Scurit des cartes de paiement

Universit de Montral
mars 2011

Nicolas Guay
Directeur de pratique, Montique
Groupe GFI Solutions
Au menu

Le paiement par carte, les risques et objectifs

de scurit
Carte bande magntique
Carte puce (standard EMV)
Conclusion

2
Le paiement par carte, les risques et objectifs
de scurit

3
 Les cartes de paiement au Canada

Cartes de crdit MasterCard et Visa (2010)

27,7 millions de
Cartes 71 millions
canadiens gs de
Valeur des achats 280 milliards $ plus de 15 ans (2008)

Nombre dachats 2,7 milliards

Paiement Direct Interac (2009)
Valeur des achats 171 milliards $
Nombre dachats 3,9 milliards
Oprations aux guichets automatiques bancaires (2008)
Nombre doprations (retrait, > 1 milliard
dpt, paiement et transfert)

Environ 700 000 terminaux de paiement

Environ 58 000 guichets automatiques

Sources: Association des banquiers canadiens, Interac et Statistique Canada 4

 Processus typique de paiement par carte (autorisation)

$
Compte du metteur Rseau
dtenteur
de
paiement

$
Compte du
Acqureur
Dtenteur commerant

Commerant
5
Degr zro de la transaction par carte

la base, une transaction par carte requiert

Numro de compte + date dexpiration
Lmetteur produit un numro dautorisation
qui fait foi de son acceptation de la
compensation ventuelle des fonds.

Montant, PAN, EXP

Numro dautorisation
metteur

6
Le contexte de la transaction et le risque

Point de vente traditionnel.

Automate libre-service.
Carte non prsente :
Commande postale ou tlphonique
Internet

Capacit ou non dobtenir une autorisation de

lmetteur:
En ligne avec lmetteur ou non.

7
Objectifs de scurit /1

Qualification du risque associ au marchand

et au dtenteur.

Intgrit.
Authentification des parties:
En particulier, de la carte et du dtenteur.

Non rpudiation

8
Objectifs de scurit /2

Unicit de la transaction:
Compteur de transaction dans le protocole.

Gestion du risque lors de lautorisation:

En ligne (online):
Lmetteur peut faire toutes les vrifications requises au niveau
du compte.
Analyse comportementale.
Hors ligne (offline) : heuristiques pour grer le risque.
Montant limite.
Nombre limite de transactions hors ligne sur une carte.
Liste noire de cartes dclares en problme.

9
Principaux scnarios de fraude

Contrefaon.
Duplication de carte (clonage).
Utilisation de cartes perdues ou voles.
Utilisation illgitime des donnes de carte
dans un contexte de carte non prsente.

Les effets de la fraude:

Perte financire.
Perte de confiance.

10
Carte bande magntique

11
Transaction avec lecture de la bande
magntique
La bande magntique contient entre autres:
Numro de compte primaire (PAN).
Date dexpiration (EXP).
Code vrificateur (CVC).

12
Authentification de la carte :
Code vrificateur (CVC)
Donne statique qui ne peut tre contrefaite: caractristiques
dune donne alatoire.
Vrifi lors de lautorisation en ligne.
Pour des raisons pratiques, il sagira typiquement dun
cryptogramme calcul sur des donnes prsentes sur la piste
magntique. Ex.:

CVC = FK( PAN, EXP )

o F est une fonction utilisant 3DES.

CVC
PAN, EXP, CVC vrifi ?

metteur

Cependant: Il sagit dune donne statique, donc clonable .

13
Authentification du dtenteur

Mthodes possibles:
Aucune.
Signature.
Numro didentification personnel (NIP).

14
Authentification du dtenteur par un NIP

Le NIP est chiffr par le terminal et vrifi par

lmetteur.
Chiffrement Triple DES:

PIN_BLOCK = FK( PAN, PIN )

o F est une fonction utilisant 3DES

Problmes:
Tous les terminaux doivent-ils contenir les cls secrtes de
tous les metteurs ?
Le NIP est secret, et devrait ltre aussi pour lmetteur !

15
 PIN Translation

Concept de traduction du NIP : dchiffrement, puis

chiffrement sur une nouvelle cl pour passer le relais
entre lacqureur, le rseau et lmetteur.
La traduction du NIP et la vrification est faite de
faon ce que le NIP en clair ne soit pas accessible.
Les cls sont conserves dans les botes de scurit
(Hardware Security Module) qui font les calculs
cryptographiques.

Zone de lacqureur Zone du rseau Zone de lmetteur

HSM HSM
HSM
Acqureur metteur
Saisie et Traduction du
Traduction du Vrification
chiffrement NIP(KR KE)
NIP(KA KR) du NIP (KE)
du NIP (KA)
16
Carte puce (EMV)

17
Objectifs

Permettre lmetteur de grer le risque des

transactions hors ligne (sans connexion lmetteur).

Renforcer le niveau de scurit associ :

Intgrit.
Authentification des parties (carte, dtenteur, metteur).

EMV
Acronymes des corporations fondatrices:
Europay, MasterCard, Visa.
Aujourdhui: American Express, JCB, MasterCard, Visa.

18
Dialogue terminal/carte

Protocole dchange de terminal carte bas

sur un modle requte/rponse (ISO 7816).
Le terminal a toujours linitiative:

Requte

Rponse

19
Principales tapes du traitement dune
transaction EMV
1. Dmarrage de la transaction au terminal.
2. Authentification hors ligne de la carte.
3. Authentification du dtenteur.
4. Gestion du risque par le terminal.
5. Gestion du risque par la carte.
6. Autorisation en ligne (si applicable).
7. Finalisation de la transaction.

20
Principales tapes du traitement dune
transaction EMV
1. Dmarrage de la transaction au terminal.
2. Authentification hors ligne de la carte.
3. Authentification du dtenteur.
4. Gestion du risque par le terminal.
5. Gestion du risque par la carte.
6. Autorisation en ligne (si applicable).
7. Finalisation de la transaction.

21
Authentification hors ligne de la carte

4 options possibles:
Pas dauthentification par le terminal;
Acceptable pour terminaux avec capacit en ligne
seulement, car authentification par lmetteur lors de la
requte en ligne (ex.: guichet automatique).
SDA Static Data Authentication;
DDA Dynamic Data Authentication;
CDA Combined Data Authentication.

Examinons SDA et DDA plus en dtail

22
Authentification statique de la carte (SDA)
Principe
Au moment de la cration de la carte, lmetteur
calcule une signature sur des donnes critiques de la
carte. Exemple de donnes critiques :
No de compte (PAN).
Dates de validit et dexpiration.
Au moment de la transaction, le terminal vrifie que
cette signature correspond bien aux donnes dans la
carte.
Objectifs :
Assurer lintgrit des donnes critiques de la carte et
quelles proviennent bien dun metteur lgitime.

Comment raliser ceci ?

Problme: on ne peut pas installer dans tous les terminaux du monde des cls
secrtes de tous les metteurs du monde.
Solution: Crypto cls publiques.
23
Authentification statique de la carte (SDA)
Fonctions requises
Gnration dune signature:
Hachage SHA-1 et dchiffrement RSA sur une cl
secrte.
Vrification dune signature:
Hachage SHA-1 et chiffrement RSA sur une cl
publique.

Normes actuelles: Utilisation de cls de 1024

1984, la discrtion de lmetteur.

24
 Authentification statique de la carte (SDA)
Fonctionnement /1
La Banque ACME Merchant
Services
Populaire
inc.

Issuer Issuer CA CA CA
Private Key Public Key Private Key Public Key Public Key
SI PI SCA PCA PCA

Issuer PK
Static Card Certificate
Data

Static Card Issuer PK

Data Certificate
Signature

Autorit
de
certification
metteur (CA) Acqureur

25
Authentification statique de la carte (SDA)
Fonctionnement /2
CA
Public Key
Static Card
PCA
Data

Static Card
Issuer PK
Data
Certificate
Signature Issuer
Public Key
PI

Le terminal
Obtient les donnes pertinentes de la carte.
Utilise la cl publique de lautorit de certification (PCA) pour
vrifier que la cl publique de lmetteur (PI) a t certifie
par lautorit de certification (CA).
Utilise la cl publique de lmetteur (PI) pour vrifier la
signature des donnes de la carte (Static Card Data Signature).
Si la vrification est russie, le terminal peut faire
confiance aux donnes de la carte
Elle sont intgres et proviennent bien dun metteur certifi.

26
Authentification statique de la carte (SDA)
Conclusion
Lobjectif est rempli:
Si on change des donnes critiques sur la carte, la signature
ne sera pas vrifie.
Si on tente de crer une carte de toute pice, on ne pourra
pas crer un certificat de cl publique valide, puisquon na
pas accs la cl secrte de lautorit de certification (SCA).
Protge contre la contrefaon.

Cependant:
Si on clone parfaitement la carte, le terminal ny verra que du
feu.
Les transactions hors ligne sont vulnrables.

27
Authentification dynamique de la carte
(DDA) Principe
On va protger les donnes critiques, mais
aussi faire intervenir des donnes
dynamiques, pour viter les redites.
La carte gnre une signature dynamique au
moment de la transaction.
Les donnes dynamiques signes incluent un
nombre alatoire fournit par le terminal
pendant la transaction.
Cest un challenge .

28
 Authentification dynamique de la carte (DDA)
Fonctionnement /1
La Banque ACME Merchant
Services
Populaire
inc.

IC Card IC Card Issuer Issuer CA CA CA

Private Key Public Key Private Key Public Key Private Key Public Key Public Key
SICC PICC SI PI SCA PCA PCA

Issuer PK
Static Card Certificate
Data

IC Card PK Issuer PK
Certificate Certificate

Autorit
de
certification
metteur (CA) Acqureur

29
Authentification dynamique de la carte (DDA)
Fonctionnement /2
Lecture des donnes

Nombre alatoire

Signature dynamique

Le terminal
Utilise la cl publique de lautorit de certification (PCA) pour vrifier
que la cl publique de lmetteur (PI) a t certifie par lautorit de
certification (CA).
Utilise la cl publique de lmetteur (PI) pour vrifier que les
donnes de la carte et la cl publique de la carte (PICC) ont t
certifis par lmetteur.
Fournit la carte un nombre alatoire de son cru.
La carte
Calcule laide de sa cl secrte (SICC) une signature dynamique
sur des donnes dynamiques qui incluent le nombre alatoire.
Le terminal
Utilise la cl publique de la carte (PICC) pour vrifier la signature
dynamique.
30
Authentification dynamique de la carte
(DDA) Conclusion
Le challenge :
Assure que les donnes signes sont dynamiques, ce qui
vite les redites, et donne confiance au terminal.
Le clonage nest plus possible: il faudrait cloner ou
dcouvrir la cl secrte de la carte (SICC), ce qui est
considr comme virtuellement impossible.

Cependant:
Requiert une carte avec processeur crypto cl publique:
plus coteuse.
Transaction potentiellement plus lente (temps de calcul de la
carte).
Ce protocole est encore vulnrable une attaque par un
intermdiaire entre la carte et le terminal ( man in the
middle ).

31
Principales tapes du traitement dune
transaction EMV
1. Dmarrage de la transaction au terminal.
2. Authentification hors ligne de la carte.
3. Authentification du dtenteur.
4. Gestion du risque par le terminal.
5. Gestion du risque par la carte.
6. Autorisation en ligne (si applicable).
7. Finalisation de la transaction.

32
Authentification du dtenteur

Mthodes dauthentification du dtenteur:

Aucune;
Signature;
NIP en ligne (vrifi par lmetteur);
NIP hors ligne (vrifi par la carte): prsent chiffr ou
prsent en clair.

Mthode choisie selon les exigences de la carte et

capacit du terminal.

NIP en ligne:
Mmes pratiques quavec les cartes piste (expliqu plus
tt).
Requiert que la transaction soit autorise en ligne avec
lmetteur.

33
 NIP hors ligne prsent chiffr la carte

Quelle beau cas despce pour le chiffrement

cl publique!

Cl SICC

PIN

Sources du diagramme: VISA 34

NIP hors ligne prsent en clair la carte

La prsentation chiffre du NIP implique:

Carte crypto processeur RSA, plus coteuse.
Des transactions potentiellement plus lentes.

Lalternative est la prsentation en clair.

Le terminal doit saisir le NIP et lacheminer la carte de
faon scuritaire (scurit physique et logique).
Attaque simple : un quipement entre la carte et le
lecteur coute le NIP en clair. Balis par:
Les normes applicables la scurit physique des claviers
NIP et linterface physiques entre la carte puce et le
lecteur.
La scurit de lenvironnement oprationnel au point de
service.
Dautres lments du protocole (traitements de la carte,
autorisation par lmetteur).
35
Principales tapes du traitement dune
transaction EMV
1. Dmarrage de la transaction au terminal.
2. Authentification hors ligne de la carte.
3. Authentification du dtenteur.
4. Gestion du risque par le terminal.
5. Gestion du risque par la carte.
6. Autorisation en ligne (si applicable).
7. Finalisation de la transaction.

36
Cryptogramme de la transaction

Il scelle le rsultat de la transaction.

Il sagit dun MAC calcul par la carte laide de
3DES sur des donnes critiques de la transaction:
Type de transaction;
Montant;
Date;
Compteur de transaction;
Statuts des diverses tapes de traitement de la transaction;
Etc.
Utilise une cl DES cet effet inscrites dans la
carte par lmetteur au moment de la cration de la
carte.

37
Gestion de risque par le terminal, puis par
la carte
Le terminal value le risque de la transaction et
propose la carte comment traiter la transaction en
lui demandant de gnrer un cryptogramme.
La carte value le risque de la transaction et
retourne un cryptogramme du type correspondant
sa volont.
AAC: Refuser la transaction.
ARQC: Demander une autorisation en ligne lmetteur.
TC: Autoriser la transaction hors ligne.

SVP, gnrer cryptogramme (ma proposition)

Cryptogramme correspondant ma volont

38
 Autorisation en ligne

Si la transaction doit tre autorise en ligne (ARQC)

En plus des traitement dautorisation traditionnels, lmetteur
valide le cryptogramme de la carte et retourne un
cryptogramme de son cru (ARPC); par exemple calcul sur:
lARQC et ;
le code de statut de la transaction (indique si autoris ou non).
Authentification mutuelle carte metteur.
Un cryptogramme final est gnr aprs la communication
avec lmetteur.
ARQC
Gnrer cryptogramme valide?

ARQC
Requte autor., ARQC

Gnrer cryptogramme, Rponse autor., ARPC

ARPC metteur

AAC ou TC
ARPC valide?
39
Cryptogramme de la transaction
et non rpudiation
Le cryptogramme gnr par la carte fait foi de la
transaction.
Y compris si la transaction a t autorise hors ligne par la
carte (TC).

Comme le cryptogramme protge les donnes de la

transaction, y compris le statut de lauthentification du
dtenteur, et quil relie la transaction la carte, cest
un outil de non rpudiation puissant.
En cas de contestation:
Entre les metteurs et les acqureurs, ce type de preuve est
de facto recevable: ils sont parties prenantes dans les
mcanismes techniques.
Face un dtenteur qui conteste une transaction, en
pratique, cest une autre histoire

40
 Non rpudiation EMV

Non, monsieur, il nest pas

question que nous vous
remboursions. Nous avons la
preuve que vous avez bel et bien
fait cette transaction. Je vois trs
bien dans nos systmes que:
TC = 1F6A82A07C951E33

41
Conclusion

42
Conclusion /1

Le systme de paiement par carte est soumis

plusieurs contraintes:
Rtrocompatibilit.
Interoprabilit.
volution ordonne.
Pratiques dindustrie.

En particulier, la rtrocompatiblit affaiblit les

mcanismes scuritaires dernier cri :
Pourquoi se donner la peine de cloner une puce quand on
peut cloner la bande magntique dune carte puce?
Pourquoi se donner la peine de cloner la bande magntique
dune carte de crdit quand on peut faire des achats sur le
Web avec { numro de compte, date dexpiration }?

43
Conclusion /2

Diverses normes complmentaires viennent ajouter

la scurit, par exemple:
PCI PED : Scurit physique des terminaux et claviers NIP.
PCI DSS : Scurit des donnes sensibles (numro de
compte primaire, donnes de bande magntique et NIP).

Aussi, des technologies permettent de scuriser les

paiements sur le web:
3-D Secure, alias Verified by Visa et MasterCard Secure
Code.

Et le jeu du chat et de la souris se poursuit

44
Pistes bibliographiques

Paiement par carte puce (EMV)

Spcifications EMVCo : Book 1 4:
www.emvco.com
Vision critique des standards et application
bancaires par lquipe de Ross Anderson
lUniversit de Cambridge:
http://www.cl.cam.ac.uk/research/security/banking/

45