Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’authentification en ligne, facteur clé de l’optimisation du parcours client

janvier 2018 par Brett McDowell, Directeur Exécutif de l’Alliance FIDO

La nouvelle Directive des Services de Paiement (DSP2) est officiellement entrée en vigueur le 13 janvier dernier, rendant ainsi l’authentification forte des consommateurs (SCA) obligatoire pour les organisations de services financiers. Son objectif est de sécuriser l’accès aux comptes bancaires pour agréger toutes les informations qui s’y rapportent, via l’Open Banking, ou pour initier des paiements. Dans le cadre de cette directive, les normes techniques règlementaires (RTS), publiées par l’Autorité Bancaire Européenne (EBA), décrivent les principes de l’authentification multi-facteurs ainsi que la génération de codes d’authentification. Néanmoins, il ne s’agit pas de spécifications de mise en œuvre, et les banques, comme les prestataires de services de paiement, doivent décider comment authentifier leurs clients.

Pour Brett McDowell, Directeur Exécutif de l’Alliance FIDO, ce libre choix de l’authentification risque de conduire à des solutions fragmentées, ce qui ne fera qu’augmenter les coûts et affecter l’expérience client. Si la DSP2 est plus que nécessaire pour renforcer la sécurité dans le secteur des paiements, s’y conformer représente un véritable défi :

« Nous croyons en la révolution de l’authentification en ligne, via le déploiement de standards ouverts interopérables basés sur la cryptographie à clé publique pour une sécurité renforcée. L’utilisation d’un équipement sécurisé pour exécuter les opérations cryptographiques, combinée à la vérification de l’identité, permettra d’optimiser l’expérience utilisateur. Il est en effet possible d’intégrer ces dispositifs d’authentification au cœur d’appareils tels que des ordinateurs, tablettes ou encore smartphones, pour une utilisation grandement facilitée.

Ce type de solutions, basées sur un équipement et sur un code ou une capture biométrique vérifié localement, dans l’équipement, permet de répondre aux exigences des RTS qui requièrent une authentification forte à facteurs multiples. De plus, cette vérification locale et l’usage de cryptographie à clé publique éliminent les attaques visant à récupérer des identifiants de "secrets partagés" tels que des mots de passe.

Par ailleurs, ces solutions permettent de proposer un parcours client facilité, gage d’une bonne acceptation par les utilisateurs. Par exemple, un consommateur initie une transaction à partir d’une application mobile, il appuie sur un bouton ou une icône avant d’être redirigé vers l’écran de paiement de la banque ou du prestataire de services de paiement (PSP). Les détails de la transaction apparaissent ensuite et l’utilisateur approuve le paiement, en authentifiant son empreinte digitale, en prenant un selfie ou en entrant un code confidentiel. Le reste est géré de façon invisible par l’authentificateur qui communique avec le serveur distant pour fournir le cryptogramme requis. Dans le cas d’un achat depuis un ordinateur via un navigateur internet, l’utilisateur initie un paiement en cliquant sur un bouton. Celui-ci sollicite ensuite son authentificateur, affiche les détails de la transaction, puis attend la confirmation de l’identité de l’utilisateur selon le même procédé que via l’application mobile.

La simplicité et l’évidence de ces scénarios démontrent que ces normes vont aider les banques et les prestataires de services de paiement à implémenter l’authentification forte des consommateurs en toute conformité. »




Voir les articles précédents

    

Voir les articles suivants