Dans cet avis d’expert, Kaspersky Labs présente sa vision des cartes bancaires du futur.
Entre les fraudes sur Internet et les piratages au DAB, la carte bancaire est devenue l’un des nerfs de la cyberguerre. Pas besoin de préciser que l’industrie financière, qui perd actuellement des sommes d’argent immenses à cause des fraudeurs, fait de son mieux pour déployer des technologies de sécurité des transactions plus avancées. Aujourd’hui, la France utilise massivement les cartes à puce, aussi appelé système EMV, considérées comme la technologie la plus avancée en matière de protection des cartes bancaires. Portant, elle n’est pas infaillible et ne peut pas protéger contre toutes les menaces.
Mot de passe et réponse
La solution la plus évidente est d’ajouter une couche de sécurité supplémentaire – telle qu’une authentification à deux facteurs qui est désormais très répandue sur Internet.
Sur le Web, ce système fonctionne réellement. Au moment de payer en ligne, en plus du code de sécurité CVV2 au dos de sa carte, l’utilisateur doit rentrer un mot de passe à usage unique qui lui a été envoyé par SMS sur son téléphone mobile, qu’il peut imprimer dans un guichet automatique ou qui a été généré par un dispositif autorisé par une banque. Une authentification à deux facteurs peut également être utilisée pour différentes transactions hors ligne si celles-ci impliquent des sommes d’argent importantes.
Les cartes bancaires disposant d’un système d’affichage intégré utilisent une méthode d’authentification similaire. Dans ce cas, la carte bancaire est équipée d’un mini-ordinateur intégré, d’un écran LCD et d’un clavier numérique. En plus de générer des mots de passe à usage unique, ce système est capable d’afficher le solde du compte, l’historique des transactions, etc.
Bien que les premières cartes interactives soient apparues il y a maintenant 5 ans, seules quelques banques en Europe, aux États-Unis et dans les pays asiatiques les plus développés les proposent à leurs clients.
Carte à la demande
Dynamics, une compagnie américaine, fournie une solution encore plus originale. La carte ne possède pas de bande magnétique dans le sens propre du terme. Cette dernière est générée sur demande par un dispositif intégré et l’utilisateur doit d’abord rentré un mot de passe via un clavier intégré.
Si vous ne connaissez pas le mot de passe, la bande magnétique ne sera pas générée et par conséquent, la transaction ne pourra pas être exécutée. De plus, ce type de carte ne possède pas 16 chiffres : une partie de la séquence numérique n’est pas imprimée sur le plastique mais s’affiche sur un écran une fois que le propriétaire de la carte rentre le mot de passe.
Puis-je avoir votre doigt ?
Un mot de passe peut être un moyen efficace de protéger votre carte mais il ne servira à rien sur un utilisateur étourdi n’est pas capable de le garder secret. Nous connaissons des petits malins qui écrivent leur code PIN sur leur carte bancaire pour ensuite la perdre…
L’authentification biométrique est une solution radicale à ce problème. Zwipe, une compagnie norvégienne, en association avec Mastercard, est actuellement en train d’essayer une carte bancaire disposant d’un scanner d’empreinte digitale. La seule chose dont vous avez besoin pour approuver la transaction est de placer votre doigt sur la zone de contact et – adieu code PIN !
La physique quantique nous vient en aide
Malgré des décennies de recherche, des ordinateurs quantiques capables de fonctionner parfaitement restent un rêve. Mais il y a une lueur d’espoir : certaines fonctionnalités des technologies quantiques serviront à créer des identifiants impossibles à imiter.
Des études de l’université de Twente et de l’université technologique d’Eindhoven (toutes deux situées aux Pays-Bas) ont prévu d’utiliser un système de sécurité quantique pour les cartes bancaires et les cartes d’identité. Bien qu’il ne s’agisse que d’expériences en laboratoire pour le moment, leur modèle de système de sécurité basé sur la physique quantique est développé sous le nom de QSA (Quantum Secure Authentification).
Une minuscule partie de la carte en plastique est recouverte d’une couche extrêmement fine d’oxyde de zinc (rien de magique ici – il est aussi appelé « zinc blanc »). Cette partie est ensuite bombardée de photons émis par un laser. Quand ils rentrent en contact avec les nano particules, les photons se réfléchissent dans la couche d’oxyde de zinc. Ce processus altère les propriétés optiques de la couche de particules, formant ainsi une clé unique.
Si un criminel essaie de pirater une combinaison de question et réponse pendant une transaction, cela ne fonctionnera pas. N’importe quel détecteur photoélectrique additionnel implanté dans le système détruirait l’état quantique d’une partie des photons et corromprait tout le processus.
Une autre méthode permettant de pirater ce système de sécurité présuppose la falsification des cartes en conservant leur taille exacte, leur situation géographique et d’autres paramètres inscrits dans les nano particules afin de produire une copie conforme et c’est presque impossible à réaliser dû à l’extrême complexité du processus. Les développeurs de QSA affirment que, malgré la complexité du processus, cette technologie est relativement simple et peu coûteuse à mettre en place en utilisant des technologies et des méthodes facilement accessibles.
Pas de précipitation
Il y a peu de chances que les banques mettent en place les systèmes de sécurité cités ci-dessus dans un futur proche. L’industrie financière est plutôt conservatrice et rend coûteux le déploiement à grande échelle de nouvelles technologies.
Cela étant dit, nous sommes presque certains que l’innovation en matière de méthode de paiement apparaitra premièrement au sein de services alternatifs comme par exemple, les nouveaux systèmes de paiement Apple Pay ou Google Wallet ou les prometteurs Coin, Wocket et Plastc (nous parlerons d’eux plus tard).
De plus, il est essentiel que ces merveilles technologiques ne soient pas déployées en vain à cause d’imperfections dans leur mise en place comme c’est souvent arrivé avec les cartes EMV. Le principal problème de sécurité ici est que dans le cas où un terminal ne réussit pas à lire les données de la puce sécurisée, on se tourne alors vers la bande magnétique qui est restée pour éviter les problèmes d’incompatibilité ; ce qui revient à jeter par la fenêtre tous ces efforts en matière de sécurité.