Les paiements mobiles en tout temps et en tout lieu : bref survol du paysage des paiements mobiles

Sommaire

Carlisle Adams, professeur à l’École de science informatique et de génie électrique de l’Université d’Ottawa.

Les opinions et les recommandations formulées reflètent le point de vue de l’auteur. En ce sens, elles devraient être considérées comme une information que le Commissariat à la protection de la vie privée du Canada et d’autres parties peuvent prendre en compte au moment de formuler leurs propres politiques et lignes directrices dans le domaine des paiements mobiles.

Le rapport a pour ambition d’examiner la technologie des paiements mobiles sous l’angle de la sécurité et de la protection de la vie privée. L’auteur se penche notamment sur les risques d’atteinte à la sécurité et à la vie privée et il explore des moyens de les atténuer.

Le rapport est divisé en trois parties.

  1. Partie 1, « Contexte » — Raisons d’être des paiements mobiles, certains modes de paiement importants, principaux acteurs et exemples de mouvement de l’argent.
  2. Partie 2, « Analyse sur les risques d’atteinte à la sécurité et à la vie privée de certains modes de paiement » — Analyse de différents modes de paiement mobile.
  3. Partie 3, « Recommandations » — Recommandations se rapportant généralement à tous les modes de paiement mobile, classées en fonction des groupes auxquels elles s’adressent.

Partie 1, « Contexte »

Historique et raison d’être

La raison d’être du remplacement des chèques traditionnels par des paiements numériques tient à l’aspect pratique et à l’efficacité accrue ainsi qu’aux économies éventuelles associées au traitement des paiements numériques par rapport aux chèques papier. Le Canada pourrait réaliser d’ici 2020 des économies de l’ordre de 3 à 7 milliards de dollars en adoptant les paiements numériques.

Au Canada, la valeur des paiements mobiles se chiffrait à environ 10 milliards de dollars en 2011. Aux États-Unis, elle s’élevait à 13 milliards, mais la disponibilité croissante de tablettes et de téléphones intelligents devrait faire augmenter cette valeur, qui pourrait atteindre 90 milliards de dollars d’ici 2017.

Modes de paiement mobile

  • Paiement mobile de personne à personne (mP2P) : Opérations entre individus, par exemple par PayPal©, messagerie texte, communication en champ proche (NFC — Near-Field Communications) ou d’autres technologies sur l’appareil mobile de l’intéressé.
  • Paiement mobile à un terminal de point de vente (mPOS) : Opérations commerciales entre un individu et un commerçant enregistré ayant pignon sur rue.
  • Acceptation mobile (mAccept) : Hybride des solutions de personne à personne et à un terminal de point de vente. Deux personnes participent à l’opération, mais l’une d’entre elles est un commerçant.
  • Commerce mobile (mCommerce) : Mode de paiement utilisant une application ou le navigateur d’un appareil mobile pour faire des achats en ligne, par exemple Amazon©, eBay© et iTunes©. Dans cette catégorie, on utilise un appareil mobile, mais il n’est pas essentiel pour l’opération (par exemple la même opération pourrait être effectuée sur un ordinateur portatif ou de bureau).

Le rapport intégral met l’accent sur le paiement mobile à un terminal de point de vente, mais l’auteur se penche également sur certaines sous-catégories de paiement mobile de personne à personne, d’acceptation mobile et de commerce mobile.

Partie 2, « Analyse de certains modes de paiement »

Cette partie du rapport porte sur les risques d’atteinte à la sécurité et à la vie privée inhérents à certains modes de paiement. L’auteur s’intéresse au paiement mobile à un terminal de point de vente effectué au moyen de la communication en champ proche (NFC), et il explore brièvement le commerce mobile (mCommerce) actuel.

Le paiement mobile NFC comporte plusieurs points vulnérables à une attaque. Par exemple, il est possible que le terminal de point de vente (généralement la borne de lecture) soit corrompu pour une raison quelconque ou qu’il y ait une brèche dans le canal entre l’appareil mobile et une borne de lecture légitime (p. ex. dans les ondes hertziennes).

De plus, les opérations financières électroniques présentent certains risques technologiques généraux d’atteinte à la vie privée. Mentionnons la petite taille de l’écran des appareils mobiles, la mise en œuvre insuffisante de mesures de sécurité, les contrôles d’audit peu rigoureux et la présence de bogues dans les logiciels.

Le rapport fait état de certains risques d’atteinte à la vie privée associés aux modes de paiement, par exemple :

Terminal de point de vente corrompu

  • Un terminal de point de vente corrompu ou truqué pourrait transmettre à un appareil mobile des messages qui semblent valides, si bien que l’appareil détecte une opération de paiement apparemment légitime et transfère les fonds du compte de l’utilisateur à la borne de lecture.

Canal corrompu entre un appareil mobile et un terminal de point de vente

  • Lors de la communication en champ proche, les messages sont transmis par ondes hertziennes entre un appareil mobile et un terminal de point de vente. Au nombre des types de fraudes étudiées, mentionnons l’écoute, la corruption de données, la modification de données, l’insertion de données et une attaque de l’intercepteur. 

Appareil mobile corrompu

  • Les risques d’atteinte à la sécurité et à la vie privée sur un appareil mobile se divisent en deux catégories selon qu’il s’agit d’attaques de matériel (nécessitant un accès physique à l’appareil ciblé) ou de logiciel.

Partie 3, « Recommandations »

Cette partie du rapport présente un échantillon de recommandations s’adressant à différents acteurs.

Recommandations

  • Fabricants d’appareils et de systèmes d’exploitation
    • L’auteur encourage les fabricants à conserver leurs procédures rigoureuses de conception et d’essais, voire à les renforcer pour s’assurer dans la mesure du possible de livrer des systèmes exempts de bogues.
    • L’auteur encourage les fabricants à maintenir, voire à intensifier leurs efforts afin de fournir des mécanismes de protection, par exemple le verrouillage à distance de l’appareil ainsi que le chiffrement et l’effacement à distance des données.
    • L’auteur encourage les fabricants à conserver, voire à renforcer leurs procédures rigoureuses de mise à l’essai des mécanismes de protection des données, en particulier lorsque l’appareil est soumis à des conditions de fonctionnement inhabituelles ou extrêmes.
    • L’auteur encourage les fabricants à poursuivre leurs efforts afin que leurs systèmes d’exploitation et leur matériel soient exempts de failles susceptibles de porter atteinte à la sécurité et à la vie privée et à contribuer activement à faire en sorte que les appareils soient exempts de maliciels en créant et en diffusant les correctifs, les mises à jour, etc., aussi rapidement que possible.
  • Exploitants de réseau mobile
    • L’auteur encourage les exploitants de réseau mobile à explorer des techniques qui effaceront les données de façon sécuritaire sur demande.
    • L’auteur encourage les exploitants de réseau mobile à poursuivre leurs efforts afin que les appareils soient exempts de maliciels en transmettant les correctifs, les outils antivirus, etc., à leurs clients aussi rapidement que possible et à aider les utilisateurs à mettre en place ces mesures de protection dès qu’elles sont disponibles.
  • Développeurs de portefeuilles électroniques et d’applications de paiement
    • L’auteur encourage les développeurs à s’assurer que les données de paiement et les autres renseignements sensibles sont protégés en tout temps.
    • L’auteur encourage les développeurs à poursuivre leurs efforts afin que les applications et les portefeuilles électroniques installés sur les appareils mobiles soient dans la mesure du possible exempts de failles susceptibles de porter atteinte à la sécurité et à la vie privée.
    • L’auteur encourage les développeurs et les fournisseurs à mettre en place des contrôles d’audit rigoureux et d’autres procédures et mesures technologiques concernant l’accès des employés aux données de paiement et autres renseignements sensibles.
    • L’auteur encourage les développeurs à explorer des façons d’ajouter aux modes de paiement actuels l’option de paiement totalement anonyme.
    • L’auteur encourage les développeurs à définir clairement leur politique concernant les frais frauduleux et non autorisés et à la communiquer explicitement aux consommateurs.
  • Commerçants
    • L’auteur encourage les commerçants à adopter des politiques succinctes et énoncées clairement.
    • L’auteur encourage les commerçants à poursuivre leurs efforts afin que les applications et le système d’exploitation installés sur tout appareil mobile utilisé comme terminal de point de vente soient exempts de maliciels en installant les correctifs, les outils antivirus, etc., aussi rapidement que possible.
  • Utilisateurs finals
    • L’auteur encourage les utilisateurs à se familiariser avec les politiques sur les portefeuilles électroniques et les applications de paiement.
    • L’auteur encourage les utilisateurs à stocker à un endroit facilement accessible, ailleurs que sur l’appareil mobile, les coordonnées des services à contacter en cas d’urgence.
    • L’auteur encourage les utilisateurs à prendre toutes les précautions possibles pour protéger leur appareil, notamment à télécharger et à installer uniquement un portefeuille électronique fiable (c.-à-d. provenant d’une source digne de confiance) et à faire le nécessaire afin que leur appareil soit exempt de maliciels (p. ex. en installant les derniers correctifs de sécurité, outils antivirus, etc.).
    • L’auteur encourage les utilisateurs à tirer parti de toutes les protections qui leur sont offertes par les fabricants de l’appareil et du système d’exploitation, l’exploitant du réseau mobile et les fournisseurs de portefeuilles électroniques et d’applications.

On trouvera plus de détails et les références dans le rapport intégral.

Date de modification :