Pour changer des séries TV, je vais parler d'un sujet qui m'occupe ces temps-ci. Ou quelque chose d'assez proche en tout cas. Bruce Schneier a récemment posté à propos de la carte Visa PIN fabriquée par EMUE. La carte comprend un afficheur et 12 boutons, ce qui permet de générer des mots de passe à usage unique (OTP). La génération des mots de passe se fait à l'aide d'un compteur événementiel stocké dans la carte (compteur qui s'incrémente à chaque nouvel OTP généré). Je suppose qu'il n'y a pas d'horloge dans cette carte pour des raisons technologiques : l'annonce d'une batterie durant 2 ans dans la carte doit supposer que l'afficheur et le moteur cryptographique ne fonctionnent que lorsque nécessaire et donc pas en permanence comme une horloge l'exigerait. La conséquence, c'est le désavantage classique des OTP événementiels qui ne se periment pas.
A priori, ces mots de passe ne seraient utilisés que pour les paiements en ligne au sein du protocole 3-D Secure (on ne se plaindra pas de l'abandon de la date de naissance comme moyen de validation). La carte reste au stade expérimental avec quelques pilotes annoncés.
Une note sur le billet de Schneier dit que ce mécanisme est déjà en place aux Pays-Bas mais le lien cité pointe sur l'utilisation de lecteurs EMV-CAP pour lesquels il faut se trimballer la calculatrice (le lecteur) lorsque l'on souhaite l'utiliser. La carte Visa PIN semble rendre inutile le lecteur EMV-CAP en intégrant toutes ses fonctions directement dans la carte (même le mode challenge-response je suppose au vu des indications sur la carte). D'un point de vue sécurité, on risque d'ailleurs vite d'exiger le mode challenge response pour pallier l'absence d'horloge. Le challenge permet en effet d'ajouter des contraintes de temps (le challenge est valable uniquement pour 30 secondes) et de limiter les risques de phishing (le site de phishing ne pouvant pas prévoir le challenge qui sera nécessaire lorsque nécessaire).
Et c'est là que le bât blesse un peu. Il risque de falloir taper non seulement un PIN de 4 ou 5 caractères, mais en plus un challenge d'une même longueur (voire un peu plus) sur des boutons minuscules et tout plats. J'ai donc peur pour l'ergonomie de ce dispositif, mais je serais bien heureux de pouvoir le tester.
Le mécanisme est tout de même très intéressant et, je pense, une avancée intéressante dans la sécurisation des transactions en ligne. Pour les paiements de la vraie vie, un déploiement d'EMV un peu plus large à l'international serait positive il me semble.
J'en finis là de ce premier billet sur la monétique et la sécurité des paiements en ligne. Je me rends compte que cela ne doit pas être forcément très compréhensible pour un néophyte du sujet, mais 2-3 requêtes google devraient permettre d'approfondir la question et il y a toujours les commentaires :) On va essayer de poster d'autres choses avec un peu de contenu à l'avenir.