Sécurité et Moyens de Paiements

Sécurité et Moyens de PaiementsECITV - 18 Juin 2015

Plan

• Présentation• C’est quoi la sécurité ?• Pourquoi sécuriser une application ?• Comment fonctionne un paiement en ligne ?• E-Commerce, des nouveaux risques• Moyens de paiements• Protection des paiements• Prestataires de paiements

Présentation

Frédéric BAILLONPrésident de [email protected]

Plusieurs années dans différents environnements traitant de sécurité

C’est quoi la sécurité ?

Quand peut on dire que nous sommes en sécurité ?

Penser la sécurité

Comment pense-t-on la sécurité ?


Exercice subversifC’est quoi la sécurité ?

Fonctionnement d’une serrureC’est quoi la sécurité ?

Images depuis http://korben.info/sensibilisation-au-lockpicking.html

Fonctionnement d’une serrureC’est quoi la sécurité ?

Images depuis http://korben.info/sensibilisation-au-lockpicking.html

Je n’ai pas la clé

• Le crochetage• Les bumpkeys et les pickguns,• L’impression, la copie de clé illicite et la

fabrication de passe-partout...


Le crochetageC’est quoi la sécurité ?

Pourquoi sécuriser une application ?

Aspect juridique

Un accroissement des responsabilités des dirigeants face à la sécurité des informations numériques

• + de protection des données• + de traçabilité• Nul n’est censé ignorer la loi• Sensibilisation du personnel interne / externe• Mettre l’entreprise en conformité avec la législation

Engagement de la responsabilité civile et / ou pénale• Directive européenne : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amendes


OWASPOWASP : Open Web Application Security Project - Organisation mondiale à but non lucratif

http://www.owasp.org

Son rôle : sensibiliser à la sécurité des Applications Web pour aider à prendre les bonnes décisions en matière de sécurité

Evènements et présence :

● Des conférences à travers le monde

● Des listes de diffusion spécifiques● Des chapitres locaux

Des matériels :

● documentations (Top10, Cheats Sheets, Normes, Guides, …)

● outils (Samy, ZAP)● code (Librairies)


Fonctionnement du webPourquoi sécuriser une application ?

Fonctionnement du web

Injection SQLPourquoi sécuriser une application ?

Dès lors qu’un utilisateur peut interagir avec le site, il peut aussi entrer des informations non attendues.

Une requête SQL classique pour la vérification de mots de passe est SELECT * from admins WHERE login='$login' AND password='$password'

Que se passe-t-il si je rentre pour l’identifiant ?

' OR 1=1#

la requête devient alors SELECT * from admins WHERE login='' OR 1=1

Méditation créative

1 2 3

4 5 6

7 8 9

relier les 9 trésors

4 lignes droites

sans lever le stylo


Comment fonctionne un paiement en ligne ?

1ère étape

Le site marchand ou le PSP (Payment Service Provider) génère le formulaire pour collecter les données de la carte du client et l’envoi au navigateur du client.

2ième étape

Le client saisit les informations de sa carte et valide le formulaire. Le navigateur envoie donc les données de la carte au PSP ou au site marchand.

3ième étape

Les données sont reçues par le PSP ou le site marchand et transmises au système de paiement pour autorisation.

Les données doivent absolument être chiffrées lors du transit entre les différentes parties

E-commerceLe paiement sans contact

• fait directement à partir d'une carte ou d'un téléphone mobile

Le e-commerce• possible à partir d’un numéro de carte bleue et d’une date de fin de

validité

E-commerceLa sécurité E-Commerce• doit être partie intégrante du processus de sécurité d’une

application• a ses propres spécificités et est un des principaux (et des plus

visibles) composants affectant l’utilisateur final au travers de ses paiements sur Internet

Moyens de paiementsCarte bleue

Vous avez vraiment besoin d’explication ?

E-carte bleue• service bancaire qui génère un numéro de carte éphémère et pour un montant maximum

pour chaque transaction à réaliser sur Internet• le numéro de carte bancaire réelle n’est pas utilisé et n’apparaît donc pas dans la

transaction• le montant maximum de l’e-carte est défini et le marchand ne pourra pas utiliser un

montant supérieur

Moyens de paiementsM-Paiement

• toutes les transactions effectuées depuis un téléphone mobile, le paiement peut être débité• d’une carte bancaire• d’un porte-monnaie électronique• d’une facture d’opérateur téléphonique

• 4 catégories de paiements par mobile• paiement en ligne• paiement sans contact sur une borne• transfert d’argent de mobile à mobile• paiement par SMS

• Exemples de technologies• Internet Mobile• NFC• SMS• QR Code• Bluetooth

Moyens de paiementsGoogle Wallet

• système de paiement mobile développé par Google• permet de stocker ses cartes de débits, crédits, …• peut utiliser la technologie NFC pour le paiement sans contact avec les terminaux de

paiementsDepuis 2013, Google a intégré Gmail et Google Wallet pour pouvoir envoyer de l’argent en pièce jointe d’e-mails.

• le code PIN à 4 chiffres de l’application peut être trouvé assez rapidement grâce au bruteforce (10 000 combinaisons)

• facilement sujet à des attaques dès lors qu’une faille est découverte sur le système du téléphone car stocké directement en crypté sur le téléphone

• il est également recommandé de ne pas “rooté” son téléphone Android

Moyens de paiementsEt bien d’autres• Apple Pay• Amazon Payment• Paypal (porte-monnaie électronique)• ...

Pré requisPré requis essentiels d’une bonne sécurité E-commerce

• Intégrité• Non répudiation• Authenticité• Confidentialité• Chiffrement• Disponibilité

Protection des paiements

MesuresDes mesures à prendre pour assurer la confiance

• Chiffrement• Signature Digital• Certificats de sécurité


HTTPS• Couplage du protocole HTTP avec une couche de chiffrement (comme

SSL)• Protocole de transfert hypertexte sécurisé

• Permet à l’utilisateur de vérifier l’identité du site Web• Certificat d’authentification émis par une autorité tierce réputée fiable• Garantit la confidentialité et l’intégrité des données transmises entre

le navigateur du client et le serveur

• Un meilleur référencement du site e-commerce (http://googlewebmastercentral.blogspot.fr/2014/08/https-as-ranking-signal.html)


Certificat SSL• signé par un tiers de confiance qui assure le lien entre l’entité

numérique (le site) et l’entité physique (la société)• active le chiffrement des donnés au travers du protocole HTTPS• 2 méthodes de chiffrement : clés asymétriques et clés symétriques• Plusieurs types de certificats

• X.509 standard : certificat classique, chiffrement entre 40bits et 256bits

• X.509 étendu : affiche l’indicateur EV (Extended Validation)

• X.509 wildcard : permet de rendre générique une partie du domaine (ex : *.darkmira.fr -> www.darkmira.fr, tour.darkmira.fr, mais pas darkmira.fr)

• X.509 multisite : certificat contenant une liste de noms de domaine

Certificat SSL

Certificat SSL• Certificate

• Version• Serial Number• Algorithm ID• Issuer• Validity

• Not Before• Not After

• Subject• Subject Public Key Info• Public Key Algorithm

• Subject Public Key• Issuer Unique Identifier (optional)• Subject Unique Identifier (optional)• Extensions (optional)

• …• Certificate Signature Algorithm• Certificate Signature

Certificat SSLProtection des paiements

TokenisationProblématique : Les données sensibles associées à la carte de paiement et à son détenteur ne doivent être détenues que entre l’acheteur et la banque / système de paiement.

Tokenisation - solution sécurisée appliquée aux paiements en ligne• solution récente

• Apple Pay l’intègre depuis son lancement en 09/2014• Visa et Mastercard approuve au même moment la tokenisation comme solution de sécurisation des

transactions (en particulier sans carte)

=> En cas de vol ou de failles permettant de lire les données, le risque induit par la transmission de données sensibles est grandement réduit.


TokenisationLes tokens doivent

• remplacer les données sensibles par des substituts

• n’ont aucun lien avec les données

• être créés à partir de caractères / nombres aléatoires et doivent n'avoir aucun lien avec les données qu'ils remplacent

• avoir le même format, la même taille et les mêmes caractéristiques que les données originales

Norme EMV - https://www.emvco.com/specifications.aspx?id=263


3D Secure• Protocole sécurisé (basé sur XML) de paiement sur Internet

• Utilisé par Visa et Mastercard (appelation Verified by Visa et Mastercard SecureCode) puis American Express ...

• Ajoute une couche de sécurité aux paiements en ligne en demandant une information d’identification en plus de l’information financière

Une des méthodes principales pour combattre la fraude• Redirige le client sur une page spécialisée de la banque pour renseigner une ou plusieurs

informations personnelles• envoi d’un code par sms sur son téléphone• un mot de passe• une date de naissance• un e-mail


3D Securepasse une commande

Utilisateur essaye de payer en renseignant les

informations de sa carte

3D Secure demande des informations pour identifier l’utilisateur (ex. : code par

SMS)

Informations non valides

Transaction refusée

Nouvel essai

Continue avec la transaction


3D SecureProtection des paiements

Card Security CodeCode de sécurité

• valide l’authenticité de la carte utilisée lors d’une transaction financière• valide que le consommateur a bien la carte en main• imprimé sur le devant ou le dos des cartes de crédits• créé pour les paiements où le code PIN ne peut être utilisé (téléphone, mail, achat sur

internet)• différents noms suivants les cartes (CVN2, CVC2, CID, CVV2, …)

Apparition• Mastercard 1997• American Express 1999• Visa 2001

Les paiement sans contact ont leur propre système de code généré électroniquement comme le ICVV ou le Dynamic CVV


Card Security CodeLa PCI DSS interdit le stockage du CSC lors d’une transaction• un marchand ne doit ainsi pas stocker ce code dans son système lorsque vous lui

fournissez• si les données de transactions sont volées, le pirate n’obtient pas le code et ne peut pas

effectuer d’autres achatsLe code de sécurité n’est pas inclus dans la bande magnétique ni la carte à puce

• donc n’est pas transmis automatiquement lors d’une transaction face à face avec un marchand


Card Security Code

3 numéros sur le dos de la carte pour Visa / Mastercard

4 numéros sur le devant pour American Express

Il est recommandé de retenir ce numéro et de l’effacer de la carte


Chaque banque française (CIC, HSBC, BNP, …) propose plusieurs services pour intégrer leur solution de paiement à votre site e-commerce. Chaque formule apporte plus ou moins de fonctionnalités et supports :

• leur kit API (à intégrer à votre site e-commerce)• la page de paiement international• le paiement multi-devise• la gestion multi-compte / multi-site• le support• …

Pour la plupart, le kit propose sur le site des paiements par :• Cartes bancaires ou cartes privatives (Aurore, American Express, …)• Paiement par débit du compte via Paypal• Facilité de paiements via la mise en place de crédits en ligne

Il convient ainsi de comparer les différentes banques / services et leurs tarifs : • des frais d’ouvertures• un abonnement mensuel• des commissions sur les ventes

Les solutions bancaires Prestataires de paiements

Les solutions Paypal• qui ne connaît pas Paypal ?• créé en 1998, racheté par Ebay en 2002• service de paiements en ligne pour payer ses achats sur internet, recevoir des paiements,

transférer de l’argent ou en recevoir• inscription gratuite et ne nécessite pas l’obtention d’un contrat de vente à distance• montant fixe par vente de quelques centimes + commission sur les ventes (possibilité d’un

abonnement mensuel pour bénéficier de tarifs + avantageux)Paypal propose la possibilité de ne pas avoir à saisir sa carte bancaire à chaque transaction d’achat

• possibilité de renseigner son compte bancaire ou sa carte de crédit pour débit lors d’une transaction

• compte protégé uniquement par un e-mail et un mot de passe (nécessité de fournir un mot de passe fort)

Prestataires de paiements

La solution Stripe• Simple d’utilisation et opérationnel rapidement

• Installation rapide, peu de configuration• possibilité d’intégrer Stripe sans avoir à ce créer un compte marchand• s’intègre très facilement aux checkouts, modules existants pour les CMS

• montant fixe de 0,30cts + 2,9% sur les ventes• accessible actuellement dans peu de pays (malgré une bêta en France)• Supporte l’Apple Pay et les transactions Bitcoin

Prestataires de paiements

Autres solutions• Payplug• HiPay• ...

ou pour des besoins adaptés à un pays précis, ex: le brésil, PagSeguro

Merci

QUESTIONS?