Retour aux actualités
Article suivant Article précédent

Revue 173 - La protection des paiements au quotidien La sécurité confiée à des puces savantes

Articles Revue TELECOM

-

15/07/2014


La protection des paiements

au quotidien


La sécurité confiée à

des puces savantes



Par Clarisse et Paul Jolivet (1995) dans la revue TELECOM n° 173
 

La carte à puce a d’abord été introduite pour sécuriser les paiements. Elle a connu un large succès et a évolué pour prendre en compte les évolutions d’usage (paiement sur Internet, m-payment1), de technologies (NFC2) et les exigences de sécurité.
 

La carte à puce, l’histoire d’un outil sécurisé

L’introduction de la carte à puce est arrivée par les cartes bancaires. La carte plastique embossée est largement utilisée, elle permet au commerçant de limiter le stockage d’argent, le risque fausse monnaie ou les chèques impayés. La contrainte française de la communication locale payante rend le coût de vérification important. Il faut trouver une solution pour réaliser des transactions sécurisées sans accord systématique avec l’organisme financier. La carte à puce à code PIN3 le permet et le système se généralise : il est utilisé aussi bien en France qu’au Canada ou en Chine. Le secteur des télécommunications mobiles utilise la carte à puce massivement : 5 milliards de cartes SIM sont vendues en 2013. Ce succès permet une évolution majeure côté composants.

La carte à puce est une innovation majeure. La présentation d’un code est une pratique sécurisante pour l’utilisateur. Pour les vendeurs, la sécurité est accrue (assurance, réduction des risques), même s’il existe des frais : commission, un terminal point de vente4. Pour les banques, ce système implique l’investissement dans une infrastructure commune pour authentifier et réaliser la transaction.
 

Des composants pour un coffre-fort portable

Les premières cartes bancaires sont à piste magnétiques. Elles offrent les informations qui permettent de réaliser la transaction. De telles cartes ne sont pas sécurisées et peuvent être clonées. La sécurité dépend d’une vérification directe avec la banque. La carte à puce offre un niveau de sécurité très supérieur. Le composant est un coffre-fort qui conserve les informations à très long terme5 en sécurité.


La sécurité du composant est également garantie, par la vignette qu’il est délicat de séparer du composant. Parfois, une superposition de couches passives ou actives (plusieurs composants) rend difficile l’accès au processeur et à son activité. Dans le cas de cartes bancaires, il n’est pas rare de disposer d’un coprocesseur cryptographique. Il est habituel de disposer de moyens d’embrouillage ou de chiffrement sur les bus internes et/ou de systèmes de génération d’activité pour rendre complexe l’espionnage des échanges depuis l’extérieur.
 

La sécurité offerte par des développements propriétaires ou standards

Les spécifications de l’ISO (série 7816) décrivent les fonctionnalités de base. L’OS des cartes à puce reste propriétaire et la valeur ajoutée des fabricants. Le besoin d’interopérabilité force à offrir une plateforme standard. La première approche a été Java qui permet laconception, la certification et le chargement d’applications interopérables.

L’ETSI6 standardise depuis le début des années 2000 une plateforme standard multi-applicative (UICC), issue de la carte SIM, mais pas spécifique aux télécommunications. Plusieurs questions se posent néanmoins, comme celle de la propriété de la carte, donc de la responsabilité en cas de fraude. De plus, les partenariats entre entreprises de domaines si différents n’est pas aisé. Pour des raisons de proximité de besoin, il est possible que la carte multi-applicative arrive par la combinaison carte d’identité (au Nigéria) ou carte santé (en Chine) avec des cartes bancaires.
(figure 1)

GlobalPlatform a été créé à l’initiative d’organismes financiers (Visa et Mastercard) pour spécifier des outils et des environnements sécurisés. Il définit les Security Domains dans lesquels les applications peuvent interagir ou non, ou encore des règles de transfert des données, leur gestion à distance.



 

Source : Fédération Française des Télécommunications (http://www.fftelecoms.org/)

Le besoin d’interopérabilité de niveau applicatif s’est révélé avec la mondialisation des usages. Il ne s’agit pas de lire les informations sur l’utilisateur et son compte en banque, mais de pouvoir exécuter un processus de transaction. L’application EMV7, intégrée sur une majorité des cartes bancaires, offre des fonctions d’authentification des données de plusieurs niveaux : statique (SDA), dynamique (DDA) et plus récemment « Combined » (CDA) qui permet en plus de s’assurer de la validité de la carte par un cryptogramme. La sécurité de la carte, c’est aussi la certification des composants, logiciels, accessoires et moyens de production. La certification repose sur les Critères Communs (ISO 15408) avec des niveaux d’assurance (EAL). Il est généralement demandé un niveau 4+, très exigeant. GlobalPlatform comme d’autres proposent également des programmes de conformité ou de certification plus ciblés.
 

La révolution Internet

Internet et la dématérialisation des paiements introduisent de nouveaux usages, et de nouveaux risques. Plusieurs approches se présentent.

La première consiste à répliquer le modèle de paiement par carte à puce, mais à domicile, sans lecteur de carte. On revient à l’ancien système utilisant nom d’utilisateur et numéro de carte. Pour limiter les fraudes, les transactions sont sécurisées SSL. Des banques demandent l’utilisation d’une clé supplémentaire : le CVC à 3 chiffres imprimés au dos des cartes. D’autres systèmes, 3D Secure par exemple, viennent renforcer la sécurité.

D’autres approches sont plus spécifiques à Internet. Une première solution est l’eCarte Bleue, carte bancaire dématérialisée et à usage unique. L’autre solution est celle d’un tiers de confiance (par ex. PayPal) à qui l’utilisateur donne ses informations de paiement, et qui gère la transaction.
 

La révolution smartphone


Le téléphone mobile, outil personnel et détenu par tous, tend à intégrer les usages. Il a digéré l’appareil photo compact, la montre, le GPS ou l’organiseur… il se prépare à manger les clés, les cartes d’accès ou passes de transports… et naturellement les moyens depaiement. Il apporte une interface et la connexion au réseau. Le smartphone soulève de nouvelles questions côté sécurité. La première concerne son système d’exploitation et la coexistence d’applications très diverses et pour certaines non certifiées. La solution consiste à définir dans le téléphone un élément sécurisé (SE pour Secure Element) dans lequel seront stockées et exécutées les applications sensibles. Cet élément sécurisé peut être une carte à puce ou intégrer la « carte SIM ». Les fournisseurs de terminaux proposent l’accès à des composants dédiés. Les téléphones mobiles offrent la fonctionnalité NFC déjà utilisée pour les passes de transport. Cette fonctionnalité est en cours de déploiement sur les cartes bancaires. La technologie doit néanmoins être utilisée de manière sécurisée (avec chiffrement sur l’interface air) pour être considérée tout à fait sûre.

Si la concentration des applications présente des avantages, elle pose le problème de la multiplication des mots de passes pour l’utilisateur. Certains fournisseurs de smartphones (Apple, Samsung ou encore LG Electronics) travaillent sur la biométrie, les empreintes digitales, la reconnaissance faciale ou vocale. Ces systèmes ont encore leurs limites.
 

Et demain ?

Les failles identifiées à ce jour viennent plutôt du stockage d’information par les commerçants que des cartes. Ce fut le cas de l’attaque du PlayStation Network de Sony en avril 2011 ou du système d’information des supermarchés Target fin 2013, clairement associé au cybercrime. La simplification des procédures offre parfois des failles et un accès bien plus efficace qu’une attaque de la carte.

La biométrie est certainement la technologie à la mode. Les développements ont tous rencontré des limites. Le déblocage de l’iPhone 5 par lecteur d’empreinte digitale a été cracké le jour même de la sortie du smartphone sur le marché. Outre les questions sur la fiabilité, ces systèmes posent également la question de la fragilité en termes de possibilité de changement de code d’accès. On peut changer un code PIN en cas de nécessité, pas son doigt ou son visage.


1/ mobile Payment 
2/ Near Field Communication (communication sans contact) 
3/ Personal Identification Number, code à 4 chiffres, on parle parfois de CHV pour Card Holder Verification 
4/ ou encore PoS terminal (Point of Sale) 
5/ Garantie de rétention de l’information et du nombre de réécritures
6/ European Standard Telecommunication Institute
7/ Europay Mastercard Visa



Les auteurs
 


Clarisse JOLIVET 
est Responsable de l’Analyse Marché Bancaire de l’équipe de Marketing Stratégique Paiement chez Oberthur Technologies. Elle préside le groupe de travail Marché des Paiements de la Smart Payment Association. Elle a précédemment été Responsable Marketing Produit et Responsable Business Support dans le domaine des télécommunications.










Paul JOLIVET (1995),
 est Directeur Recherche et Standards en Europe de LG Electronics (téléphones mobiles). Son champ d’action est principalement l’innovation et la standardisation. Il est Président du 3GPP CT WG6 (Applications carte à puce) et de l’ETSI SCP TEC (Spécification de la plateforme carte à puce multi applicative). Il est enseignant vacataire dans plusieurs Écoles dont Telecom ParisTech et Telecom Bretagne.

 

 

250 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Comment la France peut réussir dans le quantique # 197

photo de profil d'un membre

Rédaction Revue TELECOM

28 juillet

Articles Revue TELECOM

ORDINATEUR QUANTIQUE ET CRYPTOGRAPHIE POST-QUANTIQUE #197

photo de profil d'un membre

Rédaction Revue TELECOM

13 juillet

Articles Revue TELECOM

Editorial l'informatique quantique # 197

photo de profil d'un membre

Rédaction Revue TELECOM

13 juillet