authentification

Le rapport annuel de l’Observatoire de la sécurité des moyens de paiement au titre de l’exercice 2017 publié par la Banque de France mardi 10 juillet 2018 se propose cette année d’apporter un éclairage opérationnel sur les conditions de mise en œuvre des dispositions de la DSP2[1] entrée en vigueur le 13 janvier 2018 et de son jeu de règles associées, les RTS[2] qui seront applicables au plus tard le 14 septembre 2019.

Ce faisant, il vient contredire certaines idées communément reçues. Que doit-on en retenir ?

  • Un dispositif d’authentification forte est requis lorsqu’un titulaire de compte accède à son compte de paiement en ligne (pour une consultation, pour un virement ou un paiement par carte ou pour l’exécution d’une action sensible telle que l’enregistrement d’un bénéficiaire de virement), contrairement à la pratique qui prévaut aujourd’hui par la délivrance à l’utilisateur d’un identifiant et d’un mot de passe re-jouable.
  • Au sens de la DSP2, l’authentification forte est une authentification à au moins deux facteurs, c’est-à-dire reposant sur l’utilisation de deux éléments ou plus appartenant à deux catégories distinctes de facteur d’authentification (possession, connaissance, inhérence). Qu’en est-il de l’OTP[3] SMS dans le cadre d’un paiement à distance 3DS, par exemple ? Selon l’EBA[4], le paiement 3DS générant un OTP SMS est considéré comme ne réunissant que le facteur de la « possession » (celui du mobile servant à recevoir le code à usage unique), le numéro de carte bancaire + fin de validité + CVV[5] ne pouvant être assimilé à un facteur de « connaissance » dans la mesure où ils peuvent être aisément recopiés. Le rapport illustre son propos par des exemples de combinaison possible, avec sur fond vert les combinaisons vérifiant l’utilisation de deux facteurs et sur fond orange, les combinaisons vérifiant l’utilisation d’un seul facteur :
Facteurs Connaissance Possession Inhérence
Inhérence Saisie d’un code confidentiel + capture d’une empreinte biométrique Lecture d’une empreinte biométrique sur un terminal reconnu comme appartenant au payeur Lecture d’une empreinte biométrique sur un terminal non reconnu comme appartenant au payeur
Possession Carte ou mobile du payeur + code confidentiel Lecture de carte, porte-clés, mobile,… sans saisie de code confidentiel (paiement sans contact) ou saisie d’un OTP SMS  
Connaissance Identifiant + code confidentiel
  • L’établissement teneur de compte doit permettre l’accès aux TPP[6] par son interface à l’ensemble des données relatives aux comptes de paiement disponibles via ses interfaces utilisateurs (site web, application mobile…). Qui plus est, la profondeur d’historique des données doit être identique entre les interfaces mises à disposition par la banque à ses clients et l’interface de communication dédiée aux TPP. Au titre du service d’initiation de paiement, cette interface doit donner l’accès à l’ensemble de la gamme d’opérations de paiement proposée par l’établissement au travers de ses applications client. Ainsi, il apparaît plus que raisonnable d’avoir une analyse comparative entre les fonctionnalités proposées aux clients par le site de banque digitale et les données exposées aux TPP par l’interface de communication.
  • Un jeu de règles d’exemption à l’authentification forte permet à l’établissement teneur de compte de s’en affranchir, dans certains cas.
Facteurs d’exemption A l’initiative de qui ? Dans quelles conditions ?
Service d’information sur le compte de paiement PSP[7] du payeur Délai inférieur à 90 jours depuis le dernier accès
Paiements sans contact PSP du payeur ou du bénéficiaire Jusqu’à 50 € / paiement ou 5 opérations successives ou 150 € de paiement cumulé
Automates de transport et de parking PSP du payeur ou du bénéficiaire Néant
Bénéficiaire de confiance PSP du payeur Création préalable d’une liste de bénéficiaires de confiance
Transactions récurrentes PSP du payeur ou du bénéficiaire Série d’opérations de même montant et même bénéficiaire (abonnement, loyer…)
Virement à soi-même PSP du payeur Néant
Paiements de faible montant PSP du payeur ou du bénéficiaire Jusqu’à 30 € / paiement ou 5 opérations successives ou 100 € de paiement cumulé
Protocoles de transfert d’ordres sécurisés PSP du payeur Néant
Paiements à faible risque PSP du payeur ou du bénéficiaire Selon taux de fraude observé par tranche de montant d’opération et selon l’instrument de paiement

Sur un plan opérationnel, il apparaît que toutes ces règles ne pourront probablement pas être mises en œuvre en même temps pour le 14 septembre 2019, certaines d’entre elles (analyse de risque, bénéficiaire de confiance) ayant un impact sur les parcours clients (top bénéficiaire de confiance dans la banque digitale) ou nécessitant l’implémentation d’outils dont le teneur de compte ne dispose peut-être pas aujourd’hui (analyse de risque en temps réel).

En conclusion, l’éclairage à l’interprétation des RTS DSP2 apporté par le rapport annuel de l’Observatoire de la sécurité des moyens de paiement de la Banque de France renforce la conviction que les établissements financiers devront disposer d’un moteur de règles d‘authentification forte interfacé nativement avec la « porte d’entrée » de leur système d’information recevant les appels des acteurs tiers, en amont du déclenchement de l’exécution des traitements métiers requis.

[1] Directive sur les Services de Paiement 2
[2] Normes techniques réglementaires de la directive
[3] One Time Password
[4] European Banking Authority
[5] Numéro de vérification de carte
[6] Third Party Provider – tiers de paiement
[7] Prestataire de Service de Paiement