Recevez chaque jour toute l'actualité du numérique

x

La fin programmée du "One Time Password" SMS

Cette semaine, Eric A. Caprioli et Pascal Agosti, avocats au sein du cabinet Caprioli & Associés, détaillent les tenants et aboutissants de l'OTP (One Time Password) SMS - authentification forte via SMS - et notamment de sa fiabilité dans le cadre d’un paiement électronique.
Twitter Facebook Linkedin Flipboard Email
×

La fin programmée du One Time Password SMS
La fin programmée du "One Time Password" SMS

l'OTP SMS, qu’est-ce que c’est ?

Un OTP SMS est un One Time Password (mot de passe aléatoire à usage unique) et transmis par SMS sur un téléphone portable. Pour un paiement ou une souscription en ligne (par voie de signature électronique), cette technologie permet de s’assurer deux fonctionnalités :

  • La première a trait à l’identification de la personne qui s’engage à payer ou contracter. En effet, en principe, la détention de ce téléphone portable est corroborée par la production d’une facture permettant de faire un lien entre le titulaire de ligne et la personne qui s’engage à signer ou à payer ;
  • La deuxième a trait à la manifestation du consentement au paiement ou à l’acte. A l’inverse d’un clic qui pourrait être effectué malencontreusement, la saisie du mot de passe transmis sur l’interface de souscription ou de paiement permet de démontrer que la personne entend bien s’engager.

 

De nombreux systèmes d’authentification, de signature électronique (dite à la volée) ou de paiement comme 3D Secure s’appuient sur cette technique en considérant qu’il s’agit d’une mesure d’authentification supplémentaire puisqu’il s’agit de recourir à un outil (le portable) en possession du titulaire ainsi que d’un second canal.


L’authentification forte, nouveau Graal de l’Europe de la confiance numérique

Car, rappelons-le, l’authentification et par là l’identité numérique  constitue le socle du Marché unique du numérique. Ainsi, dans le domaine du paiement électronique, le législateur européen a mis en exergue ce besoin en indiquant la nécessité d’une authentification forte.
 

Elle repose sur l'utilisation de deux éléments ou plus appartenant aux catégories "connaissance" (quelque chose que seul l'utilisateur connaît), "possession" (quelque chose que seul l'utilisateur possède comme son téléphone portable pour le cas de l’OTP SMS) et "inhérence" (quelque chose que l'utilisateur est/biométrie) et indépendants en ce sens que la compromission de l'un ne remet pas en cause la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification.
 

Notons qu’après de longues et âpres discussions entre l’Autorité Bancaire Européenne et la Commission Européenne, un Règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 intégrant des standards techniques (RTS) concernant l’authentification forte du client a été publié. Il précise entre autres l’importance de l’examen des mesures de sécurité (art.3).


Remise en cause de l’OTP dans le domaine du paiement électronique

Le 3 mai 2017, l’opérateur de communications électroniques O2-Telefonica Germany a confirmé que certains de ses clients, au cours des derniers mois, avaient vu leurs comptes bancaires vidés en raison de l’utilisation par des hackers d’une faille de sécurité du protocole SS7 qui a corrompu les procédures d’authentification par SMS. Rappelons que les potentielles failles de sécurité du protocole SS7 ont été rendues publiques en 2014.
 

En se fondant sans doute sur ces incidents ainsi que sur ces Standards techniques, l’Autorité Bancaire Européenne a remis en cause la fiabilité de l’OTP SMS dans le cadre d’un paiement électronique. L’envoi d’un OTP SMS pourrait être considéré comme un facteur de possession au sens de la DSP 2 : "In this context, a one-time password sent via SMS would constitute a possession element and should therefore comply with the requirements under Article 7 of these RTS, provided that its use is ‘subject to measures designed to prevent replication of the elements’, as required under Article 7(2) of these RTS. The possession element would not be the SMS itself, but rather, typically, the SIM-card associated with the respective mobile number.


In addition, regardless of whether a strong customer authentication element is possession, knowledge or inherence, Article 22(1) of the RTS requires that “payment service providers shall ensure the confidentiality and integrity of the personalised security credentials of the payment service user, including authentication codes, during all phases of the authentication” and Article 22(4) of the RTS states that “payment service providers shall ensure that the processing and routing of personalised security credentials and of the authentication codes generated in accordance with Chapter II take place in secure environments in accordance with strong and widely recognised industry standards".


Traduction : le SMS n’est pas considéré comme suffisamment intègre ou confidentiel pour être retenu comme la preuve d’un facteur fiable de possession.


Que faire ?

Il est vrai que l’OTP SMS est actuellement disséminé dans de nombreuses applications. Sa facilité d’usage, le fait que les téléphones portables soient répandus dans le monde moderne concourent à son succès. Pour des raisons de sécurité, il va falloir changer de facteur d’authentification pour une solution aussi efficace, notamment au niveau du paiement. Les solutions biométriques ont le vent en poupe en ce moment en ce qu’elles sont déjà très utilisées pour débloquer un téléphone ou entrer en relations pour une banque par exemple : la CNIL s’est d’ores et déjà emparée de ce sujet (ex : reconnaissance vocale et faciale).

De plus, le mouvement généré par le Règlement eIDAS induit de nouvelles solutions avec des solutions d’authentification au niveau de garantie élevé ou substantiel. Les acteurs (comme les banques ou les prestataires de services de confiance) doivent prendre note de ce constat et prévoir des évolutions dans une trajectoire à court, moyen et long terme afin de réduire puis de supprimer cet outil désormais (sauf revirement des instances européennes) contestable d’un point de vue juridique et sécuritaire.


Eric A. Caprioli, Pascal Agosti, avocats associés, docteurs en droit, Caprioli & Associés, société d’avocats membre de réseau JURISDEFI


Les avis d'experts sont publiés sous la seule responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale.

 

 

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media