Sécurité : évolution des solutions Pascal Burg Septembre 2014 Edgar, Dunn & Company, 2014
Pourquoi la sécurité est-elle importante? (1) Le phishing cible les banques Payment + Financial : 78% of phishing activity Source: apwg.org Confidential 2
et la France France : 5 e ou 4 e dans le classement Source: apwg.org Confidential 3
(2) Le vol des données cible aussi les banques Sortie en 2002, Minority Report propulse le spectateur en 2054 dans un Washington où la reconnaissance rétinienne serait le méthode d authentification la plus utilisée USA : 23 vols de données dans le secteur financier en 2014 (172 000 clients) Source: idtheftcenter.org Confidential 4
et les marchands / entreprises Sortie en 2002, Minority Report propulse le spectateur en 2054 dans un Washington où la reconnaissance rétinienne serait le méthode d authentification la plus utilisée USA : 191 vols de données dans le secteur marchand en 2014 (7 500 000 clients) Source: idtheftcenter.org Confidential 5
Exemple de fraude sur les transactions Bolero (Brésil) via un malware pour un montant total de 3.75 milliards de dollars Source: blogs.rsa.com Confidential 6
Biométrie : la réalité est-elle en train de rattraper la fiction? Sortie en 2002, Minority Report propulse le spectateur en 2054 dans un Washington où la reconnaissance rétinienne serait le méthode d authentification la plus utilisée Confidential 7
Les techniques d authentification basées sur la biométrie sont déjà au point dans le domaine du paiement dans plusieurs pays Natural Security lancé par des acteurs de la grandes distribution et des banques propose des solutions d authentification basées sur la reconnaissance des empreintes digitales Les 4 plus grosses banques brésiliennes ont mis en place un système d authentification basé sur la reconnaissance de la main Confidential 8
2 questions principales seront traitées aujourd hui 1 2 La biométrie représente-t-elle la meilleure solution aux problématiques de sécurité? Et la signature / le certificat électronique? Adoption par les différentes parties prenantes (consommateurs, marchands, autres)? Un modèle économique attractif? Quels cas d utilisation et marchés prioritaires? Un modèle économique attractif? Confidential 9
Cabinet de conseil en stratégie international et créé en 1978 Une expérience internationale des moyens de paiement Élaboration de stratégie (entreprise, marketing, produit, distribution), étude d opportunité, acquisition / fusion, appels d offres, mise en marché, gestion du risque Un cabinet indépendant qui travaille avec l ensemble des acteurs dans l industrie des paiements : commerçants, banques, prestataires, associations, régulateurs Une approche multi-secteur : voyage, e- commerce / grande distribution, paiement sur mobile, émission, acquisition,... San Francisco Conseil en Stratégie Expert dans les Moyens de Paiement Mexico City Londres Paris Atlanta Francfort Singapour Sydney Confidential 10
Pour nous contacter Pascal Burg Associé France Edgar, Dunn & Company 42 rue Vignon 75009 Paris Tel +331 4007 9224 Mobile +336 7937 5547 pascal.burg@edgardunn.com Confidential 11
@aurel_lachaud Banque et Innovation Talk To Pay Le 30/09/2014
La Banque Postale propose aujourd'hui une gamme cartes complète à ses clients enrichie par de nouveaux services Une carte bancaire pour chacun de nos clients Des services additionnels associés à sa carte pour de nouveaux usages adaptés à ses modes de consommation Paiement de proximité Paiement à distance Carte Sans Contact Mobile Sans Contact microsd Mobile Sans Contact SIM centric E-Carte Bleue Authentif. 3DS Talk to Pay expérimentation Converg. paiement transport Des services qui ne remplacent pas la carte mais enrichissent son usage Une logique de portefeuille en construction 2 04/09/2014 Banque et Innovation
Contexte (1/2) L authentification des clients est un enjeu clé pour une banque La Banque Postale identifie ses clients sur des canaux multiples avec des crédentiels différents Banque en Ligne Acte de gestion sur la BEL Identification sur l espace BEL : - Identifiant - Mot de passe SMS contenant un MDP à usage unique Achat sur internet Call Center Authentification en face à face Accès sécurisé au Call Center en saisie des identifiants sur son téléphone Actes très variés (transactions, actes de gestions ) : Pièces d identités 3DS : SMS contenant un MDP à usage unique Les solutions d authentification doivent s adapter à la valeur des données protégées (et des marchés adressés ) Forts Risque d attaques Valeur de la donnée ROI Satisfaisant Faible ROI Faibles Sécurité Authentification simple 3 01/10/2014 Forts Authentification forte avec support Banque et Innovation et une troisième dimension à prendre en compte : le coût de la méthode d authentification : - Diffusion aux porteurs - Mise en œuvre pas les banques ou par les tiers Capacité à la diffuser au plus grand nombre
Contexte (2/2) Les méthodes d authentification combinent plusieurs facteurs pour renforcer le niveau de sécurité L authentification se fait à partir de trois facteurs : 1 2 3 Facteur personnel Ce que l'entité connaît Ex : mot de passe Facteur technique Ce que l'entité détient Ex : clé USB Facteur humain Ce que l'entité est ou fait Ex : biométrie Authentification simple 1 Définition : utilisation d un facteur personnel Variante évoluée : identification à double facteurs Un code provenant d une liste détenue par l utilisateur est demandé On parle de Liste TAN (Transaction Authentification Number) ou de Carte matricielle Liste TAN N 1 2 3 4 Code 1235 3245 9439 0434 Carte matricielle N 1 2 3 4 1 1235 3245 9439 0434 2 3209 9485 0640 9403 3 3230 2345 0879 9683 Description Exemples One-Time Password (OTP) Mot de passe à usage unique contenu dans un token Code envoyé par SMS pour confirmer un virement bancaire Authentification forte 1 2 2 + ou + 3 Certificat Numérique X.509 (PKI) Biométrie Présence d un certificat dans un support Authentification en fonction de caractéristiques biologiques Certificat dans une carte à puce, une clé USB ou une carte SIM Empreintes digitales, yeux etc. 4 01/10/2014 Banque et Innovation
Talk to Pay un service de paiement qui combine authentification forte et sécurisation des données de la carte bancaire 1) Authentification biométrique par la voix 2) Simplicité et sécurisation des données carte Dynamique Ouvert à tous les clients sans discrimination sur leur équipement mobile Client authentifié via une authentification à double facteur : biomètrie vocale + possession d un téléphone Simple et accessible à tous : ma voix, c est mon mot de passe! Extension navigateur : permet le remplissage automatique des données cartes après authentification du client (paiement one-click) Carte sécurisée car 100% des transactions en VAD le sont via cryptogramme visuel dynamique 5 01/10/2014 Banque et Innovation
Talk To Pay, une cinématique de paiement innovante sécurisée par la voix et un cryptogramme dynamique Authentification 1 2 3 4 Paiement 5 Choix de la méthode de paiement Affichage du formulaire Lancement de l authentification Authentification Remplissage automatique Choix de la méthode de paiement «Carte Bancaire» Affichage automatique de l extension avec l identifiant du porteur pré-rempli Possibilité de modifier l identifiant Clic sur le bouton «OK» pour lancer l authentification, puis appel déclenché sur le téléphone du client Authentification par la voix par élocution de la phrase d authentification Remplissage automatique du formulaire de paiement avec génération d un cryptogramme dynamique à 3 chiffres (qui remplace celui de la carte) Une version mobile (achat en ligne via mobile) est en cours de test 6 19/09/2014 Banque et Innovation
Les bénéfices de Talk to Pay sont multiples pour les clients porteurs Bénéfices Accessibilité accrue Universalité de l utilisation Ergonomie et rapidité de paiement en ligne Sécurité des transactions Et demain.. un produit qui sera enrichi de services à valeur ajoutée Caractéristiques Talk to Pay Bénéfices de la biométrie compris du plus grand nombre pas d éducation complexe et longue du client. La voix c est mon mot de passe, pas de code complexe à saisir et à retenir De plus, solution compatible avec toutes les méthodes d authentification. Compatibilité avec tout type de téléphone Utilisables sur tous les sites proposant le paiement par carte bancaire (quasi 100% des sites e-commerce) y compris par mail et téléphone Utilisable sur mobile à partir d une application dédiée (ou intégration dans existante) Extension navigateur : permet le remplissage automatique des données cartes après authentification vocale du client (paiement one-click) Carte sécurisée car 100% des transactions en VAD le sont (grâce au CVV dynamique) Authentification forte à deux facteurs (voix + mobile) Alerte du client : rappel automatique si tentative phishing Intégration future de services à valeur ajoutée : gestion des login/mot de passe, suivi de commandes passées sur internet centralisé, lien avec un coffre fort électronique Possibilité d utiliser la biométrie vocale pour d autres services que le paiement 7 19/09/2014 Banque et Innovation
ainsi que pour la banque et les commerçants Bénéfices Universalité du produit Caractéristiques Talk to Pay Pas d intégration nécessaire chez le commerçant contrairement aux «wallets» traditionnels possible montée en charge rapide des porteurs actifs Paiement à la «main» de la banque et du porteur Sécurisation des «cartes enrolées T2P» Suppression des coûts de la fraude sur les cartes T2P Responsabilité identique à une transaction carte traditionnelle : ne sont garanties aux commerçants que les transactions VADS traditionnelles (15% de transactions) Assureurs prêts à prendre à charge la fraude résiduelle Aucun impact pour le commerçant : D un point de vue technique -> Talk To Pay repose sur le formulaire de paiement par carte par d impact sur l ACS 3DS Pas d impact sur les Back Office 8 19/09/2014 Banque et Innovation
Les principales étapes du pilote La Banque Postale Validation du pilote par les comités internes LBP : risques opérationnels et informatiques, conformité et juridique Juillet 2013 : autorisation accordée par la CNIL pour lancer le pilote Début du test sur un périmètre restreint de collaborateurs (une vingtaine) pour validation «terrain» des fonctionnalités clés du service Sept. Nov. 2013 : Elargissement aux collaborateurs des Back Office (Centres financiers et Centre National de la Monétique) Validation opérationnelle des procédures internes LBP Nov. 2013 Février 2014 : Elargissement aux Directions de LBP Optimisation des modèles vocaux Depuis Février 2014 : ouverture aux clients du Lab LBP puis de la banque en ligne Etude client lancée auprès de tous les testeurs 9 19/09/2014 Banque et Innovation
Retours d expériences sur le pilote Talk To Pay (1/3) Synthèse du bilan quantitatif Une volumétrie de transactions importante 620 testeurs ont souscrit à Talk To Pay - 325 collaborateurs - 295 clients 11 500 authentifications ont été effectuées avec succès 4 100 paiements ont été réalisés. sur 1332 sites e-commerce différents De nombreux retours clients : - ~300 commentaires ont été postés sur notre Lab Client - Plus de 310 mails ont été envoyés au service d information dédié Talk To Pay qui a permis d éprouver la solution Solution techniquement fiable et robuste : - Stabilité des applicatifs sur toute la période du pilote (serveur, extension web ) - Validation des processus de paiement (enregistrement de la voix, installation de l extension, remplissage du formulaire, vérification du CVVd ) sur un nombre important de transactions Achats réalisés sur un panel représentatif de site e-commerce (dont à l étranger) et PSP démontrant l universalité de la solution Retours clients très positifs Excellente prise en main du service par les clients : peu d assistance nécessaire pour les accompagner avant et pendant le pilote Plusieurs mois après la fin de l animation du pilote, les testeurs utilisent toujours la solution (entre 20 et 30% d utilisateurs actifs chaque mois) 10 19/09/2014 Banque et Innovation
Retours d expériences sur le pilote Talk To Pay (2/3) Principaux enseignements de l étude client La Banque Postale Etude client réalisée sous la responsabilité du «Pôle Etude» Globalement, 86% des répondants sont (très) satisfaits de l utilisation du service La quasi-totalité estiment que la procédure d enregistrement de la voix est simple L installation et l utilisation de l extension sont perçues comme simples et intuitives 11 19/09/2014 Banque et Innovation
Retours d expériences sur le pilote Talk To Pay (3/3) Principaux enseignements de l étude client La Banque Postale Des bénéfices produits bien compris par les testeurs : 84% estiment que T2P est la solution la plus sûre du marché : 82% souhaitent continuer à utiliser le service sur le long terme : 12 19/09/2014 Banque et Innovation
Merci @aurel_lachaud