En juillet dernier, l’Observatoire de la sécurité des moyens de paiement a publié son rapport annuel dans lequel il est mentionné qu’en 2016, en France, la fraude sur l’ensemble des moyens de paiement (carte bancaire, chèque, virement, prélèvement, etc.) émis sur tout l’hexagone a coûté quelque 800 millions d’euros. Les paiements sur le web constituent l’essentiel des opérations frauduleuses mais il existe de nouveaux moyens pour prévenir ces actes délictueux.
Les achats sur le web sont devenus monnaie courante. En quelques clics, la commande est confirmée. Au-delà de la satisfaction de la transaction facilement effectuée par carte bancaire, il convient de s’interroger sur les possibles opportunités de piratage, vol de données, etc. Un achat en ligne, aussi simple qu’il soit, peut comporter de nombreux risques. Le vol des données fait régulièrement la Une de l’actualité et les fraudeurs sont chaque jour de plus en plus rapides. En octobre, 143 millions d’identités ont été signalées comme étant compromises au cours d’une seule attaque, or 9 minutes suffisent pour que des données publiées sur le dark web soient utilisées. Tous les comptes compromis ne sont toutefois pas utilisés systématiquement de façon frauduleuse. Chaque seconde a alors, son importance.
Un pas vers la cryptographie
Pour y remédier, les sociétés ont développé, depuis quelques années, un système informatique, l’authentification forte ou appelée authentification à deux facteurs. En raison des techniques de vol de plus en plus élaborées, l’utilisation d’un seul mot de passe ne garantit plus la protection de l’usager sur la toile. Une double vérification avec un second élément autre que le mot de passe traditionnel a été conçu pour pallier les faiblesses de celui-ci : l’authentification forte ou à deux facteurs. Beaucoup d’entreprises et d’administrations ont opté pour ce procédé pour sécuriser l’accès à leurs données ou leurs réseaux. Pour le secteur bancaire, il en va de la réputation et de la confiance des clients.
Solution de rupture pour sécuriser les paiements
Lors de la 1re édition des Banking Cybersecurity Innovation Awards, en juillet dernier, la Société générale et Wavestone ont récompensé Skeyecode dans la catégorie « Confiance numérique pour les clients ». Cette start-up développe une solution de cryptologie graphique pour délivrer un service d’authentification forte et de validation de transaction s’appuyant sur une solution de 2FA (second facteur d’authentification) logicielle brevetée. La société permet à l’utilisateur d’authentifier et de valider une transaction effectuée, le tout depuis son téléphone portable et ce, même si celui-ci, est compromis ou infecté par un malware. Le haut niveau de sophistication du logiciel rend l’authentification de la transaction aussi sécurisé qu’un terminal de paiement, empêchant ainsi qu’un tiers puisse changer le montant ou le bénéficiaire de la transaction. La technologie est protégée par un portefeuille de huit brevets déposés en France, aux Etats-Unis et en Europe, portefeuille financée par France Brevets. L’intégration de cette solution dans les applications existantes s’effectue facilement grâce à une API (interface de programmation) et un SDK (Kit de développement).
La solution Skeyecode est actuellement en test au sein du groupe Société Générale tout comme les solutions innovantes portées par Sqreen et Alsid (lauréat du Prix de l’innovation des Assises de la sécurité 2017 à Monaco).
Evolution des mesures d’authentification
Alors que depuis 10 ans les banques usent du code de sécurité à usage unique envoyé par SMS, de nouvelles solutions arrivent sur le marché pour apporter des réponses aux craintes légitimes des utilisateurs. Les banques ont alors l’occasion de s’afficher comme des partenaires de confiance auprès de leurs clients en leur proposant des méthodes d’authentification plus simples et plus sûres. Conséquence directe de l’explosion du marché des smartphones, des applications recueillent et stockent de nombreuses informations personnelles notamment Apple Pay, Samsung Pay et Android Pay grâce auxquelles les consommateurs peuvent régler des achats et enregistrer leurs coordonnées bancaires sur leur téléphone. Ces données font ainsi du smartphone une cible privilégiée des cybercriminels…
Le 23 février 2017, l’Autorité bancaire européenne (EBA) a publié la version finale de la Directive de Services de Paiement, la DSP2. Elle sera soumise à la Commission européenne pour adoption, puis examinée par le Parlement européen. Les clients ne divulgueront plus leurs identifiants et leurs mots de passe à des services tiers. Ils passeront directement par leur banque. Les échanges de données bancaires seront ainsi règlementés. Entrée en vigueur de la directive : 13 janvier 2018.
Biométrie, talk to pay : l’avenir de l’authentification ?
Avec la biométrie, le terminal utilisé n’a plus aucune importance. L’autorisation pour réaliser des transactions ne veut s’effectuer que via la numérisation de la rétine du propriétaire du compte ou de ses empreintes digitales. Dès lors, impossible pour un cybercriminel d’accéder à un système, ni autoriser des transactions frauduleuses. La reconnaissance faciale ou de l’iris présentent toutes les conditions requises pour améliorer la sécurité des services mobiles. C’est notamment l’une des innovations mises en place cette année par MasterCard. Autre nouveauté, la reconnaissance vocale qui permet elle aussi d’apporter un niveau de sécurité supplémentaire aux consommateurs qui accèdent aux services mobiles. La Banque Postale est la première banque française à proposer, avec son service Talk To Pay, le paiement par reconnaissance vocale à ses clients. Talk to pay sécurise tous les achats à distance en générant à chaque paiement un cryptogramme à usage unique remplaçant celui de la carte. Les données de la carte bancaire sont protégées car son cryptogramme visuel est désactivé. En cas de perte ou de vol de la carte, aucun paiement à distance ne peut être effectué.
A la place, Talk to pay communique un cryptogramme aléatoire à chaque paiement, ce qui protège le propriétaire en cas d’utilisation frauduleuse de la carte. Pour obtenir les cryptogrammes, il faut s’authentifier systématiquement via le système de reconnaissance vocale proposé par ce service, ou bien via le mode d’authentification habituel du Portefeuille. Si une tentative de paiement est effectuée avec un cryptogramme qui n’a pas été généré par Talk to pay, le propriétaire est immédiatement alerté par un appel automatique sur son téléphone mobile.
Système d’alerte préventif
La rapidité est un facteur clé pour lutter de manière efficace contre la fraude. Ainsi, Mastercard vient d’annoncer le lancement d’Early Detection System. Ce nouveau service propose aux émetteurs un système d’alerte préventif pour les cartes et comptes fortement exposés aux risques de fraudes en s’appuyant sur leur exposition aux incidents de sécurité et tentatives de violations de données. « Mastercard a développé Early Detection System pour aider les institutions financière à prendre plus rapidement les mesures qui s’imposent et empêcher ainsi les attaques les plus sérieuses. » souligne MasterCard dans un communiqué. Combinant les connaissances provenant du réseau Mastercard, les capacités prédictives de la solution et un ensemble de sources de données internes et externes, Early Detection System va déterminer si une carte ou un compte est à risque et envoie une alerte à l’émetteur incluant une quantification du niveau de risque. L’émetteur s’appuie ensuite sur ce niveau de risque pour prioriser de manière plus précise les mesures à prendre – de la surveillance plus d’attentive des transactions à l’émission proactive d’une carte de remplacement. « Avec la connaissance, le pouvoir d’agir : ce service aide les émetteurs à agir de manière significativement plus rapide et plus précise pour empêcher les fraudes potentielles avant qu’elles ne se produisent, » explique Ajay Bhalla, President of Enterprise Risk and Security chez Mastercard. « Nos émetteurs peuvent maintenant viser pro-activement l’activité frauduleuse résultant de données précédemment altérées ou piratées, et ce faisant réduire leurs coûts et maintenir la meilleure expérience qui soit pour les titulaires de cartes. » Early Detection System identifie tous les scénarii : du commerce criminel actif des données d’un compte, à l’identification de cartes testées avant d’être utilisées de manière frauduleuse, jusqu’aux données d’un compte qui semblent à risque sans pour autant avoir de preuve suffisante pour déclencher un événement de compromission des données de compte. Il fournit ainsi aux émetteurs des alertes sur un panel beaucoup plus large de comptes à risque au moins 6 à 18 mois avant les alertes traditionnelles.
Une future directive pour lutter plus efficacement
“Nous protégerons mieux les Européens à l’ère du numérique. […] La Commission propose aujourd’hui de nouveaux outils” a déclaré Jean-Claude Juncker, président de la Commission européenne lors du discours sur l’état de l’Union le 13 septembre dernier. Une directive du Parlement européen et du Conseil a été proposée en ce sens. Elle concerne la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces. Cette dernière remplacera la décision-cadre 2001/413/JAI du Conseil qui n’est plus d’actualité et ne répond pas aux évolutions comme le développement des monnaies virtuelles ou des paiements via les mobiles. La directive va permettre de développer une cyberdissuasion européenne en élargissant le champ des infractions liées aux nouvelles technologies, en garantissant les droits des victimes de la cybercriminalité et en actualisant le cadre juridique au niveau européen.