C'est pas mon idée !

mercredi 22 août 2012

Visa prépare un service de chiffrement des données de paiement

Visa
En dépit de l'attention médiatique portée aux virus et autres logiciels malveillants, une des principales sources de vulnérabilité dans le secteur financier reste le défaut de protection endémique des données de paiement (notamment des cartes bancaires) stockées par une multitude d'intervenants, des commerçants aux réseaux, en passant par les intermédiaires techniques et les banques.

Les petits commerces sont souvent les victimes "faciles" des intrusions visant à collecter ces précieuses informations, en raison de leur manque d'expertise technique et de la légèreté avec laquelle leurs fournisseurs et prestataires assurent (parfois) la sécurité de leurs systèmes de paiement. Cependant, les grandes entreprises spécialisées ne sont pas à l'abri, avec alors des conséquence désastreuses, d'une magnitude bien plus élevée (voir, par exemple, le cas des 1,5 millions de numéros de cartes volés chez Global Payments au début de l'année).

A l'origine de ces incidents, se retrouvent toujours les 2 même faiblesses : un système d'information ouvert sur l'extérieur, comportant des failles d'"étanchéité" qui facilitent la pénétration des malfaiteurs, et une protection insuffisante des données de paiement qui y sont hébergées, qui permet de les exploiter plus ou moins facilement. En effet, si les règles en vigueur (notamment du PCI, l'organisme en charge des standards de sécurité des cartes) imposent un chiffrement systématique des informations stockées, l'application des techniques cryptographiques requiert une forte expertise pour être efficace, et la moindre erreur d'implémentation est fatale à la sécurité.

Cette situation alarmante, dont rien ne laisse entrevoir une quelconque amélioration à court terme, conduit Visa à annoncer le lancement, début 2013, de "Visa Merchant Data Secure", son propre service de chiffrement des données de point à point (c'est-à-dire effectif du lieu de collecte jusqu'au site de traitement). L'objectif est de fournir aux commerçants et acquéreurs une solution "clés en main", compatible avec les systèmes existants (en particulier les terminaux de point de vente) et conforme aux exigences de sécurité du PCI, qui les libère entièrement de toute préoccupation de protection des informations qu'ils gèrent.

Pour séduisante qu'elle soit, la solution ne sera certainement pas opérationnelle avant longtemps, car il faut encore qu'elle soit intégrée dans toute la chaîne des paiements, par les fournisseurs de solutions techniques (terminaux), les établissements processeurs... Même si Visa assure une compatibilité de format facilitant les adaptations (par exemple, les numéros de carte chiffrés comportent 16 chiffres), l'effort à réaliser reste important. De plus, il est regrettable que l'initiative soit celle d'un seul acteur et non initiée par l'ensemble des réseaux (comme c'était le cas pour le standard EMV d'authentification des cartes à puce), ce qui en limitera probablement l'adoption.

Malgré ces handicaps, "Visa Merchant Data Secure" est un pas dans la "bonne" direction, car les avancées dans la protection des données sont indispensables pour lutter contre une fraude qui se révèle plus créative chaque jour. Peut-être les acquéreurs (les banques, en France) auraient-ils également une carte à jouer dans ce domaine ?

Aucun commentaire:

Publier un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)