Sécurité et Moyens de
Paiements
ECITV - 18 Juin 2015
Plan
• Présentation
• C’est quoi la sécurité ?
• Pourquoi sécuriser une application ?
• Comment fonctionne un paiement en ...
Présentation
Frédéric BAILLON
Président de Darkmira
fbaillon@darkmira.fr
Plusieurs années dans différents environnements
t...
C’est quoi la sécurité ?
Quand peut on dire que nous sommes en
sécurité ?
Penser la sécurité
Comment pense-t-on la sécurité ?
C’est quoi la sécurité ?
Exercice subversif
C’est quoi la sécurité ?
Fonctionnement d’une serrure
C’est quoi la sécurité ?
Images depuis http://korben.info/sensibilisation-au-lockpicking.html
Fonctionnement d’une serrure
C’est quoi la sécurité ?
Images depuis http://korben.info/sensibilisation-au-lockpicking.html
Je n’ai pas la clé
• Le crochetage
• Les bumpkeys et les pickguns,
• L’impression, la copie de clé illicite et la
fabricat...
Le crochetage
C’est quoi la sécurité ?
Pourquoi sécuriser une application ?
Aspect juridique
Un accroissement des responsabilités des dirigeants face à la sécurité des informations
numériques
• + de...
OWASP
OWASP : Open Web Application Security Project - Organisation mondiale à but non lucratif
http://www.owasp.org
Son rô...
Fonctionnement du web
Pourquoi sécuriser une application ?
Fonctionnement du web
Injection SQL
Pourquoi sécuriser une application ?
Dès lors qu’un utilisateur peut interagir avec le site, il peut aussi e...
Méditation créative
1 2 3
4 5 6
7 8 9
relier les 9 trésors
4 lignes droites
sans lever le stylo
Pourquoi sécuriser une app...
Comment fonctionne un paiement en ligne ?
1ère étape
Le site marchand ou le PSP
(Payment Service Provider)
génère le formu...
E-commerce
Le paiement sans contact
• fait directement à partir d'une carte ou d'un téléphone mobile
Le e-commerce
• possi...
E-commerce
La sécurité E-Commerce
• doit être partie intégrante du processus de sécurité d’une
application
• a ses propres...
Moyens de paiements
Carte bleue
Vous avez vraiment besoin d’explication ?
E-carte bleue
• service bancaire qui génère un n...
Moyens de paiements
M-Paiement
• toutes les transactions effectuées depuis un téléphone mobile, le paiement peut être débi...
Moyens de paiements
Google Wallet
• système de paiement mobile développé par Google
• permet de stocker ses cartes de débi...
Moyens de paiements
Et bien d’autres
• Apple Pay
• Amazon Payment
• Paypal (porte-monnaie électronique)
• ...
Pré requis
Pré requis essentiels d’une bonne sécurité E-commerce
• Intégrité
• Non répudiation
• Authenticité
• Confidenti...
Mesures
Des mesures à prendre pour assurer la confiance
• Chiffrement
• Signature Digital
• Certificats de sécurité
Protec...
HTTPS
• Couplage du protocole HTTP avec une couche de chiffrement (comme
SSL)
• Protocole de transfert hypertexte sécurisé...
Certificat SSL
• signé par un tiers de confiance qui assure le lien entre l’entité
numérique (le site) et l’entité physiqu...
Certificat SSL
Certificat SSL
• Certificate
• Version
• Serial Number
• Algorithm ID
• Issuer
• Validity
• Not Before
• Not After
• Subje...
Certificat SSL
Protection des paiements
Tokenisation
Problématique : Les données sensibles associées à la carte de paiement et à son détenteur ne
doivent être dét...
Tokenisation
Les tokens doivent
• remplacer les données sensibles par des substituts
• n’ont aucun lien avec les données
•...
3D Secure
• Protocole sécurisé (basé sur XML) de paiement sur Internet
• Utilisé par Visa et Mastercard (appelation Verifi...
3D Secure
passe une commande
Utilisateur
essaye de payer en
renseignant les
informations de sa
carte
3D Secure demande des...
3D Secure
Protection des paiements
Card Security Code
Code de sécurité
• valide l’authenticité de la carte utilisée lors d’une transaction financière
• valid...
Card Security Code
La PCI DSS interdit le stockage du CSC lors d’une transaction
• un marchand ne doit ainsi pas stocker c...
Card Security Code
3 numéros sur le dos de la
carte pour Visa / Mastercard
4 numéros sur le devant pour
American Express
I...
Chaque banque française (CIC, HSBC, BNP, …) propose plusieurs services pour intégrer leur solution de
paiement à votre sit...
Les solutions Paypal
• qui ne connaît pas Paypal ?
• créé en 1998, racheté par Ebay en 2002
• service de paiements en lign...
La solution Stripe
• Simple d’utilisation et opérationnel rapidement
• Installation rapide, peu de configuration
• possibi...
Autres solutions
• Payplug
• HiPay
• ...
ou pour des besoins adaptés à un pays précis, ex: le brésil, PagSeguro
Merci
QUESTIONS
?
Prochain SlideShare
Chargement dans…5
×

Sécurité et Moyens de Paiements

589 vues

Publié le

Conférence "Sécurité & Moyens de Paiements" au séminaire e-commerce de l'ECITV Paris par Frédéric Baillon, Président de Darkmira.

Publié dans : Internet
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
589
Sur SlideShare
0
Issues des intégrations
0
Intégrations
21
Actions
Partages
0
Téléchargements
29
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurité et Moyens de Paiements

  1. 1. Sécurité et Moyens de Paiements ECITV - 18 Juin 2015
  2. 2. Plan • Présentation • C’est quoi la sécurité ? • Pourquoi sécuriser une application ? • Comment fonctionne un paiement en ligne ? • E-Commerce, des nouveaux risques • Moyens de paiements • Protection des paiements • Prestataires de paiements
  3. 3. Présentation Frédéric BAILLON Président de Darkmira fbaillon@darkmira.fr Plusieurs années dans différents environnements traitant de sécurité
  4. 4. C’est quoi la sécurité ? Quand peut on dire que nous sommes en sécurité ?
  5. 5. Penser la sécurité Comment pense-t-on la sécurité ? C’est quoi la sécurité ?
  6. 6. Exercice subversif C’est quoi la sécurité ?
  7. 7. Fonctionnement d’une serrure C’est quoi la sécurité ? Images depuis http://korben.info/sensibilisation-au-lockpicking.html
  8. 8. Fonctionnement d’une serrure C’est quoi la sécurité ? Images depuis http://korben.info/sensibilisation-au-lockpicking.html
  9. 9. Je n’ai pas la clé • Le crochetage • Les bumpkeys et les pickguns, • L’impression, la copie de clé illicite et la fabrication de passe-partout... C’est quoi la sécurité ?
  10. 10. Le crochetage C’est quoi la sécurité ?
  11. 11. Pourquoi sécuriser une application ?
  12. 12. Aspect juridique Un accroissement des responsabilités des dirigeants face à la sécurité des informations numériques • + de protection des données • + de traçabilité • Nul n’est censé ignorer la loi • Sensibilisation du personnel interne / externe • Mettre l’entreprise en conformité avec la législation Engagement de la responsabilité civile et / ou pénale • Directive européenne : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amendes Pourquoi sécuriser une application ?
  13. 13. OWASP OWASP : Open Web Application Security Project - Organisation mondiale à but non lucratif http://www.owasp.org Son rôle : sensibiliser à la sécurité des Applications Web pour aider à prendre les bonnes décisions en matière de sécurité Evènements et présence : ● Des conférences à travers le monde ● Des listes de diffusion spécifiques ● Des chapitres locaux Des matériels : ● documentations (Top10, Cheats Sheets, Normes, Guides, …) ● outils (Samy, ZAP) ● code (Librairies) Pourquoi sécuriser une application ?
  14. 14. Fonctionnement du web Pourquoi sécuriser une application ? Fonctionnement du web
  15. 15. Injection SQL Pourquoi sécuriser une application ? Dès lors qu’un utilisateur peut interagir avec le site, il peut aussi entrer des informations non attendues. Une requête SQL classique pour la vérification de mots de passe est SELECT * from admins WHERE login='$login' AND password='$password' Que se passe-t-il si je rentre pour l’identifiant ? ' OR 1=1# la requête devient alors SELECT * from admins WHERE login='' OR 1=1
  16. 16. Méditation créative 1 2 3 4 5 6 7 8 9 relier les 9 trésors 4 lignes droites sans lever le stylo Pourquoi sécuriser une application ?
  17. 17. Comment fonctionne un paiement en ligne ? 1ère étape Le site marchand ou le PSP (Payment Service Provider) génère le formulaire pour collecter les données de la carte du client et l’envoi au navigateur du client. 2ième étape Le client saisit les informations de sa carte et valide le formulaire. Le navigateur envoie donc les données de la carte au PSP ou au site marchand. 3ième étape Les données sont reçues par le PSP ou le site marchand et transmises au système de paiement pour autorisation. Les données doivent absolument être chiffrées lors du transit entre les différentes parties
  18. 18. E-commerce Le paiement sans contact • fait directement à partir d'une carte ou d'un téléphone mobile Le e-commerce • possible à partir d’un numéro de carte bleue et d’une date de fin de validité
  19. 19. E-commerce La sécurité E-Commerce • doit être partie intégrante du processus de sécurité d’une application • a ses propres spécificités et est un des principaux (et des plus visibles) composants affectant l’utilisateur final au travers de ses paiements sur Internet
  20. 20. Moyens de paiements Carte bleue Vous avez vraiment besoin d’explication ? E-carte bleue • service bancaire qui génère un numéro de carte éphémère et pour un montant maximum pour chaque transaction à réaliser sur Internet • le numéro de carte bancaire réelle n’est pas utilisé et n’apparaît donc pas dans la transaction • le montant maximum de l’e-carte est défini et le marchand ne pourra pas utiliser un montant supérieur
  21. 21. Moyens de paiements M-Paiement • toutes les transactions effectuées depuis un téléphone mobile, le paiement peut être débité • d’une carte bancaire • d’un porte-monnaie électronique • d’une facture d’opérateur téléphonique • 4 catégories de paiements par mobile • paiement en ligne • paiement sans contact sur une borne • transfert d’argent de mobile à mobile • paiement par SMS • Exemples de technologies • Internet Mobile • NFC • SMS • QR Code • Bluetooth
  22. 22. Moyens de paiements Google Wallet • système de paiement mobile développé par Google • permet de stocker ses cartes de débits, crédits, … • peut utiliser la technologie NFC pour le paiement sans contact avec les terminaux de paiements Depuis 2013, Google a intégré Gmail et Google Wallet pour pouvoir envoyer de l’argent en pièce jointe d’e-mails. • le code PIN à 4 chiffres de l’application peut être trouvé assez rapidement grâce au bruteforce (10 000 combinaisons) • facilement sujet à des attaques dès lors qu’une faille est découverte sur le système du téléphone car stocké directement en crypté sur le téléphone • il est également recommandé de ne pas “rooté” son téléphone Android
  23. 23. Moyens de paiements Et bien d’autres • Apple Pay • Amazon Payment • Paypal (porte-monnaie électronique) • ...
  24. 24. Pré requis Pré requis essentiels d’une bonne sécurité E-commerce • Intégrité • Non répudiation • Authenticité • Confidentialité • Chiffrement • Disponibilité Protection des paiements
  25. 25. Mesures Des mesures à prendre pour assurer la confiance • Chiffrement • Signature Digital • Certificats de sécurité Protection des paiements
  26. 26. HTTPS • Couplage du protocole HTTP avec une couche de chiffrement (comme SSL) • Protocole de transfert hypertexte sécurisé • Permet à l’utilisateur de vérifier l’identité du site Web • Certificat d’authentification émis par une autorité tierce réputée fiable • Garantit la confidentialité et l’intégrité des données transmises entre le navigateur du client et le serveur • Un meilleur référencement du site e-commerce (http://googlewebmastercentral.blogspot.fr/2014/08/https-as-ranking-signal.html) Protection des paiements
  27. 27. Certificat SSL • signé par un tiers de confiance qui assure le lien entre l’entité numérique (le site) et l’entité physique (la société) • active le chiffrement des donnés au travers du protocole HTTPS • 2 méthodes de chiffrement : clés asymétriques et clés symétriques • Plusieurs types de certificats • X.509 standard : certificat classique, chiffrement entre 40bits et 256bits • X.509 étendu : affiche l’indicateur EV (Extended Validation) • X.509 wildcard : permet de rendre générique une partie du domaine (ex : *.darkmira.fr -> www.darkmira.fr, tour.darkmira.fr, mais pas darkmira.fr) • X.509 multisite : certificat contenant une liste de noms de domaine
  28. 28. Certificat SSL
  29. 29. Certificat SSL • Certificate • Version • Serial Number • Algorithm ID • Issuer • Validity • Not Before • Not After • Subject • Subject Public Key Info • Public Key Algorithm • Subject Public Key • Issuer Unique Identifier (optional) • Subject Unique Identifier (optional) • Extensions (optional) • … • Certificate Signature Algorithm • Certificate Signature
  30. 30. Certificat SSL Protection des paiements
  31. 31. Tokenisation Problématique : Les données sensibles associées à la carte de paiement et à son détenteur ne doivent être détenues que entre l’acheteur et la banque / système de paiement. Tokenisation - solution sécurisée appliquée aux paiements en ligne • solution récente • Apple Pay l’intègre depuis son lancement en 09/2014 • Visa et Mastercard approuve au même moment la tokenisation comme solution de sécurisation des transactions (en particulier sans carte) => En cas de vol ou de failles permettant de lire les données, le risque induit par la transmission de données sensibles est grandement réduit. Protection des paiements
  32. 32. Tokenisation Les tokens doivent • remplacer les données sensibles par des substituts • n’ont aucun lien avec les données • être créés à partir de caractères / nombres aléatoires et doivent n'avoir aucun lien avec les données qu'ils remplacent • avoir le même format, la même taille et les mêmes caractéristiques que les données originales Norme EMV - https://www.emvco.com/specifications.aspx?id=263 Protection des paiements
  33. 33. 3D Secure • Protocole sécurisé (basé sur XML) de paiement sur Internet • Utilisé par Visa et Mastercard (appelation Verified by Visa et Mastercard SecureCode) puis American Express ... • Ajoute une couche de sécurité aux paiements en ligne en demandant une information d’identification en plus de l’information financière Une des méthodes principales pour combattre la fraude • Redirige le client sur une page spécialisée de la banque pour renseigner une ou plusieurs informations personnelles • envoi d’un code par sms sur son téléphone • un mot de passe • une date de naissance • un e-mail Protection des paiements
  34. 34. 3D Secure passe une commande Utilisateur essaye de payer en renseignant les informations de sa carte 3D Secure demande des informations pour identifier l’utilisateur (ex. : code par SMS) Informations non valides Transaction refusée Continue avec la transaction Protection des paiements
  35. 35. 3D Secure Protection des paiements
  36. 36. Card Security Code Code de sécurité • valide l’authenticité de la carte utilisée lors d’une transaction financière • valide que le consommateur a bien la carte en main • imprimé sur le devant ou le dos des cartes de crédits • créé pour les paiements où le code PIN ne peut être utilisé (téléphone, mail, achat sur internet) • différents noms suivants les cartes (CVN2, CVC2, CID, CVV2, …) Apparition • Mastercard 1997 • American Express 1999 • Visa 2001 Les paiement sans contact ont leur propre système de code généré électroniquement comme le ICVV ou le Dynamic CVV Protection des paiements
  37. 37. Card Security Code La PCI DSS interdit le stockage du CSC lors d’une transaction • un marchand ne doit ainsi pas stocker ce code dans son système lorsque vous lui fournissez • si les données de transactions sont volées, le pirate n’obtient pas le code et ne peut pas effectuer d’autres achats Le code de sécurité n’est pas inclus dans la bande magnétique ni la carte à puce • donc n’est pas transmis automatiquement lors d’une transaction face à face avec un marchand Protection des paiements
  38. 38. Card Security Code 3 numéros sur le dos de la carte pour Visa / Mastercard 4 numéros sur le devant pour American Express Il est recommandé de retenir ce numéro et de l’effacer de la carte Protection des paiements
  39. 39. Chaque banque française (CIC, HSBC, BNP, …) propose plusieurs services pour intégrer leur solution de paiement à votre site e-commerce. Chaque formule apporte plus ou moins de fonctionnalités et supports : • leur kit API (à intégrer à votre site e-commerce) • la page de paiement international • le paiement multi-devise • la gestion multi-compte / multi-site • le support • … Pour la plupart, le kit propose sur le site des paiements par : • Cartes bancaires ou cartes privatives (Aurore, American Express, …) • Paiement par débit du compte via Paypal • Facilité de paiements via la mise en place de crédits en ligne Il convient ainsi de comparer les différentes banques / services et leurs tarifs : • des frais d’ouvertures • un abonnement mensuel • des commissions sur les ventes Les solutions bancaires Prestataires de paiements
  40. 40. Les solutions Paypal • qui ne connaît pas Paypal ? • créé en 1998, racheté par Ebay en 2002 • service de paiements en ligne pour payer ses achats sur internet, recevoir des paiements, transférer de l’argent ou en recevoir • inscription gratuite et ne nécessite pas l’obtention d’un contrat de vente à distance • montant fixe par vente de quelques centimes + commission sur les ventes (possibilité d’un abonnement mensuel pour bénéficier de tarifs + avantageux) Paypal propose la possibilité de ne pas avoir à saisir sa carte bancaire à chaque transaction d’achat • possibilité de renseigner son compte bancaire ou sa carte de crédit pour débit lors d’une transaction • compte protégé uniquement par un e-mail et un mot de passe (nécessité de fournir un mot de passe fort) Prestataires de paiements
  41. 41. La solution Stripe • Simple d’utilisation et opérationnel rapidement • Installation rapide, peu de configuration • possibilité d’intégrer Stripe sans avoir à ce créer un compte marchand • s’intègre très facilement aux checkouts, modules existants pour les CMS • montant fixe de 0,30cts + 2,9% sur les ventes • accessible actuellement dans peu de pays (malgré une bêta en France) • Supporte l’Apple Pay et les transactions Bitcoin Prestataires de paiements
  42. 42. Autres solutions • Payplug • HiPay • ... ou pour des besoins adaptés à un pays précis, ex: le brésil, PagSeguro
  43. 43. Merci QUESTIONS ?

×