L’essor du paiement par mobile
Les habitudes des consommateurs ont évolué et la numérisation de plus en plus marquée de l’économie a fait croître les transactions à distance. Grâce à la technologie NFCNear Field Communication), le smartphone fonctionne désormais comme une carte bleue et permet la transmission de données sur une courte distance avec une application dédiée. Plus besoin de l’IBAN pour virer de l’argent à un tiers, il suffit du numéro de téléphone de la personne pour lui envoyer un virement immédiat.
Cette simplicité séduit les consommateurs. C’est pourquoi nombre d’entreprises se positionnent sur le marché en proposant des solutions sur mesure. C’est le cas notamment des grands acteurs du numérique (Google Pay, Apple Pay, Samsung Pay...), des banques, mais aussi de la grande distribution comme Carrefour Pay par exemple.
La sécurité : composante indispensable des paiements numériques
Le paiement par mobile n’est pourtant pas encore la norme. En effet, les risques d’attaques et de fraudes sont nombreux avec les paiements mobiles, surtout lorsque les applications ne garantissent pas un niveau de sécurité optimal des transactions. En 2016, l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) pointait les deux principaux facteurs de risques. Le premier concerne la sécurité de l’appareil lui-même (les mises à jour, les applications, etc.) et le second est relatif à la sécurité de la chaîne de paiement.
La sécurité des logiciels représente un grand défi pour les développeurs. Celle-ci repose en effet sur une combinaison de technologies, de bonnes pratiques et de procédures adoptées tout au long du processus de développement, mais qui sont en mouvance permanente et pour lesquelles ces développeurs ne sont pas, ou peu formés. Par exemple, les vulnérabilités, qui sont des défauts logiciels résultant d’erreurs de programmation, peuvent être exploitées par des attaquants.
Les mesures de sécurité
Les grandes entreprises du paiement éditent, à destination des sociétés souhaitant proposer des moyens de paiement utilisant des cartes bancaires, des prérequis de sécurité à adopter.
Deux nouvelles certifications sont ainsi sorties depuis 2018 afin de donner aux marchands la possibilité de choisir des solutions de confiance permettant d’accepter les paiements mobiles des consommateurs. La constante de ces certifications est de protéger l’application mobile qui est au centre des échanges, et pour cela, de bonnes pratiques doivent être adoptées.
Une des solutions consiste à soumettre le code à d’autres experts du même domaine afin d’identifier les problèmes qui pourraient être présents. Cela permet de vérifier manuellement que le nouveau code n’est pas susceptible d’introduire des vulnérabilités dans le logiciel. Cette pratique peut être complétée par des audits de laboratoires ou encore des logiciels pouvant procéder à des examens automatiques du code pour détecter des vulnérabilités.
Une fois l’application codée, d’autres options souvent méconnues, mais très pertinentes comme le fuzzing sont possibles pour aller plus loin dans la sécurisation. Cela consiste à injecter une variété de données aléatoires dans les entrées du programme. Si le programme échoue, alors il y a des défauts qu’il faudra corriger.
Ces certifications sont récentes et à ce jour, peu de solutions sont certifiées. Ceci est en partie dû au cahier des charges complexe ainsi qu’au processus de certification qui prend nécessairement du temps.
Toutefois, la durée de certification peut être raccourcie en utilisant des outils de sécurité du marché, permettant ainsi de répondre aux exigences de sécurité avec des logiciels éprouvés. En effet, empêcher une fraude ou une attaque étant impossible, le meilleur moyen reste de ralentir l’attaquant grâce à l’obfuscation pour limiter le reverse engineering. Ce gain de temps permet d’identifier rapidement la faille.
Le paiement par mobile a un bel avenir devant lui. Mais il ne pourra s’imposer comme un véritable moyen de paiement universel qu’à condition de mettre un accent sur la sécurité. À ces complexités techniques s’ajoute la question sur l’attribution de la responsabilité en cas de failles. Dans le cas où un commerçant, organisme de paiement, n’utilise pas de système approuvé par l’industrie du paiement, c’est le commerçant – organisme de paiement qui est responsable. Mais des cas moins évidents peuvent se présenter et rendre cette question plus complexe d’autant que la législation en la matière varie d’un État à un autre.
Fred Raynal est directeur général et fondateur de Quarkslab.