En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d'intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Paiement par mobile : vers la fin de la carte bancaire ?

Par Fred Raynal, CEO de Quarkslab

Publication: 5 novembre

Partagez sur
 
La crise du Covid-19 a eu pour conséquence de favoriser le développement du paiement par mobile...
 

Idéal pour régler des achats de proximité et rapide, il s’installe dans le quotidien de plus en plus de français. Paierons-nous tous avec notre mobile demain ? Pour se généraliser, le paiement par mobile doit devenir davantage sécurisé.

La généralisation du paiement par mobile

Les habitudes des consommateurs ont évolué et la numérisation de plus en plus marquée de l’économie a fait croître les transactions à distance. Grâce à la technologie NFC (Near Field Communication), le smartphone fonctionne désormais comme une carte bleue et permet la transmission de données sur une courte distance avec une application dédiée. Plus besoin de l’IBAN pour virer de l’argent à un tiers, il suffit du numéro de téléphone de la personne pour lui effectuer un virement immédiat.

Cette simplicité séduit les consommateurs. C’est pourquoi nombre d’entreprises se positionnent sur le marché en proposant des solutions sur mesure. C’est le cas notamment des grands acteurs du numérique (Google Pay, Apple Pay, Samsung Pay...), des banques, mais aussi de la grande distribution comme Carrefour Pay par exemple.

L’enjeu de la sécurisation

Le paiement par mobile n’est pourtant pas encore la norme. En effet, les risques d’attaques et de fraudes sont nombreux avec les paiements mobiles, surtout lorsque les applications ne garantissent pas un niveau de sécurité optimal des transactions. En 2016, l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) pointait les deux principaux facteurs de risques. Le premier concerne la sécurité de l’appareil lui-même (les mises à jour, les applications, etc) et le second est relatif à la sécurité de la chaîne de paiement.

La sécurité des logiciels représente un grand défi pour les développeurs. Celle-ci repose en effet sur une combinaison de technologies, de bonnes pratiques et de procédures adoptées tout au long du processus de développement mais qui sont en mouvance permanente et pour lesquelles ces développeurs ne sont pas, ou peu, formés. Par exemple, les vulnérabilités, qui sont des défauts logiciels résultant d’erreurs de programmation, peuvent être exploitées par des attaquants.

Les solutions concrètes de sécurité

Les grandes entreprises du paiement éditent, à destination des sociétés souhaitant proposer des moyens de paiement utilisant des cartes bancaires, des prérequis de sécurité à adopter.

Deux nouvelles certifications sont ainsi sorties depuis 2018 afin de donner aux marchands la possibilité de choisir des solutions de confiance permettant d’accepter les paiements mobiles des consommateurs. La constante de ces certifications est de protéger l’application mobile qui est au centre des échanges, et pour cela, des bonnes pratiques doivent être adoptées.

Une des solutions consiste à soumettre le code à d’autres experts du même domaine afin d’identifier les problèmes qui pourraient être présents. Cela permet de vérifier manuellement que le nouveau code n’est pas susceptible d’introduire des vulnérabilités dans le logiciel. Cette pratique peut être complétée par des audits de laboratoires ou encore des logiciels pouvant procéder à des examens automatiques du code pour détecter des vulnérabilités.

Une fois l’application codée, d’autres options souvent méconnues mais néan- moins très pertinentes comme le fuzzing sont possibles pour aller plus loin dans la sécurisation. Cela consiste à injecter une variété de données aléatoires dans les entrées du programme. Si le programme échoue, alors il y a des défauts qu’il faudra corriger.

Ces certifications sont récentes et à ce jour, peu de solutions sont certifiées. Ceci est en partie dû au cahier des charges complexe ainsi qu’au processus de certification qui prend nécessairement du temps.

Toutefois, la durée de certification peut être raccourcie en utilisant des outils de sécurité du marché, permettant ainsi de répondre aux exigences de sécurité avec des logiciels éprouvés. En effet, empêcher une fraude ou une attaque étant impossible, le meilleur moyen reste de ralentir l’attaquant grâce à l’obfuscation pour limiter le reverse engineering. Ce gain de temps permet d’identifier rapidement la faille.

Le paiement par mobile a un bel avenir devant lui. Mais il ne pourra s’imposer comme un véritable moyen de paiement universel qu’à condition de mettre un accent sur la sécurité. À ces complexités techniques s’ajoutent la question sur l’attribution de la responsabilité en cas de failles. Dans le cas où un commerçant, organisme de paiement n’utilisent pas de système approuvé par l’industrie du paiement, c’est le commerçant organisme de paiement qui est responsable. Mais des cas moins évidents peuvent se présenter et rendre cette question plus complexe d’autant que la législation en la matière varie d’un État à un autre.

http://www.quarkslab.com/

Suivez Industrie Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'Industrie Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: