Banques canadiennes et authentification multifacteurs

June 11, 2013 · 768 words · 4 minutes read · Information Security

This post was published when this blog was only in French. At the moment, there is no translation available for this post.

Suite à mon dernier article concernant l’authentification à deux facteurs, j’ai contacté les principales banques canadiennes pour vérifier s’il était possible d’activer une solution d’authentification à multifacteurs avec leurs services bancaires en ligne. Après tout, s’il est maintenant possible d’augmenter considérablement la protection de nos services en ligne tels que Google et Facebook; pourquoi pas notre accès utilisé quotidiennement où les répercussions monétaires pourraient être majeures? La réponse est plutôt unanime: aucune solution n’est disponible. Rien! Je dois avouer que j’espérais au moins une solution disponible pour certains types de comptes comme ceux pour les entreprises. Toutefois, je n’avais aucune attente pour les particuliers et j’aurais été agréablement surpris si une option avait été disponible. Néanmoins, il reste que plusieurs banques américaines ont déployé des solutions à multifacteurs depuis déjà plusieurs années selon les recommandations du Federal Financial Institutions Examination Council (FFIEC).

Évidemment, tous les représentants des banques m’ont gentiment rassuré sur la sécurité des infrastructures et des mesures en place lors de l’authentification pour éviter les fraudes. Par contre, à mon avis, je crois que nous sommes rendus à une autre étape en ce qui concerne les infrastructures bancaires et ça devrait être tout simplement un acquis; c’est la moindre des choses que les banques mettent les efforts nécessaires dans la protection des informations. En fait, je demande la même chose de la part des autres fournisseurs de services Internet qui doivent suivre différentes normes. Il ne faut pas oublier que la majorité des mesures de sécurité appliquées par les banques sont maintenant utilisées par les sites populaires.

Questions secrètes

Plusieurs organisations financières demandent la réponse à une question secrète préalablement déterminée afin de compléter une connexion. Une couche de sécurité supplémentaire et souvent une solution publicisée comme étant l’authentification à deux facteurs. En rappel:

By definition true multifactor authentication requires the use of solutions from two or more of the three categories of factors. Using multiple solutions from the same category at different points in the process may be part of a layered security or other compensating control approach, but it would not constitute multifactor authentication. - FAQ on FFIEC Guidance on Authentication in an Internet Banking Environment

La recherche d’une réponse à une question représente une action du premier facteur, soit celui des connaissances. Lors de l’authentification, la demande d’une réponse secrète ainsi qu’un mot de passe constituent une authentification forte, mais unifacteur. De plus, les questions demandées sont souvent en lien avec des informations qui sont relativement simples à obtenir (nom de la mère, première voiture, etc.). Les guichets automatiques sont un exemple réel d’une authentification à deux facteurs: une carte (quelque chose que l’utilisateur possède) et un NIP (quelque chose que l’utilisateur connait) sont nécessaires pour effectuer des transactions.

Image et/ou phrase personnelle

La sélection d’une image et/ou une phrase personnelle qui seront affichées lors du processus de connexion est une autre protection possible. Si un client ne voit pas ces informations lors d’une connexion, il n’est pas sur le site de l’institution bancaire et surement en présence d’un site frauduleux. Cependant, le but principal de cette protection est de rassurer l’utilisateur qu’il est bien en présence du site officiel de l’organisation et non, un site frauduleux.

Localisation par l’adresse IP

Habituellement, les institutions financières vérifient la provenance de la requête via l’adresse IP lors d’une connexion. Si la requête provient d’une adresse IP inconnue et/ou d’un nouvel ordinateur (vérification des cookies), le site demandera une information supplémentaire, telle qu’une question, pour confirmer l’identité de l’utilisateur. Avec l’adresse IP, il est également possible de déterminer la région… Si le système détecte une tentative de connexion provenant d’une adresse de la Chine, une alerte sera fort probablement envoyée… Néanmoins, l’utilisation des téléphones mobiles pour accéder à Internet complexifie cette mesure; le réseau de l’adresse IP appartient au fournisseur et sera fort probablement enregistré à son siège social (ex.: Rogers à Toronto même si client à Montréal).

Il ne faut pas oublier que la majorité des failles de sécurité proviennent d’une erreur provenant de… l’utilisateur. Tous les mécanismes déployés par les institutions bancaires offrent certainement une authentification forte afin de protéger ses clients. Par contre, ces protections préventives n’empêchent malheureusement pas les utilisateurs de ne pas se préoccuper des bonnes pratiques en sécurité pour éviter de divulguer trop rapidement ses informations. En tant qu’organisation, il faut essayer de corriger les erreurs d’inattentions des utilisateurs (sites frauduleux, mots de passe simples, mots de passe écrits sur papier, etc.) tout en gardant un processus simple.