Présentation
En anglaisRÉSUMÉ
Aujourd'hui, la banque, les services bancaires et le paiement ne se conçoivent pas sans Internet. L'activité bancaire repose sur la confiance et ses systèmes d'information doivent être sécurisés. Or l'authentification est une fonction de sécurité qui occupe une place centrale sur Internet et, par voie de conséquence, dans le monde bancaire. Après avoir rappelé la problématique de sécurité de l'informatique bancaire et les principaux concepts de l'authentification, nous présentons les principales solutions d'authentification employées pour la banque à distance. Nous détaillerons ensuite les deux formes du paiement sécurisé : le paiement de proximité et le paiement à distance. Enfin, nous analyserons en détail les modifications de l’usage de l’authentification entraînées par la directive européenne DSP 2 et la généralisation du Mobile Banking.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
Today, banking, banking services and payment are inconceivable without the Internet. The banking business is based on trust and its information systems must be secure. Authentication is a security function that plays a central role on the Internet and, consequently, in the banking world. After recalling the security issues of banking IT and the main concepts of authentication, we present the main authentication solutions used for remote banking. We will then detail the two forms of secure payment: local payment and remote payment. Finally, we will analyse in detail the changes in the use of authentication brought about by the European DSP 2 directive and the generalisation of Mobile Banking.
Auteur(s)
-
Pascal THONIEL : Fondateur et Directeur R&D de la société NTX Research SA
INTRODUCTION
Que ce soit pour un accès à des réseaux locaux ou étendus, que ces réseaux soient filaires ou sans fil, que ces réseaux soient en architecture client-serveur ou répartie, l’authentification des équipements, des objets connectés, des services, des applications et des personnes est nécessaire. Tout ce qui concerne l’accès privé, c’est-à-dire le contrôle de la délivrance de l’information et de la fourniture des ressources réservées à certaines entités, passe par l’authentification.
Or, les procédures d’authentification classiques par identifiant et mot de passe ne suffisent plus. Sur les réseaux locaux comme sur Internet, l’espionnage des communications est l’attaque numéro un. L’espionnage des communications permet de récupérer facilement et pratiquement sans risque de détection l’identifiant et le mot de passe que l’utilisateur envoie au serveur ou bien ses codes d’accès lors d’une connexion légitime. Rien de plus simple ensuite pour l’attaquant que de se connecter à son tour en rejouant les mêmes valeurs et ainsi, de se faire passer pour un utilisateur autorisé. Il s’agit là d’une usurpation d’identité.
La deuxième catégorie d’attaque consiste à espionner, simuler, copier ou voler le moyen d’authentification de l’utilisateur. La troisième concerne la récupération des éléments d’authentification des utilisateurs (crédentiels) stockés du côté du serveur d’authentification. La quatrième est l’ingénierie sociale qui vise à tromper la vigilance de l’utilisateur en l’amenant astucieusement à révéler volontairement ses mots de passe, ses codes ou ses secrets, ou bien encore à les deviner. En effet, les utilisateurs choisissent souvent des mots de passe faibles (courts, simples, classiques) ou qui leur correspondent (prénom des enfants, dates de naissance, nom du chien de la maison, nom de l’artiste ou du sportif préféré…) afin de les retenir plus facilement. Enfin, la cinquième est l’attaque dite « à force brute » qui consiste par exemple à essayer systématiquement et automatiquement tous les mots de passe possibles ou toutes les clés de chiffrement jusqu’à trouver les bons. Comme les mots de passe utilisés sont souvent courts (moins de 8 caractères) et simples (lettres et chiffres), l’attaque à force brute est parfois très efficace.
L’enjeu est d’autant plus considérable que ces menaces qui pèsent sur les particuliers, les entreprises, les organisations, les administrations et leur système d’information sont bien réelles. Elles sont aussi lourdes de conséquences en cas de concrétisation, c’est-à-dire d’attaque réussie par intrusion. Une intrusion frauduleuse dans un système d’information par absence de contrôle des utilisateurs ou par usurpation de l’identité d’un utilisateur autorisé peut avoir des conséquences graves, à la hauteur des droits d’accès et d’action alloués à cet utilisateur.
Ces généralités s’appliquent complètement à l’informatique bancaire actuelle qui constitue le socle des services bancaires accessibles en tous lieux et à chaque instant grâce à la puissance d’Internet. Comme les enjeux financiers ont toujours été parmi les plus importants, l’authentification n’est donc pas une fonction de sécurité à négliger. Elle occupe à l’évidence une place centrale dans la sécurité bancaire d’aujourd’hui.
La récente directive européenne relative aux services de paiements dans le marché intérieur, dite DSP 2, a notamment pour objectif le renforcement de la sécurité des opérations bancaires. Dans ce cadre, elle impose la mise en place d’une authentification forte.
MOTS-CLÉS
KEYWORDS
bank | authentication
VERSIONS
- Version archivée 1 de avr. 2010 par Pascal THONIEL
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
3. Banque à distance et authentification
Les services de banque à distance facilitent la vie des clients des banques, qu’ils soient des particuliers, des professionnels ou des entreprises. L’efficacité de ces services, leur accès depuis n’importe quel lieu, 7 jours sur 7 et 24 heures sur 24 apportent des gains de temps et de productivité considérables, aux clients comme aux banquiers.
Mais cette facilité d’accès pour l’utilisateur légitime doit aller de pair avec un contrôle rigoureux de cet accès pour éviter l’intrusion de personnes indélicates ou malveillantes. Il est donc indispensable d’authentifier le client qui se connecte à son compte bancaire en ligne. De même, le client doit être en mesure d’authentifier le serveur de sa banque, et de ne pas se faire piéger par hameçonnage (phishing) [4].
Il existe de nombreuses méthodes d’authentification [9] mais certaines ne sont pas adaptées ou peu répandues pour l’authentification des clients des services de banque à distance. Nous nous intéressons aux méthodes en usage dans le monde bancaire aujourd’hui.
3.1 Mot de passe statique
Pour authentifier un utilisateur sur un réseau et principalement aujourd’hui sur Internet, l’utilisation d’un identifiant couplé à un mot de passe statique est largement la solution la plus répandue.
HAUT DE PAGE3.1.1 Faiblesses du mot de passe statique (normal, chiffré, haché)
Un mot de passe est dit statique (en opposition à dynamique) lorsqu’il ne change pas d’une transaction à l’autre. C’est le cas de la plupart des mots de passe que nous utilisons quotidiennement. Nous le mémorisons et renseignons le champ mot de passe avec sa même valeur chaque fois qu’il nous est demandé. Pourtant cette solution n’est pas sûre.
L’écoute de ligne est une des attaques les plus efficaces aussi bien sur les réseaux locaux d’entreprise que sur Internet. De plus, elle est très difficile à déceler. La faiblesse des mots de passe utilisés est l’autre problème majeur : les bons mots de passe sont très difficiles à mémoriser par les utilisateurs, donc peu utilisés en pratique.
Lorsque le mot de passe statique est envoyé en clair sur le réseau depuis le terminal de l’utilisateur vers...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Banque à distance et authentification
BIBLIOGRAPHIE
-
(1) - BANQUE DE FRANCE - Supervision et réglementation bancaire, Bâle 2 – CRD, - juillet 2009.
-
(2) - - Consortium pour la Fédération de Cercles de Confiance et les usages sécurisés de l’identité, http://www.fc2-consortium.org (2009).
-
(3) - LEROUGE (P.) - Blog « Le paiement mobile », - mobilepayment.typepad.com/paiement_mobile/ (2009).
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive