Chapitre 2 : Stade TA1 - Pr´ esentation
2.1 Contexte industriel
2.2.1 Description de l’appel `a projet de la SG . . . . 65
2.2.2 Authentification forte . . . . 66
2.2.3 R´eponse d’equensWorldline `a l’appel `a projet . . . . 67
2.3 Description du stade TA1 . . . . 69
2.3.1 Aper¸cu du fonctionnement . . . . 70
2.3.2 Profil utilisateur . . . . 71
2.3.3 Premi`ere solution . . . . 72
2.4 Vue d’ensemble de la solution TA et diff´erents composants . 73
2.4.1 Application App . . . . 73
2.4.2 Zoom sur le SDK B&W et place du module FAST . . . . 74
2.5 Introduction aux mod`eles de s´ecurit´e . . . . 75
2.5.1 Mod`ele en boˆıte blanche . . . . 76
2.5.2 Mod`ele en boˆıte noire . . . . 77
2.6 Limitations au stade TA1 . . . . 79
2.6.1 Limitations L0 et L1 ou le manque d’attributs diversifi´es . . . . 79
2.6.2 Limitation L2 ou la gestion d’attributs variables . . . . 81
2.6.3 Limitation L3 ou l’importance d’un attribut . . . . 82
2.7 R´ecapitulatif . . . . 83
En pr´esentant le projet TA, le but de ce chapitre est de poser le cadre des travaux
pr´esent´es dans ce manuscrit. L’id´ee sera de donner une vue d’ensemble du projet TA
en orientant les d´ebats vers les probl´ematiques qui nous sont propres. Le stade TA1
pr´esentera l’´etat de la solution propos´e par equensWorldline en r´eponse `a l’appel `a projet
de la Soci´et´e G´en´erale. La fin de ce chapitre proposera alors un r´ecapitulatif des requis
que la solution TA devra respecter tout en soulignant les limitations du stade TA1 au
regard de la vie priv´ee des utilisateurs finaux. Toutes les notions et d´efinitions pr´esent´ees
dans ce chapitre sont informelles et ont un but illustratif ; une formalisation sera propos´ee
dans le prochain chapitre.
2.1 Contexte industriel
Worldine (equensWorldline depuis 2016) est un sp´ecialiste du domaine du paiement dans
un contexte B2B2C (pour Business to Business to Customer). Plus concr`etement,
equensWorldline fournit au banques des solutions de paiement, qui elles-mˆemes les
adaptent alors `a leurs clients qui constituent les utilisateurs finaux. Deux cas d’usage
majeurs sont identifi´es dans l’activit´e de equensWorldline :
• le paiement de proximit´e o`u l’utilisateur proc`ede `a son achat chez le commer¸cant via,
en g´en´eral, une lecture de sa carte bancaire par un terminal de paiement ´electronique
(TPE) ;
• le paiement en ligne o`u l’utilisateur, `a distance, proc`ede `a un paiement via un
appareil connect´e (ordinateur, smartphone, tablette) transmettant des donn´ees li´ee
`a sa carte de paiement.
Tendances du march´e
Le paiement en ligne est d´esormais install´e dans les habitudes des utilisateurs. Faire
transiter, `a chaque transaction, des donn´ees bancaires sur le net est risqu´e pour les
utilisateurs. Les mal-nomm´es porte-monnaies ´electroniques agissent comme des tiers
permettant d’authentifier les utilisateurs en leur attribuant un couple (identifiant, mot
de passe) moins sensibles `a manipuler que lesdites donn´ees bancaires. PayPal, PayLib
ou encore V.me et Masterpass respectivement port´ees par les groupements Visa et
Mastercard sont de telles solutions ; Paylib est une solution fournie par equensWorldline
`a de nombreuses banques telles que la BNP Paribas, la Soci´et´e G´en´erale ou encore la
Banque Postale.
Le paiement de proximit´e a r´ecemment connu un renouveau ces derni`eres avec
l’´emergence du paiement sans contact. Que ce soit la carte bancaire de l’utilisateur ou
son smartphone, ce sc´enario de paiement permet une exp´erience utilisateur am´elior´ee
par l’usage de la technologie Near Field Communication (NFC). Dans le cas du
paiement mobile, la communication avec le TPE se fait par l’interm´ediaire d’un ´el´ement
s´ecuris´e [101] pr´esent sur le t´el´ephone. Ce rˆole est souvent jou´e par la carte SIM (Subscriber
Identity Module) de sorte que les fournisseurs de telles solutions doivent s’entendre avec
les op´erateurs t´el´ephoniques. La technologie Host Card Emulation (HCE) permet de
s’affranchir de la pr´esence d’un ´el´ement s´ecuris´e [102] et propose donc une alternative
logicielle vers laquelle les banques se tournent. Comme nous le verrons, la contrainte
principale ´edit´ee par la Soci´et´e G´en´erale, avant l’av`enement de HCE ´etait ´egalement de
fournir une solution ne reposant pas sur un ´el´ement s´ecuris´e.
Pour assurer interop´erabilit´e et niveau de s´ecurit´e ad´equat, de telles solutions de
paiement doivent respecter certains standard et recommandations ´edit´ees par des autorit´es
reconnues.
Autorit´es dans le monde du paiement
En plus des bonnes pratiques ´edit´ees par les ´etats, les soci´et´es de carte de paiement
publient des sp´ecifications que toute solution devra respecter pour ˆetre certifi´ee.
Soci´et´es de cartes de paiement Pour equensWorldline, les groupements EMV (pour
Europay Mastercard Visa) et CB (pour Cartes Bancaires) [103] constituent les principales
autorit´es `a convaincre de la bonne qualit´e des solutions propos´ees. Il existe certains
standards `a respecter :
• La norme PCI DSS (Payment Card Industry Data Security Standard) a ´et´e ´elabor´ee
par les soci´et´es de carte de paiement, c’est-`a-dire American Express, Discover
Financial Services, JCB International, MasterCard Worldwide et Visa Inc, pour
aider `a faciliter une large adoption de mesures de s´ecurit´e des bases de donn´ees. Ces
mesures sont d’ordre structurel (contrˆole d’acc`es, r´eseau s´ecuris´e; . . . ) et techniques
(s´ecurit´e de l’information, protection de donn´ees sensibles,. . . ).
• En vigueur depuis 2008 en France, le protocole 3-D Secure, port´es par Visa et
Mastercard, est une solution d’authentification en ligne. Avant de terminer son
paiement, l’utilisateur re¸coit un SMS sur son t´el´ephone et le rentre sur son navigateur
pour r´ealiser une authentification forte en prouvant la possession dudit t´el´ephone.
Avec le dispositif 3-D Secure, ce sont d´esormais les banques qui sont responsables
transactions frauduleuses et des ´eventuels d´edommagements cons´ecutifs.
• L’usage de la technologie HCE, qui permet `a un smartphone d’´emuler un carte
bancaire, `a des fins de paiement est ´egalement sujet `a des certifications Visa [104]
et Mastercard [105]. Obtenir ces certifications, `a renouveler tous les ans, est un
objectif majeur de equensWorldline.
Via l’appel `a projet de la SG, le paiement 3-D Secure a indirectement conduit au projet
TA tandis que l’´emergence de la technologie HCE a apport´e de nouveaux cas d’usage dont
certaines probl´ematiques reprennent celles de TA (e.g. solution exclusivement logicielle).
Autorit´es ´etatiques Le paiement fait n´ecessairement appel `a des notions
d’authentification et donc de cryptographie. equensWorldline, acteur majeur dans les
solutions de paiement doit se plier `a des r`egles et bonnes pratiques (e.g. gestion
de cl´es cryptographiques) concernant les syst`emes d’information qui, en France, sont
principalement port´ees par l’Agence Nationale de la S´ecurit´e des Syst`emes d’Information
(ANSSI) [106, 107]. Aux ´Etats-Unis, le NIST [108] (National Institute of Standards and
Technology) joue le mˆeme rˆole et a une port´ee plus internationale.
D’autre part, la nature des informations potentiellement manipul´ees par
equensWorldline pose la question du respect de la vie priv´ee des utilisateurs. La
Commission Nationale de l’Informatique et des Libert´es (CNIL) a alors pour rˆole d’´editer
les requis `a satisfaire pour tout syst`eme d’information [109].
2.2 Les contours du projet Trusted Authentication
Dans le document
Protocoles cryptographiques pour l’authentification numérique et le respect de la vie privée
(Page 67-70)