1. Sécurité des applications d’Internet et du
mobile banking: E-Banking et M-Banking
Nizar Ben Neji
Expert en Cybersécurité
SFM Technologies - Tunisie
SOMMET DE LA CYBERSECURITE
Mercredi, 04 Avril 2018
Oran, Algérie
Techniques de certification, signature, horodatage électronique et
mécanismes de chiffrement
2. Nizar Ben Neji 1SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Statistiques
Cybercriminalité dans le monde et en Afrique
• 556 millions de victimes par an
• 1.5 million de victimes par jour
• 18 victimes chaque seconde
• 31% des victimes des cyberattaques sont des mobinautes puisque 2/3 des
internautes utilisent des appareils mobiles
• 40% des attaques ciblent les réseaux sociaux
• Top 3 des comptes sur Internet cible des cyberattaques:
― Comptes emails (27%)
― Comptes des réseaux sociaux (19%)
― Comptes bancaires (15%)
COMMISSION DE L’UNION AFRICAINE (2016)
Afrique est en tête du classement mondial
concernant le transfert d'argent par
téléphone mobile
Plusieurs projets d’ IoT en Afrique (Afrique du
Sud, Rwanda, …)
3. Nizar Ben Neji 2SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Statistiques
Cadre juridique de la cybersécurité et de la cybercriminalité
21%
23%
56%
Cadre juridique complet (11 pays)
Cadre juridique partiel (12 pays)
Pas de cadre juridique (30 pays)
COMMISSION DE L’UNION AFRICAINE (2016)
4. Nizar Ben Neji 3SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Statistiques
Cadre juridique est complet ?
E-Documents : E-ID, E-Contracts, E-Invoices, E-Transactions, …
E-Proofs: E-Signature, Time Stamping, Electronic Postmark, …
Homologation of Software and Hardware Solutions
Electronic Services: E-Commerce, E-Procurement, E-Education, …
Periodic Security Audit and Control and Emergency Response
Incrimination Cyber Attacks, Legal Digital Investigation, Sanctions and Legal
interception
Protection the Personal Data of the
consumers of the electronic services (rights to access, rectify, …)
5. Nizar Ben Neji 4SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Statistiques
Banques face au défi de la cybercriminalité
KASPERSKY LAB (2017)
• 7 banques sur 10 ont été déjà touchées par la cyber fraude
• En moyenne, un incident touchant un client de la banque coûte:
― 1300 Euro pour les particuliers
― 9500 Euro pour les entreprises
• Et quand la banque elle-même est touchée le montant des pertes peut
avoisiner 1 Million d’Euros
• 25,4 % des attaques par hameçonnage et par ingénierie sociale ciblent les
services bancaires
• En 2016, 1 088 900 utilisateurs ont été attaqués par malware bancaire
client de la banque est le maillon faible dans toute la chaine
6. Nizar Ben Neji 5SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
• Services informationnels et transactionnels
• Attaques informatiques sophistiquées sur les services bancaires ne cessent
de se multiplier et visent essentiellement:
― Cartes bancaires
― Services bancaires en ligne
― Marchés boursiers
― Réseaux de paiement interbancaire nationaux et internationaux
(Système SWIFT, …)
Cyberattaques sur les banques
Principales cibles
7. Nizar Ben Neji 6
• Risques de sécurité sont devenus élevés vu:
― Digitalisation des canaux de contact avec les clients (mail, sms, …) qui
a rendu la banque très vulnérable au vol des données personnelles
― Variété des intervenants et des interfaces d’échange
― Mise en conformité juridique se fait souvent au détriment de la
sécurité
― Dématérialisation des services (consultation, virement, …) expose le
système d’information de la banque aux menaces
― Sécurité des services dématérialisés n’est pas vraiment fidèle à la
sécurité des services au niveau du guichet (en ligne pas de signature,
pas de reçu tamponné, pas de document d’identité à présenter, pas
de procuration …)
Cyberattaques sur les banques
Principales causes
absence de preuves électroniques
SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
8. Nizar Ben Neji 7
Sommes nous fidèle au modèle classique
Preuves électroniques
SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
1
2
3
4
PREUVE D’INTEGRITE
PREUVE D’IDENTITE
PREUVE DE TEMPS
9. Nizar Ben Neji 8SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
• Pour les services bancaires en ligne:
― Pas de preuve d’identité
― Pas de preuve d’intégrité
― Pas de preuve de non-répudiation
― Pas de preuve de temps
― Pas de preuve en cas de passation ou délégation
Niveau de sécurité est abaissé
Absence de preuves électroniques
10. Nizar Ben Neji 9SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Techniques d’authentification
Authentification Multi-facteurs
1. Ce que l’utilisateur connaît (Mot de passe, code PIN, Phrase secrète, …);
2. Ce que l’utilisateur détient (Carte magnétique, Carte à puce, SIM,
Smartphone, …): élément physique appelé authentifieur ou Token;
3. Ce que l'utilisateur est (Empreinte digitale, empreinte rétinienne ou tout
autre élément biométrique);
4. Ce que l'utilisateur sait faire ou fait (Biométrie comportementale tel que
signature manuscrite, reconnaissance de la voix, un type de calcul connu
de lui seul, un comportement, ...);
5. Où l'utilisateur est situé lors de l’opération d’authentification
(Emplacement géographique ou virtuelle)
11. Nizar Ben Neji 10SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Techniques d’authentification
Authentification Forte
• Authentification forte nécessite au moins 2 facteurs différents
• Faire intervenir plusieurs facteurs dans les cas suivants:
― Restauration des paramètres d’accès au compte
― Changement du mot de passe
― Connexion d’un nouveau emplacement
― Usage d’un nouveau appareil
― Activité suspecte
― Différenciation entre opération basique (consultation du solde) et
avancée (virement d’argent)
― …
12. Nizar Ben Neji 11SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Techniques d’authentification
Cartes à puce
• Cartes à puce contenant des certificats électronique
• Délivré par une PKI nationale ou par une PKI bancaire
• Opérations cryptographiques se font sur la carte
• Clés d’authentification protégées par des codes PIN/PUK
• Unicité des clés d’authentification est garantie puisque ni l’exportation des
clés ni le clonage des cartes est possible
13. Nizar Ben Neji 12SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Techniques d’authentification
Certificat électronique
14. Nizar Ben Neji 13SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Techniques d’authentification
Systèmes PKI
INFRASTRUCTURE A CLES PUBLIQUES (PKI)
AUTORITES D’ENREGISTREMENT
AUTORITE DE VALIDATIONAUTORITE DE PUBLICATION
AUTORITE DE CERTIFICATION
AC
AC SUB AC SUB AC SUB
AE AE AE
ORGANISATION
ORGANISATION
15. • OTP ou OTC sont des mécanismes qui permettent une authentification
avec un mot de passe ou un certificat à usage unique
• Calcul du OTP en se basant sur le secret partagé entre le support
authentificateur et le serveur
Nizar Ben Neji 14SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Techniques d’authentification
One Time Password (OTP)
Temps de la
transaction
Secret partagé
Calcul de l’OTP par
l’authentificateur
16. Nizar Ben Neji 15SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Signature électronique
Eléments à signer
• Transactions électroniques
• Contrat client et engagements
• Opérations de validation faites par la banque
• Courriers envoyés par la banque à ses clients
• Logiciels ou outils de la banque que le client doit installer sur sa machine
(signature de code)
• Eléments à signer (Texte, XML, PDF, MIME, EXE, APK, …)
17. Nizar Ben Neji 16SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Signature électronique
Preuve d’intégrité et de non-répudiation
• What You See Is What You Sign (WYSIWYS)
• Court terme, moyen terme et long terme
• Signature électronique attachée et détachée
• Co-signature et contre signature
18. Nizar Ben Neji 17SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Signature électronique
Types
• Signature électronique basique et avancée:
– CMS/PKCS#7 format (Cryptographic Message Syntax)
– XMLDSig (XML Digital Signature)
– PDF [ISO 32000-1]
– S/MIME signature
– CAdES (CMS Advanced Electronic Signature)
– XAdES (XML Advanced Electronic Signature)
– PAdES (PDF Advanced Electronic Signature)
• Mobile Signature Service (ETSI MSS)
19. Nizar Ben Neji 18SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Signature électronique
Exemple
Panneau de signature
20. Nizar Ben Neji 19SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Signature électronique
Exemple
Panneau de signature
21. Nizar Ben Neji 20SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Horodatage électronique
Preuve de temps
• La plupart des outils de signature électronique considère le temps
de la machine de l’utilisateur qui n’est pas un temps fiable.
• Contremarques de temps ou jetons d’horodatage non-falsifiables
prouvant la date et l’horaire des transactions délivrés par un tiers
de confiance
22. Nizar Ben Neji 21SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Horodatage électronique
Architecture
Serveur
d’horodatage
Client d’horodatage
TST
Time Stamping Token
TSR
Time Stamping Request
Serveur NTP
Utilisateur
Récepteur GPS – NTP
HSM
Adresse: ts.entreprise.org
Port: 4318
23. Nizar Ben Neji 22SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Besoin du chiffrement
Confidentialité des échanges
• Sécurisation des canaux de communication par le chiffrement
(Exemple du TLS)
• Chiffrement des informations stockées sur le device du client
• Webservices (signature et/ou chiffrement des requêtes et des
réponses)
24. Nizar Ben Neji 23SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Archivage électronique
documents électroniques
• Contrats électroniques et les engagements
• Actes de virement et opérations de paiement
• Dossiers des clients et n’importe quel document électronique qui devra
être archivé
25. Il y aura toujours une difficulté de
trouver un équilibre entre confort
des clients et prévention des
fraudes
Nizar Ben Neji 24SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
26. MERCI POUR VOTRE ATTENTION
Nizar Ben Neji
Expert en Cybersécurité
SFM Technologies
nizar.benneji@sfmtechnologies.com / (+216) 99 207 377