Internet, les mobiles et la numérisation sous toutes ses formes ont pris une part certes pas encore prépondérante mais déjà essentielle dans nos vies. S'il ne représente encore que 10 % du total des ventes de détail dans un marché aussi avancé que les États-Unis, le chiffre d'affaires du commerce en ligne dépassait déjà 1 400 milliards d'euros en 2014. On dénombre un peu plus de 3 milliards d'internautes dans le monde (42 % de la population mondiale), et il y a désormais plus d'abonnements au téléphone mobile que de Terriens. Nous échangeons donc de plus en plus des données de toute nature (informations, flux financiers) au moyen de protocoles numériques. Et, pour que ces échanges perdurent et se développent, il convient de fournir aux différents acteurs de ce marché (consommateurs, commerçants, administrations, banques, etc.) un ingrédient essentiel : la confiance numérique.
Assurer la sécurité informatique
Ce que nous entendons par ce terme pourrait se résumer par cet enjeu : comment assurer un cadre suffisamment sécurisant pour ces échanges, sans les entraver par un surplus de précautions ? En d'autres termes, comment concevoir des systèmes d'information sécurisés de telle manière qu'ils ne suscitent de réticence chez aucun des acteurs déjà cités. Pour y parvenir, ces derniers doivent analyser leur sécurité informatique selon quatre axes complémentaires : par fonction, par source de menace, par temporalité et selon la criticité de la cible visée.
L'axe fonctionnel
Le premier axe est donc fonctionnel. Tout responsable de la sécurité d'un système d'information donné doit prendre en compte les fonctions qu'il essaie de réaliser au sein de son système : s'agit-il de messages, de paiements, de contractualisation ? Quelles qu'elles soient, il s'agit de sécuriser ces fonctions de base pour leur assurer trois caractéristiques cruciales. Primo, la confidentialité, c'est-à-dire l'impossibilité pour toute personne non habilitée de lire les informations échangées. Secundo, l'intégrité, soit l'impossibilité de modifier ces informations. Tertio, la disponibilité : que ce système reste accessible quel que soit le contexte.
Les différentes sources d'attaque
On ne peut se défendre que contre un ennemi que l'on connaît. Identifier et mesurer les forces et les faiblesses de ceux qui vont tenter de contrecarrer les mesures de protection de son système d'information fait par conséquent partie des prérequis d'une sécurité informatique aboutie.
Ces sources d'attaque, quelles sont-elles ? On peut en dénombrer quatre. La première sont les agences gouvernementales, qui vont se focaliser sur des objectifs bien ciblés, et qui souhaitent opérer de la façon la plus discrète possible. La deuxième relève du monde académique qui, pour ses recherches, va tenter de mettre en défaut un système d'information. Qualifiés, relativement créatifs et rarement contraints par le temps, ces acteurs sont aussi plus « bruyants » que les acteurs gouvernementaux, puisque leur but final est de publier les résultats de leurs travaux.
La troisième source potentielle d'attaque - et la plus médiatisée lorsqu'on aborde les questions de sécurité informatique -, ce sont les hackers. Contrairement aux idées reçues, ce ne sont pas les plus qualifiés de notre panorama, ni les plus dangereux, sauf en matière de publicité. Leur objectif est en effet rarement d'ordre financier, mais consiste plutôt à asseoir leur renommée en démontrant leur capacité à entrer dans un système.
Tout autre est la quatrième source de menace à considérer : la mafia ou le crime organisé en général. L'aspect financier prime évidemment dans leurs attaques jusqu'au-boutistes, ce qui les rend immédiatement détectables : s'ils ont réussi à prendre en défaut la sécurité du système, de la valeur a disparu.
L'approche dans le temps
La sécurité informatique doit donc être pensée de façon adaptative (aux différentes sources et types de menaces encourues), mais également dynamique. Le temps représente un facteur crucial, qu'une bonne protection doit prendre en compte. Vu sous cet angle, il existe en effet trois types de sécurité distincts - ou plutôt complémentaires. La sécurité prédictive, en premier lieu. Elle consiste à prendre des mesures alors qu'une attaque se prépare mais n'a pas encore eu lieu. Il s'agit ici d'être attentif aux signes qui trahissent son imminence. Un scan de port sur un PC, par exemple, ne constitue pas à proprement parler une intrusion. Il révèle, en revanche, que quelqu'un cherche à savoir si cette porte d'accès au système est fermée ou non...
La sécurité défensive constitue le deuxième niveau. L'attaque est cette fois-ci en cours ; il s'agit désormais de parvenir à la stopper. Un exemple typique de contre-mesure consiste à recourir à des technologies de chiffrement. La sécurité réactive, enfin, complète cette gradation des réponses. Dans ce dernier cas, l'attaque est terminée, et l'enjeu est de rétablir la sécurité du système aussi rapidement que possible, de mesurer les dégâts causés, d'y remédier et d'en tirer les conséquences.
La gradation selon les cibles
Le quatrième et dernier axe d'analyse de la sécurité d'un système d'information est directement lié à ce qu'il convient de protéger. De même que toutes les menaces ne se valent pas, que toutes les atteintes ne sont pas de la même ampleur, toutes les cibles ne présentent pas la même importance. Dans le monde de la sécurité informatique, on les classe en trois degrés : les systèmes dits « critiques » (par exemple, une centrale nucléaire) revêtent ainsi plus d'importance que les facteurs de croissance (typiquement les infrastructures bancaires et le monde commercial en général), eux-mêmes plus stratégiques que les commodités que sont les médias, les jeux, etc.
Cible, fonction, assaillant et temps : c'est l'analyse selon ces quatre axes qui qualifie une démarche de confiance numérique aboutie. Et c'est la complémentarité de ces quatre approches qui permet de comprendre les enjeux industriels d'une stratégie de sécurité informatique et de déterminer les contre-mesures adaptées pour réduire les risques.
Une sécurité appropriée à l'usage
Ces contre-mesures, justement, doivent être appropriées à l'usage. C'est-à-dire, pour être très clair, pas trop coûteuses et calibrées pour que le système protégé coure non pas aucun risque, mais un risque acceptable. Le système parfaitement inviolable, en effet, est celui qui est « fermé », donc inopérant. En l'ouvrant sur l'extérieur, ce qui est le propre de tout système visant à permettre des échanges de données entre une organisation et son (ou ses) public(s), on le rend par définition vulnérable. Tout l'enjeu est de parvenir au meilleur compromis entre sécurité et disponibilité.
Cette quête d'équilibre se révèle particulièrement sensible dans le secteur du paiement. Du point de vue du consommateur, subir un vol par l'intermédiaire de l'usage frauduleux d'un moyen de paiement électronique constitue évidemment une expérience désagréable. Mais pas insoluble, les banques remboursant dans la majorité des cas les clients lésés. À l'inverse, la situation dans laquelle ce même consommateur se voit refuser un paiement ou un simple retrait d'argent légitime (c'est-à-dire partant du principe que son compte bancaire est approvisionné et qu'il ne dépasse pas les limites posées par la convention qu'il a conclue avec sa banque) donne presque systématiquement lieu à une insatisfaction et des comportements extrêmes. Des facteurs d'ordre psychologique, liés en partie au sentiment d'humiliation commun en pareil cas, expliquent ces réactions.
Une affaire de compromis
On observe qu'il y a là un point de compromis très délicat à déterminer. Au fur et à mesure que la mise en sécurité d'un système bancaire cherche à éliminer ce que l'on appelle les « faux négatifs » (les utilisations frauduleuses, donc à rejeter), la probabilité de créer davantage de « faux positifs » augmente. Dans le secteur bancaire en particulier, ce n'est pas tant la sécurité elle-même que le ratio sécurité/disponibilité qui doit être raisonnable si l'on ne souhaite pas exclure des utilisateurs légitimes du système.
Ce dilemme, présent depuis l'émergence des cartes de paiement, se double désormais d'un nouveau compromis, directement lié, lui, à l'essor des échanges électroniques. Ces derniers ont rendu le consommateur allergique à toute forme de délai entre son désir et la réalisation de celui-ci. Il pouvait autrefois concevoir de parcourir un kilomètre ou deux pour trouver une cabine téléphonique : aujourd'hui, il doit passer cet appel sans attendre. Et acheter tout de suite, accéder à une promotion dans l'instant. Cette impulsivité caractéristique des échanges modernes pose évidemment d'importants défis aux fonctions de paiement, qui doivent être immédiatement opérantes.
Aperçu des axes de recherche en matière de sécurité des paiements
Les opérateurs de paiement désignent ce qui sépare le consommateur de l'opération par un anglicisme : friction. La diminution de la friction constitue l'un des axes de recherche, si ce n'est le principal, en matière de technologie des moyens de paiement. Concilier ce désir de fluidité et l'exigence de sécurité constitutive d'une opération de paiement nécessite de mener de nombreuses études. Il s'agit d'établir une corrélation entre ces deux extrêmes et de mesurer à partir de quel niveau de sécurité on freine le consommateur dans son parcours d'achat.
Le monde académique et les entreprises opérant dans ce champ travaillent également sur d'autres problématiques liées à la sécurité des paiements électroniques : comment déterminer avec précision l'identité du fraudeur ; comment rendre accessible et intelligible la configuration de la sécurité des navigateurs Internet (une opération qui résoudrait bien des problèmes de sécurité mais qui, à l'heure actuelle, n'est pas à la portée du premier venu) ; et, plus généralement, comment sécuriser la chaîne de paiement à tous les niveaux - les appareils (depuis où nous payons, notre téléphone mobile par exemple), les systèmes (la manière dont nous payons), les réseaux, les programmes et les métadonnées associées au paiement (que signifie cette opération). En sécurisant ces cinq éléments, on crée un écosystème performant, utilisable et sûr.
Mobiles, identités, crypto-monnaies : sécuriser sans entraver
Ces interrogations ont donné naissance à des programmes de recherche très concrets. L'un des plus porteurs consiste à offrir la possibilité de pouvoir effectuer des paiements sur n'importe quel dispositif, a priori non sécurisé (une banale tablette, un écran interactif...). La recherche s'oriente ici vers une double réponse : l'utilisation du TEE (Trusted Execution Environment), qu'on trouve dans les téléphones modernes et qui permet de rendre l'appareil lui-même sûr ; et la transformation de programme, permettant de le rendre illisible par un acteur extérieur.
Autre source d'intérêt pour les chercheurs : les crypto-monnaies, dont la plus connue est aujourd'hui la Blockchain. Faut-il les accepter sur les terminaux de paiement ? Quel modèle d'échange définir avec ces monnaies ? Quelles garanties sont offertes aux utilisateurs et quelle est la sécurité intrinsèque d'une crypto-monnaie ? Les entreprises technologiques comme Ingenico n'ont pas de position « morale » particulière, ni de difficulté technique identifiée vis-à-vis des crypto-monnaies. Les défis de surveillance, la remise en cause de notions comme la souveraineté des États et les problèmes de volatilité ou de protection du consommateur que posent ces crypto-monnaies en font néanmoins un sujet de préoccupation très actuel.
Un dernier champ de recherche porte sur l'anonymat du paiement, qu'il soit total ou qu'il relève d'une solution plus subtile dénommée « unlinkability » en anglais. Dans ce deuxième cas, on ne peut pas identifier nommément la personne ayant effectué une opération donnée, mais on peut savoir que c'est une seule et même personne qui a réalisé cette opération et une autre un peu plus tard. Une solution rendue possible grâce à un système de token (paiement par jeton). L'idée peut sembler contradictoire avec les possibilités de traçabilité offertes par les moyens de paiement électroniques. Mais les informations recherchées lorsqu'on analyse les paiements (les habitudes d'achat, les moyennes, écarts types...) ne nécessitent pas de connaître l'identité réelle des acheteurs. Et ces derniers peuvent vouloir qu'on protège leur identité. En conciliant les demandes des commerçants et ce souhait des consommateurs, on touche à un autre aspect de la confiance numérique : la confiance que tout un chacun peut avoir dans l'exploitation qui est faite de ses données comportementales.
