Les clés publiques sécurisent les transactions par SMS

Par 23 février 2010
Mots-clés : Smart city

Pour rendre les applications de m-paiement via messages texte plus sûres, des chercheurs iraniens proposent de recourir à l'utilisation de clés stockées dans la carte SIM des téléphones.

L’utilisation croissante des SMS pour des applications de type paiement par mobile impose de renforcer la sécurité de ce canal, affirment des chercheurs iraniens de l’université de sciences et de technologies de Téhéran. Baptisé SSMS (pour Secure SMS), le protocole qu’ils proposent recourre à une infrastructure à clé publique. Sa mise en place nécessite l’installation d’une application programmée en Java et s’intégrera à des applications de m-paiement existantes. Le protocole se déroule en deux étapes principales : une phase d’initialisation qui s’effectue lors de l’installation de l’application et une seconde d’échange de messages. Une troisième phase facultative de vérification est prévue en cas de conflits entre les parties. Lors de la première étape, chaque utilisateur se connecte au système. Une clé publique et son certificat associé ainsi qu’une clé privée sont alors générés pour chacun.
Clés et certificat sont stockés dans la carte SIM
Les clés sont stockées directement dans la carte SIM du téléphone après avoir été encryptées. Le certificat contient un fil d’information qui lie l’utilisateur à sa clé publique et permet de l’identifier. La clé publique, le certificat et l’identifiant unique de chaque utilisateur sont également stockés dans un répertoire LDAP*. Tous les participants impliqués dans une transaction par SSMS doivent faire certifier leur clé publique. Un protocole de vérification en ligne de certificat (OCSP) est utilisé pour vérifier que ceux-ci sont encore valides. Lorsque deux utilisateurs cherchent à effectuer une transaction, le premier va effectuer une requête par SMS auprès de l’OCSP en utilisant le numéro de téléphone de l’autre partie pour obtenir sa clé publique et son certificat.
Rendre le micro-paiement par SMS plus sûr
Les renseignements demandés sont communiqués par l’OCSP qui signe numériquement son envoi. L’application contenue dans le téléphone vérifie la validité des renseignements fournis avant d’envoyer le SMS au destinataire final. Ce message est automatiquement daté par l’opérateur réseau de l’expéditeur. L’application du second utilisateur va à son tour vérifier l’ensemble des informations fournies en faisant appel au protocole de vérification en ligne et au numéro de téléphone de l’initiateur de la transaction. Quand c’est fait, la transaction peut avoir lieu. Rendre les moyens de paiement par SMS plus sûrs est de nature à permettre une utilisation plus large de ce type de service. Pour l’heure, le m-paiment par messages texte se limite souvent à des micro transactions.
* Lightweight Directory Access Protocol

Mentions légales © L’Atelier BNP Paribas