Banques / DSP2 : le big-bang sécuritaire du 14 septembre 2019 montre déjà ses failles

DSP2, un retour perdant...

La deuxième Directive des Services de Paiement (DSP2) relatives à l’ouverture des accès aux comptes bancaires a pris du plomb dans l’aile. A fin août 2019, selon Tink, acteur majeur de l’agrégation de données bancaires, seulement 15% des acteurs concernés du marché étaient prêts, et encore, d’un point de vue théorique seulement. Les API (interfaces informatiques) nécessaires à l’accès aux données, quand fournies par certaines banques, ne sont pas dans leur version industrielle (délais de latence trop importants). Du côté des systèmes d’authentification, le souci est identique. Le bon vieux code SMS va reprendre du service. Une méthode bien loin de l’authentification forte, car elle n’assure nullement que ce soit bien le client au bout de la ligne, mais simplement une personne ayant le mobile déclaré du client. Mais faute de mieux pour le moment...

Allemagne, Italie, France et UK... Des dérogations pour passer un 14 septembre 2019 bien tranquille

Comme l’on pouvait anticiper, les établissements de crédits, sous la pression de leurs clients, les sites marchands, ont demandé de reculer la mise en application stricte de la mesure DSP2. Pas moins de 3 années de délai supplémentaire. Les autorités françaises pourraient accorder un délai minimal de 4 mois, à voir. Ainsi, comme toujours pour les projets qui ne respectent pas le planning initial, une livraison par lots sera effectuée. Tenez-vous bien... La première des mesures visible par les clients sera donc cette validation de leurs autorisations pour les agrégateurs de comptes, tous les 90 jours. La belle affaire. Mais le pire arrive.

Par ailleurs, comble de l’ironie, alors que DSP2 imposait une mesure d’authentification forte (ie, une réponse fournie par l’utilisateur dont il a lui seul la connaissance), l’usage du bon vieux code envoyé par SMS sera de nouveau utilisé. Par définition, ce code n’est potentiellement pas connu de lui seul, car il vient de transiter sur le réseau peu avant son utilisation. Cette pratique est piratable, puisque l’information demandée est envoyée au préalable. Les fraudeurs avec des techniques d’espionnage des communications de plus en plus sophistiquées peuvent détourner ces échanges de SMS, afin de capter ce précieux code échangé. Enfin, cette méthode n’assure pas que ce soit bien le client qui reçoit ce code SMS, mais seulement son mobile.

Miser totalement sur le mobile du consommateur pour son identification ne doit pas faire oublier le risque de vol. Selon les chiffres de 2014 de l’ONDRP, le vol de mobile en France est de l’ordre de 700.000 par an, soit près de 2.000 par jour.

En attendant, les banques mettent en place les codes SMS

Certaines banques l’utilisent déjà depuis longtemps. D’autres, à l’instar de Fortuneo a prévenu ses clients récemment.

A partir du 11 septembre 2019, la sécurité de vos opérations bancaires se renforce conformément à la Directive Européenne sur les Services de Paiements.
Ce qui change pour vous à partir de cette date :

• La sécurité de vos opérations dites “sensibles” (comme la connexion à votre compte, la modification de votre mot de passe, la réalisation de certains paiements ou virements, etc.) sera renforcée :
  – Si vous utilisez l’application mobile Fortuneo, cela sera transparent, la sécurisation de vos opérations sera automatiquement renforcée.
  – Si vous utilisez exclusivement notre site fortuneo.fr, la saisie d’un code reçu par SMS pour les téléphones mobiles (ou adressé par appel téléphonique pour les téléphones fixes) vous sera demandée en complément du mot de passe tous les 90 jours.
  Important : Pensez à vérifier que vos coordonnées téléphoniques (fixe et/ou mobiles) sont bien à jour dans votre espace client dans la rubrique “Vos paramètres”. Dans le cas contraire vous ne seriez pas en mesure de recevoir le code vous permettant de vous connecter après le 11 septembre.

Vous possédez un compte chez un agrégateur ?

Cette directive (DSP2) permet de mieux encadrer et, contrôler ces pratiques.
Les agrégateurs de comptes ou initiateurs de paiement vous permettent actuellement de visualiser vos comptes ou de faire un virement sans avoir à vous connecter au site ou à l’application de Fortuneo.

Cette directive (DSP2) permet de mieux encadrer et contrôler ces pratiques :

• Vous pourrez agréger vos comptes chez un agrégateur de comptes et confirmer cet ajout depuis les interfaces de votre banque. Vos données sensibles, comme votre mot de passe, seront ainsi mieux protégées.
• Vous devrez valider la connexion entre votre banque et l’agrégateur tous les 90 jours. Sans cette validation, le prestataire n’aura plus l’autorisation d’utiliser vos données.