Les paiements sans contact ne sont plus l'avenir, ils sont maintenant. Le Rapport mondial sur les paiements 2021 prévoit que d'ici 2024, les espèces représenteront moins de 10 % des paiements en magasin aux États-Unis et 13 % des paiements dans le monde, tandis que les portefeuilles numériques représenteront un paiement en magasin sur trois dans le monde (33 %).

La communication en champ proche (NFC) permet une communication à courte portée entre des appareils compatibles, offrant une commodité sans précédent, une facilité d'utilisation élégante et une connexion immédiate pour le secteur des paiements. En 2000, Verimatrix (sous son ancienne identité Inside Secure) a été le pionnier de cette technologie avec le brevet R2R (Reader to Reader). Depuis lors, cette technologie a donné naissance à une multitude de nouveaux cas d'utilisation des paiements, comme les portefeuilles numériques, le Tap-to-Phone et les paiements sans contact. Cependant, maintenant que les paiements passent du matériel au logiciel, de nouvelles vulnérabilités, moins intéressantes, doivent être résolues. 

Voici quelques bonnes pratiques pour sécuriser les paiements NFC :

1. Résoudre l'erreur de l'utilisateur par des contrôles environnementaux

Voici la vérité : les pirates informatiques malveillants ne sont pas la seule cause des failles de sécurité. En fait, selon une étude d'IBM
selon une étude d'IBM, l'erreur humaine est la cause principale de 95 % des violations de la cybersécurité.

Toutefois, cela ne signifie pas que les développeurs et les équipes de sécurité ne doivent pas tenir compte des erreurs des utilisateurs. Si un appareil est volé ou si un commerçant choisit délibérément de saper les contrôles de sécurité natifs de son appareil mobile en le "jailbreakant" ou en le "rootant", cela augmente le risque d'infection par des logiciels malveillants et place la technologie que vous avez mise au point dans une position vulnérable.

La création d'un réseau de contrôle automatisé garantira que votre logiciel de paiement s'exécute comme prévu, même s'il fonctionne dans un environnement peu sûr. Une approche sécuritaire solide des menaces environnementales vous permettra d'ajuster la réaction de votre application en fonction de la menace détectée. Plutôt que de désactiver complètement votre application, des outils personnalisables vous permettront de gérer les risques et de définir votre propre appétit. Cela signifie que vous pourrez bloquer certaines fonctionnalités de votre application si elle fonctionne dans un environnement vulnérable, plutôt que d'arrêter toute l'application d'un seul coup. En fin de compte, les outils personnalisables vous aident à protéger votre technologie et l'expérience de l'utilisateur final.

2. Garder les clés de chiffrement en sécurité et cachées

La livraison et le stockage de données financières nécessitent un chiffrement. Les clés cryptographiques exposées constituent une vulnérabilité connue dans le code des applications, en particulier pour les technologies de paiement. La protection adéquate des clés et l'occultation des algorithmes permettent de sécuriser les applications et les données de paiement critiques, même si un pirate informatique a un accès complet à l'appareil sur lequel les algorithmes sont exécutés.

Bien entendu, la sécurisation des clés qui déverrouillent votre cryptographie va au-delà de leur protection dans le code de l'application mobile. La gestion des clés doit également faire l'objet d'une attention particulière, notamment en ce qui concerne le détenteur des clés, la manière dont elles sont générées et distribuées, le processus de rotation (c'est-à-dire la création de nouvelles clés et le retrait des anciennes) et la manière dont les clés sont protégées lorsqu'elles sont stockées. Si les clés ne sont pas traitées correctement tout au long de leur cycle de vie, elles peuvent être divulguées, modifiées ou remplacées par du personnel non autorisé, qui pourrait alors intercepter les données sensibles des titulaires de cartes.

Les complexités requises pour créer une implémentation cryptographique boîte blanche forte et efficace signifient que la plupart des personnes qui développent une technologie de paiement externalisent la tâche à un fournisseur externe expert. Cela peut ajouter une complexité supplémentaire et inutile à votre gestion des clés. Cependant, la meilleure pratique consiste à garder le contrôle de vos clés, même si vous choisissez un fournisseur de sécurité externe pour la gestion des clés. Traditionnellement, les fournisseurs de sécurité proposent une bibliothèque de logiciels, ce qui signifie que le fournisseur contrôle les clés qui "déverrouillent" la boîte blanche. Si les clés de cette bibliothèque sont partagées entre plusieurs clients, l'application non sécurisée de quelqu'un d'autre peut mettre la vôtre en danger.

Cependant, la cryptographie en boîte blanche avec Verimatrix vous offre le meilleur des deux mondes : vous gardez le contrôle total de vos clés tout en dépendant d'un partenaire de confiance pour assurer la sécurité de vos opérations.

3. Mise en œuvre correcte des bons outils de sécurité

Les paiements sont un secteur réglementé ; avant d'être lancés, les produits doivent généralement être approuvés par les principales parties prenantes. Cela implique souvent des audits de sécurité indépendants. Il est essentiel de mettre en œuvre correctement les solutions de sécurité pour s'assurer qu'elles protègent les données et les paiements de manière raisonnable et appropriée. La barre minimale pour l'entrée sur le marché est souvent définie dans les spécifications de l'industrie.

Aucune solution de cybersécurité n'est une boîte magique qui résout tous vos problèmes. Les bons outils doivent être correctement intégrés et configurés pour garantir une protection efficace de votre système et de votre réseau. Cela peut s'avérer mystérieux pour de nombreuses organisations, car la protection des applications est une tâche complexe et de bas niveau. Sans les connaissances spécifiques nécessaires pour configurer les outils, votre processus d'installation prendra souvent beaucoup de temps.

La meilleure approche consiste à s'approvisionner en outils de sécurité auprès d'un fournisseur ayant une expérience avérée dans le domaine des paiements. Un fournisseur qui comprend non seulement les aspects liés à la sécurité, mais aussi les processus et les audits que vous devrez réaliser, sera en mesure de vous faciliter la tâche. Un partenariat avec un fournisseur de confiance (en particulier un fournisseur qui peut offrir une mise en œuvre sans code) réduit considérablement la charge de travail de votre équipe.