Passkeys et DSP2 : une MFA conforme à la DSP2 et résistante au phishing

Dans le secteur bancaire numérique, sécurité et expérience utilisateur ne sont plus incompatibles. Les passkeys fusionnent ces deux aspects en introduisant une MFA résistante au phishing qui s'aligne sur les exigences de la DSP2 et de l'AFC. Les passkeys représentent la forme d'authentification la plus sûre et la plus conviviale qui puisse être mise en œuvre dans les services financiers. Cette avancée arrive à un moment crucial, alors que le secteur bancaire s'efforce de mettre en œuvre la Directive sur les Services de Paiement révisée (DSP2), un cadre réglementaire conçu pour renforcer la sécurité et la compétitivité du secteur bancaire européen.

Dans ce contexte, les Passkeys apparaissent non seulement comme une solution de conformité, mais aussi comme une formidable innovation, promettant de répondre aux exigences strictes de la DSP2 sans compromettre l'UX. Dans cet article de blog, nous analysons les nuances de la DSP2 et son exigence d'Authentification Forte du Client (AFC) : il devient évident que les passkeys représentent l'avenir de la MFA résistante au phishing dans le secteur bancaire.

La DSP2 est une législation introduite par l'Union européenne pour révolutionner les services de paiement et le paysage bancaire en Europe. Ses objectifs principaux sont d'accroître la concurrence, de renforcer la protection des consommateurs et de favoriser l'innovation dans le domaine des paiements numériques. En imposant un accès ouvert aux informations financières des clients à des tiers agréés (avec le consentement du client), la DSP2 ouvre la voie à un écosystème financier plus intégré, efficace et convivial. Cependant, un grand pouvoir implique de grandes responsabilités, et la DSP2 aborde ce point en mettant l'accent sur la sécurité, notamment à travers le prisme des protocoles d'authentification.

Au cœur des mesures de sécurité de la DSP2 se trouve l'exigence d'Authentification Forte du Client (AFC), un protocole conçu pour réduire considérablement la fraude et renforcer la sécurité des paiements électroniques. L'AFC repose sur le principe que les paiements électroniques doivent être non seulement fluides, mais aussi suffisamment sécurisés pour résister à diverses menaces. Ce cadre d'authentification est obligatoire pour les prestataires de services de paiement, les banques et les passerelles de paiement électronique opérant dans le champ d'application de la DSP2.

La mise en œuvre de l'AFC dans le cadre de la DSP2 est définie par plusieurs exigences essentielles :

L'authentification doit faire intervenir au moins deux éléments parmi les catégories suivantes :

• Connaissance : Quelque chose que seul l'utilisateur connaît, comme un mot de passe ou un code PIN.
• Possession : Quelque chose que seul l'utilisateur possède, comme un appareil mobile, une carte à puce ou un jeton matériel.
• Inhérence : Quelque chose d'inhérent à l'utilisateur, y compris des identifiants biométriques comme les empreintes digitales, la reconnaissance faciale ou les modèles vocaux.

Pour chaque transaction, un code d'authentification unique doit être généré, liant dynamiquement les détails spécifiques de la transaction, tels que le montant et le numéro de compte du destinataire.

Les utilisateurs doivent se réauthentifier à intervalles réguliers, généralement tous les 90 jours, pour maintenir l'accès aux services bancaires en ligne. Cependant, cette exigence a été révisée pour optimiser l'équilibre entre sécurité et commodité.

L'AFC doit être appliquée à toutes les transactions électroniques, garantissant que l'authentification est spécifique au montant et au bénéficiaire, créant ainsi une signature unique pour chaque transaction.

Les prestataires de services de paiement doivent utiliser une approche basée sur les risques pour appliquer l'AFC, où les transactions à faible risque peuvent être exemptées de l'AFC pour fluidifier le processus de paiement sans compromettre la sécurité (remarquez-vous déjà le lien avec les passkeys ?).

L'ensemble du processus d'authentification doit être traçable et auditable, avec des enregistrements conservés pour prouver le respect des exigences de l'AFC.

En introduisant l'AFC, la DSP2 a considérablement relevé la norme de sécurité des transactions dans le secteur bancaire. Dans ce qui suit, nous nous concentrerons sur les différents facteurs impliqués dans l'Authentification Multifacteur (MFA). Ces facteurs ont également un impact sur l'exigence d'authentification spécifique à la transaction (plus de détails ci-dessous).

Ci-dessous, nous présentons les différentes étapes de l'évolution de l'authentification dans le secteur bancaire.

L'aventure de l'authentification dans le secteur bancaire a commencé avec l'utilisation des Numéros d'Identification Personnels (PIN) et des Numéros d'Authentification de Transaction (TAN). Les clients recevaient une liste de TAN, chacun devant être utilisé une seule fois pour la vérification d'une transaction. Cette méthode, bien que révolutionnaire à l'époque, avait ses inconvénients, notamment le risque de vol ou d'utilisation abusive des listes de TAN.

Avec les progrès technologiques, les banques ont introduit les TAN électroniques (eTAN) et les TAN mobiles (mTAN), où les TAN étaient générés et envoyés sur l'appareil mobile du client par SMS. Cette méthode a amélioré la sécurité en liant le TAN à l'appareil, mais elle a également introduit de nouvelles vulnérabilités, comme le risque d'interception des SMS et l'inconvénient de devoir attendre et gérer ces messages. Jusqu'à l'introduction des passkeys, l'OTP par SMS était encore considéré comme l'option 2FA la plus confortable disponible pour les services bancaires du point de vue de l'UX.

Pour renforcer davantage la sécurité, les banques ont adopté les cartes à puce et les dispositifs à jeton qui généraient des codes uniques pour l'authentification. Ces solutions matérielles offraient un niveau de sécurité plus élevé, mais ajoutaient également de la complexité et des inconvénients pour les clients, qui devaient désormais transporter un appareil supplémentaire.

La dernière évolution de l'authentification bancaire inclut la biométrie (empreinte digitale ou reconnaissance faciale) et les applications bancaires mobiles avec des fonctionnalités de sécurité intégrées. Ces méthodes visaient à équilibrer sécurité et commodité en tirant parti des caractéristiques biologiques uniques de l'utilisateur et de l'omniprésence des smartphones. Cependant, elles exigent également que les clients téléchargent et configurent une application distincte pour chaque banque qu'ils utilisent.

Malgré ces progrès, les clients sont toujours confrontés à des inconvénients et à des frustrations importants avec les méthodes d'authentification bancaire actuelles et risquent d'être ciblés par des fraudeurs :

• Complexité et inconvénients : La superposition de plusieurs étapes d'authentification, bien que bénéfique pour la sécurité, se traduit souvent par un processus fastidieux pour les utilisateurs. Cette complexité n'est pas un simple désagrément ; elle peut dissuader les clients d'utiliser les services bancaires numériques, sapant ainsi l'objectif même de la transformation numérique.
• Dépendance aux appareils et aux plateformes : Le passage à l'authentification mobile et biométrique lie étroitement les utilisateurs à leurs appareils. Cette dépendance crée un maillon faible en cas de vol. De plus, les pannes techniques peuvent rendre les services bancaires inaccessibles, laissant les clients démunis.
• Vulnérabilités au phishing : Malgré les progrès, la possibilité de hameçonner les facteurs d'authentification reste une vulnérabilité qui n'est pas traitée par l'AFC. Les facteurs traditionnels comme le code PIN, le mot de passe, les OTP par SMS ou par e-mail peuvent être compromis par des stratagèmes de phishing sophistiqués, mettant en danger les données et les finances des clients.

À ce jour, les banques, en particulier les banques traditionnelles, continuent d'avertir leurs clients du risque important de phishing.

Dans la section suivante, nous expliquerons comment cela fonctionne à l'aide d'un exemple réel.

Les attaques de phishing constituent depuis longtemps une menace importante pour la sécurité du secteur bancaire, exploitant la psychologie humaine (ingénierie sociale) et les vulnérabilités technologiques pour obtenir un accès non autorisé à des informations financières sensibles. À mesure que les banques ont fait évoluer leur authentification, les fraudeurs se sont adaptés, concevant des stratagèmes sophistiqués pour contourner les mesures de sécurité. Comprendre le fonctionnement du phishing, en particulier dans le contexte de ces méthodes d'authentification couramment utilisées, est crucial pour reconnaître l'urgence de solutions d'authentification non hameçonnables comme les passkeys.

À la base, le phishing consiste à inciter des personnes à divulguer des informations sensibles, telles que des identifiants de connexion ou des informations financières, sous le couvert d'une communication légitime de leur banque. Cela se déroule généralement en plusieurs étapes :

1. L'initiation : Les fraudeurs envoient des messages (souvent par e-mail ou SMS) qui imitent les communications officielles de la banque, avec des logos et un langage qui semblent dignes de confiance. Ces messages créent généralement un sentiment d'urgence, affirmant qu'une action immédiate est requise pour résoudre un problème ou empêcher la fermeture d'un compte.
2. La tromperie : Le message contient un lien vers un site web frauduleux qui ressemble beaucoup au portail bancaire en ligne officiel de la banque. Ignorant la supercherie, la victime est amenée à croire qu'elle accède au site web légitime de sa banque.
3. La capture : Une fois sur le site de phishing, la victime est invitée à saisir ses informations d'authentification, comme son code PIN, ou à confirmer une transaction avec un OTP envoyé par SMS. Croyant interagir avec sa banque, la victime s'exécute, livrant sans le savoir ses identifiants aux attaquants.
4. L'exploitation : Armés de ces informations, les fraudeurs peuvent alors accéder au compte bancaire de la victime, effectuer des transactions non autorisées ou commettre une usurpation d'identité.

Imaginons un scénario où un client de la Deutsche Bank reçoit un SMS l'alertant que son compte va être désactivé. Le message contient un lien vers un site web pour vérifier l'identité du client, avec "deutschebank" dans l'URL et un certificat SSL correspondant. Ce site, une réplique exacte de la page de connexion de la Deutsche Bank (comme vous pouvez le voir dans les captures d'écran ci-dessous), demande au client son code PIN de banque en ligne, puis un OTP par SMS en temps réel (non visible sur les captures d'écran pour des raisons de sécurité). Sans le savoir, en saisissant ces informations sur le site de phishing, le client permet aux attaquants d'obtenir un accès complet à son compte Deutsche Bank et de transférer potentiellement d'énormes sommes d'argent vers d'autres comptes.

Voici le SMS de phishing avec l'invitation à retrouver l'accès au compte bancaire (captures d'écran en allemand uniquement) :

Voici le site de phishing des attaquants (https://deutschebank-hilfe.info) :

Voici le site web original pour référence (https://meine.deutsche-bank.de) que les attaquants ont copié presque parfaitement (ils ont seulement omis l'avertissement de phishing en bas) :

Les clients habitués à se connecter via cette interface identique et à utiliser l'OTP par SMS comme facteur d'authentification peuvent facilement être victimes de telles attaques. Il existe un écosystème important de suites open-source conçues pour se concentrer sur les attaques de phishing ciblant les systèmes OAuth ou bancaires (par exemple, https://github.com/gophish/gophish) à des fins de recherche en sécurité. Cependant, ces systèmes peuvent facilement être adaptés à des fins malveillantes.

Le phishing dans le secteur bancaire devient de plus en plus précis à chaque fuite de données sur le dark web. En général, les informations de paiement telles que les IBAN font également partie de ces fuites. Bien que ces informations ne puissent pas être utilisées pour voler directement de l'argent, elles peuvent être utilisées dans des approches de spear-phishing où l'attaquant sait que la cible est réellement un client de la banque.

La faille critique dans le scénario ci-dessus réside dans la possibilité de hameçonner les facteurs d'authentification : le code PIN et l'OTP par SMS peuvent tous deux être facilement sollicités auprès du client sous de faux prétextes. Cette vulnérabilité souligne la nécessité de méthodes d'authentification qui ne peuvent pas être compromises par l'ingénierie sociale ou les attaques de phishing.

Les facteurs d'authentification non hameçonnables, comme ceux activés by les passkeys, offrent une défense robuste contre de tels stratagèmes. Étant donné que les passkeys ne reposent pas sur des secrets partagés qui peuvent être divulgués, extorqués à un utilisateur ou interceptés, ils changent fondamentalement le paysage de la sécurité. Avec les passkeys, le processus d'authentification implique une preuve cryptographique d'identité qui ne peut pas être reproduite par les fraudeurs, éliminant ainsi le vecteur d'attaque le plus courant dans le phishing.

Pour contrer efficacement les menaces de phishing, le secteur bancaire doit adopter une approche à multiples facettes qui inclut :

1. Éduquer les clients : Les banques doivent informer en permanence leurs clients sur les risques du phishing et sur la manière de reconnaître les communications frauduleuses.
2. Mettre en œuvre une authentification non hameçonnable : Passer à des méthodes d'authentification qui ne reposent pas sur des informations pouvant être sollicitées ou interceptées, fermant ainsi la porte à de nombreuses tentatives de phishing.
3. Améliorer les systèmes de détection de la fraude : Utiliser des analyses avancées et l'apprentissage automatique pour détecter et prévenir les transactions non autorisées, même si les hameçonneurs obtiennent une forme de données d'authentification.

Bien que le phishing reste une menace importante pour le secteur bancaire, l'adoption de méthodes d'authentification non hameçonnables comme les passkeys représente une avancée essentielle pour sécuriser les services bancaires en ligne contre les fraudeurs. En supprimant le maillon le plus faible, à savoir la possibilité de hameçonner les facteurs d'authentification, les banques peuvent améliorer considérablement la sécurité des actifs et des informations personnelles de leurs clients.

À ce jour, la Banque centrale européenne et les autorités de surveillance bancaire locales (par exemple, la BaFin) n'ont pas pris position sur la question de savoir si les passkeys, dans leur ensemble, seraient classés comme 2FA ou sur la manière dont les banques devraient les utiliser.

Dans la section suivante, nous visons à expliquer pourquoi nous pensons que les passkeys sont conformes à la DSP2.

Lors de discussions avec des parties prenantes des secteurs du paiement, de la fintech et de la banque, une question revient sans cesse : Les passkeys sont-ils conformes à la DSP2 et peuvent-ils servir de seule forme d'authentification dans les scénarios bancaires ? La relation entre les passkeys et la Directive sur les Services de Paiement révisée (DSP2) dans l'Union européenne est nuancée et exige une exploration détaillée. Pour clarifier, les passkeys sont généralement classés en deux types : les Passkeys synchronisés (multi-appareils) et les Passkeys non synchronisés (mono-appareil), chacun ayant des caractéristiques distinctes en matière de conformité à la DSP2 :

Le respect de la conformité est très important pour les entités réglementées telles que les banques et les compagnies d'assurance. Cependant, les politiques de conformité peuvent mettre beaucoup de temps à évoluer. Dans le cas des passkeys, le principal avantage en matière de sécurité est qu'ils ne sont pas hameçonnables, car les clients ne peuvent pas divulguer ces informations aux attaquants par inadvertance.

Bien que les passkeys améliorent considérablement la sécurité en n'étant pas hameçonnables, ils déplacent une partie du risque vers le compte cloud du client, comme le Trousseau iCloud d'Apple. Cela rend le compte cloud une cible plus attrayante pour les attaquants. Cependant, des services comme iCloud d'Apple disposent de mesures de sécurité robustes, en particulier pour les fonctionnalités qui prennent en charge les passkeys.

Premièrement, les passkeys iCloud dépendent de l'activation de l'authentification à deux facteurs (2FA) sur le compte, ce qui ajoute une couche de sécurité supplémentaire. Cela signifie que même si un attaquant connaît le mot de passe iCloud du client, il aurait toujours besoin d'un accès à un appareil de confiance ou à un numéro de téléphone pour recevoir le code 2FA.

Apple, et de même Google pour leurs comptes, investissent des ressources considérables pour sécuriser ces services cloud. Les protocoles de sécurité pour les comptes qui prennent en charge les passkeys dans le cloud sont rigoureux, rendant presque impossible pour des utilisateurs non autorisés de s'y introduire. Ce haut niveau de sécurité est maintenu grâce à des mises à jour constantes et des correctifs de sécurité (et ils ont également introduit les passkeys pour leurs propres comptes, voir cet article de blog).

De plus, le vol d'appareils ou de comptes cloud, bien qu'étant un risque potentiel, n'est pas le vecteur d'attaque le plus courant pour les applications bancaires. En cas de besoins de sécurité accrus, comme pour des transactions suspectes, les banques pourraient continuer à utiliser les OTP par SMS comme facteur supplémentaire. En remplaçant le code PIN / mot de passe par des passkeys, le premier facteur d'authentification devient non hameçonnable, ce qui réduit considérablement le risque d'attaques de phishing réussies. Un troisième facteur pourrait être introduit pour les transactions signalées comme suspectes, garantissant ainsi une posture de sécurité robuste.

Contrairement aux opinions traditionnelles (averses au risque) sur la conformité à la DSP2, Finom et Revolut ont décidé que la protection des données des clients est plus importante et utilisent donc les passkeys, malgré l'absence de décision publique européenne sur la manière dont la supervision bancaire devrait traiter les passkeys au regard de la conformité à la DSP2. Les néobanques et les fintechs comme Finom et Revolut remettent en question le statu quo et, ce faisant, influencent le paysage réglementaire concernant les mesures d'authentification prescrites par la DSP2.

En donnant la priorité à la sécurité et à l'intégrité des données des clients, ces pionniers de la fintech adoptent les passkeys même en l'absence de directives réglementaires explicites des autorités européennes. Cette position proactive place la responsabilité sur les régulateurs de réévaluer leurs cadres de conformité à la lumière des avancées technologiques qui offrent des solutions de sécurité supérieures.

La décision audacieuse de Finom et Revolut de mettre en œuvre les passkeys met en lumière un aspect essentiel de la conformité réglementaire : il ne s'agit pas d'adhérer rigidement à des normes, mais plutôt d'atteindre les objectifs sous-jacents de ces normes, qui, dans ce cas, sont la sécurité maximale des données et des transactions des clients. En choisissant de donner la priorité à la protection des données plutôt qu'à une adhésion stricte aux modèles de conformité traditionnels, ces néobanques établissent de nouvelles références pour le secteur.

D'un point de vue réglementaire, il y a un besoin pressant de clarté et d'adaptation pour intégrer des avancées comme les passkeys dans le cadre de la conformité à la DSP2. Nous exhortons l'UE à prendre une position définitive sur les passkeys, en les reconnaissant comme une forme supérieure d'authentification multifacteur (MFA) qui s'aligne sur les objectifs fondamentaux de la DSP2 pour renforcer la sécurité et réduire la fraude dans l'écosystème des paiements numériques.

Les passkeys, par leur conception, offrent un facteur d'authentification robuste et résistant au phishing qui surpasse les capacités de sécurité de la plupart des méthodes MFA traditionnelles. Cela non seulement améliore la sécurité, mais simplifie également l'expérience utilisateur, répondant ainsi à deux aspects critiques de la conformité à la DSP2.

La position de l'UE devrait évoluer pour refléter les avancées technologiques qui redéfinissent ce qui constitue une authentification efficace et sécurisée. En adoptant des innovations comme les passkeys et en les intégrant dans le tissu réglementaire, l'UE peut démontrer son engagement à la fois à protéger les consommateurs et à favoriser un environnement de finance numérique tourné vers l'avenir.

Alors que le secteur financier continue d'innover, il incombe aux régulateurs de fournir des orientations claires et progressistes qui non seulement suivent le rythme des changements technologiques, mais anticipent également les développements futurs. Les néobanques mènent actuellement la charge, mais il est en fin de compte de la responsabilité des organismes de réglementation de veiller à ce que le secteur financier dans son ensemble puisse avancer en toute sécurité et avec confiance vers l'avenir de la banque numérique.

L'adoption des passkeys dans le secteur bancaire et de la fintech se distingue comme un excellent exemple d'innovation qui améliore considérablement à la fois la sécurité et l'expérience utilisateur. Tout au long de notre article, nous avons établi le potentiel des passkeys en tant que solution d'authentification avant-gardiste qui s'aligne sur les exigences de sécurité strictes de la DSP2 tout en atténuant les menaces répandues telles que le phishing. Les néobanques / fintechs comme Finom et Revolut ont créé un précédent en intégrant les passkeys dans leurs cadres de sécurité, démontrant leur efficacité et leur approche centrée sur le client.

Un plan d'action en trois étapes pour les banques traditionnelles pourrait se présenter comme suit :

1. Dialogue avec les régulateurs locaux : Les banques traditionnelles devraient engager un dialogue proactif avec leurs organismes de réglementation locaux et leurs autorités de surveillance bancaire pour discuter de la mise en œuvre des passkeys. Ce dialogue devrait viser à clarifier les positions réglementaires et à ouvrir la voie à l'intégration des passkeys dans la structure de conformité existante. En prenant l'initiative, les banques peuvent contribuer à façonner un environnement réglementaire qui soutient les méthodes d'authentification innovantes.
2. Apprendre des meilleures pratiques des néobanques : Il est impératif pour les banques traditionnelles d'observer et d'apprendre des néobanques qui ont mis en œuvre les passkeys avec succès. L'étude de ces meilleures pratiques fournira des informations précieuses sur les aspects opérationnels, techniques et de service client du déploiement des passkeys. Ce transfert de connaissances peut aider les banques traditionnelles à élaborer leurs propres stratégies d'adoption des passkeys.
3. Transition stratégique vers les passkeys : Avec une clarté réglementaire et une compréhension des meilleures pratiques, les banques traditionnelles peuvent élaborer un plan complet pour faire passer les clients à une authentification basée sur les passkeys. Ce plan devrait inclure des campagnes d'éducation des clients pour expliquer les avantages et l'utilisation des passkeys, des déploiements progressifs pour assurer une transition en douceur, et une évaluation continue pour relever rapidement les défis.

L'avenir de l'authentification bancaire réside dans les technologies qui privilégient à la fois la sécurité et la convivialité. Les Passkeys représentent un pas dans cette direction, offrant une méthode d'authentification non hameçonnable et conviviale qui répond aux normes établies par la DSP2 et d'autres cadres réglementaires.

Pour les banques traditionnelles, le moment est venu d'adopter le changement et d'entamer la transition vers les passkeys. Cette transition, cependant, ne doit pas être brutale mais plutôt une démarche mûrement réfléchie, tenant compte des besoins uniques de leur clientèle, de l'environnement réglementaire spécifique et de la maturité technologique de l'institution.

L'objectif ultime est de garantir que chaque client bénéficie d'une sécurité renforcée sans sacrifier la commodité. En adoptant les passkeys, les banques ne se contenteront pas de protéger leurs clients avec une technologie de pointe, mais signaleront également un engagement envers l'innovation et une approche centrée sur le client à l'ère de la finance numérique.