Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Sauvegarde, Securite informatique

Fuite de données pour Nokia

Le constructeur Nokia a mis en péril sa sécurité interne et diffusant, sans le savoir, des données extrêmement sensibles sur Internet !

Imaginez, vous avez une entreprise de taille internationale et vous laissez fuiter vos informations les plus sensibles. Dans le lot des données perdues des mots de passe d’utilisateurs et d’administrateurs, un mot de passe Weave, une clé de chiffrement k8s, une clé privée d’utilisateur Gluster, des clés privées SSH et RSA, une clé de cluster et des clés secrètes AWS S3 … Bref, autant dire qu’il n’est pas utile de faire parti du bureau 39 de la Corée du Nord ou de la NSA pour se servir.

Les informations ont été découvertes par le directeur de l’équipe de recherche d’une société de cyber sécurité, hacken Ecosystem. Avec Shodan, le moteur de recherche dédié à la cybersécurité, la fuite est apparue. Plusieurs bases de données internes, des mots de passe et des clés d’accès secrètes aux systèmes internes de Nokia.

Découverte le 13 décembre 2018, personne ne sait depuis quand elles fuitaient. Nokia n’a jamais répondu au mail d’alerte. Il aura fallu attendre plusieurs jours et un message twitter pour la mise hors ligne.

L’équipe de sécurité de Nokia a reconnu la fuite. Elle a déclaré qu’il ne s’agissait que d’un « environnement de test« . Le chercheur indique avoir un doute sur cet environnement de test. « Ce serveur AWS créé il y a quelque temps par l’un de nos développeurs à des fins de test. Nous pouvons confirmer que le serveur ne contient aucune information sensible. Cela dit, nous utiliserons cet épisode pour notre propre formation de sensibilisation des employés de Nokia R&D ».

BYOD, Cybersécurité, Entreprise, ID, Identité numérique, Mise à jour, Particuliers, Patch

Un Français invente un anti piratage de l’électronique d’une voiture

Un garagiste du Maine-et-Loire a trouvé une solution ingénieuse pour bloquer les tentatives de piratage de l’électronique d’une voiture.

Landry Bourrieau, le patron du garage VL Auto basé à la Romagne dans le Maine-et-Loire a-t-il découvert le système ultime anti piratage de l’électronique d’une voiture ? Peut-être pas, mais chose est certaine, son idée retardera un maximum les voleurs de voitures. Un détail que ces derniers ne vont pas apprécier, leur mission étant d’être rapide.

VL Auto a inventé une solution qui coûte moins de 60€. L’idée, bloquer la prise l’OBD ou OBD2 en inversant les files électriques. Le matériel permettant le piratage de la voiture ne peut plus fonctionner sans posséder la bonne connexion. Bilan, le voleur doit posséder la panoplie complète d’adaptateurs et tous les essayer. Il peut aussi inverser les fils électriques, mais ici aussi, il faut tout démonter. Bref, pas rapide. Malin, le système continue d’être alimenté électriquement, permettant de perturber, encore plus, le malveillant et son matériel.

De quoi donner du fil à retordre aux pirates et voleurs de véhicules. De quoi aussi et surtout ressortir, pour les concepteurs et les bibliothécaires CAO les planches à dessin.

Espionnage via l’autoradio

Et les problèmes de sécurité informatique ne cessent de toucher les voitures et autres objets connectés. Par exemple, fin d’année 2018, près de 90 000 conducteurs américains découvraient qu’ils avaient été mis sur écoute durant 3 mois.

Le constructeur automobile expliquait alors une « étude » pour mieux cibler les consommateurs clients et leur fournir des publicités ciblées. Bref, vendre des biens de consommation à partir des stations, musiques et publicités écoutées.

Un espionnage via l’autoradio ? Un ciblage à quatre roues parmi tant d’autres !

Il y a quelques semaines, le moteur de recherche Français Qwant s’inquiétait de l’accord signé entre le constructeur automobile Renault et le moteur de recherche américain Google. L’alliance franco-japonaise Renault-Nissan-Mitsubishi signe avec le diable ? Qwant, concurrent de Google, n’a pas apprécié que le constructeur automobile fournisse, dès 2021, les applications Google dans ses véhicules.

Ce que fait déjà Hyundai, par exemple, avec Androïd Connect. Pour rappel, il est obligatoire de connecter son téléphone à la voiture … et donc vos données.

Chez General Motors, la réflexion aura été plus personnelle. Les propriétaires (un peu moins de 90 000 conducteurs) surveillés durant 3 mois via leur autoradio. Un autoradio connecté via le Wi-Fi des autos. Le constructeur américain a reconnu les faits après la révélation du Detroit Free Press. GM a avoué collecter des données afin de les utiliser “manière intelligente“.

Communiqué de presse, Cybersécurité, Securite informatique

Tendances cyber sécurité 2019 : des menaces de plus en plus complexes et difficiles à contrer

Avec l’explosion de l’IoT, des réseaux sociaux, du Cloud et les smartphones, de nouveaux vecteurs d’attaques apparaissent. Les cyberattaques se renforcent et des menaces de plus en plus complexes sont à prévoir pour l’année à venir.  Naaman Hart, Manager Services Security Engineer chez Digital Guardian fait le point pour DATASECURITYBREACH.fr sur l’année écoulée pour anticiper les évolutions à venir.

Windows 7 continuera de poser problème. Lorsque Microsoft a lancé Windows 10, l’éditeur l’a distribué gratuitement à travers le monde essentiellement afin de perturber le nombre important de machines qui fonctionnaient encore sous Windows XP – dont beaucoup étaient connues pour faire partie des plus grands botnets au niveau mondial. Difficile de comprendre que Microsoft ait prolongé le support des mises à jour de sécurité pour Windows 7 jusqu’en janvier 2023, alors que ce dernier devait être abandonné.

Cela retarde davantage la migration des entreprises, et ce malgré la pression exercée pour les inviter à passer à des systèmes d’exploitation plus récents et moins vulnérables. C’est à se demander ce qui a été appris des problèmes causés par les machines tournant sous Windows XP. Windows XP avait 14 ans lorsque Microsoft a lancé Windows 10. En étendant la commercialisation d’un produit lancé en juillet 2009 au-delà de son 13e anniversaire Microsoft a donné le ton.

Alors que les entreprises ont encore à subir les effets de la maintenance de Windows 7 pour les 5 années à venir elles peuvent s’attendre à avoir également à se défendre contre les réseaux de botnets constitués de cet OS. Si les entreprises tardent à faire les investissement IT nécessaires, elles risquent de se retrouver face à des attaques internes et externes rendues viables par le même système d’exploitation auquel elles sont si étroitement accrochées.

Le « whaling » : une technique efficace et lucrative

La compromission des emails professionnels va se poursuivre. Généralement, les entreprises s’évertuent à mettre en place des formations afin de sensibiliser leurs employés au danger des courriels et liens suspects mais combien d’entre elles forment leur personnel à refuser l’ordre d’un cadre supérieur ? La technique de phishing appelée «Whaling » consiste à compromettre l’adresse email d’un dirigeant de l’entreprise et à l’utiliser afin de demander aux collaborateurs d’effectuer des paiements sur les comptes bancaires frauduleux. Comme ces attaques sont généralement efficaces et lucratives, elles continueront d’attirer davantage de groupes cybercriminels désireux de s’y essayer.

« Il est donc indispensable que des règles de sécurité soient intégrées au quotidien dans l’entreprise. En effet, les outils de sécurité informatique ne sont pas infaillibles face au comportement humain et les personnes malveillantes s’appuient sur la confiance que les employés portent à leurs supérieurs et la crainte d’être sanctionnés s’ils n’agissent pas de la manière attendue par ces derniers. Former et sensibiliser le personnel à exiger la validation d’une tierce partie pour toute transaction financière ou introduire des procédures de paiement nécessitant plusieurs personnes indépendantes peuvent être de bonnes façons de renforcer la sécurité. », déclare Naaman Hart, Managed Services Security Engineer chez Digital Guardian.

La protection des données encore une fois au centre de la stratégie de sécurité en 2019

Nous allons voir une demande croissante de solutions pérennes de gestion d’incidents centrées sur les données tout au long du cycle de vie de ces dernières. Alors que le volume de données ne cesse d’augmenter et que les cybermenaces et systèmes informatiques deviennent de plus en plus complexes à contrer, les entreprises cherchent une solution offrant une bonne visibilité des mouvements de leurs données qu’elles soient dans le cloud, sur un terminal ou sur le réseau. Afin de se conformer aux réglementations sur la protection des données, les organisations devront prouver que les données qu’elles détiennent sont correctement protégées et qu’en cas d’incident, elles disposent d’une procédure et d’une politique de réponse solides pour atténuer le risque de perte de données.

Cloud computing, : vers des services de sécurité gérés

Dans un contexte de menaces de plus en plus complexes et une pénurie persistante de compétences, la technologie cloud computing offre un véritable confort et 2019 verra une augmentation des demandes pour bénéficier de services de sécurité gérés. Les solutions gagnantes seront celles qui profiteront de la puissance de l’Intelligence Artificielle et du machine learning, pour aider à identifier et faire face aux menaces cachées au sein des données produites par les organisations.

Vers une consolidation du marché en 2019

Le marché de la cybersécurité est actuellement très fragmenté ce qui conduira nécessairement à une consolidation du marché au sein de l’écosystème des fournisseurs, ainsi qu’au niveau des portefeuilles proposés par les partenaires channel. Pour ces derniers d’ailleurs, il ne s’agit plus seulement de disposer de l’expertise et du talent pour chacun de leurs fournisseurs, mais d’être en mesure de déployer des efforts plus larges en matière de planification, de ventes et de marketing. En l’état actuel, compte tenu des efforts et investissements nécessaires pour bien faire les choses, ce business model n’est pas durable. Nous le constatons également chez les fournisseurs, qui sont de plus en plus nombreux à adopter une approche de type plateforme. Le résultat est que les partenaires channel réduiront le nombre de fournisseurs de leurs portefeuilles, ce qui aura pour conséquence de contribuer à combler la pénurie d’experts en cybersécurité, à réduire les frais généraux des entreprises pour, au final, les aider à être plus rentables.
Communiqué de presse, Cybersécurité, Mise à jour, Securite informatique

La langue s’enrichit : Le meilleur et le pire de l’internet

Dans les entreprises, le développement des techniques du numérique et de l’internet transforme en profondeur la gestion des ressources humaines et celle des relations avec la clientèle. On parle de système d’engagement (system of engagement) pour désigner l’ensemble des services qu’une organisation met en ligne pour renforcer ses liens avec ses clients, ses partenaires extérieurs ou impliquer ses employés et créer des relations entre eux.

Pour les entreprises, la visibilité sur la toile est un tel enjeu – en termes de revenus publicitaires principalement – que les référenceurs développent toutes sortes de stratégies d’optimisation qui vont jusqu’à leurrer les moteurs de recherche qui classent les annonces en fonction du nombre de liens pointant vers elles. Certaines techniques abusives consistent par exemple à remplir une page de mots-clés en surnombre (pour attirer les utilisateurs de moteurs qui font une recherche sur ces mots) ou à créer des dizaines de sites qui pointent les uns vers les autres pour améliorer leur classement dans les moteurs de recherche. Contrairement à ce que laisse entendre son équivalent anglais spamdexing, le référencement abusif ne repose pas sur l’envoi de messages publicitaires en nombre à des destinataires au risque de les importuner (arrosage, en anglais spamming) mais cherche à leurrer pour obtenir un meilleur référencement des pages ou des sites.

Le masquage (en anglais cloaking qui signifie « dissimulation ») est une des techniques de « référencement abusif » sur la toile.

Utilisons nos neurones pour comprendre les machines qui imitent nos neurones…

Qu’elle suscite la crainte ou l’admiration, l’« intelligence artificielle » s’est invitée en quelques années dans notre quotidien : des robots « intelligents » s’adaptent à l’environnement et sont capables de résoudre des problèmes, de prendre des décisions, d’interpréter des signaux…

Le terme intelligence artificielle s’est imposé en français, souvent abrégé par le sigle IA (AI en anglais, pour artificial intelligence) et a entraîné avec lui la création d’une famille de termes : neurone artificiel ou neurone formel, réseau de neurones artificiels.

Pour désigner un logiciel spécialisé dans le dialogue en langage naturel avec un humain, on aura recours en français au terme dialogueur ou agent de dialogue, plutôt qu’au terme anglais chatbot, et en évitant « agent conversationnel » calque de l’anglais conversational agent.

En termes familiers on dit que « les robots apprennent », c’est-à-dire que les algorithmes sont programmés pour modifier leurs réponses futures en fonction de leur expérience passée.

On distingue différents types d’apprentissage : l’apprentissage automatique ou apprentissage machine. Un exemple simple d’apprentissage automatique est celui de la classification : étiqueter chaque donnée en l’associant à une classe. L’apprentissage supervisé (supervised learning) recourt le plus souvent aux réseaux de neurones artificiels et est utilisé pour la reconnaissance d’images et la traduction automatique. L’apprentissage non supervisé (data clustering) est utilisé pour l’identification de comportements et la recommandation d’achats.

Lorsque le réseau de neurones artificiels est composé de couches de plus en plus complexes, on parle d’apprentissage profond (deep learning). Enfin l’apprentissage par renforcement est un apprentissage automatique capable d’améliorer ses performances jusqu’à ce qu’il atteigne un objectif préalablement fixé.

Ces termes ont été publiés au Journal officiel le 7 décembre 2018.

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Securite informatique

1 consommateur 3 aurait vu ses données confidentielles compromises

Selon un communiqué de presse envoyé à toutes les rédactions françaises, 1 consommateur sur 3 aurait ses données confidentielles compromises. Les fêtes de fin d’année, avec les cadeaux de Noël, le Nouvel An, puis les soldes de janvier sont une période de consommation importante, notamment en ligne. Mais pour les cybercriminels qui ciblent les informations bancaires des clients ou leurs comptes en ligne, ces périodes de fêtes peuvent aussi être très fructueuses. Le rapport de Kaspersky Lab intitulé « From festive fun to password panic: Managing money online this Christmas » fait le point sur les risques.

Selon les chiffres de Kaspersky, ils sont à prendre avec des pincettes car ils ne concernent que leurs clients et une petite partie de possibles fuites d’informations, Noël 2018 aurait été particulièrement intéressant pour les pirates comme le montre le graphisme qu’ils ont diffusé dans leur communiqué de presse [voir ci-dessous].

Le large éventail de méthodes de paiement numériques donne aux clients la liberté de choisir leur mode d’achat préféré pour les biens ou services. Les méthodes les plus populaires sont toujours les cartes de débit et de crédit, les virements directs à partir de comptes bancaires et les portefeuilles électroniques, par ex. PayPal. Cependant, d’autres méthodes de paiement gagnent en popularité. Les achats fréquents permettent aux utilisateurs de collecter des points via des programmes de fidélité et de les utiliser lors de la visite à un détaillant pour en acheter davantage. Et grâce aux smartphones et aux smartwatches, les consommateurs n’ont même plus besoin de transporter leur portefeuille, leur argent ou même de cartes en plastique. Cela a contribué à accroître la popularité des paiements sans contact sur les appareils, tels que PayPass et ApplePay, avec un tiers des acheteurs (31%) les utilisant régulièrement. (Le rapport)

 

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Securite informatique

Etude de cas CD&B : Sécuriser les fichiers grâce à un audit

Les serveurs de fichiers sont connus pour être la principale cible pour les attaques (Verizon, Data Breach Investigations Report 2017). Afin de pouvoir garder leurs fichiers sécurisés, et ne permettre que l’accès à ceux qui en ont besoin, les organisations ont besoin d’une visibilité sur qui a accès, qui utilise l’accès et quelles actions sont effectuées sur les fichiers.

Cet audit de fichiers permet aux entreprises de sécuriser leurs données sensibles. Lorsqu’un bon audit de fichier est en place, il peut aider à identifier une violation de données ainsi qu’à en arrêter une. Fonctionnalités d’un audit de fichiers. La société IS Decisions propose d’examiner les fonctionnalités qui devraient faire partie de l’audit des fichiers. Des fonctionnalités qui peuvent s’appliquer à la fois aux outils Windows natifs et aux solutions tierces. Nous y retrouvons, l’Enregistrement qui correspond à tous les accès et modifications aux fichiers et dossiers, y compris les données et les autorisations, doivent être enregistrés. La Visibilité : toutes les données du journal d’audit doivent être facilement accessibles pour être consultées, filtrées, recherchées, etc. Les Alertes : les notifications doivent être envoyées en fonction des critères correspondants aux actions jugées suspectes. Et les Rapports. Une option un peu compliqué, mais même les outils natifs ont la possibilité d’exporter les données du journal. Donc, même si ce n’est pas joli, la capacité de générer des «rapports» partageables devrait faire partie de l’audit des fichiers. Pour en savoir plus sur la sécurisation des fichiers via un audit approprié, c’est à lire ici.

Banque, Bitcoin, cryptomonnaie, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fraude au président, Fuite de données, ID, Identité numérique, Particuliers, Piratage, Securite informatique, Social engineering, Vie privée

Crypto-monnaie et recovery room : 113 sites douteux

Recovery room : l’Autorité des Services et Marchés Financiers diffuse une liste noire de 113 sites web douteux concernant les crypto-monnaies.

 

La FSMA, l’Autorité belge des Services et Marchés Financiers, vient de mettre en ligne une liste qui risque d’intéresser les amateurs de crypto-monnaies et autres internautes attirés par le trading. La FSMA édite depuis 1 an une liste de sites mis sur liste noire pour avoir été acteurs d’escroqueries. Si au début cette liste affichait quelques dizaines de fraudeurs, en décembre 2018, ils sont 113 montrés du doigt. A fuir, donc. Le gendarme du secteur financier belge explique que ces plateformes « proposent un investissement sur la base de crypto-espèces, en mettant l’accent sur son caractère sûr, simple et très lucratif. Elles tentent de gagner votre confiance en vous persuadant qu’il ne faut pas être un expert pour pouvoir investir dans les crypto-monnaies. Prétendent collaborer avec des spécialistes, qui gèrent vos investissements. Confirment en outre que vous pouvez retirer vos fonds à tout moment. Fonds garantis. »

Derrière, des escrocs qui empochent votre argent. Cette liste comprend : des entreprises fournissant, en Belgique (ou depuis la Belgique), des services et produits financiers sans respecter la réglementation financière belge (défaut d’agrément / défaut de publication d’un prospectus/…) ; des entreprises à l’égard desquelles, outre d’éventuels manquements aux réglementations financières dont elle assure le contrôle, la FSMA a constaté de sérieux indices de fraude à l’investissement ; des entreprises à l’origine de fraudes de type « recovery room« .

Recovery room

La fraude de type « recovery room » vise les investisseurs déjà victimes d’une arnaque. Contactés par les escrocs, ils se voient proposer de l’aide en vue de récupérer les sommes perdues. Une technique employée, entre autres, par les escrocs à l’amour, les scammeurs. Ils vous indiquent être policier, par exemple, et doivent vous permettre de retrouver votre argent perdu. Bien évidement, ils réclament des frais de « dossier » ! Les escrocs derrière une « recovery room » sont souvent les mêmes voleurs que dans le cadre de la fraude initiale. Ils peuvent aussi revendre leur « pigeon » à d’autres malveillants. « Tout investisseur qui a déjà été victime d’une fraude à l’investissement doit être conscient que les fraudeurs sont susceptibles de le viser à nouveau ou de revendre ses données. » confirme la FSMA.

Cybersécurité, Mise à jour, Securite informatique

Ordinateur au ralenti – Vérifiez votre programme antivirus faiblard

Peu de choses sont aussi irritantes qu’un ordinateur ralenti (1). Les causes sont nombreuses, les plus courantes étant les logiciels malveillants, trop de programmes ou d’applications fonctionnant en parallèle, ou encore une connexion Internet lente. Toutefois, ces éléments ne sont pas toujours la cause profonde d’un système lent. Trop souvent, un programme antivirus de qualité médiocre est le vrai frein au fonctionnement d’un appareil. Les programmes antivirus sont censés accélérer les ordinateurs, mais ironiquement les programmes de qualité médiocre consomment des ressources système importantes sans contenir efficacement les menaces.

Les marques font la différence

Sur une note plus positive, il est possible d’utiliser un bon antivirus qui n’aura pas une incidence aussi négative sur le fonctionnement de votre système (2). Vous pouvez vérifier l’efficacité des différents programmes antivirus en ligne.

Selon une analyse d’un organisme de notation antivirus, les trois meilleurs programmes antivirus pour 2018 sont Norton, Comodo et Nano. Ces marques auront moins d’effet sur les performances de votre système tout en faisant un excellent travail en termes de sécurité et de vie privée. Les programmes ont été testés sur des paramètres tels que la vitesse, la fiabilité, les caractéristiques techniques, la facilité d’utilisation et le prix. Bien qu’il y ait de nombreux programmes gratuits, la réalité est que ces programmes ne sont généralement pas à la hauteur pour sécuriser un appareil sans trop peser sur ses ressources système. Et ces programmes gratuits peuvent souvent être accompagnés de logiciels malveillants qui vont encore impacter la vitesse et l’efficacité.

Conseils pour un ordinateur plus rapide

Quand il s’agit des performances de votre ordinateur, une approche minimaliste peut très bien fonctionner. Ironiquement, les gens installent trop de programmes (y compris des programmes destinés à accélérer les appareils) qui ralentissent le périphérique lui-même. Obtenez un programme antivirus et un VPN de haute qualité. Ils prendront soin de vos problèmes de sécurité tout en maintenant un niveau de performance acceptable.

Si vous avez une connexion Internet rapide et vous demandez encore pourquoi votre système fonctionne lentement, essayez de couper votre protection antivirus (3). Si cela fonctionne mieux avec l’antivirus coupé, alors il est peut-être temps d’investir dans une meilleure forme de protection qui ne prend pas autant de ressources système. Vous pouvez surveiller la consommation de ressources de chaque application via le gestionnaire de tâches, et vous pourriez être surpris(e) par les résultats.

Ressources utilisées pour écrire cet article :

  1. https://www.computerhope.com/issues/ch000179.htm
  2. https://fr.safetydetective.com/best-antivirus/
  3. http://shockform.com/disable-antivirus/
Cybersécurité

Les malwares les plus actifs en France

Le Global Threat Index pour le mois de novembre 2018 affiche les 10 malwares les plus actifs en France. Toujours en tête CoinHive, le faiseur de cryptomonnaie.

Bien que les cryptominers continuent de dominer le classement, ce rapport révèle que le botnet Emotet a atteint pour la première fois le top 10 du Global Threat Index. En effet, au cours du mois de novembre, les chercheurs de Check Point ont découvert plusieurs campagnes visant à le diffuser. Emotet a été utilisé comme cheval de Troie bancaire, mais son utilisation a récemment changé : il permet désormais aux hackers de déployer d’autres malwares.

Sa diffusion par le biais de courriels contenant des objets, liens et pièces jointes sur le thème de Thanksgiving a aussi vu sa prévalence augmenter de 25 % par rapport au mois précédent. Comme mentionné, les logiciels malveillants de cryptomining continuent de dominer la tête du classement. Coinhive est ainsi le malware le plus répandu au monde depuis un an. Au cours des 12 derniers mois, on estime en effet que 24% des entreprises mondiales ont été touchées par ce cryptominer.

Voici le Top 10 des malwares les plus actifs en France au mois de novembre

Banque, Communiqué de presse, Cybersécurité, double authentification, Securite informatique

Authentification forte : les commerçants pas au courant des nouvelles réglementations qui entreront en vigueur en 2019

2 commentaires

Les commerçants doivent se préparer à fournir une authentification forte (SCA) pour éviter l’insatisfaction des clients.

Le 13 décembre 2018 – L’essor du e-commerce est une bouée d’oxygène pour de nombreux commerçants. Cependant, une étude Mastercard ciblant un petit groupe de e-commerçants en Europe a révélé que 75% des commerçants en ligne en Europe ne sont potentiellement pas au courant d’une nouvelle norme de sécurité qui entrera en vigueur l’année prochaine.[1]

Conçu pour améliorer l’expérience des paiements numériques, EMV 3-D Secure (ou EMV 3DS) va ouvrir une nouvelle ère de sécurité pour les transactions en ligne et permettra à l’authentification de bénéficier d’un standard prenant en compte les nouvelles technologies telles la biométrie. Malgré ces changements, seuls 14% de cet échantillon de commerçants en ligne européens ont déjà implémenté SCA, et 51% déclarent ne pas pouvoir être prêts pour septembre 2019 ou n’ont aucun plan pour le supporter.

Le SCA sera obligatoire en vertu de la DSP2 à compter de septembre 2019. Cependant, avant cela, les commerçants en ligne doivent être préparés. Ci-dessous, deux actions que les e-commerçants doivent effectuer avant l’été 2019 :

Contacter leur acquéreur ou leur fournisseur de services de paiement (PSP) pour s’assurer que leur entreprise est prête et enregistrée dans Identity Check.
Accompagner leurs clients en les informant des changements qui seront apportés à leur expérience de paiement en en soulignant les avantages (plus besoin de se rappeler de mots de passe et une réduction probable de la fraude).

Authentification biométrique

Parallèlement, les banques enregistreront également leurs titulaires de carte au sein d’Identity Check et leur offriront des méthodes d’authentification améliorées, dont l’authentification biométrique.

Dans le but d’offrir aux consommateurs une expérience de paiement en ligne plus fluide, Mastercard déploie Mastercard® Identity Check™, une solution d’authentification de nouvelle génération basée sur EMV 3DS qui offre une expérience de paiement en ligne plus fluide pour les consommateurs. Avec un très grand nombre de consommateurs habitués à payer en un seul clic, cette nouvelle solution Mastercard est conçue pour minimiser les perturbations et les frictions inutiles au moment du paiement. Identity Check répond aux exigences SCA de la Directive sur les Services de Paiement 2 (DSP2) qui sera applicable à partir du 14 septembre 2019 dans 31 pays européens.

Milan Gauder, Executive Vice President, Services, Mastercard Europe affirme : « Le e-commerce continue de croître plus rapidement que les achats physiques et, bien que ce soit extrêmement positif pour les commerçants en ligne, cela exige d’eux de s’assurer que les transactions numériques sécurisées et transparentes. Nous avons mené à bien la première transaction EMV 3DS en septembre. Nous sommes ravis de migrer notre solution Identity Check avec EMV 3DS, en utilisant des méthodes d’authentification en temps réel telles que les mots de passe dynamiques, la biométrie (incluant la reconnaissance d’empreintes digitales, faciales, d’iris et vocale), pour offrir une expérience en ligne plus sécurisée et adaptée à l’avenir du e-commerce. »

Paiement en ligne

Avec des taux d’approbation plus faibles et des taux de fraude plus élevés, l’écart entre les achats e-commerce et en magasin demeure un problème. Le taux de fraude pour les paiements en ligne est dix fois plus élevé que pour les transactions sur un terminal de paiement en Europe, ce qui a un impact négatif sur l’utilisation et l’attrition.

Pour se préparer au déploiement de Mastercard® Identity Check™, Mastercard a lancé une phase pilote dont les résultats indiquent que la nouvelle solution permet de réduire la fraude, de diminuer le nombre de refus de cartes et de faciliter l’authentification pour le consommateur. Non seulement l’expérience utilisateur est optimisée, mais les profits des commerçants et des émetteurs ont également augmenté.

« Avec le commerce en ligne qui devient la norme, et de nouvelles exigences réglementaires, il est nécessaire de proposer des solutions innovantes pour s’assurer que les e-commerçants continuent à satisfaire leurs clients. Avec la possibilité d’échanger entre les commerçants et les émetteurs 10 fois plus d’informations que de messages d’authentification aujourd’hui, et avec les nouvelles fonctionnalités mobiles, nous relevons la barre en matière d’authentification« , a ajouté Milan Gauder.