dimanche 3 janvier 2016

Fintech

Les fintech bouleversent le marché de la finance. Bon gré, mal gré, les géants du secteur s'adaptent. Mais ils ne sont pas les seuls : le législateur, en France et en Europe, doit adapter les règlementations très lourdes qui encadrent le marché à l'arrivée de ces nouveaux acteurs. Malgré quelques effets collatéraux, ces nouvelles lois sont plutôt favorables aux start-up. 


Quand Goldman Sachs crée son propre bitcoin

La banque d'affaires américaine a déposé un brevet pour développer une crypto-monnaie qui sera appelée SETLCoin, selon plusieurs médias américains. L'idée est avant tout d'utiliser cette devise virtuelle pour sécuriser certaines transactions sur les marchés.

Le paiement par carte sous la loupe du Chaos Computing Club

Les hackers du Chaos Computing Club démontrent les failles de deux protocoles utilisés dans les systèmes de paiement par carte en Allemagne, notamment.
Sécurisé les lecteurs de cartes bancaires utilisés par les commerçants ? Peut-être suffisamment pour le commun des consommateurs mais pas autant qu’il le faudrait aux yeux des hackers réunis lors la récente conférence du Chaos Computing Club. Karsten Nohl (de la firme berlinoise Security Research Labs) et son associé Fabian Braünlein ont profité de l’événement organisé par l’association allemande d’experts en sécurité informatique pour exposer leurs trouvailles sur deux protocoles de communication exploités par les lecteurs de cartes : ZVT (Zahlungverkehrsterminal) et Poseidon. Le premier est utilisé en jonction avec les systèmes de caisses en point de vente. Le second fait le lien avec les banques, en tant qu’implémentation du standard ISO 8583 (spécifications d’échange de messages dans le cadre de transactions financières), détaille ITespresso.fr.
ZVT était, à l’origine, conçu pour gérer le transport de données sur connexion série. Aujourd’hui utilisé sur protocole Ethernet, y compris sans fil (essentiellement en Wi-Fi), il n’embarque pas de mécanisme d’authentification : si un tiers arrive à se positionner sur le même réseau, il peut, par une attaque de type « man-in-the-middle », obtenir les informations associées à une carte – y compris le code PIN – pour ensuite la cloner. Les lecteurs disposent en théorie d’une zone sécurisée dont le code PIN ne sort jamais. Mais il existe une faille dans l’une des fonctions de ZVT, qui permet d’afficher du texte sur l’écran. Une faille qui pourrait typiquement être exploitée pour demander la saisie du PIN, lequel serait donc transmis en clair.
Car les caractères affichés sont liés à un code d’authentification de message (MAC), destiné à prouver que les données proviennent d’un tiers de confiance et qu’elles n’ont subi aucune modification. Mais ce MAC est mal implémenté : il est possible de le récupérer par le biais d’une attaque temporelle, qui consiste à estimer et analyser le temps mis pour effectuer certaines opérations cryptographiques. Dans le cas présent, le terminal de paiement met un peu plus de temps à accepter le bon MAC qu’à en rejeter un mauvais…

S’attaquer aux lecteurs de cartes

ZVT peut aussi être détourné pour s’en prendre directement à un commerçant plutôt qu’au porteur de carte. Chaque lecteur dispose d’un identifiant unique qui permet de déterminer son propriétaire. Il a aussi un numéro de port pour la communication des données, le tout étant configuré par la banque, en association avec un compte où sont déposés les fonds collectés. ZVT permet de reconfigurer ces éléments dès lors que l’on se trouve sur le même réseau que le terminal.
Modifier l’identifiant requiert un mot de passe, mais celui-ci est fixe et largement accessible en ligne. Une réinitialisation modifie des éléments comme le nom du magasin, mais le protocole Poseidon permet de restaurer l’ensemble pour cacher plus efficacement l’attaque.

Copier les lecteurs

La troisième démonstration effectuée par Karsten Nohl et Fabian Braünlein se base uniquement sur Poseidon. Elle implique l’achat, par le pirate, de n’importe quel lecteur de cartes qui sera configuré à l’identique de celui de la victime. Pour faire la jonction avec l’organisme qui traite les paiements, le terminal du marchand envoie son identifiant via un port de communication particulier et reçoit, en réponse, des données de configuration chiffrées.
Communiqués de manière séquentielle, les identifiants sont de surcroît lisibles sur chaque reçu imprimé. Une aubaine pour des tiers malveillants. Quant aux données chiffrées, elles sont protégées par un mot de passe qui est généralement le même pour tous les marchands associés à un même organisme de gestion des paiements (on trouve les principaux sur le Web).

Force brute

Pour ce qui est de la configuration des communications, il suffit de procéder par force brute, en testant chaque port jusqu’à trouver celui qui répond. Reste alors à reprogrammer le lecteur de cartes acheté. Ce lecteur peut ensuite être utilisé pour des « remboursements » abusifs : en d’autres termes, débiter de l’argent sur le compte du marchand, sans forcément qu’il y ait eu auparavant une transaction en sens inverse.
ZVT est surtout utilisé en Allemagne, mais quelques autres pays d’Europe l’ont adopté. L’alternative OPI (Open Payment Initiative) est plus récente, mais ne propose toujours pas d’authentification alternative. Quant aux fonctions de commande et de configuration à distance, elles ne sont pas nativement disponibles… mais de nombreux marchands les ont ajoutées via des extensions, note Reuters.

En savoir plus sur http://www.silicon.fr/le-paiement-par-carte-sous-la-loupe-du-chaos-computing-club-134616.html#dlWTzBqbUG5A0TI3.99

jeudi 28 mai 2015

Les nouveaux chantiers de l'EPC

Dans le cadre de sa mission de promouvoir un espace de paiement efficace et sécurisé en Europe, le conseil européen des paiements (EPC) propose sur son blog une consultation afin d'identifier les chantiers prioritaires.

Sont alors proposés les thèmes suivants :

  • Les paiements mobiles

  • Les paiements instantanés

  • La régulation des paiement
 
  • Les monnaies virtuelles

  • La cyber-sécurité

A ce jour, la tendances est largement en faveur des paiements instantanés et des paiements mobiles :



 

mardi 24 mars 2015

Le "payment factory" boosté par le SEPA

Pour des projets bien menés, les premiers bénéfices se concrétisent par une réduction du nombre de comptes pour 82 % et une diminution des frais bancaires de l'ordre de 73 %



La société de conseil spécialisée Utsit a récemment lancé une étude, dont les résultats sont présentés lors de la manifestation Universwiftnet.

On y apprend que 14 % des répondants à l’enquête revendiquent une véritable « payment factory » : une entité centralisatrice réalise pour le compte des filiales des paiements de tous types (fournisseurs, paie, taxes, etc). « Ces paiements sont massivement faits en France et en Europe et beaucoup moins hors de cette zone », souligne toutefois Hervé Postic, directeur général d’Utsit.

Pour beaucoup d’entreprises, la « centralisation de trésorerie » s’entend comme une centralisation de l’information de trésorerie ou de la communication bancaire. Avec comme premiers bénéfices attendus la réduction du nombre de comptes (pour 82 %) et la diminution des frais bancaires (73 %). Il s’avère qu’aucune des entreprises interrogées n’est parvenue à supprimer toute solution complémentaire à leur outil bancaire centralisé.

La principale raison invoquée pour ne pas aller au-delà de la mutualisation de la communication bancaire ? Un choix délibéré d’organisation (75 %). « De nombreux groupes souhaitent conserver localement des responsabilités et des compétences en matière de cash management », estime Hervé Postic.

Viennent ensuite les incompatibilités informatiques et les impossibilités fiscales ou juridiques (66 %), mais aussi l’absence de retour sur investissement au-delà de la zone SEPA.

source

jeudi 22 janvier 2015

SEPA 2015 - 3 Predictions For Corporates

This time last year adoption rates for The Single Euro Payments Area (SEPA), particularly for direct debits, were still woefully low. For those who are unaware, SEPA is a payment-integration initiative from the European Union for the simplification of bank transfers denominated in euro. Its aim is to improve the efficiency of cross-border payments.



With adoption rates low, the European Payments Council was set to announce an extension to the original 1st February 2014 deadline (the date by which organisations were expected to have taken measures to implement SEPA into their current systems), to 1st August 2014. A year on and the end dates are firmly behind us, and despite the late scramble, adoption seems to have been largely achieved.  For corporates, many who had to comply in a hurry and without capitalising on potential benefits, what does the new-year hold from a SEPA perspective?



End-to-End Straight-Through-Processing can be improved
With more time to reflect and a new financial year on the horizon, the finance and treasury functions can now look to build on the investment in SEPA. Changes can be made to ERP and other software to provide better integration with the electronic banking systems; this will improve the submissions process and deliver real end-to-end straight-through-processing.



SEPA will enable efficiencies and cost-savings
With SEPA offering a level playing field in the Eurozone for both domestic and cross-border payments, corporates can look to streamline and rationalise their banking processes and relationships. It may no longer be necessary to hold accounts in all the Eurozone countries in which they operate. For some the simplifying of account structures which SEPA enables may help them to move to a shared service centre model for their finance function and benefit from the attendant efficiencies and cost savings that allows.



Data quality will start to have a negative impact
Many organisations took the wise step to validate the bank account data they held before converting it to SEPA ready IBAN (International  Bank Account Number) and to date they should have seen a very low error rate. Bank account data however ages and incorrect bank account data leads to payment failure.  Errors occur either when new data is added that is not validated, or when existing data becomes invalid due to factors such as bank mergers or branch closures. As this process happens slowly over time it will only be during 2015 that the effects of invalid bank account data will become apparent.



There are ways organisations can avoid this problem however. Organisations should check that their  provider not only delivers an automated service for validating and converting payments data currently held in domestic format  to IBAN and BIC for SEPA purposes, but that they also provide a service alongside this to validate bank account data, which helps to decrease the risk of payment failure.

source

jeudi 15 janvier 2015

Formations SEPA et moyens de paiement

Le concept de facteur de succès soulève un intérêt certain depuis sa popularisation dans les années 80 par Porter. La recherche des facteurs de succès dans une industrie et / ou pour une entreprise donnée est désormais considérée comme une étape de l'analyse stratégique.

Les travaux de recherche et d'analyse à posteriori montrent et démontrent que LE FACTEUR déterminant est l’humain. La montée en compétence et la formation des équipes est crucial pour la réussite de tout dispositif technique, informatique et organisationnel.

Fort de ce constat, RXPAY propose des formations riches et variées qui couvrent l'ensemble de l'exploitation des moyens de paiement et des échanges bancaires.

Vous trouverez notamment :

jeudi 8 janvier 2015

SWIFT annonce un rabait de 10% pour ses utilisateurs

SWIFT bien d'annoncer un rabait de 10% sur les prix de sa messagerie et ceux au profit de ses utilisateurs durant l'année 2014.

Ceci peut représenter une somme de 30 Millions d'euro. Cette somme concerne les utilisateurs de la messagerie SWIFT dans le monde entier. Les versements débuteront en mars 2015.



Yawar Shah, Président, SWIFT a déclaré :
"La forte croissance du trafic combinée à l'efficacité opérationnelles innovantes permet SWIFT de redonner à sa communauté d'utilisateurs,"

et il ajoute :

"En plus des 10 pour cent de rabais, les utilisateurs de SWIFT ont également réalisé des économies de coûts supplémentaires sous la forme de réductions de prix structurelles substantielles. Ce est grâce à ces programmes de prix stratégiques que SWIFT continuera à réduire les coûts pour ses clients ".

Rappelons qu'en 2010, SWIFT a défini une stratégie pluriannuelle visant à réduire les prix de message de moitié d'ici 2015.


vendredi 2 janvier 2015

Bonne année 2015

Bonne année à toutes et à tous et merci pour vos messages et vos encouragements.

 Remarquons que :

2015 = 48x48 - 17x17 

et que :

2015 = 84x84 - 71x71