Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Paiement par mobile : vers la fin de la carte bancaire ?

novembre 2020 par Fred Raynal, CEO de Quarkslab

La crise du Covid-19 a eu pour conse ?quence de favoriser le de ?veloppement du paiement par mobile. Ide ?al pour re ?gler des achats de proximite ? et rapide, il s’installe dans le quotidien de plus en plus de franc ?ais. Paierons-nous tous avec notre mobile demain ? Pour se ge ?ne ?raliser, le paiement par mobile doit devenir davantage se ?curise ?.

La ge ?ne ?ralisation du paiement par mobile

Les habitudes des consommateurs ont e ?volue ? et la nume ?risation de plus en plus marque ?e de l’e ?conomie a fait croi ?tre les transactions a ? distance. Gra ?ce a ? la technologie NFC (Near Field Communication), le smartphone fonctionne de ?sormais comme une carte bleue et permet la transmission de donne ?es sur une courte distance avec une application de ?die ?e. Plus besoin de l’IBAN pour virer de l’argent a ? un tiers, il suffit du nume ?ro de te ?le ?phone de la personne pour lui effectuer un virement imme ?diat.
Cette simplicite ? se ?duit les consommateurs. C’est pourquoi nombre d’entre- prises se positionnent sur le marche ? en proposant des solutions sur mesure. C’est le cas notamment des grands acteurs du nume ?rique (Google Pay, Apple Pay, Samsung Pay...), des banques, mais aussi de la grande distribution comme Carrefour Pay par exemple.

L’enjeu de la se ?curisation

Le paiement par mobile n’est pourtant pas encore la norme. En effet, les risques d’attaques et de fraudes sont nombreux avec les paiements mobiles, surtout lorsque les applications ne garantissent pas un niveau de se ?curite ? optimal des transactions. En 2016, l’ENISA (Agence europe ?enne charge ?e de la se ?curite ? des re ?seaux et de l’information) pointait les deux principaux facteurs de risques. Le premier concerne la se ?curite ? de l’appareil lui-me ?me (les mises a ? jour, les appli- cations, etc) et le second est relatif a ? la se ?curite ? de la chai ?ne de paiement. La se ?curite ? des logiciels repre ?sente un grand de ?fi pour les de ?veloppeurs. Celle- ci repose en effet sur une combinaison de technologies, de bonnes pratiques et de proce ?dures adopte ?es tout au long du processus de de ?veloppement mais qui sont en mouvance permanente et pour lesquelles ces de ?veloppeurs ne sont pas, ou peu, forme ?s. Par exemple, les vulne ?rabilite ?s, qui sont des de ?fauts logiciels re ?sultant d’erreurs de programmation, peuvent e ?tre exploite ?es par des attaquants.

Les solutions concre ?tes de se ?curite ?

Les grandes entreprises du paiement e ?ditent, a ? destination des socie ?te ?s souhaitant proposer des moyens de paiement utilisant des cartes bancaires, des pre ?requis de se ?curite ? a ? adopter.
Deux nouvelles certifications sont ainsi sorties depuis 2018 afin de donner aux marchands la possibilite ? de choisir des solutions de confiance permettant d’accepter les paiements mobiles des consommateurs. La constante de ces certifications est de prote ?ger l’application mobile qui est au centre des e ?changes, et pour cela, des bonnes pratiques doivent e ?tre adopte ?es. Une des solutions consiste a ? soumettre le code a ? d’autres experts du me ?me domaine afin d’identifier les proble ?mes qui pourraient e ?tre pre ?sents. Cela permet de ve ?rifier manuellement que le nouveau code n’est pas susceptible d’introduire des vulne ?rabilite ?s dans le logiciel. Cette pratique peut e ?tre comple ?te ?e par des audits de laboratoires ou encore des logiciels pouvant proce ?der a ? des exa- mens automatiques du code pour de ?tecter des vulne ?rabilite ?s.
Une fois l’application code ?e, d’autres options souvent me ?connues mais ne ?anmoins tre ?s pertinentes comme le fuzzing sont possibles pour aller plus loin dans la se ?curisation. Cela consiste a ? injecter une varie ?te ? de donne ?es ale ?atoires dans les entre ?es du programme. Si le programme e ?choue, alors il y a des de ?fauts qu’il faudra corriger.

Ces certifications sont re ?centes et a ? ce jour, peu de solutions sont certifie ?es. Ceci est en partie du ? au cahier des charges complexe ainsi qu’au processus de certification qui prend ne ?cessairement du temps.

Toutefois, la dure ?e de certification peut e ?tre raccourcie en utilisant des outils de se ?curite ? du marche ?, permettant ainsi de re ?pondre aux exigences de se ?curite ? avec des logiciels e ?prouve ?s. En effet, empe ?cher une fraude ou une attaque e ?tant impossible, le meilleur moyen reste de ralentir l’attaquant gra ?ce a ? l’obfuscation pour limiter le reverse engineering. Ce gain de temps permet d’identifier rapidement la faille.

Le paiement par mobile a un bel avenir devant lui. Mais il ne pourra s’imposer comme un ve ?ritable moyen de paiement universel qu’a ? condition de mettre un accent sur la se ?curite ?. A ? ces complexite ?s techniques s’ajoutent la question sur l’attribution de la responsabilite ? en cas de failles. Dans le cas ou ? un commerc ?ant, organisme de paiement n’utilisent pas de syste ?me approuve ? par l’industrie du paiement, c’est le commerc ?ant – organisme de paiement qui est responsable. Mais des cas moins e ?vidents peuvent se pre ?senter et rendre cette question plus complexe d’autant que la le ?gislation en la matie ?re varie d’un E ?tat a ? un autre.




Voir les articles précédents

    

Voir les articles suivants