Brett McDowell
La nouvelle Directive des Services de Paiement (DSP2) est officiellement entrée en vigueur le 13 janvier dernier, rendant ainsi l’authentification forte des consommateurs (SCA) obligatoire pour les organisations de services financiers. Son objectif est de sécuriser l’accès aux comptes bancaires pour agréger toutes les informations qui s’y rapportent, via l’Open Banking, ou pour initier des paiements. Dans le cadre de cette directive, les normes techniques règlementaires (RTS), publiées par l’Autorité Bancaire Européenne (EBA), décrivent les principes de l’authentification multi-facteurs ainsi que la génération de codes d’authentification. Néanmoins, il ne s’agit pas de spécifications de mise en œuvre, et les banques, comme les prestataires de services de paiement, doivent décider comment authentifier leurs clients.
Pour Brett McDowell, Directeur Exécutif de l’Alliance FIDO, ce libre choix de l’authentification risque de conduire à des solutions fragmentées, ce qui ne fera qu’augmenter les coûts et affecter l’expérience client. Si la DSP2 est plus que nécessaire pour renforcer la sécurité dans le secteur des paiements, s’y conformer représente un véritable défi :
« Nous croyons en la révolution de l’authentification en ligne, via le déploiement de standards ouverts interopérables basés sur la cryptographie à clé publique pour une sécurité renforcée. L’utilisation d’un équipement sécurisé pour exécuter les opérations cryptographiques, combinée à la vérification de l’identité, permettra d’optimiser l’expérience utilisateur. Il est en effet possible d’intégrer ces dispositifs d’authentification au cœur d’appareils tels que des ordinateurs, tablettes ou encore smartphones, pour une utilisation grandement facilitée.
Ce type de solutions, basées sur un équipement et sur un code ou une capture biométrique vérifié localement, dans l’équipement, permet de répondre aux exigences des RTS qui requièrent une authentification forte à facteurs multiples. De plus, cette vérification locale et l’usage de cryptographie à clé publique éliminent les attaques visant à récupérer des identifiants de "secrets partagés" tels que des mots de passe.
Par ailleurs, ces solutions permettent de proposer un parcours client facilité, gage d’une bonne acceptation par les utilisateurs. Par exemple, un consommateur initie une transaction à partir d’une application mobile, il appuie sur un bouton ou une icône avant d’être redirigé vers l’écran de paiement de la banque ou du prestataire de services de paiement (PSP). Les détails de la transaction apparaissent ensuite et l’utilisateur approuve le paiement, en authentifiant son empreinte digitale, en prenant un selfie ou en entrant un code confidentiel. Le reste est géré de façon invisible par l’authentificateur qui communique avec le serveur distant pour fournir le cryptogramme requis. Dans le cas d’un achat depuis un ordinateur via un navigateur internet, l’utilisateur initie un paiement en cliquant sur un bouton. Celui-ci sollicite ensuite son authentificateur, affiche les détails de la transaction, puis attend la confirmation de l’identité de l’utilisateur selon le même procédé que via l’application mobile.
La simplicité et l’évidence de ces scénarios démontrent que ces normes vont aider les banques et les prestataires de services de paiement à implémenter l’authentification forte des consommateurs en toute conformité. »
Pour Brett McDowell, Directeur Exécutif de l’Alliance FIDO, ce libre choix de l’authentification risque de conduire à des solutions fragmentées, ce qui ne fera qu’augmenter les coûts et affecter l’expérience client. Si la DSP2 est plus que nécessaire pour renforcer la sécurité dans le secteur des paiements, s’y conformer représente un véritable défi :
« Nous croyons en la révolution de l’authentification en ligne, via le déploiement de standards ouverts interopérables basés sur la cryptographie à clé publique pour une sécurité renforcée. L’utilisation d’un équipement sécurisé pour exécuter les opérations cryptographiques, combinée à la vérification de l’identité, permettra d’optimiser l’expérience utilisateur. Il est en effet possible d’intégrer ces dispositifs d’authentification au cœur d’appareils tels que des ordinateurs, tablettes ou encore smartphones, pour une utilisation grandement facilitée.
Ce type de solutions, basées sur un équipement et sur un code ou une capture biométrique vérifié localement, dans l’équipement, permet de répondre aux exigences des RTS qui requièrent une authentification forte à facteurs multiples. De plus, cette vérification locale et l’usage de cryptographie à clé publique éliminent les attaques visant à récupérer des identifiants de "secrets partagés" tels que des mots de passe.
Par ailleurs, ces solutions permettent de proposer un parcours client facilité, gage d’une bonne acceptation par les utilisateurs. Par exemple, un consommateur initie une transaction à partir d’une application mobile, il appuie sur un bouton ou une icône avant d’être redirigé vers l’écran de paiement de la banque ou du prestataire de services de paiement (PSP). Les détails de la transaction apparaissent ensuite et l’utilisateur approuve le paiement, en authentifiant son empreinte digitale, en prenant un selfie ou en entrant un code confidentiel. Le reste est géré de façon invisible par l’authentificateur qui communique avec le serveur distant pour fournir le cryptogramme requis. Dans le cas d’un achat depuis un ordinateur via un navigateur internet, l’utilisateur initie un paiement en cliquant sur un bouton. Celui-ci sollicite ensuite son authentificateur, affiche les détails de la transaction, puis attend la confirmation de l’identité de l’utilisateur selon le même procédé que via l’application mobile.
La simplicité et l’évidence de ces scénarios démontrent que ces normes vont aider les banques et les prestataires de services de paiement à implémenter l’authentification forte des consommateurs en toute conformité. »
Les médias du groupe Finyear
Lisez gratuitement :
FINYEAR
Le quotidien Finyear :
- Finyear Quotidien
Sa newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation & Digital transformation.
Ses 4 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The Chief Digital Officer
Finyear magazine trimestriel digital :
- Finyear Magazine
Un seul formulaire d'abonnement pour choisir de recevoir un ou plusieurs médias Finyear
BLOCKCHAIN DAILY NEWS
Le quotidien Blockchain Daily News :
- Blockchain Daily News
Sa newsletter quotidienne :
- Blockchain Daily News Newsletter
Recevez chaque matin par mail la newsletter Blockchain daily News, une sélection quotidienne des meilleures infos et expertises en Blockchain révolution.
Sa lettre mensuelle digitale :
- The Chief Blockchain Officer
FINYEAR
Le quotidien Finyear :
- Finyear Quotidien
Sa newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation & Digital transformation.
Ses 4 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The Chief Digital Officer
Finyear magazine trimestriel digital :
- Finyear Magazine
Un seul formulaire d'abonnement pour choisir de recevoir un ou plusieurs médias Finyear
BLOCKCHAIN DAILY NEWS
Le quotidien Blockchain Daily News :
- Blockchain Daily News
Sa newsletter quotidienne :
- Blockchain Daily News Newsletter
Recevez chaque matin par mail la newsletter Blockchain daily News, une sélection quotidienne des meilleures infos et expertises en Blockchain révolution.
Sa lettre mensuelle digitale :
- The Chief Blockchain Officer