Qu'est-ce que l'authentification hors bande ?
L'authentification hors bande est un type d'authentification à deux facteurs (2FA) qui nécessite une méthode de vérification secondaire via un canal de communication distinct. Elle implique deux canaux différents : la connexion Internet du client et le réseau sans fil sur lequel fonctionne son téléphone mobile. La possibilité que deux canaux, l'Internet du client et le réseau mobile sans fil, soient compromis en même temps par un attaquant pendant que le client tente de se connecter ou d'effectuer une transaction est considérablement réduite, par rapport à une tentative de connexion dans un système à bande unique.
L'authentification hors bande (OOB) est utilisée par les institutions financières et d'autres organisations ayant des exigences de sécurité élevées pour empêcher tout accès non autorisé. L'OOB contribue à améliorer la cybersécurité, car il rend le piratage d'un compte plus difficile en raison des deux canaux d'authentification distincts et non connectés qui devraient être compromis simultanément pour qu'un attaquant puisse obtenir un accès.
Comment fonctionne l'authentification hors bande
Dans un système d'authentification hors bande (OOBA), le canal utilisé pour authentifier un client est complètement séparé du canal utilisé par le client pour se connecter ou effectuer une transaction. L'authentification hors bande est un type d'authentification à deux facteurs (quelque chose que vous connaissez, comme un mot de passe, et quelque chose que vous avez, c'est-à-dire votre appareil mobile), plutôt qu'une authentification multifactorielle (AMF). Par exemple, un client qui souhaite effectuer une transaction bancaire en ligne sur son ordinateur de bureau recevra un mot de passe à usage unique (OTP) par SMS ou par notification push sur son appareil mobile, ce qui implique deux canaux différents : l'internet et un réseau sans fil. L'utilisation d'un canal distinct réduit la possibilité d'attaques de type "Man-in-the-Middle" et d'autres attaques dues à des violations de données.
Quelle authentification hors bande est envoyée aux appareils mobiles ?
Les codes d'accès hors bande peuvent être transmis de diverses manières aux appareils mobiles :
Exemple 1 d'authentification hors bande : notifications push
Les notifications push délivrent un code d'authentification ou un code de passe à usage unique OTP par le biais d'une notification qui apparaît sur l'écran de verrouillage de l'appareil mobile d'un client.
Exemple d'authentification hors bande 2 : les codes cronto
Un code Cronto® ou de type QR peut authentifier ou autoriser une transaction financière. Le client verra un cryptogramme graphique ressemblant à un code QR, affiché via un navigateur web. Seul l'appareil enregistré du client peut lire le code Cronto, ce qui le rend très sûr. Lorsque vous souhaitez effectuer une transaction, vous saisissez les données de paiement dans l'application de banque en ligne dans le navigateur. Vous verrez alors apparaître un code de type QR et vous pourrez le scanner à l'aide de l'appareil photo de votre téléphone. Votre appareil le décodera, décryptera les données de paiement et vous les montrera sur votre mobile en texte clair. Il assure la protection et la sécurité des données. En outre, cette approche répond aux exigences de liaison dynamique décrites dans les normes techniques réglementaires de la directive révisée sur les services de paiement (DSP2) de l'Union européenne.
Exemple 3 d'authentification hors bande : authentification vocale
L'authentification vocale passe un appel au client pour lui dire qu'il y a une demande de connexion à approuver ou à rejeter. En général, le client peut appuyer sur un bouton ou une touche selon les instructions données pour accepter la demande ou la refuser en raccrochant.
Exemple d'authentification hors bande 4 : lecteur biométrique sur un ordinateur portable
Un lecteur biométrique sur un ordinateur portable peut être considéré comme un moyen d'effectuer une authentification hors bande, à condition qu'il mette en œuvre un canal de communication distinct qui n'est pas accessible depuis l'environnement d'exploitation du canal de communication principal.
Comment l'authentification hors bande permet de prévenir la fraude et les cyberattaques
Lorsqu'une transaction à haut risque est signalée par le moteur de risque d'une banque, celui-ci fournit un score qui reflète la propension à la fraude sur la base d'algorithmes. Un score de risque plus élevé déclenche des étapes d'authentification plus poussées ou des exigences de sécurité supplémentaires, telles qu'une authentification hors bande, afin de mettre le client au défi de reconfirmer la transaction (qui implique généralement une somme d'argent importante). Le moteur de risque et le score correspondant peuvent déclencher un changement dans le flux d'authentification, afin d'envoyer un OTP à l'appareil mobile de confiance du client pour une vérification supplémentaire.
Avec OOB, l'élément de possession est le téléphone mobile où l'utilisateur reçoit un code d'authentification. On entre dans l'élément de connaissance ou d'inhérence :
- Le dispositif bancaire pour l'authentification à deux dispositifs (bureau et mobile)
- Ou un appareil mobile pour l'authentification de deux applications (deux applications différentes fonctionnant sur le même appareil mobile)
- Ou l'authentification par une seule application mobile, où le client utilise un seul appareil et une seule application pour lancer et authentifier les transactions.
L'authentification hors bande déjoue les attaques de type "man in the middle"
L'OOB aide également les institutions financières à réduire les attaques de logiciels malveillants. Par exemple, l'OOB peut aider à prévenir les attaques de type "Man-in-the-Middle", dans lesquelles les fraudeurs se positionnent entre l'institution financière et l'utilisateur afin d'intercepter, de modifier, d'envoyer et de recevoir des communications sans se faire remarquer. Par exemple, ils peuvent s'emparer du canal de communication entre l'appareil de l'utilisateur et le serveur de la banque en configurant un réseau Wi-Fi malveillant comme un hotspot public.
Même si le client est sur son réseau cellulaire, une telle attaque serait évitée car le fraudeur n'aurait accès qu'à l'un des canaux. Comme nous l'avons mentionné précédemment, l'authentification hors bande rend les attaques beaucoup plus difficiles pour les pirates ou les fraudeurs, car ils doivent être en mesure de prendre le contrôle des deux canaux de communication distincts. simultanément afin de compromettre le processus d'authentification de l'utilisateur. L'authentification hors bande est un outil essentiel pour les institutions financières dans leur lutte contre la fraude.
Conformité réglementaire
L'authentification hors bande aide les organisations à répondre aux exigences de la deuxième directive de l'Union européenne sur les services de paiement (DSP2), en particulier l'article 97, qui exige que les prestataires de services de paiement authentifient un utilisateur lorsqu'ils.. :
- Accéder à un compte de paiement en ligne
- Initier une transaction de paiement électronique
- Effectuer toute action par un canal à distance pouvant comporter un risque de fraude au paiement
- Il est également conforme au règlement GDPR sur la protection des données et la confidentialité
L'authentification hors bande répond aux exigences du NIST, le National Institute of Standards and Technology. En 2016, le NIST a proposé de "déprécier" l'authentification à deux facteurs par SMS en raison de vulnérabilités en tant que facteur hors bande dans les environnements d'authentification à plusieurs facteurs. En raison d'une confusion sur le terme dépréciation et sur le fait que l'authentification à deux facteurs par SMS était autorisée ou non, le NIST a modifié ses directives en 2017 et a déterminé que les SMS entraient dans la catégorie "restreinte", dans laquelle les clients et les organisations prendraient un risque en utilisant le SMS 2FA. Cependant, une approche d'authentification hors bande, telle qu'un OTP basé sur le push (envoi d'un code à un appareil mobile via une application telle que Google Authenticator), qui est signé de manière cryptographique et n'est pas délivré via le canal SMS, évite les vulnérabilités des messages SMS.
Ce que les analystes disent de l'authentification hors bande
Selon Allied Market Research, "l'augmentation du volume des transactions en ligne, l'augmentation continue des menaces avancées et complexes sont quelques-uns des principaux facteurs qui ont propulsé la croissance du marché de l'authentification hors bande. Cependant, les risques inclus dans l'association de l'authentification OOB par SMS et du coût élevé du produit freinent la croissance du marché. À l'inverse, l'augmentation de l'adoption par les petites et moyennes entreprises devrait produire de nombreuses opportunités pour ce marché." Le marché mondial de l'authentification hors bande était évalué à 274 millions de dollars en 2016 et devrait atteindre 1,1 milliard de dollars en 2023, avec un taux de croissance annuel moyen de 22,8 % de 2017 à 2023.
Research and Markets note que "l'OOB est un outil puissant utilisé pour prévenir la fraude car le logiciel d'authentification OOB fonctionne avec un canal de communication sécurisé. Pour les transactions à haut risque, les entreprises utilisent cette technologie pour vérifier et authentifier l'identité d'un utilisateur. Cette technologie est utilisée pour l'authentification des transactions financières et non financières." Les analystes prévoient que le marché mondial des logiciels d'authentification OOB connaîtra une croissance de 23,57 % au cours de la période 2016-2020.