La sécurité des paiements, un enjeu primordial !

Dossier : Vie des entreprisesMagazine N°774 Avril 2022
Par Bruno SANGLÉ-FERRIÈRE

Le com­merce élec­tro­nique connaît un essor rapide au niveau mon­dial. Si ses avan­tages sont indé­niables, il appa­raît que celui-ci se heurte à cer­tains obs­tacles. Un de ses prin­ci­paux freins est lié à la sécu­ri­té des tran­sac­tions et à la rési­lience des sys­tèmes. Aujourd’hui, il existe une solu­tion pour répondre à la pro­blé­ma­tique assez connue à laquelle les métiers de paie­ment font face, à savoir la sécu­ri­té cryp­to­gra­phique. Ren­contre avec Bru­no San­glé-Fer­rière, pré­sident de Mar­beuf Conseil et Recherche.

Depuis 2018, vous concevez des systèmes de sécurité permettant d’améliorer la sécurité des systèmes de paiement dans une ère post-informatique quantique. Qu’en est-il ?

En effet, comme en témoignent les nom­breuses attaques sur les sites infor­ma­tiques, les dis­po­si­tifs uti­li­sés pour sécu­ri­ser inter­net ne sont plus aus­si sûrs qu’ils l’étaient et le seront de moins en moins. Le sys­tème de signa­ture élec­tro­nique qui, par exemple repose sur des algo­rithmes dits de hash tels que MD5 ou SHA1 sont désor­mais répu­tés obso­lètes. L’algorithme qui leur suc­cède, SHA2 est encore consi­dé­ré comme sûr, mais pour com­bien de temps ? Par ailleurs, la venue des ordi­na­teurs quan­tiques sur les­quels de nom­breuses socié­tés et états tra­vaillent d’arrache-pied pour­ra cra­cker non seule­ment ces algo­rithmes de hash mais aus­si les sys­tèmes de cryp­tages, notam­ment les sys­tèmes de clés asy­mé­triques, encore une fois néces­saires à la sécu­ri­té d’internet.

Vous avez donc créé un produit révolutionnaire pour le secteur bancaire…

Dans l’intention de créer un moyen de por­ter sur des moyens digi­taux une mon­naie, nous avons conçu un sys­tème per­met­tant de garan­tir l’authenticité de fichiers ins­crits dans des cartes de cré­dit et de trans­fé­rer ces fichiers de carte à carte direc­te­ment, sans inter­net, ou à tra­vers inter­net. Sou­hai­tant que la sécu­ri­té d’un tel sys­tème sur­vive aux ordi­na­teurs quan­tiques et aux pro­grès venant du tra­vail des cher­cheurs en cryp­to­gra­phie, nous avons déve­lop­pé des tech­niques per­met­tant de ne pas se repo­ser sur l’utilisation telle que nous la connais­sons des signa­tures de type SHA ni sur les sys­tèmes de cryptages.

Cette tech­no­lo­gie ne néces­site pas beau­coup de puis­sance de cal­cul et peut donc fonc­tion­ner sur une puce ou un appa­reil dif­fé­rents de celles et ceux uti­li­sés cou­ram­ment pour les télé­phones ou ordi­na­teurs indi­vi­duels. De plus, pou­vant fonc­tion­ner en mode hors réseau elle a une capa­ci­té de rési­lience impor­tante aux manques de cou­ver­tures des réseaux de télé­phones, voire à leurs indis­po­ni­bi­li­tés éventuelles.

Quels en sont les avantages et à quelles problématiques répondez-vous ?

La sécu­ri­té cryp­to­gra­phique est une véri­table pro­blé­ma­tique. Elle est atta­quée sur deux fronts : la pos­si­bi­li­té de for­ger des don­nées simi­laires ayant une même signa­ture élec­tro­nique ; et la capa­ci­té qu’ont les ordi­na­teurs quan­tiques de défier les ordi­na­teurs clas­siques pour inver­ser en un temps bref des fonc­tions uti­li­sées en cryp­to­gra­phie que l’on croyait qua­si­ment impos­sibles à inverser. 

Notre sys­tème est capable d’utiliser des signa­tures élec­tro­niques modi­fiées qui per­mettent d’éviter le pre­mier pro­blème, et d’utiliser des clés à usages uniques pour évi­ter le second pro­blème, une telle clé cryp­tant une signa­ture une seule fois avant de pou­voir être effa­cée, et ne néces­si­tant pas de fonc­tions soi-disant « non inver­sibles ». Il est conçu pour qu’une carte qui aurait uti­li­sé toutes ses clés à usage unique pour com­mu­ni­quer avec une autre carte puisse obte­nir de nou­velles clés, sans que l’autre carte n’ait à faire quoi que ce soit. 

Par ailleurs, ces clés, typi­que­ment de 116 bits, sont plus petites que les clés asy­mé­triques de chif­fre­ment et per­mettent d’émettre des mil­liards de cartes pou­vant s’échanger entre elles de l’argent ou des docu­ments tout en rédui­sant à presque zéro la pro­ba­bi­li­té qu’il existe même une pos­si­bi­li­té d’altérer le mon­tant trans­fé­ré au cours d’une com­mu­ni­ca­tion en for­geant un mes­sage frauduleux.

Vos systèmes ont-ils d’autres avantages ?

Notre sys­tème per­met en outre la véri­fi­ca­tion d’identité à dis­tance, et en par­ti­cu­lier si des cartes d’identité ou des pas­se­ports y étaient ins­crits. Bien enten­du, il incor­pore des moyens de véri­fi­ca­tion bio­mé­triques per­met­tant de ren­for­cer la sécu­ri­té. Par ailleurs, nous pro­po­sons des pro­cé­dures de mise à jour des docu­ments per­met­tant aux dif­fé­rents docu­ments trans­fé­rés de pou­voir évo­luer au gré des tech­no­lo­gies et aux édi­teurs de docu­ments de faire vivre leurs publi­ca­tions. Nous avons aus­si ima­gi­né une autre tech­no­lo­gie per­met­tant de pro­té­ger l’affichage des regards indis­crets ain­si que la pos­si­bi­li­té de géo­lo­ca­li­ser la contre­par­tie à laquelle on fait un paiement.

Poster un commentaire