Des transactions peu sécurisées
Les commerces de toute taille, y compris les plus grandes chaînes de magasins, ont bien du mal à sécuriser les données et les transactions, et s’illustrent malheureusement avec régularité par le vol de dizaines de millions d’informations sur leurs clients, y compris leurs cartes de crédits.
Si le standard EMV (Europay, MasterCard, Visa), un standard de sécurité pour les cartes de crédit utilisant la carte à puce à la place de la bande magnétique améliore la situation, de nombreuses vulnérabilités demeurent dans le processus de transaction.
Notamment dans les points de ventes.
Parce que les données entre le lecteur de carte et le terminal de point de vente d’une part, et entre le terminal de point de vente et la banque d’autre part, transitent la plupart du temps en clair, sans chiffrement.
Les données peuvent donc être interceptées et volées, par exemple sur un terminal de vente infecté par un logiciel malveillant, qui transmettrait les données à un serveur pirate.
Intel Data Protection Technology for Transactions
Pour limiter les risques, Intel a développé la solution « Intel Data Protection Technology for Transactions« , une solution logicielle et matérielle qui protège les données des cartes de crédit et les données personnelles d’une bout à l’autre de la chaîne de paiement.
Les responsabilités essentielles du logiciel du terminal de point de vente sont cédées à une applet protégée par logiciel et par matériel installée sur le terminal.
Les lecteurs de cartes communiquent alors, de façon chiffrée, avec l’applet par USB, Bluetooth ou Wi-Fi. L’applet accepte tout type de transaction : bande magnétique, EMV, NFC. L’applet est reliée à un serveur de stratégie, qui lui dicte le type d’information qu’elle peut échanger avec le logiciel du terminal de point de vente, par exemple les quatre derniers chiffres de la carte afin de pouvoir les imprimer sur le reçu.
L’applet gère aussi l’autorisation de la transaction avec les banques, par communication chiffrée.
Ainsi, même si le terminal de point de vente est infecté, un logiciel malveillant ne pourra voler les données importantes.
Si Intel ne détaille pas la façon dont l’applet est protégée, on peut penser qu’elle utilise les anneaux de protections (rings) intégrés aux architectures des processeurs Intel. L’applet tournerait sur un anneau différent de l’anneau dans lequel tourne le logiciel du terminal, et a un accès exclusif à sa partie de mémoire protégée.
Le serveur de stratégies durcit la sécurité en répertoriant tous les terminaux de points de ventes et tous les lecteurs de carte autorisés. Le branchement d’un lecteur de carte pirate à un terminal de point de vente ne sera donc pas authentifié et son utilisation bloquée.
Enfin, le serveur peut commissionner ou décommissionner des terminaux ou lecteurs de cartes centralement, ou bien déployer les mises à jour logicielles dans tout le réseau de l’entreprise.
Cette technologie Intel devrait fonctionner avec tous les vendeurs de matériels du marché, et donc fonctionner dans un environnement hétérogène. À condition toutefois que les terminaux aient des processeurs Intel : Core ou Atom.
Pour l’occasion, Intel annonce un partenariat avec le numéro un du secteur, NCR, qui va combiner Intel Data Protection Technology for Transactions à NCR DataGuard