Modification de la norme FIDO2: renforcer la sécurité numérique pour les banques suisses et leurs clients

L’Association suisse des banquiers (ASB) et le « Swiss Financial Sector Cyber Security Centre » (Swiss FS-CSC) sont favorables à la recommandation du comité allemand du secteur bancaire (GBIC) visant à modifier la norme FIDO2 – un changement jugé important, y compris du point de vue suisse, afin de rendre cette norme utilisable pour sécuriser les confirmations de transactions, et pas seulement pour permettre l’authentification lors des connexions.

Le GBIC préconise une extension de la norme FIDO2 afin de permettre l’affichage sécurisé des données de transaction par l’authentificateur. Actuellement, la norme est essentiellement axée sur la connexion à des plateformes et à des systèmes ainsi que sur l’utilisation du navigateur à des fins d’affichage. Le GBIC demande toutefois l’extension de la norme afin qu’elle puisse être utilisée pour un spectre plus large de transactions et d’activités. Dans le secteur bancaire, cela concerne principalement les services bancaires en ligne et les paiements par carte.

Nous sommes favorables à la proposition du GBIC visant à modifier la norme FIDO2. Nous sommes convaincus que cette modification serait également bénéfique pour le secteur bancaire suisse, car elle permettrait une utilisation plus large de FIDO2, au-delà de l’authentification lors des connexions. L’ASB et le Swiss FS-CSC soutiennent donc la proposition du GBIC visant à:

  • Transmettre les données de transaction à l’authentificateur: au lieu de l’envoi d’une simple valeur de hachage, les données complètes de la transaction seraient transmises à l’authentificateur externe.
  • Intégrer un affichage sécurisé: les authentificateurs avec affichage devraient être étendus de manière à présenter aux utilisateurs les données de transaction transmises, que ceux-ci pourraient ensuite vérifier.
  • Lier le code d’authentification aux données affichées: le code d’authentification généré par l’authentificateur devrait inclure une valeur de hachage calculée par l’authentificateur pour les données affichées, de façon à ce que le code d’authentification soit lié de manière sécurisée à ces données. Cela permettrait à la banque de vérifier la sécurité de l’affichage et la confirmation des données de la transaction.
  • Étendre la spécification CTAP: l’Alliance FIDO devrait étendre le protocole « Client à Authentificateur » (CTAP) afin d’y inclure une interface normalisée pour la transmission et l’affichage des données de transaction.

Cette modification permettrait non seulement d’implémenter la norme FIDO2 dans le secteur financier, mais aussi de renforcer la confiance des utilisateurs envers les méthodes d’authentification et de confirmation des transactions basées sur la norme FIDO2. Les recommandations complètes du GBIC sont disponibles ici.

FIDO est l’acronyme de Fast Identity Online (identification rapide en ligne). L’Alliance FIDO a développé les normes d’authentification FIDO basées sur la cryptographie à clé publique. FIDO2 offre une solution standardisée pour l’authentification à deux facteurs, basée sur WebAuthn et le protocole « Client à Authentificateur » (CTAP). Malheureusement, actuellement, le CTAP ne permet pas l’affichage sécurisé des données de transaction par des authentificateurs externes. Cette limitation empêche les clients de vérifier les détails de la transaction en cours sur un affichage fiable avant de confirmer un paiement, ce qui représente un risque sur le plan de la sécurité dans le cadre des services bancaires en ligne et des paiements par carte.

Plus d’informations sur FIDO ici.