Blog OneSpan

PSD2: Est-ce la fin de l'authentification basée sur sms?

Cybersécurité et authentification forte
Frederik Mennes, janvier 30, 2017

Les banques et les fournisseurs de services de paiement se fient parfois aux SMS pour vérifier l'identité d'une personne qui souhaite effectuer un virement ou confirmer un paiement. Ils envoient un message SMS avec un mot de passe unique (OTP) au téléphone mobile de la personne, et l'utilisateur doit entrer ce OTP dans l'application de la banque ou fournisseur de service de paiement.

Dans ce billet de blog, je discute si l'authentification par SMS sera toujours acceptable lorsque les exigences d'authentification client forte (SCA) en vertu de PSD2 entrer en vigueur. En août 2016, l'Autorité bancaire européenne (ABE) a publié son projet de proposition de norme technique réglementaire (RTS) sur l'authentification des clients (SCA). Mon analyse est basée sur cet addenda à PSD2. Nous nous attendons à ce que le RTS soit finalisé par l'ABE dans les prochaines semaines.

Afin de répondre à la question de savoir si l'authentification par SMS sera acceptable, nous considérons trois scénarios pour l'utilisation de SMS. Nous discutons ensuite lequel des trois scénarios répond aux exigences du RTS.

Scénario 1 : authentification à deux appareils (2da)

Dans ce cas, l'utilisateur dispose de deux appareils indépendants : un appareil pour accéder à un site Web bancaire ou à une application bancaire, et un autre appareil pour s'authentifier ou un paiement. Le premier appareil, que nous appelons l'appareil bancaire,est généralement un PC de bureau, un ordinateur portable ou un appareil mobile (par exemple téléphone, tablette) qui exécute une application bancaire mobile. Le deuxième appareil, que nous appelons le dispositif d'authentification,est un appareil mobile qui reçoit le SMS. Nous supposons que l'utilisateur s'authentifise vers le site Web bancaire ou l'application en utilisant le OtP à partir du SMS, et un mot de passe ou un nip.

Cette solution est conforme à la RTS lorsqu'elle est utilisée pour se connecter au site Web ou à l'application bancaire. La solution peut être conforme à la signature d'une transaction, mais seulement si deux conditions sont remplies. Tout d'abord, le message SMS doit contenir les détails de la transaction (p. ex. montant, bénéficiaire). Deuxièmement, le contenu du message SMS doit être protégé contre les altérations pendant le transit et la réception par l'appareil mobile. Cette dernière exigence n'est pas facilement satisfaite par les messages SMS, car ils ne sont généralement pas protégés.

Par conséquent, en général, l'authentification par SMS peut être utilisée pour le logon, mais pas pour la signature.

Scénario 2 : authentification à deux applications (2aa)

Contrairement à 2da, cette approche ne repose pas sur deux appareils différents, mais sur deux applications différentes fonctionnant sur le même appareil mobile. Les applications interagissent via ce qu'on appelle la communication app-to-app. Nous nous référons à ces applications comme l'application bancaire et l'application d'authentification respectivement. L'application d'authentification demande et reçoit les messages SMS.

L'authentification standard basée sur SMS n'est pas conforme pour deux raisons. Tout d'abord, le SMS peut être intercepté et modifié en transit. Deuxièmement, le SMS peut être intercepté par des logiciels malveillants sur l'appareil mobile, ce qui signifie que l'exigence de ségrégation du canal de la RTS n'est pas remplie.

La solution peut être rendue conforme si le contenu du message SMS est protégé à l'aide d'un canal sécurisé de bout en bout qui se termine dans l'application d'authentification, de sorte que seule l'application peut déchiffrer le SMS. Toutefois, ce n'est pas l'approche standard.

Scénario 3 : authentification d'une application (1aa)

Dans ce cas, l'utilisateur utilise non seulement un seul appareil, mais aussi une seule application pour initier et authentifier les transactions. L'utilisateur n'utilise pas un appareil ou une application d'authentification séparé.

Ce scénario n'est pas conforme aux exigences PSD2,car il n'y a pas de ségrégation de canal. L'utilisation du SMS n'influence pas cela.

Conclusion

Nous attendons toujours les exigences finales sur l'authentification client forte sous PSD2. Toutefois, si rien ne change par rapport à la proposition actuelle, il est tout à fait clair que l'authentification par SMS aura du mal à répondre aux exigences, en particulier celles liées à l'approbation des paiements.

Apps application mobile DSP2 sms authentification par SMS
Frederik Mennes
Frederik Mennes

Frederik dirige le Security Competence Center de OneSpan, où il est responsable des aspects de sécurité des produits et de l'infrastructure de OneSpan. Il possède une connaissance approfondie des technologies d'authentification, de gestion des identités, de réglementation et de sécurité pour les applications cloud et mobiles.

Haut de page