Contributions au déploiement des services mobiles et à l'analyse de la sécurité des transactions

Alimi, Vincent

18 December 2012

Avec l'avènement de l'Internet grand public et des réseaux numériques, de nouvelles transactions ont vu le jour. Ces transactions, dites "électroniques", sont désormais omniprésentes et régissent notre vie quotidienne : accès par badge à un bâtiment, envoi d'un SMS ou d'un courriel, paiement sur internet, retrait d'argent à un distributeur,... Les transactions électroniques ont ouvert la voie à une multitude de possibilités déclinées sous diverses formes : le portail internet d'une banque pour consulter ses comptes, effectuer des virements ou passer des ordres en bourses; une carte à puce permettant d'ouvrir une porte ou de valider son titre de transport en commun; une application téléchargée sur un ordinateur ou un équipement mobile comme un assistant personnel numérique ou un téléphone portable. Cette dernière catégorie d'équipement mobile est extrêmement porteuse en terme d'offres de services. En effet, un mobile est un équipement nomade, connecté à l'Internet avec des débits de plus en plus élevés, et il est aussi de plus en plus puissant. Avec l'avènement de la technologie Near Field Communication et des architectures sécurisées, le mobile a maintenant la possibilité d'héberger des applications sensibles dans une puce sécurisée. Cette puce peut être la carte SIM, une puce embarquée soudée à l'électronique du mobile et une carte mémoire amovible sécurisée. Cette puce sécurisée est appelée Secure Element.Les contributions de cette thèse sont de deux ordres. Tout d'abord, nous nous sommes attachés à la conception d'une plateforme de génération automatique de scripts pour le déploiement des services mobile sans contact. Cette plateforme est basée sur une modélisation par les ontologies d'un Secure Element conforme à la spécification GlobalPlatform. Ensuite, nous avons élaboré une plateforme de test et d'analyse des transactions sans contact basée sur les techniques de fuzzing.

Monétique

Paiement mobile

Services mobiles

Aide au déploiement

L'expertise et la lutte contre la fraude monétique / Solid forensic assessment and the fight against payment card fraud

Souvignet, Thomas

18 December 2014

Le montant annuel de la fraude européenne à la carte de paiement se monte à plus d’1,5 milliard d’euros. Cette manne aiguise l’appétit des groupes criminels qui exploitent la moindre faille de la monétique (écosystème de la carte de paiement). Les cinq principaux acteurs de la monétique (porteurs, émetteurs, accepteurs, acquéreurs et systèmes de paiement) s’appuient pourtant sur des systèmes et réseaux normalisés dont la sécurité est encadrée par des standards internationaux contraignants. Néanmoins, la fraude monétique ne cesse de progresser alors que les moyens de lutte (étatiques, collaboratifs ou individuels) restent limités.Après étude de la fraude monétique, cette thèse propose différentes actions (passives,réactives et proactives) visant à améliorer la lutte contre la fraude monétique. D’abord,il convient de mieux connaître la fraude en étudiant la provenance des données volées et plus seulement leur usage. Ensuite l’expertise de ces fraudes doit être améliorée, en développant par exemple une captation du progrès scientifique. Une expertise qui doit être en partie transmise aux enquêteurs afin qu’ils puissent conduire leurs enquêtes. Enquêtes qui peuvent être dynamisées par des opérations réactives associant investigateurs et sachants techniques. Enfin, de manière proactive, les enquêtes et analyses de demain doivent être facilitées par les technologies monétiques conçues aujourd’hui. / Every year, payment card fraud exceeds 1.5 billion euros in Europe. Organised crime groups are exploiting any vulnerability possible to take a piece of this lucrative activity. Even though the five principal entities in the payment card industry (cardholders, issuers,acceptors, acquirers and payment system providers) are implementing binding security measures through out standardized systems and networks, fraud continues to increase. Efforts by the state, industry collaboration, and individuals have been unsuccessful in decreasing criminal advances. Having analysed the elements of payment card fraud, this thesis proposes several actions (passive, reactive and proactive) to help improve the fight against this fraud. First, itis relevant to gain knowledge of the source of the card details and not to focus only on its reuse. Next, forensic assessment has to be improved, for example by developing an increased scientific understanding of the technology. Such an expertise should then be passed on to investigators through effective training and knowledge transfer. Investigations should also be made more dynamic with reactive operations conducted in concert by investigators and technicians. Finally, in an ideal proactive spirit, future investigations and assessments should be oriented and facilitated by studying and influencing current payment card technology developments.

Fraude monétique

Terminaux

Carte de paiement

Expertise

Enquête

Cybercriminalité

Outils criminalistiques

Pays de l'Union européenne

Payment card industry

Forensic assessment

Investigation

Cybercrime

Forensic tools

Terminals

Payment card