En matière de paiement, la tokenisation est le remplacement d’éléments sensibles comme le PAN (Primary Account Number ou numéro figurant au recto de votre carte bancaire) par des éléments moins sensibles appelés tokens (ou jetons) liés à des appareils (mobiles, tablettes, IoT).
L’enrôlement (ou la demande d’émission d’un jeton associé un PAN) est à la charge des banques. Si un token est piraté dans un smartphone, il ne peut servir pour faire des transactions en ligne. De plus, vous avez une seule carte de paiement mais plusieurs jetons associés. En cas de perte ou de vol d’un des appareils, les autres éléments de paiement fonctionnent. Seul le token volé sera désactivé mais pas les autres moyens de paiement. Concrètement, une fois vos cartes de paiement Visa ou MasterCard digitalisées, elles sont intégrées dans des wallets (ou portefeuilles électroniques) de paiements tels que Apple Pay, Android Pay ou Samsung Pay pour éviter que les numéros de carte bancaire circulent en clair dans des systèmes de paiement sur mobile.
S’agissant des jetons d’authentification, il s’agit d’utiliser des tokens plutôt que les login et mots de passe pour s’authentifier sur les services en ligne. Lorsqu’une personne se connecte à son compte Google ou Facebook, un jeton d’authentification est généré et stocké dans un fichier cookie du navigateur de l’utilisateur. Lorsque l’utilisateur accède à nouveau au site Google ou Facebook, au lieu de lui demander d’entrer à nouveau ses identifiants, le navigateur de l’utilisateur donne au site le jeton d’authentification de l’utilisateur. Les pirates informatiques ont compris qu’ils pouvaient voler ces jetons au lieu des login et mots de passe des utilisateurs. De telles attaques sont connues sous le nom d'”attaques de rejeu”, ou replay attack. L’Internet Engineering Task Force (IETF) vient d’approuver 3 nouvelles normes destinées à améliorer la sécurité des jetons d’authentification contre les replay attacks :
- RFC 4871 – The Token Binding Protocol Version 1.0
- RFC 4872 – Transport Layer Security (TLS) Extension for Token Binding Protocol Negotiation
- RFC 4873 – Liaison par jeton sur HTTP (Token Binding over HTTP)
L’idée est de créer une connexion entre le dispositif de l’utilisateur et le jeton. Même si un pirate parvient à enregistrer un jeton, il ne sera pas en mesure d’exécuter une attaque de rejeu à moins d’utiliser le même appareil ou la configuration de la machine sur lequel le jeton a été créé.
https://www.zdnet.fr/actualites/la-tokenisation-ou-l-art-de-rendre-le-paiement-indolore-39846226.htm
https://www.zdnet.com/article/ietf-approves-new-internet-standards-to-secure-authentication-tokens/
https://www.zdnet.fr/actualites/la-tokenisation-ou-l-art-de-rendre-le-paiement-indolore-39846226.htm
https://medium.com/@sherryhsu/session-vs-token-based-authentication-11a6c5ac45e4