Il existe une tendance constante dans le monde de l'informatique : passer d'un matériel dédié à des composants prêts à l'emploi avec des cas d'utilisation définis par logiciel. Cette tendance se retrouve dans le monde de la sécurité, qui passe d'un périmètre matériel protégé à une protection logicielle intelligente.

Verimatrix a été au point de convergence de ces tendances, et nous avons même été félicités par Omdia pour notre agilité et notre détermination à développer de nouveaux produits avant-gardistes. Cela vaut pour tous les secteurs que nous soutenons, qu'il s'agisse de la sécurité du contenu avec nos produits VCAS ou de notre soutien continu à l'évolution de la sécurité des paiements.

L'innovation au service de la commodité et de la réduction de la fraude

L'innovation dans les technologies de paiement est motivée par deux questions :

  • Comment faire pour que davantage de personnes effectuent des paiements sur notre plateforme ? Cela signifie qu'il faut rendre le paiement plus facile et plus pratique.
  • Comment réduire la fraude ? En rendant les paiements plus sûrs, les coûts sont éliminés du système et la confiance des consommateurs est renforcée (ce qui, à son tour, signifie que davantage de personnes effectueront des paiements sur une plateforme fiable et sûre).


En examinant cette chronologie des innovations en matière de technologies de paiement, on constate que chaque nouveau produit ou lancement a été motivé soit par la commodité, soit par la détection de la fraude :

Chronologie de la sécurité des technologies de paiement

De la puce au logiciel : Ouvrir la voie aux transactions "tap to phone

Lorsque les paiements mobiles par carte ont commencé, la sécurité s'est appuyée sur l'approche traditionnelle de la carte à puce. On utilisait soit la carte SIM, soit une puce dédiée (appelée Secure Element) dans le téléphone. Il s'agissait d'un modèle de sécurité matérielle. On s'est rapidement rendu compte qu'à moins de contrôler l'ensemble de l'écosystème (à la Apple Pay), ce modèle n'était pas très pratique à déployer.

La percée s'est produite lorsque Google a ouvert l'antenne NFC sur les téléphones Android grâce à une interface appelée Host Card Emulation. Soudain, tout pouvait être intégré dans le logiciel, ce qui permettait de déployer très facilement des portefeuilles mobiles basés sur des cartes.

Mais qu'en est-il de la sécurité ? C'est là que des solutions innovantes entrent en jeu, comme la technologie Software Shielding de Verimatrix. Les bonnes approches de sécurité déployées dans le logiciel peuvent protéger les portefeuilles mobiles à des niveaux équivalents à ceux des solutions matérielles, mais sans les inconvénients.

Dispositifs grand public prêts à l'emploi (COTS)

Le succès de sociétés pionnières telles que Square et iZettle a prouvé qu'il existait une demande pour une acceptation des paiements plus accessible. Soudain, les commerçants qui n'auraient jamais pu envisager des terminaux de point de vente (TPV) dédiés ont disposé d'un moyen abordable et pratique d'accepter les paiements par carte grâce aux nouvelles solutions mPOS.

Ces premières solutions mPOS utilisaient une approche hybride, associant des téléphones mobiles standard pour l'interface utilisateur et la connectivité, tout en utilisant du matériel dédié pour effectuer la transaction par rapport à la carte et répondre aux exigences de sécurité.

Ce n'était qu'une question de temps avant que l'acceptation ne fasse la même transition que l'émission : passer à des terminaux de point de vente purement logiciels (SoftPOS) fonctionnant sur des appareils COTS. Le seul véritable obstacle était la nécessité d'"honorer toutes les cartes", y compris celles dotées d'une puce ou d'une bande magnétique. L'augmentation de l'utilisation des paiements sans contact élimine cet obstacle - un téléphone Android avec NFC peut facilement communiquer avec une carte ou un téléphone sans contact de la même manière qu'un terminal de point de vente dédié.

Paiements sécurisés par téléphone

Les premiers essais de connexion au téléphone ont commencé en 2015 et l'approche a été officiellement approuvée en 2019 avec le lancement de la spécification PCI "Contactless Payments on COTS" (Paiements sans contact sur COTS). Cela a accéléré le nombre de solutions en cours de développement.

PCI est une organisation axée sur la sécurité des paiements. Il n'est donc pas surprenant que la récente spécification définisse des mesures strictes qui doivent être mises en œuvre. En tant qu'organisation axée sur la sécurité, PCI ne fera jamais de compromis sur la sécurité dans le seul but de favoriser un modèle de déploiement plus pratique.

Les paiements modernes par carte dans les magasins reposent sur un système cryptographique de type "défi-réponse". Le terminal génère le défi, que la carte signe ensuite pour autoriser la transaction. L'objectif de la spécification PCI est de sécuriser cette opération cryptographique. Si cette opération est sûre, la transaction de paiement l'est également.

Une étape importante lors du lancement d'une nouvelle application Tap to Phone est l'audit requis par un laboratoire de sécurité agréé. Ces laboratoires effectuent une évaluation indépendante pour garantir la conformité avec la spécification PCI. Pour les consommateurs, la conformité signifie qu'ils peuvent continuer à faire confiance aux réseaux de paiement. Pour les vendeurs, la conformité doit être considérée comme plus qu'une exigence d'entrée, son véritable objectif étant de minimiser l'exposition au risque pour eux et toutes les autres parties prenantes.

Protéger les transactions sur les appareils COTS grâce à des solutions de protection des applications

L'utilisation d'appareils COTS signifie que la cryptographie doit être effectuée dans un environnement purement logiciel - ce qui nécessite la cryptographie whitebox et des technologies de blindage d'applications plus larges. Sans ce renforcement, l'application SoftPOS sera vulnérable aux attaques et le traitement des paiements sera exposé.

Au cours des huit dernières années, Verimatrix a apporté son expertise aux banques qui ont créé des portefeuilles d'émetteurs. Aujourd'hui, la société apporte ces solutions aux fournisseurs de technologie, aux fabricants de points de vente et aux entreprises de traitement des paiements qui passent à SoftPOS.

Si vous vous engagez dans cette voie ou si vous commencez à collaborer avec un laboratoire de sécurité, contactez-nous pour discuter de la manière dont Verimatrix peut vous aider à faciliter votre processus.