Sécurité du paiement mobile<br />Quelles failles? Quels risques? Comment proposer un service de paiement sécurisé dans un ...
Business Enabling IT Services : Transactions to Success<br /><ul><li>15% + EBIT, double digit growth potential
Leading position in Europe based on strong assets (electronic payments, e-customer services, financial markets…)
Already > 20% of Atos revenues
Ambition to double HTTS revenues by 2014 versus 2008 </li></ul>High-tech Transactional Services, an innovative and added v...
2.2 billion acquisitions
415 million remote payments
570.000 terminals</li></ul>#2 acquiring in Europe<br />Top 3 internet & Mobile payments in Europe<br />Top 5 issuing in Eu...
€ 450 bn assets
10 RTGS platforms</li></ul>#1 processing of securities clearing / Settlement in Europe<br />#1 brokerage processing in Eur...
60 million e-mail boxes
1 billion e-documents</li></ul>#1 personal mailboxes in Europe<br /># 1 multichannel self care home banking in France <br ...
Agenda<br />La sécurité du paiement sur mobile<br />Failles et risques<br />Exemples d’implémentations<br />m-Banxafe<br /...
Le mobile n’est pas une plate-forme sécurisée<br />HTC Desire S<br />YOMANIPCI-PTS 2.xEMV 4.2 l1/2TQM, CE, EMC, PayPass/Pa...
Paiement de proximité<br />Fraude 2010 (OSCP) : 0,011%31,9 M€ sur un CA de 284,6 G€ <br />
Paiement sur Internet<br />Fraude 2010 (OSCP) : 0,390%118,8 M€ sur un CA de 30,4 G€ <br />Intègre le mobile<br />
PayPal<br />Taux de fraude: 0,5%360 M€ sur un CA de 72 G$CA PayPal 2010 : ~3 G$ <br />(source : PayPal)<br />Intègre le mo...
Commande<br />Spyware<br />Saisie d’identifiants de paiement / bancaires<br />Structurellementsimilaire à Internet<br />DN...
Risques liés au paiement mobile de proximité<br />Achat<br />Appli mobile<br />Fausse appli<br />Envoi données transaction...
La sécurité n’est pas qu’un enjeu technique …<br />http://xkcd.com/538This work is licensed under a Creative Commons Attri...
Prochain SlideShare
Chargement dans…5
×

Sécurité du paiement mobile

4 057 vues

Publié le

Atos Worldline - Sécurité du paiement mobile : Quelles failles? Quels risques? Comment proposer un service de paiement sécurisé dans un environnement non sécurisé?

0 commentaire
4 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
4 057
Sur SlideShare
0
Issues des intégrations
0
Intégrations
55
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
4
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurité du paiement mobile

  1. 1. Sécurité du paiement mobile<br />Quelles failles? Quels risques? Comment proposer un service de paiement sécurisé dans un environnement non sécurisé?<br />Michel-Ange Camhi, Head of Mobility Task Force<br />
  2. 2. Business Enabling IT Services : Transactions to Success<br /><ul><li>15% + EBIT, double digit growth potential
  3. 3. Leading position in Europe based on strong assets (electronic payments, e-customer services, financial markets…)
  4. 4. Already > 20% of Atos revenues
  5. 5. Ambition to double HTTS revenues by 2014 versus 2008 </li></ul>High-tech Transactional Services, an innovative and added value service model<br />Shared commitment to success<br />Client business metrics price structure<br />Electronic payments<br /><ul><li>28 million payment cards
  6. 6. 2.2 billion acquisitions
  7. 7. 415 million remote payments
  8. 8. 570.000 terminals</li></ul>#2 acquiring in Europe<br />Top 3 internet & Mobile payments in Europe<br />Top 5 issuing in Europe<br />Gift & prepaid cards<br />Build once, reuse, <br />sell many times<br />Processing in ownshared data centers<br />Financial Markets<br /><ul><li>280 million trades
  9. 9. € 450 bn assets
  10. 10. 10 RTGS platforms</li></ul>#1 processing of securities clearing / Settlement in Europe<br />#1 brokerage processing in Europe<br />Full control on IPR<br />e community services<br /><ul><li>144 billion web pages served
  11. 11. 60 million e-mail boxes
  12. 12. 1 billion e-documents</li></ul>#1 personal mailboxes in Europe<br /># 1 multichannel self care home banking in France <br />Major provider of health cards, pharmacist registry, Personal Medical File<br />
  13. 13. Agenda<br />La sécurité du paiement sur mobile<br />Failles et risques<br />Exemples d’implémentations<br />m-Banxafe<br />Société Générale (L’Appli)<br />Buyster<br />
  14. 14. Le mobile n’est pas une plate-forme sécurisée<br />HTC Desire S<br />YOMANIPCI-PTS 2.xEMV 4.2 l1/2TQM, CE, EMC, PayPass/PayWave …<br />
  15. 15. Paiement de proximité<br />Fraude 2010 (OSCP) : 0,011%31,9 M€ sur un CA de 284,6 G€ <br />
  16. 16. Paiement sur Internet<br />Fraude 2010 (OSCP) : 0,390%118,8 M€ sur un CA de 30,4 G€ <br />Intègre le mobile<br />
  17. 17. PayPal<br />Taux de fraude: 0,5%360 M€ sur un CA de 72 G$CA PayPal 2010 : ~3 G$ <br />(source : PayPal)<br />Intègre le mobile<br />
  18. 18. Commande<br />Spyware<br />Saisie d’identifiants de paiement / bancaires<br />Structurellementsimilaire à Internet<br />DNS Poisoning + faux certificat<br />Risques liés au paiement mobile à distance<br />Redirection sur le serveur de paiement<br />Authentification porteur<br />Double attaque OTA / SSL<br />Transmission d’identifiants de paiement (HTTPS)<br />Autorisation<br />DNS Poisoning + faux certificat<br />3D Secure<br />
  19. 19. Risques liés au paiement mobile de proximité<br />Achat<br />Appli mobile<br />Fausse appli<br />Envoi données transaction (NFC, BT, code barre…)<br />Spyware + démon<br />Saisie PIN / signature<br />Visa, MasterCard, AEPM …<br />Renvoi signature<br />Demande d’autorisation<br />Demande d’autorisation émetteur<br />
  20. 20. La sécurité n’est pas qu’un enjeu technique …<br />http://xkcd.com/538This work is licensed under a Creative Commons Attribution-NonCommercial 2.5 License.  <br />
  21. 21. La sécurité du paiement est un enjeu global<br />Banque porteur<br />Serveur d’autorisation<br />Schémas<br />Chez Atos Worldline, plus de 100 personnes travaillent à la gestion de la fraude paiement, dont 10 en R&D<br />
  22. 22. Le mobile a des avantages sur la carte<br />Transactionsonline<br />Contrôle côté serveur<br />Réaction encore plus rapide à la fraude<br />Nouvelles possibilités pour la gestion de fraude<br />Authentification sur mobile (crypto client / serveur)<br />Localisation, notifications / alertes temps réel …<br />Le mobile, ou une application mobile, peut être désactivé à distance tant qu’il est sur le réseau<br />Le réseau mobile peut aussi apporter des infos d’authentification complémentaires, en collaboration avec les opérateurs<br />
  23. 23. Mitigation des risques du paiement mobile<br />Commencer par éviter les problèmes d’implémentation …<br />Login/mdpSoldes des comptes<br />Cache des pages de comptes bancaires<br />Réponse à la question de sécurité (Android)<br />http://online.wsj.com/article/SB10001424052748703805704575594581203248658.html<br />
  24. 24. Les principaux types de failles de sécurité du mobile<br />Problèmes de sécurité dans l’OS<br />Nombreuses failles pas toutes corrigées dans Java MobileM. Debbabi, M. Saleh, C. Talhi and S. Zhioua: Security Evaluation of J2ME CLDC Embedded Java Platform ∗, in Journal of Object Technology, vol. 5, no. 2, March–April 2006, pages 125–154, http://www.jot.fm/issues/issues 2006 3/article2<br />iOS, Android : correction au fur et à mesure, temps de rollout<br />http://www.guardian.co.uk/technology/2011/jul/06/apple-device-security-flaw-revealed<br />http://www.youtube.com/watch?v=jmWR3vUq7Ww&feature=player_embedded<br />http://www.androidpolice.com/2011/10/01/massive-security-vulnerability-in-htc-android-devices-evo-3d-4g-thunderbolt-others-exposes-phone-numbers-gps-sms-emails-addresses-much-more/<br />Mais très grande fragmentation !!<br />La sécurité des réseaux mobiles standard est attaquée<br />Attaques sur A5/1 (GSM), KASUMI (3G) et WPA (WiFi)<br />Mais très complexes à réaliser en temps réel + SSL<br />Le plus gros problème : l’application malicieuse<br />Mais pas d’impact a priori sur le paiement mobile (sauf browser)<br />
  25. 25. m-Banxafe<br />»<br />«<br />m-banxafe avec Mobistar<br />Continuer ?<br />Valider Stop<br />Payer 180,50 Eur.<br />À Electricité<br />Référence 345/72623/25<br />Avec votre carte FORTIS<br />Valider Stop<br />Entrez voter code secret m-banxafe<br />****<br />Valider Retour<br /><ul><li>Application dans la SIM
  26. 26. Compatible avec tous les mobiles
  27. 27. Outil générique d’authentification
  28. 28. SIM crypto and B-PIN
  29. 29. Usagesactuels :
  30. 30. Reload (5M), Balance (11M),
  31. 31. Billing, pay2me</li></li></ul><li>Société Générale<br />Système de jeton révocable<br />
  32. 32. Buyster sur PC: amélioration des parcours de paiement existants qui allie sécurité et ergonomie<br />17<br />+ possibilité de passer directement à l’étape 3 grâce au paiement express<br />
  33. 33. Buyster sur mobile : une solution adaptée aux nouvelles formes de l’Internet <br />18<br />L’identification par le réseau mobile permet de simplifier encore le paiement<br />Garantie anti-répudiation pendant 6 jours pour le marchand, quel que soit le canal<br />
  34. 34. En résumé<br />La sécurité du paiement sur mobile doit être géree de bout en bout<br />Le mobile apporte de nouveaux éléments aux systèmes de gestion de la fraude<br />Le paiement mobile est aujourd’hui suffisamment sécurisé pour garder la confiance des utilisateurs …<br />… Mais le combat continue!<br />
  35. 35. Merci !michelange.camhi@atos.net@MichelAngeCamhi<br />Atos, the Atos logo, Atos Consulting, Atos Worldline, Atos Sphere, Atos Cloud and Atos WorldGrid<br />are registered trademarks of Atos SA. June 2011<br />© 2011 Atos. Confidential information owned by Atos, to be used by the recipient only. This document, or any part of it, may not be reproduced, copied, circulated and/or distributed nor quoted without prior written approval from Atos.<br />
  36. 36. Cinématique générique d’un paiement mobile à distance<br />Commande<br />Saisie d’identifiants de paiement<br />Redirection sur le serveur de paiement<br />Saisie d’identifiants bancaires<br />Authentification porteur<br />Transmission d’identifiants de paiement (HTTPS)<br />Autorisation<br />3D Secure<br />
  37. 37. Risques liés au paiement mobile à distance<br />Commande<br />Spyware<br />Saisie d’identifiants de paiement / bancaires<br />DNS Poisoning + faux certificat<br />Redirection sur le serveur de paiement<br />Authentification porteur<br />Double attaque OTA / SSL<br />Transmission d’identifiants de paiement (HTTPS)<br />Autorisation<br />DNS Poisoning + faux certificat<br />3D Secure<br />
  38. 38. Cinématique générique d’un paiement mobile de proximité<br />Achat<br />Appli mobile<br />Envoi données transaction (NFC, BT, code barre…)<br />Saisie PIN / signature<br />Renvoi signature<br />Demande d’autorisation<br />Demande d’autorisation émetteur<br />
  39. 39. Risques liés au paiement mobile de proximité<br />Achat<br />Appli mobile<br />Fausse appli<br />Envoi données transaction (NFC, BT, code barre…)<br />Spyware + démon<br />Saisie PIN / signature<br />Renvoi signature<br />Demande d’autorisation<br />Demande d’autorisation émetteur<br />
  40. 40. Mitigation des risques du paiement mobile<br />Quelle est la réalité actuelle de la fraude au paiement sur mobile ?<br />Plus forte? Javelin Research, 2009, perte / fraude (USA) :<br />1,13% pour e-commerçants acceptant le mobile<br />0,83% pour e-commerçants non mobiles<br />Biais d’attractivité?<br />Moins forte?<br />Fragmentation des plate-formes?<br />Autres éléments?<br />Peu mesurée car paiements mobiles encore faibles<br />Structurellement pas différente de la fraude sur PC<br />

×