Chapitre final : Authentification forte du client (SCA) pour PSD2
Publié: 2018-09-05Ceci est le troisième d'une série de trois articles détaillant l'authentification forte du client PSD2 (SCA) de l'UE
Nous avons atteint le troisième et dernier volet de cette série. Dans le premier volet, nous avons présenté la directive de l'Autorité bancaire européenne (ou EBA) de l'Union européenne appelée PSD2 (abréviation de la deuxième directive sur les services de paiement) et décrit certains des principes directeurs de l'authentification forte du client (ou SCA). Le deuxième volet a exploré les limitations et les réglementations SCA que les implémenteurs doivent prendre en compte, notamment les codes d'authentification, la liaison dynamique des transactions et l'indépendance des canaux.
Pour cet article, nous décrirons les options de mise en œuvre de SCA qui devraient satisfaire aux exigences décrites dans la PSD2 RTS (Regulatory Technical Standard), ainsi que quelques bons endroits pour rechercher plus d'informations.
Avant d'examiner certaines options d'implémentation pour SCA, nous devons également souligner qu'il existe certaines exceptions à l'authentification forte et à la liaison dynamique .
Dans la FAQ du communiqué de presse PSD2, ils notent: «[les exemptions sont] pour éviter de perturber la façon dont les consommateurs, les commerçants et les fournisseurs de services de paiement fonctionnent aujourd'hui. C'est aussi parce qu'il peut exister d'autres mécanismes d'authentification qui sont tout aussi sûrs et sécurisés. Cependant, "les prestataires de services de paiement qui souhaitent être exemptés de SCA doivent d'abord appliquer des mécanismes de surveillance des transactions pour évaluer si le risque de fraude est faible". Les exemptions spécifiques sont décrites au chapitre III de la DSP2 RTS.
Deux domaines où l'authentification forte du client est requise dans PSD2
- Accès au compte - il s'agit de l'accès aux comptes de paiement via n'importe quel appareil : ordinateur de bureau, ordinateur portable, tablette ou téléphone mobile.
- Paiements - il s'agit de l'authentification réelle d'un paiement, y compris la liaison dynamique des informations de paiement avec la méthode d'authentification.
Dans le monde multi-appareils et multi-canaux d'aujourd'hui, il existe une variété de méthodes d'applications bancaires / de paiement pour accomplir l'authentification, du simple 2FA basé sur SMS au plus sophistiqué (et sécurisé) Universal 2 nd Factor (U2F) du Fido Alliance avec tout le reste.
Nous avons généralement quatre configurations principales aujourd'hui :
- Deux appareils – un exécutant l'application bancaire/marchand ; un autre assurant l'authentification. Cela inclurait des jetons matériels ainsi que des appareils U2F en tant qu'appareils d'authentification, mais inclurait également un appareil mobile et un ordinateur portable avec l'ordinateur portable exécutant l'application bancaire/marchande et l'appareil mobile fournissant l'authentification (même l'authentification hors bande)
- Deux applications, un appareil - sur un seul appareil, généralement un téléphone mobile, nous aurions l'application bancaire/marchand et une application d'authentification. L'application d'authentification pourrait inclure une solution de jeton logiciel telle que Google Authenticator ou une application d'authentification spécialisée qui s'intégrerait à la banque/au commerçant pour transférer, par exemple, des informations d'achat liées dynamiquement à l'application d'authentification.
- Une application, un appareil - un exemple serait une application bancaire mobile qui fournissait également la capacité d'authentification au sein de cette application.
- Authentification hors bande - ou OOB - cela inclut les SMS envoyés au numéro de téléphone mobile, sécurisés par une carte SIM. Dans ce cas, l'appareil mobile, atteint via un canal hors bande tel que SMS (ou même RCS, lorsqu'il est pris en charge) sera le 2e facteur (possession).
Compte tenu de toutes ces options, quelles seraient les meilleures options et méthodes pour prendre en charge PSD2 SCA et être conforme ?
L'option hors bande (OOB) est la méthode la plus simple et la plus connue des consommateurs. Il est entièrement conforme aux règles d'accès au compte et devrait être une option pour les paiements tant que les informations de paiement sont incluses dans le SMS. Il répond également à l'exigence d'indépendance des canaux.
Bien sûr, ces jours-ci, il y a des problèmes de sécurité avec SMS ; cependant, beaucoup d'entre eux sont quelque peu exagérés dans la presse (par exemple, échange de cartes SIM, interceptions de SMS). Cela dit, il existe de meilleures méthodes plus sûres. Si vous utilisez SMS comme canal OOB pour 2FA, envisagez d'ajouter un facteur de connaissance supplémentaire pour sécuriser davantage le compte ou le paiement. Cela fournira une sécurité supplémentaire contre certains scénarios d'échange de cartes SIM ou d'interception de SMS, s'ils se produisent.
L'un des problèmes avec l'option d'authentification multi-appareils (2 appareils) utilisant divers dispositifs matériels pour l'authentification des paiements est qu'il est difficile d'intégrer la liaison dynamique des informations de paiement/marchand à ce dispositif d'authentification. Alors que beaucoup d'entre eux sont assez sécurisés, comme les appareils U2F, il est difficile d'intégrer une liaison dynamique des informations d'achat/paiement.
Une méthode qui serait utile serait d'utiliser une solution d'authentification qui crée toujours un code PIN standardisé dans le cloud, mais utilise des informations cryptées envoyées à une application d'authentification spécialisée. L'application bancaire/marchande pourrait également inclure les informations de paiement ainsi que le code qui serait envoyé à l'application d'authentification.
L'application d'authentification présenterait les informations à l'utilisateur, puis répondrait par "Accepter" ou "Refuser". L'application d'authentification peut faire partie d'une stratégie à deux appareils ainsi que d'une stratégie à deux applications (un appareil). L'application ne dépendrait pas des numéros de téléphone (par exemple OOB), et serait donc résistante à l'échange de carte SIM ou au piratage d'appareil. De plus, l'appareil devrait être en possession physique du titulaire du compte avec des informations basées sur la connaissance du titulaire du compte.
Heureusement, de nombreuses options s'offrent aux prestataires de paiement de l'UE, qui devront mettre en œuvre PSD2 SCA dans les mois à venir. Chacun aura des cas d'utilisation spécifiques qui doivent être examinés de près pour déterminer si les ressources SCA doivent être appliquées. Voici quelques conseils :
- Examiner chaque cas d'utilisation
- Comprendre si des exemptions SCA peuvent être appliquées
- Déterminer le cas d'utilisation lié à l'accès au compte ou aux paiements
- Pour les paiements, déterminez comment vous présenterez les informations de paiement et le commerçant à l'utilisateur (lien dynamique)
- Pour l'accès au compte, nous suggérons de toujours appliquer l'authentification à deux facteurs aux connexions - c'est juste plus sécurisé
Pour la plupart des marchés de l'UE, nous nous attendons à ce que la méthode la plus répandue pour les achats et les paiements en ligne soit via un appareil mobile. Par conséquent, cela implique que l'appareil sera utilisé à la fois comme appareil principal pour les achats/paiements ainsi que pour l'authentification. Ne vous attendez pas toujours à ce que les utilisateurs utilisent des ordinateurs de bureau ou des ordinateurs portables. L'utilisation des appareils mobiles (y compris les tablettes) n'augmentera qu'en tant qu'appareils principaux.
PSD2 SCA est un ensemble complexe de réglementations, mais avec un peu de bon sens et une compréhension des défis et des options d'authentification d'aujourd'hui, il peut être mis en œuvre conformément à ces réglementations et protéger toutes les parties impliquées. Ces derniers mois, certaines des exigences de la SCA et certaines des limitations qu'elles imposent ont fait l'objet de critiques. En fait, il pourrait y avoir des réglementations de suivi (PSD3 ?) dans les mois et les années à venir.
N'ayez pas peur d'aller de l'avant et d'implémenter SCA si vous êtes impliqué dans les paiements en ligne. N'attendez pas la dernière minute. Prenez le temps de lire les exigences, de les étudier, puis de prendre des décisions. Il existe de nombreuses options et nous espérons que cette série en 3 parties vous a aidé à vous guider à travers les différentes options et éléments de PSD2 SCA.