Les OTP par SMS ? Plus pour les banques européennes…

Nous vous en parlions il y a quelques temps, Le NIST (National Institute of Standards and Technology) est un des acteurs majeurs américains pour le développement des standards technologiques liés à l’industrie et en ce sens, ils ont dénoncé que l’authentification-forte (strong-authentification / 2FA) via des SMS sur mobile/smartphone est à présent dépréciée.

Ainsi, les OTP (One-Time Passcode) par SMS ne sont plus jugés fiables (notamment avec des attaques reconnues telles que SS7), et c’est à présent en Europe que ce mécanisme d’authentification ne répondra bientôt plus aux exigences de renfort des banques.

• Qu’est-ce qu’un code OTP ?

Nous avons tous, un jour ou l’autre, dû saisir un code à usage unique de 6 ou 8 chiffres reçu par SMS sur notre numéro de téléphone pour que notre paiement Amazon ou pour l’achat d’un billet de train. Ce mécanisme est une méthode d’authentification sécurisé, validant ainsi notre identité dans un laps de temps précis (le code secret expire au bout de quelques minutes).

Seulement, le mot de passe à usage unique “par SMS” n’est plus jugé aussi sûr, car l’OTP n’est plus un aussi grand défi pour les pirates du web. Ce qui oblige les banques à trouver une nouvelle solution sécurisé pour les paiements bancaires de leurs clients.

• Quel est le problème avec les codes OTP ?

Selon la Banque de France, plus de 40% des paiements en lignes font l’objet d’une authentification renforcée pour plus de sécurité. 85% d’entre- eux sont faites au travers d’un SMS et d’un code OTP d’après le Groupement des Cartes Bancaires CB.

Depuis septembre 2018, les banques françaises s’engagent activement dans la transition vers des mécanismes de vérification renforcée, conformément à la directive européenne DSP2. Cependant, cette migration complexe peut prendre des mois, voire des années, soulevant des questions sur la protection des transactions en ligne durant cette période.

D’après Loÿs Moulin, directeur du développement chez Cartes Bancaires CB :

Il n’est pas pensable d’imaginer qu’en un an, on va à la fois généraliser de nouvelles méthodes d’authentification forte et former tous les consommateurs à les utiliser en lieu et place du mot de passe à usage unique par SMS […] Il faut qu’il y ait un délai de migration qui soit donné. […] ce n’est pas une question de mois mais d’années.

Face à l’urgence de renforcer la protection des transactions bancaires, une évolution majeure se profile au niveau européen. Des fédérations de commerçants appellent à une transition de 3 ans pour permettre aux acteurs bancaires de déployer des solutions anti-fraude alternatives.

La directive européenne DSP2 impose une authentification forte pour les paiements en ligne. Mais face à cette nouvelle réglementation, quelles solutions s’offrent à nous ? Identification biométrique, applications OTP dédiées… Les banques proposent déjà différentes options personnelles, sans pour autant imposer la migration des utilisateurs encore attachés à la validation par SMS. Découvrons les dispositifs de protection qui répondent aux exigences de la DSP2 et protègent nos transactions en ligne.

L’authentification à deux facteurs (2FA) est un élément essentiel de la sécurité en ligne. Cependant, le débat sur l’utilisation des SMS pour la 2FA reste ouvert.

L’authentification-forte via SMS :

• • Pour : pas besoin de télécharger une application tierce, et si quelqu’un tente de s’authentifier sur notre compte, le SMS de l’OTP nous sert d’alerte.
  • Contre : il est possible d’hijack les SMS (SS7), et le NIST recommande de ne plus utiliser cette méthode. On peut ajouter qu’il est indispensable d’avoir une couverture réseau pour recevoir l’OTP.

• L’authentification-forte via des applications sur smartphone :

  • Pour : les OTP générés dépendent de l’application installée sur le smartphone et n’ont pas de lien avec la carte SIM ou notre numéro de téléphone personnel. De plus ces applications fonctionnent sans couverture réseau !

• •  Contre : les OTP par applications sur smartphone sont basés sur la synchronisation temporelle de l’appareil et d’une clé partagée. Si cette clé est compromise, un attaquant peut cloner l’application d’authentification avec nos paramétrages. Les codes par SMS sont purement aléatoires, ils ne sont pas « prédictibles » en fonction du temps et d’un shared-secret.

La 2FA de demain se dessine déjà

Les banques et les paiements en ligne sont en constante évolution en matière d’authentification à deux facteurs. Les dernières nouveautés dans le domaine sont :

• L’essor de l’authentification biométrique : la reconnaissance faciale, les empreintes digitales …

• L’utilisation de clés de sécurité personnel ou d’applications d’authentification.

• L’analyse du comportement de l’utilisateur pour détecter des anomalies.

Il est crucial de se tenir informé de ces l’évolutions pour garantir la sécurité de nos transactions en ligne.

Sources & ressources :

• Les banques bientôt privées de SMS pour sécuriser les paiements en ligne – LesEchos.fr
• Banques : vers la fin des SMS pour valider un paiement – LeParisien
• Banque. Les codes de validation par SMS pour les achats en ligne vont disparaître – OuestFrance
• Le SMS d’authentification des achats en ligne devrait disparaître – LeFigaro
• NIST blog clarifies SMS deprecation in wake of media tailspin – Zdnet
• NIST recommends SMS two-factor authentification deprecation – Threadpost
• The pros and cons of SMS-based codes – NakedSecurity
• DRAFT NIST Special Publication 800-63B Digital Authentication Guideline – NIST
• End of SMS-based 2-Factor Authentication; Yes, It’s Insecure! – TheHackerNews
• NIST Prepares to Ban SMS-Based Two-Factor Authentication – Softpedia