ce document décrit l'ensemble des principes de sécurité qui sont effectués sur un Terminal de paiement électronique et sur un guichet automatique de banque
Un secteur à 100% conforme aux exigences de la loi 09/08.
Principes de sécurité des opérations sur TPE et GAB.pptx
1. Groupe supérieur
d'informatique
Sous la supervision de :
Mr Metouole Mwinbe Yves Ghislain SOMDA
PRINCIPES DE
SECURITÉ DES
OPERATIONS SUR
TPE ET GAB
GROUPE 3 :
un peuple*un but* une foi
1
2. Présenté par :
Ndeye fatou
Aidara
Etudiante à ISI
KIBOULA GANKIA
Priscille T.
Etudiante à ISI
Etudiant à ISI
Idrissa Ba
2
3. I. INTRODUCTION
a. Definitions du TPE et du GAB
b. Importance de la sécurité des operations bancaires au
II. SECURITÉ DES OPERATIONS
1. Sur TPE
2. Sur GAB
III. MISES À JOUR DE SECURITÉ
CONCLUSION
SOMMAIRE :
niveau des TPE et GAB
3
6. a. Définitions du TPE et
du GAB
Un terminal de paiement électronique (TPE) est
un petit appareil électronique utilisé par les
commerçants pour accepter les paiements
électroniques, principalement effectués à
travers les cartes bancaires.
Un guichet automatique de banque (GAB)
permet aux clients titulaires d’une carte de
crédit ou de débit d’effectuer des
transactions bancaires de base sans l’aide
d’un caissier humain
6
8. Importance de la sécurité des
opérations bancaires au niveau des
TPE et GAB
Image de la banque
La sécurité des opérations
bancaires est étroitement liée à
l’image de la banque. Les clients
choisissent des moyens de
paiement en fonction de leur
perception de sécurité. Une
faille de sécurité peut avoir des
conséquences négatives sur
l’image de la banque.
Protection des données
personnelles
Les TPE et les guichets
automatiques traitent des
informations sensibles telles que
les numéros de carte bancaire et
les codes PIN. Une sécurité
robuste basée sur les normes
telles que EMVco et PCI DSS
garantit que ces données ne sont
pas compromises.
Prévention de la fraude
Les TPE et les GAB peuvent être
des cibles privilégiées pour les
fraudeurs. La mise en place de
mesures de sécurité robustes
permet de détecter et de
prévenir tout type de fraude,
qu'il s'agisse de la contrefaçon
de cartes, du vol de données ou
de l'installation de logiciels
malveillants.
8
10. Authentification de la carte,
identification du porteur et
autorisation
1. Sur un terminal de paiement
electronique
Sécurité des données lors de
la télécollecte
10
11. Pour les cartes à piste, il faut savoir que :
• La lecture des cartes magnétiques s’effectue
grâce à des lecteurs dédiés. Une fois la carte
passée, un champ magnétique introduit une
tension électrique.
• la tête de lecture du TPE lit les informations
magnétiques enregistrées sur la piste ainsi
que d'autres données spécifiques à la
transaction, telles que le montant de la
transaction et le code de sécurité de la carte
et les transmettent à l'émetteur pour
autorisation.
Authentification
de la carte et
dentification du
porteur : Cas de
a Carte à piste
11
13. Authentification et identification
Avec des cartes à puce
Le groupement EMVCo, regroupant Europay, MasterCard et
Visa, a publié les spécifications détaillées du successeur du
protocole de paiement, baptisé EMV. Il comporte plusieurs
sous-protocoles.
Pour comprendre le principe d’authentification utilisé sur un
TPE nous n'en détaillerons que deux, DDA pour Dynamic Data
Authentification et CDA pour Combined Dynamic Data
Authentication / Application Cryptogram Generation, dans
une version simplifiée.
13
14. Avec des cartes à puce DDA
Authentification et identification Offline
14
15. Avec des cartes à puce DDA
Authentification et identification Offline
15
16. Pour des cartes à puce CDA:
Avec l'authentification en ligne de la carte, le système en
ligne de l'émetteur valide un cryptogramme (ARQC) généré
par la carte à partir des données importantes de la
transaction en utilisant sa clé secrète unique, afin de montrer
que la carte n'est pas contrefaite et que les données n'ont
pas été modifiées.
la carte valide un cryptogramme généré par l'émetteur.
Authentification et identification Online
16
17. Demande d’autorisation Online
Clé utilisée pour crypter le PIN
block pour la transmission
(TPK : Terminal Pin KEY)
le TPK chiffré par TMK et le
TMK clair doivent être injectés
dans le Terminal.
17
18. Pour des cartes à puce :
l’ARQC et l’ARPC incluent également la demande
d’autorisation.
Pour les transactions approuvées, le terminal envoie un
cryptogramme (un cryptogramme d'application appelé TC)
généré par la carte avec les informations de compensation pour
vérification par l'émetteur comme preuve de la validité de la
transaction effectuée.
Autorisation Online
18
19. sécurité des données
lors de la télécollecte
Les informations envoyées sont toutes
cryptées par laTPK
19
20. Authentification de la carte,
identification du porteur et
autorisation
Echange et chiffrement des
transations financières
2. Sur un guichet automatique de
banque
20
21. Sur un Guichet
Automatique de
Banque
Tous les GAB sont connectés à un
GDG (Gestionnaire de DAB/GAB). Ce
GDG est lui-même connecté au
réseau interbancaire, ce qui facilite
le retrait et autres opérations
n'appartenant pas à la banque où le
client possède un compte.
21
22. Authentification
même processus
qu’avec un TPE
Sur un GAB
Les GAB n'effectuent de transactions que si
l'institution bancaire autorise celles-ci,
autorisations qui passent nécessairement
par le réseau interbancaire.
22
23. Identification en ligne
La validation du code PIN en ligne a lieu si
le terminal en question est connecté à la
base de données centrale. Le code PIN
fourni par le client est toujours comparé au
code PIN de référence enregistré dans les
établissements financiers. Cependant, un
inconvénient est que tout
dysfonctionnement du réseau rend le
distributeur automatique inutilisable
jusqu’à ce qu’il soit réparé.
Sur un GAB
Identification hors ligne
L’une des conditions de la validation du
code PIN hors ligne est que le guichet
automatique soit en mesure de comparer
le code PIN saisi par le client avec le code
PIN de référence. Le terminal doit être
capable d’effectuer des opérations
cryptographiques et il doit disposer des
clés de chiffrement requises.
23
24. Les TPE et les GAB doivent être maintenus à jour avec les
dernières versions des applications et des systèmes
d’exploitation. Ces mises à jour incluent généralement des
correctifs de sécurité et des corrections de bogues.
III. MISES À JOUR DE SECURITÉ
24
25. Conclusion
En ce qui concerne la sécurité des opérations sur le TPE (Terminal de
Paiement Electronique) et le GAB (Guichet Automatique Bancaire), il est
essentiel de prendre des mesures pour assurer la confidentialité et l'intégrité
des transactions. Cela peut inclure l'utilisation de protocoles de sécurité, des
clés de chiffrement des données et de vérification de l'identité des
utilisateurs. Il est également important de suivre les bonnes pratiques de
sécurité. La sécurité est primordiale pour protéger les informations
financières des utilisateurs.
Principes de sécurité
des opérations sur TPE
et GAB
25
26. Merci !
"L'erreur est une étape nécessaire sur le chemin de la
sagesse." - Mahatma Gandhi
Principes de sécurité
des opérations sur TPE
et GAB
26