DSP2 et Authentification forte

6 janvier 2021

Généralisation de l’authentification forte pour l’accès à un service à forte audience                                                   

Avec l’authentification forte, un client doit prouver son identité, en réunissant deux facteurs parmi les suivants :  

  • un facteur de connaissance (mot de passe, questions secrètes, …) que seul le client connait; 
  • un facteur de possession (téléphone mobile, carte à puce, …) que seul le client possède;
  • une caractéristique personnelle du client (empreinte digitale, reconnaissance vocale ou faciale).

Les opérations sensibles de la Banque à Distance sont déjà protégées par une authentification forte, avec la DSP2 elle devient obligatoire pour l’accès à la banque à distance comme le précise l’article 10 du règlement de la DSP2.

Le service d’accès à la Banque à Distance devient ainsi le premier service à forte audience à imposer une authentification forte dès son accès

 En effet si les services des géants de l’Internet (Google, Apple, Facebook, Amazon, Microsoft, Twitter …) recourent déjà à l’authentification dite à double facteur (ou forte), pour protéger des opérations sensibles ou en cas de suspicion de fraude ou d’utilisation illégitime ; les banques la mettent en œuvre dès l’accès à leur service
L’enjeu est double : la sécurisation du service Banque à Distance tout en maintenant le haut niveau d’accessibilité et de qualité de service.  
Le choix des solutions d’authentification forte tient donc compte des paramètres suivants : 

  • utilisable par le plus grand nombre (la cible concernée se compte en millions de clients),
  • depuis un équipement non maîtrisable (Smartphone, tablette, PC, OS obsolète, …),
  • en toute circonstance (24/7, à l’étranger, …). 

De la confusion entre authentification non rejouable et authentification forte

Le choix des solutions d’authentification forte a soulevé de nombreuses questions : notamment l’usage ou non de l’OTP SMS (envoi d’un SMS incluant un code à usage unique) comme facteur d’authentification. Pour rappel, le 3DS mettait en œuvre une authentification non rejouable. 
Une authentification non rejouable met en œuvre un code à usage unique (OTP : One Time Password) généré pour l’opération à valider transmis généralement par SMS ou bien généré par une application mobile (Google Authenticator, …). 
En 2018, l’EBA publie un avis précisant que le paiement 3DS se reposant uniquement sur la génération d’un OTP transmis par SMS n’est pas une authentification forte. 
Cet avis de l’Autorité bancaire européenne a entraîné de la confusion sur les solutions possibles d’authentification forte. Les articles de presse stipulant la fin du SMS pour le 3DS dans le cadre de la DSP2, une question se posait : est-ce que l’utilisation de l’OTP transmis par SMS était possible comme facteur de possession dans le cadre de la DSP2 ?  

Ce n’était pas la fin de l’OTP SMS qu’il fallait comprendre mais bien la fin de l’usage unique de l’authentification non rejouable pour le 3DS, car il met en œuvre uniquement un facteur de possession (le mobile servant à recevoir l’OTP). Le renseignement des informations carte bancaire (numéro de carte bancaire + fin de validité + CVV) n’étant pas considéré comme un facteur de « connaissance » car ils peuvent être usurpés facilement car recopiés sur la carte (phishing, …) ; ce n’est pas un secret. 

De nombreuses autres questions sur la conformité ou l’usage de certains facteurs d’authentification ont été soulevées: doit-on ressaisir le mot de passe en complément de l’OTP SMS pour chaque opération de Banque à distance ? Le mode code du lecteur CAP (appareil lecteur de carte à puce autonome) est-il conforme ? L’accès à une boîte aux lettres est-elle un facteur de possession ?

Les réponses sont venues au fur et à mesure via différentes publications de l’EBA : opinion, Q/A … 

Pour le réseau des établissements Banque Populaire et des établissements Caisse d’Epargne, les solutions d’authentification retenues pour les services d’accès à la banque à distance sont : 

  • Le mot de passe (ou code confidentiel) à la Banque à Distance (facteur de connaissance) + OTP reçu par SMS .
  • Le lecteur CAP : le facteur de connaissance est le code PIN de la carte bancaire (facteur de possession) utilisé avec le lecteur CAP.
  • Sécur’pass : solution d’authentification forte sur mobile dont le facteur de connaissance est le code PIN client et le facteur de possession est l’équipement mobile (smartphone) sur lequel est installé Sécur’pass.

Pour les paiements carte, la solution Sécur’pass répond à la mise en conformité DSP2 des paiements carte ; une solution alternative sera proposée pour équiper les clients non détenteurs de smartphone. 

L’œuf et la poule  

Une fois les solutions d’authentification fortes précisées et leur cadre d’utilisation définies, la mise en œuvre nécessite l’attribution de ces solutions d’authentification via unprocessus d’enrôlement.  
La DSP2 dans son article 25 précise qu’une fourniture du moyen d’authentification fort à distance nécessite une authentification forte. La problématique de l’œuf et la poule est donc posée : comment enrôler nos clients à Sécur’pass en assurant un haut niveau de sécurité ? 
La définition du parcours de l’enrôlement Sécur’pass a fait l’objet de mesures de sécurité afin de pouvoir protéger cette opération et de lutter contre les tentatives d’enrôlement frauduleux et des évolutions permanentes sont nécessaires afin de s’adapter à la menace permanente des fraudeurs. 

En conclusion  

Si l’exigence « authentification forte pour l’accès au compte de paiement » peut paraître simple: sa mise en œuvre pour un volume important de clients, dès l’accès du service et en ayant l’assurance de la conformité aux textes, tout en maintenant un haut niveau de service, est un véritable challenge. 

 

contact blog: soraya.fleury@bpce.fr