18 mars 2016

Connaissez-vous les systèmes HCE ?

HCE

Connaissez-vous les systèmes HCE ?

 

HCE, pour « Host Card Emulation », est une architecture logicielle qui a pour but d’établir un canal de communication sécurisé entre un périphérique NFC (Near Field Communication) et les serveurs hébergeant les données de carte. Grâce au système HCE, un utilisateur peut réaliser des achats à partir de son téléphone ou encore de sa SmartWatch.
Les apports du système HCE
Le paiement NFC actuel se base sur un élément sécurisé SE (Secure Element) généralement représenté par la carte SIM, propriété de l’opérateur téléphonique. Cela constitue une réelle contrainte pour les fournisseurs de solutions de paiements mobiles.

 

De plus, de nouveaux acteurs comme les tiers de confiance (Trusted Service Manager), se greffent à l’écosystème NFC afin d’assurer les liaisons entre l’institution bancaire, l’opérateur téléphonique, le commerçant et le consommateur.
L’architecture HCE propose donc une alternative ne se basant plus sur un Secure Element, mais sur une technologie Cloud : VSE (Virtual Secure Element), ce qui limite le stockage des données de paiement sur le terminal mobile et permet de délier les opérateurs mobiles et les tiers de confiance du processus du paiement mobile.
Fonctionnement de HCE

 

La solution HCE repose sur l’utilisation de données de paiement temporaire et jetable, assimilable à un processus de Tokenisation.
L’avantage de cette technologie est que le terminal mobile n’a plus besoin de connaitre les données d’une carte bancaire valide. Il substitue cette donnée par un jeton (token) à usage unique, ce qui diminue l’exposition au risque de compromission des données de carte. Seul le fournisseur de services de Token a la possibilité de reconnaître une carte à partir du jeton (table de correspondance).
Le deuxième avantage apporté par HCE est la possibilité de réaliser des transactions hors ligne, c’est à dire, sans connexion Internet. Dans ce cas, des jetons sont chargés dans le téléphone et peuvent être utilisés pour effectuer des paiements NFC.
Les différents acteurs HCE

Système d’exploitation :
Android dispose d’une API permettant d’émuler une carte de paiement NFC suivant l’architecture HCE.

Fournisseur de carte :
L’organisme EMV a adopté la solution HCE avec les solutions Cloud suivantes :

  • Visa : Visa Cloud-based Payments (VCP)
  • Mastercard : MasterCard Cloud Based Payments (MCBP)

Banques et entreprises
Plusieurs entreprises et banques ont adopté aussi la solution HCE, par exemple :

  • Google Wallet
  • BBVA en partenariat avec Visa
  • Myedenred en partenariat avec Mastercard

Comme nous venons de le voir, la solution HCE englobe un processus critique de Tokenisation et nécessite une traçabilité accrue pour garantir la sécurité des transactions financières. Au-delà de ces problématiques, on pourra s’interroger sur les risques côté utilisateur, par exemple, si l’environnement Android est infecté, serait-il possible pour un attaquant de détourner des transactions à son avantage en manipulant ces tokens (attaque de type Man-in-the-middle par exemple).
Charaf BENALLAL, consultant sécurité / pentesteur

Sources :
http://simplytapp.com/wp-content/uploads/2015/10/SimplyTapp-ABCs-of-HCE-Whitepaper.pdf
https://monetiques.wordpress.com/2015/01/05/hce-host-card-emulation/
http://benoitdelestre.com/en-quoi-larchitecture-hce-est-revolutionnaire/
https://monetiques.wordpress.com/2015/01/29/la-tokenisation/
http://www.smartcardalliance.org/newsletter-200905-feature/
http://developer.android.com/guide/topics/connectivity/nfc/hce.html
http://www.smartcardalliance.org/downloads/HCE-101-WP-FINAL-081114-clean.pdf

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *