Explorer les méthodes d'authentification pour renforcer la sécurité des paiements numériques en Inde
Les régulateurs des systèmes bancaires du monde entier accordent la priorité à la mise en œuvre de mesures de sécurité pour assurer la sécurité des applications bancaires et de paiement numériques. L'une des approches consiste à tirer parti de l'authentification multifactorielle (AMF) pour s'assurer que la personne qui se connecte à un compte est bien celle qu'elle prétend être. Certains pays et régions, comme Singapour, Hong Kong et l'Union européenne, en particulier, réglementent depuis longtemps l'utilisation de l'AFM pour accéder aux applications bancaires numériques et autoriser les transactions numériques.
La Reserve Bank of India (RBI), banque centrale indienne et régulateur du système bancaire, a récemment intensifié ses efforts et introduit un projet de cadre visant à renforcer la sécurité des paiements numériques. Le nouveau cadre, intitulé Framework on Alternative Authentication Mechanisms for Digital Payment Transactions, décrit les exigences pour les fournisseurs et les participants aux systèmes de paiement en ce qui concerne l'authentification des paiements en ligne via des cartes et des applications mobiles. Plus précisément, il exige des entités financières qu'elles utilisent des mécanismes d'authentification forte pour confirmer les paiements numériques.
Dans cet article, nous expliquons pourquoi la RBI a décidé d'introduire ce nouveau cadre, quelles sont les exigences qu'il contient et comment les banques peuvent répondre à ces exigences.
Des SMS OTP aux méthodes d'authentification renforcées
Les méthodes d'authentification ne sont pas nouvelles pour la RBI, qui exige déjà des entités financières qu'elles adoptent un deuxième facteur pour authentifier les paiements numériques. Dans la pratique, cependant, ce deuxième facteur s'est souvent avéré être un mot de passe unique par SMS (OTP), un code d'authentification délivré par SMS sur le téléphone portable de l'utilisateur.
Il est bien connu que le SMS OTP souffre de diverses faiblesses de sécurité, telles que des faiblesses dans le protocole SS7 sous-jacent au SMS, permettant l'interception des messages. En outre, les logiciels malveillants des appareils mobiles peuvent lire les messages SMS sans que l'utilisateur s'en aperçoive, et les attaques par échange de cartes SIM permettent aux fraudeurs de rediriger les messages vers eux. Outre ces faiblesses en matière de sécurité, l'envoi de messages SMS peut être coûteux, ce qui peut avoir un impact significatif sur le budget d'une organisation. Enfin, les utilisateurs peuvent ne pas recevoir de SMS, en particulier lorsqu'ils sont en voyage ou dans des zones où la couverture réseau est faible.
Avec le nouveau cadre de la RBI, l'objectif de l'organisation est de faire passer les banques et les autres entités impliquées dans les paiements numériques de l'utilisation du SMS OTP à des formes plus avancées d'AMF. Elle suit ainsi l'exemple d'autres pays, comme Singapour. Comme l'a déclaré l'Autorité monétaire de Singapour (MAS) en juillet 2023, les banques doivent abandonner l'OTP par SMS :
Compte tenu de la vulnérabilité inhérente au canal SMS, la MAS a exigé des banques qu'elles abandonnent progressivement le SMS OTP comme seul facteur d'authentification des transactions à haut risque.
Les banques de Singapour ont déjà abandonné le recours exclusif au SMS OTP pour les activités bancaires en ligne à haut risque, telles que l'ajout de bénéficiaires et la modification des limites de transfert de fonds.
La MAS s'attend à ce qu'il en soit de même pour les transactions par carte à haut risque, telles que l'autorisation des paiements par carte en ligne. La transition a commencé et la MAS fixera une date limite pour que toutes les banques de détail l'achèvent.
Nouvelles exigences de la RBI en matière d'authentification multifactorielle
Le nouveau projet de cadre de la RBI s'applique aux fournisseurs de systèmes de paiement, qui gèrent les systèmes de paiement, ainsi qu'aux participants aux systèmes de paiement, qui utilisent les systèmes de paiement. Les banques sont un exemple de ces derniers.
Le nouveau cadre exige essentiellement que tous les paiements numériques, effectués en ligne par le biais d'une carte de paiement ou d'une application mobile, soient authentifiés à l'aide d'un ou de plusieurs "facteurs d'authentification supplémentaires" (AFA), sauf si le cadre exempte explicitement le type de paiement. Ces facteurs supplémentaires sont utilisés en plus d'un facteur d'authentification primaire (par exemple, un mot de passe).
Les facteurs d'authentification supplémentaires peuvent appartenir à l'une des catégories suivantes :
- Quelque chose que l'utilisateur connaît (comme un mot de passe, une phrase de passe ou un code PIN)
- Quelque chose que l'utilisateur possède (par exemple un jeton matériel, une carte de paiement ou un jeton logiciel)
- Quelque chose que l'utilisateur est (comme une empreinte digitale ou toute autre forme de biométrie)
En outre, les facteurs d'authentification doivent répondre aux exigences suivantes :
- Ils doivent être créés dynamiquement (c'est-à-dire que le facteur doit être généré après l'initiation du paiement) et être spécifiques à la transaction
- Ils ne peuvent pas être réutilisés pour d'autres transactions
- Ils doivent être différents du premier facteur d'authentification
- Ils peuvent être sélectionnés en fonction du niveau de risque de la transaction
Certains types de paiements sont exemptés de l'obligation d'utiliser des facteurs d'authentification supplémentaires. Il s'agit des transactions de faible montant par carte présente pour des valeurs allant jusqu'à 5 000 € (60 $) par transaction en mode sans contact dans les terminaux de point de vente, des mandats électroniques pour les transactions récurrentes, des paiements utilisant certains types d'instruments prépayés et des paiements numériques hors ligne de faible valeur allant jusqu'à 500 € (6 $).
Enfin, la société qui détient le compte de l'utilisateur doit informer le payeur en temps quasi réel des opérations de paiement numérique effectuées par l'intermédiaire de ce compte, à l'exception des petites opérations hors ligne.
Les nouvelles exigences de la RBI en pratique
Le projet de cadre de la RBI est basé sur des principes. Il précise qu'un facteur d'authentification supplémentaire doit être utilisé, mais il laisse ouverte la question de savoir comment ce facteur supplémentaire doit être utilisé. Cette approche permet à la RBI de laisser aux entités financières la liberté de choisir les mécanismes d'authentification les plus appropriés à leurs besoins, pour autant qu'ils répondent aux exigences du cadre.
En ce qui concerne les services bancaires mobiles, les entités financières répondront très probablement aux exigences du projet de cadre en mettant en œuvre l'AMF dans leurs applications mobiles. Les applications mobiles stockent une clé cryptographique utilisée pour calculer un OTP dynamique à partir de données spécifiques à la transaction, telles que le compte du bénéficiaire et le montant de la transaction. L'utilisation de la clé cryptographique est protégée par un facteur biométrique (balayage du visage, balayage des empreintes digitales, par exemple) ou un facteur de connaissance (PIN, mot de passe, par exemple). Les applications mobiles envoient les OTP au serveur d'authentification de l'entité financière pour vérification, après quoi la transaction peut être exécutée.
Une question en suspens est de savoir si le cadre exigera également des entités financières qu'elles mettent en œuvre le concept "What You See Is What You Sign" (WYSIWYS), selon lequel l'utilisateur vérifie les détails de la transaction sur l'écran fiable d'un appareil avant de l'approuver. Ce mécanisme, qui vise à protéger l'utilisateur contre les attaques de type "man-in-the-middle" (MITM) qui modifient les données de la transaction, augmenterait encore le niveau de sécurité des paiements numériques en Inde.
Méthodes d'authentification pour les transactions de paiement numérique
Le nouveau (projet de) cadre de la RBI marque une avancée significative dans le renforcement de la sécurité des paiements numériques en Inde. En rendant obligatoire l'utilisation de méthodes d'authentification forte et en abandonnant les OTP par SMS vulnérables, la RBI aligne l'Inde sur les meilleures pratiques mondiales en matière de cybersécurité.
Le passage à des méthodes d'authentification plus sûres permettra non seulement de protéger les consommateurs contre la fraude, mais aussi de renforcer la confiance dans l'économie numérique indienne. Alors que le pays continue d'adopter les paiements numériques, la mise en œuvre de ces nouvelles réglementations sera cruciale pour garantir un environnement sûr et fiable à tous les utilisateurs.
Il reste à voir dans quelle mesure les entités financières mettront en œuvre ces nouvelles exigences. Le succès de cette initiative dépendra de leur capacité à adopter des technologies d'authentification avancées et faciles à utiliser par les Indiens.
Découvrez comment les institutions financières peuvent bénéficier de la Mobile Security Suite de OneSpan, qui est déjà utilisée par des centaines d'institutions financières dans le monde pour sécuriser leurs applications de banque et de paiement mobiles.
Ressources complémentaires
- Pour en savoir plus sur le projet de cadre de la Reserve Bank of India sur les mécanismes d'authentification alternatifs pour les transactions de paiement numérique, cliquez ici.
- Pour en savoir plus sur la Mobile Security Suite de OneSpan, que les banques peuvent utiliser pour intégrer une authentification forte et multifactorielle dans les applications mobiles, cliquez ici.
- Les clients indiens peuvent également contacter Pinakin Dave, Country Manager India, à l'adresse [email protected].