• +221774636391
  • info@noticefintech.com
  • 60 Ave, SC-63 Dakar

Technologie

Les cartes virtuelles : Comment transpose-t-on la carte physique dans un environnement mobile ?

2 commentaires / Technologie, Paiement / /

L’évolution des moyens de paiement connaît une transformation majeure avec l’essor des technologies numériques. Cet article explore un aspect fondamental de cette mutation : la virtualisation des cartes de paiement. En s’appuyant sur des mécanismes de substitution sophistiqués, ces technologies visent à transposer la sécurité des transactions physiques par carte dans l’environnement non présentiel.

Nous examinerons plus précisément comment les applications mobiles intègrent et protègent les informations de carte, que ce soit par le biais de données cryptées stockées localement dans un environnement sécurisé du téléphone, ou à travers des solutions basées sur le cloud. Cette transition vers le mobile, désignée sous le terme d’émulation de carte, et notamment l’émulation de carte hôte (HCE), permet ainsi de transformer un simple smartphone en un outil de paiement aussi fiable qu’une carte physique, ouvrant de nouvelles perspectives pour les transactions en ligne et en point de vente.

La carte bancaire physique contient le PAN (Primary Account Number) du titulaire de la carte, ainsi qu’une puce, qui se charge du chiffrement de base, du verrouillage et du déverrouillage des messages, afin que les informations relatives à la transaction puissent être transférées à l’émetteur pour authentification de l’utilisateur et autorisation de la transaction.

Ces informations comprennent aussi le code PIN ou le bloc NIP encodé, ainsi que d’autres informations concernant le titulaire de la carte. Dans un environnement mobile, on remplace la notion de carte par la notion d’élément sécurisé (SE). C’est un microcontrôleur doté d’une puce pouvant agir comme une carte de paiement virtuelle.

Il contient en particulier les informations confidentielles de la carte et de son titulaire, dont le numéro de compte primaire (PAN – primary account number), ainsi qu’une application pour exécuter les fonctions de chiffrement. Il mémorise notamment le registre privé permettant de transférer les informations en toute sécurité entre l’élément sécurisé et l’émetteur de la carte, de manière confidentielle et inviolable.

Mais dans un environnement mobile, la carte physique n’existe plus, nous avons maintenant plus de choix en matière d’emplacement pour l’élément sécurisé. Il peut être placé dans l’équipement lui-même, et peut être en particulier intégré à la carte SIM de l’opérateur mobile.

Et c’est cette option que les opérateurs mobiles vont avoir tendance à utiliser pour leur élément sécurisé. L’élément sécurisé peut également être installé dans le téléphone lui-même, comme Apple Pay. Mais il peut également se trouver dans le cloud, plutôt que dans le téléphone. C’est cette approche que Google Android a choisie, et qui est appelée émulation de carte d’hôte (HCE – host card emulation).​

Quelle est donc la différence entre des éléments sécurisés basés sur un appareil et basés sur cloud ?

Supposons un téléphone montrant l’élément sécurisé séparément, qui peut être un élément amovible du téléphone, (comme la carte SIM de l’opérateur ou une carte micro-SD), ou qui peut être intégré au téléphone lui-même. On peut également voir le système d’exploitation séparé qui gère le reste des fonctions du téléphone.

Admettons qu’avec ce téléphone, nous voulions effectuer une transaction avec le terminal au point de vente de ce marchand. Le téléphone et le point de vente vont communiquer via le protocole de communications en champ proche (NFC – Near Field Communications).

Le contrôleur NFC gère le flux d’information via le PDV du marchand et, dans le cas d’un élément sécurisé basé sur l’appareil, va transférer cette communication directement à une application de paiement, sans passer par le système d’exploitation de l’appareil, réduisant ainsi le risque d’infractions à la sécurité.

L’application de paiement se trouvant dans l’élément sécurisé contient le numéro de compte primaire, mais également les verrous et les clés de chiffrement qui seront utilisés pour exécuter le chiffrement de bout en bout avec le prestataire de paiement.

Les informations sont ainsi transférées de manière confidentielle et sans risque de manipulation entre l’élément sécurisé et le prestataire de paiement. Dans le cas d’un élément sécurisé basé en nuage avec émulation de carte d’hôte, le contrôleur NFC contourne l’élément sécurisé et transfère les informations du canal NFC à une application de paiement se trouvant dans le système d’exploitation de l’appareil. L’environnement est moins sécurisé car il se trouve en logiciel au lieu d’être intégré à l’équipement.

Dans le cas de l’émulation de carte d’hôte, le numéro de compte primaire et la clé de paiement ne se trouvent pas dans l’application, mais quelque part dans le cloud dans un serveur sécurisé de Google. Il faut cependant que l’application de paiement se trouvant dans le système d’exploitation du téléphone puisse se rapporter à ce numéro de compte primaire et profiter de la sécurité du chiffrement en nuage.

Elle opère avec le cloud grâce à une clé de chiffrement séparée, représentée ici par les clés noires, qui va établir des communications sécurisées entre le système d’exploitation du téléphone et le cloud. L’identifiant est à usage unique et sera mis à jour à chaque fois qu’une transaction est effectuée.

En cas d’atteinte à la sécurité du téléphone, vous ne recevrez la clé de chiffrement que pour une seule transaction et vous n’aurez pas accès au numéro de compte primaire lui-même ou aux clés de chiffrement du paiement. Celui-ci peut être encodé de manière sécurisée avec une authentification appropriée avant d’être renvoyé au prestataire de paiement.

Quels sont les avantages de ces mécanismes ?

L’utilisation de l’élément sécurisé, représentée par la ligne en bleu, rend la sécurisation de la transaction plus facile, car toute la sécurité est basée sur une puce qui peut être fournie et gérée indépendamment du téléphone lui-même. Ce système peut fonctionner hors ligne et est plus rapide, car il n’a pas besoin d’accéder au nuage en permanence pour authentifier l’utilisateur et autoriser les transactions.

Mais la ligne en rouge, qui correspond à l’émulation de carte d’hôte, est plus facile à fournir car vous n’avez pas à vous assurer que chaque utilisateur dispose de sa propre clé de paiement dans le téléphone lui-même. Elle peut également être utilisée par des tiers n’ayant pas accès aux éléments sécurisés de l’appareil, que ceux-ci se trouvent dans la carte SIM ou sur le téléphone.

Qu’est-ce que cela signifie ?

Les éléments sécurisés sont les bastions de la sécurité d’un environnement mobile, car c’est là que les informations confidentielles de la carte et du titulaire de la carte sont conservées, et c’est également là que se trouvent les clés de chiffrement et les verrous nécessaires pour assurer que les informations de la transaction ne sont pas piratées. Le contrôle au niveau des éléments sécurisés constitue donc la pierre d’angle de l’offre de services de paiement mobile.

Celui qui dispose d’un accès à cet élément sécurisé possède un avantage en matière de configuration d’un service de paiement. Cela engendre donc un bras de fer entre les opérateurs mobiles, les fabricants d’appareils et les acteurs de l’Internet autour du contrôle de l’élément sécurisé. Et c’est pour cela que nous avons tellement d’emplacements possibles pour l’élément sécurisé.

Les cartes virtuelles : Comment transpose-t-on la carte physique dans un environnement mobile ? Lire la suite »

La technologie NFC (Near Field Communication)

1 commentaire / Technologie / /

La Near Field Communication est une technologie de communication courte distance sans contact et sans fil permettant une interaction simple entre des objets électroniques. Notons d’un point de vue technique, que cette technologie est une extension de la norme ISO/ CEI 144432 (Les standards applicables au NFC) standardisant les cartes de proximité qui utilisent le RFID. Notons également que le NFC se différencie d’autres technologies comme le Bluetooth, la Wi-Fi ou le RFID par sa distance de fonctionnement limitée à quelques centimètres et son débit (106 à 424 Kbps). Elle est donc adaptée aux transactions électroniques de proximité, par exemple, entre une carte et un lecteur.

NFC peut être utilisé à diverses fins, telles que le partage de contacts, et les paiements.

Les acteurs qui interviennent dans le processus de paiement NFC

Élément sécurisé (SE) : L’élément sécurisé est un microprocesseur sécurisé (une carte à puce) qui comprend un processeur cryptographique pour faciliter l’authentification et la sécurité des transactions.

Acquéreur :  L’acquéreur facilite la mise en place de terminaux dans les points de vente et la communication des transactions de paiement aux réseaux de paiement pour autorisation et règlement.

Réseau de paiement : Pour les transactions de paiement NFC, le réseau de paiement prend en charge les fonctions de messagerie sans contact et d’authentification afin de réussir le paiement NFC.

Emetteur (Banque) : Dans le modèle de système de paiement NFC, la banque détient le compte du client pour le paiement, mais travaille avec d’autres parties (opérateur mobile, fournisseur de service financier etc.) pour fournir l’application de paiement aux téléphones mobiles compatibles NFC.

Architecture de paiement NFC

Les composants de la NFC

  • Les étiquettes NFC : ce sont de petites puces qui stockent les données et peuvent être attachées à des objets. Il faut noter que les étiquettes NFC peuvent être passives ou actives. Les étiquettes passives n’ont pas de source d’alimentation et comptent sur le lecteur NFC pour les activer, tandis que les étiquettes actives ont une batterie et peuvent initier la communication.
  • Les lecteurs NFC sont des appareils capables de lire et d’écrire des données à partir de balises NFC,
  • Les éléments sécurisés (SE) NFC sont des puces qui stockent des données sensibles telles que des informations de paiement (données de carte de crédit) ou des clés de cryptage. Ils assurent la sécurité et l’authentification des transactions NFC. . Il peut être intégré dans le téléphone ou hébergé sur une carte SIM ou une puce externe.
  • Antenne NFC : Permet la communication sans fil entre les appareils.
  • Contrôleur NFC : Gère la communication et le traitement des données NFC.
  • Host Controller : Le processeur principal de l’appareil qui interagit avec le contrôleur NFC.

Modes de fonctionnement NFC

La technologie NFC peut fonctionner sous trois modes différents :

Le mode Lecteur/Graveur :  est le plus simple, vous permettant de scanner un code QR, ou une carte de fidélité à partir d’une affiche ou d’un autocollant.

Le mode Peer-to-Peer : est l’endroit où deux appareils NFC échangent des données entre eux, telles que des contacts, des fichiers ou des médias entre deux smartphones ou tablettes.

Le mode émulation de carte : c’est lorsque le périphérique NFC agit comme une carte bancaire à puce sans contact. Pour les systèmes de paiement NFC, le mode d’émulation de carte est l’option la plus utilisée et la plus pertinente car il permet aux utilisateurs d’émuler une carte de paiement sur n’importe quel terminal compatible.

Pour plus de ressources sur la NFC, consultez NFC forum.

La technologie NFC (Near Field Communication) Lire la suite »

Le rôle du Serveur de Contrôle d’Accès (ACS)

1 commentaire / Monétique, Technologie / /

L’ACS (Access Control Server) est un élément crucial dans le contexte de l’authentification forte, notamment dans le cadre des paiements électroniques et des transactions en ligne. L’ACS est une composante qui fait partie du protocole 3-D Secure, un protocole de sécurité utilisé pour les transactions de commerce électronique. Il est basé sur le protocole EMV 3-D Secure (3DS 2.0), et gère les échanges de données entre les commerçants, les émetteurs de cartes et les porteurs.

L’ACS peut jouer un rôle important dans la vérification de l’identité du titulaire de la carte lors d’une transaction en ligne. Lorsqu’un utilisateur effectue un paiement en ligne, l’ACS intervient pour vérifier l’identité de l’utilisateur en demandant une authentification supplémentaire, souvent sous la forme d’un code ou d’une autre information confidentielle.

L’ACS peut également jouer un rôle dans la gestion des risques, en analysant divers facteurs pour déterminer le niveau de risque associé à une transaction spécifique et en décidant s’il est nécessaire d’exiger une authentification supplémentaire.

Le système ACS (Access Control Server) stocke les informations d’enregistrement et d’authentification des clients. Ces données, en particulier celles relatives à l’inscription et à l’authentification des porteurs.

En résumé, l’ACS est un composant essentiel de l’authentification forte dans les paiements électroniques, et il est utilisé pour renforcer la sécurité des transactions en ligne en vérifiant l’identité des utilisateurs.

Le rôle du Serveur de Contrôle d’Accès (ACS) Lire la suite »

Les technologies de communication optique : transactions code-barres et code QR

Laisser un commentaire / Technologie, Paiement / /

Vous avez tous vu beaucoup de code-barres sur les produits en magasin. Les informations sont codées dans un ensemble de barres verticales, mais elles n’ont qu’une capacité de stockage limitée d’environ 20 à 80 caractères. Les code-barres sont lus en projetant une ligne de lumière à travers le code-barres, et en réfléchissant la lumière qui se reflète sur les barres blanches du code.

Les QR, ou codes de réponse rapide (Quick Response), sont un tableau de carrés plutôt que de barres. Une sorte de code-barres en deux dimensions.

Les informations contenues dans le code QR

Les données stockées dans un code QR peuvent inclure des URL de sites web, des numéros de téléphone ou jusqu’à 4 000 caractères alphanumériques. Les codes QR peuvent également être utilisés pour créer un lien direct vers le téléchargement d’une application sur l’App Store d’Apple ou Google Play. Authentifier des comptes en ligne et vérifier les informations de connexion. Accéder au Wi-Fi en stockant des informations de cryptage telles que le SSID, le mot de passe et le type de cryptage. Envoyer et recevoir des informations de paiement.

Un code QR peut être lu avec un appareil photo simple, comme celui de votre smartphone.
Il est plus rapide à lire et à traiter que les code-barres. Vous pouvez générer un code QR pour n’importe quel type d’information, en utilisant un générateur de code QR standard que vous pouvez trouver en ligne.

Les codes QR sont délimités par ces trois motifs carrés, ce qui permet au logiciel d’identifier et de localiser un QR à partir d’une image.

Il utilise ensuite ce petit carré comme marqueur d’alignement, pour normaliser l’image en fonction de la taille, de l’orientation et de l’angle de vision. Cela est dû au fait que toutes les photos d’un code QR prises avec un appareil photo auront un aspect légèrement différent, selon la façon dont elles sont prises.

L’application de lecture de code QR va ensuite décoder les informations du motif des carrés noirs et blancs à l’intérieur du périmètre des grands marqueurs carrés. Les données sont généralement encodées d’une manière qui incorpore la correction d’erreur, pour compenser les situations où la photo prise est imparfaite. Une partie de l’espace d’information est réservé pour encoder une version et un format du code QR utilisé. Donc c’est une sorte de projection.

Comment fonctionne le paiement QR code ?

Avec le paiement par code QR , vous pouvez scanner et payer plus rapidement à la caisse. Il est conçu pour rendre les achats plus sûrs et plus faciles.

En savoir plus sur le paiement QR code?

Les technologies de communication optique : transactions code-barres et code QR Lire la suite »

Retour en haut