Vidéo: Comment Recharger votre solde mobile Gratuitement tous les pays (Novembre 2024)
Cryptography Research, basé à San Francisco, est le deuxième plus gros donneur de licence de la technologie des semi-conducteurs, après ARM. Si un périphérique est doté d'un matériel de sécurité intégré, il y a de bonnes chances qu'il soit doté d'une puce CRI. Lors de la conférence RSA à San Francisco, Paul Kocher, président et scientifique en chef de la société, m'a expliqué pourquoi le passage imminent aux cartes à puce, loin des cartes de crédit à bande magnétique, est vraiment une bonne chose.
"Vous voyez la même technologie sur une carte à puce, la carte SIM de votre téléphone, les cartes d'accès commun émises par le gouvernement, etc.", a déclaré Kocher. "En dessous se trouve un petit microprocesseur, une mémoire réinscriptible, une ROM, un peu de RAM, un accélérateur de cryptage, certaines fonctions de sécurité. La taille et la vitesse varient, bien sûr."
"Du point de vue de la sécurité, la carte à puce constitue un progrès décisif par rapport à la bande magnétique", a déclaré Kocher. "C’est comme comparer un jumbo-jet à un cheval et un buggy. Si nous avions déjà opté pour les cartes à puce, la violation de cible n’aurait pas eu d’importance. Les méchants auraient volé les codes d’ une transaction, mais cela ne les aurait pas laissés faire les transactions futures. Avec les données qu'ils ont capturées, ils pourraient faire une copie complète d'une carte à piste magnétique compromise."
"Les puces utilisées dans les applications grand public offrent une sécurité considérablement plus élevée par dollar que presque tout le reste", a déclaré Kocher. "Les jetons coûtent entre 25 cents et un dollar. La plupart des fournisseurs ont environ 10 générations. Cela fait cinq ou six itérations, certaines modifications majeures, mais elles sont maintenant extraordinaires."
Les cartes à puce à venir
"Certains problèmes seront résolus lorsque les États-Unis se tourneront vers les cartes à puce l'année prochaine", a déclaré Kocher. "Vous avez maintenant le problème du fait que l'Europe les utilise et nous ne le faisons pas. Vous pouvez donc utiliser la bande magnétique ici. Nous sommes le point d'attaque des systèmes européens. Si vous volez une carte là-bas, ils n'ont pas toujours la mêmes contrôles de risque."
"En Europe, la sécurité repose sur la puce; ici, elle repose sur un code PIN", a-t-il poursuivi. "En Europe, les codes confidentiels ne sont souvent pas cryptés. Ainsi, ils peuvent être utilisés ici. Une fois synchronisés, les deux parties bénéficieront d'une nette amélioration. Les États-Unis sont le seul marché géant à utiliser la bande magnétique des années 1960 La technologie."
Tous les problèmes ne sont pas résolus
"Toutes les catégories de fraude impliquant une carte frauduleuse, une copie, disparaîtront lorsque les Etats-Unis adopteront des cartes à puce", a déclaré Kocher. "Deux autres catégories ne le seront pas. Le vol physique ne cessera pas, bien sûr, bien que le fait d'avoir un code PIN aidera dans les transactions qui l'exigent. L'autre, bien sûr, est les transactions en ligne sans carte."
Kocher a noté qu'il existe une possibilité de sécurité pour ces transactions en ligne. Il existe des cartes avancées avec affichage intégré pour les codes de sécurité, mais à 12 dollars par carte, elles sont tout simplement trop chères. Et le dépistage de la fraude peut être assez bon, basé uniquement sur les données existantes concernant la transaction. "En outre, avec une carte à puce, le commerçant ne reçoit pas les informations nécessaires pour contrefaire une copie", a-t-il déclaré. "Le compromis d'un marchand malveillant n'est plus une menace."
Le plus réparable
"Parmi tous les domaines où la sécurité est en crise", a déclaré Kocher, "la sécurité des cartes bancaires est la solution la plus facile. Vous avez un problème physique, les clients y sont habitués, le besoin de changement de comportement est minime, et la complexité est gérable."
"Ce changement est attendu depuis longtemps", a-t-il poursuivi. "À l'heure actuelle, les banques compensent les fraudes inévitables en imposant des frais aux commerçants. Les commerçants ne sont pas incités à améliorer la sécurité. Le vrai changement consiste en une règle simple qui déplace la responsabilité. Si un achat frauduleux est effectué avec une carte à puce le détaillant omet de vérifier, c'est le détaillant qui paie le prix, pas la banque. Il a maintenant une incitation financière à vérifier correctement les cartes bancaires."
Lors d'une précédente conférence RSA, Kocher a présenté une technique permettant de pirater un smartphone en mesurant le rayonnement RF qu'il émet. "Il existe des moyens d'attaquer les cartes à puce", a admis Kocher, "mais notre technologie protège contre les attaques liées à la consommation d'énergie, les attaques RF, etc.". Ces dispositifs fuient s'ils ne sont pas protégés."
Parier sur les insectes
"Les développeurs de logiciels ne peuvent jamais éliminer tous les bogues", a déclaré Kocher, "et les humains sont infaillibles. Dans une solution matérielle, vous pouvez séparer les opérations de sécurité critiques du même processeur qui permet de jouer à Flappy Bird. C'est une véritable sécurité."
"Cette approche est ce qui se passe avec une carte à puce", a déclaré Kocher. "Cela ne dépend pas du commerçant qui se débarrasse des bugs. Vous bénéficiez d'une sécurité sans aucun logiciel de réparation. Déprimant, peut-être, mais économiquement, c'est vrai. L'optimiste pense pouvoir se débarrasser du dernier bogue. Une carte à puce est assez simple pour vous permettre de, mais pas un PC ou un système d’exploitation ".
