Présentation
RÉSUMÉ
De nos jours, la banque, les services bancaires et le paiement ne se conçoivent plus sans Internet. L'activité bancaire repose sur la confiance et ses systèmes d'information doivent être sécurisés. Or, l'authentification est une fonction de sécurité qui occupe une place centrale sur Internet et, par voie de conséquence, dans le monde bancaire. Après avoir rappelé la problématique de sécurité de l'informatique bancaire et les principaux concepts de l'authentification, les principales solutions d'authentification employées pour la banque à distance sont présentées. Les deux formes du paiement sécurisé sont ensuite analysées, le paiement de proximité et le paiement à distance, ainsi que la problématique de l'authentification pour les intranets bancaires.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Pascal THONIEL : Fondateur et directeur R de la société NTX Research SA
INTRODUCTION
Que ce soit pour un accès à des réseaux locaux ou étendus, que ces réseaux soient filaires ou sans-fil, en architecture client-serveur ou répartie, l'authentification des équipements, des services et des hommes est nécessaire. Tout ce qui concerne l'accès privé, c'est-à-dire le contrôle de la délivrance de l'information et de la fourniture des ressources réservées à certaines entités, passe par l'authentification.
Or, les procédures d'authentification classiques par identifiant et mot de passe ne suffisent plus. Sur les réseaux locaux comme sur Internet, l'espionnage des communications est l'attaque numéro un. L'espionnage des communications permet de récupérer facilement et pratiquement sans risque de détection l'identifiant et le mot de passe que l'utilisateur envoie au serveur ou bien ses codes d'accès lors d'une connexion légitime. Rien de plus simple ensuite pour l'attaquant que de se connecter à son tour en rejouant les mêmes valeurs et ainsi, de se faire passer pour un utilisateur autorisé. Il s'agit là d'usurpation d'identité.
La deuxième catégorie d'attaque consiste à espionner, simuler, copier ou voler le moyen d'authentification de l'utilisateur. La troisième concerne la récupération des éléments d'authentification des utilisateurs (crédentiels) stockés du côté du serveur d'authentification. La quatrième est l'ingénierie sociale qui vise à tromper la vigilance de l'utilisateur en l'amenant astucieusement à révéler volontairement ses mots de passe, ses codes ou ses secrets, ou bien encore à les deviner. En effet, les utilisateurs choisissent souvent des mots de passe faibles (courts, simples, classiques) ou qui leur correspondent (prénom des enfants, dates de naissance, nom du chien de la maison, nom de l'artiste ou du sportif préféré...) afin de les retenir plus facilement. Enfin, la cinquième est l'attaque dite « à force brute » qui consiste par exemple à essayer systématiquement et automatiquement tous les mots de passe possibles ou toutes les clés de chiffrement jusqu'à trouver les bons. Comme les mots de passe utilisés sont souvent courts (moins de 8 caractères) et simples (lettres et chiffres), l'attaque à force brute est parfois très efficace.
L'enjeu est d'autant plus considérable que ces menaces qui pèsent sur les particuliers, les entreprises, les organisations, les administrations et leur système d'information sont bien réelles. Elles sont aussi lourdes de conséquences en cas de concrétisation, c'est-à-dire d'attaque réussie par intrusion. Une intrusion frauduleuse dans un système d'information par absence de contrôle des utilisateurs ou par usurpation de l'identité d'un utilisateur autorisé peut avoir des effets désastreux, à la hauteur des droits d'accès et d'action alloués à cet utilisateur.
Ces généralités s'appliquent complètement à l'informatique bancaire actuelle qui constitue le socle des services bancaires accessibles en tous lieux et à chaque instant grâce à la puissance d'Internet. Comme les enjeux financiers ont toujours été parmi les plus importants, l'authentification n'est donc pas une fonction de sécurité à négliger. Elle occupe à l'évidence une place centrale dans la sécurité bancaire d'aujourd'hui.
Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.
Déjà abonné ? Se connecter
VERSIONS
- Version courante de févr. 2021 par Pascal THONIEL
DOI (Digital Object Identifier)
Présentation
ConclusionArticle inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
6. Intranet bancaire
L'Intranet bancaire est le système d'information commun qui relie et que partagent l'ensemble des employés d'une même banque, aussi bien au niveau du siège que sur la totalité de son réseau d'agences. C'est l'ensemble des applications et des informations bureautiques, « métier » et de télécommunication au service du fonctionnement interne de la banque.
Depuis près de 30 ans, le standard international de l'IGC est l'infrastructure de gestion de clés publiques (IGCP) plus connue sous le terme anglo-saxon de PKI (Public Key Infrastructure) [H 5 510]. Le fondement de ces IGCP est le concept d'Autorité de Certification (AC). Il existe deux grands types de réalisations concrètes des IGCP : « reconnue » et « interne ».
L'IGCP reconnue revient à confier à des sociétés tierces spécialisées (les Autorités de Certification comme Verisign, Entrust, Thawte, Keynectis, CertiNomis...) le soin de certifier la clé publique d'une entité ou d'un individu. Ces sociétés, parce qu'elles sont des AC reconnues, garantissent et assurent la validité d'une clé publique et surtout son appartenance à son propriétaire légitime depuis n'importe quel navigateur Internet. Ainsi, l'utilisation du certificat de clé publique devient sûre.
L'IGCP interne revient à substituer aux Autorités de Certification tierces évoquées ci-dessus sa propre organisation. Autrement dit, une entité suffisamment importante peut déployer sa propre architecture interne en devenant de ce fait ses propres Autorité d'Enregistrement et Autorité de Certification pour ses membres (certificats « client »). Cette solution est souvent déployée pour une utilisation interne aux grandes entreprises.
Ces deux IGCP sont éprouvées sur le plan de la sécurité (cryptographie). Elles sont aussi viables sur les plans technologique, organisationnel et économique.
L'IGCP fondée sur des Autorités de Certification reconnues est bien adaptée pour délivrer et gérer...
Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.
Déjà abonné ? Se connecter
Intranet bancaire
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
BIBLIOGRAPHIE
-
(1) - Banque de France - Supervision et réglementation bancaire. - Bâle 2 – CRD (2009).
-
(2) - * - Consortium pour la Fédération de Cercles de Confiance et les usages sécurisés de l'identitié (2009) http://www.fc2-consortium.org.
-
(3) - LEROUGE (P.) - Blog « Le paiement mobile » - (2009) http://www.mobilepayment.typepad.com/paiement_mobile.
DANS NOS BASES DOCUMENTAIRES
Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
