Le premier février 1996, Visa International et MasterCard ont annoncé, avec d'autres partenaires de l'industrie, le développement d'un ensemble de spécifications techniques (standard unique) permettant la sécurité du paiement par cartes des achats effectués sur des réseaux ouverts, en se basant sur le STT (Secure Transactions Technology) de Visa et sur le SEPP (Secure Electronic Payment Protocol) de MasterCard. Ce standard est appelé le SET pour Secure Electronic Transaction.
C'est ce que rapporte IBM sur son site. Le SEPP étant pour sa part basé sur le iKP (Internet Keyed Payments) de IBM. Pour plus d'informations, voir ma page sur le iKP de IBM qui contient le lien au site de IBM.
Cependant, Tony Lewis, de VISA, a indiqué le contraire dans une conversation sur le groupe de discussion set-discuss@commerce.net: "SET is not a derivative of iKP. Therefore, using iKP nomenclature to describe SET is incorrect".
Communiquant avec Tony Lewis pour obtenir plus de détails, il a alors répondu: "SET is not a derivative of either SEPP or STT. Comments to the contrary by IBM are simply incorrect".
Quelques jours après, il a envoyé un message au groupe entier pour lever toute
confusion quant à l'origine du SET vis-à-vis du SEPP et du STT. Son message se résume à ce qui suit:
En novembre 1995, Visa et MasterCard se sont rencontrés pour discuter de leur spécification respective pour le paiement électronique: respectivement le STT (Secure Transactions Technology) et le SEPP (Secure Electronic Payment Protocol).
Ils en sont venus à la conclusion qu'il était préférable pour l'industrie du paiement électronique de n'avoir qu'un ensemble de spécifications. Ils ont alors accepté de travailler ensemble à définir un nouveau protocole, le SET, en invitant les vendeurs à se joindre à cet effort commun.
Le groupe de travail du SET a effectué des comparaisons entre le SEPP et le STT qui ont mis en évidence de nombreuses caractéristiques différentes. Ils ont choisi le meilleur des deux pour chacune des caractéristiques du SET. Ils ont ensuite mis de côté le STT et le SEPP pour définir de nouvelles spécifications propres au SET.
Pour plus de détails: réponse intégrale (en anglais) de Tony Lewis.
Le logiciel principal qui découlera éventuellement des spécifications du
protocole SET sera produit par Microsoft et, comme les spécifications ne sont pas encore entièrement définies, le logiciel n'est pas prêt (en date du 28 juillet 1996).
Évidemment, comme les spécifications du protocole SET sont publiques, toute entreprise commerciale est autorisée (et même encouragée) à s'en servir comme base pour le développement de logiciels.
Le protocole
SET (Secure Electronic Transaction) est une norme de chiffrement et d'authentification des opérations sur carte de crédit dans Internet.
Le SET, qui inclut des certificats digitaux (ce qui permet de vérifier que c'est le bon détenteur qui est l'acheteur), va permettre aux institutions financières, aux marchands et aux vendeurs une nouvelle façon de retirer le maximum du marché émergeant du commerce électronique.
VISA et MasterCard sont donc à la base du regroupement, mais plusieurs autres grandes compagnies sont impliquées (voir la liste des partenaires ci-dessous).
Les spécifications du SET incluent l'utilisation de la cryptographie de la clé publique de RSA Data Security pour protéger les informations personnelles privées et les informations financières sur n'importe quel type de réseaux ouverts.
Le principe suppose que le détenteur de la carte aura besoin d'un logiciel dans son ordinateur personnel, tout comme le marchand, pour décrypter les informations.
On peut également anticiper que les grands vendeurs de logiciels vont éventuellement incorporer les spécifications du SET dans leur prochaine version de fureteur (browsers) et sur leurs serveurs, en fait, dès que VISA aura complété ses tests.
Pour obtenir les spécifications complètes sur le SET:
Secure Electronic Transaction.
ou chez MasterCard en plusieurs formats: Secure Electronic Transaction.
Dans les prochaines lignes, le fonctionnement d'un éventuel logiciel basé sur les spécifications actuelles du SET est expliqué. Les propos de Brian Korver lors de sa conférence à INET'96 (note 1) sont utilisés. Pour commencer, il faut spécifier que tous les détenteurs d'une carte de crédit (Visa, MasterCard, American Express) pourront utiliser le logiciel sans aucun équipement particulier.
La banque du marchand est appelé l'acquéreur.
Le client est sur le site d'un marchand, complète sa commande et décide de payer. Il le fait savoir au marchand directement à partir du site en lui faisant parvenir la commande, les informations concernant sa carte de crédit et sa signature numérique. Le marchand lui envoie une réponse pourvue d'un certificat qui permettra au client de savoir que ce marchand est reconnu.
Le marchand vérifie la commande (qui n'est pas encryptée).
Le marchand envoie ensuite à la banque:
Les informations concernant la carte de crédit et la signature numérique du client (sans pouvoir les consulter parce que encryptés).
La commande du client (incluse dans le message du client).
La commande du client, reprise par le marchand (minimise la possibilité de fraude par le marchand).
Les informations le concernant (compte bancaire, ...) et sa signature numérique.
La banque reçoit le message du marchand, vérifie que le marchand et le client parlent de la même commande et elle vérifie la validité de la carte de crédit du client. Si tout est en ordre, elle envoie au marchand un message portant sa signature numérique lui indiquant qu'il peut procéder à l'envoi de la commande au client.
Le marchand fait parvenir une copie du message qu'il a reçu de la banque et procède à l'envoi de la commande. C'est la banque qui facture le montant de la commande sur la carte de crédit du client et verser le montant dans le compte du marchand. Le marchand ne voit jamais les informations concernant la carte de crédit du client. Tout le processus ne prend que quelques secondes.
Outre le SET, Visa est impliqué dans plusieurs projets, nous allons voir ci-dessous les principaux.
Présentement, Visa n'a pas de système de paiement électronique. Visa est cependant en train de développer une carte à puce contenant une valeur. Pour plus de détails sur ce sujet: carte à puce de Visa.
Par ailleurs, Visa travaille avec Carnegie Mellon University (CMU) pour développer un système de micro-paiement. Pour plus d'informations sur ce système: voir la page sur NetBill.
Un autre projet est en cours, en collaboration avec Microsoft, pour le logiciel Microsoft Merchant qui rendra confidentielle l'utilisation des cartes de crédit sur Internet.
MasterCard.
American Express.
Microsoft.
GTE.
IBM
Netscape Communications Corp.
SAIC.
Terisa Systems.
Verisign.
| Site en anglais: | http://www.visa.com/cgi-bin/vee/sf/standard.html?2+0. |
| http://icd.verifone.com/products/setpaper.html (lien devenu inactif) |
Liste des compagnies: Liste complète.