La communication en champ proche (NFC, Near Field Communication) existe depuis pas mal de temps, mais n'a pas suscité beaucoup d'intérêt de la part du marché. Mais c'est sur le point de changer. La technologie NFC se trouve maintenant à un point charnière car les grands fabricants de téléphones mobiles, les institutions émettrices de cartes de crédit et les sociétés de traitement financier ont finalement compris comment sécuriser les paiements mobiles en utilisant des méthodes cryptographiques fortes, à savoir, la tokenisation. L'avancée décisive provient de l'insertion directe d'institutions émettrices de jetons dans le système de traitement de la carte de crédit existant, permettant la mise en œuvre de la cryptographie sans une refonte majeure du système de paiements. Cela va alimenter une explosion de croissance du marché des paiements mobiles et illustre parfaitement la façon dont la sécurité peut créer réellement un marché. Il n'est pas difficile d'imaginer la même dynamique de création de marché alimentant la croissance de l'internet des objets (IdO) émergent.
Il est ironique de constater que, en dépit de son nom parfaitement littéral, « Communication en champ proche », la NFC souffre d'une crise d'identité. Comme son nom l'exprime clairement, la NFC est une technologie de communication utilisant des champs électromagnétiques à courte portée (à savoir les ondes radio). Donc, on pourrait penser que le nom parle de lui-même, mais comme cela arrive souvent, une technologie spécifique est souvent assimilée aux façons dont elle est utilisée. C'est ce qui est arrivé avec la NFC.
Les utilisations de la technologie NFC peuvent être décrites comme le partage, le couplage et les transactions. Les transactions sont de loin la colonne vertébrale de la NFC, et c'est la raison pour laquelle beaucoup de gens pensent actuellement que la technologie NFC est en réalité un système de paiements. En vérité, la technologie NFC n'est qu'une petite partie du système de paiement, spécifiquement le pipeline sans fil qui relie un appareil mobile ou une carte à puce équipée au reste du système de paiement sans qu'il soit nécessaire d'établir un contact électrique physique. Cela permet la réalisation d'opérations par le simple contact avec un terminal de paiement. Les systèmes de paiement tels que Apple Pay, Google Wallet, Visa Pay Wave, MasterCard Pay Pass, American Express Express Pay, Softcard (Isis) et d'autres peuvent utiliser la technologie NFC et appliquer leurs propres mécanismes de sécurité. Il est important de garder à l'esprit que la technologie NFC peut remplir bien d'autres fonctions que les paiements, mais ceux-ci feront rentrer la NFC dans la vie quotidienne de tout le monde et sa croissance sera vertigineuse.
L'omniprésence dans le monde des smartphones fait la jonction entre la commodité de la technologie NFC et la sécurité de la tokenization. Cette combinaison permettra de stimuler la croissance des smartphones équipés de la technologie NFC à 1,2 milliard d'ici 2018, selon le cabinet d'études de marché prestigieux IHS, présentant un taux de croissance annuel composé de 34 %. Les smartphones Android constituant l'essentiel du marché des smartphones, ceux-ci représentent aussi la majeure partie des déploiements de smartphones NFC avec 254 millions d'unités expédiées en 2013, ce qui correspond à 93 % de tous les téléphones mobiles dotés de la technologie NFC. D'ici 2018, les téléphones Android compatibles NFC pourraient atteindre 844 millions d'unités ; avec une part du marché chutant à 75 pour cent en raison de l'apparition d'autres entreprise, principalement le « monstre » Apple. On comprend que la technologie NFC est clairement en train de devenir une technologie par défaut dans les téléphones.
NFC Security
Même les systèmes de paiement par carte actuels ont une sécurité intégrée dans la façon dont ils gèrent les transactions. Voilà pourquoi nous devons tous attendre l'autorisation de la société de traitement d'opérations avec cartes de paiement après avoir glissé notre carte dans le terminal d'un magasin. Mais, comme le sait toute personne qui a reçu un appel du service des fraudes de leur société de carte de crédit, ce système n'est pas sûr du tout, cela s'explique en bonne partie par le fait que nous remettons nos cartes à des employés de magasin et des serveurs avec notre numéro de carte, date d'expiration et codes de sécurité, aux yeux de tous. De plus, nos numéros de cartes et données personnelles se retrouvent à l'intérieur de systèmes non sécurisés dans des dizaines de magasins de détail (il suffit de se référer aux failles de sécurité constatées dans les systèmes de Target et Home Depot). Mais le concept le plus troublant est que la technologie de la carte à bande magnétique date de l'ère des cassettes à huit pistes et des tapis à poils longs. La technologie de la carte à bande magnétique est si mauvaise qu'en 2013 les États-Unis, principaux utilisateurs de la bande magnétique, représentaient 47 pour cent de la fraude mondiale, alors qu'ils ne traitent que 24 pour cent seulement des paiements en volume.
De toute évidence, il est grand temps d'assurer réellement la sécurité des opérations financières personnelles à l'échelle mondiale et la tokenization semble être toute indiquée pour remplir cet objectif.
Obstacles à l'adoption de la NFC
Le principal obstacle à l'adoption de la technologie NFC est représenté par une série d'institutions à gros budget se positionnant jalousement afin d'obtenir une part inéquitable de l'énorme gâteau du traitement des paiements. Les acteurs vont des méga-banques (à savoir les sociétés trop importantes pour sombrer), aux sociétés de cartes de crédit géantes (qui facturent des frais fixes importants considérés comme usuraires par le passé), de puissantes sociétés de traitement de cartes, des grands fabricants de téléphones mobiles, des développeurs d'écosystème du logiciel, de nombreuses agences gouvernementales internationales ainsi que plusieurs autres organismes. Les machinations entre ces groupes seraient de nature à impressionner Niccolo Machiavelli, Charles Darwin et la famille Borgia réunis (mais c'est le sujet d'un autre article). Avec autant d'acteurs de premier plan arrivant de différentes directions, le paysage des paiements mobiles s'est balkanisé, retardant la propagation de la technologie NFC. Cela est enfin sur le point de changer en raison de la tokenization et des téléphones mobiles.
Tokenization
La tokenisation est une fonction cryptographique très fondamentale, qui est basée sur un principe simple mais important de la cryptographie, à savoir, garder secret des secrets. Votre numéro de carte de crédit est le parfait exemple de quelque chose que vous souhaitez garder secret. Ainsi, que feriez-vous si vous pouviez cacher ces informations et les remplacer par quelque chose de complètement inutile pour des tiers non autorisés ? Ce concept est très puissant, surtout lors de l'utilisation d'un téléphone mobile comme carte de crédit, parce que les téléphones mobiles ont été créés précisément pour diffuser des informations dans l'atmosphère. Les téléphones contiennent de multiples canaux de communication, chacun d'eux pouvant faire l'objet d'une attaque, tels que NFC, Wifi, cellulaire, USB, GPS et Bluetooth. C'est facile de voir le problème, n'est-ce pas ? Comment protégez-vous les informations sensibles, secrètes, telles que les ID numériques, les mots de passe, les informations concernant le compte de la carte de crédit et les secrets financiers lorsque vous utilisez les appareils les plus communicatifs jamais inventés ? Grâce à la tokenisation et ce ne sera pas une mince affaire.
Comme indiqué, l'idée derrière la tokenization est de garder secrètes les informations confidentielles en les cachant dans un endroit sûr et en utilisant un identifiant de remplacement. La meilleure façon de cacher des informations sur un appareil mobile réside à l'intérieur d'un circuit intégré grâce à des mécanismes de protection du matériel intégrés. Dans un téléphone portable équipé de la technologie NFC, ce matériel est appelé « élément sécurisé » (qui est un nom descriptif, bien sûr). Grâce à la tokenization, les informations de l'utilisateur sont déguisées en utilisant la cryptographie sous une forme qui ressemble aux données d'origine et qui peut être utilisée pour mener une transaction sécurisée, mais seulement avec les parties spécifiées dans le système qui peuvent relier en toute sécurité ces informations au numéro de la carte de crédit. Pour utiliser le verbiage d'un haut dirigeant de VISA, « La tokenisation retire le numéro réel du compte de la carte de débit du flux. »
Pour chaque transaction, le processus de tokenization remplace le numéro de compte par une représentation numérique unique qui a la propriété de ne pas pouvoir être utilisée pour reconstruire le numéro du compte secret. Les mathématiques qui rendent cela possible sont basés largement sur des fonctions de hachage et de signature utilisant des algorithmes cryptographiques tels que SHA, AES, ECC, RSA, ou d'autres.
Chaque transaction est randomisée utilisant un nombre aléatoire différent. Notez que le secret stocké dans l'appareil mobile ne sera probablement même pas le numéro de carte réel. Le plus probable est que le secret stocké dans le téléphone sera un "numéro de compte d'appareil" unique attribué par un fournisseur de service de jetons. Le numéro de carte réel sera conservé en toute sécurité par le fournisseur de service de jetons. (Le numéro du compte de l'appareil est probablement ce que la spécification de tokenization appelle le « jeton de paiement ».) Parce que chaque transaction utilise une valeur aléatoire, il n'y a pas de corrélation entre une valeur de la transaction et la suivante. Elles sont aussi différentes que cela est possible, par définition. Ainsi, le secret ne peut pas être percé par un pirate analysant les transactions ultérieures.
Hasard, secrets et maths
Les trois méthodes cryptographiques importantes qui seront utilisées à l'avenir lors des paiements mobiles sont : 1) la randomisation, 2) les secrets stockés dans le matériel sécurisé et 3) des fonctions mathématiques cryptographiques à sens unique irréversibles. Ces trois méthodes sont ce qui permettra de bénéficier d'une véritable sécurité dans l'univers numérique, tout comme les gardes, les fusils et les chiens l'ont fait dans la période précédant l'avènement des ordinateurs. L'utilisation de ces méthodes et la tokenization pour retirer le numéro de la carte du flux signifie que les paiements par téléphone mobiles basés sur la technologie NFC seront plus sûrs que de glisser une carte de crédit dans un terminal. Pour paraphraser le dirigeant d'une grande société de cartes de crédit, la tokenization sera le changement le plus important des réseaux de paiement au cours des 15 à 20 dernières années et sera probablement le point de basculement qui entraînera l'adoption généralisée de la technologie NFC. Il est difficile de ne pas être d'accord.
Le reste de l'histoire de la technologie NFC
En dehors des paiements, la technologie NFC peut être utilisée pour une grande variété d'applications, dont certaines sont indiquées ci-dessous :
-
Paiement des parcmètres
-
Obtention de billets ou de cartes d'embarquement
-
Ouverture de portes
-
Clés de voiture
-
Télécharger des informations (p. ex. kiosques, affiches intelligentes, etc.)
-
Régler les paramètres automobiles dans l'habitacle
-
Suivre le matériau (p. ex. matériaux des bagages, industriels)
-
Coupler les appareils Bluetooth
-
Programmer des produits de consommation
-
Partager des fichiers
-
Éteindre les batteries du téléphone (par exemple d'une tape sur la table de chevet)
-
Titres de transports publics
-
Cartes de visite électroniques
-
Points d'accès personnels
-
Implants (par ex. localisation des animaux domestiques)
Technique électronique de vol à la tire
Les systèmes tokenisés décrits ci-dessus sont conçus autour des paiements. De telles techniques ne vont pas être appliquées nécessairement à d'autres modèles d'utilisation de la technologie NFC. Comme avec toute norme de communication sans fil, il existe des possibilités d'interception, de corruption, d'usurpation d'identité, entre autres mauvais comportements. La NFC n'échappe pas à la règle. Lorsque la technologie NFC est apparue pour la première fois, les gens ont cru souvent que les très courtes distances de la communication NFC établissait de fait un niveau significatif de sécurité. Cela est tout simplement ridicule : de courtes distances ne créent pas une réelle sécurité. Pour briser à jamais ce mythe, des chercheurs de l'Université de Surrey (Royaume-Uni), ont créé un petit récepteur et peu coûteux capable d'intercepter les cartes à des distances de 20 à 90 centimètres. Ils ont même eu une bonne réception jusqu'à 45 centimètres, ce qui est important parce que les systèmes de paiement ne sont même pas censés transférer des données au-delà de 10 cm d'un lecteur. De toute évidence, vous ne pouvez pas vous fier à la distance. Vous ne pouvez faire confiance qu'à des méthodes de sécurité réelles. La technologie NFC s'est en fait avérée être un moyen facile de pénétrer dans un système, et est considérée comme une autre surface d'attaque. Récemment, lors d'un congrès de passionnés de piratage, la technologie NFC a été exploitée pour pirater deux grandes plates-formes de fournisseurs de téléphones mobiles Android. Cela résume assez bien combien il est important d'appliquer les méthodes de sécurité réelles à toutes les applications NFC, de façon à ce que la technologie NFC ne devienne pas une technique électronique de vol à la tire.
Pour fournir l'ensemble complet de la sécurité, les trois piliers de base de la sécurité doivent être présents. Ceux-ci peuvent être désignés sous l'appellation CIA pour confidentialité, intégrité et authentification. (En outre, comme nous l'avons vu avec les paiements mobiles, stocker des secrets dans un matériel protégé constitue l'autre aspect critique.)
-
La confidentialité est s'assurer que personne ne peut lire le message, à l'exception du destinataire prévu. Cela est généralement accompli grâce au cryptage et au décryptage, qui cache le message à tous les parties, à l'exception de l'expéditeur et du destinataire.
-
L'intégrité est appelée également intégrité des données et permet de s'assurer que le message reçu n'a pas été modifié. Ceci est effectué en utilisant des fonctions cryptographiques. Pour les applications symétriques, cela se fait habituellement par le hachage des données à l'aide d'une clé secrète et l'envoi du résultat de ce hachage (appelé Code d'authentification de message ou « MAC ») avec les données vers l'autre côté, qui effectue les mêmes fonctions pour créer le MAC puis comparer les deux MAC et voir s'ils correspondent. Signer-vérifier est le mécanisme asymétrique utilisé pour assurer l'intégrité.
-
L'authenticité est de vérifier que l'expéditeur d'un message est qui il prétend être (c.-à-d. s'il est réel). Dans les mécanismes d'authentification symétrique cela se fait généralement avec un défi (souvent un nombre aléatoire) qui est envoyé de l'autre côté pour être haché avec une clé secrète afin de créer une réponse-MAC qui est ensuite envoyée vers le côté qui a lancé le défi. Le côté du défi exécute alors les mêmes calculs en interne afin de créer un MAC en utilisant les mêmes données puis compare ensuite les MAC des deux côtés pour voir s'ils correspondent.
Parce que les spécifications de la technologie NFC laissent le soin de la sécurité au concepteur, que peuvent faire les concepteurs pour appliquer une sécurité renforcée ? Une chose évidente est de commencer par le stockage de la clé secrète protégée. Des appareils tels que les circuits intégrés CryptoAuthenticationTM d'Atmel ont été créés spécialement à cet effet. En plus de sécuriser les clés secrètes dans le matériel protégé, ces appareils proposent des crypto moteurs dans des boîtiers de petite taille, économiques et faciles à utiliser.
Ce que l'évolution du système de paiements nous a appris est que la sécurité est obligatoire, que pour cela, le stockage secret sécurisé est essentiel et que des procédés de cryptage doivent être employés. Parce que des appareils de sécurité robustes sont désormais disponibles, minuscules et économiques, la technologie NFC peut en effet être la technologie du présent à l'avenir pour tous les modèles d'utilisation.
-