mPowa : Première solution de paiement "Chip and Pin" sur mobile

mPowa propose une solution de paiement sur mobile qui accepte les cartes à puces avec authentification du porteur par saisie du code PIN à la différence d'iZettle qui ne fait que du "chip and sign". Pour couronner le tout mPowa a également repris le modèle de Square à savoir la gratuité de la mise en œuvre sans frais d'installation ni d’abonnement. 

Le modèle de mPowa repose donc exclusivement sur les commissions prélevées sur les paiements, modèle économique au passage qui a entre autre permis à Square de s’imposer aux US.

Un lecteur certifié EMV est également au rendez-vous avec un clavier pour la saisie du code PIN qui discute avec l’application sur le terminal mobile en Bluetooth. mPowa met également en avant une certification PCI level 1 qui doit correspondre à la certification d’un fournisseur de service de paiement (PSP) partenaire.

Par contre ce qui risque de dissuader les commerçants c’est bien le niveau élevées  commissions (0,25%) juste pour l’utilisation du terminal.

Bien entendu on ne parle a aucun moment de PCI PA-DSS et encore moins de PCI PTS, pour le PCI SSC cette solution est non éligible aux exigences PCI PA-DSS, pour le clavier certains modules de PCI PTS (EPP ?) semblent éligibles sous certaines conditions dixit le PCI SSC.

Encore une fois on sécurise la transaction mais son traitement sur le terminal mobile est hors de tout contrôle ! Les fabricants de terminaux ont donc encore un peu d'avance notamment avec PTS (SRED) et la version "mobile" du P2PE recommandée par le PCI SSC, sauf qu'aucune solution P2PE n'a encore été validée par le PCI SSC.

Montant de la fraude en augmentation pour la quatrième année consécutive en France

Alors que le taux de fraude à l'internationale recul légèrement, l’observatoire de la sécurité des cartes de paiement relève une forte augmentation du montant de la fraude en France (+12 % par rapport à 2010) pour s’élever à 413,2 millions d’euros en 2011.

Cette hausse s'explique notamment par l'augmentation de la fraude sur les paiements à distance (Internet en première ligne) et les paiements de proximité.

Le rapport annuel d'activité 2011 relève :

• Une forte augmentation de la fraude sur le canal Internet avec les paiements à distance avec 61% du montant de la fraude pour l’ensemble des paiements à distance, représentant 8,4% de la valeur des transactions nationales,

• La fraude sur les paiements de proximité en hausse pour la première fois depuis huit ans qui s'accompagne de l'augmentation du taux de la fraude sur les retraits,

• L’augmentation du montant moyen d’une transaction frauduleuse qui passe à 130 euros contre 122 euros en 2010, ce qui confirme les constats de l’étude de Ponemon Institute pour la France, 

• Les secteurs « voyages, transports, commerce, services aux particuliers et téléphonie et communication » sont les plus exposés et représentent 70 % du montant de la fraude sur Internet,

• L’origine de fraude la plus importante (59,9 %) est celle liée aux numéros de cartes usurpés (numéro de carte d’un porteur relevé à son insu ou créé par générateur aléatoires), utilisés pour les paiements frauduleux à distance,

• Les attaques physiques de DABs (Distributeurs Automatiques de Billets) sont en hausse sensible avec 622 piratages de DAB en 2011 contre 527 en 2010, avec 32 attaques de terminaux de paiement contre 30 en 2010. 

Etat des lieux de la sécurité des entreprises autour de la mobilité

Information Week a publié un état des lieux de la sécurité autour de la mobilité réalisée auprès de 322 entreprises.

L’étude montre que 90% des entreprises considèrent que les terminaux mobiles sont une menace pour leur sécurité aujourd’hui (69%) et demain (21%). La principale préoccupation est de loin la perte ou l'infection d'un terminal connecté au réseau de l’entreprise (cf. page 9 de l'étude pour la liste des autres menaces).

Le rapport émet néanmoins une alerte, alors 86% des interviewés ont soit permis (62%) l'utilisation de tels terminaux personnels ou sont en train de le faire, la plupart (69%) ont des problèmes avec leurs politiques de sécurité mobiles et les pratiques au sein de l’entreprise, en autre :

• Seul 80% exigent des mots de passe pour l’accès au terminal, 
• Uniquement 14% exige le chiffrement matériel , 
• 40% limitent les types de terminaux mobiles que possèdent les utilisateurs et exigent que ces derniers soient connectés à une solution de gestion parc (MDM), 
• 42% autorisant l’utilisation de n’importe quels composants mobiles à condition que les utilisateurs acceptent les politiques de l’entreprise, 
• Seulement 20% dispose de systèmes pour détecter les logiciels malveillants sur tous leurs terminaux mobiles, 
• Seulement 29% ont un « AppStore » interne, 
• 24% des entreprises utilisent toujours des clés WEP (cf. compromission historique du groupe de distribution TJX avec 50 millions de données porteurs volées via l’attaque du réseau WIFI d’un point vente en Floride).

Lecture fortement recommandée à tout acteur engagé dans des projets de sécurité autour de la mobilité, plusieurs réponses et recommandations à des questions techniques sont discutées.

Réponse du PCI Council à Square, Paypal, SalesVu …

Après les exploits de Square, Paypal, SalesVu … le PCI Council se devait de réagir. Selon un nouveau document publié récemment, le PCI Council invite les commerçants qui acceptent les paiements mobiles via smartphone ou tablette à utiliser des solutions de chiffrement bout en bout ou P2PE (Point-to-Point encryption) validées par ce dernier.

Deux scénarios sont présentés par le PCI Council :

Pour les commerçants qui souhaitent utiliser une solution de paiement mobile « sur étagère »

Le PCI Council recommande de s’associer à un fournisseur de solution P2PE validée afin de s'assurer que les données porteurs (au minimum le PAN) soient chiffrées avant d’être transférer dans un smartphone ou une tablette. L’intérêt d’utiliser une solution P2PE validée par le PCI Council est de réduire les risques d’interception et d’utilisation des données porteurs par un tiers mais surtout de réduire l’impact des exigences PCI DSS sur son système d’information. Selon le PCI Council le fournisseur de la solution P2PE doit s'assurer que tout POI (point d’interaction) utilisé avec sa solution est conforme aux  exigences du PCI SSC applicables notamment aux exigences du module SRED (Secure Reading and Exchande of Data). Le fournisseur doit également à travers le manuel d’instruction de la solution expliquer aux commerçants comment protéger le système d'acceptation de paiement par mobile.

Par ailleurs dans le cadre de la validation de la conformité PCI DSS l’acquéreur ou les réseaux peuvent demander d'uniquement compléter le questionnaire d’auto-évaluation P2PE.

Pour les commerçants qui souhaitent développer leur propre solution de paiement mobile

Le PCI Council recommande au minimum d’utiliser un point d’interaction (POI) validé par le PCI Council rappelant que les smartphones et autre tablette n’ont pas été conçus pour stocker des données porteurs en toute sécurité. Le PCI Council invite donc les commerçants à s’équiper de technologie complémentaire afin d’assurer la confidentialité des données porteurs conformément aux exigences PCI DSS. En revanche ce type de solution a un impact direct sur le périmètre PCI DSS des commerçants dans la mesure où les données porteurs sont chiffrées et déchiffrables au sein de la même entité rendant applicable l’ensemble des exigences PCI DSS.

Le document publié par le PCI Council ne fait aucune mention de la technologie NFC promue par les réseaux, VISA pour sa part a dévoilé en février dernier sa nouvelle solution de paiement mobile "one-stop" pour smartphones supportant la technologie NFC concurrente directe de Google Wallet et de l'offre ISIS des opérateurs.

Evolution majeure du programme PCI PA-DSS

Le PCI (Payment Card Industry) SSC (Security Standard Council) a récemment publié la version 2.0 du guide PA-DSS qui présente une évolution majeur de la définition d'un changement mineur d’une application de paiement certifiée PA-DSS. Cette évolution est à l’image de la récente annonce du programme PCI PTS (Pin Transaction Security) et des évaluations d’écarts (Delta Evaluations) que le PCI SSC accorde à présent aux fournisseurs afin de s’aligner entre autre aux évolutions et mises à jour des composants certifiés PTS.

Dans la version antérieur du programme PA-DSS certains types de changements apportés à une application exigés une revalidation complète de l'application de paiement, en d’autre terme un audit PA-DSS complet. Pour éviter cela il était donc important de trouver une gestion de version de l’application appropriée à communiquer au PCI SSC afin d’être ou de rester éligible au programme.

Désormais lorsqu’une application de paiement a été modifiée, le PA-QSA (Payment Application Qualified Security Assessor) se limitera à l’évaluation du changement apporté sans revalidation complète de l’application. Le nouveau guide du programme PA-DSS fournit plus d’information à ce sujet et clarifie la notion de changement mineur qui est présenté selon les types de changements suivants :

• Les changements sans impact : ce sont des changements mineurs apportés à une application certifiée qui n’ont aucun impact sur les exigences PA-DSS (exemples : changements apportées aux interfaces graphiques utilisateurs ou aux modules qui n’assurent pas de fonctions de paiements …),

• Les changements avec un impact faible: ce sont des changements mineurs apportés à une application certifiée qui ont un impact limité sur les exigences PA-DSS. Le PCI SSC a listé ces changements avec impact faible qui sont au nombre de 6 :

1. L'installation d’une mise à jour mineur ou d’un correctif de la version d’un système d’exploitation sur lequel l’application a été validée,
2. L'installation d’une mise à jour mineure ou d’un correctif d’une base de données bases de données sur laquelle l’application a été validée,
3. Mises à jour des modules ou des fonctions de « reporting » de l’application,
4. L'installation d’une mise à jour mineures ou d’un correctif d’un « middlewre » sur lequel l’application a été validée,
5. Recompilation du code inchangée soit avec le même compilateur ou en utilisant différents « flags » ou encore avec un compilateur complètement différent.

• Les changements avec un impact élevé: ce sont les changements lourds liés au chiffrement, gestion des clés traitement, stockage des données porteurs.

La technologie NFC n’est pas conforme aux exigences PCI DSS

Le « Ross Anderson » du NFC (Near Field Communication) s'appelle Renaud Lifchitz. Il a démontré récemment lors des GS Days 2012 comment il est simple d’interroger une carte NFC via un lecteur USB et quelque ligne de code sur son ordinateur (portées sur un smartphone Android). 


La démonstration est sans appel en passant la carte NFC près du lecteur USB Renaud Lifchitz a affiché le nom du porteur, le PAN, la date d’expiration, ainsi que le détail des 20 dernières transactions sur l’écran de son ordinateur. Renaud Lifchitz indique également que la piste peut être récupérer via ce procédé le tout à distance.

Les données porteurs ainsi collectées permettraient de réaliser des transactions de type VAD (Vente à Distance) sans authentification du porteur (Cxx2, 3D Secure ou SecurCode) ou de proximité dans un contexte  hors EMV avec une piste dupliquée.

Renaud Lifchitz remet en question EMV (Europay Mastercard Visa) qui selon lui aurait été utilisé tel quel via NFC, sans se poser plus de question sur la sécurité des échanges entre la carte et le lecteur entre autre qui pour rappel n’est pas chiffré. Nous sommes donc ici devant une non-conformité aux exigences PCI DSS (pré-requis 4.1) qui exige que les transactions transmises via des réseaux publics ou ouvert soient chiffrées.

A noter néanmoins que les achats pistes en France sont impossibles dans la mesure les données de la puce sont inutilisables en piste magnétique (le CVX puce accessible NFC est différent du CVX piste et sera de facto refusé s'il est ré-encodé sur la piste d'une fausse carte piste générant une demande d'autorisation en provenance d'un commerce non EMV).

La nouvelle étude Ponemon 2012 révèle un coût de la perte de données en hausse pour les entreprises françaises

Le coût de la compromission de données a fortement augmenté selon une nouvelle étude réalisée par l'Institut Ponemon pour le compte de Symantec. Pour la troisième année consécutive, le coût par perte ou vol de données ainsi que le coût total pour les entreprises françaises ont augmenté. Le coût moyen par données compromises est passé de 98 euros en 2010 à 122 euros en 2011.



Le coût total moyen de la compromission de données pour les entreprise a augmenté de 2,20 millions d’euros à 2,55 millions d’euros millions soit une augmentation de 16 % des résultats entre 2010 et 2011.

Plus de clients abandonnent l'entreprise suite à la compromission de données : le taux de désabonnement dans l'étude de cette année a augmenté. Le taux de désabonnement moyen est passé de 4,1 % en 2010 à 4,4 % cette année. Cependant, certaines industries du secteur financier et des entreprises de communications sont plus sensibles à la perte de clients, ce qui provoque l’augmentation de leurs coûts de compromission de données qui sont plus élevés que la moyenne.

Les malveillances ou attaques criminelles restent les principales sources de compromissions de données, 43 % des organisations françaises l’annoncent contre 38 % en 2010. Ces types de compromissions sont aussi les plus coûteuses. 30 % des compromissions ont impliquées des employés négligents ou des prestataires avec 26 % qui disent que c’est un problème informatique ou une défaillance des processus métiers

Les coûts liés à la perte de business ont augmenté de 688779 euros en 2010 à 782749 euros en 2011. Ce sont les coûts les plus élevés rapportés depuis la première étude des coûts de compromissions de données en 2009.

Certaine décision organisationnelle ont un impact sur le coût global de compromission de données. Si l'organisation dispose d'un RSSI avec une responsabilité de protection des données d'entreprise alors les coûts moyens d'une compromission de données peuvent être réduits (moins 63 euros par donnée compromise).

À la suite d'un premier incident, les entreprises se tournent plus facilement vers des mesures préventives telles que le chiffrement (37 %, soit une hausse de 9 %), le DLP (Data Loss Prevention pour 30 % soit une croissance de 12 %) et des systèmes de surveillance de la sécurité.