01/07/2009

La Banque de France impose le 3D Secure en France


En juin 2010, toutes les banques françaises devront implémenter le 3D-Secure pour les paiements par Internet. C'est la banque de France qui l'impose.

Déjà, depuis le 1er octobre 2008, le transfert de responsabilité propre à la technologie 3D Secure (Liability Shift) est de vigueur entre la banque du commerçant et la banque du client : la banque émettrice de la carte bancaire est tenue pour responsable de son utilisation frauduleuse lors d'un achat en ligne, charge à elle de s'assurer de la sécurité de ses cartes.

Mais désormais, dans un courrier envoyé à toutes les banques françaises, La Banque de France impose que le 3D-Secure soit effectif pour juin 2010. La banque de France est également très claire sur le mode d'authentification qui devra être proposé à tous les clients détenteurs d'une carte de paiement : l'authentification devra impérativement être non-rejouable. Par là, la Banque de France balaye les banques qui ont rapidement mis en place le 3D-Secure envoyant par courrier à leurs clients un code à 4 chiffres ou celles qui demandent simplement la date de naissance du client.

Qu'est-ce que le 3D-Secure ?

L'objectif de 3D-Secure est d'élever le niveau de sécurité des paiements sur Internet effectués avec une carte (VISA, CB, MasterCard, etc). 

Le principe de 3D-Secure consiste à demander à l'acheteur (le client) de s’authentifier auprès de sa banque (issuer) lors de la phase paiement.
Pour s'authentifier, l'acheteur doit fournir un code secret (code PIN, mot de passe OTP) convenu avec sa banque. Ce code est normalement envoyé par la banque par courrier à ses clients.
 
Avec le système actuel, c'est à dire sans le 3D-Secure, la transaction s'effectue uniquement entre deux intervenants : l'acheteur et le marchand. Avec 3D-Secure, un troisième intervenant est de la partie : la banque de l'acheteur. D'où le "3D".

Le schéma ci-dessous illustre le principe de 3D-Secure :



Chaque marque de carte propose un système 3D-Secure. Ce système permet de gérer le protocole entre l'acquirer et l'issuer. Chez VISA ce système s'appelle « Verified by VISA » ( VbV ) et « MasterCard Secure Code » du côté de son concurrent.



Les banques doivent proposer un moyen d'authentification non-rejouable

La Banque de France est claire. Sans fournir une liste de technologies ou d'éditeurs, celle-ci impose que les banques mettent à disposition un moyen technique pour une authentification non-rejouable. 

La Banque de France impose cela pour les paiements par carte Visa/Mastercard sur Internet et également pour l'accès aux portails en ligne des banques. Les clients des banques devront donc utiliser un moyen d'authentification non-rejouable pour se logger sur leur banque consulter leurs comptes et faire des opérations par Internet.
Petite appartée ici. La Banque de France requiert que l'authentification non rejouable soit mise en place dès la connexion au site de la banque. La raison est qu'aujourd'hui de plus en plus d'opérations ou d'informations sensibles sont directement accessibles après l'authentification

Pourquoi un simple code PIN ou mot de passe solide ne suffit ? La Banque de France a raison : il est impératif que l'authentification du client auprès de sa banque soit non-rejouable. Il ne s'agit pas ici de se prémunir du risque de sniffing sur Internet (qui est en grande partie géré par HTTPS), mais des malwares. Très concrètement, les malwares peuvent enregistrer tout ce que l'utilisateur victime saisit dans un formulaire web, qu'il soit HTTPS ou non, cela ne change rien, car le malware s'insère directement dans Internet Explorer. J'ai pu participer et publier une étude très approfondie sur un malware dédié au vol de numéros de carte de crédit et identifiant bancaire : le malware Anserin (Lien Anserin sur le SSTIC 08 : http://www.sstic.org/SSTIC08/programme.do).
Les pirates peuvent ainsi récupérer ainsi toutes les données saisies dans le navigateur d'un poste infecté. Si l'authentification est rejouable (comme un mot de passe ou une date de naissance), le pirate en aura connaissance et pourra le réutiliser.

Il est donc impératif d'utiliser un code qui ne sera valable qu'une seule fois. Ainsi, peu importe si un malware a pu intercepter le code 3D-Secure, ce dernier ne sera pas réutilisable.

A qui profite 3D-Secure ?

Au marchand et à la banque de marchand (acquirer). La banque du porteur (issuer) endosse la responsabilité des fraudes : d'où la mise en place de 3D Secure en "urgence" avec des dates de naissance comme mots de passe. Pour le client (le consommateur), le 3D-Secure ne lui apporte pas grand-chose, voire lui retire des droits pour le recours en cas d'utilisation frauduleuse de sa carte (les textes sont flous sur ce point). En effet, le pirate pourra utiliser son numéro de carte dans un pays où le 3D-Secure n'est pas en place et le compte victime sera débité (si la transaction est autorisée par Visa).

Visa annonce des commissions moins élevées pour les transactions 3D-Secure (commission pour la banque, cela ne change rien pour le client final).

Point important, le 3D-Secure complexifie le processus d'achat en ligne. Certains annoncent une perte de 20% du taux de transformation d'un panier à cause de la complexité 3D-Secure au moins du paiement

Solutions pour un moyen d'authentification non-rejouable 

Petit tour d'horizon des solutions disponibles.

Calculette One Time Password (OTP) 

Pour les cartes équipées d'une carte à puce (système EMV), il est possible d'utiliser une calculette qui produira un challenge à saisir sur le site de la banque lors de l'achat. Ce challenge sera uhash calculé en fonction du code PIN saisi par l'utilisateur. Le HSM de la banque pourra ainsi vérifier l'identifié du client. C'est un TPE virtuel.


Les principaux acteurs sont Xiring avec sa calculette "Vericode", Visa avec "Dynamic Passcode",  MasterCard avec "OneSmart", ActivIdentity avec "Solo Reader".

Les protocoles derrière ce système sont le Mastercard Chip Authentication Protocol (CAP) ou le VISA Dynamic Passcode Authentication (DPA).

Token OTP

Tout le monde connait le SecurID de RSA. Un porte-clé avec un code à 6 chiffres non prédictible qui s'affiche et change toutes les 30 secondes. 
La banque possède un serveur synchronisé de son côté.

De nombreux concurrents existes, citons Gemalto avec son "Easy OTP token" et Aladdin avec son "eToken". 

Carte matricielle

C'est une carte de type bataille navale. Chaque client en reçoit une par la poste. A chaque paiement, la banque demande une combinaison différente (ex: A-6, B-12).
Ce type de système a été partiellement cassé par le malware Anserin, qui demandait aux victimes de recopier plusieurs combinaisons afin de pouvoir les réutiliser par la suite.

Authentification par SMS

C'est l'authentification double-canal. Lors de la phase de paiement, la banque voit envoi un SMS avec un code à usage unique que vous devez saisir pour valider le paiement.


8 commentaires:

  1. Si vous voulez plus d'info sur les technologies d'authentification forte, je vous recommande ce site: La Citadelle Electronique:

    citadelle-electronique.net

    RépondreSupprimer
  2. Bonjour,

    je viens tout juste de découvrir votre blog. Très intéressant ! J'ignorais que la Banque de France avait obligé les Banques à passer au "3D-Secure".
    Au Luxembourg où je travaille, le service OTP est fourni par une société, LUXTRUST sous forme de Clé USB, Token ou par SMS. Mais le problème qui se pose c'est la lenteur dû au fait qu'en plus de la Banque du client, il faut une connexion vers Luxtrust et si ce dernier est saturé alors ... le manque à gagner pour le commerce en ligne risque d'être assez lourd !
    eugene.mpundu@yahoo.fr

    RépondreSupprimer
  3. C'est en effet intéressant. Les banques externalisent l'OTP, cela complique la chose encore plus.

    RépondreSupprimer
  4. Dans les calculettes OTP on a oublie de citer vasco, tres rependu en Belgique. Pour info, ING Belgique utilises un simple mot de passe qu'on choisi a la première utilisation, pas très secure...

    RépondreSupprimer
  5. une catastrophe pour le e-commerce en France.
    Ridicule d'imposer au consommateur tant de contraintes quelque soit le montant de la transaction (même moins de 10 euros!).

    RépondreSupprimer
  6. C'est vrai que c'est plutôt catastrophique pour les e-commerçants. Cependant, il est possible de négocier dans son contrat VAD avec sa banque la possibilité de désactiver le 3D-Secure et d'accepter la fraude.

    RépondreSupprimer
  7. nous sommes et 2012 et utilisons la monnaie commune depuis une dixaine d'année; le problème de l'adoption d'un tel système de protection empêche les transactions de possesseur de carte étrangère (luxembourg, irlande...).
    C'est ridicule, scandaleux et anti-libéral.
    Impossible pour moi de m'abonner à une offre télécom compétitive par internet en France à cause de ceci avec une CB de Luxembourg.
    L'europe c'est bien, mais ça sert pas aux personnes comme moi qui consomme visiblement...

    RépondreSupprimer
  8. Mastercard a validé une carte bancaire acoustique conçue par la société DIGIPAY Group et qui sera dévoilée fin octobre.

    Le principe est de générer sous la forme d'un code sonore des mots de passe dynamiques, non re-jouable. Le tout est associé à l'usage d'un code confidentiel, personnel et personnalisable.

    RépondreSupprimer