Est-ce la fin de l’authentification par SMS ?

Force est de se demander si l’authentification par SMS sera toujours valable lorsque l’Authentification forte du client voulue par la directive européenne sur les services de paiement va entrer en vigueur.


Auteur: Frederik Mennes Security Strategy de VASCO Data Security

Les banques et les fournisseurs de services de paiement en ligne proposent parfois les SMS pour vérifier l’identité d’une personne qui souhaite effectuer un transfert ou confirmer un paiement. Ils envoient donc un SMS avec un mot de passe à usage unique sur le mobile de cette personne et cette dernière doit entrer ce mot de passe à usage unique dans l’appli bancaire ou sur le site de paiement en ligne.

Une question se pose toutefois : est-ce que l’authentification par SMS sera toujours valable lorsque l’Authentification Forte du Client (SCA) voulue par la PSD2 (la directive concernant les services de paiement) va entrer en vigueur. En août 2016, l’Autorité bancaire européenne (ABE) a publié son projet de RTS (Regulatory Technical Standard) pour l’authentification forte du client.

Afin de savoir si l’authentification basée sur le SMS va continuer d’exister, nous allons décrire 3 scénarios. Et déterminer lequel des trois répond le mieux aux exigences de cette RTS.

Scenario n°1 : L’authentification à deux devices (2da)

Dans ce cas de figure, l’utilisateur doit utiliser deux devices différents : l’un pour accéder au site de sa banque ou à l’appli bancaire, et l’autre pour s’authentifier lui-même ou authentifier un paiement. Le premier device, appelé device bancaire, est en général un PC, un ordinateur portable ou un mobile (smartphone, tablette). Le second device, appelé device d’authentification, est un appareil mobile qui reçoit le SMS. Nous supposons ici que l’utilisateur s’authentifie sur le site ou l’appli bancaire en utilisant le mot de passe à usage unique envoyé par SMS (un mot de passe ou un PIN).

Cette solution est conforme à la RTS lorsqu’utilisée pour se connecter sur le site ou l’appli bancaire. La solution peut être conforme pour signer une transaction, mais seulement si deux conditions sont réunies. Premièrement, le SMS doit contenir les détails de la transaction (par exemple : montant et bénéficiaire). Deuxièmement, le contenu du SMS doit être protégé entre l’envoi et la réception sur le mobile. Cette dernière obligation n’est pas évidente à respecter puisque les SMS sont rarement protégés.

Par conséquent, l’authentification basée sur le SMS peut être utilisée pour se connecter, mais pas pour signer.  

Scenario n°2 : L’authentification à deux applis (2aa)

Contrairement au premier scenario, cette approche ne nécessite pas deux devices différents, mais deux applis qui fonctionnent en même temps sur le même device. Les applis interagissent via la communication « app-to-app ». On appelle respectivement ces applis : l’appli bancaire et l’appli d’authentification. L’appli d’authentification demande et reçoit le SMS.

L’authentification standard basée sur le SMS n’est pas conforme pour deux raisons. La première, le SMS peut être intercepté et modifié pendant son envoi. Deuxième raison, le SMS peut être intercepté par un malware sur le mobile, ce qui n’est pas conforme avec le principe de séparation des canaux de la RTS.

Cette solution peut devenir conforme si le contenu du message SMS est protégé grâce un canal sécurisé de bout en bout qui se termine par l’appli d’authentification, de sorte que seule l’appli peut décrypter le SMS. Mais il ne s’agit pas l’approche standard.

Scénario n°3 :  L’authentification à une appli (1aa)

Dans ce cas, l’utilisateur utilise un seul device et une seule appli pour initier et authentifier ses transactions. L’utilisateur n’utilise pas d’autre device ou appli d’authentification.

Ce scenario n’est pas en conformité avec les exigences de la PSD2, car il n’y a pas de séparation des canaux. L’utilisation du SMS ne le permet pas.  

Conclusion

Nous attendons toujours la version finale des conditions de l’Authentification Forte du Client voulue par la PSD2. Si rien n’évolue par rapport au projet publié, il est évident que l’authentification basée sur le SMS va rencontrer de grosses difficultés pour répondre aux exigences de la nouvelle directive, particulièrement en ce qui concerne le processus de validation des paiements.

SMS

Annonces Google