Brouillage de l'information/Application bancaire
Le domaine bancaire est sans doute avec le domaine militaire le secteur qui utilise le plus le brouillage de l’information car énormément de données sensibles transitent sur les réseaux internes. Néanmoins, le sujet est très vaste. Nous allons aborder deux thèmes :
- L’accès à nos données bancaires
- Le protocole de paiement par carte bancaire
L'accès à nos données bancaire
[modifier | modifier le wikicode]Pour accéder à nos données bancaires, il existe deux cas :
Un cas pour les professionnels
[modifier | modifier le wikicode]Ils doivent utiliser des clés avec un code qui s’auto régénère au bout d’un certain temps. De plus, le système informatique utilisé doit être très performant afin de protéger les informations bancaires des clients. Le moment le plus sensible est l’échange de données vers l’extérieur (banque à banque, banque à professionnel). Pour ces raisons, les instances étatiques ont largement amélioré leurs systèmes de transmission tels que TARGET et SWIFT.
Un cas pour les particuliers
[modifier | modifier le wikicode]Pour accéder aux banques en ligne un identifiant ainsi qu'un code personnel est attribué à chaque client (authentification). Dans la majorité des sites internet proposant le paiement en ligne, il existe un système de sécurisation qui est le Cryptage SSL.
Qu’est-ce que « SSL »?
[modifier | modifier le wikicode]« SSL » veut dire « Secure Socket Layer », qui chiffre les renseignements saisies. Le cryptage (ou « chiffrage ») est le processus qui consiste à brouiller les messages pour empêcher qu’ils puissent être lus par quiconque. C'est donc un procédé de sécurisation des transactions effectuées via Internet. Les banques en ligne qui ne disposent pas d'établissements physiques ont mis en place des solutions SSL ultra sécurisée de 128 ou 256 bits.
Comment SSL fait pour protéger les communications ?
[modifier | modifier le wikicode]SSL utilise :
- Un système de chiffrement asymétrique et symétrique.
- Un système de signature cryptographique des messages, il s’agit là de fonctions de hachage afin de s’assurer que les messages ne sont pas corrompus.
Comment savoir que le site est sécurisé ?
[modifier | modifier le wikicode]Aujourd'hui la quasi intégralité des navigateurs supporte désormais le protocole SSL. Le navigateur Mozilla affiche par exemple un cadenas verrouillé pour indiquer la connexion à un site sécurisé par SSL et un cadenas ouvert dans le cas contraire, tandis que Microsoft Internet Explorer affiche un cadenas uniquement lors de la connexion à un site sécurisé par SSL. On peut également reconnaître lors de la transaction la présence du protocole « https » dans l'URL.
Le protocole de paiement par carte bancaire
[modifier | modifier le wikicode]Citation : « Grâce à la puce électronique, la carte bancaire possède 3 systèmes de sécurité. » Frédéric Bayart
Un peu d'histoire
[modifier | modifier le wikicode]La carte à puce a été créée par deux ingénieurs français (Roland Moreno et Michel Ugon) à la fin des années 1970. Cette puce va se démocratiser dans les années 1990. La France est pionnière dans ce domaine. La puce est une sorte de petit ordinateur, avec un processeur et une mémoire dont une partie est accessible en écriture, une autre en lecture seule, et enfin une dernière en "lecture cachée".
Les différents modes de paiements
[modifier | modifier le wikicode]Le paiement avec code
[modifier | modifier le wikicode]Lorsque vous régler un achat avec votre carte bancaire et que vous payez par l'intermédiaire d'un terminal; pour que la transaction soit réussie, quatre étapes sont nécessaires pour assurer le bon déroulement du paiement : de la fabrication de la carte bancaire à la validation du paiement. Ce procédé permet donc trois systèmes d'authentification lors du paiement: l'un implique le terminal, l'autre un centre de contrôle et le troisième l'utilisateur qui tape son code. L'authentification fait appel à des chiffrement symétrique et asymétrique propre à la cryptologie.
Voici les étapes :
Lors de la fabrication de la carte : les informations relatives au propriétaire (nom, prénom, numéro de la carte…) et deux clés secrètes : une signature valeur et K (qui est indiqué au groupement des cartes bancaires) grâce au système RSA.
1ère sécurité - authentification hors ligne grâce au système RSA : le terminal va identifier la validité de la carte grâce à la clé publique du GIE, il s’agit d’une clé commune par toutes les cartes françaises, qui va lui permettre de retrouver les informations de la carte et sa signature valeur. Si elles sont identiques la carte est bien valide.
Rappel :Un des algorithmes asymétriques le plus utilisé est l'algorithme RSA, du nom de ses créateurs Ronald Rivest, Adi Shamir et Leonard Adleman, en 1977). Il est basé sur une propriété simple des nombres premiers . Petit rappel : Un nombre premier est un entier naturel supérieur à 2 qui admet exactement deux diviseurs distincts entiers et positifs (qui sont alors 1 et lui-même, par exemple 5,7,13...).
2ème sécurité - le code utilisateur : L'utilisateur tape son code secret, qui est également enregistré sur la puce et sur la bande magnétique de façon chiffré. Si le code tapé par l’utilisateur correspond à celui que la carte a en mémoire, le code est authentifié.
3ème sécurité - authentification en ligne grâce au système DES : Cette authentification s’effectue que pour des gros montants. Dans ce cas, le terminal interroge un centre de contrôle qui envoie une valeur aléatoire. À l’aide du triple DES (chiffrement symétrique), la carte et le centre calculent cette valeur par l’intermédiaire de K qui est une clé secrète. Si les résultats sont identiques, le centre donne l’autorisation d’effectuer le paiement.
Le paiement sans code
[modifier | modifier le wikicode]Ce type de paiement s’effectue lorsque l’on réalise un achat en ligne. Au moment du règlement, il suffit de donner :
- Le numéro de carte bancaire,
- La date de validité de la carte,
- Le nom du propriétaire et le cryptogramme visuel (les 3 derniers chiffres inscrit derrière votre carte).
La sécurité du paiement s'effectue donc à deux niveaux : au niveau du site internet et de l'utilisateur de la carte.
Concernant le site internet, comme évoqué précédemment, le SSL permet de crypter les données bancaires de l'internaute lors du paiement sur le site. Ainsi, l'internaute commande un objet en donnant des informations sur sa carte de crédit. Cette demande est cryptée à l'aide de la clé publique de la société, puis envoyée. Seule la société visée peut déchiffrer ce message, avec sa clé privée.
De plus, les banques ont mis en place d'autres moyens de protections comme :
Le cryptogramme visuel, car ce code n'est pas stocké dans la carte. Il assure donc que la personne qui effectue le paiement détient la carte. De plus, pour sécuriser les règlements en ligne, les banques ont développé le protocole 3-D secure. Pour résumer, avec ce protocole, on s’assure que le paiement est bien effectué par le titulaire de la carte. En effet, pour finaliser la transaction, le client devra entrer un code d’authentification à usage unique, communiqué par sa banque (par SMS généralement).
Le paiement sans contact
[modifier | modifier le wikicode]Le paiement sans contact a pour but de simplifier les transactions, réduisant le nombre d'achat en espèce, augmentant la rapidité aux niveaux des caisses. Le paiement sans contact étant développé pour des transactions de tous les jours, il ne peut être utilisé que pour des petites transactions (20 € en France). Ainsi, il n’est pas nécessaire de saisir le code PIN. Pour savoir si une carte supporte ce type de paiement, un petit logo est présent en haut à droite de la carte bancaire. Le principe de fonctionnement se base principalement sur un protocole de communication RFID (Radio Frequency Identification)/NFC(Near Field Communication). Il s’agit d’un moyen de communication de données et d’identification automatique. La puce RFID doit être collée au terminal de paiement, ce qui implique une portée très réduite.
Cependant ce mode de paiement présente deux failles majeures :
- Il est possible avec un simple lecteur RFID et un programme, d'intercepter les données entre le terminal paiement et la carte.
- La limite de 20 € n’a pas d’effet si le paiement est demandé dans une devise étrangère.
Pour se protéger, nous avons solutions :
- Réclamer auprès de sa banque une carte incompatible avec les paiements sans contact.
- Soit brouiller les informations entre la carte de paiement et le terminal en achetant un portefeuille ou une carte NFC killer constituée en aluminium permettant ainsi de bloquer les ondes.