Wallester Insights : PSD2 et une forte conformité de l'authentification client

Tout logiciel doit inclure des outils d'authentification pour garantir sa crédibilité et sa facilité d'utilisation auprès de différents publics. Il est devenu un élément crucial de l'architecture de sûreté et de sécurité, et son rôle ne peut guère être sous-estimé dans l'industrie FinTech. Avec plusieurs transactions de commerce électronique effectuées chaque seconde, ce marché est susceptible de faire face à davantage de menaces de blanchiment d'argent et de fraude. De ce point de vue, choisir un service d'émission de cartes conforme aux normes d'authentification et de cybersécurité haut de gamme est plus qu'une simple recommandation.

C'est là qu'interviennent les réglementations PSD2. Restez à l'écoute pour comprendre la véritable signification du terme et le rôle de son impact sur l'environnement financier de toute entreprise. À partir de!

Techniques de clonage améliorées

Actuellement, l'autorisation en temps réel des cartes EMV clonées reste une tâche irréalisable. L'extraction des clés cryptographiques essentielles pour générer des cryptogrammes de paiement est restée insaisissable à la fois pour les acteurs malveillants et les chercheurs assidus. Cependant, il est crucial de reconnaître qu'il existe des méthodes alternatives pour créer des répliques de cartes fonctionnelles :

L'une de ces méthodes employées par les criminels consiste à inscrire la valeur Track2 Equivalent sur la bande magnétique. En dupliquant les informations présentes sur la bande magnétique d'une carte, connue sous le nom d'équivalent Track2, cette technique sert de paramètre pour l'identification de la carte dans les systèmes de module de sécurité matériel (HSM) et d'autres sous-systèmes dédiés responsables du traitement des cartes.

Par conséquent, des individus malveillants emploient occasionnellement cette attaque en incorporant des données équivalentes Track2 sur une bande magnétique, ce qui leur permet d'exécuter des transactions frauduleuses soit comme des transactions de bande magnétique typiques, soit en utilisant un mode de secours technique. Les écrémeurs, dispositifs spécialement conçus pour extraire ces données des guichets automatiques, sont couramment utilisés dans ces cas.

Pour dupliquer les transactions, les auteurs peuvent recourir aux attaques EMV Pre-play et Re-play. L'attaque Re-play se concentre sur les mécanismes de contournement conçus pour garantir l'unicité de chaque transaction et cryptogramme. En exploitant cette vulnérabilité, les attaquants peuvent "cloner" des transactions pour une utilisation future sans avoir besoin de posséder la carte d'origine. Dans les cas où un terminal compromis génère le même champ UN (Unpredictable Number), un cryptogramme obtenu à partir de la carte avec une valeur UN prévisible peut être réutilisé un nombre illimité de fois.

Même les jours suivants, les attaquants peuvent soumettre des informations sur un ancien cryptogramme avec la demande d'autorisation marquée avec la date du jour précédent. Le schéma de pré-lecture devient pertinent lorsqu'un terminal compromis génère un UN prévisible au lieu d'un identique. Dans de tels scénarios, un attaquant, lors d'un accès physique à la carte, peut cloner plusieurs transactions pour une utilisation future. Cependant, contrairement à l'attaque initiale, chaque transaction ne peut être utilisée qu'une seule fois dans ce scénario particulier.

Connexes : Conformité PCI WooCommerce : tout ce que vous devez savoir !

DSP2 : définition, influence et objectifs

Depuis la publication de la première directive sur les services de paiement en 2007, le marché a subi des changements et des modifications drastiques. L'avancée des technologies et l'essor des paiements en ligne montrent également le revers de la médaille. Les nouveaux modèles commerciaux s'accompagnent souvent de politiques non réglementées, tandis que le développement de l'économie des API contribue à l'augmentation constante du niveau de fraude en Europe.

En un mot, PSD2 est une suite de normes et de lois que tout service de paiement doit suivre pour pouvoir fonctionner dans l'UE et l'EEE. Cette politique sécurise les transactions sur Internet et renforce l'environnement économique en théorie et en pratique.

Voici quelques caractéristiques qui distinguent PSD2 des autres normes financières :

• Il rend l'émission des cartes plus transparente puisqu'il devient obligatoire pour les prestataires de services conformes de révéler publiquement leurs informations financières. En même temps, cette innovation aide les nouveaux acteurs à être compétitifs et à proposer leurs solutions à des organisations bien établies.
• PSD2 a établi des licences pour les solutions d'émission de cartes. D'une part, cela permet aux entreprises offrant de tels services dans l'UE de prouver leur fiabilité et leur crédibilité, malgré leur expérience moindre. D'autre part, cette méthode est également efficace pour les publics cibles, leur permettant de choisir facilement la meilleure institution d'émission et de traitement des cartes.
• PSD2 va de pair avec une authentification client forte. L'authentification à deux facteurs et les moyens similaires sauvegardent la majeure partie des paiements en ligne et servent de couche de protection supplémentaire pour ces opérations financières. Il y a une petite faille dans cette directive. Lorsque l'une des parties engagées n'est pas située dans l'EEE, elle ne devrait pas être soumise à l'obligation de mettre en œuvre la soi-disant SCA.

En 2022, plus de cinq cents millions de personnes devraient effectuer des achats en ligne en Europe. Ce taux est susceptible d'augmenter encore plus. La sauvegarde d'un si grand nombre de transactions par des services conformes à PSD2 apportera certainement des avantages à long terme.

La directive révisée sur les services de paiement (PSD2)

Chaque pays du monde a ses propres recommandations concernant les limites No CVM (Cardholder Verification Method), qui s'appliquent lorsque la vérification du payeur n'est pas requise. Ceci est communément appelé le schéma Tap & Go. Par exemple, dans l'Espace économique européen, il existe une limite de transaction recommandée de 50 €.

Alors que les magasins et les banques acquéreuses ont la liberté de fixer leurs propres limites pour les terminaux, ils assument également les risques associés de fraude No CVM. C'est pourquoi toutes les banques ou tous les commerçants ne peuvent pas choisir de fixer des limites supérieures à la moyenne, car cela pourrait attirer un plus grand nombre de fraudeurs.

Une escroquerie répandue impliquant des cartes sans contact volées tire parti du système Tap & Go en effectuant plusieurs transactions dans les limites No CVM. Les systèmes anti-fraude interviennent rarement pour bloquer ces transactions. Certains escrocs audacieux ont même trouvé des caissiers prêts à diviser une grosse facture en plusieurs transactions plus petites, telles que 30 £ chacune, contournant efficacement les restrictions.

Combattre ces activités frauduleuses

Pour lutter contre ces activités frauduleuses, l'Union européenne a introduit un ensemble de nouvelles réglementations connues sous le nom de Directive sur les services de paiement, version 2 (PSD2). Ces réglementations comprennent des exigences spécifiques concernant la fréquence de vérification du payeur. À partir de 2020, les banques émettrices sont tenues d'imposer des limites au nombre de transactions en dessous du seuil Tap & Go. Ils doivent suivre le montant total dépensé et demander un code PIN toutes les cinq transactions ou lorsque le titulaire de la carte atteint l'équivalent du montant maximum sur cinq transactions Tap & Go, par exemple 250 euros.

MasterCard et Visa offrent deux alternatives pour les transactions qui dépassent les limites Tap & Go : les limites souples et les limites strictes. La majorité des pays suivent le système de limites souples, qui nécessite une vérification supplémentaire du payeur, telle qu'une signature ou un code PIN en ligne, pour les paiements supérieurs à la limite fixée. Cependant, le Royaume-Uni opère dans le cadre du programme Hard Limits, qui impose l'utilisation d'une carte à puce pour les paiements dépassant les limites «Tap & Go». Il est important de noter que ce scénario ne s'applique pas aux portefeuilles mobiles, car ils ont des limites distinctes en place.

Des experts en sécurité ont effectué des tests pour évaluer l'efficacité de ces règles et explorer les moyens potentiels de les contourner en utilisant des vulnérabilités connues du public ou des variations récemment découvertes. Les résultats ont révélé que les pirates possédant des cartes volées et un terminal personnalisé pourraient effectuer des paiements dans les magasins réguliers qui dépassent les limites prédéterminées en réinitialisant ces limites à l'aide de leur terminal compromis.

Travailler avec des plateformes d'émission de cartes professionnelles : édition Wallester

Le nombre et la variété des services qui suivent les normes de PSD2 ne cessent d'augmenter, ce qui est une opportunité parfaite pour les entreprises de trouver la meilleure adéquation stratégique et économique à leurs besoins et objectifs. En coopérant avec Wallester, vous choisissez des cartes de crédit et de débit qui peuvent être utilisées en toute sécurité dans l'UE à des fins de commerce électronique. Grâce aux technologies SCA avancées telles que 3D Secure, la vérification biométrique, le code PIN et autres, vous faites un pas en avant proactif en établissant un environnement financier fiable et crédible pour les utilisateurs potentiels de vos services.

La quantité et la régularité des procédures SCA sont déterminées par plusieurs facteurs, du comportement et des habitudes d'achat de votre public au type de commerçant que vous êtes.

La liste des limitations et contrôles typiques comprend les éléments suivants :

• Le système limitera le nombre disponible de paiements sans contact et demandera aux utilisateurs finaux de saisir un code PIN lorsque la limite est atteinte.
• Le service vérifie les paiements s'ils dépassent le montant maximum à dépenser par achat ou pour les achats en ligne en général.

Les critères susmentionnés dépendent également de votre propre réglementation. Wallester permet aux clients de configurer des restrictions de performances personnalisées lors de l'émission du type et du nombre de cartes souhaités, visitez leur site Web https://wallester.com.

Liés : Automatisation de la conformité HIPAA avec DevOps | Tout ce que tu as besoin de savoir!

Envelopper

Bien que les cartes bancaires sans contact soient pratiques, elles présentent également des vulnérabilités qui peuvent être exploitées par des fraudeurs. Les modes hérités et l'utilisation de bandes magnétiques introduisent des risques de sécurité, permettant aux attaquants de cloner des cartes et de manipuler les données de transaction. Malgré ces risques, les banques continuent de prendre en charge des méthodes de paiement obsolètes pour plusieurs raisons, notamment la compatibilité, les coûts associés, l'adoption par les utilisateurs et l'acceptation internationale.

De plus, les méthodes de vérification des titulaires de carte peuvent être contournées et le système Tap & Go est susceptible d'être abusé. Bien que des réglementations telles que PSD2 aient été introduites pour lutter contre la fraude, les limites peuvent toujours être contournées à l'aide de terminaux compromis. Les progrès continus en matière de sécurité des paiements sont essentiels pour relever efficacement ces défis.

Si vous souhaitez assurer la santé et le statut de votre entreprise à long terme, il est préférable de veiller à sa conformité aux dernières normes et réglementations dès maintenant. Grâce à des solutions comme Wallester, vous n'avez pas à vous soucier de la façon d'implémenter les normes PSD2 et SCA - c'est fait pour vous par défaut.