Logo

Site non disponible sur ce navigateur

Afin de bénéficier d'une expérience optimale nous vous invitons à consulter le site sur Chrome, Edge, Safari ou Mozilla Firefox.

adnews
  • Réglementation
  • Identification
  • Europe

L’identité numérique et l’authentification forte, clés de voûte de la stratégie européenne des paiements

LES FAITS : 

Dans sa communication sur future stratégie européenne en matière de paiements, la Commission Européenne a mis en exergue l’importance de l’identité numérique pour le développement de paiements numériques interopérables et de confiance pour les consommateurs et pour consolider sa volonté d’accès, à tous les consommateurs, de solutions de paiement instantané sécurisées. La révision du règlement eIDAS, qui est en cours pour une nouvelle publication en 2021, pourrait permettre de faciliter cette interopérabilité transfrontalière des paiements, via l’ouverture au privé à des solutions d’authentification forte de moyens d’identification électronique et/ou à la création de nouveaux fournisseurs de service de confiance, exclusivement dédiés à l’authentification forte (potentiellement dérivés d’un moyen d’identification électronique déjà qualifié).

Extrait : « Afin de faciliter l’interopérabilité transfrontalière et nationale, la Commission étudiera, en étroite coopération avec l’ABE, les moyens de promouvoir l’utilisation de l’identité électronique (eID) et de solutions fondées sur des services de confiance, en s’appuyant sur le perfectionnement de l’eIDAS, en vue de favoriser le respect des exigences de la DSP2 en matière d’authentification forte du client pour la connexion aux comptes et l’initiation des opérations de paiement. »

NOTRE DECRYPTAGE :

L’état de l’art :

Les exigences de la RTS DSP2 et du règlement eIDAS  (dès le niveau dit substantiel) se basent en effet sur un état de l’art commun pour l’authentification forte : une authentification multifactorielle, avec deux facteurs de deux catégories différentes, associés à une authentification dynamique pour déjouer les attaques de rejeu et les attaques de l’homme du milieu lors de transactions à distance. Cette authentification dynamique doit, dans le cas d’un achat, être en plus reliée par un lien dynamique au paiement : montant, commerçant. De nos jours une authentification par simple mot de passe n’est plus suffisante pour garantir la sécurité.

Même en satisfaisant les critères exigeants de l’ANSSI ou du NIST, l'institut américain qui établit les normes pour la cybersécurité, (et qui ne partagent pas la même philosophie en particulier pour la périodicité du renouvellement de mot de passe), « cracker un mot de passe à la vitesse de l’éclair » va devenir un jeu d’enfant avec de nouvelles technologies qui permettent par force brute de tester 669 millions de mots de passe par seconde.

Dans son livre blanc sur la stratégie européenne des paiements, la Commission Européenne invite ainsi les prestataires de service de paiement à évoluer vers « les facteurs d’authentification les plus sûrs, en s’éloignant, dans la mesure du possible, des éléments transmissibles (par exemple, les mots de passe statiques) et des technologies et canaux de communication plus anciens qui sont sujets aux attaques (par exemple, les SMS) ». Pour le recours au SMS OTP, son usage pourrait être conditionné à la mise en œuvre de mesures de sécurité pour en limiter les vulnérabilités et fiabiliser le facteur de possession qu'est son mobile, comme celles préconisées par le guide de l’autorité britannique en charge de la sécurité et l’autorité européenne pour la cybersécurité l’ENISA.

L’enjeu règlementaire :

Par la directive DPS2 et sa règlementation technique associée (RTS), l’authentification forte va devenir la norme pour toute relation à distance, aussi bien pour l’accès au compte, que pour autoriser les opérations accessibles en ligne, ou pour tout paiement en ligne. La date de mise en application de l’obligation de l’authentification forte pour les initiations de paiement à distance, prévue initialement au 14 septembre 2019, a été repoussée de 15 mois par l’EBA pour permettre à l’écosystème des paiements de finaliser les deux challenges que sont :

  • la mise au disposition à tous les clients d’un moyen d’authentification forte,
  • le raccordement de tous les commerçants au nouveau protocole EMV sécurisé 3D-Secure permettant de gérer les cas d’exception autorisés en relation avec l’ACS de l’émetteur du moyen de paiement.

Lors de sa dernière publication de l’observatoire de la sécurité des moyens de paiement, la Banque de France autorise l’écosystème de paiements à une mise en conformité pour le 31 mars 2020, dans un cadre de flexibilité encadrée, pour tenir compte du contexte de la crise pandémique actuelle.

A ce jour seulement 46 % des porteurs de cartes actifs sur Internet ont été enrôlés pour leur permettre de s’authentifier conformément aux nouvelles exigences, et seulement 64 % des commerçants ont été raccordés à 3D-Secure. En vue d’assurer la conformité règlementaire, la Banque de France invite les banques acquéreurs à raccorder tous les commerçants a minima dans un flux obligatoire 3DS V1, même si les flux de messages associés aux exemptions (complets dans 3DS V2) ne sont pas encore opérationnels.

Le cadre contractuel et la fraude :

L’enjeu de conformité règlementaire pour les banques n’est pas uniquement de satisfaire les objectifs cibles des autorités nationales et européennes, mais aussi de satisfaire le contrat qui les lie à leur client. L’authentification forte sert de preuve légale du consentement explicite donné par l’utilisateur, soit au partage de ses données avec un TPP, soit à une opération de paiement.

Faute d’avoir remis à son client un moyen d’authentification satisfaisant, toutes les exigences de sécurité de la RTS/DSP2 (démontré par un audit indépendant), le client ne pourra plus être accusé de négligence en cas de fraude. Or la négligence est le seul motif permettant aux banques d’être exonérées de la fraude comme le souligne une association de consommateurs.  Rappelons également que cette fraude risque d’augmenter de plus de 20 % avec l’augmentation (accrue par le COVID) de la pratique des transactions en ligne. Par ailleurs la fraude sur le paiement instantané, que l’Europe souhaite généraliser, pourrait être aussi source de fortes inquiétudes, suite au retour d’expérience de la Grande Bretagne. Le niveau de fraude d’un mode de paiement instantané déjà fort répandu de type Request y atteint des sommes très importantes : 200 millions de livres au premier semestre 2020.

 

Quelle solution d'authentification forte ?

En fait il n’y a pas une seule solution mais un panel de solutions (moyens physiques ou immatériels, moyens externes ou internes au poste de connexion, protocoles avec code OTP ou défi/réponse de type FIDO ou signature avec cryptographie asymétrique…). Comme l’indique la Banque de France dans sa vidéo de présentation de l’authentification forte, la solution doit être adaptée aux équipements et aux habitudes des utilisateurs. Pour 70 % de la population équipée d’un mobile de dernière génération, la solution pourra être proposée sous forme d’une application ergonomique et fluide. Mais une alternative à l’application mobile doit toujours être proposée au client. La banque devra aussi assister son client pour la bonne prise en main d’un dispositif par exemple de type physique qui pourrait être adapté au besoin de personnes faisant leurs achats en ligne à leur domicile.

Cette approche de la Banque de France (de solutions adaptables et non discriminatoires liées à un type d’équipement) rejoint la demande de la Commission Européenne pour des solutions inclusives.

Extrait : 

« Il importe tout autant de veiller à ce que les méthodes d’authentification choisies par les prestataires de services de paiement qui reposent exclusivement sur des dispositifs technologiques de pointe n’entraînent pas l’exclusion de catégories de clients, telles que les personnes âgées. »

Par ailleurs, la solution devra être aussi acceptable pour le client. Ainsi, même si la biométrie permet de fluidifier les usages, le client pourrait la refuser. Il devra se voir proposer une solution sans recours obligé à de la biométrie, qu’elle soit inhérente (caractéristiques physiques), comportementale active (par exemple biomécanique telle que la frappe d’un clavier) ou comportementale passive (telle que le fingerprinting d’un équipement). En effet, conformément à l’article 9 du RGPD, toutes ces biométries nécessitent un consentement exprès basé sur une information éclairée et explicite de la personne.

Par ailleurs, une technique biométrique devra également être évaluée en termes de robustesse pour éviter les faux positifs. Ainsi pour le règlement eIDAS, le rapport de l’ENISA de mars 2020 mentionne que les techniques biométriques inhérentes peuvent présenter différentes vulnérabilités en lien avec le manque de fiabilité des capteurs biométriques sur les mobiles, de qualité très variable d’un fabricant à un autre. Ainsi les solutions d’identité sur mobile en Belgique (Itsme) et en Lettonie se sont vue accorder la notification eIDAS, mais avec la restriction de non recours à la biométrie comme facteur d’authentification.

Quant à la biométrie comportementale, pour l’heure elle n’est pas autorisée comme facteur d’authentification par le règlement eIDAS, même pour de l’authentification multifactorielle, notemment en raison de la facilité des fraudeurs à créer une fausse identité numérique.