Sécuriser la banque en ligne : enjeux et solutions

Publié le par Georges LIBERMAN

Club CSA AS Communication Paris, le 26 janvier 2007 1

Les débats du Club CSA

Georges Liberman, Président de la société XIRING, a commencé sa carrière dans un grand groupe américain avant de rejoindre Bull. Il a créé la société XIRING en 1998, société qui est aujourd'hui un acteur majeur de la sécurité des transactions électroniques en Europe, en particulier dans le secteur bancaire et de la santé.

 

Georges LIBERMAN 

PDG de XIRING

Nigel REAVLEY

Directeur de la BU Banque de XIRING

     

  1. I. La société XIRING
  2.  

     

Georges LIBERMAN

XIRING est un éditeur de solutions de sécurité créé en 1998. Notre chiffre d'affaires ressort à 12,8 M€ dont une partie significative est réalisée à l’international. L’activité de sécurité bancaire a affiché une croissance de 65 % chez XIRING en 2006. Nous avons livré 7 millions de produits dans 30 pays depuis notre création.

Nous notons un fort engouement du public pour notre société : notre action a plus que doublé en trois mois. Cette situation tient à la performance de notre entreprise mais aussi dénote l’intérêt du grand public pour les sujets touchant à la sécurisation des transactions dans le domaine bancaire. Je pense qu’il s’agit d’un signal fort pour la communauté bancaire française qui doit voir en cela une attente forte de leurs clients.

Club CSA AS Communication Paris, le 26 janvier 2007 2

     

  1. II. Enjeux et solutions
  2.  

 

Nigel REAVLEY

Comme chacun sait, l’utilisation d’Internet est de plus en plus importante. Au Royaume-Uni, 68 % des titulaires de comptes utilisent Internet pour effectuer leurs transactions bancaires. Le web est donc devenu un canal incontournable pour les banques. Cette évolution incite fortement les établissements bancaires à sécuriser ce circuit de transactions d’autant plus que nous notons parallèlement un accroissement important de la fraude. Cette explosion du e-banking doit en effet être maîtrisée afin que les banques puissent conserver la confiance de leurs clients.

Les banques ont pris la mesure de ces enjeux. Elles diffusent toutes des messages appelant leurs clients à la vigilance, les incitant notamment à changer de mot de passe. Au-delà de ces premiers messages de prudence, les banques cherchent aussi à renforcer les authentifications : après les mots de passe statiques, elles sont passées au système de mots de passe dynamiques. De plus, outre les normes EMV portant sur les cartes de paiement, des normes ont été édictées pour les paiements en ligne avec 3D Secure et, pour les authentifications, avec CAP sous l’impulsion de Mastercard et de Visa.

Opter pour une solution standardisée en matière d’authentification comprend plusieurs avantages. Elle offre pour premier intérêt d’être utilisable pour tous les canaux de vente (Internet, téléphone). Elle est aussi plus simple du point de vue du client lequel utilisera un même système d’authentification pour toutes ses transactions même lorsqu’il sera multi bancarisé. Cette unicité sera donc également plus économique pour les banques évitant des appels trop nombreux vers une hotline de la part de clients demandant des informations sur l’utilisation du standard.

     

  1. III. Retour d’expérience : mise en oeuvre de la solution CAP dans les banques cantonales suisses
  2.  

 

Jean-Pierre SCHMIT, Unicible IT Services

La Suisse impose aux établissements bancaires des normes très strictes en matière de sécurité, de confidentialité et de qualité des transactions. Quasiment toutes les banques suisses protègent aujourd'hui leurs sites Internet par un système d’authentification forte même si aucune loi fédérale ne les y oblige.

Unicible IT Services, créé il y a 15 ans, emploie 400 personnes. Notre entreprise est spécialisée dans le développement, l’intégration et le support des applications bancaires. En Suisse Romande, Unicible IT Services est leader dans ce domaine. Nous intervenons notamment auprès de clients comme la Banque Cantonale de Genève, la Banque Cantonale de Neufchâtel et PostFinance.

La plate-forme d’authentification que nous proposons est constituée de deux interfaces : une interface d’authentification en lien avec la plate-forme d’e-banking et une interface à usage des administrateurs. La plate-forme d’administration est normalement interfacée avec le registre central des utilisateurs évitant ainsi la duplication des données.

Le service d’authentification proposé par Unicible IT Services comporte plusieurs modules. Il propose un module CAP qui repose sur le système EMV. Avec ce module, la carte EMV est utilisée à des fins d’authentification. Ce module CAP comprend plusieurs avantages puisqu’il permet un

Club CSA AS Communication Paris, le 26 janvier 2007 3

fort niveau de sécurisation et qu’il est simple d’utilisation. Son rapport qualité/prix est également très intéressant car la production de smartcards peut être industrialisée comme elle l’est pour les cartes de paiement. In fine, l’objectif sera de pouvoir regrouper ces deux fonctionnalités sur une même carte, mais les normes actuellement en vigueur en Suisse ne le permettent pas encore. Outre le module CAP, la solution Unicible IT Services propose également l’option carte à grille. Cette solution répond à la demande de certains de nos clients souhaitant opérer une segmentation de leur clientèle, en équipant plutôt leurs clients business d’une carte CAP et leurs clients retail d’une carte à grille.

Beaucoup de nos clients avaient déjà mis en place un premier système d’authentification mais, pour la plupart, leurs systèmes étaient obsolètes. Pour gérer ces situations, nous leur proposons un système transitoire permettant un basculement progressif de leur ancien système d’authentification vers un système d’authentification forte. Cette solution transitoire permet aux banques de gérer le rythme de leur migration pour un faible impact client.

Il convient de noter par ailleurs que les informations liées à l’authentification sont enregistrées dans une base de données dédiée. Pour assurer la sécurité du système, un boîtier hardware comprend également l’ensemble des clés d’authentification.

La plate-forme d’authentification est évolutive. Elle peut bénéficier de développements pour y intégrer des authentifications par SMS ou par module Java. Ces options peuvent être utilisées comme des leviers marketing par les banques en vue de séduire de nouvelles clientèles, en particulier la clientèle jeune.

La solution proposée par Unicible IT Services autorise une migration non intrusive allant dans le sens d’une meilleure gestion du risque. Grâce au module transitoire, et après réception de la carte à puce et du lecteur, le client peut utiliser encore pendant 30 jours son ancien moyen d’authentification. C’est également le client lui-même qui choisit à quel moment il commence à utiliser son nouveau moyen d’authentification. Cette solution permet aussi de réactiver l’ancien moyen d’authentification en cas de blocage. Elle est donc sécurisante du point de vue du client puisque ce dernier peut ainsi avoir accès à ses comptes à tout moment.

Nous pouvons citer plusieurs facteurs clés de succès pour une migration réussie. Tout d’abord, la migration doit être transparente pour l’utilisateur. Pour cela, le client doit être informé et recevoir un manuel d’utilisation. L’équipe d’authentification doit aussi être regroupée sur une même plate-forme afin de donner toutes les informations nécessaires aux administrateurs. Le succès de cette opération passe enfin par une collaboration étroite entre les banques, Unicible IT Services et Xiring dont les experts ont toujours été présents pour répondre à toutes nos questions techniques.

La plate-forme d’authentification forte que propose Unicible IT Services peut être intégrée aux systèmes d’information existants des banques. Elle est modulaire. Elle offre une solution à faible intrusion d’un excellent rapport qualité prix. Elle gère plusieurs moyens d’authentification, ce qui permet aux banques de prévoir une segmentation suivant le profil de leurs clients. Cette solution est également simple avec une seule interface à manier pour les administrateurs du système. Elle est adaptable aux besoins des banques et à leur politique de sécurité. C’est enfin une solution pérenne qui évolue en intégrant des solutions best of breed. Cette solution est auditée régulièrement par des entreprises spécialisées.

La plate-forme d’authentification est disponible en mode ASP ou intégrée dans les systèmes propres des banques.

Club CSA AS Communication Paris, le 26 janvier 2007 4

Philippe BUCK

Cette solution cible le phishing et le pharming mais ne porte pas sur la sécurisation des ventes en ligne.

Jean-Pierre SCHMIT

La problématique est transverse car la première étape vise à authentifier le client pour éviter une fraude. Nous avons opté pour la solution CAP qui permet de s’authentifier et de signer des transactions, ce qui accroît encore le degré de sécurité. Ce système de signature passe par un code qui apparaît sur le lecteur de carte. Il faut cependant savoir que ce système n’est pas encore ouvert mais qu’il est d’ores et déjà opérationnel et pourrait être activé par les banques en cas d’attaques.

Georges LIBERMAN

Visa et Mastercard présentent le standard CAP comme un standard de sécurité à la fois pour le e-banking et le e-commerce. En effet, l’architecture de paiement, 3D Secure, repose sur le fait que le banquier authentifie son client pendant la transaction. C’est donc par le biais de cette authentification que le commerçant en ligne peut être garanti du paiement. La sécurisation du e-banking a donc des répercussions sur la sécurisation du commerce électronique.

De la salle

Est-il difficile d’intégrer le standard CAP en mode ASP ? Quel est son modèle économique ?

Jean-Pierre SCHMIDT

Deux interfaces doivent être mises en place en mode ASP : l’une avec la plate-forme e-banking et l’autre avec le registre central des utilisateurs. Ces deux opérations sont faciles à réaliser. Par contre, pour l’interfaçage avec le registre central des utilisateurs, la banque doit ouvrir son système. Cette opération n’est pas obligatoire mais permet d’éviter une duplication des données.

Le modèle économique de cette solution est variable. Un tarif peut être proposé en fonction du nombre d’utilisateurs. Une autre solution peut être de proposer une facturation qui serait fonction de la consommation du service.

     

  1. IV. Déploiement du standard « RCA » (Remote Card Authentication) au Royaume-Uni
  2.  

 

Georges LIBERMAN

Un représentant de l’Apacs devait être présent parmi nous ce matin pour exposer la situation du Royaume-Uni au regard de l’authentification. Malheureusement la personne ne pourra pas être présente donc je demanderai à Monsieur Reavley de prendre sa place. En introduction, je tiens à rappeler que l’Apacs est la société britannique qui représente les banques et que le marché d’Outre-

Club CSA AS Communication Paris, le 26 janvier 2007 5

Manche est plus mature que le marché suisse sur EMV, avec une carte EMV d’ores et déjà diffusée.

Nigel REAVLEY

Le marché bancaire britannique se caractérise par une très forte concurrence. Il est fréquent ainsi que les ménages anglais transfèrent leurs crédits d’une banque à l’autre tous les six mois pour bénéficier des meilleurs taux. Cette multibancarisation de la clientèle a incité les banques à opter pour un système unique d’authentification, le système CAP appelé RCA au Royaume-Uni.

En Angleterre, cette solution est déjà utilisée pour le e-banking et sera déployée progressivement aux paiements en ligne. La plupart de banques ont désormais franchi ce cap. Elles doivent aujourd'hui franchir la prochaine étape concernant les transactions par téléphone. En effet, au Royaume-Uni, il faut savoir que les transactions par téléphone représentent un montant de 210 M£. En valeur, les paiements par téléphone représentent 45 % du total des opérations. En volume, les transactions par téléphone sont proches de 40 %. Cette utilisation forte du téléphone incite donc les banques à sécuriser les transactions pour contrer les fraudes. A cet égard, il faut signaler qu’il est prévu que le montant total de la fraude représentera 1 Md€£ d’ici dix ans. Ce phénomène ne peut qu’encourager les établissements financiers à s’engager fermement dans une démarche de sécurisation de leurs opérations pour garantir leur image de marque et asseoir leur crédibilité.

Le projet conduit par l’Apacs sera déployé dans un premier temps dans une phase pilote avec quelques banques et commerçants en ligne avant d’être généralisé à toutes les transactions par téléphone.

De la salle

Pour le commerce en ligne, quelle est la pénétration de la technologie CAP au Royaume-Uni ?

Georges LIBERMAN

Fin 2007, il est prévu que 2 millions de clients seront équipés. En 2008, il devrait y en avoir 10 millions supplémentaires.

De la salle

En quoi les cartes EMV sont-elles impactées par l’authentification CAP ? Utilise-t-on pour cela une carte EMV standard ?

Georges LIBERMAN

Il est possible d’utiliser la carte de paiement et donc d’opter pour le même jeu de clés pour l’authentification et pour le paiement. L’alternative est d’intégrer un jeu de clés dédié à l’authentification pour que la carte EMV comprenne alors deux jeux de clés. C’est un choix technique de personnalisation de la carte qui n’emporte aucun impact financier. En France, environ 6 millions de cartes comportant des clés d’authentification CAP ont été distribuées avant même que

Club CSA AS Communication Paris, le 26 janvier 2007 6

cette technologie ne soit lancée en France. Les banquiers qui n’auront pas fait ce choix devront subir des retards au moment du démarrage de ce système ou devront alors utiliser les clés de paiement.

     

  1. V. Conclusion
  2.  

 

Georges LIBERMAN

Toute l’Europe sera équipée EMV en 2008. Le reste du monde se dote également de cette technologie à l’exception des Etats-Unis qui pourrait néanmoins basculer vers ce système par l’intermédiaire de la carte EMV contactless proposée par Mastercard et Visa.

Le Royaume-Uni a choisi la norme RCA (Remote Card Authentication). 2 millions de clients devraient être équipés en 2007 et une dizaine de millions en 2008. Toutes les grands banques anglaises ont lancé des projets pilote. Une vingtaine de moyennes et petites banques se sont également lancées dans cette aventure. Cette opération se déroule dans un contexte particulier au Royaume-Uni, qui est un marché marqué par une très forte concurrence. Ceci explique la course que se livrent les banques pour savoir quelle sera la première à lancer le système qui permettra de sécuriser les transactions. C’est aussi la raison pour laquelle nous ne pouvons pas communiquer le nom des banques auprès desquelles nous travaillons.

En Belgique et aux Pays-Bas, des produits d’authentification (tokens) avaient déjà été distribués par les grandes banques. Celles-ci s’inscrivent donc dans une logique différente puisqu’elles se sont emparées de la norme CAP pour diminuer le coût de leur politique de sécurité de manière drastique.

Le Luxembourg, la Suisse, l’Italie, le Portugal et la Turquie se sont également lancés dans ce projet. Reste la France. Sur les six grands groupes bancaires français, quatre travaillent activement à la mise en place de CAP à des niveaux d’avancement différents. Nous pensons que le déploiement de cette technologie aura lieu de façon massive en 2008 suite à des pilotes dont certains ont commencé en 2005-2006. Le basculement risque de se faire de manière brutale sachant que toute l’Europe a déjà basculé vers ce standard mondial.

Philippe BUCK

Pensez-vous que tous les clients seront équipés d’un lecteur de carte d’ici 2008 ?

Georges LIBERMAN

Si, en France, il nous paraît logique de taper un code confidentiel, il a été plus ardu de faire accepter cette pratique en Angleterre où les clients avaient l’habitude de simplement signer une facturette pour valider un paiement par carte bleue. Maintenant que ce comportement est acquis, il ne s’agit pas d’imposer une autre pratique. Les banquiers ont fortement investi pour que leurs clients adhèrent au fait de sécuriser leurs transactions en tapant un code confidentiel et ce comportement doit être valable partout : dans les boutiques, pour un distributeur automatique d’argent, pour une transaction en ligne ou par téléphone.

Club CSA AS Communication Paris, le 26 janvier 2007 7

La technologie EMV rend possible l’équipement en systèmes de sécurité. Pour les banques, la solution qui consistait à distribuer des objets de sécurisation comme les tokens revenait très chère en raison des coûts de personnalisation, de gestion et de sécurisation de ces objets. Tous les clients ont désormais dans leur portefeuille un outil de sécurisation – une carte à puce – et c’est pour cette raison que c’est la solution de sécurisation qui réutilise cet outil qui est privilégiée car c’est celle qui est économiquement viable.

Les e-commerçants seront également enclins à adapter leurs sites Internet pour se conformer à l’architecture de paiement en ligne 3D-Secure car elle leur apporte la garantie du paiement alors que le commerce en ligne explose et qu’en parallèle des millions de consommateurs seront équipés. Cette situation se posait dans un contexte différent il y a quelques années.

Philippe BUCK

Quid de l’Europe ?

Georges LIBERMAN

Ce qu’il faut retenir, c’est que le système CAP est devenu le standard du marché.

Daniel LAMOTTE

SEPA fait la promotion de l’utilisation de la carte à puce comme moyen de paiement, et d’EMV en particulier.

Georges LIBERMAN

Effectivement, il existe une vraie cohérence entre les systèmes, le SEPA étant dédié au paiement de proximité, CAP et 3D-Secure au paiement en ligne et à la sécurité du e-banking, et le tout s’appuie sur EMV qui est la norme mondiale des cartes bancaires.

Philippe BUCK

Qu’en est-il des lecteurs et de leur diffusion ?

Georges LIBERMAN

Un lecteur coûte entre 5 et 10 €. Ramené à un compte d’exploitation de trois ans minimum, le coût d’équipement est relativement faible. Xiring propose à ses clients de prendre en charge le service et le fulfillment, c'est-à-dire que nous prenons en charge la diffusion des produits directement chez les clients. La banque est ainsi déchargée de la distribution physique des produits. Cette solution est d’autant plus pratique pour les banques que celles-ci doivent équiper leurs clients dans des délais courts. Nous proposons pour notre part des services de fulfillment puissants qui permettent de garantir la distribution des lecteurs dans un délai de trois mois.

Club CSA AS Communication Paris, le 26 janvier 2007 8

Force est de reconnaître que les grandes banques de détail les plus rentables en Europe sont celles qui ont le mieux exploité la clientèle Internet. Ce palmarès est logique sachant que le coût d’une opération traitée en agence ou par téléphone s’avère bien supérieur à une même opération réalisée via Internet. De plus, le client internaute peut réaliser des opérations 24 heures sur 24 et 7 jours sur 7 et ce dernier a également tendance à réaliser plus de transactions et donc à générer davantage de revenus. Dans ce contexte, la banque a tout intérêt à développer sa clientèle Internet afin de consacrer ses ressources aux tâches à valeur ajoutée, et notamment aux missions commerciales.

Daniel LAMOTTE

Ce système repose sur un objet qui, par définition, peut être encombrant : le client peut l’oublier ou le perdre. Je sais que vous avez travaillé sur le Palm en son temps. Envisagez-vous d’intégrer ce savoir-faire sur d’autres objets, comme les PDA mais surtout les téléphones portables ?

Georges LIBERMAN

Oui. Nous venons d’ailleurs d’annoncer le lancement d’un produit fonctionnant en mode Bluetooth. Cependant, nous devons aussi nous montrer pragmatiques. Certes, nous ne pouvons que tous partager l’idée qu’il serait préférable d’éviter d’emporter un objet supplémentaire. De la même manière, il est séduisant de penser qu’il serait préférable de n’avoir qu’une seule carte multi-usages plutôt que plusieurs comme nous pourrions souhaiter n’avoir qu’une seule clé pour tout plutôt qu’un trousseau de clés …

Cependant, si cette idée est séduisante sur le plan conceptuel, nous devons nous montrer pragmatiques. En effet, opter pour cette solution obligerait les banques à contacter chacun de leurs clients internautes pour savoir s’ils ont un PDA ou un téléphone portable et leur marque de GSM. Opter pour cette solution ne permettrait donc pas un déploiement rapide.

En revanche, le standard CAP offre l’avantage d’une solution multicanal puisqu’il s’agit d’une solution d’authentification unique qui fonctionne pour toutes les utilisations, toutes les plages horaires et tous les canaux. Cette solution permet de couvrir les besoins tant de la clientèle particulière que de la clientèle d’entreprises et du personnel de la banque.

Il convient par ailleurs de noter que le lecteur de cartes est banalisé. Il est donc possible d’en distribuer plusieurs pour que le client en ait un au bureau, dans sa voiture et à son domicile. Il peut aussi emprunter un lecteur à une autre personne. Le même produit est également utilisable pour toutes les banques. Il a donc pour avantage son universalité.

En revanche, nous ne pouvons pas mettre en oeuvre une sécurité suffisante sur des produits ouverts et standards comme les operating systems (PC ou téléphone). Comme pour le PC, il est en effet possible de charger des logiciels espions dans un téléphone.

Philippe BUCK

Vous indiquez que le futur du paiement par Internet passe par une authentification CAP et 3D Secure. Avec SEPA, ne peut-on dire que l’un des trois schemes est avantagé par rapport aux autres

Club CSA AS Communication Paris, le 26 janvier 2007 9

puisqu’il dispose déjà d’une plate-forme sur 3D Secure ? Les autres schemes devront-ils alors adapter 3D Secure ?

Georges LIBERMAN

Je ne peux pas répondre précisément à votre question mais je ne vois pas de contradiction entre 3D Secure, EMV et SEPA.

Philippe BUCK

Il faudra néanmoins que les commerçants adhèrent à l’un des trois standards.

Georges LIBERMAN

EMV est le standard de carte. SEPA est le standard de paiement de continuité. 3D Secure le un standard de paiement en ligne. CAP est le standard de sécurisation du e-banking.

Philippe BUCK

C’est aussi une base de données. La question est de savoir si elle est partagée.

De la salle

Avez-vous une visibilité sur les contraintes réglementaires qui pourraient concerner l’authentification forte ?

Georges LIBERMAN

La Banque de France a émis des recommandations appuyées pour que des systèmes d’authentification forte se mettent en place. Cela étant dit, je ne suis pas certain que cela ait un sens de réglementer ce secteur.

De la salle

Cela permettrait d’accroître la confiance dans le business sur Internet.

Georges LIBERMAN

Effectivement, mais je ne suis pas un partisan de la réglementation à tout crin. Je crois que la sécurisation s’impose d’elle-même. Aujourd’hui, tous les sites de banque comportent des messages appelant leurs clients à la vigilance : cela revient à dire à chaque client qui entre dans une boutique de prendre garde à son portefeuille… Il est temps d’offrir des espaces réellement sécurisés.

Club CSA AS Communication Paris, le 26 janvier 2007 10

Jacques CHAUVIN

Je vous remercie pour votre intervention. Comme il est indiqué dans le rapport RSA, les consommateurs prônent l’abandon des systèmes traditionnels avec code d’accès et mot de passe. 91 % des titulaires de compte attendent de leur établissement financier qu’il propose des systèmes d’authentification forte.

Enfin, je vous invite à consulter notre site Internet dont la formule a été rénovée. Pour l’heure, il est consultable dans une version provisoire. Notre souhait est de l’ouvrir et de développer des liens avec les partenaires du Club CSA. Pour conclure, je signalerai que nous renouvèlerons en 2007 le principe de la journée thématique que nous avions organisée le 7 décembre dernier. Nous organiserons ainsi une manifestation avec l’ADCET pour adresser l’administration et le monde des collectivités locales et territoriales. Je vous remercie de votre attention.

Publicité
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article