• +221774636391
  • info@noticefintech.com
  • 60 Ave, SC-63 Dakar

Paiement

Les cartes virtuelles : Comment transpose-t-on la carte physique dans un environnement mobile ?

2 commentaires / Technologie, Paiement / /

L’évolution des moyens de paiement connaît une transformation majeure avec l’essor des technologies numériques. Cet article explore un aspect fondamental de cette mutation : la virtualisation des cartes de paiement. En s’appuyant sur des mécanismes de substitution sophistiqués, ces technologies visent à transposer la sécurité des transactions physiques par carte dans l’environnement non présentiel.

Nous examinerons plus précisément comment les applications mobiles intègrent et protègent les informations de carte, que ce soit par le biais de données cryptées stockées localement dans un environnement sécurisé du téléphone, ou à travers des solutions basées sur le cloud. Cette transition vers le mobile, désignée sous le terme d’émulation de carte, et notamment l’émulation de carte hôte (HCE), permet ainsi de transformer un simple smartphone en un outil de paiement aussi fiable qu’une carte physique, ouvrant de nouvelles perspectives pour les transactions en ligne et en point de vente.

La carte bancaire physique contient le PAN (Primary Account Number) du titulaire de la carte, ainsi qu’une puce, qui se charge du chiffrement de base, du verrouillage et du déverrouillage des messages, afin que les informations relatives à la transaction puissent être transférées à l’émetteur pour authentification de l’utilisateur et autorisation de la transaction.

Ces informations comprennent aussi le code PIN ou le bloc NIP encodé, ainsi que d’autres informations concernant le titulaire de la carte. Dans un environnement mobile, on remplace la notion de carte par la notion d’élément sécurisé (SE). C’est un microcontrôleur doté d’une puce pouvant agir comme une carte de paiement virtuelle.

Il contient en particulier les informations confidentielles de la carte et de son titulaire, dont le numéro de compte primaire (PAN – primary account number), ainsi qu’une application pour exécuter les fonctions de chiffrement. Il mémorise notamment le registre privé permettant de transférer les informations en toute sécurité entre l’élément sécurisé et l’émetteur de la carte, de manière confidentielle et inviolable.

Mais dans un environnement mobile, la carte physique n’existe plus, nous avons maintenant plus de choix en matière d’emplacement pour l’élément sécurisé. Il peut être placé dans l’équipement lui-même, et peut être en particulier intégré à la carte SIM de l’opérateur mobile.

Et c’est cette option que les opérateurs mobiles vont avoir tendance à utiliser pour leur élément sécurisé. L’élément sécurisé peut également être installé dans le téléphone lui-même, comme Apple Pay. Mais il peut également se trouver dans le cloud, plutôt que dans le téléphone. C’est cette approche que Google Android a choisie, et qui est appelée émulation de carte d’hôte (HCE – host card emulation).​

Quelle est donc la différence entre des éléments sécurisés basés sur un appareil et basés sur cloud ?

Supposons un téléphone montrant l’élément sécurisé séparément, qui peut être un élément amovible du téléphone, (comme la carte SIM de l’opérateur ou une carte micro-SD), ou qui peut être intégré au téléphone lui-même. On peut également voir le système d’exploitation séparé qui gère le reste des fonctions du téléphone.

Admettons qu’avec ce téléphone, nous voulions effectuer une transaction avec le terminal au point de vente de ce marchand. Le téléphone et le point de vente vont communiquer via le protocole de communications en champ proche (NFC – Near Field Communications).

Le contrôleur NFC gère le flux d’information via le PDV du marchand et, dans le cas d’un élément sécurisé basé sur l’appareil, va transférer cette communication directement à une application de paiement, sans passer par le système d’exploitation de l’appareil, réduisant ainsi le risque d’infractions à la sécurité.

L’application de paiement se trouvant dans l’élément sécurisé contient le numéro de compte primaire, mais également les verrous et les clés de chiffrement qui seront utilisés pour exécuter le chiffrement de bout en bout avec le prestataire de paiement.

Les informations sont ainsi transférées de manière confidentielle et sans risque de manipulation entre l’élément sécurisé et le prestataire de paiement. Dans le cas d’un élément sécurisé basé en nuage avec émulation de carte d’hôte, le contrôleur NFC contourne l’élément sécurisé et transfère les informations du canal NFC à une application de paiement se trouvant dans le système d’exploitation de l’appareil. L’environnement est moins sécurisé car il se trouve en logiciel au lieu d’être intégré à l’équipement.

Dans le cas de l’émulation de carte d’hôte, le numéro de compte primaire et la clé de paiement ne se trouvent pas dans l’application, mais quelque part dans le cloud dans un serveur sécurisé de Google. Il faut cependant que l’application de paiement se trouvant dans le système d’exploitation du téléphone puisse se rapporter à ce numéro de compte primaire et profiter de la sécurité du chiffrement en nuage.

Elle opère avec le cloud grâce à une clé de chiffrement séparée, représentée ici par les clés noires, qui va établir des communications sécurisées entre le système d’exploitation du téléphone et le cloud. L’identifiant est à usage unique et sera mis à jour à chaque fois qu’une transaction est effectuée.

En cas d’atteinte à la sécurité du téléphone, vous ne recevrez la clé de chiffrement que pour une seule transaction et vous n’aurez pas accès au numéro de compte primaire lui-même ou aux clés de chiffrement du paiement. Celui-ci peut être encodé de manière sécurisée avec une authentification appropriée avant d’être renvoyé au prestataire de paiement.

Quels sont les avantages de ces mécanismes ?

L’utilisation de l’élément sécurisé, représentée par la ligne en bleu, rend la sécurisation de la transaction plus facile, car toute la sécurité est basée sur une puce qui peut être fournie et gérée indépendamment du téléphone lui-même. Ce système peut fonctionner hors ligne et est plus rapide, car il n’a pas besoin d’accéder au nuage en permanence pour authentifier l’utilisateur et autoriser les transactions.

Mais la ligne en rouge, qui correspond à l’émulation de carte d’hôte, est plus facile à fournir car vous n’avez pas à vous assurer que chaque utilisateur dispose de sa propre clé de paiement dans le téléphone lui-même. Elle peut également être utilisée par des tiers n’ayant pas accès aux éléments sécurisés de l’appareil, que ceux-ci se trouvent dans la carte SIM ou sur le téléphone.

Qu’est-ce que cela signifie ?

Les éléments sécurisés sont les bastions de la sécurité d’un environnement mobile, car c’est là que les informations confidentielles de la carte et du titulaire de la carte sont conservées, et c’est également là que se trouvent les clés de chiffrement et les verrous nécessaires pour assurer que les informations de la transaction ne sont pas piratées. Le contrôle au niveau des éléments sécurisés constitue donc la pierre d’angle de l’offre de services de paiement mobile.

Celui qui dispose d’un accès à cet élément sécurisé possède un avantage en matière de configuration d’un service de paiement. Cela engendre donc un bras de fer entre les opérateurs mobiles, les fabricants d’appareils et les acteurs de l’Internet autour du contrôle de l’élément sécurisé. Et c’est pour cela que nous avons tellement d’emplacements possibles pour l’élément sécurisé.

Les cartes virtuelles : Comment transpose-t-on la carte physique dans un environnement mobile ? Lire la suite »

Le transfert P2P (modèle sans compte client)

1 commentaire / Paiement / / / , ,

Ce présent article fait suite à Comment fonctionne l’écosystème mobile money Je vous conseille de prendre connaissance de cet article précédent avant de poursuivre la lecture.

Dernièrement, un modèle plus simple, que nous désignons sous le terme de système « au guichet », a fait son retour. Ce modèle rappelle celui utilisé par Western Union, où le client dépose des fonds auprès d’un agent et le bénéficiaire les retire auprès d’un autre agent. Techniquement, le transfert s’effectue entre les deux agents. Bien qu’il s’agisse toujours d’un système d’argent mobile, seuls les agents y ont accès. Ils l’utilisent alors pour effectuer les transferts d’argent au nom des clients.

La tendance est au développement des systèmes au guichet parce qu’ils présentent certains avantages.
D’abord, ils nécessitent moins de formation des clients sur la procédure de transfert de fonds, tout le travail étant effectué par les agents. Le client expéditeur doit simplement déposer l’argent, remplir peut-être un petit formulaire, et l’agent se charge du reste. Il y aura quand même une demande de la part de la Banque centrale en termes de Bien connaître son client (BCC ou KYC), comme à chaque fois que l’argent est déplacé, mais ce ne sera probablement pas aussi strict que si un compte bancaire permanent devait être ouvert.

La complexité opérationnelle est donc réduite pour les clients en bout de transaction. Fondamentalement, on observe que dans de nombreux pays du monde, les clients n’ont pas vraiment besoin d’un portefeuille, et que la majorité des systèmes d’argent mobile sont utilisés pour transférer de l’argent, et non pour épargner.

Pourquoi donc forcer les clients à ouvrir un compte et à le gérer, quand ils n’y trouvent pas grand intérêt ?

C’est ce qui se passe en général dans la réalité. Bien sûr, au vu de ces avantages, les opérateurs d’argent mobile doivent considérer ce qu’ils ont à perdre. C’est un système qui dépend maintenant entièrement des agents. Ceux-ci ont plus de pouvoir parce qu’ils prennent en charge une plus grande partie de l’opération. Si jamais vous souhaitez introduire un nouveau service, vous devez le faire accepter par les agents. Le client est maintenant totalement dépendant des agents, il ne peut rien faire de lui-même.

À chaque fois qu’il veut faire quelque chose avec son argent, il doit aller voir un agent. Tandis qu’avec un système basé sur un compte, tant que vous avez de la valeur enregistrée, vous pouvez effectuer un transfert de fonds ou acheter du temps de communication à tout moment, de chez vous ou de là où vous vous trouvez. Avec un système au guichet, vous abandonnez toute possibilité d’ajouter des fonctionnalités client supplémentaires.

En résumé

Quelle est l’importance de tout cela d’un point de vue pratique ? Les systèmes au guichet sont devenus tentants pour les opérateurs d’argent mobile, car ils offrent un modèle opérationnel simplifié par rapport aux systèmes basés sur un compte : Le KYC ou BCC plus simple, formation du client réduite, etc. Mais ils limitent les opportunités dont le prestataire d’argent mobile dispose en termes de développement de nouveaux produits et d’amélioration de la convivialité pour ses clients.

La gamme des modèles d’argent mobile que vous pouvez observer dans un pays donné ou au niveau international est largement dépendante des modèles opérationnels et commerciaux choisis par les nouveaux venus sur chaque marché. Mais le choix du modèle est souvent limité par les réglementations, qui réduisent le nombre de modèles possibles sur un marché.

Le transfert P2P (modèle sans compte client) Lire la suite »

Les technologies de communication optique : transactions code-barres et code QR

Laisser un commentaire / Technologie, Paiement / /

Vous avez tous vu beaucoup de code-barres sur les produits en magasin. Les informations sont codées dans un ensemble de barres verticales, mais elles n’ont qu’une capacité de stockage limitée d’environ 20 à 80 caractères. Les code-barres sont lus en projetant une ligne de lumière à travers le code-barres, et en réfléchissant la lumière qui se reflète sur les barres blanches du code.

Les QR, ou codes de réponse rapide (Quick Response), sont un tableau de carrés plutôt que de barres. Une sorte de code-barres en deux dimensions.

Les informations contenues dans le code QR

Les données stockées dans un code QR peuvent inclure des URL de sites web, des numéros de téléphone ou jusqu’à 4 000 caractères alphanumériques. Les codes QR peuvent également être utilisés pour créer un lien direct vers le téléchargement d’une application sur l’App Store d’Apple ou Google Play. Authentifier des comptes en ligne et vérifier les informations de connexion. Accéder au Wi-Fi en stockant des informations de cryptage telles que le SSID, le mot de passe et le type de cryptage. Envoyer et recevoir des informations de paiement.

Un code QR peut être lu avec un appareil photo simple, comme celui de votre smartphone.
Il est plus rapide à lire et à traiter que les code-barres. Vous pouvez générer un code QR pour n’importe quel type d’information, en utilisant un générateur de code QR standard que vous pouvez trouver en ligne.

Les codes QR sont délimités par ces trois motifs carrés, ce qui permet au logiciel d’identifier et de localiser un QR à partir d’une image.

Il utilise ensuite ce petit carré comme marqueur d’alignement, pour normaliser l’image en fonction de la taille, de l’orientation et de l’angle de vision. Cela est dû au fait que toutes les photos d’un code QR prises avec un appareil photo auront un aspect légèrement différent, selon la façon dont elles sont prises.

L’application de lecture de code QR va ensuite décoder les informations du motif des carrés noirs et blancs à l’intérieur du périmètre des grands marqueurs carrés. Les données sont généralement encodées d’une manière qui incorpore la correction d’erreur, pour compenser les situations où la photo prise est imparfaite. Une partie de l’espace d’information est réservé pour encoder une version et un format du code QR utilisé. Donc c’est une sorte de projection.

Comment fonctionne le paiement QR code ?

Avec le paiement par code QR , vous pouvez scanner et payer plus rapidement à la caisse. Il est conçu pour rendre les achats plus sûrs et plus faciles.

En savoir plus sur le paiement QR code?

Les technologies de communication optique : transactions code-barres et code QR Lire la suite »

Comment fonctionne le paiement 3Ds?

1 commentaire / Monétique, Paiement / /

Le 3D Secure est un protocole de sécurité basé sur XML conçu pour renforcer la sécurité des transactions en ligne effectuées par carte de crédit et de débit. Également connu sous le nom de Three-Domain Secure d’EMV 3-D, il s’agit d’un protocole de communication développé par EMVCo pour permettre aux consommateurs de s’authentifier auprès de l’émetteur de leur carte lorsqu’ils effectuent des achats en ligne sans avoir leur carte physique (Card Not Present). Cette couche de sécurité supplémentaire vise à prévenir les transactions non autorisées effectuées sans la présence physique de la carte et à protéger les commerçants contre les risques de fraude.

Les trois domaines impliqués comprennent le domaine marchand/acquéreur (gateway), le domaine de l’émetteur et le domaine d’interopérabilité, qui englobe les systèmes de paiement tels que le serveur de répertoire et le serveur de contrôle d’accès (ACS – Access Control Server).

Le processus 3D Secure ajoute une étape d’authentification supplémentaire pour les paiements en ligne, nécessitant par exemple un mot de passe unique, un code SMS ou un code PIN temporaire pour compléter la transaction. ( En savoir plus sur la 3D Secure)

Le fonctionnement 3Ds

Architecture 3Ds

ÉTAPE 1
Collecte d’informations sur la carte : pendant cette première étape, le titulaire de la carte saisit les données de sa carte bancaire.
ÉTAPE 2
-Confirmation d’inscription à 3D Secure : ensuite le système vérifie si la carte est enregistrée ou non pour la 3D Secure. Si oui, le client est alors redirigé vers une page 3D Secure fournie par le fournisseur de la carte.

ÉTAPE 3
-Phase d’Authentification de sécurité : Sur le site Web du fournisseur, le client sera invité à entrer son mot de passe unique ou un code d’authentification à usage unique (OTP) qui sera envoyé soit par mail à son adresse ou envoyé soit à son numéro de téléphone.

ÉTAPE 4
Si l’authentification du titulaire de la carte a réussi, le titulaire de la carte est ensuite redirigé vers le site Web du commerçant pour confirmation du paiement. La banque acquéreuse autorise la transaction (en communiquant avec le réseau de cartes de crédit et la banque émettrice.

ÉTAPE 5
-Confirmation de paiement : Une fois de retour sur le site du marchand, le client recevra la confirmation d’un paiement (réussi échec). La réponse de la transaction (succès ou échec) est renvoyée au consommateur.

Notion importante : Autorisation vs authentification

L’autorisation représente la validation par la banque émettrice de l’exactitude des informations de la carte fournies, ainsi que l’approbation de la facturation conformément à des règles internes établies (telles que l’autorisation des transactions en ligne, des pays d’achat autorisés, la disponibilité des fonds, etc.).

Quant à l’authentification, elle implique que le consommateur démontre à la banque émettrice qu’il est bien la personne autorisée à effectuer la transaction. Ce processus d’ « authentification » se déroule de manière similaire à celui de la connexion à un site Web.

Il est important de noter que lorsqu’on compare les deux processus décrits ci-dessus (les paiements avec et sans 3D Secure), le paiement sans 3D Secure ne permet pas la communication directe entre la banque émettrice et le consommateur. Dans le cadre du processus d’autorisation de la banque acquéreur, la banque émettrice se limite à vérifier les informations de la carte du consommateur et à autoriser ou refuser la transaction en fonction des paramètres du compte tels que la validité de la carte, la disponibilité des fonds, la non expiration de la carte, etc.

En savoir plus sur visa secure.

Comment fonctionne le paiement 3Ds? Lire la suite »

Retour en haut