Rendre l'authentification forte pour les services PSD2 conviviale pour le client

Importance de la norme FIDO pour le Open Banking

La Payment Service Directive 2 pose de nouveaux défis au monde financier de l'UE. Les banques doivent notamment permettre à des tierces parties fournissant des services d'obtenir des informations sur les comptes en vue d'un traitement ultérieur. Cela nécessite le consentement du titulaire du compte au moyen d'une authentification forte.

teaser_psd2_287x191

La Payment Service Directive 2 (PSD2) exige que les banques de l'UE offrent des interfaces pour l'accès aux comptes clients. Cela permet aux fournisseurs tiers de fournir de nouveaux services interbancaires. Par l'ouverture des banques, l'UE espère créer des incitations à l'innovation et à la concurrence. Les efforts de la Suisse en matière d'Open Banking visent également à s'ouvrir. Même si cette ouverture est basée sur l'autorégulation, nous devrons faire face aux mêmes défis que l'UE.

 

Pour que des fournisseurs tiers puissent utiliser ces interfaces, le consentement du titulaire du compte doit être obtenu. La norme technique réglementaire (RTS), qui complète PSD2, oblige les banques à authentifier fortement les clients pour de tels consentements. Cela signifie que l'identité est prouvée par deux éléments de sécurité indépendants dans les domaines de la connaissance (par ex. mot de passe), de la possession (par ex. téléphone portable) et de l'héritage (par ex. empreinte digitale).

 

Défis liés à l'accès des tiers

Alors qu'auparavant, le client devait récupérer les informations de compte directement de sa banque, cela sera également possible par l'intermédiaire de tiers. Cela présente de nouveaux défis pour les parties concernées, surtout si l'information est obtenue de plusieurs banques en parallèle.

 

Supposons qu'un client souhaite gérer les informations sur les comptes de ses trois comptes bancaires par le biais d'un service tiers d'information sur les comptes. Dans ce cas, chacune des trois banques devrait obtenir le consentement du client au moyen d'une authentification forte. Comme les différentes banques disposent aujourd'hui d'une variété de mécanismes d'authentification forte, l'obtention du consentement pourrait être lourde en raison des nombreuses méthodes différentes (PhotoTAN, mTAN, SecureID, etc.).

 

Un tel effort est incompréhensible et probablement même inacceptable pour la plupart des clients. On peut donc supposer que les efforts d'harmonisation des moyens d'authentification augmentera avec la PSD2.

 

Les standards contribuent à la simplification

L'utilisation de standards et de smartphones comme token de sécurité pourrait faciliter les choses. FIDO (Fast Identity Online) pourrait aider ici. Cette norme est basée sur le chiffrement à clé publique. Le côté serveur, ici la banque, connaît la clé publique du client. La paire de clés du client est générée sur son smartphone dans une zone sécurisée, la clé privée ne quittant jamais cette zone. L'accès à la clé privée est protégé par l'authentificateur. Pour utiliser la clé privée, l'authentificateur a besoin d'une caractéristique de connaissance ou d'héritage. Ainsi, avec la possession de l'appareil, les exigences du RTS seraient remplies.

 

A quoi cela ressemblerait-il dans ce scénario ? Si les trois banques concernées permettaient l’utilisation de FIDO, le client pourrait simplement confirmer chaque consentement au moyen d'une empreinte digitale.

 

consent_access_bank_account_fido
Zoom
Consentement à l'accès au compte bancaire via le standard FIDO

PSD2 et Open Banking ouvrent de nouvelles opportunités pour les clients des banques. Des mécanismes d'authentification forte et conviviaux peuvent promouvoir l'innovation dans cet environnement. FIDO jouera un rôle décisif à cet égard grâce au large soutien natif de l'industrie des fabricants d'appareils.

Cet article a été publié dans Netzwoche n°12 du 4 juillet 2018 sous Focus Fintech.

Links