Sites Inria

Le 10.09.2013

Augmenter la fiabilité des moyens de paiement ? C’est possible mais...

Les fraudes sur les paiements et retraits par carte bancaire ont dépassé 450 millions d’euros en 2012 ! Nous avons demandé à Anne Canteaut, experte en sécurité numérique, de nous expliquer sur quoi repose la sécurisation de nos cartes mais aussi de nos smartphones. Car ces derniers sont loin d’être aussi protégés qu’ils ne le pourraient...


Photo by Petele (CC BY-NC-ND 2.0)

*Anne Canteaut est responsable scientifique de l’équipe-projet Secret à Inria (Paris-Rocquencourt),
dont la la cryptographie est l’un des domaines d’expertise.

 

En France, quel est le niveau des risques liés à la carte bancaire ?


Selon le rapport de la Banque Centrale Européenne de juillet 2013, la fraude à la carte bancaire continue de baisser au niveau européen, tandis que la France continue d’être un des pays les plus exposés. La part de la fraude dans la valeur totale des transactions y serait de 0,059%, contre 0,036 % dans la moyenne des pays de la zone euro.

Selon ce même rapport, en France, près des deux tiers (63%) des cas de fraude par carte bancaire sont liés à l’utilisation de smartphones ou d’Internet.

Pour lutter contre de tels phénomènes, quelle est la démarche de l’équipe-projet Secret à Inria ?


L’équipe travaille à la conception de nouveaux systèmes, d’une part, et procède à l’évaluation de la sécurité de systèmes existants, d’autre part. Nous travaillons sur deux familles de systèmes différentes : les systèmes à clé publique, et les systèmes symétriques ou à clé secrète, qui sont les plus répandus. Les deux systèmes reposent sur un déchiffrement grâce à un code connu seulement de l’utilisateur; avec une clé publique, connue de tous, on peut chiffrer un message à destination de son destinataire.

Chacune de ces solutions a ses avantages et inconvénients : les premiers n’obligent pas les utilisateurs à partager un secret mais ils sont lents, les seconds sont très rapides et peu coûteux en termes de consommation d’énergie.

Quelle est l’importance de la rapidité d’exécution en matière de sécurité ?


Paradoxalement, il faut noter que les utilisateurs veulent un niveau élevé de sécurité... mais ne souhaitent pas attendre trop longtemps qu’un calcul de cryptage soit effectué ! En pratique, le temps de calcul et le niveau de sécurité doivent correspondre à un niveau de compromis acceptable.


Zoom : quelles protection pour nos cartes bancaires ?

Les cartes bancaires proposent proposent 3 mécanismes de protection que l’on déclenche sans toujours le savoir :

  • quand vous introduisez votre carte dans le terminal de paiement d’un commerçant ou dans un distributeur de billets, une procédure permet de vérifier qu’il s’agit d’une vraie carte bancaire. Ces dernières disposent en effet d’une sorte de signature, émise par l’organisme bancaire (chiffrement RSA),

  • un mécanisme de code secret (ou PIN pour Personal Identification Number), connu de l’utilisateur et de sa carte, se déclenche et permet de l’identifier,

  • la communication entre deux terminaux est cryptée : si un pirate interceptait la communication où figure votre numéro de carte bancaire, il aurait beaucoup de mal à la déchiffrer et donc à déterminer votre numéro de carte.


Parallèlement, le paiement sur mobile est en pleine croissance. Pensez-vous que les smartphones soient suffisamment sécurisés ?


Disons qu’ils ne le sont pas autant que les terminaux bancaires. Ces derniers bénéficient d’un environnement technique sans compromis : leurs concepteurs n’ont pas trop à se préoccuper de leur volume, de leur niveau de consommation électrique, de la puissance de calcul qui sera mise en oeuvre, etc. Du coup, cet environnement est hautement sécurisé. Et à l’inverse, quand on conçoit ou utilise un téléphone portable, ces préoccupations deviennent prioritaires.

Autrement dit, faire des paiements avec des équipements qui, par nature, ne sont pas sécurisés, pose davantage de problèmes.

On dit que les smartphones et tablettes ont atteint une puissance comparable à celle des ordinateurs d’il y a quelques années. Est-ce suffisant pour effectuer les calculs complexes exigés par un haut niveau de protection ?


Leurs capacités de calcul sont aujourd’hui suffisamment élevées pour un offrir bon niveau de sécurité. Mais le problème essentiel des téléphones et des tablettes dans le cadre de la sécurité des moyens de paiement est dû aux applications qui tournent en parallèle... sans qu’on le sache forcément !

 

Par conséquent, potentiellement, une application de jeu ou de géolocalisation peut dérober au passage le code que vous êtes en train d’entrer sur votre clavier.

 

Il faudrait donc cloisonner les différentes applications, ce qui est infaisable aujourd’hui. Il faut souligner que cette impossibilité n’est pas d’ordre technique, mais résulte des choix faits par les fabricants et les opérateurs télécoms. On peut regretter que les fabricants et opérateurs ne fassent toujours rien pour empêcher cette situation (voir sur ce sujet : Les espions qui venaient du... smartphone).

Dans l’hypothèse où les constructeurs et les opérateurs télécoms décideraient de commercialiser des téléphones mobiles qui offrent de vraies garanties de compartimentation, qu’est-ce que cela changerait ?


Avec le niveau de sécurité augmenté qui en résulterait, on pourrait coupler la carte bancaire et le téléphone mobile et les utiliser pour payer, en toute simplicité. Le téléphone ou la tablette lirait la puce de la carte bancaire comme il le fait avec la carte SIM.

Toutefois, comparé à un dispositif ultra-sécurisé comme un distributeur bancaire, la sécurité serait moindre - envoyer un virus sur un distributeur est une tâche très compliquée puisqu’ils ne sont pas connectés sur Internet -, alors que c’est assez facile sur un smartphone ou un ordinateur connecté sur Internet.

Les utilisateurs sont-ils suffisamment conscients des problèmes de sécurité numérique ?


Aujourd’hui, la majorité des gens est bien consciente des risques modérés, mais réels, liés au paiement électronique. En revanche, il n’existe pas encore de conscience globale du phénomène de fuite de données personnelles... qui devrait être tout aussi préoccupant. Dans le cas des paiements, le risque est très largement endossé par les organismes bancaires et d’assurance. Mais certains préjudices, comme la diffusion d’informations de santé, peuvent être beaucoup plus graves !

 

Propulsé par