La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

 Introduction  Les protocoles de sécurité  Les attaques possibles  Conclusion.

Publié parAriane Lebrun Modifié depuis plus de 8 années

Présentations similaires

Présentation au sujet: " Introduction  Les protocoles de sécurité  Les attaques possibles  Conclusion."— Transcription de la présentation:

1

2  Introduction  Les protocoles de sécurité  Les attaques possibles  Conclusion

3

4  1967 : Six banques françaises créent la première carte de paiement en France : la Carte Bleue.

5  1975 : Les cartes à mémoires disposent d’un composant électronique mais sont dépourvues d’un micro processeur.

6  1967 : Six banques françaises créent la première carte de paiement en France : la Carte Bleue.  1975 : Les cartes à mémoires disposent d’un composant électronique mais sont dépourvues d’un micro processeur.  1978 : Michel Ugon dépose deux principaux brevets sur les cartes à microprocesseur.

7  1967 : Six banques françaises créent la première carte de paiement en France : la Carte Bleue.  1975 : Les cartes à mémoires disposent d’un composant électronique mais sont dépourvues d’un micro processeur.  1978 : Michel Ugon dépose deux principaux brevets sur les cartes à microprocesseur.  1983 : Première apparition de la télécarte à puce française.

8  1967 : Six banques françaises créent la première carte de paiement en France : la Carte Bleue.  1975 : Les cartes à mémoires disposent d’un composant électronique mais sont dépourvues d’un micro processeur.  1978 : Michel Ugon dépose deux principaux brevets sur les cartes à microprocesseur.  1983 : Première apparition de la télécarte à puce française.  1990-1995 : Les cartes à puces se démocratisent fortement pour lutter contre la fraude.  Elle est passée de 0,118 à 0,028 % en France.

9  De nos jours, 2 types de carte sont utilisées : - Les cartes à puce intégrées comportant aussi une bande magnétique. Elles sont surtout utilisées en Europe. - Les cartes à bande magnétique : utilisées dans tout le reste du monde.

10  La première génération fut équipée du système BO.  Cette technologie a un faible niveau de sécurité.

11  Dans les années 2000 la technologie BO est remplacée par EMV.  Elle est beaucoup plus sure en matière d’authentification.  EMV permet un traitement plus approprié du chiffrement du code, vérification en ligne ou hors ligne et de la signature.

12 A Type de carte 3 : American Express 4 : Visa 5 : Eurocard Mastercard

13 BCD Banque 131 : Crédit Agricole (ou 612) 132 : Crédit Mutuel 970 : La Banque Postale (ou 130) 971 : HSBC 972 : Crédit Lyonnais 973 : Société Générale 974 : BNP Paribas 978 : Caisse d’Epargne

14 E à O Chiffres aléatoires

15 P Clé de Luhn Permet de vérifier la validité de la carte Se calcule en fonction des 15 premiers chiffres

16 P Clé de Luhn Permet de vérifier la validité de la carte Se calcule en fonction des 15 premiers chiffres S = 2A + B + 2C + D + 2E + F + 2G + H + 2I + J + 2K + L + 2M + N + 2O (si un élément de la somme est supérieur ou égal à 10, on retire 9)

17 P Clé de Luhn Permet de vérifier la validité de la carte Se calcule en fonction des 15 premiers chiffres S = 2A + B + 2C + D + 2E + F + 2G + H + 2I + J + 2K + L + 2M + N + 2O (si un élément de la somme est supérieur ou égal à 10, on retire 9) P = 10 – (S modulo 10)

18 Exemple :

19 S = (5*2-9) + 1 + (3*2) + 0 + (2*2) + 0 + (1*2) + 8 + (8*2-9) + 8 + (4*2) + 2 + (7*2-9) + 0 + (7*2-9) = 57 : P = 3

20 Exemple : S = (5*2-9) + 1 + (3*2) + 0 + (2*2) + 0 + (1*2) + 8 + (8*2-9) + 8 + (4*2) + 2 + (7*2-9) + 0 + (7*2-9) = 57 : P = 3 Dernière vérification : Il faut : (S + P) modulo 10 = 0

21

22 Acteurs /agents :  (A)lice  (C)arte bancaire (que A possède)  (T)erminal détenu par commerçant  (B)anque (banque émettrice de la carte)

23 Déroulement de la transaction :  A introduit sa carte C dans T

24 Déroulement de la transaction :  A introduit sa carte C dans T  Le commerçant saisit le montant m sur T

25 Déroulement de la transaction :  A introduit sa carte C dans T  Le commerçant saisit le montant m sur T  T authentifie C

26 Déroulement de la transaction :  A introduit sa carte C dans T  Le commerçant saisit le montant m sur T  T authentifie C  A donne son code C (2011)

27 Déroulement de la transaction :  A introduit sa carte C dans T  Le commerçant saisit le montant m sur T  T authentifie C  A donne son code C (2011) Si m dépasse 100 euros (et dans 20% des cas)

28 Déroulement de la transaction :  A introduit sa carte C dans T  Le commerçant saisit le montant m sur T  T authentifie C  A donne son code C (2011) Si m dépasse 100 euros (et dans 20% des cas)  T demande l’autorisation à B pour C  B donne l’autorisation

29  (A)lice possède un code secret : 2011

30  (B)anque possède : >une clé publique K B (RSA) >une clé privée K B −1

31  (A)lice possède un code secret : 2011  (B)anque possède : >une clé publique K B (RSA) >une clé privée K B −1 >une clé symétrique partagée avec C K CB (DES)

32  (A)lice possède un code secret : 2011  (B)anque possède : >une clé publique K B (RSA) >une clé privée K B −1 >une clé symétrique partagée avec C K CB (DES)  (C)arte possède des informations publiques

33  (A)lice possède un code secret : 2011  (B)anque possède : >une clé publique K B (RSA) >une clé privée K B −1 >une clé symétrique partagée avec C K CB (DES)  (C)arte possède des informations publiques >Data = nom, prénom, numéro carte, date de validité

34  (A)lice possède un code secret : 2011  (B)anque possède : >une clé publique K B (RSA) >une clé privée K B −1 >une clé symétrique partagée avec C K CB (DES)  (C)arte possède des informations publiques >Data = nom, prénom, numéro carte, date de validité >Valeur de Signature VS = {hash(Data)} K B −1

35  (A)lice possède un code secret : 2011  (B)anque possède : >une clé publique K B (RSA) >une clé privée K B −1 >une clé symétrique partagée avec C K CB (DES)  (C)arte possède des informations publiques >Data = nom, prénom, numéro carte, date de validité >Valeur de Signature VS = {hash(Data)} K B −1 et la clé secrète K CB

36  (A)lice possède un code secret : 2011  (B)anque possède : >une clé publique K B (RSA) >une clé privée K B −1 >une clé symétrique partagée avec C K CB (DES)  (C)arte possède des informations publiques >Data = nom, prénom, numéro carte, date de validité >Valeur de Signature VS = {hash(Data)} K B −1 et la clé secrète K CB  (T)erminal possède : >la fonction hash & une clé publique K B

37  (A)lice possède son code : 2011  (C)arte possède Data et {hash(Data)}K B −1  (T)erminal possède hash et la clé publique K B Phase hors ligne de la transaction :

38  (A)lice possède son code : 2011  (C)arte possède Data et {hash(Data)}K B −1  (T)erminal possède hash et la clé publique K B Phase hors ligne de la transaction :  T authentifie C 1. C T : Data, {hash(Data)} K B −1

39  (A)lice possède son code : 2011  (C)arte possède Data et {hash(Data)}K B −1  (T)erminal possède hash et la clé publique K B Phase hors ligne de la transaction :  T authentifie C 1. C T : Data, {hash(Data)} K B −1 hash hash(Data)

40  (A)lice possède son code : 2011  (C)arte possède Data et {hash(Data)}K B −1  (T)erminal possède hash et la clé publique K B Phase hors ligne de la transaction :  T authentifie C 1. C T : Data, {hash(Data)} K B −1 hash K B hash(Data) hash(Data)

41  (A)lice possède son code : 2011  (C)arte possède Data et {hash(Data)}K B −1  (T)erminal possède hash et la clé publique K B Phase hors ligne de la transaction :  T authentifie C 1. C T : Data, {hash(Data)} K B −1 hash K B hash(Data) hash(Data)

42  A donne son code C (C authentifie A) 2. T A : code ? 3. A T : 2011 4. T C : 2011 5. C T : ok

43 Si le montant est supérieur à 100 euros :  T demande l’autorisation à B pour C 6. T B : Demande d’authentification

44 Si le montant est supérieur à 100 euros :  T demande l’autorisation à B pour C 6. T B : Demande d’authentification  B réalise l’authentification en ligne de C 7. B T : N B

45 Si le montant est supérieur à 100 euros :  T demande l’autorisation à B pour C 6. T B : Demande d’authentification  B réalise l’authentification en ligne de C 7. B T : N B 8. T C : N B

46 Si le montant est supérieur à 100 euros :  T demande l’autorisation à B pour C 6. T B : Demande d’authentification  B réalise l’authentification en ligne de C 7. B T : N B 8. T C : N B 9. C T : A, {N B }K CB

47 Si le montant est supérieur à 100 euros :  T demande l’autorisation à B pour C 6. T B : Demande d’authentification  B réalise l’authentification en ligne de C 7. B T : N B 8. T C : N B 9. C T : A, {N B }K CB 10. T B : A,{N B }K CB

48 Si le montant est supérieur à 100 euros :  T demande l’autorisation à B pour C 6. T B : Demande d’authentification  B réalise l’authentification en ligne de C 7. B T : N B 8. T C : N B 9. C T : A, {N B }K CB 10. T B : A,{N B }K CB N B K CB

49 Si le montant est supérieur à 100 euros :  T demande l’autorisation à B pour C 6. T B : Demande d’authentification  B réalise l’authentification en ligne de C 7. B T : N B 8. T C : N B 9. C T : A, {N B }K CB 10. T B : A,{N B }K CB N B K CB

50  B donne alors l’autorisation 11. B T : ok

51 Initialement la sécurité de la carte se basait sur :  La non réplicabilité de celle-ci  Le secret autour des clés employées, du protocole...

52 Mais des faiblesses subsistaient, telles que  La faiblesse cryptographique : Les clés RSA 320 bits ne sont plus sûres (depuis 1988)

53 Mais des faiblesses subsistaient, telles que  La faiblesse cryptographique : Les clés RSA 320 bits ne sont plus sûres (depuis 1998)  La faiblesse logique du protocole : Il n’y pas de lien entre le « code à 4 chiffres » et l’ authentification

54 Mais des faiblesses subsistaient, telles que  La faiblesse cryptographique : Les clés RSA 320 bits ne sont plus sûres (depuis 1998)  La faiblesse logique du protocole : Il n’y pas de lien entre le « code à 4 chiffres » et l’ authentification  La faiblesse physique : La réplicabilité Ex: La Yescard (avec l’affaire Humpich 1998)

55 Faiblesse logique du protocole : Il n’y pas de lien entre le « code à 4 chiffres » et l’ authentification!  1. C T : Data, {hash(Data)} K B −1  2. T A : code ?  3. A C : 2011  4. C T : ok

56 Faiblesse logique du protocole : Il n’y pas de lien entre le « code à 4 chiffres » et l’ authentification!  1. C T : Data, {hash(Data)} K B −1  2. T A : code ?  3. A C : 2011 A C’’: 7575  4. C T : ok C’’ T : ok

57 Faiblesse logique du protocole : Il n’y pas de lien entre le « code à 4 chiffres » et l’ authentification!  1. C T : Data, {hash(Data)} K B −1  2. T A : code ?  3. A C’’: 7575  4. C’’ T : ok

58 Europay, MasterCard et Visa ont produit EMV pour les cartes bancaires :  Avec non pas un mais 3 protocoles : > SDA > DDA > CDA  Conçu en 2004 et mis en place en 2006

59 SDA=Static Data Authentification  (A)lice possède un code secret : 2011

60 SDA=Static Data Authentification  (A)lice possède un code secret : 2011  (C)arte possède des informations publiques

61 SDA=Static Data Authentification  (A)lice possède un code secret : 2011  (C)arte possède des informations publiques > Data= nom, prénom, numéro carte, date de validité >Valeur de Signature VS = {hash(Data)}K B −1

62 SDA=Static Data Authentification  (A)lice possède un code secret : 2011  (C)arte possède des informations publiques > Data= nom, prénom, numéro carte, date de validité >Valeur de Signature VS = {hash(Data)}K B −1 > Certificat {K B }K S −1 de la clé de la banque

63 SDA=Static Data Authentification  (A)lice possède un code secret : 2011  (C)arte possède des informations publiques > Data= nom, prénom, numéro carte, date de validité >Valeur de Signature VS = {hash(Data)}K B −1 > Certificat {K B }K S −1 de la clé de la banque  (T)erminal possède > hash > une clé publique K S

64  (A)lice possède son code : 2011  (C)arte possède Data, {hash(Data)}K B −1, {K B }K S −1  (T)erminal possède hash et la clé publique K S Phase hors ligne de la transaction :

65  (A)lice possède son code : 2011  (C)arte possède Data, {hash(Data)}K B −1, {K B }K S −1  (T)erminal possède hash et la clé publique K S Phase hors ligne de la transaction :  T authentifie C 1. C T : {K B } K S −1, Data, {hash(Data)} K B −1

66  (A)lice possède son code : 2011  (C)arte possède Data, {hash(Data)}K B −1, {K B }K S −1  (T)erminal possède hash et la clé publique K S Phase hors ligne de la transaction :  T authentifie C 1. C T : {K B } K S −1, Data, {hash(Data)} K B −1 K S K B

67  (A)lice possède son code : 2011  (C)arte possède Data, {hash(Data)}K B −1, {K B }K S −1  (T)erminal possède hash et la clé publique K S Phase hors ligne de la transaction :  T authentifie C 1. C T : {K B } K S −1, Data, {hash(Data)} K B −1 K S hash K B hash(Data)

68  (A)lice possède son code : 2011  (C)arte possède Data, {hash(Data)}K B −1, {K B }K S −1  (T)erminal possède hash et la clé publique K S Phase hors ligne de la transaction :  T authentifie C 1. C T : {K B } K S −1, Data, {hash(Data)} K B −1 K S hash K B K B hash(Data) hash(Data)

69  (A)lice possède son code : 2011  (C)arte possède Data, {hash(Data)}K B −1, {K B }K S −1  (T)erminal possède hash et la clé publique K S Phase hors ligne de la transaction :  T authentifie C 1. C T : {K B } K S −1, Data, {hash(Data)} K B −1 K S hash K B K B hash(Data) hash(Data)

70  A donne son code C (C authentifie A) 2. T A : code ? 3. A C : 2011 4. C T : ok

71 DDA = Dynamic Data Authentication (Déployé en mai 2007)  (A)lice possède un code secret : 2011

72 DDA = Dynamic Data Authentication (Déployé en mai 2007)  (A)lice possède un code secret : 2011  (C)arte possède des informations privées > Clé K C −1 propre à la (C)arte

73 DDA = Dynamic Data Authentication (Déployé en mai 2007)  (A)lice possède un code secret : 2011  (C)arte possède des informations privées > Clé K C −1 propre à la (C)arte  (C)arte possède des informations publiques > Data= nom, prénom, numéro carte, date de validité > Valeur de Signature VS = {hash(Data)}K B −1 > Certificat {K B }K S −1 de la clé de la (B)anque

74 DDA = Dynamic Data Authentication (Déployé en mai 2007)  (A)lice possède un code secret : 2011  (C)arte possède des informations privées > Clé K C −1 propre à la (C)arte  (C)arte possède des informations publiques > Data= nom, prénom, numéro carte, date de validité > Valeur de Signature VS = {hash(Data)}K B −1 > Certificat {K B }K S −1 de la clé de la (B)anque > Certificat {K C } K B −1 de la clé de la (C)arte

75 DDA = Dynamic Data Authentication (Déployé en mai 2007)  (A)lice possède un code secret : 2011  (C)arte possède des informations privées > Clé K C −1 propre à la (C)arte  (C)arte possède des informations publiques > Data= nom, prénom, numéro carte, date de validité > Valeur de Signature VS = {hash(Data)}K B −1 > Certificat {K B }K S −1 de la clé de la (B)anque > Certificat {K C } K B −1 de la clé de la (C)arte  (T)erminal possède > hash > une clé publique K S

76 Phase hors ligne de la transaction :  T authentifie C 1. C T : {K B }K S −1, {K C }K B −1, Data, {hash(Data)}K B −1 CDA = Combined Data Authentication (variante de DDA)

77 Phase hors ligne de la transaction :  T authentifie C 1. C T : {K B }K S −1, {K C }K B −1, Data, {hash(Data)}K B −1 K S K B CDA = Combined Data Authentication (variante de DDA)

78 Phase hors ligne de la transaction :  T authentifie C 1. C T : {K B }K S −1, {K C }K B −1, Data, {hash(Data)}K B −1 K S K B K B K C CDA = Combined Data Authentication (variante de DDA)

79 Phase hors ligne de la transaction :  T authentifie C 1. C T : {K B }K S −1, {K C }K B −1, Data, {hash(Data)}K B −1 K S K B hash K B K C hash(Data) CDA = Combined Data Authentication (variante de DDA)

80 Phase hors ligne de la transaction :  T authentifie C 1. C T : {K B }K S −1, {K C }K B −1, Data, {hash(Data)}K B −1 K S K B hash K B K B K C hash(Data) hash(Data) CDA = Combined Data Authentication (variante de DDA)

81 Phase hors ligne de la transaction :  T authentifie C 1. C T : {K B }K S −1, {K C }K B −1, Data, {hash(Data)}K B −1 K S K B hash K B K B K C hash(Data) hash(Data) CDA = Combined Data Authentication (variante de DDA)

82 Phase hors ligne de la transaction :  T authentifie C 1. C T : {K B }K S −1, {K C }K B −1, Data, {hash(Data)}K B −1 K S K B hash K B K B K C hash(Data) hash(Data) 2. T C : N vérif CDA = Combined Data Authentication (variante de DDA)

83 Phase hors ligne de la transaction :  T authentifie C 1. C T : {K B }K S −1, {K C }K B −1, Data, {hash(Data)}K B −1 K S K B hash K B K B K C hash(Data) hash(Data) 2. T C : N vérif 3. C T : {N vérif } K C −1 CDA = Combined Data Authentication (variante de DDA)

84 Phase hors ligne de la transaction :  T authentifie C 1. C T : {K B }K S −1, {K C }K B −1, Data, {hash(Data)}K B −1 K S K B hash K B K B K C hash(Data) hash(Data) 2. T C : N vérif 3. C T : {N vérif } K C −1 K C N vérif CDA = Combined Data Authentication (variante de DDA)

85 Phase hors ligne de la transaction :  T authentifie C 1. C T : {K B }K S −1, {K C }K B −1, Data, {hash(Data)}K B −1 K S K B hash K B K B K C hash(Data) hash(Data) 2. T C : N vérif 3. C T : {N vérif } K C −1 K C N vérif CDA = Combined Data Authentication (variante de DDA)

86  A donne son code C (C authentifie A) 4. T A : code ? 5. A T : 2011 6. T C : {2011}K C 7. C T : ok CDA = Combined Data Authentication (variante de DDA)

87

88  Affaire Humpich (1998)

89  « Yes-Card » = cartes qui renvoient « code bon » quelque soit le code entré

90  Affaire Humpich (1998)  « Yes-Card » = cartes qui renvoient « code bon » quelque soit le code entré Terminal → Alicecode ? Alice → Terminal3456 Terminal → Carte{3456} K C (K C : clé publique) (Carte compare la valeur reçue avec la valeur stockée) Carte → Terminalcode bon / code faux

91  Humpich modifie la fonction de comparaison de telle sorte qu’elle renvoie « code bon » tout le temps

92  Faiblesse cryptographique : clé RSA de 320 bits

93  Humpich factorise un nombre semi-premier et trouve la clé secrète K B -1

94  Faiblesse cryptographique : clé RSA de 320 bits  Humpich factorise un nombre semi-premier et trouve la clé secrète K B -1  Il peut ainsi inventer des données créées de toute pièce

95  Piratage des distributeurs automatiques  Ajout d’un skimmer sur la fente

96  Piratage des distributeurs automatiques  Micro-caméra cachée dans les autocollants

97  Piratage des distributeurs automatiques  Ajout d’un faux clavier par-dessus le vrai

98  Récupération de données sur serveurs Introduction dans des serveurs sécurisés

99  Récupération de données sur serveurs Introduction dans des serveurs sécurisés Les pirates récupèrent des bases de données confidentielles

100

Télécharger ppt " Introduction  Les protocoles de sécurité  Les attaques possibles  Conclusion."

Présentations similaires

S é minaire UIT – E.Commerce Tunis – 15 Mai 2001 L APPROCHE TUNISIENNE EN MATIERE DE COMMERCE ELECTRONIQUE Ridha Guellouz Minist è re des Technologies.

S é minaire UIT – E.Commerce Tunis – 15 Mai 2001 L APPROCHE TUNISIENNE EN MATIERE DE COMMERCE ELECTRONIQUE Ridha Guellouz Minist è re des Technologies.
Droit : LE gie carte bleue

Droit : LE gie carte bleue
Jean-Philippe Giola Jérome Robbiano Laurent Rudault

Jean-Philippe Giola Jérome Robbiano Laurent Rudault
LA CERTIFICATION ELECTRONIQUE APPLIQUEE AU SYSTÈME DE PAIEMENT ALGERIEN Alger, Séminaire du 08 & 09 Décembre 2009.

LA CERTIFICATION ELECTRONIQUE APPLIQUEE AU SYSTÈME DE PAIEMENT ALGERIEN Alger, Séminaire du 08 & 09 Décembre 2009.
document réalisé par JF Percevault et YR Cornil

document réalisé par JF Percevault et YR Cornil
Public Key Infrastructure

Public Key Infrastructure
La carte de crédit : protections et méthodes de contournement

La carte de crédit : protections et méthodes de contournement
Section 4 : Paiement, sécurité et certifications des sites marchands

Section 4 : Paiement, sécurité et certifications des sites marchands
La sécurité dans les réseaux mobiles Ad hoc

La sécurité dans les réseaux mobiles Ad hoc
Fonctions avancées et graphiques

Fonctions avancées et graphiques
FORUM REGIONAL DE NORMALISATION DE L'UIT POUR L'AFRIQUE (Dakar, Sénégal, 23-24 mars 2015) Outils et méthodes pour tester la qualité de services (QoS) de.

FORUM REGIONAL DE NORMALISATION DE L'UIT POUR L'AFRIQUE (Dakar, Sénégal, mars 2015) Outils et méthodes pour tester la qualité de services (QoS) de.
Le cryptosystème RSA à clés publiques

Le cryptosystème RSA à clés publiques
L A C OMPRESSION DE DONNÉES Par Bettaver Stéphane et Guérandel Quentin Février 2013.

L A C OMPRESSION DE DONNÉES Par Bettaver Stéphane et Guérandel Quentin Février 2013.
SARL créée en 2003 par Olivier Maréchal – Architecte des systèmes d’information. Un intervenant pour les besoins informatiques des entreprises d’aujourd’hui.

SARL créée en 2003 par Olivier Maréchal – Architecte des systèmes d’information. Un intervenant pour les besoins informatiques des entreprises d’aujourd’hui.
© Logica 2011. All rights reserved Veille secteur bancaire – Mars 2012 Client En Bretagne, le Crédit Agricole préfère la coopération à la fusion – Entretien.

© Logica All rights reserved Veille secteur bancaire – Mars 2012 Client En Bretagne, le Crédit Agricole préfère la coopération à la fusion – Entretien.
LES EPREUVES DU BREVET PROFESSIONNEL BOULANGERIE.

LES EPREUVES DU BREVET PROFESSIONNEL BOULANGERIE.
BULLETIN DE SOUTIEN Spécial ISF 2016 Pour soutenir l’action de l’association Espérance Banlieues Pierre-Bénite, je vous adresse un don libre de ……………………

BULLETIN DE SOUTIEN Spécial ISF 2016 Pour soutenir l’action de l’association Espérance Banlieues Pierre-Bénite, je vous adresse un don libre de ……………………
Izly GNCM, le 26 Janvier 2016 Paris.

Izly GNCM, le 26 Janvier 2016 Paris.
Le schéma fonctionnel d’un ordinateur

Le schéma fonctionnel d’un ordinateur
Extranet de fidélité : Connectez-vous à l’aide de votre identifiant (F00000) et de votre mot de passe (le mot de passe.

Extranet de fidélité : Connectez-vous à l’aide de votre identifiant (F00000) et de votre mot de passe (le mot de passe.

Présentations similaires

Annonces Google