Présentation

Article

1 - PROBLÉMATIQUE DE SÉCURITÉ DE L’INFORMATIQUE BANCAIRE RENFORCÉE PAR LA DIRECTIVE EUROPÉENNE DSP 2

2 - AUTHENTIFICATION

3 - BANQUE À DISTANCE ET AUTHENTIFICATION

4 - PAIEMENT DE PROXIMITÉ

  • 4.1 - Sécurité de la carte à puce
  • 4.2 - Sécurité de la carte à puce sans contact

5 - PAIEMENT À DISTANCE SUR INTERNET

  • 5.1 - Enjeux
  • 5.2 - Carte bancaire et paiement à distance sur Internet
  • 5.3 - Amélioration de l’approche traditionnelle
  • 5.4 - Autres formes de paiement

6 - LE MOBILE BANKING EN 2020

  • 6.1 - Généralisation du Mobile Banking
  • 6.2 - Sécurité des applications bancaires

7 - MISE EN ŒUVRE DE L’AUTHENTIFICATION FORTE DANS LA DSP 2

  • 7.1 - Présentation
  • 7.2 - Les exceptions
  • 7.3 - Authentification forte proposée par les banques dans le cadre de la DSP 2
  • 7.4 - Analyse de la sécurité de l’authentification mise en œuvre

8 - CONCLUSION

9 - GLOSSAIRE

Article de référence | Réf : H5536 v2

Mise en œuvre de l’authentification forte dans la DSP 2
Usage de l’authentification dans le domaine bancaire

Auteur(s) : Pascal THONIEL

Date de publication : 10 févr. 2021

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais English

RÉSUMÉ

Aujourd'hui, la banque, les services bancaires et le paiement ne se conçoivent pas sans Internet. L'activité bancaire repose sur la confiance et ses systèmes d'information doivent être sécurisés. Or l'authentification est une fonction de sécurité qui occupe une place centrale sur Internet et, par voie de conséquence, dans le monde bancaire. Après avoir rappelé la problématique de sécurité de l'informatique bancaire et les principaux concepts de l'authentification, nous présentons les principales solutions d'authentification employées pour la banque à distance. Nous détaillerons ensuite les deux formes du paiement sécurisé : le paiement de proximité et le paiement à distance. Enfin, nous analyserons en détail  les modifications de l’usage de l’authentification entraînées par la directive européenne DSP 2 et la généralisation du Mobile Banking.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Pascal THONIEL : Fondateur et Directeur R&D de la société NTX Research SA

INTRODUCTION

Que ce soit pour un accès à des réseaux locaux ou étendus, que ces réseaux soient filaires ou sans fil, que ces réseaux soient en architecture client-serveur ou répartie, l’authentification des équipements, des objets connectés, des services, des applications et des personnes est nécessaire. Tout ce qui concerne l’accès privé, c’est-à-dire le contrôle de la délivrance de l’information et de la fourniture des ressources réservées à certaines entités, passe par l’authentification.

Or, les procédures d’authentification classiques par identifiant et mot de passe ne suffisent plus. Sur les réseaux locaux comme sur Internet, l’espionnage des communications est l’attaque numéro un. L’espionnage des communications permet de récupérer facilement et pratiquement sans risque de détection l’identifiant et le mot de passe que l’utilisateur envoie au serveur ou bien ses codes d’accès lors d’une connexion légitime. Rien de plus simple ensuite pour l’attaquant que de se connecter à son tour en rejouant les mêmes valeurs et ainsi, de se faire passer pour un utilisateur autorisé. Il s’agit là d’une usurpation d’identité.

La deuxième catégorie d’attaque consiste à espionner, simuler, copier ou voler le moyen d’authentification de l’utilisateur. La troisième concerne la récupération des éléments d’authentification des utilisateurs (crédentiels) stockés du côté du serveur d’authentification. La quatrième est l’ingénierie sociale qui vise à tromper la vigilance de l’utilisateur en l’amenant astucieusement à révéler volontairement ses mots de passe, ses codes ou ses secrets, ou bien encore à les deviner. En effet, les utilisateurs choisissent souvent des mots de passe faibles (courts, simples, classiques) ou qui leur correspondent (prénom des enfants, dates de naissance, nom du chien de la maison, nom de l’artiste ou du sportif préféré…) afin de les retenir plus facilement. Enfin, la cinquième est l’attaque dite « à force brute » qui consiste par exemple à essayer systématiquement et automatiquement tous les mots de passe possibles ou toutes les clés de chiffrement jusqu’à trouver les bons. Comme les mots de passe utilisés sont souvent courts (moins de 8 caractères) et simples (lettres et chiffres), l’attaque à force brute est parfois très efficace.

L’enjeu est d’autant plus considérable que ces menaces qui pèsent sur les particuliers, les entreprises, les organisations, les administrations et leur système d’information sont bien réelles. Elles sont aussi lourdes de conséquences en cas de concrétisation, c’est-à-dire d’attaque réussie par intrusion. Une intrusion frauduleuse dans un système d’information par absence de contrôle des utilisateurs ou par usurpation de l’identité d’un utilisateur autorisé peut avoir des conséquences graves, à la hauteur des droits d’accès et d’action alloués à cet utilisateur.

Ces généralités s’appliquent complètement à l’informatique bancaire actuelle qui constitue le socle des services bancaires accessibles en tous lieux et à chaque instant grâce à la puissance d’Internet. Comme les enjeux financiers ont toujours été parmi les plus importants, l’authentification n’est donc pas une fonction de sécurité à négliger. Elle occupe à l’évidence une place centrale dans la sécurité bancaire d’aujourd’hui.

La récente directive européenne relative aux services de paiements dans le marché intérieur, dite DSP 2, a notamment pour objectif le renforcement de la sécurité des opérations bancaires. Dans ce cadre, elle impose la mise en place d’une authentification forte.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-h5536


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais English

7. Mise en œuvre de l’authentification forte dans la DSP 2

7.1 Présentation

La deuxième directive sur les services de paiements, dite DSP 2, est une réglementation européenne. Selon la Commission européenne, son objectif est de « favoriser l’innovation, la concurrence et l’efficience » du marché et plus précisément de « moderniser les services de paiement en Europe au profit tant des consommateurs que des entreprises ».

La DSP 2 favorise l’ouverture des systèmes d’information des banques à de nouveaux acteurs (open banking). Dans ce contexte, elle vise le renforcement de la sécurité des paiements en ligne afin de lutter contre les fraudes et la cybercriminalité (usurpation d’identité). Tous les services de paiements en ligne sur l’Espace unique de paiement en euros (SEPA) sont concernés : les paiements avec carte ou sans, qu’ils émanent d’une banque, d’une fintech (fournisseur innovant de services financiers) ou d’un e-commerçant.

Initialement prévue pour le 14 septembre 2019, puis repoussée à mars 2020, la DSP 2 devra être opérationnelle sur l’ensemble des sites e-commerce avant le 1er janvier 2021. Un délai partagé par tous les pays de l’Espace économique européen.

Concrètement, la DSP 2 engage l’évolution du protocole d’authentification 3-D Secure vers sa version 2.0. Cette nouvelle version doit être mise en place par la banque du consommateur et non plus laissée à l’initiative du e-commerçant. Elle impose dorénavant la mise en place d’un système d’authentification forte qui n’est plus seulement recommandé mais devient obligatoire.

Article 97 paragraphe 1

« Les États Membres veillent à ce qu’un prestataire de services de paiement applique l’authentification forte du client lorsque le payeur :

  • Accède à son compte de paiement en ligne

  • Imite une opération de paiement électronique

  • Exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse »

La DSP 2 définit le procédé SCA, pour Strong Consumer Authentification, à savoir l’authentification du client impliquant au moins deux facteurs indépendants permettant l’autorisation sécurisée au service tels que :

  • un élément...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Mise en œuvre de l’authentification forte dans la DSP 2
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - BANQUE DE FRANCE -   Supervision et réglementation bancaire, Bâle 2 – CRD,  -  juillet 2009.

  • (2) -    -  Consortium pour la Fédération de Cercles de Confiance et les usages sécurisés de l’identité, http://www.fc2-consortium.org (2009).

  • (3) - LEROUGE (P.) -   Blog « Le paiement mobile »,  -  mobilepayment.typepad.com/paiement_mobile/ (2009).

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS