SlideShare une entreprise Scribd logo
1  sur  26
Sécurité des applications d’Internet et du
mobile banking: E-Banking et M-Banking
Nizar Ben Neji
Expert en Cybersécurité
SFM Technologies - Tunisie
SOMMET DE LA CYBERSECURITE
Mercredi, 04 Avril 2018
Oran, Algérie
Techniques de certification, signature, horodatage électronique et
mécanismes de chiffrement
Nizar Ben Neji 1SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Statistiques
Cybercriminalité dans le monde et en Afrique
• 556 millions de victimes par an
• 1.5 million de victimes par jour
• 18 victimes chaque seconde
• 31% des victimes des cyberattaques sont des mobinautes puisque 2/3 des
internautes utilisent des appareils mobiles
• 40% des attaques ciblent les réseaux sociaux
• Top 3 des comptes sur Internet cible des cyberattaques:
― Comptes emails (27%)
― Comptes des réseaux sociaux (19%)
― Comptes bancaires (15%)
COMMISSION DE L’UNION AFRICAINE (2016)
Afrique est en tête du classement mondial
concernant le transfert d'argent par
téléphone mobile
Plusieurs projets d’ IoT en Afrique (Afrique du
Sud, Rwanda, …)
Nizar Ben Neji 2SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Statistiques
Cadre juridique de la cybersécurité et de la cybercriminalité
21%
23%
56%
Cadre juridique complet (11 pays)
Cadre juridique partiel (12 pays)
Pas de cadre juridique (30 pays)
COMMISSION DE L’UNION AFRICAINE (2016)
Nizar Ben Neji 3SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Statistiques
Cadre juridique est complet ?
E-Documents : E-ID, E-Contracts, E-Invoices, E-Transactions, …
E-Proofs: E-Signature, Time Stamping, Electronic Postmark, …
Homologation of Software and Hardware Solutions
Electronic Services: E-Commerce, E-Procurement, E-Education, …
Periodic Security Audit and Control and Emergency Response
Incrimination Cyber Attacks, Legal Digital Investigation, Sanctions and Legal
interception
Protection the Personal Data of the
consumers of the electronic services (rights to access, rectify, …)
Nizar Ben Neji 4SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Statistiques
Banques face au défi de la cybercriminalité
KASPERSKY LAB (2017)
• 7 banques sur 10 ont été déjà touchées par la cyber fraude
• En moyenne, un incident touchant un client de la banque coûte:
― 1300 Euro pour les particuliers
― 9500 Euro pour les entreprises
• Et quand la banque elle-même est touchée le montant des pertes peut
avoisiner 1 Million d’Euros
• 25,4 % des attaques par hameçonnage et par ingénierie sociale ciblent les
services bancaires
• En 2016, 1 088 900 utilisateurs ont été attaqués par malware bancaire
client de la banque est le maillon faible dans toute la chaine
Nizar Ben Neji 5SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
• Services informationnels et transactionnels
• Attaques informatiques sophistiquées sur les services bancaires ne cessent
de se multiplier et visent essentiellement:
― Cartes bancaires
― Services bancaires en ligne
― Marchés boursiers
― Réseaux de paiement interbancaire nationaux et internationaux
(Système SWIFT, …)
Cyberattaques sur les banques
Principales cibles
Nizar Ben Neji 6
• Risques de sécurité sont devenus élevés vu:
― Digitalisation des canaux de contact avec les clients (mail, sms, …) qui
a rendu la banque très vulnérable au vol des données personnelles
― Variété des intervenants et des interfaces d’échange
― Mise en conformité juridique se fait souvent au détriment de la
sécurité
― Dématérialisation des services (consultation, virement, …) expose le
système d’information de la banque aux menaces
― Sécurité des services dématérialisés n’est pas vraiment fidèle à la
sécurité des services au niveau du guichet (en ligne pas de signature,
pas de reçu tamponné, pas de document d’identité à présenter, pas
de procuration …)
Cyberattaques sur les banques
Principales causes
absence de preuves électroniques
SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Nizar Ben Neji 7
Sommes nous fidèle au modèle classique
Preuves électroniques
SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
1
2
3
4
PREUVE D’INTEGRITE
PREUVE D’IDENTITE
PREUVE DE TEMPS
Nizar Ben Neji 8SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
• Pour les services bancaires en ligne:
― Pas de preuve d’identité
― Pas de preuve d’intégrité
― Pas de preuve de non-répudiation
― Pas de preuve de temps
― Pas de preuve en cas de passation ou délégation
Niveau de sécurité est abaissé
Absence de preuves électroniques
Nizar Ben Neji 9SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Techniques d’authentification
Authentification Multi-facteurs
1. Ce que l’utilisateur connaît (Mot de passe, code PIN, Phrase secrète, …);
2. Ce que l’utilisateur détient (Carte magnétique, Carte à puce, SIM,
Smartphone, …): élément physique appelé authentifieur ou Token;
3. Ce que l'utilisateur est (Empreinte digitale, empreinte rétinienne ou tout
autre élément biométrique);
4. Ce que l'utilisateur sait faire ou fait (Biométrie comportementale tel que
signature manuscrite, reconnaissance de la voix, un type de calcul connu
de lui seul, un comportement, ...);
5. Où l'utilisateur est situé lors de l’opération d’authentification
(Emplacement géographique ou virtuelle)
Nizar Ben Neji 10SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Techniques d’authentification
Authentification Forte
• Authentification forte nécessite au moins 2 facteurs différents
• Faire intervenir plusieurs facteurs dans les cas suivants:
― Restauration des paramètres d’accès au compte
― Changement du mot de passe
― Connexion d’un nouveau emplacement
― Usage d’un nouveau appareil
― Activité suspecte
― Différenciation entre opération basique (consultation du solde) et
avancée (virement d’argent)
― …
Nizar Ben Neji 11SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Techniques d’authentification
Cartes à puce
• Cartes à puce contenant des certificats électronique
• Délivré par une PKI nationale ou par une PKI bancaire
• Opérations cryptographiques se font sur la carte
• Clés d’authentification protégées par des codes PIN/PUK
• Unicité des clés d’authentification est garantie puisque ni l’exportation des
clés ni le clonage des cartes est possible
Nizar Ben Neji 12SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Techniques d’authentification
Certificat électronique
Nizar Ben Neji 13SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Techniques d’authentification
Systèmes PKI
INFRASTRUCTURE A CLES PUBLIQUES (PKI)
AUTORITES D’ENREGISTREMENT
AUTORITE DE VALIDATIONAUTORITE DE PUBLICATION
AUTORITE DE CERTIFICATION
AC
AC SUB AC SUB AC SUB
AE AE AE
ORGANISATION
ORGANISATION
• OTP ou OTC sont des mécanismes qui permettent une authentification
avec un mot de passe ou un certificat à usage unique
• Calcul du OTP en se basant sur le secret partagé entre le support
authentificateur et le serveur
Nizar Ben Neji 14SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Techniques d’authentification
One Time Password (OTP)
Temps de la
transaction
Secret partagé
Calcul de l’OTP par
l’authentificateur
Nizar Ben Neji 15SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Signature électronique
Eléments à signer
• Transactions électroniques
• Contrat client et engagements
• Opérations de validation faites par la banque
• Courriers envoyés par la banque à ses clients
• Logiciels ou outils de la banque que le client doit installer sur sa machine
(signature de code)
• Eléments à signer (Texte, XML, PDF, MIME, EXE, APK, …)
Nizar Ben Neji 16SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Signature électronique
Preuve d’intégrité et de non-répudiation
• What You See Is What You Sign (WYSIWYS)
• Court terme, moyen terme et long terme
• Signature électronique attachée et détachée
• Co-signature et contre signature
Nizar Ben Neji 17SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Signature électronique
Types
• Signature électronique basique et avancée:
– CMS/PKCS#7 format (Cryptographic Message Syntax)
– XMLDSig (XML Digital Signature)
– PDF [ISO 32000-1]
– S/MIME signature
– CAdES (CMS Advanced Electronic Signature)
– XAdES (XML Advanced Electronic Signature)
– PAdES (PDF Advanced Electronic Signature)
• Mobile Signature Service (ETSI MSS)
Nizar Ben Neji 18SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Signature électronique
Exemple
Panneau de signature
Nizar Ben Neji 19SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Signature électronique
Exemple
Panneau de signature
Nizar Ben Neji 20SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Horodatage électronique
Preuve de temps
• La plupart des outils de signature électronique considère le temps
de la machine de l’utilisateur qui n’est pas un temps fiable.
• Contremarques de temps ou jetons d’horodatage non-falsifiables
prouvant la date et l’horaire des transactions délivrés par un tiers
de confiance
Nizar Ben Neji 21SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Horodatage électronique
Architecture
Serveur
d’horodatage
Client d’horodatage
TST
Time Stamping Token
TSR
Time Stamping Request
Serveur NTP
Utilisateur
Récepteur GPS – NTP
HSM
Adresse: ts.entreprise.org
Port: 4318
Nizar Ben Neji 22SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Besoin du chiffrement
Confidentialité des échanges
• Sécurisation des canaux de communication par le chiffrement
(Exemple du TLS)
• Chiffrement des informations stockées sur le device du client
• Webservices (signature et/ou chiffrement des requêtes et des
réponses)
Nizar Ben Neji 23SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Archivage électronique
documents électroniques
• Contrats électroniques et les engagements
• Actes de virement et opérations de paiement
• Dossiers des clients et n’importe quel document électronique qui devra
être archivé
Il y aura toujours une difficulté de
trouver un équilibre entre confort
des clients et prévention des
fraudes
Nizar Ben Neji 24SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
MERCI POUR VOTRE ATTENTION
Nizar Ben Neji
Expert en Cybersécurité
SFM Technologies
nizar.benneji@sfmtechnologies.com / (+216) 99 207 377

Contenu connexe

Tendances

Stage d'été : Conception et développement d'une application mobile d'éco-cond...
Stage d'été : Conception et développement d'une application mobile d'éco-cond...Stage d'été : Conception et développement d'une application mobile d'éco-cond...
Stage d'été : Conception et développement d'une application mobile d'éco-cond...Dhafer Dhib
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
 
Rapport PFE : Cloud Insights
Rapport PFE : Cloud InsightsRapport PFE : Cloud Insights
Rapport PFE : Cloud Insightsahmed oumezzine
 
Rapport de stage exchange
Rapport de stage exchangeRapport de stage exchange
Rapport de stage exchangehindif
 
conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...ismailbou
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Pfe master fst_final_decembre2015
Pfe master fst_final_decembre2015Pfe master fst_final_decembre2015
Pfe master fst_final_decembre2015Ghali Rahma
 
Rapport final-Marwen ben khalifa
Rapport final-Marwen ben khalifaRapport final-Marwen ben khalifa
Rapport final-Marwen ben khalifaMarwen Ben Khalifa
 
[PFE] Master - Génie logiciel
[PFE] Master - Génie logiciel  [PFE] Master - Génie logiciel
[PFE] Master - Génie logiciel Louati Aicha
 
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...Arnold Stellio
 
Rapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammamiRapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammamiDonia Hammami
 
Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...
Rapport  PFE  "Conception et développement d'un Portail web pour le Smart Met...Rapport  PFE  "Conception et développement d'un Portail web pour le Smart Met...
Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...Hajer Dahech
 
Rapport Stage Capgemini Otmane DOUIEB
Rapport Stage Capgemini Otmane DOUIEBRapport Stage Capgemini Otmane DOUIEB
Rapport Stage Capgemini Otmane DOUIEBOtmaneDouieb
 
Rapport PFE Développent d'une application bancaire mobile
Rapport PFE Développent d'une application bancaire mobileRapport PFE Développent d'une application bancaire mobile
Rapport PFE Développent d'une application bancaire mobileNader Somrani
 
rapport-finale-ZoubairWassim.pdf
rapport-finale-ZoubairWassim.pdfrapport-finale-ZoubairWassim.pdf
rapport-finale-ZoubairWassim.pdfSyrinaGaddour
 
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...Khadidja BOUKREDIMI
 

Tendances (20)

Briqueterie saoui
Briqueterie saouiBriqueterie saoui
Briqueterie saoui
 
Stage d'été : Conception et développement d'une application mobile d'éco-cond...
Stage d'été : Conception et développement d'une application mobile d'éco-cond...Stage d'été : Conception et développement d'une application mobile d'éco-cond...
Stage d'été : Conception et développement d'une application mobile d'éco-cond...
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
 
Rapport PFE : Cloud Insights
Rapport PFE : Cloud InsightsRapport PFE : Cloud Insights
Rapport PFE : Cloud Insights
 
Rapport de stage exchange
Rapport de stage exchangeRapport de stage exchange
Rapport de stage exchange
 
conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...
 
Belwafi bilel
Belwafi bilelBelwafi bilel
Belwafi bilel
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
Pfe master fst_final_decembre2015
Pfe master fst_final_decembre2015Pfe master fst_final_decembre2015
Pfe master fst_final_decembre2015
 
Rapport final-Marwen ben khalifa
Rapport final-Marwen ben khalifaRapport final-Marwen ben khalifa
Rapport final-Marwen ben khalifa
 
[PFE] Master - Génie logiciel
[PFE] Master - Génie logiciel  [PFE] Master - Génie logiciel
[PFE] Master - Génie logiciel
 
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
 
Rapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammamiRapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammami
 
Rapportpfe
RapportpfeRapportpfe
Rapportpfe
 
Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...
Rapport  PFE  "Conception et développement d'un Portail web pour le Smart Met...Rapport  PFE  "Conception et développement d'un Portail web pour le Smart Met...
Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...
 
Rapport Stage Capgemini Otmane DOUIEB
Rapport Stage Capgemini Otmane DOUIEBRapport Stage Capgemini Otmane DOUIEB
Rapport Stage Capgemini Otmane DOUIEB
 
Rapport PFE Développent d'une application bancaire mobile
Rapport PFE Développent d'une application bancaire mobileRapport PFE Développent d'une application bancaire mobile
Rapport PFE Développent d'une application bancaire mobile
 
rapport-finale-ZoubairWassim.pdf
rapport-finale-ZoubairWassim.pdfrapport-finale-ZoubairWassim.pdf
rapport-finale-ZoubairWassim.pdf
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
 

Similaire à Conférence SFM Technologies ACSS 2018

Sécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsSécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsDarkmira
 
e-commerce et sécurié
e-commerce et sécuriée-commerce et sécurié
e-commerce et sécuriéBrahim Belghmi
 
Guide du promoteur en Tunisie - Commerce électronique
Guide du promoteur en Tunisie - Commerce électroniqueGuide du promoteur en Tunisie - Commerce électronique
Guide du promoteur en Tunisie - Commerce électroniqueIdaraty.tn
 
SuisseID Forum 2014 | Avantages et exigences de la signature électronique pou...
SuisseID Forum 2014 | Avantages et exigences de la signature électronique pou...SuisseID Forum 2014 | Avantages et exigences de la signature électronique pou...
SuisseID Forum 2014 | Avantages et exigences de la signature électronique pou...Trägerverein SuisseID
 
Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?GOTIC CI
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTGOTIC CI
 
Crypto camer
Crypto camerCrypto camer
Crypto camerdilan23
 
Eric HANSEN - La carte bancaire sans contact pas securisée
Eric HANSEN - La carte bancaire sans contact pas securiséeEric HANSEN - La carte bancaire sans contact pas securisée
Eric HANSEN - La carte bancaire sans contact pas securiséeEric HANSEN
 
Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018corsica.io
 
Présentation Semlex Europe
Présentation Semlex Europe  Présentation Semlex Europe
Présentation Semlex Europe Albert Karaziwan
 
Crédit card Fraud Detection
Crédit card Fraud Detection Crédit card Fraud Detection
Crédit card Fraud Detection OussamaBelarbi2
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSylvain Maret
 
Sécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerceSécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerceWoomeet
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécuritéCOMPETITIC
 
E paiement (2)
E paiement (2)E paiement (2)
E paiement (2)Maeyy
 

Similaire à Conférence SFM Technologies ACSS 2018 (20)

Sécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsSécurité et Moyens de Paiements
Sécurité et Moyens de Paiements
 
e-commerce et sécurié
e-commerce et sécuriée-commerce et sécurié
e-commerce et sécurié
 
Mobilegov Février 09
Mobilegov Février 09Mobilegov Février 09
Mobilegov Février 09
 
Guide du promoteur en Tunisie - Commerce électronique
Guide du promoteur en Tunisie - Commerce électroniqueGuide du promoteur en Tunisie - Commerce électronique
Guide du promoteur en Tunisie - Commerce électronique
 
SuisseID Forum 2014 | Avantages et exigences de la signature électronique pou...
SuisseID Forum 2014 | Avantages et exigences de la signature électronique pou...SuisseID Forum 2014 | Avantages et exigences de la signature électronique pou...
SuisseID Forum 2014 | Avantages et exigences de la signature électronique pou...
 
Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
 
Crypto camer
Crypto camerCrypto camer
Crypto camer
 
Eric HANSEN - La carte bancaire sans contact pas securisée
Eric HANSEN - La carte bancaire sans contact pas securiséeEric HANSEN - La carte bancaire sans contact pas securisée
Eric HANSEN - La carte bancaire sans contact pas securisée
 
Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018
 
Présentation Semlex
Présentation SemlexPrésentation Semlex
Présentation Semlex
 
Présentation Semlex Europe
Présentation Semlex Europe  Présentation Semlex Europe
Présentation Semlex Europe
 
Guide e commerce
Guide e commerceGuide e commerce
Guide e commerce
 
Chapitre 2
Chapitre 2Chapitre 2
Chapitre 2
 
Crédit card Fraud Detection
Crédit card Fraud Detection Crédit card Fraud Detection
Crédit card Fraud Detection
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’IT
 
Sécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerceSécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerce
 
PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 
E paiement (2)
E paiement (2)E paiement (2)
E paiement (2)
 

Plus de African Cyber Security Summit

Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...
Conférence  - Les enjeux et la vision de Veritas sur la protection des donnée...Conférence  - Les enjeux et la vision de Veritas sur la protection des donnée...
Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...African Cyber Security Summit
 
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...African Cyber Security Summit
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...African Cyber Security Summit
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019African Cyber Security Summit
 
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...African Cyber Security Summit
 
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...African Cyber Security Summit
 
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019African Cyber Security Summit
 
Conférence - Digital Identity and Blockchain - #ACSS2019
Conférence - Digital Identity and Blockchain - #ACSS2019Conférence - Digital Identity and Blockchain - #ACSS2019
Conférence - Digital Identity and Blockchain - #ACSS2019African Cyber Security Summit
 

Plus de African Cyber Security Summit (20)

Bilan & Perspectives #ACSS2019
Bilan & Perspectives #ACSS2019Bilan & Perspectives #ACSS2019
Bilan & Perspectives #ACSS2019
 
Rapport de Visibilité #ACSS2019
Rapport de Visibilité #ACSS2019Rapport de Visibilité #ACSS2019
Rapport de Visibilité #ACSS2019
 
Atelier Technique - F5 - #ACSS2019
Atelier Technique - F5 - #ACSS2019Atelier Technique - F5 - #ACSS2019
Atelier Technique - F5 - #ACSS2019
 
Atelier Technique - F5 - #ACSS2019
Atelier Technique - F5  - #ACSS2019Atelier Technique - F5  - #ACSS2019
Atelier Technique - F5 - #ACSS2019
 
Atelier Technique - Symantec - #ACSS2019
Atelier Technique - Symantec - #ACSS2019Atelier Technique - Symantec - #ACSS2019
Atelier Technique - Symantec - #ACSS2019
 
Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...
Conférence  - Les enjeux et la vision de Veritas sur la protection des donnée...Conférence  - Les enjeux et la vision de Veritas sur la protection des donnée...
Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...
 
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
 
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...
 
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...
 
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019
 
Conférence - Digital Identity and Blockchain - #ACSS2019
Conférence - Digital Identity and Blockchain - #ACSS2019Conférence - Digital Identity and Blockchain - #ACSS2019
Conférence - Digital Identity and Blockchain - #ACSS2019
 
Bilan & Perspectives - ACSS 2018
Bilan & Perspectives -  ACSS 2018Bilan & Perspectives -  ACSS 2018
Bilan & Perspectives - ACSS 2018
 
Rapport de Visibilité ACCS 2018
Rapport de Visibilité ACCS 2018Rapport de Visibilité ACCS 2018
Rapport de Visibilité ACCS 2018
 
Atelier Technique CISCO ACSS 2018
Atelier Technique CISCO ACSS 2018Atelier Technique CISCO ACSS 2018
Atelier Technique CISCO ACSS 2018
 
Atelier Technique SYMANTEC ACSS 2018
Atelier Technique SYMANTEC ACSS 2018Atelier Technique SYMANTEC ACSS 2018
Atelier Technique SYMANTEC ACSS 2018
 
Atelier Technique MANAGE ENGINE ACSS 2018
Atelier Technique MANAGE ENGINE ACSS 2018Atelier Technique MANAGE ENGINE ACSS 2018
Atelier Technique MANAGE ENGINE ACSS 2018
 
Atelier Technique EXTREME NETWORKS ACSS 2018
Atelier Technique EXTREME NETWORKS ACSS 2018Atelier Technique EXTREME NETWORKS ACSS 2018
Atelier Technique EXTREME NETWORKS ACSS 2018
 
Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018
 

Conférence SFM Technologies ACSS 2018

  • 1. Sécurité des applications d’Internet et du mobile banking: E-Banking et M-Banking Nizar Ben Neji Expert en Cybersécurité SFM Technologies - Tunisie SOMMET DE LA CYBERSECURITE Mercredi, 04 Avril 2018 Oran, Algérie Techniques de certification, signature, horodatage électronique et mécanismes de chiffrement
  • 2. Nizar Ben Neji 1SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Statistiques Cybercriminalité dans le monde et en Afrique • 556 millions de victimes par an • 1.5 million de victimes par jour • 18 victimes chaque seconde • 31% des victimes des cyberattaques sont des mobinautes puisque 2/3 des internautes utilisent des appareils mobiles • 40% des attaques ciblent les réseaux sociaux • Top 3 des comptes sur Internet cible des cyberattaques: ― Comptes emails (27%) ― Comptes des réseaux sociaux (19%) ― Comptes bancaires (15%) COMMISSION DE L’UNION AFRICAINE (2016) Afrique est en tête du classement mondial concernant le transfert d'argent par téléphone mobile Plusieurs projets d’ IoT en Afrique (Afrique du Sud, Rwanda, …)
  • 3. Nizar Ben Neji 2SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Statistiques Cadre juridique de la cybersécurité et de la cybercriminalité 21% 23% 56% Cadre juridique complet (11 pays) Cadre juridique partiel (12 pays) Pas de cadre juridique (30 pays) COMMISSION DE L’UNION AFRICAINE (2016)
  • 4. Nizar Ben Neji 3SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Statistiques Cadre juridique est complet ? E-Documents : E-ID, E-Contracts, E-Invoices, E-Transactions, … E-Proofs: E-Signature, Time Stamping, Electronic Postmark, … Homologation of Software and Hardware Solutions Electronic Services: E-Commerce, E-Procurement, E-Education, … Periodic Security Audit and Control and Emergency Response Incrimination Cyber Attacks, Legal Digital Investigation, Sanctions and Legal interception Protection the Personal Data of the consumers of the electronic services (rights to access, rectify, …)
  • 5. Nizar Ben Neji 4SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Statistiques Banques face au défi de la cybercriminalité KASPERSKY LAB (2017) • 7 banques sur 10 ont été déjà touchées par la cyber fraude • En moyenne, un incident touchant un client de la banque coûte: ― 1300 Euro pour les particuliers ― 9500 Euro pour les entreprises • Et quand la banque elle-même est touchée le montant des pertes peut avoisiner 1 Million d’Euros • 25,4 % des attaques par hameçonnage et par ingénierie sociale ciblent les services bancaires • En 2016, 1 088 900 utilisateurs ont été attaqués par malware bancaire client de la banque est le maillon faible dans toute la chaine
  • 6. Nizar Ben Neji 5SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING • Services informationnels et transactionnels • Attaques informatiques sophistiquées sur les services bancaires ne cessent de se multiplier et visent essentiellement: ― Cartes bancaires ― Services bancaires en ligne ― Marchés boursiers ― Réseaux de paiement interbancaire nationaux et internationaux (Système SWIFT, …) Cyberattaques sur les banques Principales cibles
  • 7. Nizar Ben Neji 6 • Risques de sécurité sont devenus élevés vu: ― Digitalisation des canaux de contact avec les clients (mail, sms, …) qui a rendu la banque très vulnérable au vol des données personnelles ― Variété des intervenants et des interfaces d’échange ― Mise en conformité juridique se fait souvent au détriment de la sécurité ― Dématérialisation des services (consultation, virement, …) expose le système d’information de la banque aux menaces ― Sécurité des services dématérialisés n’est pas vraiment fidèle à la sécurité des services au niveau du guichet (en ligne pas de signature, pas de reçu tamponné, pas de document d’identité à présenter, pas de procuration …) Cyberattaques sur les banques Principales causes absence de preuves électroniques SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
  • 8. Nizar Ben Neji 7 Sommes nous fidèle au modèle classique Preuves électroniques SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING 1 2 3 4 PREUVE D’INTEGRITE PREUVE D’IDENTITE PREUVE DE TEMPS
  • 9. Nizar Ben Neji 8SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING • Pour les services bancaires en ligne: ― Pas de preuve d’identité ― Pas de preuve d’intégrité ― Pas de preuve de non-répudiation ― Pas de preuve de temps ― Pas de preuve en cas de passation ou délégation Niveau de sécurité est abaissé Absence de preuves électroniques
  • 10. Nizar Ben Neji 9SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification Authentification Multi-facteurs 1. Ce que l’utilisateur connaît (Mot de passe, code PIN, Phrase secrète, …); 2. Ce que l’utilisateur détient (Carte magnétique, Carte à puce, SIM, Smartphone, …): élément physique appelé authentifieur ou Token; 3. Ce que l'utilisateur est (Empreinte digitale, empreinte rétinienne ou tout autre élément biométrique); 4. Ce que l'utilisateur sait faire ou fait (Biométrie comportementale tel que signature manuscrite, reconnaissance de la voix, un type de calcul connu de lui seul, un comportement, ...); 5. Où l'utilisateur est situé lors de l’opération d’authentification (Emplacement géographique ou virtuelle)
  • 11. Nizar Ben Neji 10SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification Authentification Forte • Authentification forte nécessite au moins 2 facteurs différents • Faire intervenir plusieurs facteurs dans les cas suivants: ― Restauration des paramètres d’accès au compte ― Changement du mot de passe ― Connexion d’un nouveau emplacement ― Usage d’un nouveau appareil ― Activité suspecte ― Différenciation entre opération basique (consultation du solde) et avancée (virement d’argent) ― …
  • 12. Nizar Ben Neji 11SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification Cartes à puce • Cartes à puce contenant des certificats électronique • Délivré par une PKI nationale ou par une PKI bancaire • Opérations cryptographiques se font sur la carte • Clés d’authentification protégées par des codes PIN/PUK • Unicité des clés d’authentification est garantie puisque ni l’exportation des clés ni le clonage des cartes est possible
  • 13. Nizar Ben Neji 12SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification Certificat électronique
  • 14. Nizar Ben Neji 13SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification Systèmes PKI INFRASTRUCTURE A CLES PUBLIQUES (PKI) AUTORITES D’ENREGISTREMENT AUTORITE DE VALIDATIONAUTORITE DE PUBLICATION AUTORITE DE CERTIFICATION AC AC SUB AC SUB AC SUB AE AE AE ORGANISATION ORGANISATION
  • 15. • OTP ou OTC sont des mécanismes qui permettent une authentification avec un mot de passe ou un certificat à usage unique • Calcul du OTP en se basant sur le secret partagé entre le support authentificateur et le serveur Nizar Ben Neji 14SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification One Time Password (OTP) Temps de la transaction Secret partagé Calcul de l’OTP par l’authentificateur
  • 16. Nizar Ben Neji 15SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Signature électronique Eléments à signer • Transactions électroniques • Contrat client et engagements • Opérations de validation faites par la banque • Courriers envoyés par la banque à ses clients • Logiciels ou outils de la banque que le client doit installer sur sa machine (signature de code) • Eléments à signer (Texte, XML, PDF, MIME, EXE, APK, …)
  • 17. Nizar Ben Neji 16SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Signature électronique Preuve d’intégrité et de non-répudiation • What You See Is What You Sign (WYSIWYS) • Court terme, moyen terme et long terme • Signature électronique attachée et détachée • Co-signature et contre signature
  • 18. Nizar Ben Neji 17SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Signature électronique Types • Signature électronique basique et avancée: – CMS/PKCS#7 format (Cryptographic Message Syntax) – XMLDSig (XML Digital Signature) – PDF [ISO 32000-1] – S/MIME signature – CAdES (CMS Advanced Electronic Signature) – XAdES (XML Advanced Electronic Signature) – PAdES (PDF Advanced Electronic Signature) • Mobile Signature Service (ETSI MSS)
  • 19. Nizar Ben Neji 18SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Signature électronique Exemple Panneau de signature
  • 20. Nizar Ben Neji 19SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Signature électronique Exemple Panneau de signature
  • 21. Nizar Ben Neji 20SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Horodatage électronique Preuve de temps • La plupart des outils de signature électronique considère le temps de la machine de l’utilisateur qui n’est pas un temps fiable. • Contremarques de temps ou jetons d’horodatage non-falsifiables prouvant la date et l’horaire des transactions délivrés par un tiers de confiance
  • 22. Nizar Ben Neji 21SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Horodatage électronique Architecture Serveur d’horodatage Client d’horodatage TST Time Stamping Token TSR Time Stamping Request Serveur NTP Utilisateur Récepteur GPS – NTP HSM Adresse: ts.entreprise.org Port: 4318
  • 23. Nizar Ben Neji 22SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Besoin du chiffrement Confidentialité des échanges • Sécurisation des canaux de communication par le chiffrement (Exemple du TLS) • Chiffrement des informations stockées sur le device du client • Webservices (signature et/ou chiffrement des requêtes et des réponses)
  • 24. Nizar Ben Neji 23SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Archivage électronique documents électroniques • Contrats électroniques et les engagements • Actes de virement et opérations de paiement • Dossiers des clients et n’importe quel document électronique qui devra être archivé
  • 25. Il y aura toujours une difficulté de trouver un équilibre entre confort des clients et prévention des fraudes Nizar Ben Neji 24SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
  • 26. MERCI POUR VOTRE ATTENTION Nizar Ben Neji Expert en Cybersécurité SFM Technologies nizar.benneji@sfmtechnologies.com / (+216) 99 207 377