SMS OTP ne répond pas aux exigences de liaison dynamique PSD2, selon EBA

Frederik Mennes, mars 11, 2021

Les banques et les prestataires de services de paiement s'appuient parfois sur les SMS pour authentifier une personne qui souhaite se connecter à un compte de paiement en ligne ou confirmer un paiement. Ils envoient un message SMS avec un mot de passe à usage unique (OTP) sur le téléphone mobile de l'utilisateur, et l'utilisateur saisit cet OTP dans l'application de paiement de la banque ou du prestataire de services de paiement. Dans le cas d'un paiement, le SMS contient généralement également des informations de paiement, telles que le montant et le bénéficiaire du paiement.

En plus de l'OTP, les prestataires de services bancaires et de paiement demandent parfois à l'utilisateur de saisir un mot de passe statique dans l'application de paiement, afin que l'utilisateur soit authentifié à l'aide d'un système d'authentification à deux facteurs. Le SMS OTP représente un facteur de possession («quelque chose que seul l'utilisateur possède»), tandis que le mot de passe statique représente un facteur de connaissance («quelque chose que seul l'utilisateur sait»).

Depuis l'introduction de la directive révisée sur les services de paiement (PSD2) et des normes techniques réglementaires (RTS) sur l'authentification forte du client (SCA) et la communication commune et sécurisée (CSC), de nombreuses discussions ont eu lieu sur la conformité des systèmes d'authentification basés sur SMS avec les exigences SCA. En particulier, la question s'est posée de savoir si SMS OTP peut répondre aux exigences de liaison dynamique de PSD2, qui stipulent comment authentifier les paiements. Ces exigences stipulent essentiellement que:

  • Le code d'authentification doit être calculé sur certaines informations de paiement (au moins le montant et le bénéficiaire du paiement); et
  • La confidentialité, l'intégrité et l'authenticité des informations de paiement doivent être protégées tout au long du processus d'authentification.

Voyons plus loin si SMS OTP est conforme aux exigences de connexion au compte d'une part, et de liaison dynamique d'autre part.

Cas 1: SMS OTP pour la connexion au compte

La première question que nous explorons plus avant est de savoir si SMS OTP est conforme aux exigences SCA pour la connexion aux comptes de paiement. Cette question a en fait déjà été abordée par l'Autorité bancaire européenne (ABE) dans un Avis publié le 21 juin 2019, ainsi que via le Outil de questions-réponses sur le livre de règles unique de l'ABE .

L'avis précise que le SMS peut être considéré comme un élément de possession valide. Plus spécifiquement, la carte SIM de l'appareil mobile qui reçoit le SMS est un élément de possession valide. Cela implique que les mots de passe à usage unique (OTP) délivrés par SMS peuvent être utilisés pour construire un mécanisme d'authentification fort lorsqu'ils sont combinés avec un deuxième facteur (par exemple un mot de passe ou un code PIN). En d'autres termes, SMS OTP est conforme aux exigences SCA de PSD2, comme nous l'avons préconisé dans le passé .

Cependant, cela ne signifie pas que c'est une bonne idée d'utiliser SMS OTP pour la connexion au compte, car les SMS sont soumis à une pléthore de vulnérabilités de sécurité. Plus précisément, les messages SMS peuvent être interceptés / modifiés en exploitant les vulnérabilités du protocole SS7 sous-jacent et par des logiciels malveillants résidant sur les appareils mobiles.De plus, les attaques par échange de cartes SIM permettent aux criminels de prendre le contrôle du numéro de téléphone portable d'une victime afin que le criminel reçoive les messages SMS destinés à la victime. Les attaques contre les mécanismes d'authentification des systèmes bancaires en ligne exploitant ces vulnérabilités sont bien connues et existent depuis de nombreuses années.

Cas 2: SMS OTP pour liaison dynamique

Cependant, l'avis ne traite pas de SMS OTP dans le contexte de la liaison dynamique et ne précise pas si SMS OTP satisfait aux exigences de la liaison dynamique. Depuis le exigence de liaison dynamique stipule que la confidentialité, l'intégrité et l'authenticité des informations de paiement doivent être protégées, et comme le contenu des SMS n'est pas protégé, on peut s'attendre à ce que SMS ne répond pas aux exigences de liaison dynamique . Cependant, jusqu'à présent, il n'y avait pas d'avis clair de l'ABE sur ce sujet.

Afin de clarifier la situation, en décembre 2018, j'ai demandé à l'ABE via leur Outil de questions-réponses sur le livre de règles unique si SMS OTP répond aux exigences de la liaison dynamique. La semaine dernière, plus de 2 ans plus tard, l'ABE a fourni un répondre . Les deux derniers paragraphes de la réponse sont les plus pertinents:

Dans le cas où le SMS est utilisé pour la transmission d'un OTP mais ne contient pas le code d'authentification ni aucune information de paiement telle que le bénéficiaire ou le montant de la transaction, l'émetteur ne serait pas tenu en vertu de l'article 5, paragraphe 2, du Règlement délégué pour garantir la confidentialité, l'authenticité et l'intégrité des informations transmises via le SMS.
Dans le cas où le SMS contient le code d'authentification et / ou des informations de paiement, telles que le bénéficiaire ou le montant de la transaction, alors que l'émetteur peut toujours utiliser un SMS OTP pour prouver l'élément de possession comme précisé au paragraphe 25 de l'avis de l'ABE sur les éléments de l'authentification forte du client en vertu de PSD2 (EBA-Op-2019-06) et Q&A 2018_4039, conformément à l'article 5, paragraphe 2, du règlement délégué, l'émetteur devrait prendre toutes les mesures de sécurité nécessaires pour garantir la confidentialité, l'authenticité et l'intégrité du code d'authentification et / ou des informations de paiement transmises via le SMS.

Ces paragraphes peuvent probablement être interprétés comme suit:

  • Si un SMS ne contient pas d'informations de paiement ou de code d'authentification, le SMS n'a pas besoin d'être protégé. C'est logique, car il n'y a pas de données sensibles dans le SMS. Curieusement, ce paragraphe fait une distinction entre «OTP» et «code d'authentification», ce qui est remarquable car l'OTP est normalement le code d'authentification.
  • Si les informations de paiement sont présentes dans le SMS, le SMS lui-même ne fournit pas une sécurité suffisante et les informations contenues dans le SMS doivent être protégées. Cela signifie effectivement que le simple envoi d'un SMS avec les informations de paiement et le code d'authentification ne suffit pas pour répondre aux exigences de liaison dynamique. Il serait possible de crypter le contenu du SMS, mais la question se pose alors de savoir comment le contenu peut être décrypté sur le téléphone mobile - c'est loin d'être trivial et nécessite probablement une application mobile, ce qui évite la raison de l'utilisation de SMS dans le première place.

Conclusion

Nous pouvons résumer la conformité de SMS OTP avec les exigences SCA de PSD2 comme suit:

  • SMS OTP pour la connexion est conforme à PSD2
  • SMS OTP pour la liaison dynamique n'est pas conforme à PSD2, sauf si le contenu du SMS est protégé (mais ce n'est pas simple)

OneSpan a beaucoup travaillé avec les banques et autres institutions financières pour les aider à répondre aux exigences PSD2 pour la SCA et la liaison dynamique. Nous comprenons que pour les services financiers, il est important d'avoir un partenaire de sécurité doté d'une profonde expertise PSD2, associé à une volonté de simplifier l'expérience client. Découvrez comment ces banques ont mis en œuvre la liaison dynamique et leurs flux d'utilisateurs d'authentification de manière conforme et pratique:

Odeabank - France Améliorer l'expérience d'authentification pour les utilisateurs d'applications mobiles

Odeabank - France Améliorer l'expérience d'authentification pour les utilisateurs d'applications mobiles

Pour protéger leur application bancaire mobile, Odeabank a intégré la OneSpan Mobile Security Suite avec tous les éléments constitutifs nécessaires pour protéger une application.

Télécharger

Frederik dirige le Security Competence Center de OneSpan, où il est responsable des aspects de sécurité des produits et de l'infrastructure de OneSpan. Il possède une connaissance approfondie des technologies d'authentification, de gestion des identités, de réglementation et de sécurité pour les applications cloud et mobiles.