Libra : blockchain ou pas ?

Libra : blockchain ou pas ?

dimanche, novembre 24, 2019 | Articles 2019

Libra : blockchain ou pas ?

LIBRA est une association basée à Genève.

Suite à de multiples réserves venant des régulateurs, LIBRA a connu des défections importantes : Visa, Mastercard, Paypal, Bookings, Stripe. On peut noter qu’Illiad continue à faire partie du projet.

Beaucoup de bons sentiments dans la présentation du projet LIBRA.

En pratique :

W
Faciliter les paiements,
W
Capter les flux de PME opérant sur internet (e.g. domaine du Drop Shipping dans lequel opèrent de nombreuses start-up),
W
Le marché ciblé est celui de facebook è 2/3 milliards d’utilisateurs,
W
Le fond de réserve est potentiellement énorme et pourrait avoir une influence sur la politique monétaire des états.

Club fermé ou système ouvert ?
Les nœuds doivent être agréés, il s’agit donc plutôt d’un club fermé.

On est donc plutôt dans la logique d’une blockchain Privée (Permissionned) et non d’une blockchain Publique (Unpermissionned).

Il est à noter que si Bitcoin permet à tout le monde de participer … cette ouverture est en pratique un peu théorique étant donnés les investissements qu’il faut consentir pour miner efficacement.

Libra a les caractérisques générales d’une cryptomonnaie :

W
Toutes les transactions sont connues de tous les nœuds,
W
Transactions regroupées par bloc,
W
Tolérance aux fautes,
W
Protocoles de consensus.

Quelques éléments à noter :

Libra mémorise les Etats à l’inverse de Bitcoin qui est orienté Bloc de Transactions.
Il n’existe pas de chainage de Transactions et de Proof Of Work chez Libra … donc approche très différente de celle Bitcoin.
Libra pourrait ne pas être considérée comme une blockchain par les puristes.
Libra comprend une centaine de nœuds.
La validation d’un état doit se faire par un quorum de 67 valideurs (Quorum certificate).

Performances :

A chaque mise à jour, les comptes (ou états) sont contrôlés en intégrité par un calcul de hash. Pour éviter de recalculer un hash sur toutes les données, une structure à base d’arbre de Merkel est utilisée.

Pour 1 milliards de comptes, un arbre de Merkel à 31 niveaux suffit et permet de limiter les calculs de hash à 31*2*M pour M mises à jour de transactions.

Libra est peu consommateur et permettra d’atteindre facilement 1000 TPS, vs. quelques dizaines de TPS pour Bitcoin.

La présentation de Jean-Claude Paillès, expert EESTEL, durant la conférence du 22 octobre 2019 est ici.

Protection des applications mobiles : l’obfuscation

Protection des applications mobiles : l’obfuscation

dimanche, novembre 24, 2019 | Articles 2019

Protection des applications mobiles : l’obfuscation

Le développement d’applications sur téléphone mobile est aujourd’hui confronté à la problématique suivante : comment protéger un code s’exécutant dans un environnement qui n’est pas de confiance. Il s’agit essentiellement d’empêcher un attaquant (souvent un utilisateur légitime) de faire du reverse de code avec vol de propriété intellectuelle ou de données sensibles (clés, numéro carte bancaire, logins ..etc ..).

Rappel sur la société Quarkslab

W
Société crée il y a 8 ans.
W
Spécialisée dans l’Audit de sécurité.
W
A développé un produit (Epona) de d’obfuscation de code et de white boxing.
Apple a mis en oeuvre l’obfuscation pour son application iMessage. La preuve est faite que cette protection est de bon niveau car aucune implémentation autre que celle de Apple n’est apparue sur le marché.
L’obfuscation / white-boxing s’appuie, en fait, sur deux méthodes complémentaires :

Obfuscation

Transformation du code pour le rendre plus résistant à du reverse engineering. Le code transformé doit avoir la même sémantique de traitement que le code initial mais fait appel à des opérations / fonctions plus complexes.

White-boxing

Mécanismes permettant de protéger des clés cryptographiques dans du code ou des données et de modifier l’implémentation d’algorithmes standards (e.g. AES) pour leur permettre d’utiliser ces clés protégées.

Ces traitements sont réalisés lors de l’étape de compilation à l’aide d’outils appropriés (e.g. Epona de Quarkslab).

Avantages / inconvénients :

W
Impacts sur les performances à considérer,
W
Pas de méthode objective permettant d’évaluer le niveau de sécurité atteint,
W
L’objectif est clairement de ralentir l’attaquant et de rendre son attaque trop couteuse en regard du bénéfice recherché.
W
Travaux de standardisation de la part de Global Platform.

La présentation de Juan Manuel Martinez de la société Quarkslab, durant la conférence du 22 octobre 2019 est ici.

Sécurité des smartphones

Sécurité des smartphones

dimanche, novembre 24, 2019 | Articles 2019

Sécurité des smartphones

Les utilisations des smartphones ont beaucoup évolué depuis le premier iPhone lancé en 2007. Aujourd’hui, les smartphones sont utilisés pour de nombreuses applications de sécurité, telles que du paiement, de l’identité numérique, de la billetique et même de l’identité gouvernementale. Devant de tels besoins, les développeurs de smartphones ont mis en oeuvre de nouvelles technologies pour en assurer la sécurité.

Carte bancaire

Parmi les risques envisagés : Clonage d’une carte et attaque massive du système de paiement.
Parade possible à mettre en œuvre pour la carte bancaire (gestion de listes noires)mais impossible pour le porte-monnaie.
La nécessité d’une évaluation sécuritaire pour couvrir ces risques est apparue très tôt :
W
Profil de protection / Cible d’évaluation.
W
Niveau : EAL4+
W
Coûts et délais importants
Démarche non transposable au monde du smartphone
W
Smartphone devenu terminal internet multi fonctions.
W
OS et langages non sécurisés.
W
Complexité des applications (millions de ligne de code).
L’évaluation sécuritaire EAL4+ n’est pas réaliste dans ce contexte.

L’évaluation sécuritaire EAL4+ n’est pas réaliste dans ce contexte

En revanche, la connectivité permet maintenant une approche dynamique de la sécurité :
L’évaluation sécuritaire EAL4+ n’est pas réaliste dans ce contexte.

W
Monitoring de l’activité du smartphone,
W
Autodéfense des applications utilisant cette connectivité (3D secure, Clés à usage limitée ..etc ..).
De nouvelles approches sont possibles
W
Architecture TEE (Trusted Execution Environment),
W
Knox de Samsung utilise ce modèle,
W
Travaux de standardisation de la part de Global Platform.
Mais cette nouvelle approche requiert l’adhésion des fournisseurs de mobile, une démarche globale de certification et surtout de définir qui assume les coûts !

La présentation de Jean-Claude Paillès, expert EESTEL, durant la conférence du 22 octobre 2019 est ici.

Le cadre légal du paiement sans contact

Le cadre légal du paiement sans contact

mercredi, octobre 9, 2019 | Articles 2019

Le cadre légal du paiement sans contact

Le volume de transactions par carte sans contact croît de façon exponentielle : en France, de 1 milliard en 2017, il est passé à 2 milliards en 2018 et franchira la barre des 3 milliards en 2019, soit le cinquième des transactions de paiement.

Il est intéressant de revenir sur la sécurisation de ces transactions et leur cadre contractuel. Aujourd’hui ces transactions sont hors périmètre DSP2. Mais qu’arrive-t-il en cas de litige ?

Lors d’un paiement, il convient de distinguer plusieurs éléments qui contribuent à la sécurité de celui-ci :

  • L’authentification du payeur préalable à la transaction,
  • La sécurisation financière de la transaction,
  • La preuve de la transaction.

Authentification du payeur

L’authentification du payeur préalable à la transaction est destinée à s’assurer que c’est bien le payeur légitime qui réalise la transaction.

Pour un paiement réalisé au moyen d’instruments papier, elle peut être réalisée en contrôlant une pièce d’identité (chèque, virement papier remis au guichet) ou en comparant la signature apposée par le payeur avec une signature de référence (carte dans certains cas d’utilisation de la piste magnétique).

Pour un paiement faisant appel à un dispositif électronique (carte à puce, téléphone portable, terminal de paiement), l’authentification est faite en vérifiant un code confidentiel, en contrôlant un mot de passe à usage unique ou encore en faisant appel à la biométrie.

NB :

W
  1. Certains paiements peuvent ne pas donner lieu à authentification du porteur, par exemple le paiement de péages d’autoroute ou l’utilisation d’un porte-monnaie électronique.
  2. L’authentification du support seul (par exemple en calculant un certificat prouvant que la carte a été utilisée) ne suffit pas pour authentifier le payeur : la carte peut avoir été perdue ou volée sans que le porteur en ait connaissance ; dans le cadre de la réglementation actuelle, un tribunal considérera qu’il n’y a pas de preuve que c’est le payeur légitime qui a réalisé la transaction.

Sécurisation financière de la transaction

La Sécurisation financière de la transaction permet de s’assurer que le moyen de paiement est valide (qu’il n’a été ni falsifié, ni volé) et que les fonds sont disponibles pour payer le bénéficiaire

Un calcul algorithmique permet de réaliser cette authentification pour une carte à puce (authentification off-line ou on-line en vérifiant un certificat). Il est possible de vérifier que le moyen de paiement figure sur la liste des moyens de paiement autorisés via une demande d’autorisation.

De plus, des dispositifs de limitation d’utilisation du moyen de paiement permettent de limiter le risque financier : montant maximum de la transaction, plafond maximum d’utilisation sur une période, vérification que la transaction ne met pas le compte à découvert, non-dépassement du nombre maximum de transactions off-line autorisé.

L’authentification du porteur peut être demandée toutes les n transactions (paiement sans contact), ce qui contribue à diminuer le risque.

Nature du compte

Enfin la nature du compte à partir duquel les fonds vont être prélevés pour réaliser le paiement joue un rôle important.

S’il s’agit d’un compte de monnaie électronique, comme c’est le cas pour les porte-monnaie-électroniques (Moneo), le payeur a été averti que l’argent qui se trouve sur ce compte ne bénéficie pas des mêmes garanties de sécurité que sur un compte courant et que cet argent peut être utilisé pour réaliser des paiements sans authentification du payeur.

S’il s’agit d’un compte courant (ou compte de dépôts), le teneur de compte a l’obligation de pouvoir justifier chaque opération qu’il passe sur le compte. En particulier, il doit pouvoir prouver que l’opération a été initiée par un payeur autorisé. Cela évite une répudiation après coup de la transaction par le titulaire du compte.

Cette preuve peut se matérialiser de différentes manières :

W
pour un chèque, un paiement carte utilisant la piste magnétique ou un virement initié au guichet de la banque, c’est la signature du payeur autorisé qui fait foi ;
W
pour un paiement carte EMV c’est le certificat figurant sur le ticket qui fait foi ; il atteste – et la jurisprudence existe – que la transaction a été effectuée par la carte, que le titulaire a tapé un code confidentiel correct, qu’elle a eu lieu chez le commerçant identifié parle numéro, tel jour à telle heure et pour le montant indiqué. Ce certificat a la même valeur juridique que les éléments figurant sur un chèque ;
W
pour un paiement carte sur Internet réalisé en utilisant 3D secure, la trace de la saisie du mot de passe à usage unique prouve que celui qui a réalisé le paiement était en possession du téléphone qui l’a reçu ;
W
enfin dans le cas du virement initié sur la banque à domicile, une convention de preuve existe entre la banque et son client, selon la directive DSP2 : par exemple un certificat calculé par le serveur de la banque à domicile une fois que le client s’est authentifié et a validé l’opération.

Dans les autres cas la transaction est répudiable par le titulaire du compte : par exemple pour l’avis de prélèvement (core SDD) ou en cas de paiement carte sur Internet avec simple saisie numéro (hors 3D secure).

Paiement sans contact

Dans le cas du paiement sans contact, on se trouve dans la situation où le payeur n’est pas authentifié et le paiement est signé par la seule carte, sans qu’il y ait authentification du payeur. Ce paiement mouvemente un compte courant.

Juridiquement on est donc dans la même situation que pour un paiement carte avec simple saisie du numéro (hors 3D-Secure) ou un débit direct

La transaction est donc révocable en cas de contestation du porteur.

Un fossé est en train de se creuser entre le monde des transactions à contact, en proximité, bien sécurisé et réglementé, et le monde des transactions sans contact où la situation réglementaire est plus floue. Cela s’explique par leur genèse :

W
les transactions à contacts ont été conçues à l’origine d’EMV, avec un souci de sécurisation ‘pur et dur’,
W
les transactions sans contacts ont été conçues outre-Atlantique, en partant des transactions ‘pistes magnétiques’. D’un point de vue sécuritaire, elles constituent une amélioration des transactions pistes, mais elles sont un net recul par rapport aux transactions EMV à contacts.
L’engouement pour le sans contact est probablement dû au succès incontestable des transactions sans contact dans le monde du transport, que l’on a voulu transposer au monde des paiements ; mais on semble avoir oublié que réaliser un paiement est un acte qui engage plus son auteur que de franchir un tourniquet dans le métro…

Aujourd’hui, il y a peu de cas de jurisprudence dans le domaine des paiements sans contact ; un jugement a été rendu à Briey (le Républicain lorrain du 8 septembre 2019)

lire l'article

Etant donné que le coût de traitement d’une réclamation est la plupart du temps largement supérieur au montant de la transaction (qui ne peut dépasser 30€), il est probable qu’en cas de litige, l’agence bancaire fera un geste commercial vis-à-vis de son client et prendra à sa charge le sinistre.

Toutefois, si les litiges venaient à se multiplier, cela finirait par poser un problème :

W
le coût de traitement des litiges pourrait devenir démesuré comparé au montant des pertes (le montant de chaque transaction est limité à 30€),
W
il y a un risque d’écorner l’image du paiement sans contact, avec perte de confiance du public dans ce mode de paiement.

Une évolution du système ou une réglementation plus sévère, par exemple en responsabilisant davantage le titulaire en cas de perte ou de vol de sa carte (mais ce serait contraire à l’esprit des DSP1 et 2, qui va dans le sens de la protection du payeur), serait alors à étudier.

Auteur : François Brion, expert EESTEL

Nexo, une nouvelle génération de standards

Nexo, une nouvelle génération de standards

mercredi, octobre 9, 2019 | Articles 2019

Nexo, une nouvelle génération de standards

Nexo, une nouvelle génération de standards.

Le présent article est basé sur la présentation faite par Robert Fargier, expert EESTEL, CEO Istium, membre de nexo-standards, le 17 septembre 2019.

Le monde du paiement est en pleine évolution

Les paiements sont en phase d’évolution importantes. Aujourd’hui, les éléments majeurs de l’évolution sur les paiements sont l’immédiateté et les services en ligne. Naturellement, les schémas de paiement Visa, MasterCard et UPI (UnionPay International) jouent un rôle prépondérant. Les paiements instantanés se développent partout, à base de virements ou non, en particulier en Allemagne, en Afrique de l’Ouest (BCEAO), en Afrique Centrale, en Afrique Australe, … . Également, se développe une meilleure authentification des utilisateurs finaux, par exemple avec SCA en Europe.

Dans le domaine du sans contact, quelle que soit la technologie de base, NFC, QR Code, NSDT (échanges sonores), LTE, …, deux modes coexistent : « consumer presented mode » où le client envoie les données au commerçant (pull payment), et « merchant presented mode » où c’est le commerçant qui envoie des informations au client, c’est le mode dit push payment.

Aujourd’hui, le nombre de cas d’impayés dans le virement instantané est très inférieur aux cas d’impayés dans la carte. Le virement instantané est quasiment considéré comme irrépudiable. Le seul risque significatif reste le fait que le destinataire d’un paiement est identifié par un numéro de téléphone, qui ne contient pas de clé de Luhn et donc est plus susceptible d’erreur, et le fait que le numéro de téléphone peut être réattribué. De plus, on gère et transporte des données à caractère personnel, au sens RGPD, dans des systèmes de paiement.

ISO 20022

L’objectif de l’ISO 20022 est de constituer l’interopérabilité de systèmes financiers, au sens large, toute l’industrie financière. Les normes sont à disposition de tous les acteurs des services financiers, en mode onéreux, elles incluent le méta-modèle, les responsabilités des organismes d’enregistrement, la rétro-ingénierie de la norme, les spécifications du transport, les formats de données, … Les normes ISO 20022 sont à la base des nouvelles normes Swift. Dans tous les cas, on trouve un rulebook et un guide d’implémentation.

L’ISO 20022 apporte une méthodologie de modélisation novatrice qui découple les règles de syntaxe (UML) des formats de messages (XML ou autre) et de leur cinématique.

Un objectif de l’ISO 20022 est d’arriver à un système collaboratif partagé, qui normalise les échanges entre acteurs tout en laissant la place à la concurrence. Nombre d’entités mettent en œuvre les normes 20022, les contributeurs (comme Swift ou nexo) et les utilisateurs (institutions financières, etc….). Les objets de données communs sont standardisés dans un répertoire de données commun. Les messages peuvent être définis dans la syntaxe souhaités : JSON, XML, ASN.1, ISO 15022….

L’ISO 20022 inclut des messages dans divers contextes :

  • Paiement : gestion de comptes, virements, demande de paiement, etc…
  • Cartes : acquéreur, ATM, de l’acquéreur à l’émetteur, protocole commerçant (sale to POI protocol), grâce à la contribution de nexo, IFX et Atica,
  • Commerce,
  • Échanges de devises,
  • Titres.
L’ISO 20022 dépend du comité technique TC 68 – services financiers, et inclut des sous-comités : sécurité, services centraux bancaires, et le SC4 dont le rôle est la gestion de la norme. Au centre, le Registration Management Group, gère la norme et s’appuie sur le Registration Authority (RA), et des SEG (Standard Evaluation Group) qui correspondent à chaque famille de messages. En complément, le Registration management Group est une sorte de cour en charge de régler les litiges et de gérer tous les groupes d’évaluation de la norme (Standard Evaluation group).

Ceci signifie une approche bien plus structurée que ce qui se faisait dans le passé avec le norme ISO 8583, ou bien sous l’influence d’EMVCo ou des schémas de paiement. Aujourd’hui, la problématique métier est découplée de la syntaxe.

Les protocoles sont enregistrés selon un protocole formel qui inclut une phase de justification métier et d’attribution à un SEG (Standards Evaluation Group), ensuite, une fois le protocole développé, il arrive à un enregistrement officiel par le RA (Registration Authority).

L’adoption des protocoles ISO 20022 est en cours dans toutes les régions du globe. Des schémas de paiement nationaux sont en train de passer à ISO 20022 en Europe, en Afrique t en Asie, au Moyen Orient et aux Amériques.

nexo-standards

Les spécifications de nexo sont à disposition de tous, gratuitement, membres de nexo ou non, et sont en cours d’adoption de manière globale. Leur qualité est d’être neutres, ils ne sont pas liés à un schéma de paiement ou à des organisations comme EMVCo, les schémas de paiement ou autre … De même la norme n’impose rien sur la relation avec les banques centrales ou les organisations de paiement. L’implémentation des standards reste de la compétence des membres et instances utilisateurs.

Chaque entité impliquée (réseau monétique par exemple) peut adhérer comme membre à nexo-standards. L’association aujourd’hui regroupe nombre d’acteurs, venus du paiement classique mais aussi des nouveaux acteurs extra-européens tels que JCB, China UnionPay, NSPK (schéma russe), Ant Financial, etc… Chaque membre a le même poids dans les décisions prises par l’association.

nexo a été créé par la fusion d’OSCar, du CIR Working Group de SEPA-FAST et d’EPAS Org. Sa philosophie est de travailler au nom de toutes les parties prenantes du paiement par carte. nexo est à l’origine de l’évolution de tous les protocoles de paiement vers l’ISO 2002 et,

aujourd’hui, tous les protocoles produits par nexo sont ISO 20022. Nexo travaille en particulier sur les protocoles suivants :

  • Acquéreur (échanges entre accepteur et acquéreur),
  • TMS (Terminal Management System),
  • ATM (Automates bancaires),
  • Retailler Sale to POI (protocole commerce – accepteur).

nexo standards produit également des spécifications d’implémentation :

  • nexo FAST (Financial Application Specification of SCS Volume Compliant Terminals),
  • nexo IS (Implementation Specifications),
  • Sécurité.

En conclusion

nexo, et plus globalement l’ISO 20022, constitue une vraie lame de fond qui va changer les aspects normatifs pour le paiement et les services financiers des prochaines années. Le fait que nexo propose un protocole de TMS unique permet aux acteurs du paiement de sortir de solutions propriétaires liées à chaque fournisseur de terminaux de paiement. Les protocoles sont à la fois faciles à implémenter dans des cas simples et permettent de gérer des situations d’architecture plus complexes.

Jusqu’à présent, les commerçants ont activement communiqué sur leur adoption de nexo. Aujourd’hui, les fournisseurs de solutions hardware, software et services disposent de produits implémentant les spécifications de nexo et développent leur communication dans ce domaine. Enfin, de grandes institutions financières de niveau mondial, non seulement adoptent nexo, mais de plus, communiquent sur le fait qu’ils adoptent ces nouveaux standards internationaux.

Auteur : Thierry Spanjaard, Expert EESTEL, Principal Intelling – Smart Insights

EESTEL partenaire de Trustech 2019

EESTEL partenaire de Trustech 2019

jeudi, septembre 5, 2019 | Articles 2019

EESTEL partenaire de Trustech 2019

En 2019, EESTEL est, comme les années précédentes, partenaire de Trustech, un partenariat naturel vu la totale adéquation des sujets que nous traitons.
Notre association est spécialisée dans la sécurité non seulement des paiements électroniques, mais plus globalement de tous les types de transactions électroniques, y compris les aspects de l’identité numérique, de l’IoT, et de tout ce qui a trait à la sécurité. Les experts d’EESTEL sont reconnus pour leur connaissance de ces sujets et pour leur capacité à apporter une contribution constructive à la réflexion de l’industrie.
Trustech, l’événement global dédié aux paiements, à l’identification et à la sécurité, présente à la fois l’offre de tous les principaux acteurs de l’industrie des transactions sécurisées et, grâce à sa conférence, permet de faire un point sur les dernières informations et pistes de réflexions, et les évolutions technologiques les plus actuelles.
Trustech et EESTEL ont donc décidé de mettre en place un partenariat qui permettra aux experts d’EESTEL d’apporter leur pierre à la construction de l’édifice de la meilleur connaissance de l’industrie des transactions sécurisées.
Concrètement, Robert Fargier, CEO d’Istium, donnera une conférence ayant pour thème : « nexo, une nouvelle génération de norme de paiement », qui permettra à ses auditeurs de mieux comprendre l’émergence de nouveaux protocoles dans le monde du paiement sous les auspices de l’ISO 20022.

Trustech aura lieu à Cannes du 27 au 28 novembre 2019. Plus d’informations sur le site de l’événement.