Mme Nejla BelouizdadDirectrice Organisation et Sécurité Monétique

TEL: +213 (0) 21 56 25 00.FAX: +213 (0) 21 56 18 98.

E-mail : nejla.belouizdad@satim-dz.com46, Rue des fréres Bouadou (Ex Ravin de la femme Sauvage) Bir Mourad Rais , ALGER

EMV

PLAN1. Présentation de Satim

2. Sécurité de la Transaction Monétique Interbancaire

3. La certification appliquée à la transaction de paiement EMV ( Paiement de proximité sur TPE )

4. Règles de sécurité appliquées au paiement en ligne par carte

2SICE2011

PRESENTATION DE SATIM

3

La Société d’Automatisation des Transactions Interbancaires et de

Monétique « SATIM » a été créée en 1995 par les Banques

Publiques suivantes : la BNA, la BADR, la BEA, la CNEP, le CPA, la

BDL , AL BARAKA et la CNMA.

Elle est devenue aujourd’hui l’opérateur du secteur financier

spécialisé dans la promotion et dans les prestations de services en

rapport avec la modernisation, la normalisation et les transactions

.monétiques interbancaires

PRESENTATION DE SATIM

4SICE2011

ARCHITECTURE DU SYSTEME MONETIQUE INTERBANCAIRE

Centre de Pré-compensation Interbancaire (CPI) Emetteurs

SATIM

Acquéreurs

Spécifications Techniques

Normes Interbancaires

Tarification Interbancaire

Règles de Sécurité

GABAgence Bancaire

Centre de Personnalisation

TPECommerçant

19 Membres Adhérents

SITE WEB

5

HOST

SICE2011

MEMBRES ADHÉRENTS AU SYSTÈME

MONÉTIQUE INTERBANCAIRE

19 membres adhérents :18 banques

Algérie Poste

6SICE2011

PRINCIPALES MISSIONS DE LA SATIM

Assure la gestion des flux transactionnels interbancaires

Met en place et développe les moyens de paiement électronique.

La SATIM est l’opérateur monétique interbancaire Algérien

Assure également une veille pour se maintenir au niveau des évolutions technologiques en matière de monétique.

Garantie la Sécurité de toute transaction monétique

Dispositifs de Sécurité

INTERBANCARITESECURITE

& CONFIANCE

VEILLE

TECHNOLOGIQUESERVICES

Intégration, Gestion & Assistance DAB/GAB & TPEPersonnalisation cartesAcquisition Transactions/RoutageTraitement des litigesGestion des Bases de données porteurs & commerçants

Standards internationaux

EMV

7

Cryptographie

SICE2011

Normes & Règles de sécurité

LES OBJECTIFS DES STANDARDS INTERNATIONAUX EMV

Assurer l’interopérabilité En standardisant les échanges carte/terminal

Lutter contre la fraude

En renforçant la sécuritéTechnologie PUCE, Certificats numériques, Clés Cryptographiques (RSA,3DES), …

EMV

8SICE2011

9

SECURITE DE LA TRANSACTION MONETIQUE INTERBANCAIRE

EMV

Satim est l’opérateur monétique interbancairechargé de garantir la sécurité pour toutetransaction monétique.

10

SECURITE DE LA TRANSACTION MONETIQUE INTERBANCAIRE

SICE2011

11

Centre de Gestion des Clés

cryptographiques

Personnalisation

Cartes

Préparation des données pistes et

puces

Autorisation

Vérification PIN

Retrait sur piste magnétique

Paiement sur Puce EMV

Code Confidentiel

(PIN)

Génération &

Impression

Acquisition

PIN 3DES

Transchiffrement

Gestion des clés DAB/TPE

SECURITE DE LA TRANSACTION MONETIQUE INTERBANCAIRE

SICE2011

12

OBJECTIF DE LA SECURITE DU RESEAU MONETIQUE INTERBANCAIRE

Centre de Gestion des Clés

cryptographiques

Personnalisation

Cartes

Autorisation

Code Confidentiel

(PIN)

Acquisition Objectif CommunAuthentification de

la carte et du Porteur

Garantir une transaction sans risque de fraude

SICE2011

13

PARAMETRES D’AUTHENTIFICATION

Ou sont-ils stockés

Carte à Puce

Séc

uri

téDesign monolithique rend l’accès aux circuits interne de la puce, la duplication ou la copie très difficile.

verrouillage ,physique et logique de la puce, irréversible après chaque étape du processus de fabrication

La puce est dotée de détecteurs d’intrusions: carte devient muette

Utilisation de données sécuritaires depuis sa fabrication jusqu’à sa personnalisation

• N° Série Unique (écriture irréversible)

• Verrouillées par des clés secrètes

Fabriquant Puce

• Références émetteur(uniques)

• N° série de la carte Unique

• Verrouillées par des clés secrètes/code secret

Fabriquant Carte

(Initialisation) • Données porteur

• Clés cryptographiques

Personnalisation

Le réseau monétique interbancaire à adopté la technologie de la carte à puce qui s'accompagne de plusieurs

avantages.

SICE2011

14

Données client

(Spécifiques à

chaque carte)

Identification application

Données de gestion de risque

Données système de

l’application

Données cryptographiques

Nom

N° carte

Date de début de validité

Date Exp

Code service

Piste ISO 2

Autres…

Règles d’utilisation de la carte

Méthode d’authentification

Code pays de l’émetteur (Banque)

Code devise

Autres…

Nombre de transactions autorisées en Off-line

Montant MAX cumulé des TRX approuvées en off-line

Autres…

Identifiant de l’application (AID)

Nom application(CIB)

Langages utilisés

Autres…

PARAMETRES D’AUTHENTIFICATION

Le Réseau Monétique Interbancaire Algérien utilise la méthode d’Authentification SDA

SICE2011

15

Données cryptographiques

EMV Standards Internationaux EMV

1234Code Confidentiel (PIN)

3 D E S

3 Clés Triple DES

PARAMETRES D’AUTHENTIFICATION

Signature numérique Certificat Numérique

1 Paire de clés RSA Emetteur

(Public/Privée)

SICE2011

LA CERTIFICATION ELECRONIQUE

APPLIQUEE A LA MONETIQUE

EMV

16

CERTIFICAT ÉLECTRONIQUE

Document numérique attestant de la propriété d’une clé publique par une

Entité : identification

Format : Réseau Internationaux adapté à la carte domestique

Comprend: Clé publique

Exposant

Longueur du modulo de la clé publique

Nom de l’émetteur: Etablissement financier

BIN ISO émetteur (délivré par APACS)

AID (Application Identification Number)

Date d’expiration de la clé

Numéro de série

17SICE2011

SIGNATURE ÉLECTRONIQUE

Intégrité, non répudiation et authentification

Empreinte

d + S

hachageh(d)

CodageClé privée

Signature S

S DécodageClé publique

h(d)hachage

dh(d)=

Donnée

d

18SICE2011

19

Organisme commun pour garantir la confidentialité,

l'authentification, l'intégrité

et la non-répudiation.

Infrastructure à Clés Publiques (ICP) ou PKI (Public Key

des clés certifie et signature utilise des mécanismes de Infrastructure) :

publiques qui permettent de chiffrer et de signer des messages ainsi que des

données.

Dans le domaine de la certification électronique appliquée à la monétique,

SATIM assure le rôle de tiers de confiance dans le processus de traitement

d’une transaction de paiement par carte.

SICE2011

20

EMV OBJECTIFS DE L’INFRASTRUCTURE PKI

Sécuriser les transactions financières entre les membres du système de paiement

Garantie que les parties sont Authentifiées

AcquéreurEmetteur

SATIM (Tiers de Confiance)

SICE2011

21

EMV OBJECTIFS DE L’INFRASTRUCTURE PKI

Sécuriser les transactions financières entre les membres du système de paiement

AcquéreurEmetteur

SATIM (Tiers de Confiance)

La confidentialité : chiffrer les données transmises

L’intégrité : être assuré que les données transmises ne sont pas altérées

La non répudiation : avoir la preuve que le message a bien été reçu par les deux

partiesSICE2011

LA CERTIFICATION APPLIQUEE POUR LE

PAIEMENT SUR TPE ( PROXIMITE )

EMV

22

Etape 1 : Certification de la clé publique de l’émetteur (SDA)

SATIMTiers de Confiance

Clé Privée

Ss (Satim)

Clé Publique

Ps (Satim)

Emetteur

Clé Privée Si

(Emetteur)

Clé Publique

Pi (Emetteur)

• La clé publique de l’émetteur Pi est certifiée par Satim

qui agit en tiers de confiance.

Terminal

Acquéreur

Si, Pi générées par Satim pour les émetteurs 1

Pi Certifiée

avec Ss

Satim certifie PiEt génère un certificat de Pi avec Ss

2

PROCESSUS DE CERTIFICATION

23SICE2011

Etape 2 : Distribution des clés & Personnalisation

Emetteur

Clé Privée Si

(Emetteur)

Clé Publique

Pi (Emetteur)

Pi Certifiée

avec Ss

SATIMTiers de Confiance

Clé Privée

Ss (Satim)

Clé Publique

Ps (Satim)

Terminal

Acquéreur

La clé Publique de Satim est

chargée dans tous les TPE1’

Satim (émetteur) charge dans

la carte : SDA, Pi certifiée,

données

2

Utilisée pour la

création de la

signature numérique

de la carte

Satim (émetteur) génère la SDA basée sur le N° carte & autres données

1

24

PROCESSUS DE CERTIFICATION

• La signature est unique par carte (SDA)

• Pi est unique par émetteur

• Ps est la même pour tous les TPE

SICE2011

Le TPE vérifie l’authenticité de l’émetteur

Récupération de la clé publique de l’émetteur

Clé Publique

émetteur certifiée

Signée avec la clé privée de Satim1

Avec la clé publique de Satim, le

TPE vérifie la valeur de :

La clé publique de l’émetteur

2

Clé

Publique

Satim

PROCESSUS D’AUTHENTIFICATION

25

Etape 3: Authentification

SICE2011

Le TPE vérifie que les données sensibles sont intègres

Vérification de la signature de données sensibles

Données sensibles1

Signature des données sensibles (condensé des

données sensibles signé avec la clé privée de

l’émetteur )

2

Le TPE compare le condensé recalculé avec celui retrouvé au point (3)

5

PROCESSUS D’AUTHENTIFICATION

26

3 Avec la clé publique de Satim, le condensé des données sensibles est retrouvé

4 Le TPE recalcule le condensé

Etape 3: Authentification

Clé

Publique

Satim

SICE2011

RÈGLES DE SÉCURITÉ APPLIQUÉES

AU PAIEMENT EN LIGNE PAR CARTE

27

Le paiement en ligne par carte bancaire est le mode depaiement le plus utilisé par les internautes et ne cesse des’accroitre grâce à la confiance établie qui se renforce avec larégularité des paiements.

La confiance dans la sécurité des transactions en ligne est l’un des leviers majeurs du développement du paiement sur Internet

PAIEMENT EN LIGNE

SICE2011 28

Les nouvelles normes de sécurité mises en place, par les organismes internationaux, pour contrer le risque de fraude, reposent sur des règles de sécurité auxquelles tous les intervenant dans la transaction de paiement en ligne doivent respecter.

Parmi ces règles nous citerons :

Utilisation de la norme PCI-DSS (Payment Card Industry Data

Security Standard) pour la protection des données cartes ( protection du Réseaux, cryptage des Bases de données, gestion des mots de passe, règles d’archivage, protection contre les VIRUS, …)Sécurisation des échanges par des certificats SSL

Utilisation du Protocol 3D-Secure

SECURITE DU PAIEMENT EN LIGNE

SICE2011 29

3D-Secure est un protocole qui définit les relations entre les parties impliquées dans la transaction de paiement en ligne :

Le Domaine Emetteur : responsable de l’activation du porteur et de son authentification .

Le Domaine Interbancaire : facilite les échanges entre les deux autres domaines avec un protocole commun et des services partagés.

Le domaine acquéreur : responsable de l’intégration de l’entreprise par la signature d’une convention.

SECURITE DU PAIEMENT EN LIGNE

SICE2011 30

3D-SECURE ou NON ?

3D-SECURE• Authentification: Utilisation

d’un "secret ou donnée sensible" partagé entre le porteur et sa banque au moment de la transaction.

• Engage la responsabilité du porteur

• L’entreprise est assurée d’être payée puisqu’un principe de non répudiation des transactions a été mis en place.

NON 3D-SECURE• L’entreprise qui supporte la

fraude

• Le client est remboursé en cas de répudiation de la transaction.

• Les données de la carte peuvent être interceptées par un tiers.

SICE2011 31

CINEMATIQUE DE LA TRANSACTION de Paiement en ligne 3D-SECURE

Achat et paiement par Internet 1

2

Notification Entreprise avec un ID paiement

Affiche la réponse du serveur d’autorisation Rediriger le client vers l’URL Entreprise

8

6

Rediriger le client vers la plateforme de paiement en ligne

4

Centre Interbancaire

Autorisation/Switch

Demande

d ’autorisation7

Internet

SICE2011 32

Site WEB

Entreprise

5

PLATEFORMEPAIEMENT EN LIGNE

Mme Nejla BelouizdadDirectrice Organisation et Sécurité Monétique

TEL: +213 (0) 21 56 25 00.FAX: +213 (0) 21 56 18 98.

E-mail : nejla.belouizdad@satim-dz.com46, Rue des fréres Bouadou (Ex Ravin de la femme Sauvage) Bir Mourad Rais , ALGER