La directive européenne sur les services de paiement 2ème version (DSP2) renforce la sécurité des paiements en ligne et rend obligatoire l’authentification forte ou Strong Customer Authentification (SCA) pour quasiment toutes les transactions à distance.

Cette authentification forte sera également nécessaire pour accéder aux informations bancaires telles que les relevés de comptes lors du 1er accès (la fin du webscrapping ?).

C’est quoi l’authentification forte (SCA) ?

Une authentification est considérée comme forte si elle utilise simultanément deux méthodes d’authentification impliquant l’usage de « deux éléments ou plus appartenant aux catégories suivantes » :

  • Connaissance (ce que l’utilisateur connaît) : Tout ce qui va authentifier (permettre de vérifier par la mémoire) l’identité d’une personne comme un mot de passe un code PIN ou encore une question secrète ;
  • Inhérence (ce qui vient naturellement avec l’utilisateur) : Tout ce qui est lié d’une manière intime à l’utilisateur (vérification biométrique) et permet son authentification, ceci peut être vérifié à partir d’une empreinte digitale ou rétinienne ou avec de la reconnaissance faciale ou encore vocale
  • Possession (ce que l’utilisateur possède) : Objet ou entité en possession de l’utilisateur du service (vérification par la possession) qui permettra l’authentification du possesseur.  Par exemple une carte à puces, smartphones, TOKEN, puces RFID, une application, un certificat, …

On parle alors d’authentification à double facteur (F2A).


Le facteur de connaissance 

Le facteur de connaissance le plus répandu : login + mot de passe
Facteur de connaissance : login et mot de passe

La mise en œuvre du facteur de connaissance, sous la forme login/mot de passe, est la plus répandue et elle reste tout à fait pertinente si l’on respecte quelques règles de bon sens :

  • Ne jamais divulguer son mot de passe à un tiers
  • Utiliser des canaux sécurisés pour le transmettre (https) lors des phases d’authentification,
  • Choisir un mot de passe robuste (longueur suffisante vis-à-vis du jeu de caractères utilisé)

Le facteur d’inhérence 

L'authentification par biométrie : pas si simple à mettre en oeuvre
Facteur d’inhérence : la biométrie

Malgré l’effervescence médiatique liée aux innovations techniques et marketing des fabricants de smartphone, force est de constater que la reconnaissance biométrique (et donc du facteur d’inhérence) mise en œuvre sur les mobiles est difficilement utilisable par des applications tierces pour au moins deux raisons :

Une 1ère raison liée à la fiabilité relative de la reconnaissance impactée par divers paramètres :

  • Caractéristiques de la personne (homme/femme, peau claire/foncée, âge etc..).
  • Environnement et conditions d’application (lumière).
  • Qualité du capteur.

Une 2ème raison due à l’implémentation même du dispositif.

En pratique, lorsque l’utilisateur s’authentifie, le doigt posé sur le lecteur de l’appareil, l’image faciale ou l’image de l’iris est comparé avec le gabarit biométrique préalablement enregistré.

Les données liées aux empreintes ne sont pas partagées avec les applications tierces. En effet les dispositifs biométriques sur smartphones fonctionnent de manière autonome, dans un environnement totalement cloisonné au sein de l’appareil ce qui empêche l’accès aux données biométriques hors de cette enclave sécurisée.  Le service ou l’application qui utilise ce mode d’authentification ne reçoit qu’une information sur la réussite ou l’échec de la comparaison entre les données présentées et le gabarit enregistré.

Sans oublier que la mise en place d’une « vraie » authentification utilisant la biométrie, incluant donc une base de données biométriques, soulève de graves interrogations sur le respect des données personnelles et nécessite en France au moins l’accord de la CNIL.

Le facteur de possession   

Authentification par possession : plusieurs solutions à envisager
Facteur de possession : un objet associé à un utilisateur

Le choix le plus pertinent actuellement pour compléter une authentification utilisant en premier le facteur connaissance est donc une authentification basée sur la possession.

Ce type d’authentification doit relever deux défis :

  • Associer un objet à un et un seul utilisateur
  • Fournir au service d’authentification le moyen de s’assurer que l’objet est bien en possession de l’utilisateur au moment de l’authentification.

L’association peut être faite par l’utilisateur lors d’une phase d’inscription ou par le service d’authentification si celui-ci distribue les objets (cas des cartes de paiements à puces). La deuxième méthode nécessite bien évidemment une logistique conséquente pour la distribution et la gestion (casse, perte …) du parc des dits objets.

Quelle méthode choisir ?

La vérification à distance de la possession d’un objet peut prendre diverses formes :

  1. L’envoi de SMS sur un smartphone est un premier exemple : le serveur d’authentification émet un sms contant un code à usage unique vers un smartphone et demande à l’utilisateur et possesseur du smartphone (ou plutôt de la carte SIM) de renvoyer le code reçu. (à noter que l’envoi de mail n’est pas basé sur la possession mais sur la connaissance des identifiants de connexion au serveur de messagerie)
  2. Une deuxième méthode est basée sur l’utilisation de clés de sécurité U2F : ces dispositifs électroniques permettent leurs inscriptions auprès des serveurs d’authentifications et sont capables de réaliser des calculs cryptographiques vérifiables par le serveur grâce aux données  transmises lors de la phase d’inscription.
    Ces dispositifs électroniques sont connectables (par Bluetooth, NFC, ou USB) aux postes de travail (PC, smartphones) pour échanger « directement » avec le serveur d’authentification.
    Avec le standard U2F, un seul token peut être utilisé pour s’authentifier auprès de plusieurs serveurs d’authentification mutualisant ainsi le coût d’achat du dispositif (quelques dizaines d’euros).
  3. Une troisième méthode met en œuvre des codes OTP (One Time Password). Cette méthode se base sur la possession par l’utilisateur d’un générateur OTP. Ce générateur calcule à intervalle régulier (30 secondes) un code basé sur le temps et sur un secret unique et propre au générateur mais communiqué au service d’authentification.  Lors de l’authentification l’utilisateur est invité à saisir le code affiché par le générateur en sa possession. Le code saisi doit être identique à celui calculé par le serveur au même moment et basé sur le secret partagé.

    Le générateur peut être un dispositif électronique physique ou un programme (Google Authenticator, FreeOTP …) installé sur un smartphone ou un PC. Dans ce cas, pour simplifier l’inscription du générateur et le partage du secret, il est courant que le secret soit généré sur le serveur et communiqué au générateur (via un QrCode par exemple) lors de son initialisation.
    Cette méthode permet de vérifier que l’utilisateur possède bien un appareil où est installé un générateur initialisé avec le secret partagé. A noter que l’appareil n’a pas besoin d’être connecté à un réseau de données.
  4. D’autres méthodes moins « high tech » telles que la liste de codes à usage unique ou celles basées sur l’utilisation de grilles de codes peuvent également être envisagées car, moyennant quelques précautions d’usages (sécurisation des supports papiers), elles restent tout à fait pertinentes au niveau sécurité.


En conclusion 

Associer login/mot de passe et facteur de possession : une solution simple à mettre en oeuvre
Le plus simple : associer connaissance et possession

Comme on peut le voir, le choix d’une authentification forte utilisant le facteur possession en complément du « bon vieux » login/mot de passe semble la solution la plus simple à mettre en œuvre.

Il dépend du nombre d’utilisateurs à authentifier : plus le nombre augmente, plus la logistique d’un parc d’identificateurs physiques sera lourde.

Si l’on souhaite ne pas imposer aux utilisateurs l’achat d’un dispositif physique, l’utilisation de générateurs logiciels OTP est une solution intéressante.

Si tous les utilisateurs disposent d’un smartphone connecté au réseau, l’envoi de code par SMS est alors à étudier. L’idéal étant d’offrir plusieurs possibilités à l’utilisateur.

Enfin pour les services 24/24 7/7, il convient également d’envisager le cas où l‘utilisateur ne peut plus utiliser son équipement (vol, casse, perte, …) et de prévoir un solution dégradée telle que l’utilisation de listes de codes de secours ou la mise en œuvre d’un service support client 24/24 7/7.




Yves CLOGENSON
Directeur Etudes et Innovations
Groupe CEDRICOM