Contexte industriel

2.2.1 Description de l’appel `a projet de la SG . . . . 65

2.2.2 Authentification forte . . . . 66

2.2.3 R´eponse d’equensWorldline `a l’appel `a projet . . . . 67

2.3 Description du stade TA1 . . . . 69

2.3.1 Aper¸cu du fonctionnement . . . . 70

2.3.2 Profil utilisateur . . . . 71

2.3.3 Premi`ere solution . . . . 72

2.4 Vue d’ensemble de la solution TA et diff´erents composants . 73

2.4.1 Application App . . . . 73

2.4.2 Zoom sur le SDK B&W et place du module FAST . . . . 74

2.5 Introduction aux mod`eles de s´ecurit´e . . . . 75

2.5.1 Mod`ele en boˆıte blanche . . . . 76

2.5.2 Mod`ele en boˆıte noire . . . . 77

2.6 Limitations au stade TA1 . . . . 79

2.6.1 Limitations L0 et L1 ou le manque d’attributs diversifi´es . . . . 79

2.6.2 Limitation L2 ou la gestion d’attributs variables . . . . 81

2.6.3 Limitation L3 ou l’importance d’un attribut . . . . 82

2.7 R´ecapitulatif . . . . 83

En pr´esentant le projet TA, le but de ce chapitre est de poser le cadre des travaux

pr´esent´es dans ce manuscrit. L’id´ee sera de donner une vue d’ensemble du projet TA

en orientant les d´ebats vers les probl´ematiques qui nous sont propres. Le stade TA1

pr´esentera l’´etat de la solution propos´e par equensWorldline en r´eponse `a l’appel `a projet

de la Soci´et´e G´en´erale. La fin de ce chapitre proposera alors un r´ecapitulatif des requis

que la solution TA devra respecter tout en soulignant les limitations du stade TA1 au

regard de la vie priv´ee des utilisateurs finaux. Toutes les notions et d´efinitions pr´esent´ees

dans ce chapitre sont informelles et ont un but illustratif ; une formalisation sera propos´ee

dans le prochain chapitre.

2.1 Contexte industriel

Worldine (equensWorldline depuis 2016) est un sp´ecialiste du domaine du paiement dans

un contexte B2B2C (pour Business to Business to Customer). Plus concr`etement,

equensWorldline fournit au banques des solutions de paiement, qui elles-mˆemes les

adaptent alors `a leurs clients qui constituent les utilisateurs finaux. Deux cas d’usage

majeurs sont identifi´es dans l’activit´e de equensWorldline :

• le paiement de proximit´e o`u l’utilisateur proc`ede `a son achat chez le commer¸cant via,

en g´en´eral, une lecture de sa carte bancaire par un terminal de paiement ´electronique

(TPE) ;

• le paiement en ligne o`u l’utilisateur, `a distance, proc`ede `a un paiement via un

appareil connect´e (ordinateur, smartphone, tablette) transmettant des donn´ees li´ee

`a sa carte de paiement.

Tendances du march´e

Le paiement en ligne est d´esormais install´e dans les habitudes des utilisateurs. Faire

transiter, `a chaque transaction, des donn´ees bancaires sur le net est risqu´e pour les

utilisateurs. Les mal-nomm´es porte-monnaies ´electroniques agissent comme des tiers

permettant d’authentifier les utilisateurs en leur attribuant un couple (identifiant, mot

de passe) moins sensibles `a manipuler que lesdites donn´ees bancaires. PayPal, PayLib

ou encore V.me et Masterpass respectivement port´ees par les groupements Visa et

Mastercard sont de telles solutions ; Paylib est une solution fournie par equensWorldline

`a de nombreuses banques telles que la BNP Paribas, la Soci´et´e G´en´erale ou encore la

Banque Postale.

Le paiement de proximit´e a r´ecemment connu un renouveau ces derni`eres avec

l’´emergence du paiement sans contact. Que ce soit la carte bancaire de l’utilisateur ou

son smartphone, ce sc´enario de paiement permet une exp´erience utilisateur am´elior´ee

par l’usage de la technologie Near Field Communication (NFC). Dans le cas du

paiement mobile, la communication avec le TPE se fait par l’interm´ediaire d’un ´el´ement

s´ecuris´e [101] pr´esent sur le t´el´ephone. Ce rˆole est souvent jou´e par la carte SIM (Subscriber

Identity Module) de sorte que les fournisseurs de telles solutions doivent s’entendre avec

les op´erateurs t´el´ephoniques. La technologie Host Card Emulation (HCE) permet de

s’affranchir de la pr´esence d’un ´el´ement s´ecuris´e [102] et propose donc une alternative

logicielle vers laquelle les banques se tournent. Comme nous le verrons, la contrainte

principale ´edit´ee par la Soci´et´e G´en´erale, avant l’av`enement de HCE ´etait ´egalement de

fournir une solution ne reposant pas sur un ´el´ement s´ecuris´e.

Pour assurer interop´erabilit´e et niveau de s´ecurit´e ad´equat, de telles solutions de

paiement doivent respecter certains standard et recommandations ´edit´ees par des autorit´es

reconnues.

Autorit´es dans le monde du paiement

En plus des bonnes pratiques ´edit´ees par les ´etats, les soci´et´es de carte de paiement

publient des sp´ecifications que toute solution devra respecter pour ˆetre certifi´ee.

Soci´et´es de cartes de paiement Pour equensWorldline, les groupements EMV (pour

Europay Mastercard Visa) et CB (pour Cartes Bancaires) [103] constituent les principales

autorit´es `a convaincre de la bonne qualit´e des solutions propos´ees. Il existe certains

standards `a respecter :

• La norme PCI DSS (Payment Card Industry Data Security Standard) a ´et´e ´elabor´ee

par les soci´et´es de carte de paiement, c’est-`a-dire American Express, Discover

Financial Services, JCB International, MasterCard Worldwide et Visa Inc, pour

aider `a faciliter une large adoption de mesures de s´ecurit´e des bases de donn´ees. Ces

mesures sont d’ordre structurel (contrˆole d’acc`es, r´eseau s´ecuris´e; . . . ) et techniques

(s´ecurit´e de l’information, protection de donn´ees sensibles,. . . ).

• En vigueur depuis 2008 en France, le protocole 3-D Secure, port´es par Visa et

Mastercard, est une solution d’authentification en ligne. Avant de terminer son

paiement, l’utilisateur re¸coit un SMS sur son t´el´ephone et le rentre sur son navigateur

pour r´ealiser une authentification forte en prouvant la possession dudit t´el´ephone.

Avec le dispositif 3-D Secure, ce sont d´esormais les banques qui sont responsables

transactions frauduleuses et des ´eventuels d´edommagements cons´ecutifs.

• L’usage de la technologie HCE, qui permet `a un smartphone d’´emuler un carte

bancaire, `a des fins de paiement est ´egalement sujet `a des certifications Visa [104]

et Mastercard [105]. Obtenir ces certifications, `a renouveler tous les ans, est un

objectif majeur de equensWorldline.

Via l’appel `a projet de la SG, le paiement 3-D Secure a indirectement conduit au projet

TA tandis que l’´emergence de la technologie HCE a apport´e de nouveaux cas d’usage dont

certaines probl´ematiques reprennent celles de TA (e.g. solution exclusivement logicielle).

Autorit´es ´etatiques Le paiement fait n´ecessairement appel `a des notions

d’authentification et donc de cryptographie. equensWorldline, acteur majeur dans les

solutions de paiement doit se plier `a des r`egles et bonnes pratiques (e.g. gestion

de cl´es cryptographiques) concernant les syst`emes d’information qui, en France, sont

principalement port´ees par l’Agence Nationale de la S´ecurit´e des Syst`emes d’Information

(ANSSI) [106, 107]. Aux ´Etats-Unis, le NIST [108] (National Institute of Standards and

Technology) joue le mˆeme rˆole et a une port´ee plus internationale.

D’autre part, la nature des informations potentiellement manipul´ees par

equensWorldline pose la question du respect de la vie priv´ee des utilisateurs. La

Commission Nationale de l’Informatique et des Libert´es (CNIL) a alors pour rˆole d’´editer

les requis `a satisfaire pour tout syst`eme d’information [109].

2.2 Les contours du projet Trusted Authentication

Dans le document Protocoles cryptographiques pour l’authentification numérique et le respect de la vie privée (Page 67-70)