Le succès d’une application dépend du degré de confiance et d’intérêt dont lui témoignent ses utilisateurs. La technologie NFC a lancé ses premières applications en France et aux Etats-Unis. Les réactions sont différentes, car il semble que les données sensibles seraient captées par des acteurs de l’Internet qui ont souhaité participer à cette nouvelle offre de services. Inside Secure commercialise des solutions NFC utilisables avec les tags sans contact Barcode (TM) RF de chez Kovio. Sous les acclamations de ses supporters, le RFID entre dans le stade de FC Lorient. Le NFC World Congress de Septembre 2011 a réussi son approche internationale et l’arrivée des services NFC dans notre quotidien est réellement en marche.
Le risque lié au paiement en technologie NFC
Le processus de paiement NFC connaît quelques légères variations d’emploi. Le client dispose d’un terminal mobile "équipé NFC", porteur d’une application de paiement (carte bancaire ou/et porte-monnaie électronique). Le marchand possède un terminal de paiement "équipé NFC". Au moment de régler l’achat, le client passe son terminal mobile à proximité du terminal qui établit une communication radiofréquence avec ce dernier et lit les informations fournies par l’application (identifiants de compte, plafonds, etc.). La transaction peut faire l’objet d’une demande de confirmation et d’une authentification du client sur le mobile. Le terminal de paiement du commerçant communique, si nécessaire, avec les réseaux bancaires. Pour les petits montants, l’autorisation de transaction peut être directement accordée par l’application de paiement.
Les failles de sécurité potentielles d’un paiement NFC sont celles rencontrées avec les paiements par carte bancaire "avec contact", ou propres aux environnements sans contact et à la technologie NFC : vol du téléphone mobile, destruction de l’application de paiement, sécurité de l’application de paiement et de ses données, déni de service, interception et manipulation des données confidentielles échangées lors d’une transaction, attaque-relais ou "man-in-the-middle", etc.
Mais le paiement NFC offre des sécurités supplémentaires, telles que l’authentification sur la carte SIM (ou la SmartCard), avant d’accéder à l’application de paiement et la possibilité de désactiver à distance l’application grâce aux plates-formes OTA des exploitants (ou d’un tiers de confiance). De plus, le portage de la norme EMV aux cartes sans contact assure un niveau de sécurité applicatif équivalent à celui des cartes avec contact.
Quant aux attaques propres à la communication NFC, entre le téléphone et le terminal de paiement, hors le déni de service, elles demeurent plus théoriques que pratiques. La complexité et les limites de manipulation liées aux schémas de modulation de fréquence et aux codages employés et la possibilité de scanner le champ magnétique durant la transmission afin de détecter les attaques demeurent importantes. D’autre part, la sécurisation du flux en amont limite le risque présenté par ces attaques. www.clubic.com
Le paiement NFC, en France et aux Etats-Unis
En France, le NFC a été lancé par les principaux exploitants français (Orange, SFR, Bouygues, NRJ Mobile, etc.) sous l’appellation Cityzi. Actuellement lancé dans quelques villes (dont Nice, Strasbourg et Caen), il devrait concerner prochainement plusieurs villes de France. Le système de paiement français a fait de la protection des données confidentielles, un axe majeur de sa stratégie. Cityzi a ainsi reçu plusieurs validations de la sécurisation de son moyen de paiement. L’agence nationale de la sécurité des systèmes d’information ANSSI a accordé la certification EAL4+. Celle-ci valide un niveau de sécurité identique à la plupart des cartes de paiement et d’identité les plus perfectionnées. Les organismes bancaires ont eux aussi largement approuvé les normes de sécurisation des paiements Citizy en nouant des partenariats avec Visa ou Mastercard ou avec les banques (Crédit Mutuel, CIC, etc.).
Aux États-Unis : les géants de l’Internet veulent imposer leur système. Google a annoncé la disponibilité de son écosystème "Google Wallet", lancé il y’a quelques mois. Microsoft a rendu compatible NFC la dernière version de son système d’exploitation mobile Windows Phone 7. Et si l’iPhone 4S d’Apple n’est pas compatible NFC, ce ne devrait pas être le cas de la prochaine version.
En revanche, les utilisateurs accordent deux fois plus leur confiance aux exploitants de réseau et aux banques qu’aux géants de l’Internet. La société Digital Forensics, spécialisée dans les analyses sur la légalité de matériels technologiques, a montré que Google enregistrait sur ses propres serveurs et sans cryptage la majeure partie des données utilisées lors d’un transfert NFC (toutes les données exceptés les 12 premiers chiffres de sa carte bancaire, dont le nom, la date d’expiration de la carte crédit, les dates et lieu d’utilisation). Dans ce contexte, la confiance que les utilisateurs accorderont au NFC, et notamment aux paiements mobiles sans contact, sera essentielle à une utilisation massive. www.digitalforensicsassociation.org
Compatibilité des NFC de Inside Secure avec les codes barres Kovio
Inside Secure, expert en fourniture de semi-conducteurs dédiés aux transactions sécurisées, commercialise des solutions NFC utilisables avec les tags sans contact Barcode (TM) RF de la société américaine Kovio, spécialisée en technologie du silicium imprimé pour tags NFC peu coûteux. Les dispositifs mobiles (smartphones, tablettes) équipés des puces NFC MicroRead (R) et SecuRead (R) d’Inside, et du logiciel Open NFC (TM), permettent aux distributeurs, aux annonceurs, aux exploitants de téléphonie mobile et aux intégrateurs de systèmes de fournir des informations instantanées, personnalisées à tous ceux qui achètent, utilisent ou interagissent avec des biens de consommation courants.
Les tags Barcode RF utilisent des encres de silicium à haute performance, mais peuvent être imprimés en grand nombre avec des technologies d’impression bon marché. Ils peuvent ainsi être imprimés en quelques jours sur des substrats flexibles pour un coût qui représente une fraction du coût habituel de la technologie au silicium des étiquettes RFID. Cela les rend pratiques et abordables et peut permettre d’élargir au grand public la simplicité et la puissance du marketing personnalisé en temps réel. Il sera par exemple possible pour le consommateur de bénéficier d’offres promotionnelles, de coupons de réduction, de points de fidélité, d’informations nutritionnelles et de toute autre information utile pour l’aider dans sa décision d’achat. La solution permet également d’interagir avec les médias sociaux, les sites Internet et plus largement tous les services basés sur Internet. www.insidesecure.com/
Messages retenus des conférences du NFC World Congress (Septembre 2011)
Des signes tangibles témoignent de l’ouverture de la phase d’industrialisation du NFC. Tous les constructeurs de mobiles (dont Samsung, Nokia) et les exploitants de réseau (Orange en France) disposent de Smartphones NFC de dernière génération dans leurs boutiques. Les fournisseurs de services ne devraient pas tarder à se lancer dans les applications utilisant la technologie sans contact. Le NFC World Congress a élargi son approche internationale et les étrangers ont visité Nice sous l’angle NFC / Ciyzi, testant la réalité de technologies sans contact sur mobile, en validant un transport, en achetant un croissant ou en obtenant des informations touristiques.
Outre la volonté forte des exploitants de réseau et des concepteurs de terminaux, les activités du transport, du commerce et du tourisme semblent les plus motivées par cette nouvelle technologie. Les exploitants de réseau pensent "paiement" et "mode émulation de cartes", c’est à dire, transfert des cartes de fidélité, de paiement, de transport, de clés de bureau ou d’hôtel sur le mobile. Cette approche nécessite la disponibilité d’une infrastructure – TPE – terminaux de paiement électronique sans contact et une certaine complexité dans la mise en ouvre des applications en raison d’un haut niveau de sécurité impliquant des éléments de sécurité particuliers autour des TSMs et des systèmes SIM. Les industriels en terminaux mettent en jeu des concepts plus simples, car leurs applications sont orientées vers les approches ludiques, les réseaux sociaux, les jeux, le partage de musique, l’utilisation d’accessoires, de lectures d’étiquettes, etc. Ces applications sont moins complexes et ne nécessitent pas d’infrastructure.
Les applications NFC disponibles en France se développement rapidement et il existe un fort potentiel à explorer, particulièrement pour les services de transport. Mais, il faut résoudre les questions propres à la dispersion de la signalisation et à son manque de visibilité. D’autre part, le modèle économique du NFC demeure encore incertain. Cette première édition du NFC World Congress a été réellement dynamisante pour les participants. Elle semble montrer que, malgré les obstacles importants sur la route de l’industrialisation, le mouvement vers l’intégration du NFC dans les smartphones, le développement d’applications et l’arrivée de ces services dans notre quotidien est réellement en marche. http://sanscontact.wordpress.com/2011/09/22/nfc-world-congress-un-congres-dynamique-et-encourageant-pour-lavenir-du-nfc/
Le RFID chez les supporters de FC Lorient. Suite à l’accession du Football Club Lorient en Ligue 1, le stade du Moustoir fait l’objet de travaux visant à augmenter sa capacité à 22 000 places et à moderniser ses pratiques. Afin d’optimiser le contrôle des billets, le club a choisi de s’équiper d’une solution de billetique s’appuyant sur des technologies d’identification sans contact - RFID et codes barres - et les terminaux portables PDA NAOS de Copernic, construits sur l’exemple de Psion. La solution proposée garantit au FC Lorient de réduire de manière drastique les fraudes les plus diverses, de construire des scénarios types pour chaque match à risque et surtout de maitriser en temps réel les flux des supporters.
L’enjeu était de taille aussi bien en matière de fraude qu’en matière d’optimisation de la gestion des flux. La solution recherchée devait permettre de s’adapter à la configuration du stade et aux contraintes géographiques du lieu. De plus, le terminal retenu, doit pouvoir lire à la fois les cartes d’abonnements équipées d’une puce RFID et les billets imprimés directement par les spectateurs avec un code à barres. Chaque PDA est identifié au démarrage et localisé pour faciliter les statistiques. Le stadier contrôle le billet et dispose d’un accès au nom du client, à sa place, à son tarif et à la validité de son billet. La solution retenue permet de réduire fortement la fraude, et d’obtenir une maitrise des flux et une analyse plus poussée des comportements des supporters. Le FC Lorient dispose ainsi d’informations sur les flux des supporters dans le stade. Il peut analyser les comportements et construire des scénarios types. www.copernic.fr
Salon INTERNET WORLD , Du 24 au 26 Avril 2012 à Londres, INTERNET WORLD : l’évènement ... [suite] Séminaire IPv6, Le 11 Avril 2012, à Telecom ParisTech., Le G6 organise un séminaire ... [suite]