Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La Tokenization, le nouveau standard de sécurisation du paiement mobile !

juin 2015 par Salon Cartes Secure Connexions

CARTES SECURE CONNEXIONS 2015, le salon dédié aux solutions sécurisées pour le
paiement, l’identification et la mobilité, organise 3 sessions de conférence dédiées à la
tokenization.

L’accélération de l’innovation dans les systèmes de e-paiement montre que l’industrie est
prête à répondre aux attentes des utilisateurs de dispositifs portables. L’apparition de
nouveaux types de prestataires de services, tels que les « Token Service Providers », sousentend
que le champ d’application de la tokenization ira bien au delà du paiement.
Du 17 au 19 novembre prochain, 3 sessions de conférences sur le thème « Naviguer dans
le paysage du paiement mobile sans contact » seront consacrées à ce procédé de
sécurisation en pleine expansion, à ses enjeux stratégiques, à sa percée actuelle dans le
champ d’application du paiement et à son avenir potentiel dans d’autres secteurs. De
nombreux exposants présenteront pendant 3 jours leurs innovations en matière de
tokenization.

La tokenization, l’évolution naturelle du paiement sécurisé

Pour comprendre l’arrivée de la tokenization comme solution de sécurisation des paiements
électroniques, un bref rappel historique s’impose. Longtemps, le paiement n’a été pratiqué que lors
de transactions « physiques », effectuées en magasin par l’insertion de la carte dans un terminal
(« card-present » transactions).

L’apparition de deux phénomènes est venue bousculer ce modèle.
• D’abord, le paiement « sans-contact », effectué directement via une carte ou par
l’intermédiaire d’un téléphone mobile. Objectif : faciliter le paiement et augmenter la vitesse de
transaction, tout en garantissant un haut niveau de sécurité.
• Le second phénomène, l’arrivée d’Internet et du commerce en ligne, a nécessité la mise en
place de systèmes de paiement virtuels (« card-not-present » transactions). Ces systèmes
présentent potentiellement des risques plus importants : souvent, la simple utilisation du numéro
de la carte (PAN) et de sa date d’expiration suffisent pour effectuer une transaction sur Internet.

Face à un volume de transactions virtuelles en très forte progression, les nouvelles technologies –
NFC, Bluetooth LowEnergy, QR codes, HCE,… - ont dû relever un certain nombre de défis, en
particulier sur le plan de la sécurité.

Le procédé de tokenization qui s’inscrit dans cette évolution des systèmes de paiement consiste à
remplacer des données sensibles par des données de substitution, en vue de sécuriser les
transactions électroniques. L’exemple le plus emblématique est l’utilisation d’un token en lieu et
place du numéro d’une carte bancaire (PAN - Primary Account Number). Ainsi, en cas de brèche
dans la sécurité du système et de divulgation des données liées au paiement, l’utilisation du token
limite le dommage en comparaison avec celle du PAN original.

Dans les années à venir, il est probable que l’utilisateur ne fasse plus guère de différence entre les
transactions de type « card-present » et « card-not-present » et que les identifiants utilisés soient
divers et variés, selon le type de terminal ou de réseau utilisé et selon ses préférences
(consommateur ou commerçant).

Le token, rempart infaillible contre les hackers

Le token est utilisé en lieu et place de la donnée sensible. Il n’a aucun rapport avec les éléments
qu’il remplace et les « hackers » ne peuvent pas tirer parti de ces données de substitution. Le
procédé de tokenization permet ainsi de réduire le risque lié à l’utilisation en ligne de
données sensibles, par exemple en cas de vol ou d’usurpation de ces dernières.

C’est dans ce contexte que la tokenization prend toute sa dimension.
Les prescripteurs et utilisateurs de systèmes de paiement recherchent les bénéfices sécurité
suivants :
 Les données sensibles liées à la carte de paiement et à son porteur doivent rester sous le
contrôle exclusif de la banque et du commerçant. A aucun moment, ces données ne sont
accessibles à des systèmes tiers ;
 Les tokens sont créés sur la base de nombres et de caractères aléatoires et ne sont pas liés
aux données auxquelles ils se substituent ;
 Les tokens peuvent être produits selon le même format, la même taille et les mêmes
caractéristiques que les données originales.

EMV a fait la preuve de son efficacité pour combattre la fraude dans le cadre des transactions
« card-present » : au-delà du « chip & PIN », le numéro de la carte (PAN) ne peut être utilisé
qu’avec une présence physique du support.

Pour les transactions « card-not-present », la situation est toute différente et la fraude a une
forte tendance à migrer vers ce type d’utilisation. De ce fait, et malgré une batterie de mesures
destinées à sécuriser ce type de transactions, la meilleure façon de lutter contre la fraude est de
tenir le PAN secret.
Dans un contexte où les transactions sont effectuées sur un mode « cross-channel »,
indifféremment en magasin ou en ligne, les données de la carte obtenues de façon frauduleuse, via
un terminal de paiement défaillant, peuvent être utilisées pour des paiements « card-not-present »
sur Internet. C’est là que le token joue un rôle important : même en cas de brèche dans la
sécurité du système et si les données liées au paiement sont dévoilées, le dommage reste limité par
la valeur même du token, en comparaison avec celle du PAN original qu’il remplace.

C’est donc avant tout dans le cas des transactions « card-not-present » que la tokenization présente
le maximum d’atouts de sécurisation. En revanche, d’autres mesures de sécurisation comme celle
du lecteur ou du terminal utilisé doivent également être mises en oeuvre, la tokenization ne pouvant
à elle seule assurer la sécurité à 100%.

Du paiement à de nouveaux champs d’application : le token omniprésent

Le lancement d’Apple Pay en septembre 2014 a fortement impacté l’écosystème du paiement
mobile. Trois éléments principaux caractérisaient cette offre :
• Le NFC comme protocole de communication avec le terminal de paiement ;
• Le recours au SE comme plate-forme de sécurité ;
• Le recours à l’utilisation de tokens pour protéger le N° de la carte.

L’annonce d’Apple a été concomitante à celles de Visa et MasterCard, qui ont validé la tokenization
comme solution de sécurisation des transactions, en particulier celles « card-not-present ». De son
côté, EMVCo avait émis quelques mois auparavant - en mars 2014 - un document intitulé « EMV
Payment Tokenization Specification – Technical Framework » qui a inspiré la solution Apple Pay.
Cette accélération de l’innovation dans les systèmes de paiement est sans précédent. Elle
montre que l’industrie est prête à répondre rapidement aux attentes des utilisateurs de dispositifs
portables - au premier rang desquels le Smartphone - qui estiment que cet instrument est tout-à-fait
adapté aux transactions effectuées en ligne ou en magasin. De nouveaux types de prestataires de
services apparaissent, tels que les « Token Service Providers », qui viennent compléter une gamme
déjà riche de fournisseurs de composants et d’applications.

D’autant que le champ d’application de la tokenization va bien au-delà du paiement. Celui de la
santé, comme celui du paiement, repose sur une identification forte des personnes via des
dispositifs d’accès sécurisés. Il représente un candidat sérieux pour les tokens de nouvelle
génération…

La tokenization au coeur de CARTES SECURE CONNEXIONS 2015

Le paiement est un domaine complexe qui évolue constamment et rapidement. L’écosystème
mobile en pleine croissance intègre de plus en plus d’industrie et est au centre d’innovations
mondiales. La tokenization offre une alternative aux solutions hardware utilisées jusqu’à présent
dans la sécurisation des transactions de paiement.

Du 17 au 19 novembre, CARTES SECURE CONNEXIONS, met sous le feu des projecteurs le
paiement mobile sans contact avec 3 sessions d’une journée sur le thème : « Naviguer dans le
paysage du paiement mobile sans contact ».
_ ? HCE & Tokenisation : Quel est le rôle du Secure Element ?
Animé par : Francesco IARLORI, Managing Director - BizDev & Strategy Italy
_ ? Nouveaux business models : Quel impact sur les banques, les telcos et le retail ?
Animé par : Laurent NIZRI, CEO, Alteir Consulting & Vice-President, ACSEL
_ ? Paiement mobile : NFC, HCE, SE, Tokenization
Animé par Nathan HILT, Director – PriceWaterhouseCoopers

L’occasion pour les participants d’examiner les dernières technologies du marché du paiement
(NFC, HCE, SE, tokenization etc), d’échanger sur la manière dont le portable génère de nouvelles
façons de payer et d’observer les nouveaux acteurs et les nouvelles tendances.

De nombreuses entreprises* expertes en matière de tokenization seront présentes Sur CARTES
SECURE CONNEXIONS :
INFINEON TECHNOLOGIES AG
DATACARD GROUP & ENTRUST
FEITIAN TECHNOLOGIES
FUTUREX
THALES
CRYPTERA
WORLDLINE
CryptoExperts
Cryptomathic
UNDERWRITERS LABORATORIES
* liste non exhaustive des acteurs présents sur cette thématique.

PAIEMENT MOBILE SANS CONTACT
Retrouvez toutes les informations et la liste des exposants par secteur sur
http://fr.cartes.com/Liste-des-exposants-2015

CARTES SECURE CONNEXIONS
Réservez vos dates : 17-19 Novembre 2015

Pour plus d’informations : www.cartes.com!


Voir les articles précédents

    

Voir les articles suivants