.
Un nouveau rapport de Juniper Research, une société analyste spécialisée dans le domaine des
mobiles et du sans fil, analyse l'évolution attendue des transferts d'argent internationaux par mobile.
L'estimation est que 100 millions d'utilisateurs prendront leur mobile pour envoyer leurs fonds
jusqu’en 2013. Le rapport souligne que la fréquence des envois devrait augmenter au fur et à mesure
que les personnes se seront habituées au procédé. Le marché estimé devrait dépasser 5 milliards de $
en 2013, et 3 régions (Europe de l'Ouest, USA, Afrique et Moyen Orient) représenteront 75% du trafic.
Les partenaires vont développer un business model dans lequel tous les acteurs à savoir les fabricants
de terminaux, les entreprises de télécommunications et les banques sont gagnants car aucun d’entre
eux ne supportera seul l’intégralité des investissements nécessaires.
Une telle coopération reste la condition indispensable pour le déploiement de solutions m-paiement:
tous les acteurs - et en particulier les opérateurs de télécommunication - doivent comprendre que pour
être efficaces, les paiements effectués depuis les mobiles doivent se faire sur la base des infrastructures
existantes.
Ce business model collaboratif représente un modèle équitable pour tous les acteurs, ce qui constitue
un argument de poids en faveur du développement du marché du m-paiement.
Dans cet ouvrage, nous allons orienter notre étude sur l’utilisation du téléphone mobile comme un
moyen de paiement fiable, économique et facile d’usage pour le grand public. Il se répartit sur quatre
chapitres :
Tout d’abord, le premier Chapitre concerne la téléphonie mobile et le commerce électronique.
Ensuite, le second Chapitre fournit une description des solutions de paiement, plus précisément la
chaîne de valeur, les mécanismes de paiement et les technologies d’accès. Quelques points sur la
2
sécurisation feront l’objet du troisième Chapitre : la cryptographie, les moyens d’authentification
suivis des protocoles de sécurité. La simulation avec Sun Java Wireless Toolkit 2.5.1 sera présentée
dans le dernier Chapitre.
3
CHAPITRE 1 : LA TELEPHONIE MOBILE ET LE COMMERCE EL ECTRONIQUE
1.1. La téléphonie mobile
1.1.1. Historique [1] [2]
Durant des siècles, l’homme a su se contenter de la parole ou des écrits comme seuls moyens de
communication entre deux personnes éloignées d’une distance importante. Depuis le début du XXème
siècle, la télécommunication a permis d’effacer cette distance. Ce succès doit aux étapes majeures de
l’histoire des télécommunications :
En 1794, le télégraphe pour la transmission des messages alphanumériques ou des dessins mis au
point par l’ingénieur français Claude Chappe fut inauguré.
En 1876, le savant canadien Graham Bell inventait le téléphone. Le transport de la voix pouvait se
faire grâce à une paire de fils reliant deux appareils. Rapidement, l’utilisation de son invention dans
une petite ville du Canada où il résidait, lui fit comprendre l’importance d’une centralisation des
communications dans un central téléphonique et l’on vit alors apparaître le premier réseau
téléphonique.
En 1887, le physicien allemand Heinrich Hertz a découvert les ondes radio.
En 1896, à Bologne, le physicien italien Gugliemo Marconi a réalisé la première transmission
radio.
En 1901, il réalise la première liaison radio transatlantique entre la Cornouailles et Terre- Neuve.
Dès le début du XXème Siècle les services de police se dotent de moyen de communication radio.
Au début des années 50 aux Etats-Unis, la compagnie Bell Téléphone propose des services de
radiotéléphone à ses abonnés.
En 1964, on a introduit la notion de partage des ressources dans les réseaux de radiocommunication
pour satisfaire une demande grandissante qui avait fait planer une menace de saturation sur les réseaux.
En 1971, Bell Téléphone fait apparaître la notion de cellule dans le réseau. Sa première mise en
place se fera à Chicago en 1978 sur le système AMPS (Advanced Mobile Phone Service) qui y est
toujours opérationnel.
En 1982, la FCC (Federal Communications Commission) normalise les spécifications du système
AMPS qui devient le standard unique du radiotéléphone en Amérique du Nord.
4
En 1992, le GSM (Global System for Mobile communication) devient une norme concrète.
Les options techniques fixées sont alors:
- la transmission numérique
- le multiplexage temporel des canaux radio
- le cryptage des informations sur le canal radio
- une nouvelle loi sur le codage de la parole à débit réduit par rapport aux lois en vigueur dans les
télécommunications (loi m en Europe, loi A en Amérique du Nord)
1.1.2. La norme GSM
1.1.2.1. Présentation [1]
L’explosion du secteur du téléphone mobile est certainement un fait majeur des années 90 dans le
domaine de télécommunication. Dans le domaine des Radiocommunications mobiles, GSM est la
première norme de téléphone cellulaire qui soit pleinement numérique. C’est la référence mondiale en
matière de téléphonie mobile. Un réseau GSM offre à ses abonnés la possibilité d’établir une
communication entre deux postes mobiles ou entre un poste mobile et un poste fixe. Grâce à la
technologie numérique, il transporte les informations sans modification des informations transmises.
A l’ origine, l’avènement du GSM fut rendu possible par la décision de la CEPT
(Conférence Européenne des Postes et Télécommunications) qui définit en 1982 des bandes de
fréquence communes à l’Europe entière dans les bandes des 900 MHz.
La même année, la CEPT crée un groupe de travaux baptisé Groupe Spécial Mobile (GSM) et lui
confie la tâche d’élaborer les spécifications nécessaires à l’établissement d’un réseau européen de
téléphone mobile.
En 1988, une charte européenne de GSM est ratifiée par 17 pays européens. Chacun de ses signataires
s’engage à introduire un système cellulaire numérique respectant les normes imposées par le GSM. Il
s’engage également à ouvrir un service commercial en juillet 1991.
En 1992, le GSM est rebaptisé Global System for Mobile communication, qui symbolise le passage
du concept de laboratoire à une norme concrète. En juillet 1992, France Télécom Mobile
commercialise le premier réseau GSM.
5
1.1.2.2. Les bandes de fréquence utilisées par le GSM [3] [4]
890-915[Mhz] pour les communications ascendantes c’est à dire du mobile vers la BTS
935-960[Mhz] pour les communications descendantes c’est à dire de la BTS vers le mobile
La norme DCS (Data Communication System), utilisée principalement par le réseau Bouygues
Télécom et basée sur un principe proche du GSM utilise les fréquences 1800 MHz :
1710 à 1785 MHz pour les communications ascendantes
1805 à 1880 MHz pour les communications descendantes
1.1.2.3. Caractéristiques radio de la norme GSM [1]
Ci-après les caractéristiques radio de la norme GSM:
Fréquences d’émission MS vers BTS BTS vers MS
890 – 915 MHz 935 – 960 MHz
Mode d’accès AMRF / AMRT
Espacement des canaux radio 200 KHz
Espacement du duplex 45 MHz
Nombre de canaux radio / sens 124
Nombre de canaux de parole plein débit 8
Type de transmission Numérique
Débit brut d’un canal radio 270 kbit/s
Débit brut d’un canal de phonie à plein débit 22.8 kbit/s
Type de codage RPE-LTP
Type de modulation GMSK
Rayon maximum d’une cellule 30 km
Rayon minimum d’une cellule 350 m
Débit maximum de transmission radio 9,6 Kbits/s
Transfert automatique de cellule Itinérante
Carte d’identité d’abonnés ou SIM (Subscribe Identity Mobile)
Authentification
Chiffrement de l’interface radio
Contrôle de la Puissance d’émission
Tableau 1.01 : Caractéristiques radio de la norme GSM
6
RPE: Regular Pulse Excited
LTP: Long Term Prediction
GMSK: Gaussian Minimum Shift Keying
AMRF: Accès Multiple à Répartition de Fréquence
AMRT: Accès Multiple à Répartition dans le Temps
1.1.2.4. Architecture d’un réseau GSM
Un réseau GSM se présente suivant cette figure :
Figure 1.01 :Architecture d’un réseau GSM
MS: Mobile Station
BTS: Base Transmitter Station
BSC: Base Station Controller
MSC: Mobile Switching Controller
VLR: Visitor Location Register
HLR: Home Location Register
AUC: AUthentication Center
OMC: Operation and Maintenance Center
RTCP: Réseau Téléphonique Commuté Public
RNIS : Réseau Numérique à Intégration de Service
7
a) Les équipements fonctionnels [1] [3] [4]
Les équipements que l’on trouve dans un réseau GSM sont les suivants :
Le poste d’abonné qui est une station mobile ou MS
La station de base ou BTS, un ensemble Emetteur/Récepteur radio, elle relie les stations mobiles à
l’infrastructure fixe du réseau
Le contrôleur de station de base ou BSC qui gère un groupe de stations de base.
L’ensemble constitué par des stations de base et leurs contrôleurs constitue un sous système radio
(BSS ou Base Station Subsystem)
Le commutateur du réseau ou MSC qui fournit les accès vers les réseaux téléphoniques et les autres
réseaux.
L’enregistreur de localisation des visiteurs ou VLR qui est une base de données dans laquelle les
abonnés de passage dans le réseau sont inscrits temporairement.
L’enregistreur de localisation nominale ou HLR qui est une base de données dans laquelle les
abonnés du réseau sont référencés.
L’AUC est une base de données qui stocke des informations confidentielles. L’AUC contrôle
l’identité et les droits d’usage possible pour chacun des abonnés sur les services du réseau. Cette
vérification est faite pour chacune des demandes d’utilisation d’un service. Ce contrôle vise à protéger
le fournisseur de service aussi bien que les abonnés. Il importe, en effet, à l’opérateur de connaître sans
ambigüité l’identité de celui qui utilise son réseau afin d’être en mesure de lui facturer le prix du
service rendu. Cette identification se fait en deux étapes :
− La première est locale : lors de la mise en service de son terminal, un abonné doit s’identifier à
l’aide d’une signature électronique. Il compose pour cela sur le clavier de son terminal son code
confidentiel (PIN ou Personal Identifier Number), lequel est vérifié par le microprocesseur de
son poste d’abonné. Une fois que le code attendu est fourni, il peut faire usage de son poste.
− La deuxième se réalise quand l’abonné veut utiliser un service du réseau. Le réseau demande,
alors, au terminal dans un premier temps de fournir l’identité de l’abonné qui est son numéro
d’abonnement. Dans un second temps, le réseau demande à l’abonné de prouver son identité en
utilisant un algorithme inscrit dans un espace mémoire protégé en lecture de sa carte.
8
Une copie de cet algorithme est également présente dans l’AUC. Ainsi, l’algorithme secret ne circule
jamais sur le réseau, seul le résultat d’un calcul effectué avec cet algorithme y circule sous forme
codée. L’AUC, par une simple comparaison entre le résultat reçu et le résultat attendu authentifie
l’abonné.
L’ensemble formé par le MSC, VLR, HLR, AUC constitue une sous système réseau (NSS ou Network
SubSystem).
Le centre d’exploitation et de maintenance ou OMC qui assure l’exploitation commerciale et
technique du réseau (facturation, maintenance technique)
b) Les interfaces du réseau
Les interfaces sont aussi des composants importants d’un réseau. Elles supportent le dialogue entre les
équipements et permettent leur interfonctionnement. La normalisation des interfaces garantit
l’interopérabilité d’équipements produits par des constructeurs différents.
En conséquence, l’ETSI (European Telecommunication Standard Institute) a normalisé toutes les
interfaces suivantes :
L’interface radio Um qui assure le dialogue entre la station mobile et la station de base (MS ↔
BTS): C’est l’interface la plus importante du réseau
L’interface A-bis qui relie une BTS à son contrôleur (BTS ↔ BSC). Le support est une liaison
filaire MIC.
L’interface A qui se situe entre un contrôleur et un commutateur (BSC ↔ MSC). Une liaison MIC
à 64 kbps matérialise la relation.
L’interface X.25 qui relie le BSC au centre d’exploitation (BSC ↔ OMC). Le support de la liaison
est fourni par un réseau de transmission de données.
L’interface entre le commutateur et le réseau public est définie par le protocole de signalisation n°7
(SS7 Signaling System 7) du CCITT (Consultative Committee on International Telephone and Telegraph)
1.1.2.5. Les besoins du GSM
a) Les besoins de l’utilisateur
Un utilisateur considère la radiotéléphonie comme un outil de communication qui doit être simple et
agréable d’emploi pour un coût d’utilisation raisonnable. En conséquence, un utilisateur demande un
9
usage convivial des services offerts par l’exploitant du réseau et par son poste d’abonné.
L’ETSI a retenu les besoins suivants pour l’utilisateur :
Une transmission de la parole d’une qualité semblable à celle de la téléphonie filaire
La confidentialité des conversations
Une large couverture territoriale
La transmission de message
La transmission de données
Un terminal ergonomique, léger, compact
Un coût d’accès raisonnable
Une grande disponibilité du service
L’itinérance internationale
b) Les besoins de l’exploitant
Il considère son réseau comme un investissement qui doit être rentable. Un exploitant est, d’abord, un
fournisseur de service aux abonnés. Les qualités de son réseau sont :
Une utilisation optimale des ressources
Une exploitation simple et efficace
Une identification simple, efficace, fiable des abonnés et terminaux
Un grand nombre d’abonnés
Des équipements normalisés
Une normalisation souple
Un grand nombre de fournisseurs d’équipements (normalisés)
Un coût d’infrastructure raisonnable
c) Les besoins des constructeurs
Un constructeur est un fabricant de produit. Il souhaite qu’une norme lui apporte les assurances
suivantes :
Une définition stable des fonctions à remplir par son produit
Une définition claire des contraints
Une instance unique d’agrément pour ses produits
Un marché aussi large que possible
1.1.2.6. Les protocoles [3]
La figure suivante représente les piles
Figure 1.02 :
CC
SMS
SS
MM
RR
LAPD
MIC
Au niveau applicatif, on distingue les protocoles suivants qui, au travers de
réseau, relient un mobile à un centre de communication (MSC) :
Le protocole Call Control (CC) prend en charge le traitement des appels tels que l'établissement, la
terminaison et la supervision.
Le protocole Short Message Service
mobile. La longueur d'un SMS est limitée à 160 caractères de 7 bits.
Le protocole Supplementary Services (SS) prend en charge les compléments de services.
exemples de Calling Line Identification Presentation (CLIP)
Le protocole Mobility Management (MM) gère l'identification, l'authentification sur le réseau et la
localisation d'un terminal. Cette application se trouve dans le sous
10
les piles des protocoles GSM des différents éléments du réseau
Figure 1.02 : Pile de protocoles dans un réseau GSM
Call Control
Short Message Service
Supplementary Service
Mobility Management
Radio Resource management
Link Access Protocol D-Channel
Modulation par Impulsion et Codage
Au niveau applicatif, on distingue les protocoles suivants qui, au travers de
réseau, relient un mobile à un centre de communication (MSC) :
Le protocole Call Control (CC) prend en charge le traitement des appels tels que l'établissement, la
Le protocole Short Message Service (SMS) qui permet l'envoi de courts messages au départ d'un
mobile. La longueur d'un SMS est limitée à 160 caractères de 7 bits.
Le protocole Supplementary Services (SS) prend en charge les compléments de services.
ification Presentation (CLIP) et Call Forwarding Unconditional (CFU).
Le protocole Mobility Management (MM) gère l'identification, l'authentification sur le réseau et la
localisation d'un terminal. Cette application se trouve dans le sous-réseau de commut
des protocoles GSM des différents éléments du réseau :
Au niveau applicatif, on distingue les protocoles suivants qui, au travers de différents éléments du
Le protocole Call Control (CC) prend en charge le traitement des appels tels que l'établissement, la
(SMS) qui permet l'envoi de courts messages au départ d'un
Le protocole Supplementary Services (SS) prend en charge les compléments de services. Citons les
Call Forwarding Unconditional (CFU).
Le protocole Mobility Management (MM) gère l'identification, l'authentification sur le réseau et la
réseau de commutation (NSS) et
11
dans le mobile car ils doivent tous deux connaître la position du mobile dans le réseau.
Le protocole Radio Ressource management (RR) s'occupe de la liaison radio. Il interconnecte une
BTS et un BSC car ce dernier gère l'attribution des fréquences radio dans une zone.
Le LAPD (Link Access Protocol D-Channel) : c’est un protocole de liaison de données utilisé dans
le réseau GSM. Il est défini dans la famille des recommandations X25 de l'UIT (Union International
des Télécommunications).
Les trois premiers protocoles applicatifs précités (CC, SMS et SS) ne sont implémentés que dans les
terminaux mobiles et les commutateurs, leurs messages voyagent de façon transparente à travers le
BSC et la BTS.
1.1.2.7. L’évolution du GSM [1]
Le transport des données sur le réseau GSM n'autorise qu'au mieux des débits de 9,6 kbit/s. Le mode
actuel supporté par la norme GSM est une facturation à la durée, relativement élevée, incompatible
avec le mode de consultation d'Internet qui le plus souvent s'effectue en mode non connecté.
Le mode de connexion du standard GSM est un mode connecté en utilisant la commutation de circuit.
Une fois la communication établie, le canal de données dans la cellule du réseau GSM est monopolisé
pour cette connexion, y compris pendant les temps d'inactivité de l'usager. Le canal est donc rendu
indisponible à d'autres utilisateurs, alors qu'aucun trafic ne transite par ce canal. La monopolisation
d'un canal a, outre le problème de l'indisponibilité pour les autres utilisateurs, l'inconvénient de générer
un coût de connexion élevé, dû principalement à ce monopole.
C'est pourquoi la technologie GPRS (General Packet Radio Service) a été définie, permettant de
contourner ce problème, et de résoudre le problème de la facturation à la durée, ainsi que de permettre
des débits résolument plus importants pouvant atteindre les 171,2 Kbits/s.
Une autre norme utilisant le CDMA (Code Division Multiple Access) apparait aussi : l’UMTS
(Universal Mobile Telecommunication System). Elle propose des avantages en tenant compte du
nombre d’abonnés servis simultanément ainsi que du débit (jusqu’à 1Mbits/s). La saturation se
présente par une dégradation de la qualité de voix reçue.
La figure suivante nous montre cette évolution du GSM avec les débits associés respectivement aux
différentes normes.
1.1.3. Les services à valeur ajoutée
Ce sont des services accessibles via des numéros spéciaux. Ces numéros permettent aux abonnés
d’accéder, depuis un téléphone fixe ou un mobile, à tou
(par exemple les prévisions météo), ou personnalisées (renseignements, achats, …), mais aussi accès à
l’Internet. Ils constituent un segment important du marché des communications électroniques : selon
les chiffres de l’observatoire de l’
Postes (ARCEP, en France), au deuxième trimestre 2006, les SVA
représentaient 650 millions d’euros de revenus.
Les SVA ont pour objectif la création d’offre
satisfaire de façon efficace les besoins des utilisateurs en développant une gamme variée
d’applications accessibles via tous les opérateurs de réseau.
Ce type de services ne peut fonctionner et se développer sans la mise en place d’un climat de
confiance entre les acteurs qui fournissent ces services et les consommateurs. Le marché des SVA est
complexe : il est aujourd’hui caractérisé par l’interaction de plusieurs acteurs dans la ch
et par une grande disparité (voire opacité) tarifaire.
De nombreux acteurs participent à la fourniture de ces services, de l’opérateur départ, qui fournit le
service téléphonique, au fournisseur de services, qui exploite le numéro au bénéfi
12
Figure 1.03 :Evolution du GSM
Les services à valeur ajoutée [5] [20]
des services accessibles via des numéros spéciaux. Ces numéros permettent aux abonnés
d’accéder, depuis un téléphone fixe ou un mobile, à tout type de services : informations préenregistrées
(par exemple les prévisions météo), ou personnalisées (renseignements, achats, …), mais aussi accès à
l’Internet. Ils constituent un segment important du marché des communications électroniques : selon
l’ Autorité de Régulation des Communications Electroniques et des
, au deuxième trimestre 2006, les SVA (Services à
représentaient 650 millions d’euros de revenus.
tif la création d’offres complémentaires aux services des Opérateurs pour
satisfaire de façon efficace les besoins des utilisateurs en développant une gamme variée
d’applications accessibles via tous les opérateurs de réseau.
nctionner et se développer sans la mise en place d’un climat de
confiance entre les acteurs qui fournissent ces services et les consommateurs. Le marché des SVA est
complexe : il est aujourd’hui caractérisé par l’interaction de plusieurs acteurs dans la ch
et par une grande disparité (voire opacité) tarifaire.
De nombreux acteurs participent à la fourniture de ces services, de l’opérateur départ, qui fournit le
service téléphonique, au fournisseur de services, qui exploite le numéro au bénéfi
des services accessibles via des numéros spéciaux. Ces numéros permettent aux abonnés
type de services : informations préenregistrées
(par exemple les prévisions météo), ou personnalisées (renseignements, achats, …), mais aussi accès à
l’Internet. Ils constituent un segment important du marché des communications électroniques : selon
de Régulation des Communications Electroniques et des
ervices à Valeur Ajoutée)
complémentaires aux services des Opérateurs pour
satisfaire de façon efficace les besoins des utilisateurs en développant une gamme variée
nctionner et se développer sans la mise en place d’un climat de
confiance entre les acteurs qui fournissent ces services et les consommateurs. Le marché des SVA est
complexe : il est aujourd’hui caractérisé par l’interaction de plusieurs acteurs dans la chaîne de valeur
De nombreux acteurs participent à la fourniture de ces services, de l’opérateur départ, qui fournit le
service téléphonique, au fournisseur de services, qui exploite le numéro au bénéfice de l’éditeur de
contenus. Ce dernier opérateur peut également assumer la fonction d’agrégateur de flux au départ de
toutes les boucles locales, ou sous
exister un opérateur de transit lorsque l’opérateur exploitant le numéro SVA n’est pas physiquement
en mesure de collecter le trafic au départ de certaines boucles locales.
Par ailleurs, ces services ont de nombreuses spécificités. En particulier, contrairement à un appel
interpersonnel classique, le tarif de détail d’une communication vers un numéro SVA est fixé
conjointement par l’opérateur départ, qui fournit le service téléphonique, et l’opérateur qui exploite le
numéro choisi par l’éditeur de contenus, ce dernier percevant le ca
rémunération.
Figure 1.04 :
Dans le cadre de leur politique de réformes structurelles visant la libéralisation de l’économie et
l’amélioration de la compétitivité,
restructuration du secteur des Télécommunications dont la mise en œuvre se traduit par
La création de l’Agence de Régulation des Télécommunications
La mise en place d’un environnement concurrentiel avec au m
privés,
La privatisation de l’opérateur historique exploitant le réseau fixe.
13
contenus. Ce dernier opérateur peut également assumer la fonction d’agrégateur de flux au départ de
toutes les boucles locales, ou sous-traiter cette activité à un opérateur dit de " collecte ". Enfin, il peut
nsit lorsque l’opérateur exploitant le numéro SVA n’est pas physiquement
en mesure de collecter le trafic au départ de certaines boucles locales.
Par ailleurs, ces services ont de nombreuses spécificités. En particulier, contrairement à un appel
nnel classique, le tarif de détail d’une communication vers un numéro SVA est fixé
conjointement par l’opérateur départ, qui fournit le service téléphonique, et l’opérateur qui exploite le
numéro choisi par l’éditeur de contenus, ce dernier percevant le cas échéant une part de la
Figure 1.04 : Quelques exemples de Services à Valeur Ajoutée
Dans le cadre de leur politique de réformes structurelles visant la libéralisation de l’économie et
l’amélioration de la compétitivité, beaucoup de pays africains ont engagé des programmes de
restructuration du secteur des Télécommunications dont la mise en œuvre se traduit par
égulation des Télécommunications
La mise en place d’un environnement concurrentiel avec au moins 2 opérateurs mobiles GSM
La privatisation de l’opérateur historique exploitant le réseau fixe.
contenus. Ce dernier opérateur peut également assumer la fonction d’agrégateur de flux au départ de
traiter cette activité à un opérateur dit de " collecte ". Enfin, il peut
nsit lorsque l’opérateur exploitant le numéro SVA n’est pas physiquement
Par ailleurs, ces services ont de nombreuses spécificités. En particulier, contrairement à un appel
nnel classique, le tarif de détail d’une communication vers un numéro SVA est fixé
conjointement par l’opérateur départ, qui fournit le service téléphonique, et l’opérateur qui exploite le
s échéant une part de la
Quelques exemples de Services à Valeur Ajoutée
Dans le cadre de leur politique de réformes structurelles visant la libéralisation de l’économie et
pays africains ont engagé des programmes de
restructuration du secteur des Télécommunications dont la mise en œuvre se traduit par :
oins 2 opérateurs mobiles GSM
14
Cette réforme vise les principaux objectifs suivants:
Améliorer l’offre globale des services de télécommunication du point de vue quantité, qualité et à
des prix accessibles
Faciliter l’accès au plus grand nombre de la population y compris en zone rurale, pour répondre aux
besoins multiples des utilisateurs et de la population
Favoriser la participation des opérateurs économiques privés nationaux surtout dans le domaine de
la libéralisation des services à valeur ajoutée (téléphonie mobile cellulaire, transmission de données,
fourniture d’accès Internet, …)
Assurer la contribution de ce secteur au développement économique et social du pays.
On assiste donc aujourd’hui à une forte croissance du marché de la téléphonie mobile dans chaque pays. En
plus des services de téléphonie de base offerts, chaque opérateur offre également des services mobiles à
valeur ajoutée.
Toutefois, malgré la forte croissance des abonnés mobiles dans chaque pays, on a pu observer que le
marché spécifique des services SMS et vocaux à valeur ajoutée offerts par des tiers-fournisseurs (autres
que les opérateurs mobiles), n’est pas structuré de telle façon à assurer un développement durable.
La chaîne de valeur des TIC (Technologies de l’Information et de la Communication) présente
l’écosystème regroupant les différents acteurs de l’industrie des télécommunications et explique comment
ces ressources peuvent permettre d’offrir des SVA innovants, accessibles à l’ensemble des utilisateurs.
Les opérateurs des réseaux de télécommunication assurent le déploiement des infrastructures pour offrir
des services de téléphonie de base, des SVA à leurs abonnés et des services support aux autres opérateurs
et fournisseurs SVA. Si on prend en considération le fort taux d’utilisation des téléphones mobiles comparé
aux autres terminaux, on peut constater que le secteur des SVA pour le mobile représente un composant clé
dans la valeur TIC et il peut contribuer au développement socio-économique d’un pays. Mais son succès
dépend principalement de la création d’un écosystème qui permettra à tous les acteurs intervenant dans
cette chaîne de gagner équitablement sur la base de partage de revenus.
1.2. Le commerce électronique
1.2.1. Définitions
1.2.1.1. L’e-commerce ou commerce électronique [6]
Dans sa définition restreinte, l'e-Commerce désigne l'ensemble des échanges commerciaux dans lesquels
l'achat s'effectue sur un réseau de télécommunication. L'e-Commerce recouvre aussi bien la simple prise de
commande que l'achat avec paiement, et concerne autant les achats de biens que les achats de service, qu'ils
soient eux-mêmes en ligne ou non.
1.2.1.2. Le paiement électronique
C’est un moyen permettant d'effectuer des transa
services sur un réseau informatique, télématique ou téléinformatique
1.2.1.3. Le terminal de paiement électronique ou TPE
C’est un appareil électronique permettant d'enregistrer une transaction sécurisée de divers
(bancaire, santé, etc.) en dialoguant avec :
électronique ou un téléphone mobile, d
Pour utiliser un TPE, un commerçant doit passer un
montant maximal de transaction au-
la banque prélèvera sur chaque paiement effectué (commission).
Le TPE peut être autonome ou intégré
1.2.2. Types de transaction [6]
Le type de transactions dépend du montant
acceptée par l'ensemble des industrie
la définition des notions de micro et de macro
laquelle on parlera de micro-paiements et au
Les micro-paiements désignent d
maximums)
Les macro-paiements désignent des paiements dont les limites supérieures sont plus élevées
(typiquement plusieurs centaines d'euros).
15
commande que l'achat avec paiement, et concerne autant les achats de biens que les achats de service, qu'ils
C’est un moyen permettant d'effectuer des transactions commerciales pour l'échange de biens ou de
un réseau informatique, télématique ou téléinformatique.
Le terminal de paiement électronique ou TPE
C’est un appareil électronique permettant d'enregistrer une transaction sécurisée de divers
(bancaire, santé, etc.) en dialoguant avec : d'une part, une carte bancaire ou un porte monnaie
tronique ou un téléphone mobile, d’autre part, un serveur d'autorisation.
Figure 1.05 :Exemple de TPE
Pour utiliser un TPE, un commerçant doit passer un contrat avec sa banque par lequel sont fixés un
-dessus duquel une autorisation est obligatoire
la banque prélèvera sur chaque paiement effectué (commission).
Le TPE peut être autonome ou intégré dans un appareil plus complexe, comme un automate
du montant à payer. Il faut préciser qu'il n'existe pas une définition
industries pour les notions de micro et de macro-paiements. La question de
la définition des notions de micro et de macro-paiement revient, donc, à fixer une limite en dessous de
paiements et au-dessus de laquelle on parlera de macro
paiements désignent des paiements de faible montant (typiquement de quelques euros
paiements désignent des paiements dont les limites supérieures sont plus élevées
(typiquement plusieurs centaines d'euros).
commande que l'achat avec paiement, et concerne autant les achats de biens que les achats de service, qu'ils
ctions commerciales pour l'échange de biens ou de
C’est un appareil électronique permettant d'enregistrer une transaction sécurisée de diverses natures
'une part, une carte bancaire ou un porte monnaie
contrat avec sa banque par lequel sont fixés un
ainsi que le montant que
dans un appareil plus complexe, comme un automate.
Il faut préciser qu'il n'existe pas une définition
aiements. La question de
paiement revient, donc, à fixer une limite en dessous de
dessus de laquelle on parlera de macro-paiements.
es paiements de faible montant (typiquement de quelques euros
paiements désignent des paiements dont les limites supérieures sont plus élevées
16
Voici quelques exemples de seuil fixé par des fournisseurs de service de paiement mobile en Europe:
Forum MET Mobile Electronic Transaction : 10 euros
Simpay : 5 euros
Vodafone m-pay bill : 8 euros
1.2.3. Caractéristiques du paiement électronique
Ce type de paiement engendre certaines transactions et échanges d'informations à travers le réseau.
Cela représente différents risques : interception par des personnes malveillantes et utilisation à
mauvais escient de ces informations. Chaque acteur doit vérifier les 3 fonctions essentielles de sécurité
afin d'assurer la sécurité de chacun des partis :
− Confidentialité
− Intégrité
− Authentification
1.2.3.1. Confidentialité
Les renseignements concernant le client ou le vendeur ne doivent être révélés qu’aux entités
autorisées.
1.2.3.2. Intégrité
Les informations circulant sur le réseau ne doivent pas être modifiées lors de leur passage dans le
réseau. Pratiquement, l'intégrité du paiement est assurée par le recours à la cryptographie. Les procédés
utilisés pour une transaction d'une faible valeur sont les mêmes que ceux qui servent pour les transferts
importants entre banque ou pour la défense nationale. Cependant, comme aucun procédé
cryptographique n'est totalement inviolable, le commerçant doit tout de même être vigilant en ce qui a
trait à la sécurité de son système.
1.2.3.3. Authentification
L'authentification est la procédure qui consiste, pour un système informatique, à vérifier l'identité
d'une entité (personne, ordinateur, terminal mobile...), afin d'autoriser l'accès de cette entité à des
ressources (systèmes, réseaux, applications...). L'authentification permet donc de valider l'authenticité
de l'entité concernée.
Les méthodes utilisées pour assurer ces 3 fonctions seront abordées dans le Chapitre 3.
17
1.3. Conclusion
Les réseaux de télécommunication qui, à nos jours, présentent un grand épanouissement doivent être
bien exploités et les opérateurs en mesure d’innover leur service.
Il faudrait une harmonisation mondiale des lois sur le commerce électronique pour mieux protéger les
clients. Sans leur confiance, l’e-commerce ne pourra point se développer.
Le commerce électronique offre un gain en termes de temps, de communication et de productivité.
CHAPITRE 2
Les solutions de paiement mobile couvrent un
(sonnerie, logos, musique, …), de services (transport, parking,…) ou de biens physiques (boisson dans
un bar, CD, …). En fonction de la nature du paiement effectué à partir du
contraintes associées à sa mise en place par
fortement sur le plan de la complexité technique
solutions relativement simples et pratiques
contenus mobiles, la solution devient beaucoup plus complexe lorsqu'il s'agit de transformer le
terminal mobile en véritable outil de paiement universel.
enjeux clés du développement du marché des
Dans ce chapitre, nous allons expliquer tout d’abord les différents rôles à tenir dans la chaîne de valeur
des paiements mobiles. Ensuite, quelques solutions seront
La dernière partie sera consacrée au protocole WAP (Wireless Application Protocol)
2.1. La chaîne de valeur des paiements mobiles
2.1.1. Structure
La figure ci-après décrit le cas général de la chaîne de valeur des paiements mobiles,
évidence six positionnements :
Figure 2.01: Structure générique de
FSPM : Fournisseur de Service de Paiement Mobile
2.1.2. Définition des rôles
2.1.2.1. Le client
Il choisit un produit, un service ou un contenu (sur un point de vente, via un site Internet, via un site
WAP, ...) et réalise un paiement avec son terminal mobile pour l’obtenir. La clientèle visée par les
services de paiement mobile est en premier lieu c
de téléphone mobile.
18
: LES SOLUTIONS DE PAIEMENT MOBILE
Les solutions de paiement mobile couvrent un champ très large tel que le paiement de contenus
…), de services (transport, parking,…) ou de biens physiques (boisson dans
En fonction de la nature du paiement effectué à partir du
es associées à sa mise en place par les fournisseurs de solution de paiement
fortement sur le plan de la complexité technique et des partenariats à mettre en place. Ainsi, si des
relativement simples et pratiques répondent aux micro-paiements pour l'achat de services et
tion devient beaucoup plus complexe lorsqu'il s'agit de transformer le
terminal mobile en véritable outil de paiement universel. Le domaine des paiements mobiles est un des
du marché des services à valeur ajoutée.
Dans ce chapitre, nous allons expliquer tout d’abord les différents rôles à tenir dans la chaîne de valeur
des paiements mobiles. Ensuite, quelques solutions seront développées suivant la forme de paiement.
dernière partie sera consacrée au protocole WAP (Wireless Application Protocol)
de valeur des paiements mobiles [7] [8]
décrit le cas général de la chaîne de valeur des paiements mobiles,
Structure générique de la chaîne de la valeur des paiements mobiles
: Fournisseur de Service de Paiement Mobile
Il choisit un produit, un service ou un contenu (sur un point de vente, via un site Internet, via un site
WAP, ...) et réalise un paiement avec son terminal mobile pour l’obtenir. La clientèle visée par les
services de paiement mobile est en premier lieu celle des opérateurs de télécommunication, utilisatrice
LES SOLUTIONS DE PAIEMENT MOBILE
champ très large tel que le paiement de contenus
…), de services (transport, parking,…) ou de biens physiques (boisson dans
En fonction de la nature du paiement effectué à partir du terminal mobile, les
les fournisseurs de solution de paiement diffèrent
des partenariats à mettre en place. Ainsi, si des
ements pour l'achat de services et
tion devient beaucoup plus complexe lorsqu'il s'agit de transformer le
Le domaine des paiements mobiles est un des
Dans ce chapitre, nous allons expliquer tout d’abord les différents rôles à tenir dans la chaîne de valeur
ées suivant la forme de paiement.
dernière partie sera consacrée au protocole WAP (Wireless Application Protocol).
décrit le cas général de la chaîne de valeur des paiements mobiles, en mettant en
la chaîne de la valeur des paiements mobiles
Il choisit un produit, un service ou un contenu (sur un point de vente, via un site Internet, via un site
WAP, ...) et réalise un paiement avec son terminal mobile pour l’obtenir. La clientèle visée par les
elle des opérateurs de télécommunication, utilisatrice
19
2.1.2.2. Le marchand
C’est celui qui fournit les produits, les services et les contenus à la vente et reçoit en échange le
paiement. Il s’inscrit chez un FSPM pour que ses clients puissent effectuer le paiement avec leur
mobile.
2.1.2.3. Le FSPM (Fournisseur de Service de Paiement Mobile)
Le FSPM gère le processus du paiement, entre le client et le marchand, en opérant un système de
paiement. Il fournit une interface vers les acteurs ou les outils de paiement permettant les transferts
financiers. Ce rôle est central dans la problématique des paiements mobiles et différents types
d’acteurs peuvent se positionner comme FSPM. Les cas suivants peuvent être rencontrés :
a) Un opérateur mobile assurant ce rôle seul
On rencontre surtout ce cas quand le service fait l’objet d’un paiement direct sur la facture mensuelle
de téléphonie mobile ou, dans certains cas, le compte prépayé
b) Un opérateur mobile assurant ce rôle en partenariat avec un acteur financier
Ce cas est fréquent quand l'opérateur souhaite offrir à ses clients une large gamme de moyens de
paiement, tels que carte de crédit, débit direct ou porte-monnaie électronique. On rencontre, alors,
divers types de partenariats:
Partenariats opérateur - organisme(s) gestionnaire(s) de carte de crédit : destinés à fournir aux
clients de l'opérateur la possibilité de payer directement par carte de crédit. Compte tenu des frais
encourus par l’opérateur dus à l’intervention de l’organisme gestionnaire de carte de crédit, ce type de
partenariat a surtout vocation à couvrir les situations de macro-paiements.
Partenariats opérateur - banque(s) : Ils peuvent viser à permettre le prélèvement des achats
effectués via terminal mobile directement sur le compte bancaire du client. La banque a, alors, un rôle
passif dans le processus. Ce cas est rare car un opérateur seul ne noue pas directement des accords
avec des banques, principalement parce qu'il lui en faut un nombre élevé pour couvrir le marché. En
pratique, l'opérateur passe donc par un intermédiaire, fournisseur d'une passerelle de paiement, qui
dispose des interfaces avec les banques.
Ils peuvent aussi viser à adosser à l'opérateur une structure financière pour la gestion de portemonnaies
électroniques des clients. La banque a, alors, un rôle actif dans le processus de paiement. Le principe
du porte-monnaie électronique est de créer un compte spécifique pour effectuer des achats. Dans le cas
20
du porte-monnaie réseau, ce compte est hébergé dans le réseau par le fournisseur de service de
paiement et/ou un acteur financier associé. Pour le porte-monnaie terminal, le compte est hébergé sur
le terminal mobile du client en software sécurisé ou en hardware (dans la carte SIM, par exemple).
c) Le FSPM est une institution financière
L'acteur qui joue le rôle de FSPM est une institution financière ou une société contrôlée par des
institutions financières.
d) Le FSPM est un fournisseur de service indépendant
Le FSPM est une société indépendante, c'est à dire ni un opérateur télécommunication, ni un acteur
financier. Ce cas est apparu en Europe notamment pour les services de paiement dans le domaine du
transport.
2.1.2.4. Le Fournisseur de solution de paiement
Il fournit au FSPM une solution technique permettant la mise en œuvre effective des transactions via
un terminal mobile.
2.1.2.5. L’opérateur de réseau
L’opérateur réseau assure la transmission des communications via le réseau mobile permettant
l’acheminement des messages échangés pendant la transaction.
2.1.2.6. Les institutions financières
Ce sont les banques, les organismes gestionnaires de réseaux de carte de crédit,….Ils gèrent les flux
financiers induits par le paiement, entre le client, le marchand et éventuellement aussi le fournisseur de
service de paiement mobile. En fonction de la typologie du paiement mobile, la présence d’une
institution financière dans la chaîne de valeur pourra se révéler obligatoire ou non.
2.2. Mécanismes de paiement mobile [7] [8]
Afin d’étudier le mécanisme des paiements mobiles, il est possible de simplifier cette chaîne de valeur
en ne considérant que les acteurs ayant un rôle opérationnel dans le processus de paiement.
Comme c’est expliqué dans le paragraphe précédent, l’opérateur de réseau assure la transmission des
communications mobiles mais peut être aussi le FSPM. Le fournisseur de solution de paiement offre
les différentes solutions techniques de paiement. Il reste donc quatre entités : le client, le marchand, le
fournisseur de service de paiement mobile (FSPM) et les institutions financières.
21
La figure suivante décrit les interactions entre ces quatre entités, dans un cas général de paiement
mobile :
Figure 2.02: Mécanismes généraux des paiements mobiles
Le client choisit un produit, contenu ou service puis effectue sa commande vers le marchand. A la
réception de la commande du client, le marchand envoie une requête de paiement vers le fournisseur
de service de paiement. A la réception de la requête du marchand, le FSPM envoie un message vers le
client afin que celui-ci confirme le paiement et authentifie la transaction au moyen d’une méthode
d’authentification. Cet échange de message a lieu en général via le réseau mobile. Sur réception de la
confirmation du client, le FSPM envoie une demande d’autorisation de paiement vers l’organisme
financier concerné, qui en retour lui confirme que le paiement peut avoir lieu (après vérification par
exemple du solde du compte bancaire du client). A la réception de la confirmation de l’organisme
financier, le FSPM envoie la confirmation du paiement vers le marchand, qui procède alors à la
livraison. L’organisme financier transmet le montant du paiement du compte client vers le compte
bancaire du marchand.
Nous allons décrire quelques méthodes de paiement en présentant la chaîne de valeur associée ainsi
que les principales interactions entre les acteurs présents dans cette chaîne de valeur :
La facture postpayée
Le compte prépayé
Le débit direct
La carte de crédit
Le porte-monnaie réseau
22
2.2.1. La facture postpayée
Dans ce type de paiement, le fournisseur de service de paiement (FSPM) est l’opérateur lui-même. De
plus, ce modèle ne met pas en jeu directement un acteur financier dans le processus de paiement
mobile.
Figure 2.03: Cas d’un paiement sur facture postpayée
L’opérateur intègre directement le montant des paiements sur la facture mobile de son client postpayé
et demande le paiement périodiquement (mensuel, en général). Le client paie la totalité de sa facture
(communications et achats hors communication) à l’opérateur selon les méthodes qui lui sont offertes :
débit direct sur son compte bancaire, carte de crédit, chèque bancaire, … .L’opérateur reverse une
partie des paiements au marchand selon l’accord préalablement conclu entre eux.
Ce mécanisme est mieux connu dans le monde de télécommunication sous l’appellation « Facturation
pour le compte de tiers ».
2.2.2. Le compte prépayé
C’est le même principe que celui de la facture postpayée à la différence près que le paiement est
prépayé par le client, au moyen de son compte prépayé mobile. Par conséquent, l’opérateur détient par
avance la valeur du bien, du contenu ou du service acheté par le client.
Le client alimente son compte prépayé chez l’opérateur mobile à l’aide de carte prépayée, par
exemple. Lorsque le client initie un paiement, l’opérateur vérifie le solde du compte et autorise la
transaction si le montant du compte prépayé est suffisant. Une fois la livraison effectuée, l’opérateur
23
reverse au marchand une partie du montant de la transaction, selon l’accord préalablement conclu entre
eux, et débite le compte prépayé du client.
Figure 2.04: Cas d’un paiement sur compte prépayé mobile
2.2.3. Le débit direct
Figure 2.05: Cas d’un débit direct sur le compte bancaire du client
Dans ce type de paiement, une relation directe est nécessaire entre le FSPM et la banque du client. En
pratique, cela implique que le FSPM ait établi des accords avec plusieurs banques du pays concerné,
afin de pouvoir offrir le service à un grand nombre de clients. Il est possible également qu'un
intermédiaire prenne ce rôle, et assure le lien entre le FSPM et les banques. Il se peut aussi que le
FSPM ne supporte le débit direct qu'avec quelques banques nationales clés, mais en contrepartie, il
24
propose le paiement par carte de crédit.
Le client s’enregistre préalablement auprès du FSPM pour pouvoir utiliser le service de paiement, en
donnant les informations relatives à sa carte de débit bancaire ou au compte sur lequel le montant du
paiement doit être prélevé. Lorsqu’un paiement est effectué, le FSPM transmet les détails de la
transaction à la banque du client, qui vérifie la solvabilité du compte en fonction du montant du
paiement. La banque paie le marchand, en débitant le compte du client et créditant le montant de la
transaction sur le compte bancaire du marchand.
2.2.4. La carte de crédit
Le principe est similaire à celui décrit dans le paragraphe précédent. Ce sont les gestionnaires de
réseaux de carte de crédit tels que Visa, Mastercard qui interviennent comme acteurs financiers. En
établissant des accords avec les principaux réseaux, le FSPM peut offrir son service à un grand nombre
de clients potentiels.
2.2.5. Le porte-monnaie réseau
Figure 2.06: Cas d’un porte-monnaie électronique réseau
Comme on a expliqué dans le paragraphe 2.1.2.3.2, le principe du porte-monnaie électronique est de
créer un compte spécifique pour effectuer des achats.
Le client s’enregistre auprès du fournisseur de service de paiement (FSPM) pour créer son porte-
monnaie électronique et aussi pour définir les modalités d’alimentation du compte (prélèvement sur
compte bancaire, carte de crédit). Il est possible qu’une institution financière soit en charge de la
gestion des comptes ainsi créés. Lorsqu’un paiement est effectué, le FSPM et/ou l’institution
financière à laquelle il est adossé vérifie le solde du porte
le montant le permet, et débite le porte
Nous avons décrit les mécanismes de paiement par téléphone mobile.
plusieurs technologies peuvent être utilisées dans l'ensemble
authentification du client, confirmation de l'achat,
allons définir par technologie d’accès
différentes catégories seront décrites ci
2.3. Technologies d’accès
2.3.1. Les SMS [7]
Le paiement est initié grâce à l’échange de messages courts(SMS).
format de SMS et le communique au client pour qu’il puisse bénéficier du service.
Figure 2.07:
Le SMS est facile d’usage au grand public
SMS envoyé par le client n’est pas conforme à celui indiqué par le FSPM.
2.3.2. Le WAP (Wireless Application Protocol)
Le client effectue le paiement à partir d’un portail WAP.
l’aide du browser WAP. En général, l’interface avec l’utilisateur se présente en formulaires. Il suffit,
donc, à celui-ci de les remplir et de suivre les instructions affichées pour procéder au paiement.
technologie fera l’objet du paragraphe 2.5.
25
gestion des comptes ainsi créés. Lorsqu’un paiement est effectué, le FSPM et/ou l’institution
financière à laquelle il est adossé vérifie le solde du porte-monnaie électronique, paie le marchand, si
le montant le permet, et débite le porte-monnaie.
Nous avons décrit les mécanismes de paiement par téléphone mobile. Dans
plusieurs technologies peuvent être utilisées dans l'ensemble du processus: commande du produit,
authentification du client, confirmation de l'achat, envoi d'un reçu, envoi du produit acheté.
allons définir par technologie d’accès la technologie utilisée par le client pour initier le paiement
différentes catégories seront décrites ci-après.
Le paiement est initié grâce à l’échange de messages courts(SMS). Souvent, l
le communique au client pour qu’il puisse bénéficier du service.
Figure 2.07: Exemple de SMS avec Vodafone
Le SMS est facile d’usage au grand public sauf que des erreurs peuvent se présenter si le format du
SMS envoyé par le client n’est pas conforme à celui indiqué par le FSPM.
Le WAP (Wireless Application Protocol)
Le client effectue le paiement à partir d’un portail WAP. Ce portail propose au clien
l’aide du browser WAP. En général, l’interface avec l’utilisateur se présente en formulaires. Il suffit,
remplir et de suivre les instructions affichées pour procéder au paiement.
aragraphe 2.5.
gestion des comptes ainsi créés. Lorsqu’un paiement est effectué, le FSPM et/ou l’institution
monnaie électronique, paie le marchand, si
Dans ce type de paiement,
du processus: commande du produit,
eçu, envoi du produit acheté. Nous
la technologie utilisée par le client pour initier le paiement. Les
Souvent, le FSPM prédéfinit le
le communique au client pour qu’il puisse bénéficier du service.
sauf que des erreurs peuvent se présenter si le format du
propose au client des services à
l’aide du browser WAP. En général, l’interface avec l’utilisateur se présente en formulaires. Il suffit,
remplir et de suivre les instructions affichées pour procéder au paiement. Cette
2.3.3. La Commande vocale [7]
Figure 2.08: Le fonctionnement du SVI avec un téléphone mobile
Le paiement est initié par commande vocale, la plupart des cas
client dicte le montant à payer et appuie sur une touche pour confirmer. Le SVI répète le montant et
demande au client d’entrer son code de sécurité
validation de la transaction. Il recevra un SMS de validation.
2.3.4. La technologie NFC Near Field Communication
Cette technologie a fait l’objet de plusieurs expérimentations en 2007.
Figure 2.09:
C’est une technologie développée conjointement par Philips et Sony et supportée par beaucoup
d’acteurs (Nokia, Motorola etc). Elle est basée sur radiofréquence opérant à 13,56 MHz.
entre le lecteur et la carte ne doit pas dépasser les 10 cm
26
Le fonctionnement du SVI avec un téléphone mobile
Le paiement est initié par commande vocale, la plupart des cas, par SVI (Serveur Vocal Interactif). Le
client dicte le montant à payer et appuie sur une touche pour confirmer. Le SVI répète le montant et
son code de sécurité. Le client saisit celui-ci et appuie sur la touche de
Il recevra un SMS de validation.
Near Field Communication [9]
Cette technologie a fait l’objet de plusieurs expérimentations en 2007.
Figure 2.09: Un lecteur NFC avec un téléphone mobile
C’est une technologie développée conjointement par Philips et Sony et supportée par beaucoup
Elle est basée sur radiofréquence opérant à 13,56 MHz.
entre le lecteur et la carte ne doit pas dépasser les 10 cm pour qu’il y ait communication.
Le fonctionnement du SVI avec un téléphone mobile
par SVI (Serveur Vocal Interactif). Le
client dicte le montant à payer et appuie sur une touche pour confirmer. Le SVI répète le montant et
ci et appuie sur la touche de
C’est une technologie développée conjointement par Philips et Sony et supportée par beaucoup
Elle est basée sur radiofréquence opérant à 13,56 MHz. La distance
pour qu’il y ait communication.
27
L’échange de données peut atteindre 424 Kbits/s. Un device NFC peut agir en mode : contactless carte
ou contactless lecteur.
Le paragraphe qui va suivre décrit quelques exemples de procédure de paiement c'est-à-dire les étapes
que les clients vont procéder pour effectuer le paiement.
2.4. Procédures de paiement
2.4.1. Payer son parking [21]
Les téléphones mobiles étant de plus en plus présents dans notre quotidien, il est maintenant possible
de gérer son stationnement depuis ceux-ci comme le propose la société Parkeon/NCS Crandy avec
son système Parkfolio Mobile .
Appeler le numéro sur l’horodateur
Choisir la zone et la durée de stationnement
Prendre le ticket et le mettre sur le véhicule
Le montant sera débité sur le compte prépayé du client. Il y a aussi un autre moyen pour payer la durée
de stationnement dans un parking en envoyant le SMS de type :
zone duree vehicule
« zone » indique le code du parking
« duree » la durée de stationnement
« vehicule » l’immatriculation du véhicule qui va stationner au parking
2.4.2. Acheter un ticket électronique [21]
Le ticket électronique peut être utilisé pour un concert, ou pour accéder au transport commun.
Envoyer le SMS au numéro spécial donné par le FSPM. Soit l’exemple suivant :
operateur marchand XXXXXX montant
Avec :
« operateur »pour l’opérateur auquel le client est rattaché
« marchand » pour le commerçant ou marchand (société de transport, organisateur du concert,...)
« XXXXXX » est le numéro de réservation
« montant » pour le montant à payer
Le client reçoit le SMS avec un e
Le client montre aux agents à l'entrée du concert
confirment.
2.4.3. Payer chez un commerçant
On peut aussi payer avec son mobile chez un commerçant disposant d’un TPE approprié au téléphone
mobile :
Le client passe son téléphone à moins de 10 cm d’un terminal de p
radiofréquence).
Le montant à payer s’affiche sur le téléphone
pas besoin de saisir son code, il suffit seulement de valider l’opération avec son télépho
OK). Si le montant est plus élevé, le code secret devra être saisi au préalable sur le mobile
Les transactions bancaires sont alors réalisées
Il existe plusieurs procédures pour effectuer le pa
système de paiement mis en œuvre par le fournisseur de service.
Le WAP est actuellement la technologie la plus exploitée avec les téléphones mobiles. Nous allons,
donc, consacrer le paragraphe suivant à la description de cette technologie.
2.5. Le protocole WAP (Wireless A
2.5.1. Principe
La technologie WAP a pour but de
protocole est à un niveau au-dessus de la transmission des données, celle
opérateur de téléphonie. Il définit la façon dont les terminaux mobiles accèdent à des services Internet,
ainsi que la manière dont les documents do
28
SMS avec un e-Ticket virtuel
aux agents à l'entrée du concert ou au quai le SMS ; ils vérifient le ticket virtuel et
[22]
On peut aussi payer avec son mobile chez un commerçant disposant d’un TPE approprié au téléphone
e client passe son téléphone à moins de 10 cm d’un terminal de paiement (identification par
e montant à payer s’affiche sur le téléphone : si le montant est faible (micropaiement
besoin de saisir son code, il suffit seulement de valider l’opération avec son télépho
i le montant est plus élevé, le code secret devra être saisi au préalable sur le mobile
Les transactions bancaires sont alors réalisées
Il existe plusieurs procédures pour effectuer le paiement. Elles varient suivant le fonctionnement du
iement mis en œuvre par le fournisseur de service.
Le WAP est actuellement la technologie la plus exploitée avec les téléphones mobiles. Nous allons,
donc, consacrer le paragraphe suivant à la description de cette technologie.
Le protocole WAP (Wireless Application Protocol) [10] [11] [12] [23] [24]
Figure 2.10: Le protocole WAP
La technologie WAP a pour but de relier le réseau de téléphonie mobile et le réseau Internet
dessus de la transmission des données, celle-ci étant spécifique à chaque
opérateur de téléphonie. Il définit la façon dont les terminaux mobiles accèdent à des services Internet,
ainsi que la manière dont les documents doivent être structurés grâce à un langage dérivant du HTML
SMS ; ils vérifient le ticket virtuel et
On peut aussi payer avec son mobile chez un commerçant disposant d’un TPE approprié au téléphone
aiement (identification par
micropaiement), le client n’a
besoin de saisir son code, il suffit seulement de valider l’opération avec son téléphone (touche
i le montant est plus élevé, le code secret devra être saisi au préalable sur le mobile.
iement. Elles varient suivant le fonctionnement du
Le WAP est actuellement la technologie la plus exploitée avec les téléphones mobiles. Nous allons,
[24]
relier le réseau de téléphonie mobile et le réseau Internet. Ce
ci étant spécifique à chaque
opérateur de téléphonie. Il définit la façon dont les terminaux mobiles accèdent à des services Internet,
ivent être structurés grâce à un langage dérivant du HTML
et nommé WML (Wireless Markup Language
2.5.2. Architecture
L'architecture fonctionnelle du WAP est basée sur un modèle à 3 composants :
2.5.2.1. Un serveur de contenu
Il utilise les techniques classiques d’Internet (HTML/HTTP/TCP/IP). La partie diffusion de contenu
peut être similaire à n'importe quelles solutions web statiques ou dynamiques, à la différence près que
les informations doivent circuler dans des document
Language).
2.5.2.2. Un proxy WAP
Il assume la fonctionnalité de conversion de protocoles. Il assure la connexion entre le monde web et
le monde mobile. Il est basé sur l'utilisation d'une passerelle protocolaire (gateway pr
transforme dans un sens ou dans l'autre la pile WAP en pile web, et d'un codeur/décodeur de contenu
qui compacte/décompacte le contenu afin d'optimiser le code échangé et donc la bande passante.
2.5.2.3. Un client léger WAP
De type micro-navigateur, il est embarqué dans un terminal mobile, capable d'afficher le code WML et
de capter les interactions de l'utilisateur. Des systèmes de sécurité assurent l'intégrité et la
confidentialité des données échangées, ainsi que l'authentification des deux parties.
29
Wireless Markup Language) et un langage de script baptisé WMLScript
L'architecture fonctionnelle du WAP est basée sur un modèle à 3 composants :
Il utilise les techniques classiques d’Internet (HTML/HTTP/TCP/IP). La partie diffusion de contenu
peut être similaire à n'importe quelles solutions web statiques ou dynamiques, à la différence près que
les informations doivent circuler dans des documents WML et non plus HTML (HyperText Markup
assume la fonctionnalité de conversion de protocoles. Il assure la connexion entre le monde web et
est basé sur l'utilisation d'une passerelle protocolaire (gateway pr
transforme dans un sens ou dans l'autre la pile WAP en pile web, et d'un codeur/décodeur de contenu
qui compacte/décompacte le contenu afin d'optimiser le code échangé et donc la bande passante.
est embarqué dans un terminal mobile, capable d'afficher le code WML et
de capter les interactions de l'utilisateur. Des systèmes de sécurité assurent l'intégrité et la
confidentialité des données échangées, ainsi que l'authentification des deux parties.
Figure 2.11: Architecture WAP
WMLScript.
Il utilise les techniques classiques d’Internet (HTML/HTTP/TCP/IP). La partie diffusion de contenu
peut être similaire à n'importe quelles solutions web statiques ou dynamiques, à la différence près que
s WML et non plus HTML (HyperText Markup
assume la fonctionnalité de conversion de protocoles. Il assure la connexion entre le monde web et
est basé sur l'utilisation d'une passerelle protocolaire (gateway protocol) qui
transforme dans un sens ou dans l'autre la pile WAP en pile web, et d'un codeur/décodeur de contenu
qui compacte/décompacte le contenu afin d'optimiser le code échangé et donc la bande passante.
est embarqué dans un terminal mobile, capable d'afficher le code WML et
de capter les interactions de l'utilisateur. Des systèmes de sécurité assurent l'intégrité et la
confidentialité des données échangées, ainsi que l'authentification des deux parties.
Les différentes couches seront expliquées
complexité des réseaux GSM au niveau de sa couche
multiples applications par rapport aux
SMS (Short Message Service), des données GSM à 9600 bit/s, GPRS ou UMTS, tout cela est
transparent du point de vue de l’utilisateur.
compatibilité du WAP avec les technologies de téléphonie mobile en cours de développement
venir.
2.5.3. La passerelle WAP
La passerelle (gateway) WAP est l'élément qui différencie le WAP du web. Elle assure
principales :
Conversion des formats de données entre le réseau informatique et le réseau
Codage / décodage des requêtes et réponses entre le terminal mobile et le serveur
2.5.4. Les couches WAP
30
Les différentes couches seront expliquées dans le paragraphe 2.5.4. Le protocole WAP cache la
complexité des réseaux GSM au niveau de sa couche applicative, tout comme le fait le Web avec ses
multiples applications par rapport aux multitudes d'infrastructures réseaux possibles. Que ce soit du
des données GSM à 9600 bit/s, GPRS ou UMTS, tout cela est
l’utilisateur. Cet aspect est réellement crucial puisqu'il garantit la
atibilité du WAP avec les technologies de téléphonie mobile en cours de développement
Figure 2.12: La passerelle WAP
La passerelle (gateway) WAP est l'élément qui différencie le WAP du web. Elle assure
Conversion des formats de données entre le réseau informatique et le réseau
Codage / décodage des requêtes et réponses entre le terminal mobile et le serveur
Figure 2.13: Couches WAP
Le protocole WAP cache la
applicative, tout comme le fait le Web avec ses
multitudes d'infrastructures réseaux possibles. Que ce soit du
des données GSM à 9600 bit/s, GPRS ou UMTS, tout cela est
Cet aspect est réellement crucial puisqu'il garantit la
atibilité du WAP avec les technologies de téléphonie mobile en cours de développement ou à
La passerelle (gateway) WAP est l'élément qui différencie le WAP du web. Elle assure deux fonctions
téléphonique sans fil.
Codage / décodage des requêtes et réponses entre le terminal mobile et le serveur web. ‘
31
Le standard WAP comporte toute une hiérarchie de services et de protocoles qui fonctionnent en
couches superposées.
HTML HyperText Markup Language
HTTP HyperText Transfer Protocol
TLS Transaction Layer Service
SSL Secure Socket Layer
IP Internet Protocol
WAE Wireless Application Environment
WSP Wirelesss Session Protocol
WTP Wireless Transaction Protocol
WTLS Wireless Transaction Layer Security
WDP Wireless Datagram Protocol
2.5.4.1. Couche WAE
La couche application du WAP définit l'environnement de développement des applications sur les
terminaux mobiles. Elle fournit ainsi des fonctionnalités applicatives telles que:
Le WML (Wireless Markup Langage) langage qui formalise l'écriture d'un document avec des
balises de formatage indiquant la façon dont doit être présenté le document sur un terminal mobile et
définit les liens établis avec d'autres documents
Le WMLScript: un langage de script interprété par le terminal mobile, il permet d'exécuter des
instructions simples.
Le WTA (Wireless Telephony Applications), un ensemble d'interfaces prédéfinies servant à créer
des applications téléphoniques
Le WBMP (Wireless BitMaP) est le format des images, elles ne doivent pas dépasser la taille de
l’écran de téléphone standard.
Chaque terminal mobile est équipé de deux agents permettant d'interpréter les documents et de gérer
des évènements (appui sur un bouton,...) au même titre qu'un navigateur internet, le navigateur étant
lui-même un user-agent.
32
Les deux user-agents des terminaux sans fil WAP sont :
le WML user-agent
le WTA user-agent
2.5.4.2. Couche WSP
La couche session est constituée de deux protocoles:
Un protocole orienté connexion agissant au-dessus de la couche transaction.
Un protocole non orienté connexion agissant au-dessus de la couche transport.
La présence de ces deux protocoles permet de bénéficier soit de longues sessions sans acquittement,
dans laquelle la communication peut être suspendue puis reprise, ou bien de sessions initiées par le
serveur (technologie Push), le tout en binaire pour économiser de la bande passante.
2.5.4.3. Couche WTP
La couche de transaction gère le déroulement de la transaction, elle définit donc la fiabilité du service.
La communication peut se faire de trois façons, c'est-à-dire:
à sens unique avec acquittement : le client acquitte les données envoyées, la connexion se termine
quand le serveur reçoit cet acquittement
à sens unique sans acquittement : il n’y a pas de vérification si le message est reçu ou non
en full duplex avec acquittement : chaque message envoyé donne lieu à un message de réponse du
client et cette réponse donne lieu à un acquittement venant de la source
Elle permet en outre d'effectuer des transactions synchrones et de retarder les acquittements afin de les
gérer par paquets.
2.5.4.4. Couche WTLS
La couche WTLS est un protocole basé sur les standards industriels de sécurité, comme SSL (Secure
Socket Layer). Il assure les caractéristiques suivantes :
Intégrité : WTLS contient des mécanismes pour s'assurer que les données échangées entre un
terminal mobile et un serveur applicatif n'ont pas été modifiés ni ne sont corrompues
Secret : WTLS fournit un mécanisme pour s'assurer que les données échangées entre le terminal
mobile et le serveur applicatif sont privées et ne peuvent pas être interprétées si elles sont interceptées.
Authentification : WTLS contient des mécanismes pour établir une authentification d'un terminal
mobile ou d'une application
Protection contre le déni de service : WTLS met en œuvre un dispositif pour détecter et rejeter des
données rejouées ou non vérifiées
Les applications WAP sont capables de sélectionner si besoin les diverses fonctionnalités offertes par
WTLS en fonction du niveau de sécurité visé et des caractéristiques du réseau physique de transport.
Puisque les réseaux sans fil n'ont au début du
sécurité a été prévue pour optimiser la taille des données sécurisées.
2.5.4.5. Couches WDP et UDP
Les couches WDP et UDP sont à la base de la pile de protocoles WAP, elles sont
l'interface avec les protocoles de transmission de données utilisés par les
télécommunication : GSM, GPRS, EDGE, UMTS
2.5.4.6. Les supports
Les supports offrent les différences de niveaux de qualité de service en respectant l’erreur de retard, le
délai. Les couches WAP sont conçues pour compenser ou pour tolérer cette variation de niveau.
2.5.5. Les modèles d’interaction [25]
On distingue 2 modèles d’interaction
2.5.5.1. Pull
Le client demande les données au serveur
2.5.5.2. Push
Le serveur « pousse » les données
33
Protection contre le déni de service : WTLS met en œuvre un dispositif pour détecter et rejeter des
Les applications WAP sont capables de sélectionner si besoin les diverses fonctionnalités offertes par
sécurité visé et des caractéristiques du réseau physique de transport.
Puisque les réseaux sans fil n'ont au début du millénaire qu'une bande passante réduite, la couche
sécurité a été prévue pour optimiser la taille des données sécurisées.
Les couches WDP et UDP sont à la base de la pile de protocoles WAP, elles sont
otocoles de transmission de données utilisés par les
: GSM, GPRS, EDGE, UMTS avec les couches au-dessus.
Les supports offrent les différences de niveaux de qualité de service en respectant l’erreur de retard, le
délai. Les couches WAP sont conçues pour compenser ou pour tolérer cette variation de niveau.
[25]
d’interaction :
client demande les données au serveur.
Figure 2.14: Interaction PULL
les données vers les clients quand elles sont prêtes.
Protection contre le déni de service : WTLS met en œuvre un dispositif pour détecter et rejeter des
Les applications WAP sont capables de sélectionner si besoin les diverses fonctionnalités offertes par
sécurité visé et des caractéristiques du réseau physique de transport.
millénaire qu'une bande passante réduite, la couche
Les couches WDP et UDP sont à la base de la pile de protocoles WAP, elles sont chargées de
otocoles de transmission de données utilisés par les opérateurs de
Les supports offrent les différences de niveaux de qualité de service en respectant l’erreur de retard, le
délai. Les couches WAP sont conçues pour compenser ou pour tolérer cette variation de niveau.
La méthode WAP Push permet d'envoyer des publicités ou messages
appareils compatibles. Deux méthodes efficaces permettent l'envoi de contenu vers un appareil
mobile : le Service de messages courts (SMS) ou le maintien d'une session GPRS permanente (trafic
sortant) avec le serveur de contenu.
Il existe deux types de message WAP Push : chargement de service (SL
de service (SI Service Indication
considérablement en fonction du type de message et de l'ap
Figure 2.16:
Un message SL Push peut lancer une session WAP pour télécharger des informations
complémentaires (une page WAP avec des images ou une application, par exemple) ; l'utilisateur n'a
pas besoin d'intervenir : il suffit pour cela que les paramètres de l'appareil mobile soient configurés
pour permettre une telle action.
D'un point de vue technique, le fonctionnement des messages SL Push est largement comparable aux
MMS : l'utilisateur est averti uniquement après téléchargement du contenu.
34
Figure 2.15: Interaction PUSH
La méthode WAP Push permet d'envoyer des publicités ou messages personnalisés interactifs vers les
Deux méthodes efficaces permettent l'envoi de contenu vers un appareil
le Service de messages courts (SMS) ou le maintien d'une session GPRS permanente (trafic
ontenu.
Il existe deux types de message WAP Push : chargement de service (SL Service Loading
Service Indication). Le processus de réception des messages WAP Push varie
considérablement en fonction du type de message et de l'appareil mobile :
Figure 2.16: Flux de transmission d’un message SI push
Un message SL Push peut lancer une session WAP pour télécharger des informations
complémentaires (une page WAP avec des images ou une application, par exemple) ; l'utilisateur n'a
d'intervenir : il suffit pour cela que les paramètres de l'appareil mobile soient configurés
D'un point de vue technique, le fonctionnement des messages SL Push est largement comparable aux
iquement après téléchargement du contenu.
personnalisés interactifs vers les
Deux méthodes efficaces permettent l'envoi de contenu vers un appareil
le Service de messages courts (SMS) ou le maintien d'une session GPRS permanente (trafic
Service Loading) et indication
). Le processus de réception des messages WAP Push varie
Un message SL Push peut lancer une session WAP pour télécharger des informations
complémentaires (une page WAP avec des images ou une application, par exemple) ; l'utilisateur n'a
d'intervenir : il suffit pour cela que les paramètres de l'appareil mobile soient configurés
D'un point de vue technique, le fonctionnement des messages SL Push est largement comparable aux
35
Un message SI Push peut se composer d'une simple page WAP avec une action nécessitant
l'intervention de l'utilisateur (lien vers une page d'un serveur Web, par exemple).
La session avec le portail WAP est établie uniquement après intervention de l'utilisateur.
Le procédé d’envoi de SMS est limité à 160 caractères. La mise en place de solutions " Push " n'est pas
réalisable sur le standard WAP 1.1.
Elle l’est avec le standard WAP 1.2. Le principe consiste à utiliser une nouvelle brique technologique :
la passerelle Push Proxy qui peut être incorporée directement dans un serveur WAP. Le serveur
initiateur envoie l'information à cette passerelle au format XML. Cette passerelle assure l'envoi de
l'information au terminal mobile via le SMS (avec un format interprétable par le navigateur) et informe
le serveur initiateur sur son acheminement. De plus la sécurité est améliorée par l’établissement d’un
tunnel entre le navigateur et le proxy WAP de l’entreprise. L’identité de l’utilisateur est mieux assurée
par WIM (WAP Identification Module) présent sur la carte SIM. De plus un UAP (User Agent Profil)
permet au terminal de communiquer au proxy ses caractéristiques afin que l’application puisse adapter
le contenu WML.
2.6. Conclusion
La méthode de paiement et la technologie d’accès n’ont pas de corrélation. Ainsi, pour une méthode
donnée, toutes les technologies d’accès sont, dans la plupart des cas, utilisables. L’étude de la méthode
de paiement est adéquate pour analyser la chaîne de valeur des paiements et les interactions entre les
acteurs impliqués. Celle de la technologie d'accès a, pour sa part, un intérêt d'un point de vue
fonctionnel.
36
CHAPITRE 3 : SECURISATION
Comme on a mentionné dans le premier chapitre, le commerce électronique doit avoir les
caractéristiques suivantes : l’intégrité, la confidentialité et l’authentification. Plusieurs techniques sont
mises en œuvre pour garantir ces 3 fonctions. Ainsi, ce troisième chapitre se repartit en 3 paragraphes :
La cryptographie : un des moyens utilisés pour assurer l’intégrité et la confidentialité
Les mécanismes d’authentification
Les protocoles de sécurisation
3.1. La cryptographie [13] [26]
La cryptographie désigne l’ensemble des principes, moyens et méthodes de transformation des
données destinés à chiffrer leur contenu, établir leur authenticité, empêcher que leur modification
passe inaperçue, prévenir leur répudiation ou leur utilisation non autorisée.
Elle est utilisée pour sécuriser les transactions électroniques.
Il existe 2 grandes familles d’algorithmes de chiffrement :
3.1.1. Les algorithmes à clef simple (symétriques) - Type DES (Data Encryption System)
La même clef de chiffrement sert à coder et à décoder les données. L’émetteur et le récepteur d’un
message codé disposent de la même clef. Un des principaux buts de la cryptographie classique consiste
à rendre incompréhensibles des messages secrets. En d’autres termes, il s’agit d’assurer la
confidentialité de l’information susceptible de tomber dans de mauvaises mains. Les systèmes de
chiffrement traditionnels dits à clef secrète, ou symétriques, reposent sur le partage, entre deux
interlocuteurs, d’une même clef secrète utilisée à la fois pour le chiffrement d’un message et pour son
déchiffrement.
Le but d’un tel système est de parvenir à garder une seule information secrète (la clef de chiffrement) à
la place des messages proprement dits qui peuvent ainsi, une fois chiffrés, transiter sur des réseaux dits
ouverts.
La difficulté principale de cette technique: la clef doit être remise aux interlocuteurs préalablement à la
communication par un canal sûr, donc différent du canal prévu, de façon à ce qu’elle ne soit pas
interceptée par des tiers non autorisés. Cette distribution préliminaire de clefs devient cependant
vraiment périlleuse et même impraticable lorsqu’il s’agit de communiquer des messages chiffrés à un
grand nombre de participants que l’on ne connaît pas forcément, comme c’est le cas sur Internet.
Figure 3.01:
Soit n le nombre d’utilisateurs. Le nombre de clefs à utiliser vaut
3.1.2. Les algorithmes à clefs doubles (asymétriques)
Dans ce cas, il existe deux clefs pour chaque personne. Une cl
et une autre que l’on diffuse largement (la cl
37
Figure 3.01:La cryptographie à clef secrète
le nombre d’utilisateurs. Le nombre de clefs à utiliser vaut (n / 2)*(n-1).
Figure 3.02: Cas de 2 participants
Figure 3.03: Cas de 3 participants
Figure 3.04: Cas de 5 participants
doubles (asymétriques) - Type RSA (Rivest, Schamir
s pour chaque personne. Une clef que l’on garde secrète (la cl
et une autre que l’on diffuse largement (la clef publique). Un message codé avec
Type RSA (Rivest, Schamir and Adleman)
que l’on garde secrète (la clef privée)
publique). Un message codé avec une des clefs ne peut
être décodé qu’avec la deuxième cl
lieu de l’échange d’une seule clef secrète,
liées (c’est-à-dire différentes mais complémentaires).
Il s’agit alors d’une clef publique,
laquelle correspond une seule autre clef, la
ne permet pas de chiffrer et de déchiffrer un message
obligatoirement employer les deux
Figure 3.05:
Dans le cas d’un message confidentiel, l’émetteur envoie le message codé
récepteur. Seul ce dernier pourra le relire à l’aide de sa cl
Dans le cas d’un message authentifié, l’émetteur envoie le message codé avec sa propre
Toute personne ayant accès à sa cl
été envoyé par l’émetteur et que personne n’a pu le modifier.
3.1.3. Cryptographie hybride
Les algorithmes de chiffrement asymétriques
beaucoup plus lents que les algorithmes symétriques. Ils ne
longs messages. Le moyen d’éviter ce désagrément est de combiner
asymétrique de chiffrement. Cette
digitale».
Soit l’exemple suivant : le texte destiné à Bob est dans un premier
algorithme symétrique rapide qui emploie une clef secrète.
38
être décodé qu’avec la deuxième clef. La cryptographie à clef publique repose sur une idée simple: au
l’échange d’une seule clef secrète, chaque usager possède une paire de clefs mathématiquement
mais complémentaires).
Il s’agit alors d’une clef publique, largement diffusée par exemple dans un annuaire électronique, à
correspond une seule autre clef, la clef privée, gardée secrète par son propriétaire
et de déchiffrer un message avec une seule et même clef, il faut
obligatoirement employer les deux clefs à disposition (privée et publique).
Figure 3.05: La cryptographie à clef publique
Dans le cas d’un message confidentiel, l’émetteur envoie le message codé avec la cl
récepteur. Seul ce dernier pourra le relire à l’aide de sa clef privée.
Dans le cas d’un message authentifié, l’émetteur envoie le message codé avec sa propre
Toute personne ayant accès à sa clef publique pourra lire le message en ayant la
été envoyé par l’émetteur et que personne n’a pu le modifier.
Les algorithmes de chiffrement asymétriques ont cependant un désavantage, ils sont généralement
gorithmes symétriques. Ils ne conviennent donc guère au chiffrement
d’éviter ce désagrément est de combiner les mécanismes symétrique
asymétrique de chiffrement. Cette combinaison est appelée cryptographie hybride ou
destiné à Bob est dans un premier temps chiffré par Alice avec un
algorithme symétrique rapide qui emploie une clef secrète. Dans un second temps, le logiciel
repose sur une idée simple: au
clefs mathématiquement
un annuaire électronique, à
propriétaire. Ce système
avec une seule et même clef, il faut
avec la clef publique du
Dans le cas d’un message authentifié, l’émetteur envoie le message codé avec sa propre clef privée.
le message en ayant la garantie qu’il a bien
ont cependant un désavantage, ils sont généralement
conviennent donc guère au chiffrement de
les mécanismes symétrique et
hybride ou «enveloppe
temps chiffré par Alice avec un
Dans un second temps, le logiciel d’Alice
va coder cette clef secrète avec la clef publique de Bob. L’algorithme
chiffre uniquement la clef secrète utilisée
Il est donc possible de chiffrer très rapidement les
cryptographie à clef publique. Ces étapes sont à présent
pour les usagers.
3.2. Mécanismes d’authentification
Dans le cas d'un individu, l'authentification consiste,
preuve de son identité ou de son statut, sous l'une des formes (éventuellement combinées) suivantes :
− Ce qu'il sait (mot de passe statique ou dynamique, code PIN).
− Ce qu'il est (caractéristique physique
3.2.1. Mot de passe
Les mots de passe doivent être difficiles à deviner: les mots simples, noms de lieux et de personnes
39
la clef publique de Bob. L’algorithme de chiffrement asymétrique
uniquement la clef secrète utilisée pour coder le message et non pas le message en tant que tel.
possible de chiffrer très rapidement les messages tout en bénéficiant
clef publique. Ces étapes sont à présent exécutées de manière tout à fait transparente
Figure 3.06:La cryptographie hybride
d’authentification
Dans le cas d'un individu, l'authentification consiste, en général, à vérifier que celui
preuve de son identité ou de son statut, sous l'une des formes (éventuellement combinées) suivantes :
Ce qu'il sait (mot de passe statique ou dynamique, code PIN).
Ce qu'il est (caractéristique physique par la biométrie).
difficiles à deviner: les mots simples, noms de lieux et de personnes
de chiffrement asymétrique
message en tant que tel.
messages tout en bénéficiant des avantages de la
exécutées de manière tout à fait transparente
en général, à vérifier que celui-ci possède une
preuve de son identité ou de son statut, sous l'une des formes (éventuellement combinées) suivantes :
difficiles à deviner: les mots simples, noms de lieux et de personnes
réelles ou imaginaires (provenant du cinéma ou de la littérature) sont à proscrire absolument, parce
qu’ils sont vulnérables aux attaques par dictionnaire;
mesure du possible, des lettres majuscules et minuscules, des chiffres et des caractères de ponctuation
divers. Les mots de passe sont individuels et ne doivent pas être
3.2.2. Systèmes biométriques [27]
Pour pouvoir émerger sur le plan industriel, tout procédé biométrique moderne
technologies :
un procédé de capture (collecte) de l’élément biométrique
un procédé d’analyse de l’éléme
un procédé permettant de comparer le résultat de l’analyse de l‘élément biométrique
collection d’autres éléments biométriques préalablement collectés et
A l’aide d’un dispositif automatisé (système
physiologiques ou comportementales d’un individu afin de pouvoir le reconnaître ultérieurement grâce
à ces mêmes caractéristiques. Ces données biométriques relèvent soit de la physiologie de la personn
(iris, empreinte digitale, rétine, visage, géométrie de la main ou du doigt, …), soit de son
comportement (voix, dynamique des frappes au clavier, dynamique de signature…).
Ci-après quelques exemples de systèmes biométriques
3.2.2.1. Identification vocale [14]
La figure suivante nous montre le principe de l’identification vocale
Figure 3.07:
40
réelles ou imaginaires (provenant du cinéma ou de la littérature) sont à proscrire absolument, parce
aux attaques par dictionnaire; les mots de passe doivent contenir, dans la
mesure du possible, des lettres majuscules et minuscules, des chiffres et des caractères de ponctuation
es mots de passe sont individuels et ne doivent pas être communiqués à autrui.
Pour pouvoir émerger sur le plan industriel, tout procédé biométrique moderne
un procédé de capture (collecte) de l’élément biométrique
un procédé d’analyse de l’élément biométrique ainsi collecté
un procédé permettant de comparer le résultat de l’analyse de l‘élément biométrique
collection d’autres éléments biométriques préalablement collectés et mémorisés
A l’aide d’un dispositif automatisé (système biométrique), la biométrie mesure des caractéristiques
physiologiques ou comportementales d’un individu afin de pouvoir le reconnaître ultérieurement grâce
à ces mêmes caractéristiques. Ces données biométriques relèvent soit de la physiologie de la personn
(iris, empreinte digitale, rétine, visage, géométrie de la main ou du doigt, …), soit de son
comportement (voix, dynamique des frappes au clavier, dynamique de signature…).
après quelques exemples de systèmes biométriques :
La figure suivante nous montre le principe de l’identification vocale :
Figure 3.07:L’authentification biométrique vocale
réelles ou imaginaires (provenant du cinéma ou de la littérature) sont à proscrire absolument, parce
mots de passe doivent contenir, dans la
mesure du possible, des lettres majuscules et minuscules, des chiffres et des caractères de ponctuation
communiqués à autrui.
Pour pouvoir émerger sur le plan industriel, tout procédé biométrique moderne met en œuvre plusieurs
un procédé permettant de comparer le résultat de l’analyse de l‘élément biométrique collecté à une
mémorisés.
biométrique), la biométrie mesure des caractéristiques
physiologiques ou comportementales d’un individu afin de pouvoir le reconnaître ultérieurement grâce
à ces mêmes caractéristiques. Ces données biométriques relèvent soit de la physiologie de la personne
(iris, empreinte digitale, rétine, visage, géométrie de la main ou du doigt, …), soit de son
comportement (voix, dynamique des frappes au clavier, dynamique de signature…).
Elle est basée sur les caractéristiques de la voix, uniques pour chaque personne, une combinaison de
facteurs physiologiques (tonalité, âge, accent, …)
La voix est captée par un microphone. Les paramètres acoustiques calculés à partir du signal voix
obtenu seront comparés avec ceux stockés dans la base de données préalablement enregistrées.
Suivant le résultat de cette comparaison, le client sera accepté ou rejeté par le système.
3.2.2.2. Empreinte digitale [28]
On distingue 2 grandes catégories
L’une basée sur la recherche des minuties
formant l’empreinte (c’est l’approche traditionnelle) et l’autre
analyse purement statistique de la répartition
Figure 3.08:
3.2.2.3. Physiologie de la main [28
Figure 3.09:
41
Elle est basée sur les caractéristiques de la voix, uniques pour chaque personne, une combinaison de
(tonalité, âge, accent, …) et comportementaux (vitesse, ..)
La voix est captée par un microphone. Les paramètres acoustiques calculés à partir du signal voix
obtenu seront comparés avec ceux stockés dans la base de données préalablement enregistrées.
uivant le résultat de cette comparaison, le client sera accepté ou rejeté par le système.
:
’une basée sur la recherche des minuties (a), points caractéristiques remarquables
formant l’empreinte (c’est l’approche traditionnelle) et l’autre (b), plus récente, consistant à faire une
analyse purement statistique de la répartition des points formant le tracé des empreintes
(a) (b)
Figure 3.08: Caractéristiques de l’empreinte digitale
8]
Figure 3.09:Appareil biométrique pour la main
Elle est basée sur les caractéristiques de la voix, uniques pour chaque personne, une combinaison de
(vitesse, ..).
La voix est captée par un microphone. Les paramètres acoustiques calculés à partir du signal voix
obtenu seront comparés avec ceux stockés dans la base de données préalablement enregistrées.
uivant le résultat de cette comparaison, le client sera accepté ou rejeté par le système.
, points caractéristiques remarquables situés sur les traits
, plus récente, consistant à faire une
ormant le tracé des empreintes
mpreinte digitale
La reconnaissance s’effectue par géométrie de la main dans l’espace (3 dimensions)
tridimensionnelle, longueur et épaisseur des doigts, forme de articulations, …
montre un exemple d’appareil biométrique pour capter ces caractéristiques de la main.
3.2.2.4. Scan de l’iris ou de la rétine
Le principe suit celui de tout système biométrique
Enregistrement des paramètres caractéristiques
Extraction après capture
Comparaison avec les éléments connus
Notons que cette solution réclame un coût plus élevé que les autres précédemment cités.
Figure 3.10:
Le choix d’un procédé biométrique dépend de différents facteurs, comme
fonction d'autres solutions non biométriques possibles.
L’authentification cherche à vérifier si la personne qui se présente au système est réellement qui elle
prétend être. Pour cela, les caractéristiques biométriques relevées en temp
données de référence préenregistrées et stockées de façon centrale ou sur un support individuel; le
système va soit confirmer, soit infirmer l’identité prétendue.
L’année 2008, l'ISO a publié une norme pour sécuriser davantage les
électroniques. La nouvelle norme,
sécurité, établit les exigences de sécurité pour l’application et la gestion des technologies de pointe
pour l'identification biométrique dans le secteur financier.
Chaque jour, des millions de dollars de fonds et capitaux sont transférés sur des systèmes de paiement
et d'autres systèmes financiers par téléphone, services de transmission et autres mécanismes de
42
La reconnaissance s’effectue par géométrie de la main dans l’espace (3 dimensions)
tridimensionnelle, longueur et épaisseur des doigts, forme de articulations, …
un exemple d’appareil biométrique pour capter ces caractéristiques de la main.
ou de la rétine [9]
Le principe suit celui de tout système biométrique :
Enregistrement des paramètres caractéristiques
Comparaison avec les éléments connus
Notons que cette solution réclame un coût plus élevé que les autres précédemment cités.
Figure 3.10:Appareil biométrique pour l’iris
Le choix d’un procédé biométrique dépend de différents facteurs, comme
fonction d'autres solutions non biométriques possibles.
L’authentification cherche à vérifier si la personne qui se présente au système est réellement qui elle
prétend être. Pour cela, les caractéristiques biométriques relevées en temps réel sont comparées aux
données de référence préenregistrées et stockées de façon centrale ou sur un support individuel; le
système va soit confirmer, soit infirmer l’identité prétendue.
une norme pour sécuriser davantage les transactions financières
électroniques. La nouvelle norme, ISO 19092:2008, Services financiers – Biométrie
, établit les exigences de sécurité pour l’application et la gestion des technologies de pointe
dans le secteur financier.
de dollars de fonds et capitaux sont transférés sur des systèmes de paiement
et d'autres systèmes financiers par téléphone, services de transmission et autres mécanismes de
La reconnaissance s’effectue par géométrie de la main dans l’espace (3 dimensions) : forme
tridimensionnelle, longueur et épaisseur des doigts, forme de articulations, …. La figure 3.02 nous
un exemple d’appareil biométrique pour capter ces caractéristiques de la main.
Notons que cette solution réclame un coût plus élevé que les autres précédemment cités.
Le choix d’un procédé biométrique dépend de différents facteurs, comme le coût du système en
L’authentification cherche à vérifier si la personne qui se présente au système est réellement qui elle
s réel sont comparées aux
données de référence préenregistrées et stockées de façon centrale ou sur un support individuel; le
transactions financières
Biométrie – Cadre de
, établit les exigences de sécurité pour l’application et la gestion des technologies de pointe
de dollars de fonds et capitaux sont transférés sur des systèmes de paiement
et d'autres systèmes financiers par téléphone, services de transmission et autres mécanismes de
43
communication électronique.
Selon l'ISO 19092:2008, le simple volume et la valeur de telles transactions exposent la communauté
financière et ses clients à de graves risques d'altération, de substitution ou de destruction accidentelle
ou délibérée de données. Il est donc nécessaire de disposer d'une méthode d'authentification «blindée».
La biométrie est de plus en plus considérée comme un moyen d'identification fiable. Son avantage et
son attrait tiennent à sa facilité d'utilisation, à son niveau de sécurité apparente, à son efficacité et à son
caractère non envahissant.
L'ISO 19092:2008 décrit le cadre de sécurité pour l'utilisation de la biométrie à des fins
d'authentification de personnes dans les services financiers. Elle présente les types de technologies
biométriques et traite de questions d’application.
La norme présente les architectures pour la mise en œuvre, spécifie les exigences minimales de
sécurité pour une gestion efficace et propose des recommandations et objectifs de contrôle applicables
par les professionnels. Elle favorise l'intégration de la biométrie dans le secteur financier et la gestion
des informations biométriques dans le cadre du programme général de gestion de sécurité de
l'information de l'entreprise.
Quelques constructeurs ont déjà intégré des systèmes biométriques dans les téléphones mobiles. On
peut envisager une hausse utilisation de ces systèmes qui sont considérés fiables.
3.3. Protocoles [15] [16] [29]
3.3.1. SSL : Secure Socket Layer
3.3.1.1. Principe
C’est un protocole général qui est destiné à sécuriser un échange client/serveur (confidentialité,
authentification). Les données cryptées ne peuvent être lues, en principe, que par un seul destinataire.
Il est utilisé dans la plupart des e-paiements. Ce protocole a été développé par Netscape
Communications Corp en collaboration avec RSA Data Security Inc afin de sécuriser les échanges
d’information sur les réseaux. C’est un protocole d’échange de données, il assure la confidentialité des
échanges entre 2 applications, ainsi que l’authentification des serveurs. Il est utilisé en particulier pour
HTTP. Il utilise RSA pour échanger des clefs DES, il authentifie un navigateur, non une personne.
SSL comporte un protocole de négociation (choix des clefs) et un protocole d’échange (chiffré par
DES). SSL est une couche telle que : au dessus HTTP (HyperText Transfer Protocol) et au dessous
44
TCP/IP (Transmission Control Protocol/ Internet Protocol).
Partons d’une situation concrète : Alice veut acheter un CD à la boutique en ligne de Bob. La
communication va passer en mode sécurisé, l’adresse du serveur commencera par « https:// » au lieu
du classique « http:// » et il apparaît généralement un cadenas fermé en bas du navigateur d’Alice.
C’est toute la communication http qui sera sécurisée par le système qui va se mettre en place.
Mais avant de parler de cette transaction, revenons quelques temps en arrière : revenons au jour où
Bob a décidé d’ouvrir un site de vente en ligne. Pour sécuriser ses futures transactions, Bob met au
point un système de cryptographie à clefs asymétriques. Il fait, ensuite, appel à une autorité de
certification qui va certifier sa clef publique. L’autorité de certification joue ici le rôle du tiers de
confiance qui assure aux futurs consommateurs le sérieux du site de vente en ligne.
Revenons à la transaction d’Alice. Le navigateur d’Alice contacte le serveur de Bob en lui faisant part
de son souhait de passer en mode sécurisé. Il transmet aussi la liste des systèmes de cryptographie
symétriques qu’il supporte. En retour le serveur lui envoie la clef publique de Bob et précise le
cryptosystème le plus performant avec lequel il est compatible. Le navigateur d’Alice vérifie que la
clef publique de Bob est certifiée par au moins une autorité dont il reconnaît la compétence. Si tel est
le cas, il génère aléatoirement une clef symétrique qu’il chiffre par le biais de la clef publique de Bob
avant de la lui envoyer. Bob reçoit cette clef qu’il déchiffre à l’aide de sa clef privée. A ce stade, le
navigateur d’Alice et le serveur de Bob ont convenu d’un cryptosystème symétrique et se sont
échangés une clef par le biais d’un canal sécurisé. Cette clef ne servira qu’à cette transaction, on dit
que c’est une clef de session. Les messages échangés seront ensuite décomposés par blocs, chaque
bloc sera signé numériquement afin d’en assurer l’intégrité et le tout sera chiffré par la clef de session.
3.3.1.2. Avantages
Ce protocole est rapide. L’intégralité de la transaction est chiffrée par une clef de session qui est
échangée via un canal sécurisé. Le client est assuré de l’identité du serveur, car la clef publique est
certifiée par un tiers de confiance. Si quelqu’un usurpe l’identité du serveur il ne pourra déchiffrer la
clef de session formée car il n’est pas en possession de la clef privée du serveur. De son côté, le
serveur est certain de communiquer avec le créateur de la clef de session car il peut vérifier l’intégrité
des messages déchiffrés par leur signature.
3.3.1.3. Faiblesses
La principale faiblesse du protocole SSL se situe au niveau de la liste des autorités de certification, il
45
suffit qu’une seule d’entre elles valide la clef publique de Bob pour que celui-ci soit jugé digne de
confiance. De plus, le protocole SSL ne prévoit pas de vérification systématique de la non-révocation
des certificats. Cela reste donc essentiellement au client de vérifier l’intégrité du site sur lequel il
transmet des informations sensibles.
Le protocole SET (pour Secure Electronic Transaction) pallie à ces faiblesses en faisant intervenir
l’autorité bancaire. Le numéro de carte est directement transmis à la banque accompagné d’une
signature électronique du client empêchant toutes contestations ultérieures. L’autorité bancaire
transmet alors au site marchand l’autorisation de transaction et Bob est ainsi assuré du paiement de sa
marchandise.
Le HyperText Transfer Protocol, plus connu sous l'abréviation HTTP, littéralement le « protocole de
transfert hypertexte », est un protocole de communication client-serveur développé pour le World
Wide Web. HTTPS (avec S pour secured, soit « sécurisé ») est la variante du HTTP sécurisée par
l'usage des protocoles SSL ou TLS.
3.3.2. SET : Secure Electronic Transactions
3.3.2.1. Principe
C’est un protocole spécialisé pour les paiements : SET est destiné à sécuriser les paiements par carte
bancaire (confidentialité, authentification, intégrité, non dénégation). Les consortiums bancaires Visa
et MasterCard ainsi que d’autres entreprises comme IBM, Microsoft et Netscape sont à l’origine de
SET. La spécification de SET est publique et gérée par un consortium. Ce protocole a pour objectif
d’assurer le paiement par carte bancaire sur l’Internet, avec garanties de confidentialité, intégrité de
données, authentification du client et du fournisseur et non déni pour le client et le fournisseur.
Une transaction SET typique comporte l’échange de renseignements privés entre un client et un
marchand (comme les articles commandés), et un autre échange d’informations privée entre le client et
la banque (comme le numéro de carte de crédit du client). Le protocole SET permet d’inclure les deux
types d’informations privées dans une seule transaction signée numériquement. L’information destinée
à la banque est chiffrée à l’aide de la clef publique de la banque alors que l’information destinée au
marchand est chiffrée à l’aide de la clef publique du marchand. Ainsi, le marchand n’a pas accès aux
détails de la carte de crédit, ce qui élimine une source de fraude. En plus de ce chiffrement, les deux
ensembles d’information sont signés numériquement. Enfin, les deux signatures sont combinées pour
produire une seule signature qui ratifie l’ensemble de la transaction.
46
3.3.2.2. Avantages
À l’instar du protocole SSL, le protocole SET permet d’authentifier l’identité du marchand au moyen
de certificats numériques. Toutefois, le protocole SET permet au marchand de demander
l’authentification de l’utilisateur au moyen de certificats numériques. De plus, le marchand n’a pas
accès aux numéros de cartes de crédit, éliminant ainsi une autre source de fraude.
3.3.2.3. Faiblesses
De nombreux projets pilotes utilisent le protocole SET, mais l’adoption générale de ce protocole s’est
révélée plus lente que prévue. Cette lenteur s’explique surtout par l’acceptation croissante du SSL pour
les opérations protégées par cartes de crédit ainsi que par la complexité et le coût du système SET.
3.4. Conclusion
La sécurité joue un rôle crucial dans le commerce électronique. Elle permet de garder la confiance des
clients au service offert. La confidentialité, l’intégrité et l’authentification sont trois fonctions
caractéristiques à garantir pour le paiement. Plusieurs méthodes ainsi que des protocoles sont mis en
œuvre pour assurer ces trois fonctions.
47
CHAPITRE 4 : SIMULATION AVEC SUN JAVA WIRELESS TOOL KIT 2.5.1
Les appareils mobiles présentent les contraintes suivantes : encombrement et poids faibles, affichage
limité, mémoire relativement faible, autonomie (énergie), clavier et pointage restreints,… Il nous faut,
alors, un outil adapté à toutes ces contraintes. Nous allons créer une application écrite sous Java avec
le Sun Java Wireless Toolkit 2.5.1 (WTK) pour l’affichage côté client.
4.1. Les outils utilisés pour la simulation
4.1.1. La plateforme J2ME [17] [18]
Java est portable, robuste et parfaitement fiable. La force de Java, c’est surtout sa gratuité et sa bonne
structuration ce qui fait de lui un langage très populaire auprès des développeurs.
Sun nous propose une version allégée de J2SE (Java 2 Standard Edition), adaptée aux appareils de
faible puissance appelée J2ME (Java 2 Micro Edition). Deux configurations sont essentiellement
utilisées : Connected Device Configuration (CDC) et Connected Limited Device Configuration
(CLDC)
La CDC est plus adaptée aux terminaux relativement puissants comme les PDAs (Personal Digital
Assistant). En effet, elle nécessite une machine virtuelle java optimisée appelée CVM (Compact
Virtual Machine) qui offre les mêmes fonctionnalités que la JVM (Java Virtual Machine) classique.
La CLDC est dédiée aux appareils avec de faibles capacités comme les téléphones mobiles. La
machine virtuelle allégée correspondante est la KVM (Kilobyte Virtual Machine) et ne possède pas
certaines fonctions de la JVM classique.
4.1.2. Sun Java Wireless ToolKit [19] [30]
Cet outil est disponible sur : http://java.sun.com/products/j2mewtoolkit/
Sun Java Wireless ToolKit (WTK) pour la CLDC est un outil pour développer des applications sans
fil utilisant le langage de programmation Java. Elle inclut des outils de construction tels que les
interfaces utilisateur, un émulateur pour tester les applications, et des instruments de contrôle pour
développer des applications. Beaucoup de réalisateurs dans le monde entier emploient la toolkit pour
produire, optimiser, et ajuster rapidement et facilement des applications MIDP (Mobile Information
Device Profile). Le WTK 2.5.1 peut être installé avec le plateforme Windows ou Linux. Les
utilisateurs qui ont un compte auront accès à ce toolkit.
Voici les étapes à suivre pour un simple développement: Edition code source, construction et
lancement. La première étape consiste à créer les fichiers sources qui seront utilisés dans l’application.
Ensuite, le WTK compile et vérifie ces fichiers sources. Les fichiers compilés seront lancés sur
l’émulateur. L’émulateur de WTK apparaît et op
standard. Par défaut, c’est l’émulate
On peut se servir de la souris pour appuyer sur les boutons de l’émulateur.
clavier correspondent avec ceux de l’émulateur. De plus, on a aussi les correspondances suivantes
- Bouton gauche et F1
- Bouton droit et F2
- Power et Echap
- Select et Entrée
Concernant la saisie de texte, appuyer plusieurs fois sur le bouton correspondant pour obtenir la lettre
voulue. Le boutons Star (*) permet de choisir entre majuscules, minuscules, nu
48
Ensuite, le WTK compile et vérifie ces fichiers sources. Les fichiers compilés seront lancés sur
L’émulateur de WTK apparaît et opère comme un téléphone mobile à travers
standard. Par défaut, c’est l’émulateur DefaultColorPhone qui est utilisé.
Figure 4.01: Emulateur WTK
On peut se servir de la souris pour appuyer sur les boutons de l’émulateur.
clavier correspondent avec ceux de l’émulateur. De plus, on a aussi les correspondances suivantes
Concernant la saisie de texte, appuyer plusieurs fois sur le bouton correspondant pour obtenir la lettre
voulue. Le boutons Star (*) permet de choisir entre majuscules, minuscules, nu
Ensuite, le WTK compile et vérifie ces fichiers sources. Les fichiers compilés seront lancés sur
comme un téléphone mobile à travers une fenêtre
Les nombres 0 à 9 du
clavier correspondent avec ceux de l’émulateur. De plus, on a aussi les correspondances suivantes :
Concernant la saisie de texte, appuyer plusieurs fois sur le bouton correspondant pour obtenir la lettre
voulue. Le boutons Star (*) permet de choisir entre majuscules, minuscules, numériques, symboles.
L’indicateur sur le haut de l’écran indique le mode actif. Le bouton (#) correspond à l’espace. Mais on
peut juste se servir du clavier pour la saisie de texte.
4.2. Simulation du cas du porte-monnaie électronique
Nous allons considérer le cas de gestion d’un porte
que cela consiste à créer un compte spécifique pour effectuer des achats
opérateur si on considère le cas d’un porte
4.2.1. Hypothèses
Le client s’inscrit chez un FSPM pour pouvoir accéder au service de m
Le FSPM crée un compte de ce client et lui fournit un code secret
garder personnel.
Pour les marchands qui veulent bénéficier du service, ils doivent au
comptes seront créés. Chaque produit
référence du produit, son prix unitaire et la référence
4.2.2. Message d’accueil et saisie du code personnel
Figure 4.02: Message d’accueil
Après lancement du programme, u
(Figure 4.02). L’appui sur le bouton
49
L’indicateur sur le haut de l’écran indique le mode actif. Le bouton (#) correspond à l’espace. Mais on
peut juste se servir du clavier pour la saisie de texte.
monnaie électronique
as de gestion d’un porte-monnaie réseau (cf. paragraphe 2.2.5
un compte spécifique pour effectuer des achats. C
le cas d’un porte-monnaie réseau.
s’inscrit chez un FSPM pour pouvoir accéder au service de m-paiement.
Le FSPM crée un compte de ce client et lui fournit un code secret associé à
Pour les marchands qui veulent bénéficier du service, ils doivent aussi s’inscrire chez le FS
Chaque produit enregistré auprès d’un marchand aura
, son prix unitaire et la référence ce marchand.
accueil et saisie du code personnel
Message d’accueil Figure 4.03: Entrer code personnel
Après lancement du programme, un message d’accueil s’affiche avec les 2 boutons
ppui sur le bouton Exit fait sortir de l’application. Si le client
L’indicateur sur le haut de l’écran indique le mode actif. Le bouton (#) correspond à l’espace. Mais on
paragraphe 2.2.5). Rappelons
Ceci étant géré par un
paiement.
associé à sa référence qu’il doit
ssi s’inscrire chez le FSPM. Leurs
ura comme attributs la
Entrer code personnel
avec les 2 boutons Exit et Entrer
i le client veut continuer, il
appuie sur le bouton Entrer.
Il doit, ensuite, saisir son code personnel pour
Ce code est de type alphanumérique.
L’appui sur le bouton OK valide le code entré.
s’affichera.
4.2.3. Accéder au service
Quand le code qu’il a saisi est correct,
l’intéresse s’affiche. Le menu dans le formulaire
- Annuler : pour revenir sur la fenêtre d’accueil
- mpaiement : pour effectuer un paiement
- Solde : pour la consultation de solde
L’appui sur le menu mpaiement permet au client d’utiliser le service. Il lui est possible de consulter le
solde disponible sur son compte avant
consultation de solde. S’il a opté sur
Figure 4.04: Choix du service
4.2.4. Référence et quantité du produit
Si le client a choisi le menu mpaiement
50
code personnel pour pouvoir bénéficier du service m-
e code est de type alphanumérique. Si le client appuie sur Annuler , la fenêtre d’accueil réapparaîtr
valide le code entré. Si le code est incorrect, un message d’erreur
Quand le code qu’il a saisi est correct, un formulaire avec lequel le client peut choisir le service qui
e menu dans le formulaire Choix service offre 3 choix (Figure 4.04)
: pour revenir sur la fenêtre d’accueil
: pour effectuer un paiement
: pour la consultation de solde
permet au client d’utiliser le service. Il lui est possible de consulter le
solde disponible sur son compte avant d’effectuer le paiement. On obtient alors la figure 4.05 pour la
S’il a opté sur Annuler , la fenêtre d’accueil réapparaîtra.
Choix du service Figure 4.05: Consultation solde
Référence et quantité du produit
mpaiement, on obtient la fenêtre sur la figure 4.06. C’est dans ce
-paiement (Figure 4.03).
, la fenêtre d’accueil réapparaîtra.
Si le code est incorrect, un message d’erreur
peut choisir le service qui
(Figure 4.04):
permet au client d’utiliser le service. Il lui est possible de consulter le
On obtient alors la figure 4.05 pour la
raîtra.
Consultation solde
, on obtient la fenêtre sur la figure 4.06. C’est dans ce
formulaire qu’il va saisir la référence et la quantité du produit qu’il veut payer ainsi que la référence du
marchand.
Quand ces valeurs sont saisies, le client peut en sa
Autres produits dans le menu.
Figure 4.07:
51
formulaire qu’il va saisir la référence et la quantité du produit qu’il veut payer ainsi que la référence du
Figure 4.06: Formulaire produit
Quand ces valeurs sont saisies, le client peut en saisir d’autres. Pour cela, il doit appuyer sur l’option
Figure 4.07:Affichage des coûts et confirmation
formulaire qu’il va saisir la référence et la quantité du produit qu’il veut payer ainsi que la référence du
isir d’autres. Pour cela, il doit appuyer sur l’option
La liste de tous les produits à payer étant finie, les coûts suivants seront calculés:
- Le coût total X des produits
- Le coût de la transaction tel que
effectuer le paiement. Notons que ce tarif forfaitaire doit être fixé pour qu’un minimum de coût
de transaction soit calculé. Ceci va rendre le service rentable.
- La somme totale à payer, c’est la somme des 2 coûts précédents
L’appui sur le bouton Payer ? valide le paiement.
4.2.5. Résultat de la transaction
Une fois que le paiement est validé, la somme totale à payer sera débitée du compte du client et créditée sur
celui du marchand. Un message confirme si la transaction a réussi.
Si elle a échoué, un message d’erreur s’affichera
leur état avant le déclenchement de la transaction.
4.2.6. Messages d’erreur
Pour le code personnel, si la référence ou le code n’est pas correct, un message s’affichera. Après
appui sur le bouton OK de cette fenêtre de message
les champs Votre référence et Votre code personnel
52
La liste de tous les produits à payer étant finie, les coûts suivants seront calculés:
des produits
Le coût de la transaction tel que : F + tX avec F un tarif forfaitaire,
Notons que ce tarif forfaitaire doit être fixé pour qu’un minimum de coût
de transaction soit calculé. Ceci va rendre le service rentable.
somme totale à payer, c’est la somme des 2 coûts précédents
valide le paiement.
Figure 4.08:Transaction réussie
Une fois que le paiement est validé, la somme totale à payer sera débitée du compte du client et créditée sur
celui du marchand. Un message confirme si la transaction a réussi.
a échoué, un message d’erreur s’affichera et les comptes doivent rester inchangés c'est
leur état avant le déclenchement de la transaction.
Pour le code personnel, si la référence ou le code n’est pas correct, un message s’affichera. Après
de cette fenêtre de message d’erreur, le client est invité à remplir de nouveau
Votre code personnel.
La liste de tous les produits à payer étant finie, les coûts suivants seront calculés:
un tarif forfaitaire, t un taux fixé pour
Notons que ce tarif forfaitaire doit être fixé pour qu’un minimum de coût
Une fois que le paiement est validé, la somme totale à payer sera débitée du compte du client et créditée sur
rester inchangés c'est-à-dire dans
Pour le code personnel, si la référence ou le code n’est pas correct, un message s’affichera. Après
d’erreur, le client est invité à remplir de nouveau
Si l’une des références de produit saisies dans le formulaire
enregistré chez le FSPM, un message d’erreur s’af
fenêtre de message d’erreur, le formulaire
Si le client ne dispose pas de la somme totale à payer dans son compte, on lui propose de recharger son
compte. Après appui sur le bouton
d’accueil.
Figure 4.09:
4.3. Conclusion
L’interface avec l’utilisateur doit être conviviale.
meilleurs délais avec une transaction fiable.
fonctionnalités du WTK telles que la gestion des formulaires et d
53
Si l’une des références de produit saisies dans le formulaire Produit ne correspond à aucun produit
enregistré chez le FSPM, un message d’erreur s’affichera. Après appui sur le bouton
fenêtre de message d’erreur, le formulaire Produit réapparaît.
Si le client ne dispose pas de la somme totale à payer dans son compte, on lui propose de recharger son
compte. Après appui sur le bouton OK de cette fenêtre de message d’erreur, on revient à
Figure 4.09: Exemple de message d’erreur (code incorrect
L’interface avec l’utilisateur doit être conviviale. L’appel des applications
meilleurs délais avec une transaction fiable. La simulation nous a permis
telles que la gestion des formulaires et d’écrire quelques
ne correspond à aucun produit
fichera. Après appui sur le bouton OK de cette
Si le client ne dispose pas de la somme totale à payer dans son compte, on lui propose de recharger son
tte fenêtre de message d’erreur, on revient à la fenêtre
code incorrect)
’appel des applications doit se faire dans les
La simulation nous a permis d’utiliser quelques
quelques applications.
54
CONCLUSION
La norme GSM ne cesse d’évoluer, ceci permet aux opérateurs d’offrir une meilleure qualité de
service auprès des abonnés.
Le m-paiement constitue une recette pour mieux exploiter les infrastructures existantes. Il connait déjà
un succès dans quelques pays asiatiques tels que Japon, Philippines, Chine, Hong Kong,… . En
Europe, plusieurs essais étaient lancés depuis 2007.
Chaque type de m-paiement est caractérisé par le mécanisme suivi entre les différents acteurs présents
dans la chaîne de valeur, la technologie utilisée pour initier le paiement ainsi que la procédure de
paiement.
La sécurité constitue un élément majeur du système car ceci assurera la confiance des utilisateurs.
Chaque transaction devra être fiable. Les méthodes de chiffrement qui évoluent grâce aux différentes
recherches forment un moyen pour assurer l’intégrité et la confidentialité des informations échangées.
L’authentification du client se fait, soit par mot de passe, soit à l’aide de son téléphone, soit par des
systèmes biométriques. Le niveau de sécurité exigé croît avec le montant concerné par la transaction.
Le paiement par téléphone mobile couvre un vaste domaine. Le déploiement des SVA chez les
opérateurs de télécommunication est pris en charge par une équipe de personnel qualifié dans le
domaine. Les systèmes existants nécessitent encore quelques améliorations. L’une des plus
dominantes : la standardisation pour que le paiement puisse être effectué quel que soit l’Opérateur
Mobile à laquelle le client est abonné et quelle que soit la banque à laquelle son compte est activé.
55
ANNEXE: CODE SOURCE
1- La classe Personne
package Paiement;
import java.lang.Double;
public class Personne implements Comparable
{
// attributs
public String refPers;
public Double compteClient;
public String codePerso;
public Personne(String refc,Double cCli,String cPers)
{
refPers=refc;compteClient=cCli;codePerso=cPers;
}
public boolean test(String ref,String code)
{
int repI=this.refPers.compareTo(ref)*this.codePerso.compareTo(code);
if (repI==1)
return true;
else
return false;
}
public boolean equals(Personne p)
{
return (this.test(p.refPers, p.codePerso));
}
public int compareTo(Object o)
{
Personne op=(Personne)o;
int cmptC;
if (this.compteClient.doubleValue()<op.compteClient.doubleValue())
56
cmptC=-1;
else
cmptC=1;
return cmptC;
}
}
2- La classe Produit
package Paiement;
public class Produit
{
public String refProd;
public Personne marchand;
public Double pu;
public Produit(String produit,Personne mar,Double prix)
{
refProd=produit;
marchand=mar;
pu=prix;
}
public boolean equals(String ref)
{
boolean rep=false;
int repI=this.refProd.compareTo(ref);
if (repI==1)
rep=true;
return rep;
}
}
57
3 – La classe Simulation
package Paiement;
// contient les éléments de base
import javax.microedition.midlet.*;
// contient les éléments permettant de gérer l'interface
import javax.microedition.lcdui.*;
import Paiement.Personne;
public class Simulation extends MIDlet implements CommandListener
{
private Display _display;
private Double cp;
private Double ctran;
private Double ct;
// les commandes
public Command acc_exit, acc_entrer, mPaiement, com_solde,choix_prec,
codePerso_OK,codePerso_Cancel, solde_OK;
public Command mPaiem_OK, mPaiem_AutrePdt,mPaiem_Cancel,
confirm_OK,confirm_Cancel, err_code_OK, err_ref_OK, err_solde_OK;
public Command fin_OK;
// les champs à remplir
public TextField _refPerso;
…
public TextField _autreProduit;
// les formulaires
public Form accueil;
…
public Form fin;
private Init data;
private Personne utilisateur;
private Personne vendeur;
public Simulation()
58
{
// fait un lien avec l'affichage
_display = Display.getDisplay(this);
// creation des formulaires pour placer des composants
accueil = new Form("Acceuil");
…
fin=new Form("Résultat transaction");
// champs à remplir
_pass = new TextField ("Votre code personnel", "",5,TextField.PASSWORD);
…
_refPerso=new TextField("Votre référence","",5,TextField.ANY);
data=new Init();
cp=Double.valueOf("0");
ctran=Double.valueOf("0");
ct=Double.valueOf("0");
}
public void accueil()
{
utilisateur=null ;
// boutons commande avec accueil
acc_exit = new Command("Exit",2,1);
acc_entrer = new Command("Entrer",1,0);
// commandes dans accueil
accueil.addCommand(acc_exit);
accueil.addCommand(acc_entrer);
accueil.append("BIENVENUE A CE SERVICE! ");
accueil.setCommandListener(this);
}
public void choix()
{
// boutons commande avec choixSce
59
mPaiement = new Command("mPaiement",1,2);
com_solde = new Command("Solde",1,2);
choix_prec = new Command("Annuler",1,1);
// commandes dans choixSce
choixSce.addCommand(mPaiement);
choixSce.addCommand(com_solde);
choixSce.addCommand(choix_prec);
choixSce.append("VEUILLEZ CHOISIR SERVICE ");
choixSce.setCommandListener(this);
}
public void codePerso()
{
// boutons commande avec codePerso
codePerso_OK = new Command("OK",1,0);
codePerso_Cancel = new Command("Annuler",2,0);
// commandes dans codePerso
codePerso.addCommand(codePerso_OK);
codePerso.addCommand(codePerso_Cancel);
codePerso.append(_refPerso);
codePerso.append(_pass);
codePerso.setCommandListener(this);
}
public void solde()
{
// boutons commande avec solde
solde_OK = new Command("OK",1,0);
// commandes dans codePerso
solde.addCommand(solde_OK);
solde.append("REFERENCE: "+utilisateur.refPers+"\n");
solde.append("SOLDE DISPONIBLE: "+utilisateur.compteClient.toString()+" MGA");
solde.setCommandListener(this);
60
}
public void mPaiement()
{
// boutons commande avec mPaiement
mPaiem_OK = new Command("OK",Command.OK,0);
mPaiem_AutrePdt = new Command("Autre produit",Command.OK,0);
mPaiem_Cancel = new Command("Annuler",Command.CANCEL,1);
// commandes dans mPaiementForm
mPaiementForm.addCommand(mPaiem_OK);
mPaiementForm.addCommand(mPaiem_AutrePdt);
mPaiementForm.addCommand(mPaiem_Cancel);
…
mPaiementForm.append("Coût: \n"+cp.toString()+" MGA");
mPaiementForm.setCommandListener(this);
}
public void confirme()
{
// boutons commande avec confirme
confirm_OK = new Command("Payer?",Command.OK,1);
confirm_Cancel=new Command("Annuler",Command.CANCEL,0);
// commandes dans confirme
confirme.addCommand(confirm_OK);
confirme.addCommand(confirm_Cancel);
confirme.append("Coût produit(s) : "+cp.toString()+" MGA\n");
confirme.append("Coût transaction : "+ctran.toString()+" MGA\n");
confirme.append("Coût total : "+ct.toString()+" MGA\n");
confirme.setCommandListener(this);
}
public void fin()
{
fin_OK=new Command("OK",Command.OK,1);
61
fin.append("TRANSACTION REUSSIE!!!");
fin.addCommand(fin_OK);
fin.setCommandListener(this);
}
public void err_code()
{
// bouton commande avec err_code
err_code_OK = new Command("OK",1,0);
// commande dans err_code
err_code.addCommand(err_code_OK);
err_code.append("CODE INCORRECT ");
err_code.setCommandListener(this);
}
public void err_ref()
{
…
}
public void err_solde()
{
…
}
//mise à jour de l'achat
public void ajoutProduit(Produit p)
{
String q=_qtePdt.getString();
if (q!="")
{
Double qte=Double.valueOf(q);
this.cp=new Double(this.cp.doubleValue()+p.pu.doubleValue()*qte.doubleValue());
}
62
}
// évènement exécuté au démarrage de l'application
public void startApp()
{
// affichage du formulaire
this.accueil();
…
this.fin();
_display.setCurrent(accueil);
}
// évènement exécuté lorsque l'application se termine
public void destroyApp(boolean unconditional){}
public void commandAction(Command c, Displayable s)
{
if (c == acc_exit)
{
// appel manuel à la fonction de fermeture
this.destroyApp(true);
this.notifyDestroyed();
}
if (c == acc_entrer)
{
// appel au formulaire codePerso
_refPerso.setString("");
_pass.setString("");
this._display.setCurrent(codePerso);
codePerso.setCommandListener(this);
}
if (c == choix_prec)
{
// retour à l'acceuil
63
…
}
if (c==codePerso_Cancel)
{
// retour à l'acceuil
…
}
if (c==codePerso_OK)
{
//recherche de l'utilisateur
this.utilisateur=this.recherchePersonne();
//test de l'utilisateur trouvé
if (utilisateur!=null )
{
System.out.println(utilisateur.refPers+" "+utilisateur.compteClient);
this._display.setCurrent(choixSce);
choixSce.setCommandListener(this);
}
else
{
this._display.setCurrent(err_code);
err_code.setCommandListener(this);
}
}
if (c==com_solde)
{
//consultation solde
solde();
this._display.setCurrent(solde);
solde.setCommandListener(this);
}
64
if (c==solde_OK)
{
solde.deleteAll();
solde.removeCommand(solde_OK);
this._display.setCurrent(accueil);
accueil.setCommandListener(this);
}
if (c == mPaiement)
{
mPaiementForm.deleteAll();
this.cp=Double.valueOf("0");
mPaiement();
_refPdt.setString("");
_refMar.setString("");
_qtePdt.setString("");
this._display.setCurrent(mPaiementForm);
mPaiementForm.setCommandListener(this);
System.out.println("Prix:"+this.cp);
this._display.setCurrent(mPaiementForm);
mPaiementForm.setCommandListener(this);
}
if (c==mPaiem_Cancel)
{
mPaiementForm.deleteAll();
this._display.setCurrent(choixSce);
choixSce.setCommandListener(this);
}
if (c==mPaiem_AutrePdt)
{
Produit p=this.rechercheProduit();
if (p!=null )
65
{
System.out.println(p.refProd+", "+p.pu);
this.ajoutProduit(p);
double x=500;
double t=0.05;
double ctrand=x+t*cp.doubleValue();
this.ctran=new Double(ctrand);
double ctd=ctrand+cp.doubleValue();
this.ct=new Double(ctd);
}
p=null ;
mPaiementForm.deleteAll();
…
mPaiement();
_refPdt.setString("");
_refMar.setString("");
_qtePdt.setString("");
this._display.setCurrent(mPaiementForm);
mPaiementForm.setCommandListener(this);
System.out.println("Prix:"+this.cp);
}
if (c==confirm_Cancel)
{
mPaiementForm.deleteAll();
…
mPaiement();
_refPdt.setString("");
_refMar.setString("");
_qtePdt.setString("");
this._display.setCurrent(mPaiementForm);
mPaiementForm.setCommandListener(this);
66
System.out.println("Prix:"+this.cp);
}
if (c==confirm_OK)
{
double cpd=this.cp.doubleValue();
double cpu=utilisateur.compteClient.doubleValue();
if (cpu>cpd)
{
utilisateur.compteClient=new Double(cpu-cpd);
this.vendeur=this.rechercheVendeur(this._refMar.getString());
this.vendeur.compteClient=new
Double(this.vendeur.compteClient.doubleValue()+this.cp.doubleValue());
System.out.println(this.vendeur.compteClient);
this.cp=Double.valueOf("0");
this.ct=Double.valueOf("0");
this.ctran=Double.valueOf("0");
this._display.setCurrent(fin);
fin.setCommandListener(this);
}
else
{
this._display.setCurrent(err_solde);
err_solde.setCommandListener(this);
}
}
if (c==fin_OK)
{
this._display.setCurrent(accueil);
accueil.setCommandListener(this);
}
if (c==err_code_OK)
67
{
_refPerso.setString("");
_pass.setString("");
this._display.setCurrent(codePerso);
codePerso.setCommandListener(this);
}
}
protected void pauseApp()
{}
}
68
BIBLIOGRAPHIE
[1] M.A. Rakotomalala, Radiocommunications mobiles, Cours I4-TCO, Dép. Tél.- E.S.P.A., A.U. :
2006-2007
[2] Z. Andriamiasy, Téléphonie générale, Cours I5-TCO, Dép. Tél.- E.S.P.A., A.U. : 2007-2008
[3] L. Aernouts, Le réseau GSM, Cours CNAM Lille 1999
[4] J.P. Muller, Le réseau GSM et le mobile, Juillet 2002
[5] P.F. Kamanou, "Défis du développement du marché des services à valeur ajoutée en Afrique ",
Novembre 2007
[6] A. Mennis, " Le Commerce Electronique et les Changements Organisationnels ", http://www.allal-
mannis.com
[7] Cabinets IDATE et BIRD&BIRD, Etude relative aux moyens de paiement mobile, Décembre 2003
[8] T.Verbiest et E. Wéry, ″ Commerce électronique par téléphonie mobile″, in Recueil Dalloz n°41,
2004
[9] S. Bresson, Mémorandum sur les transactions électroniques sécurisées et la monétique, Décembre
2004
[10] Y. Lescope, Le Wap, 2001
[11] D. Donsez, Wap / Wml, Université Joseph Fourier, 2004
[12] A. Deseine, Wireless Application Protocol, 1999
[13] T. Hafen et S. Milner, « La cryptographie, un élément crucial pour le commerce électronique »,
in La vie économique, Juin 1999
[14] J. F. Bonastre, Authentification biométrique vocale, Université d’Avignon, Mars 2005
[15] P.P. Lemyre, Le guide juridique du commerçant électronique, pp 145-147,2004,
http://www.jurisinc.org/pub/05/fr/gude-final.pdf
[16] A. Chazalet, Solutions de paiement électronique, Avril 2005
[17] K. Topley, J2ME in a Nutshell, O'Reilly, Edition March 2002
[18] V. Piroumian, Wireless J2ME Platform Programming, Prentice Hall PTR, Mars 2002
69
[19] User’s Guide Sun Java Wireless Toolkit for CLDC, Septembre 2007
[20] http : //www.arcep.fr/
[21] http: // www.crandy.com
[22] http: // www.edubourse.com
[23] http : // www.wapforum.org
[24] http : // www.ccim.be/ccim328/wap/
[25] http : // www.openwave.com
[26] http: // europa.eu.int
[27] http: // www.iso.org / iso/fr/pressrelease.htm
[28] http : // www.clusif.asso.fr/fr/production/ouvrages/pdf/ControlesAccesBiometrie.pdf
[29] http://www.cyberfutur.ca/alberta
[30] http://java.sun.com/products/j2mewtoolkit/
70
PAGE DE RENSEIGNEMENTS
Auteur
Nom : RAHOLISON
Prénoms : Zafitomponirina Nantenaina
Contact : Lot 33433 Mahatsara Anosindrafilo AMBATONDRAZAKA
033 14 431 95
Titre du mémoire :
PAIEMENT PAR TELEPHONE MOBILE
Nombre de pages : 71
Nombre de figures : 49
Mots clés : m-paiement, transaction électronique, service à valeur ajoutée, commerce électronique,
paiement sans contact, NFC, téléphone mobile, GSM
Directeur de mémoire : Monsieur RATSIMBAZAFY Andriamanga
71
RESUME
Le secteur de la téléphonie mobile connait une grande évolution ces dernières années. Une majeure
partie de la population mondiale a à portée de main un téléphone mobile. L’idée, c’est de le
transformer en un outil ergonomique et fiable pour effectuer des paiements quel que soit l’endroit où
se trouve le client. Quelques mécanismes de paiement exploités par grand nombre d’industries de
télécommunication et banques seront développés. La technologie utilisée pour initier le paiement tient
une place importante dans la conception du système de paiement. Le paiement par téléphone mobile
permet aux différents acteurs présents dans sa chaîne de valeur d’étendre leur secteur cible. Un
système de sécurisation efficace assurera l’intégrité et la confidentialité des informations qui circulent
ainsi que l’authentification du client. Les opérateurs de télécommunication seront incités à améliorer
leurs services à valeur ajoutée pour augmenter leurs ressources financières.
ABSTRACT
The sector of mobile telephony has a great evolution these last years. A main part of the world
population has a mobile telephone within reach. The idea, it is to convert it into an ergonomic and
reliable tool to carry out payments whatever the place where the customer is. Several payment’s
mechanisms exploited by great number of industries of telecommunication and banks are developed.
Technology used to initiate the payment holds a main place in the design of the system of payment.
The m-payment enables each actor present the value chain to extend their target sector. High level of
security will ensure information’s integrity and confidentiality as well as customer’s authentication.
Mobile Network Operators will be motivated to increase their added-value services to raise their
financial resources.