Des cyberexperts se joignent aux banques contre le partage de mot de passe

L’Alliance Fido, qui regroupe des PayPal, Google, et autres Lenovo, et travaille sur l’authentification en ligne, enjoint la Commission européenne de ne pas tolérer la capture de données d’écran comme solution de secours dans le cadre de la nouvelle directive sur les paiements (DSP2), qui entrera en vigueur en janvier. Elle prône l’utilisation des interfaces de programmation (API), comme les banques. Les startups de la Fintech militent au contraire pour une transition.
Delphine Cuny
« Toute approche impliquant de demander aux consommateurs de partager leurs identifiants avec une autre entité les expose à des risques accrus en matière de sécurité », souligne un consortium d'industriels spécialistes de la sécurité en ligne, qui s'oppose, comme les banques, à l'utilisation de la technique du "screen-scraping".

De nouveaux acteurs s'invitent dans le débat sur la deuxième Directive sur les services de paiement (DSP2), qui entrera en vigueur le 13 janvier prochain : l'Alliance FIDO, un consortium international de 250 industriels travaillant sur l'authentification en ligne, créé à l'initiative de PayPal et Lenovo notamment et réunissant des entreprises telles que Google, Samsung, Intel, Microsoft, Visa, Alibaba et Oberthur. Cette alliance vient de rendre publique une lettre écrite au Conseil européen, composé des chefs d'Etat ou de gouvernement des Etats membres, pour les alerter sur une disposition envisagée par la Commission et qui a déjà fait monter les banques au créneau en juillet.

Il s'agit de la possibilité laissée, en « solution de secours », aux prestataires tiers de continuer à recourir à la technique dite du "screen-scraping" (capture de données d'écran), aussi appelé "web-scraping", qui leur permet d'accéder aux données du client d'une banque en utilisant les codes d'accès de ce dernier.

« Nous ne voyons pas comment l'approche du "screen-scraping" exigée par la Commission européenne pourrait être appliquée dans le respect des règles de sécurité imposées par la DSP2. Il existe de nombreux moyens bien plus sécurisés pour permettre aux consommateurs de déléguer l'accès à leurs comptes bancaires, impliquant des API [interfaces de programmation interopérables, ndlr] protégées par une authentification forte », fait valoir Brett McDowell, le directeur exécutif de l'Alliance FIDO (pour Fast IDentity Online).

Banques contre Fintech

Cet ancien de PayPal rappelle que l'organisation rassemble à la fois des banques (Bank of America, ING, USAA, etc) et des Fintech (comme Payfone, Ledger, ou même PayPal en tant que pionnier des paiements en ligne).

Les banques, sous la plume de Frédéric Oudéa, le patron de la Société Générale et président de la Fédération bancaire de l'Union européenne (EBF), avaient adressé un plaidoyer similaire, pour l'interdiction du web-scraping au profit des API, dans un courrier à Mario Draghi, le président de la Banque centrale européenne (BCE), et au Commissaire européen en charge des services financiers, Valdis Dombrovskis.

A l'inverse, un collectif de 71 startups européennes de la Fintech, dont les agrégateurs de comptes français Bankin' et Linxo, avait publié un manifeste en mai contre cette interdiction qui les obligerait à repartir de zéro et freinerait leur essor.

« Toute approche permettant une authentification simple par identifiants et mots de passe comme solution de secours est fondamentalement en contradiction avec l'esprit de la DSP2. Les mots de passe sont, de loin, les vecteurs les plus couramment utilisés lors de cyberattaques, représentant 81% des brèches dans le monde en 2016 », argumente l'Alliance FIDO dans son courrier.

« Toute approche impliquant de demander aux consommateurs de partager leurs identifiants avec une autre entité les expose à des risques accrus en matière de sécurité. Toute approche par laquelle une tierce partie peut se connecter à une banque "comme si elle était le consommateur" met en risque toutes les parties », insiste le directeur de l'alliance au nom de ses membres qui s'expriment « pas seulement en tant qu'experts en cyber-sécurité, identité, authentification et confidentialité, mais aussi en experts en conception et déploiement de systèmes critiques qui permettent à l'innovation de prospérer tout en protégeant la sécurité et la vie privée. »

L'Autorité bancaire européenne (EBA) avait rendu un avis très négatif en juin sur la proposition de la Commission européenne de contrevenir à l'interdiction du screen-scraping prévue initialement. Elle y avait dressé une liste d'arguments, notamment sur la sécurité, et souligné qu'il serait sans doute difficile pour le consommateur de comprendre les conséquences de son consentement à transmettre ses identifiants et mots de passe à des prestataires de paiement ou d'information sur les comptes...

Delphine Cuny

Sujets les + lus

|

Sujets les + commentés

Commentaires 4
à écrit le 03/04/2018 à 15:21
Signaler
Ce que j'aime le plus dans cet article, c'est que la FIDO qui se joint aux banques pour nous parler de sécurité et de partage d'information, dont font partie google, Microsoft, Samsung et Lenovo, sont les premiers à vendre nos infos à d'autres sociét...

à écrit le 10/09/2017 à 11:44
Signaler
Rien compris cet article se repete en boucle sans expliquer les termes techniques que le journaliste n a surement pas non plus compris

à écrit le 09/09/2017 à 21:14
Signaler
Encore une bonne raison pour vouloir se débarrasser de cette Commission Européenne d'incompétents, vous diront ceux qui ne veulent pas de l'Europe des lobbies.

à écrit le 09/09/2017 à 8:59
Signaler
Commission : Fonctionnaires qui, ne connaissant rien aux problèmes qu'ils ont à résoudre, se font mener par le bout du nez par les lobbies. Dans le cas présent, les startups de la Fintech !

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.