Roberto Marra Blog

Vous avez sans doute entendu parler si vous êtes en Suisse, du projet pilote de PostFinance et Unisys pour lancer un nouveau mode de paiement pour mobile.
Si vous n’en avez pas entendu parler voici quelques infos: article et vidéo sur le site de la TSR ou sur le site de PostFinance

Je ne vais pas expliquer comment cela fonctionne, vous avez toutes les infos avec les liens ci-dessus, mais plutôt "critiquer" le système qui a été un petit peu annoncé comme techniquement innovant 

Je commence par le "stick" qui est un code-barre pour vous identifier. Je trouve personnellement pas très "high tech" ne collant pas très bien avec l’image du mobile
(si je puis dire), ceci n’est qu’une remarque certes pas constructive, mais une remarque quand même.

Une autre remarque qui peut être pertinente, concerne le code barre envoyé à l’utilisateur, qui n’est pas un MMS ce que je pensais initialement, mais un SMS. Celui-ci est encodé selon les 2 normes les plus utilisées à savoir EMS (Enhanced Messaging Service) et Smart Messaging. Cela veut dire concrètement, que si je possède un Nokia, le fait d’utiliser un autre mobile en y insérant ma carte SIM, exemple un SonyEricsson l’encoding du message devrait être différent. J’ai lu sur le forum développeur de Nokia que EMS n’est pas supporté sur certains modèles, de ce fait il risque d’y avoir quelques problèmes à ce niveau, code-barre non visible. Mais bon ceci n’est pas très problématique…

Je me suis moi-même intéressé à l’élaboration d’un système de paiement par mobile, je l’avoue, j’ai lu avec attention toute la problématique liée à la sécurité, et ceci a tous les niveaux du processus de paiement. Voir Risks and Threats Analysis and Security Best Practices for Two-Way Messaging

PostFinance j’imagine a été séduit totalement par l’idée que cela puisse fonctionner tout de suite avec la plupart des mobiles du marché, et ceci sans aucune installation d’application ou de configuration ! certes, mais cela reste techniquement qu’un SMS avec tous les risques que cela comporte!

Je m’explique, dans n’importe quel système de paiement, un point primordial de sécurité concerne le fait qu’en aucun cas il ne devrait être possible pour un fraudeur de se faire passer pour un acteur du processus de paiement. A savoir la caisse ou l’organisme de validation du paiement ici "PostFinance".

Hors toute la technologie des ingénieurs de Unisys consiste a envoyer un bête SMS avec une image encodée qui pour une fois n’est pas un gâteau d’anniversaire, mais un code-bar 2D, c’est moins joli, mais tout autant très facilement imitable

J’en viens donc au point sensible, le SMS SPOOFING. Si vous avez travaillé comme moi un peu avec les SMS, vous savez bien qu’il est très facile de se faire passer pour quelqu’un d’autre avec un SMS. Vous pouvez le fabriquer de toutes pièces et y afficher le nom ou le numéro que vous voulez comme expéditeur. Vous avez des services Web qui font ça ouvertement voir smsSpoofing.com ou d’autres sociétés de services passerelles SMS comme Clickatell, qui vous offre gratuitement des logiciels pour envoyer et Spoofer à volonté.

Donc je vais exposer 2 petits scénarios sur ce Blog (que personne ne lit), 2 méthodes, qui risquent de susciter une petite inquiétude auprès des utilisateurs..

 Scénario 1

1. Vous envoyez un SMS à l’identique que celui de PostFinance avec la méthode du SMS Spoofing, la victime reçoit le SMS, elle risque d’être étonnée car elle n’est pas en train de payer quelque chose. Peut-être que la victime soupçonne une erreur, voir une fraude, mais s’en inquiète pas ou alors téléphone directement à PostFinance.
2. Vous envoyez un autre SMS, le ticket, avec les remerciements de PostFinance pour la transaction qu’il vient d’effectuer

Scénario 2

1. Un fraudeur copie le "sticker" d’une victime, va dans un établissement et initie une transaction.
2. La victime reçoit de PostFinance le VRAI SMS de transaction, bien sûr étonnée, car elle n’est pas en train de payer quelque chose. Peut-être que la victime soupçonne une erreur, voir une fraude, mais s’en inquiète pas ou alors téléphone directement à PostFinance.
3. Vous envoyez un autre SMS, le ticket, avec les remerciements de PostFinance pour la transaction qu’il vient d’effectuer

D’autres scénarios sont possibles je vous laisser le loisir de les imaginer…

Vous l’aurez compris dans ces scénarios, il n’y a pas concrètement de fraude à proprement parler, car la transaction est fictive, mais le sentiment de panic est créé auprès de la victime! Elle ne sait pas si quelqu’un essaie de frauder réellement avec son identifiant (le fameux sticker) ou s’il s’agit d’une blague. Ce qui va se traduire je pense, par une décrédibilisions du système à court terme dans l’hypothèse bien sûr que le système soit lancé à plus grande échelle.

Un autre argument de PostFinance concerne le "Couponing" qui se traduit par le fait d’envoyer des bons à des clients à faire valoir dans des magasins. Dans ce cas, vous anticipé déjà ma pensée j’imagine?   Merci le couponing à la sauvage! comment vérifier qu’il s’agit d’un vrai? encore mieux, des magasins pourrait spammer des numéros au hasard avec des bons qu’ils peuvent même faire valoir réellement ceci simplement à but commercial, mais sans l’accord de PostFinance. Il en découle aussi des dérives plus dangereuses, envoyer un SMS avec un bon ultra alléchant, pour pouvoir faire venir qui bon vous semble là où bon vous semble.. Je m’arrête là, je crois, que c’est assez clair.