Pourquoi les dispositifs matériels doivent-ils être un élément clé de la stratégie d'authentification des clients des banques ?
L'authentification forte des clients est un élément essentiel de la sécurité et de la conformité pour les institutions financières, en particulier dans le cadre des services bancaires en ligne. Alors que de nombreuses banques utilisent des dispositifs d'authentification matériels pour l'authentification des clients, certaines ont adopté l'authentification mobile uniquement. Avec l'adoption croissante des applications d'authentification mobile, la question de savoir si les banques doivent adopter l'authentification mobile ou l'authentification matérielle se pose souvent.
Dans cet article, nous expliquons pourquoi les dispositifs d'authentification matérielle doivent rester un élément de sécurité important des applications bancaires en ligne. Nous fournissons également des recommandations sur le type de dispositifs d'authentification matérielle qui devraient être utilisés pour protéger les organisations contre les menaces de cybersécurité en évolution, ainsi que pour aider à assurer la conformité avec les nouvelles initiatives réglementaires.
L'approche exclusivement mobile de l'authentification des clients ne suffira pas pour assurer la conformité avec l'UE
En juin 2023, la Commission européenne a publié ses projets de propositions pour la directive sur les services de paiement et les services de monnaie électronique ("DSP3") et le règlement sur les services de paiement ("RSP"), qui succéderont à la directive révisée sur les services de paiement ("DSP2") et à la directive révisée sur la monnaie électronique ("DME2"). L'article 88 de la proposition de PSR stipule que les institutions financières ne doivent pas utiliser un seul mécanisme d'authentification forte du client (SCA), tel qu'un mécanisme basé sur les téléphones intelligents, mais qu'elles doivent au contraire prendre en charge différents mécanismes d'authentification. Ces exigences impliquent que les institutions financières ne peuvent pas adopter une approche exclusivement mobile. Les institutions financières devront soutenir d'autres mécanismes d'authentification (tels que les dispositifs d'authentification matériels), en plus des mécanismes d'ACS basés sur les téléphones intelligents.
En outre, l'article 88 du règlement sur les services de paiement exige des institutions financières qu'elles veillent à ce que tous les utilisateurs puissent effectuer une ACS, y compris les personnes handicapées, les personnes âgées, les personnes ayant de faibles compétences numériques et celles qui n'ont pas accès à des canaux numériques ou à des instruments de paiement. Pour ce faire, les institutions financières devront soutenir diverses formes de mécanismes d'authentification forte des clients afin de répondre à la situation et aux besoins spécifiques de tous leurs utilisateurs. Dans la pratique, certaines catégories d'utilisateurs préféreront utiliser un dispositif d'authentification matériel. Par exemple, les personnes ayant une vue limitée préfèrent souvent utiliser un dispositif d'authentification matériel doté d'un grand écran et de la possibilité de lire à l'utilisateur le texte affiché sur l'écran.
Comment les fraudeurs ciblent les applications bancaires mobiles
En raison de la nature relativement ouverte des systèmes d'exploitation mobiles (par exemple Android, iOS), les applications bancaires mobiles resteront une cible privilégiée des fraudeurs dans un avenir proche. Les fraudeurs peuvent utiliser un large éventail de techniques pour voler des informations d'identification ou initier des transactions financières frauduleuses, telles que :
- Trojans bancaires - Les trojans bancaires sont des programmes malveillants spécialisés créés dans le but de voler les identifiants de connexion et les données financières des applications bancaires mobiles. Ces chevaux de Troie peuvent s'introduire dans les applications bancaires mobiles par divers moyens, tels que le téléchargement d'applications. Une fois à l'intérieur, ils opèrent furtivement en arrière-plan, compromettant la sécurité de l'application.
- Fausses applications bancaires - Il s'agit d'applications malveillantes qui imitent les applications bancaires mobiles légitimes pour inciter les utilisateurs peu méfiants à divulguer leurs identifiants de connexion et leurs informations financières sensibles. Ces fausses applications bancaires sont généralement distribuées par l'intermédiaire de magasins d'applications non officiels ("sideloading") ou de sites web d'hameçonnage.
- Clickjacking - Le clickjacking consiste à superposer des liens trompeurs à des éléments légitimes, comme des boutons, dans l'interface utilisateur de l'application. Cela permet au pirate de cliquer dans l'application au nom de l'utilisateur réel.
- Logiciels malveillants d'enregistrement des frappes - Ces logiciels malveillants capturent les frappes au clavier et volent des informations sensibles, notamment les identifiants de connexion.
L'organisation UK Finance publie des informations sur les pertes liées à la fraude bancaire mobile dans son rapport annuel sur la fraude. Le rapport le plus récent montre que la fraude bancaire mobile a augmenté de 33 % en 2023 par rapport à 2022, entraînant des pertes de 34,2 millions de livres sterling.
Menaces systémiques des acteurs étatiques contre les applications bancaires mobiles
Les baromètres des risques systémiques, tels que ceux de la US Depository Trust & Clearing Company (DTCC) et de la Banque d'Angleterre, indiquent que les cyber-risques sont devenus une préoccupation majeure pour la stabilité économique, en particulier dans le secteur des services financiers. C'est la conséquence de cyber-attaques réussies, qui peuvent entraîner de graves perturbations et des pertes importantes pour les entreprises ciblées.
Un type spécifique de cyber-risque pour le secteur des services financiers consiste à empêcher les citoyens et les entreprises d'un pays donné d'accéder à leurs comptes bancaires en ligne. Ce risque réduirait la confiance dans le système bancaire du pays et pourrait empêcher les citoyens et les entreprises d'utiliser leur argent, ce qui ralentirait l'économie du pays. Par exemple, lors de l'attaque DDoS d'août 2023 menée par des hacktivistes russes contre des banques et la bourse tchèques, les pirates ont coupé l'accès aux services bancaires en ligne aux clients des banques et ont exigé que les institutions cessent de soutenir l'Ukraine.
Les mécanismes d'authentification basés sur des appareils mobiles sont généralement plus sensibles aux menaces systémiques que les dispositifs d'authentification matériels, car ils dépendent davantage du réseau cellulaire et des systèmes d'exploitation (par exemple Android, iOS) des appareils mobiles. Par exemple, le brouillage des communications par téléphone mobile dans un lieu très fréquenté (p. ex. un centre ville très animé) pourrait perturber temporairement les services bancaires et autres pour un grand nombre de personnes. Le brouillage peut être effectué en envoyant un signal radio à la même fréquence que le réseau de téléphonie mobile, ce qui bloque la communication entre les téléphones et la station de base. Autre exemple, les acteurs de la menace pourraient collaborer avec les fabricants d'appareils mobiles et de systèmes d'exploitation, ou les forcer à introduire des vulnérabilités, qui pourraient ensuite être exploitées pour perturber l'accès aux applications bancaires mobiles.
Avantages de l'authentification matérielle et caractéristiques d'une solution :
Les menaces que les fraudeurs font peser sur les applications bancaires mobiles ainsi que les menaces systémiques que les États-nations font peser sur les appareils mobiles soulignent l'importance de l'intégration de l'authentification matérielle dans le cadre de la sécurité des services bancaires en ligne. Les dispositifs d'authentification matérielle sont indépendants des appareils et des réseaux mobiles et ne sont donc pas vulnérables aux attaques auxquelles les applications bancaires mobiles sont exposées.
Pour assurer la pérennité de la sécurité des services bancaires en ligne, les banques devraient rechercher des solutions d'authentification présentant les caractéristiques suivantes :
- 1. Résistance au phishing. Cette caractéristique garantit que les codes d'authentification générés par les dispositifs d'authentification sont inutiles pour les fraudeurs. Ainsi, les codes d'authentification volés par hameçonnage, logiciels malveillants ou autres attaques ne peuvent pas être utilisés par les fraudeurs pour usurper l'identité d'un véritable utilisateur ou lancer une transaction financière frauduleuse. La résistance à l'hameçonnage peut être obtenue en exploitant les protocoles d'authentification de l'alliance FIDO.
- 2. Ce que vous voyez est ce que vous signez (WYSIWYS). La fonction "What You See Is What You Sign" garantit que les utilisateurs de solutions d'authentification peuvent consulter les détails des demandes de connexion ou des transactions financières sur l'écran fiable d'un dispositif d'authentification matériel. L'utilisateur peut être certain que les informations affichées par le dispositif sont correctes et n'ont pas été modifiées par des logiciels malveillants ou d'autres agents de menace.
- 3. Résistance quantique. L'avènement des ordinateurs quantiques devrait avoir un impact significatif sur les algorithmes cryptographiques actuels et les tailles de clés correspondantes qui sous-tendent la technologie d'authentification utilisée dans les applications bancaires en ligne. À long terme, les dispositifs matériels d'authentification devraient utiliser des algorithmes cryptographiques qui résistent aux attaques des ordinateurs classiques et des ordinateurs quantiques, tout en conservant leurs performances et leur facilité d'utilisation. Les normes d'authentification, telles que les normes de l'alliance FIDO, devront être adaptées pour utiliser la cryptographie post-quantique.
- 4. Empreinte zéro. Les dispositifs d'authentification doivent fonctionner sans que les utilisateurs aient besoin d'installer ou de configurer des applications logicielles sur leurs appareils informatiques.
Protégez l'avenir de l'authentification forte des clients en intégrant des dispositifs d'authentification matériels dans votre stratégie de sécurité et de conformité
Les menaces à la sécurité et les évolutions réglementaires dans le secteur financier sont en constante évolution. Il est difficile de maintenir une approche exclusivement mobile de l'authentification forte des clients, compte tenu non seulement des exigences réglementaires à venir dans le cadre du règlement européen sur les services de paiement (PSR), mais aussi du paysage dynamique des menaces liées aux appareils mobiles et aux applications bancaires mobiles. Les dispositifs d'authentification matériels représentent donc un élément de sécurité important pour les applications bancaires en ligne, aujourd'hui et à l'avenir.
OneSpan propose une gamme d'authentificateurs matériels sécurisés et faciles à utiliser pour sécuriser les comptes et les transactions. Contactez l'un de nos experts pour renforcer votre stratégie d'authentification des clients dès aujourd'hui.