Authentification forte du client : Pourquoi envisager des méthodes et outils adaptatifs
Se conformer à la directive révisée sur les services de paiement (DSP2) est actuellement une priorité essentielle pour les institutions financières (IF) en Europe et au-delà. En particulier, les institutions financières doivent se conformer aux exigences relatives à l'authentification forte du client et à l'analyse du risque de transaction. Ces exigences sont décrites dans les normes techniques réglementaires (RTS) pour l'authentification forte du client (SCA) et la communication commune et sécurisée (CSC). Les institutions financières doivent y adhérer au plus tard le 14 septembre 2019. Certaines des principales exigences entreront en vigueur six mois plus tôt.
Dans ce blog, nous fournissons une vue d'ensemble des principales exigences d'authentification dans le RTS et comment s'y conformer correctement.
PSD2 : Authentification forte du client et analyse du risque de transaction
Les exigences d'authentification les plus importantes dans le RTS sous PSD2 sont :
- Authentification à deux facteurs: les IF agissant en tant que prestataire de services de paiement doivent authentifier les utilisateurs sur la base d'un mécanisme d'authentification qui utilise deux des trois éléments d'authentification possibles :
En outre, les éléments d'authentification doivent être indépendants les uns des autres. Le mécanisme d'authentification doit générer un code d'authentification qui n'est valable qu'une seule fois (et en pratique, pour une durée limitée).
- Possession (c'est-à-dire quelque chose que seul l'utilisateur possède)
- Connaissance (c'est-à-dire quelque chose que seuls les utilisateurs connaissent)
- Inhérence (c'est-à-dire quelque chose que seul l'utilisateur est)
- Liaison dynamique: la liaison dynamique est aussi communément appelée signature des données de transaction ou authentification des transactions. Les législateurs qui ont rédigé la DSP2 ont introduit l'exigence de liaison dynamique pour contrer les attaques de type "Man-in-the-Middle", où un mauvais acteur modifie les détails d'une transaction après que le payeur l'a authentifiée. L’exigence d'une authentification dynamique comporte trois parties. Premièrement, elle exige qu'un payeur authentifie une transaction financière en calculant un code d'authentification sur certaines données de la transaction (au moins le montant et certaines informations identifiant le bénéficiaire), de sorte que le code d'authentification soit lié à la transaction. Deuxièmement, la confidentialité et l'intégrité des données de la transaction doivent être protégées (c'est-à-dire cryptées) tout au long du processus d'authentification. Troisièmement, l'utilisateur de la banque en ligne doit être conscient des données de transaction qu'il authentifie.
- Indépendance des éléments d'authentification : cette exigence est principalement axée sur la sécurité des applications mobiles. Les exigences en matière d'authentification forte du client permettent l'utilisation d'applications mobiles comme facteur de possession convivial. Lorsque le mécanisme d'authentification repose sur des appareils tels que des téléphones mobiles ou des tablettes, les IF doivent adopter des mesures de sécurité pour atténuer le risque que l'application mobile fonctionne dans un environnement d'exécution non fiable (c'est-à-dire l'appareil et le système d'exploitation), où elle peut faire l'objet d'attaques par superposition, d'injection de code et d'autres menaces.
- Analyse du risque de transaction : les banques doivent effectuer une analyse du risque de transaction pour prévenir, détecter et bloquer les paiements frauduleux. L'analyse du risque de transaction doit se fonder sur des éléments tels que le montant du paiement, les scénarios de fraude connus, les signes d'infection par un logiciel malveillant lors de la session de paiement, etc. Le règlement prévoit que les paiements à faible risque peuvent être exemptés de l'authentification forte du client. Toutefois, cela implique que l'analyse du risque de transaction comprenne des éléments supplémentaires tels que les habitudes de paiement, l'analyse comportementale, la localisation du payeur et du bénéficiaire, des informations sur l'appareil utilisé pour effectuer le paiement, et même la possibilité de collecter des données provenant de plusieurs canaux tels que le mobile, l'Internet, les guichets automatiques et les agences.
De l'authentification autonome à l'authentification adaptative
Lorsqu'elles évaluent et mettent en œuvre des solutions pour se conformer aux exigences de l'authentification forte du client, les IF devraient envisager des méthodes et des outils adaptatifs. L'authentification adaptative n'est pas un facteur d'authentification, comme un nouveau jeton à usage unique ou une application d'authentification. Il s'agit d'un flux de travail qui analyse en permanence les activités, l'environnement et les comportements d'un utilisateur afin de déterminer le niveau de sécurité précis, au bon moment, pour chaque transaction unique.
L'authentification adaptative se distingue des outils d'authentification autonomes en utilisant des méthodes d'authentification spécialisées basées sur une analyse des risques en temps réel. Au lieu de forcer un événement initié par l'utilisateur, comme la saisie d'un code PIN ou d'un mot de passe, un utilisateur peut devoir passer par une série de contrôles d'authentification pour avoir accès à des services particuliers dans le cas d'interactions plus risquées, ou ne pas avoir de contrôles supplémentaires pour les transactions à faible risque (par exemple, vérifier le solde de son compte).
Cette méthode est également connue sous le nom d'authentification par paliers. Avec le score de risque comme guide, les étapes d'authentification sont appliquées dynamiquement à la transaction en temps réel, et l'utilisateur peut être amené à prendre des mesures. Par exemple, si la transaction s'inscrit dans le cadre du comportement normal de l'utilisateur, aucune authentification renforcée n'est nécessaire. Cependant, un certain score de risque peut entraîner la demande d'un mot de passe à usage unique (OTP), tandis qu'un score de risque plus élevé peut inciter l'utilisateur à demander à la fois un OTP et une numérisation des empreintes digitales (par exemple, pour un transfert de 10 000 dollars vers un compte bancaire étranger).
En tirant parti de l'analyse des risques par l'apprentissage automatique et l'intelligence artificielle - et en la combinant avec l'orchestration de l'authentification que nous venons de décrire - une solution d'authentification adaptative entre dans une catégorie de solutions connue sous le nom d'authentification adaptativeintelligente. Grâce à ce type de solution, les institutions financières peuvent simplifier l'expérience de l'utilisateur final, réduire la fraude et se conformer à la réglementation. Cela s'applique à de multiples canaux bancaires numériques, y compris le web, le mobile, etc.
Authentification adaptative et authentification forte du client
Les IFs font face à des défis importants pour arrêter la fraude, même avec les technologies de sécurité les plus avancées. La complexité, les expériences utilisateur incohérentes, les exigences de conformité difficiles à satisfaire, la multiplicité des langues et des interfaces cachent des vulnérabilités en matière de sécurité et empêchent les chefs d'entreprise de dormir. Le défi consiste à simplifier les flux d'authentification afin d'accroître la sécurité, de renforcer la conformité et de créer la meilleure expérience utilisateur possible sur plusieurs canaux.
Intelligent Adaptive Authentication aide les institutions financières à atteindre ces objectifs, tout en se conformant aux exigences de la DSP2 en matière d'authentification forte du client. Voici comment :
- Authentification fondée sur le risque : l'authentification adaptative intelligente permet aux IF de prendre en charge un large éventail d'éléments d'authentification. Il peut s'agir d'éléments de possession (applications mobiles, jetons matériels, etc.), de facteurs biométriques (empreinte digitale, visage) et d'éléments de connaissance (code PIN). En outre, une solution d'authentification adaptative intelligente devrait également prendre en charge les normes d'authentification forte telles que FIDO.
- Liaison dynamique : Bien que de nombreuses solutions d'authentification adaptative fonctionnent selon les mêmes principes, il existe une grande diversité sur le marché en ce qui concerne l'intégration des principales technologies de sécurité. Pour les solutions d'authentification adaptative intelligente qui prennent en charge la liaison dynamique, il s'agit de s'assurer qu'elles sont à la fois conformes et pratiques pour les utilisateurs finaux. L'un des moyens les plus largement acceptés consiste à utiliser des cryptogrammes de couleur connus sous le nom de codes Cronto. Lorsque la banque envoie des données de transaction ou de paiement à l'utilisateur pour vérification et autorisation, ces données sont cryptées à l'intérieur du cryptogramme Cronto. L'utilisateur décrypte les données en scannant le cryptogramme avec son smartphone (ou son dispositif matériel). Si un cheval de Troie est présent sur l'ordinateur de l'utilisateur, il ne pourra pas modifier les données contenues dans le code visuel. Cette approche permet aux IF de se conformer pleinement aux trois exigences de liaison dynamique de la DSP2.
- Indépendance des éléments d'authentification : l'authentification adaptative intelligente offre aux institutions financières une visibilité approfondie des appareils mobiles et des applications bancaires qui y sont exécutées. Il s'appuie sur de nombreuses données relatives aux utilisateurs, aux appareils et aux applications, ce qui permet d'obtenir une mesure très précise de la confiance grâce à un score d'analyse des risques. L'authentification adaptative intelligente intègre des fonctionnalités telles que la protection des applications mobiles pour créer un environnement d'exécution sécurisé pour les applications bancaires mobiles, ce qui leur permet de fonctionner en toute sécurité sur des appareils mobiles non fiables. Cela inclut l'utilisation d'environnements d'exécution sécurisés séparés, ainsi que des mesures visant à protéger les applications mobiles contre les menaces d'exécution telles que l'enracinement ou le jailbreak, les attaques par recouvrement, l'injection de code et l'enregistrement des touches.
- Analyse des risques liés aux transactions: l'évaluation des risques liés à l'environnement et aux transactions financières de l'utilisateur est au cœur d'une solution d'authentification adaptative intelligente. L'authentification adaptative intelligente rassemble des informations contextuelles provenant de sources multiples (par exemple, l'appareil mobile de l'utilisateur, son ordinateur portable), ainsi qu'une analyse comportementale (c'est-à-dire qui, quoi, quand et où), et les met en corrélation avec l'historique de l'utilisateur pour détecter les schémas de fraude émergents et connus afin d'évaluer le niveau de risque d'une transaction. La solution applique ensuite le niveau de sécurité précis pour chaque transaction financière unique.
Pour plus d'informations sur la DSP2 et sur la manière de se conformer aux exigences en matière d'authentification forte du client, consultez le site www.OneSpan.com/psd2.