Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Réseau veineux - Analyse comportementale - Voix - Signature dynamique - Frappe au clavier - Démarche ...

Biométrie mobile

Sécuriser les paiements virtuels sur smartphones

Sécuriser les paiements virtuels sur smartphones

Aujourd’hui, il existe une grande variété de smartphones sur le marché. Pour de nombreuses personnes, le smartphone est devenu un élément essentiel de leur vie professionnelle et personnelle, avec lequel ils peuvent passer des appels, envoyer et recevoir des SMS et naviguer sur Internet à la recherche de produits à acheter.

Professionnellement, les smartphones peuvent être utilisés pour accéder à l’intranet de l’entreprise, ainsi qu’aux fichiers et données confidentiels de l’entreprise. En raison de cette utilisation accrue de nos smartphones et des fonctionnalités supplémentaires dont ils disposent désormais, la sécurité est devenue une préoccupation majeure.

Si un smartphone est perdu ou volé et qu’il tombe entre de mauvaises mains, les informations qui y sont stockées peuvent être exploitées par des individus malveillants. La plus grande menace à l’heure actuelle est probablement celle du vol d’identité. À l'heure actuelle, le seul moyen viable de protéger les informations sur le smartphone consiste à utiliser un mot de passe ou un code PIN, ou une combinaison des deux, pour accéder à l'appareil.

De nos jours, les smartphones peuvent également être utilisés pour effectuer des achats en ligne, depuis la recherche de produits jusqu'au paiement des achats et à l'organisation de l'expédition. Ce processus est spécifiquement connu sous le nom de « paiement virtuel ». Les informations supplémentaires nécessaires pour effectuer des achats en ligne sont stockées sur le téléphone, ce qui nécessite un niveau de sécurité plus élevé. L’identification biométrique pouvant être la solution, l’intérêt pour cette technologie s’est accru et la mise en œuvre de la biométrie dans la technologie des smartphones a déjà commencé.

L’objectif principal de cet article est de décrire comment la biométrie peut être utilisée pour sécuriser les paiements virtuels avec les smartphones. Plus précisément, cet article abordera les sujets suivants :

  • Une définition formelle d'un paiement virtuel.
  • Les composants d'un paiement virtuel : l'application mobile, les protocoles Near Field Communication et le Trusted Service Manager.
  • Les menaces de sécurité posées aux paiements virtuels.
  • Comment la biométrie peut être utilisée pour atténuer les menaces de sécurité.
  • Les impacts sociaux des paiements virtuels.
  • Conclusions.

Paiement virtuel

Un paiement virtuel peut être défini comme « une fonctionnalité sur un appareil mobile qui peut interagir en toute sécurité avec des objets de valeur numérisés. »1

Les paiements virtuels impliquent trois éléments distincts :

  • Une application logicielle connue sous le nom de « portefeuille mobile ».
  • Le protocole de communication en champ proche.
  • Le gestionnaire de services de confiance.

Portefeuille mobile

Un portefeuille mobile est une application mobile qui peut être téléchargée instantanément sur presque n'importe quel smartphone moderne. Le portefeuille mobile contient pratiquement toutes vos données financières, telles que les détails de votre carte de crédit et de débit. Une fois que vous avez sélectionné un produit sur votre smartphone, il vous suffit de lancer l'application mobile wallet et le paiement est traité instantanément. Avec l’avènement du portefeuille mobile, le monde pourrait théoriquement devenir une société sans numéraire, car il suffirait d’un smartphone avec un portefeuille mobile.

L'application de portefeuille mobile la plus populaire disponible aujourd'hui est Google Wallet. Il a été lancé en 2011 et Google l'a conçu de manière à couvrir l'ensemble de l'expérience d'achat, plutôt que de simplement permettre le paiement des achats en ligne. Selon un livre blanc de First Data : « Il s’agit de regrouper plusieurs aspects du commerce en un seul endroit pour offrir plus de valeur aux consommateurs et aux commerçants. »2

Protocole de communication en champ proche

Le protocole réseau qui permet d’effectuer des paiements virtuels est un protocole sans fil appelé « Near Field Communication » (NFC). Bien que cela puisse paraître complexe, le protocole NFC repose simplement sur les normes d’identification par radiofréquence (RFID).

Le NFC est une communication radio bidirectionnelle entre deux points de contact – en l'occurrence entre le smartphone et le lecteur NFC situé dans un magasin. Ces points de contact doivent être très proches les uns des autres, généralement à quelques centimètres seulement l’un de l’autre.

Pour permettre la communication radio avec un lecteur NFC, le smartphone est équipé d'un ensemble de très petits fils enroulés et d'une puce intelligente appelée « tag NFC ». Cette balise est utilisée pour permettre de transmettre en toute sécurité les données financières du portefeuille mobile au lecteur NFC. La capacité mémoire de ces balises NFC se situe entre 96 et 4 096 octets. C'est le smartphone qui initie la communication avec le lecteur NFC. Ce processus est connu sous le nom de « couplage inductif ».

Gestionnaire de services de confiance

Le troisième composant majeur d'un paiement virtuel est le Trusted Service Manager (TSM). Ce composant permet de sécuriser la communication entre le tag NFC du smartphone et le lecteur NFC situé dans un magasin. Plus précisément, le TSM « permet à l'utilisateur de saisir son numéro de compte dans son portefeuille mobile, de s'authentifier auprès de l'institution financière et d'utiliser ces informations de paiement à partir du portefeuille mobile. »2

Il existe deux domaines principaux dans les paiements virtuels qui sont vulnérables aux menaces de sécurité :

  • L'application mobile elle-même.
  • La connectivité sans fil.

Menaces liées à l'application mobile

Pour le moment, Google Wallet et d’autres applications de portefeuille mobile utilisent uniquement un code PIN, un mot de passe ou, au mieux, une combinaison des deux pour protéger le compte du client. Étant donné que les codes PIN et les mots de passe peuvent être interceptés et détournés très facilement, ils sont désormais considérés comme des formes de sécurité très faibles.

Menaces liées à la connectivité sans fil

Dans ce cas, nous faisons principalement référence au NFC entre le tag NFC présent dans le smartphone et le lecteur NFC situé dans un magasin. Bien que la distance de connexion sans fil entre le tag NFC et le lecteur NFC soit très courte, la connectivité sans fil n'est toujours pas protégée. Avec les bons outils de détection de réseau, un pirate informatique doté d’une forte intention criminelle peut très facilement détourner les données financières pendant leur transmission et ainsi commettre de graves formes d’usurpation d’identité. Cela est principalement dû au fait que NFC est un type de protocole sans fil très ancien basé sur les standards du protocole sans fil RFID, protocole qui lui-même n'offre aucun mécanisme de sécurité.

L'utilisation de la biométrie pour atténuer les menaces de sécurité

Dans le monde des paiements virtuels, le modèle de sécurité traditionnel implique trois niveaux de protection :

  • Quelque chose que vous savez.
  • Quelque chose que vous possédez.
  • Quelque chose que vous êtes.

Les moyens de sécurité les plus courants sont le mot de passe et le code PIN. Pratiquement tout le monde possède un mot de passe et un code PIN qu’il connaît par cœur, ce qui constitue donc évidemment le premier niveau de protection.

Toutefois, ceux-ci n’offrent pas la deuxième couche de protection. Pour ce faire, nous devons être en possession physique d'un outil de sécurité tel qu'une carte à puce, qui contient une puce mémoire et peut contenir plus de détails sur l'utilisateur. Mais les deux éléments ci-dessus ne suffisent pas pour apporter une solution à la troisième couche de protection.

Alors, qu’est-ce qui fournira la troisième couche de protection ? C’est là qu’intervient la biométrie. La biométrie couvre fondamentalement l’élément de « quelque chose que nous sommes ». Qu’il s’agisse d’un aspect physique ou comportemental, nous avons tous des caractéristiques uniques et inhérentes à notre nature qui nous séparent des autres, même dans une moindre mesure.

Technologies biométriques

Les quatre technologies biométriques les plus utilisées sont la reconnaissance des empreintes digitales, la reconnaissance vocale, la reconnaissance faciale et la reconnaissance de l'iris. Mais comment fonctionneront-ils exactement sur un smartphone et fourniront-ils une couche de défense supplémentaire pour les paiements virtuels ?

Reconnaissance d'empreintes digitales

La numérisation traditionnelle des empreintes digitales implique un capteur optique qui capture l’empreinte digitale de l’utilisateur et enregistre ses caractéristiques uniques. Dans de nombreux appareils biométriques, le capteur optique est suffisamment grand pour pouvoir capturer l’intégralité de l’image de l’empreinte digitale. Cependant, ce n'est pas le cas sur les smartphones, car le capteur optique doit être placé à la fois à l'extérieur de l'écran et de la zone du clavier, et doit également être suffisamment petit pour s'adapter au boîtier du smartphone. En raison des limitations d’espace, le capteur optique ne peut capturer que la région centrale de l’empreinte digitale de l’utilisateur. Une fois les détails de l'empreinte digitale analysés, le modèle de vérification est comparé au modèle d'enregistrement stocké dans la petite base de données du smartphone. S'il est confirmé comme légitime, le smartphone se déverrouillera alors.

Reconnaissance faciale et reconnaissance de l'iris

L'appareil photo proprement dit du smartphone serait utilisé pour capturer l'image du visage ou de l'iris, et celles-ci seraient stockées dans la mémoire du smartphone. La reconnaissance faciale et la reconnaissance de l’iris étant des technologies biométriques bien plus puissantes que la reconnaissance des empreintes digitales, elles nécessitent une puissance de traitement bien plus importante. L'utilisateur doit télécharger une application mobile spéciale (disponible auprès du fournisseur de reconnaissance faciale ou de reconnaissance de l'iris) sur son smartphone. Cette application crée et traite le modèle de vérification et extrait les caractéristiques uniques en utilisant les visages propres pour la reconnaissance faciale et les ondelettes de Gabor pour la reconnaissance de l'iris. Ensuite, le modèle de vérification est comparé au modèle d'inscription stocké dans la mémoire du smartphone. S'il existe une correspondance suffisamment proche entre les deux modèles, le smartphone se déverrouillera et permettra à l'utilisateur d'y accéder.

Reconnaissance vocale

Comparée aux autres technologies que nous venons d’examiner, cette technologie serait de loin la plus pratique pour les utilisateurs, car aucun matériel ou logiciel spécialisé ne serait nécessaire, juste le composant haut-parleur du smartphone. La reconnaissance vocale souffre cependant d'un sérieux inconvénient : la qualité du son doit être élevée pour qu'elle fonctionne bien. Avec une ligne fixe, cela suffit généralement, mais les microphones des smartphones captent également les sons parasites provenant de l’environnement de l’utilisateur. Par conséquent, la vérification par reconnaissance vocale et les modèles d'inscription doivent être créés et comparés par un fournisseur tiers, tel qu'un fournisseur de services Internet.

La reconnaissance vocale sur les smartphones fonctionnerait de la manière suivante : l'utilisateur compose un numéro de téléphone spécial et récite soit son nom, soit répond à un défi ou à une question à l'aide du récepteur de son smartphone. De là, la voix de l'utilisateur est transmise au centre d'appels, afin de créer, traiter et comparer les modèles de vérification et d'inscription par reconnaissance vocale. Le centre d'appels extrait également les caractéristiques uniques de la voix à l'aide de profils statistiques, tels que des modèles de Markov cachés.

Utiliser la technologie biométrique pour sécuriser le portefeuille mobile

La sécurité de Google Wallet repose sur un code PIN traditionnel à quatre chiffres. En cas de perte ou de vol du smartphone, toutes les informations de carte de crédit peuvent tomber entre de mauvaises mains si, par exemple, un pirate informatique parvient à deviner le code PIN à quatre chiffres ou à l'obtenir via une attaque par force brute.

Alors, comment rendre l’application de portefeuille mobile plus sécurisée ? La réponse réside dans la technologie biométrique. Voici comment pourrait fonctionner un système biométrique proposé : une fois que l'utilisateur a téléchargé l'application Google Wallet sur son smartphone, il doit soumettre ses données biométriques particulières générées avec son smartphone à Google, qui à son tour stockera de manière permanente le modèle d'inscription de l'utilisateur dans ses bases de données biométriques.

Si l'utilisateur du smartphone souhaite effectuer un paiement virtuel, la seule façon de lancer l'application mobile Google Wallet est de se soumettre à l'ensemble du processus de vérification biométrique. Le modèle de vérification biométrique sur le smartphone est comparé au modèle d'inscription stocké dans les bases de données biométriques de Google. Si la correspondance entre les modèles de vérification et d'inscription est suffisamment proche, l'utilisateur sera positivement identifié. Par la suite, l'application mobile Google Wallet se débloquera et l'utilisateur pourra démarrer le processus de paiement virtuel des biens et services souhaités.

Utiliser la technologie biométrique pour sécuriser le protocole sans fil NFC

Comme indiqué précédemment, le protocole sans fil NFC est le principal moyen de communication lorsqu'un paiement virtuel est effectué à l'aide d'un smartphone. Le smartphone doit être littéralement à quelques centimètres du lecteur NFC pour qu'il puisse capter le champ NFC généré par la balise NFC.

L’idée fausse la plus répandue est que la distance de communication étant si courte, sa sécurité ne peut être compromise. La croyance commune est que les signaux ne peuvent être capturés de manière malveillante que lorsqu’il existe un long flux de communication réseau entre deux appareils, mais ce n’est pas le cas. Si un pirate informatique dispose d'un dispositif réseau puissant, tel qu'un renifleur de réseau très puissant, il peut se tenir loin de l'utilisateur tout en détournant secrètement les paquets de données qui transitent entre l'étiquette NFC du smartphone et le lecteur NFC.

Bien que le protocole sans fil NFC puisse être efficace à utiliser, il n’est absolument pas sécurisé. Alors, par quels moyens peut-on protéger ce canal de communication sans fil entre le tag NFC et le lecteur NFC ? La réponse réside dans l’utilisation de la cryptographie. En utilisant les principes de la cryptographie, les paquets de données resteraient dans un état brouillé pendant leur transit entre l'étiquette NFC et le lecteur NFC. Si les paquets de données devaient ensuite être récupérés secrètement par un pirate informatique doté d'un renifleur de réseau, les paquets de données brouillés ne leur seraient d'aucune utilité. Un pirate informatique ne pourrait les déchiffrer qu’avec le chiffre spécifique (une clé ou un algorithme mathématique) utilisé pour brouiller les paquets de données.

Les chiffrements les plus efficaces sont ceux trouvés dans les structures cryptographiques asymétriques. C’est alors que le brouillage (ou « cryptage ») et le désembrouillage (ou « déchiffrement ») des paquets de données impliquent à la fois un chiffrement public et un chiffrement privé. Même si le pirate informatique interceptait l’un de ces chiffres, il ne serait toujours pas en mesure de déchiffrer les paquets de données capturés, car l’autre chiffre (public ou privé) est nécessaire pour déchiffrer complètement les paquets de données interceptés.

Biocryptographie

S'appuyant sur ces principes de cryptographie, la biométrie peut également jouer un rôle important en contribuant à sécuriser davantage le protocole NFC. Alors que le paiement virtuel devient de plus en plus populaire et que le nombre croissant de transactions augmente le risque total, il est très probable que la combinaison de la biométrie et de la cryptographie fournira la couche de sécurité renforcée requise pour le NFC. Il s’agit du domaine émergent connu sous le nom de « biocryptographie ».

En utilisant la méthode ci-dessus, les informations financières contenues dans l'application mobile Google Wallet pourraient bénéficier de deux niveaux de protection supplémentaires :

  • Le paquet de données brouillées (grâce aux principes de la cryptographie).
  • Le modèle biométrique auquel il est associé (via les principes de la biocryptographie).

Cette utilisation de la biocryptographie contribue à renforcer la sécurité des informations financières contenues dans le portefeuille mobile en les associant au modèle biométrique de l'utilisateur. De plus, cela peut aider à brouiller et à déchiffrer les paquets de données transférés entre l'étiquette NFC et le lecteur NFC.
L’algorithme asymétrique de choix en biocryptographie est l’algorithme RSA. La force de la méthodologie RSA réside dans le fait qu’elle utilise la puissance des nombres premiers et l’effort associé à la factorisation de grands nombres. Les clés publiques et privées qui chiffrent et protègent la vérification et les modèles d'inscription sont des fonctions mathématiques directes d'une paire de très grands nombres premiers (plus de 200 chiffres). La logique derrière cela est qu’il est très difficile de revenir en arrière à partir du produit créé pour découvrir ces grands nombres premiers. Par conséquent, il faudrait beaucoup de temps pour comprendre quelles sont les clés, ce qui provoquerait beaucoup de frustration chez le pirate informatique.

En conclusion, la biocryptographie peut fournir à l'infrastructure de paiement virtuelle un deuxième niveau de sécurité en contribuant à sécuriser le protocole NFC sans fil, ainsi que les informations financières.

Impact social des paiements virtuels

Le taux d’adoption des paiements virtuels aux États-Unis est bien inférieur à celui d’autres régions du monde. Les recherches sur les raisons de cette situation ont fourni un certain nombre d'indices.

Bien que Google Wallet soit aujourd'hui le principal fournisseur de portefeuilles mobiles sur le marché, de nombreuses start-ups et certaines entreprises établies se disputent une part de ce marché. En d’autres termes, de nombreux fournisseurs de portefeuilles mobiles rivalisent pour la domination, avec un nombre vertigineux d’offres disponibles.

  • Plutôt que d’utiliser le protocole sans fil NFC pour prendre en charge l’infrastructure de paiement virtuelle, de nombreux fournisseurs utilisent simplement de simples codes-barres ou codes QR. Ainsi, les applications de portefeuille mobile conçues pour prendre en charge le protocole sans fil NFC ne peuvent pas être utilisées. Les trois plus grands opérateurs de téléphonie mobile, T‑Mobile, Verizon Wireless et AT&T, ont également été critiqués pour ne pas avoir pris en charge Google Wallet, dans l'intérêt de développer leur propre marque de portefeuille mobile et ainsi limiter la croissance des paiements virtuels.
  • Bien que la commodité pour les utilisateurs ait été la principale raison du développement de l'application de portefeuille mobile, de nombreuses applications de portefeuille mobile sont considérées comme déroutantes et nécessitent encore plus d'applications tierces qui doivent être téléchargées, étouffant ainsi davantage la croissance de paiements virtuels.
  • Les consommateurs américains sont encore habitués aux cartes de crédit et à effectuer des paiements avec celles-ci, alors pourquoi passer à autre chose ? En d’autres termes : « Si ce n’est pas cassé, pourquoi le réparer ? »
  • Les fournisseurs de portefeuilles mobiles et les opérateurs de téléphonie mobile fournissent aux détaillants et aux fournisseurs une formation insuffisante concernant l’utilisation appropriée des paiements virtuels. Un exemple est Starbucks, dont l’utilisation de la technologie Square a dans certains cas dépassé la compréhension du barista quant à son utilisation, générant récemment une mauvaise publicité autour de l’expérience utilisateur3.
  • En ce qui concerne le consommateur américain, des problèmes liés au droit à la vie privée sont également apparus, tels que :
    • la capacité du vendeur/détaillant à suivre les habitudes d’achat de l’utilisateur et sa situation géographique réelle grâce à la technologie mobile ;
    • la crainte d’une usurpation d’identité en cas de perte ou de vol du smartphone ;
    • la peur d’être inondé d’appels téléphoniques de télévendeurs et de vendeurs/détaillants non associés au paiement virtuel effectué, bien qu’ils soient sur la « Do Not Call List ».
  • Les consommateurs américains ne possèdent tout simplement pas d’application de portefeuille mobile.
  • Les vendeurs et les détaillants n'ont pas mis en œuvre d'infrastructure de paiement virtuel dans leur magasin particulier, car il n'est pas encore certain que le protocole sans fil NFC devienne la norme industrielle en matière d'infrastructure de paiement virtuel aux États-Unis. Pour citer un article : « Équiper le téléphone le plus populaire du NFC aurait été une énorme éducation pour les consommateurs et une grande validation… »4.
  • Dans l’ensemble, comme les consommateurs américains ne sont pas familiers avec la technologie de paiement virtuel, la courbe d’apprentissage est extrêmement abrupte, ce qui a un effet négatif sur les taux de croissance et d’adoption des paiements virtuels aux États-Unis par rapport à d’autres pays.

Conclusions

Que faudra-t-il pour inciter les consommateurs américains à prendre le train des paiements virtuels et à rattraper leur retard sur d’autres régions géographiques où les paiements virtuels sont utilisés à une échelle beaucoup plus grande ? Selon une récente enquête approfondie menée par Accenture, le chemin vers l’adoption à grande échelle des paiements virtuels sera, dans le meilleur des cas, difficile5. Les plus grands obstacles aux États-Unis seront le fossé ou la déconnexion géante qui existe entre les vendeurs de portefeuilles mobiles, les opérateurs de téléphonie mobile et le consommateur américain, ainsi que le manque de compréhension des technologies biométriques.

Le consommateur américain est beaucoup plus intéressé par la commodité d'utiliser son smartphone pour effectuer des paiements virtuels et de bénéficier du processus de paiement virtuel dans son ensemble. Les consommateurs veulent également être assurés que le paiement virtuel qu'ils effectuent est sécurisé et que toutes les parties impliquées dans la création de l'infrastructure de paiement virtuelle font tout ce qui est en leur pouvoir pour garantir que les consommateurs ne seront pas victimes d'usurpation d'identité.

Références

  1. Mobey Forum. Mobile Wallet-Definition and Vision, Part 1. Available at http://www.mobeyforum.org/whitepaper/mobile-wallet-whitepapers-part-1-definitions-and-vision/
  2. First Data Corporation. Inside the Mobile Wallet: What It Means for Merchants and Card Issuers. Available at http://files.firstdata.com/downloads/thought-leadership/MobileWalletWP.pdf
  3. Payments Source. Starbucks Grinds Through Square Mobile Wallet Adoption Issues. Available at http://www.paymentssource.com/news/starbucks-grinds-through-square-mobile-wallet-adoption-issues-3013699-1.html
  4. Sidel, R. and Efrati, A., 2012. What’s In Your Mobile Wallet? Not Much. Available through The Wall Street Journal:
    http://online.wsj.com/news/articles/SB10000872396390444180004578016383395015570
  5. Accenture. Consumer Mobile Payments Survey: Driving Value and Adoption of Mobile Payments – Consumers Want More. Available at http://www.accenture.com/SiteCollectionDocuments/PDF/FinancialServices/Accenture-Consumer-Mobile-Payments-Survey.pdf