Comarch tPro Mobile

La solution tPro Mobile pour sécuriser les transactions bancaires mobiles

La solution tPro Mobile est une plateforme mobile prenant en charge l’authentification forte des utilisateurs ainsi que l’autorisation des transactions conformément à la directive PSD2. Il s’agit en fait d’une application externe et de bibliothèques de développement à intégrer à vos produits.


Ses mécanismes de sécurité, fondés sur le chiffrement fort, ainsi que ses mécanismes internes d’analyse du comportement de la plateforme, assurent un niveau élevé de sécurité mais aussi de convivialité. La solution tPro Mobile est assortie de nombreux outils empêchant des parties tierces de lancer des cyberattaques ou d’accéder à des données sensibles. Entièrement compatible avec OATH, l’application peut ainsi être utilisée comme deuxième facteur d’authentification pour des services tels que les courriels ou les réseaux sociaux.

Aperçu de tPro Mobile

Authentification


La plateforme offre une large palette de mécanismes d’authentification, des codes PIN classiques à la reconnaissance digitale et faciale. Totalement compatible avec OATH, tPro Mobile peut être utilisé comme composante supplémentaire pour l’A2F, notamment lorsqu’elle touche à des ressources sensibles telles que les courriels, les panneaux d’administration et les réseaux sociaux. Grâce aux bibliothèques de programmation fournies avec la plateforme, il est également possible d’intégrer rapidement la solution tPro Mobile à vos systèmes en place.

Autorisation


Ne signez que ce que vous voyez – tel est, en résumé, le leitmotiv de la plateforme tPro Mobile. Son mécanisme de détection des menaces en temps réel vous permet d’identifier facilement d’éventuels facteurs dangereux, par exemple, des lacunes dans la configuration ou des activités suspectes au sein de la plateforme même. Le système interactif d’entrée de données vous protège face aux modifications de données de transaction importantes, p. ex. l’IBAN ou le montant du transfert. Vous recevez les informations relatives aux activités au sein des ressources protégées via une notification PUSH (et non un SMS). L’architecture de la solution ainsi que la procédure de jumelage empêchent le clonage de la plateforme ainsi que son accès par des parties tierces non autorisées. Le mode hors-ligne vous permet de générer des codes d’autorisation pour les transactions, même lorsque votre appareil n’est pas connecté. De plus, la solution tPro Mobile met en place plusieurs mécanismes permettant de masquer les informations relatives aux résultats de certaines opérations sensibles (par exemple, l’entrée d’un code PIN).

Mode proactif


Afin de minimiser le risque de fraude, tPro Mobile propose de nombreuses possibilités d’autorisation des transactions. Il peut s’agir d’options standards – appuyer sur un bouton – ou plus interactives – où l’utilisateur doit réencoder des parties de données sensibles avant de confirmer la transaction. Un tel scénario implique réellement l’utilisateur dans le processus de transfert d’autorisations afin que les anomalies potentielles puissent être détectées avant le transfert effectif de l’argent. tPro Mobile peut également enregistrer les transactions hors ligne grâce à un code d’autorisation généré dynamiquement. Outre le chiffrement fort, d’autres mécanismes de contrôle, capables de détecter les menaces en temps réel, assurent la sécurité de l’utilisateur.

Sécurité

  • Authentification biométrique
  • Authentification par reconnaissance faciale faceID (iPhone X)
  • Authentification par reconnaissance digitale touchID
  • Mécanismes de contrôle de l’état interne de l’application
  • Détection des débridages Android (root)
  • Détection des débridages iOS (jailbrake)
  • Détection du mode débogage
  • Détection du mode simulation
  • Processus de jumelage à deux composantes (QR + SMS)
  • Communication chiffrée avec le serveur d’authentification
  • Cryptographie sur les courbes elliptiques

Conformité OATH

La solution tPro Mobile propose une authentification forte des utilisateurs ainsi qu’un système d’autorisation des transactions, se fondant sur les algorithmes HOTP, TOTP et OCRA adoptés par la collaboration Initiative for Open Authentication (OATH).

Les fonctionnalités de sécurité Comarch tPro Mobile

L.P.

Nom de la fonctionnalité

Description de la fonctionnalité

SDK

Application

1.

Assistant vocal

Vous permet de naviguer dans l’application grâce à des instructions vocales

X

V

2.

Anti-sabotage

Détecte les activités suspectes en temps réel

V

V

3.

Chiffrement fort

Protège les clés utilisateurs grâce à des algorithmes de chiffrement puissants quand le standard TPM n’est pas disponible

V

V

4.

Stockage sécurisé

Utilise un espace de stockage matériel dédié pour les données sensibles

V

V

5.

Identification des appareils

Prévient l’usurpation (spoofing) grâce à l’identification permanente

V

V

6.

Liaison d’appareils

Lie les utilisateurs aux appareils autorisés

V

V

7.

Canal sécurisé basé sur l’ECC

Chiffre la communication avec le serveur final grâce à la cryptographie ECC

V

V

8.

WYSIWYS

Ne signez que ce que vous voyez 

X

V

9.

Authentification par reconnaissance faciale

Vous authentifie grâce à la reconnaissance faciale

V

V

10.

Authentification par reconnaissance digitale

Vous authentifie grâce à votre empreinte digitale

V

V

11.

Prise en charge des codes QR

Prend en charge le jumelage sécurisé grâce à des codes QR

V

V

12.

Notifications PUSH

Utilise les notifications Push plutôt que des technologies plus anciennes, p. ex. le SMS

X

V

13.

Signature des transactions

Protège les données de vos transactions grâce au chiffrement fort

V

V

14.

Mode en ligne/hors-ligne

Autorise l’authentification de l’utilisateur et les transactions, même quand le téléphone mobile est déconnecté

V

V

15.

Mode interactif

Exige de réencoder une partie de l’IBAN et le montant pour éviter les fraudes

V

V

16.

Aide PIN

Informe en toute sécurité l’utilisateur d’une erreur potentielle lors de l’encodage de son code PIN

X

V

17.

Prévention des attaques au code PIN

Les pirates sont incapables de savoir si le code PIN encodé est correct ou erroné

X

V

Solutions de Comarch Transaction Protection

Nos clients Cybersécurité

Vous voulez en savoir plus ? Besoin d'un conseil ?

Dites-nous vos besoins sur votre projet et nous vous trouverons la solution idéale.