Les marchands interdits de terminaux BYOD ou « jailbreakés » pour les paiements
Les mobiles grand public envahissent l'entreprise et bousculent l'instance PCI en charge de la sécurité des terminaux de paiement. Les marchands se voient interdits d'usage de terminaux "jailbreakés" ou de type BYOD.
Le « PCI Security Standards Council », le conseil en charge des standards de sécurité pour PCI (Payment Card Industry) qui représente en premier lieu Visa et MasterCard, vient de publier un guide pour les marchands qui utilisent des smartphones ou des tablettes pour traiter les paiements de leurs clients.
Les entreprises qui veulent utiliser des smartphones ou des tablettes grand public comme terminaux de point de vente afin de gérer les paiements par carte bancaire sont informées de ne le faire que lorsque les contrôles, le chiffrement et d'autres mesures de sécurité sont en place.
Le « PCI Security Standards Council » a publié 27 pages de recommandations (au sein du document "PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users"). Il s'agit de répondre aux situations où les marchands veulent implanter le traitement des paiements dans des smartphones ou des tablettes plutôt que les traditionnels terminaux spécifiques.
Le conseil souligne que les marchands sont responsables de l'application mobile, des processus de back office et de la sécurité du terminal. De même le conseil insiste sur le fait qu'une stratégie de type BYOD (Bring Your Own Device), lorsqu'un employé amène son propre terminal au travail, n'est pas recommandée en tant que bonne pratique.
Le guide édité par le conseil part du fait que les terminaux mobiles utilisés par les marchands pour le traitement des cartes bancaires seront multi-fonctions et pas seulement réservés à l'acceptation des paiements. De même, les terminaux grand public sont considérés comme étant pas spécialement sécurisés.
Un chiffrement et un agrément ...
Un chiffrement et un agrément
Et parce que ces terminaux mobiles vont être déplacés dans pas mal d'endroits, les possibilités de vol, de perte ou de dégradations sont considérables. Le conseil veut que les marchands s'assurent que tout terminal mobile utilisé pour le traitement des cartes bancaires dispose d'un clavier chiffré pour le traitement du code secret PIN (Personal Identification Number) et que le lecteur de carte sécurisé utilisé pour la lecture des données bancaires soit agréé.
« Si vous faites glisser la carte pour la lire, il faut être sûr que les données vont dans le terminal chiffré » prévient Bob Russo, directeur général du conseil. Le conseil voudrait que des contrôles de sécurité, tels quel les anti-virus, l'authentification, et l'examen précis du terminal mobile soient appliqués aux mobiles servant aux paiements.
Les fabricants de ces terminaux doivent communiquer sur les failles de sécurité et mettre à jour les versions via des correctifs. Et dans une allusion transparente aux terminaux sous iOS d'Apple, le guide note que les marchands qui « de manière délibérée contournent les contrôles de sécurité natifs d'un terminal mobile par 'jailbreaking' ou 'rooting' augmentent les risques d'une attaque par malware. Les solutions de paiement ne devraient pas être installées ou employées sur ce type de terminaux » déclare le conseil.
Le document propose que jusqu'à ce que les matériels et les logiciels respectent ces consignes, les marchands respectent un chiffrement point à point validé selon PCI tels que cela est décrit dans un autre document « Accepting Mobile Payments with a Smartphone or Tablet. »
Une évolution rapide ...
Une évolution rapide
Au bout du compte, le conseil se voit contraint de réagir rapidement dans un contexte où l'usage de terminaux mobile grand public se généralise. « Nous vivons une période d'évolution » admet Bob Russo, ajoutant que le conseil aura plus à dire sur ce sujet dans le futur.
Le conseil anticipe d'aligner ses recommandations techniques avec certaines lignes de conduite liées aux mobiles dans un document préparatoire du National Institute of Standards and Technology (NIST). Le document préparatoire est le NIST 800-164, "Guidelines for Hardware-Rooted Security in Mobile Devices".