L'Autorité bancaire européenne (ABE) a publié en juin 2019 un avis sur les éléments de l'authentification forte des clients (SCA) dans le cadre de la révision de la directive sur les services de paiement (PSD2) . L'avis fournit des listes non exhaustives des éléments d'authentification et indique s'ils sont ou non conformes à la SCA. .
Les normes techniques réglementaires (RTS) concernant les SCA, adoptées en tant que règlement délégué de la Commission (UE) 2018/389, seront légalement applicables à partir du 14 septembre 2019. Toutefois, il semble que l'industrie n'est pas encore prête à adopter tous les changements. La complexité du secteur des paiements et les nouveaux acteurs sur le marché peuvent entraîner des retards. Afin d'éviter des conséquences négatives, l'ABE acceptera exceptionnellement certaines prolongations du délai (par exemple pour les e-commerçants qui ne seront très probablement pas prêts à temps). La prolongation ne sera acceptée que si l'autorité de conduite compétente l'a acceptée et suit de près la mise en oeuvre du plan SCA pendant la période prolongée. L'initiative ABE veillera à la cohérence de la mise en oeuvre de la SCA dans l'ensemble de l'UE.
L'ABE commente le fait que, bien que les lignes directrices sur la sécurité des paiements par Internet soient applicables depuis 2015, elles ne sont pas appliquées par tous les États membres. En outre, l'ABE a publié un avis sur la mise en oeuvre du RTS sur le SCA., et un Outil de questions/réponses dans un manuel de règles unique.
Qu'est-ce que l'authentification forte du client (SCA) ?
Le SCA (Strong Customer Authentication) est l'authentification client qui doit être appliquée chaque fois qu'un payeur accède à son compte de paiement en ligne, initie une transaction de paiement électronique ou effectue une action par un canal distant. Pour une plus grande sécurité d'une transaction à distance, l'authentification client doit créer un lien dynamique entre la transaction et le montant, le bénéficiaire et le payeur.
L'application d'une SCA repose sur trois éléments : l'élément "connaissance", "possession" et "inhérence". Les éléments sont indépendants, de sorte que la violation de l'un ne compromet pas la fiabilité des autres, et sont conçus de manière à protéger la confidentialité des données d'authentification.
L'avis de l'ABE commente ces trois éléments. L'application d'une SCA repose sur trois éléments : l'élément "connaissance", "possession" et "inhérence". Les éléments sont indépendants, de sorte que la violation de l'un ne compromet pas la fiabilité des autres, et sont conçus de manière à protéger la confidentialité des données d'authentification.
"Quelque chose que l'utilisateur est"
Les éléments d'inhérence se réfèrent à "quelque chose que l'utilisateur est". Ils sont liés à la biométrie biologique et comportementale, aux propriétés physiques des parties du corps, aux caractéristiques physiologiques et aux processus comportementaux créés par le corps, et à toute combinaison de ces éléments.L'élément inhérent est l'élément le plus innovant et le plus rapide. L'ABE fournit dans l'avis une liste non exhaustive d'éléments inhérents possibles, parmi lesquels : le balayage de la rétine et de l'iris, le balayage des empreintes digitales, la reconnaissance veineuse, la géométrie du visage et des mains, la reconnaissance vocale, la dynamique de frappe (identifier un utilisateur par la façon dont il tape et glisse, parfois appelée "modèles de frappe et de glissement"), l'angle auquel le PSU (Payment Service User) tient le dispositif et la fréquence cardiaque du PSU.
"Quelque chose que seul l'utilisateur possède"
Les éléments de possession font référence à "quelque chose que seul l'utilisateur possède". Il peut s'agir de spécifications d'algorithme, de longueur de clé et d'entropie de l'information. L'ABE est d'avis que les approches reposant sur les applications mobiles, les navigateurs Web ou l'échange de clés (publiques et privées) peuvent également constituer une preuve de possession, à condition qu'elles incluent un processus de liaison de dispositif qui assure une connexion unique entre l'application, le navigateur ou la clé du PSU et le dispositif. La signature numérique et le code QR sont également des éléments de possession. Les données de la carte et le code de sécurité imprimé sur la carte ne peuvent constituer ni un élément de connaissance ni un élément de possession. Seuls les codes dynamiques de la carte (codes non inscrits sur la carte) peuvent être un élément de possession.
La liste non exhaustive de l'ABE est présentée ci-dessous :
"Quelque chose que seul l'utilisateur sait"
Un élément de connaissance est "quelque chose que seul l'utilisateur connaît". Selon l'ABE, les éléments de connaissance peuvent être " un mot de passe, un code PIN, des réponses basées sur la connaissance aux défis ou aux questions, une phrase de passe et un tracé de déverouillage. Toutefois, les détails de la carte, les adresses électroniques, les noms d'utilisateur ou les mots de passe à usage unique ne sont pas considérés comme répondant aux exigences en matière de connaissances aux fins du SCA.Observations générales de l'Autorité bancaire européenne sur le SCA
L'avis de l'ABE contient également quelques observations générales concernant SCA. Un point que l'initiative ABE élargit déjà à partir de 2018 est que les deux éléments requis pour le SCA devraient appartenir à des catégories différentes, c'est-à-dire, par exemple, une de la catégorie des connaissances et une de la catégorie d'héritage. De plus, l'indépendance des éléments est essentielle, afin d'assurer la plus grande sécurité possible pour les transactions. L'ABE souligne également la possibilité de réutiliser un élément aux fins d'un SCA au cours de la même session.La date limite du 14 septembre approche et il reste à voir dans quelle mesure les professionnels seront prêts et si les avis et lignes directrices de l'ABE ont été pris en considération. Le projet est complexe, surtout pour les entreprises qui ne sont pas directement soumises au PSD2 et qui ne seront probablement pas prêtes. La prorogation accordée témoigne toutefois d'une certaine souplesse de la part de l'ABE et des autorités chargées de la déontologie.
