Bibliographie & annexes
Présentation
RÉSUMÉ
De nos jours, la banque, les services bancaires et le paiement ne se conçoivent plus sans Internet. L'activité bancaire repose sur la confiance et ses systèmes d'information doivent être sécurisés. Or, l'authentification est une fonction de sécurité qui occupe une place centrale sur Internet et, par voie de conséquence, dans le monde bancaire. Après avoir rappelé la problématique de sécurité de l'informatique bancaire et les principaux concepts de l'authentification, les principales solutions d'authentification employées pour la banque à distance sont présentées. Les deux formes du paiement sécurisé sont ensuite analysées, le paiement de proximité et le paiement à distance, ainsi que la problématique de l'authentification pour les intranets bancaires.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
At this time, the bank, banking services and payments cannot be perceived without the Internet. The banking business is based on trust and information systems must be secure. However, authentication is a security function which plays a central part on the Internet and thus in the banking world. After having recalled the issue of IT banking security and the key concepts of authentication, the principal authentication solutions used for remote banking are presented. The two forms of secure payment are then analyzed, proximity payment and remote payment, as well as the authentication issue for bank intranets.
Auteur(s)
-
Pascal THONIEL : Fondateur et directeur R de la société NTX Research SA
INTRODUCTION
Que ce soit pour un accès à des réseaux locaux ou étendus, que ces réseaux soient filaires ou sans-fil, en architecture client-serveur ou répartie, l'authentification des équipements, des services et des hommes est nécessaire. Tout ce qui concerne l'accès privé, c'est-à-dire le contrôle de la délivrance de l'information et de la fourniture des ressources réservées à certaines entités, passe par l'authentification.
Or, les procédures d'authentification classiques par identifiant et mot de passe ne suffisent plus. Sur les réseaux locaux comme sur Internet, l'espionnage des communications est l'attaque numéro un. L'espionnage des communications permet de récupérer facilement et pratiquement sans risque de détection l'identifiant et le mot de passe que l'utilisateur envoie au serveur ou bien ses codes d'accès lors d'une connexion légitime. Rien de plus simple ensuite pour l'attaquant que de se connecter à son tour en rejouant les mêmes valeurs et ainsi, de se faire passer pour un utilisateur autorisé. Il s'agit là d'usurpation d'identité.
La deuxième catégorie d'attaque consiste à espionner, simuler, copier ou voler le moyen d'authentification de l'utilisateur. La troisième concerne la récupération des éléments d'authentification des utilisateurs (crédentiels) stockés du côté du serveur d'authentification. La quatrième est l'ingénierie sociale qui vise à tromper la vigilance de l'utilisateur en l'amenant astucieusement à révéler volontairement ses mots de passe, ses codes ou ses secrets, ou bien encore à les deviner. En effet, les utilisateurs choisissent souvent des mots de passe faibles (courts, simples, classiques) ou qui leur correspondent (prénom des enfants, dates de naissance, nom du chien de la maison, nom de l'artiste ou du sportif préféré...) afin de les retenir plus facilement. Enfin, la cinquième est l'attaque dite « à force brute » qui consiste par exemple à essayer systématiquement et automatiquement tous les mots de passe possibles ou toutes les clés de chiffrement jusqu'à trouver les bons. Comme les mots de passe utilisés sont souvent courts (moins de 8 caractères) et simples (lettres et chiffres), l'attaque à force brute est parfois très efficace.
L'enjeu est d'autant plus considérable que ces menaces qui pèsent sur les particuliers, les entreprises, les organisations, les administrations et leur système d'information sont bien réelles. Elles sont aussi lourdes de conséquences en cas de concrétisation, c'est-à-dire d'attaque réussie par intrusion. Une intrusion frauduleuse dans un système d'information par absence de contrôle des utilisateurs ou par usurpation de l'identité d'un utilisateur autorisé peut avoir des effets désastreux, à la hauteur des droits d'accès et d'action alloués à cet utilisateur.
Ces généralités s'appliquent complètement à l'informatique bancaire actuelle qui constitue le socle des services bancaires accessibles en tous lieux et à chaque instant grâce à la puissance d'Internet. Comme les enjeux financiers ont toujours été parmi les plus importants, l'authentification n'est donc pas une fonction de sécurité à négliger. Elle occupe à l'évidence une place centrale dans la sécurité bancaire d'aujourd'hui.
L'expertise technique et scientifique de référence
VERSIONS
- Version courante de févr. 2021 par Pascal THONIEL
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(75 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
Intranet bancaire5. Paiement à distance sur Internet
Le paiement à distance est l'une des deux formes de paiement sécurisé. Dans le monde numérique, la vente à distance sur un site Internet se conclut par un « paiement à distance ».
5.1 Enjeux
Si la fraude est aujourd'hui très bien contenue en Europe en ce qui concerne les paiements de proximité, Internet représente déjà 50 % des fraudes de paiements bancaires. « D'après le rapport 2007 de l'Observatoire de la sécurité des paiements, le taux de fraude sur les paiements à distance par Internet était de 0,281 %. Cela représente un montant de 26,4 millions d'euros. Les chiffres spécifiques de la fraude sur la banque en ligne ne sont cependant pas précisés ». Outre-Manche, l'APACS (Association for PAyment Clearing Services ) constate également une hausse des fraudes sur les paiements à distance (par téléphone ou Internet). « Ils ont représenté en 2008 un préjudice d'un montant total de 328,4 millions de livres (355 millions d'euros), en croissance de 13 % par rapport à 2007. Pour l'association, ce constat s'explique aussi par le développement du commerce sur Internet ».
On peut définir la fraude à la carte bancaire comme un acte délictueux réalisé en utilisant des moyens déloyaux destinés à commander une marchandise sur un site marchand sans en assurer le règlement. Il en résulte une perte sèche de la marchandise pour le commerçant sans règlement effectif de la contrepartie.
On distingue deux types de fraudes :
-
L'utilisation de numéros de cartes de paiement usurpés pour régler en ligne. L'usurpation peut trouver son origine dans le vol physique de la carte, dans le simple vol du numéro ou encore dans la génération d'un numéro de carte grâce aux algorithmes connus des fraudeurs, numéro de carte correspondant à un porteur réel. Dans tous ces cas de figure, on a affaire à un porteur de carte de bonne foi, dont le numéro est utilisé à son insu pour réaliser des achats chez des commerçants en ligne.
-
L'utilisation abusive et détournée de la Loi sur la sécurité quotidienne du 15 novembre 2001 permettant à un acheteur identifié et malhonnête de se soustraire à ses obligations de règlement. L'acheteur affirme à son banquier ne pas être à l'origine des achats afin de pouvoir les révoquer et ne pas les régler. Dans ce cas de...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(75 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Paiement à distance sur Internet
BIBLIOGRAPHIE
-
(1) - Banque de France - Supervision et réglementation bancaire. - Bâle 2 – CRD (2009).
-
(2) - * - Consortium pour la Fédération de Cercles de Confiance et les usages sécurisés de l'identitié (2009) http://www.fc2-consortium.org.
-
(3) - LEROUGE (P.) - Blog « Le paiement mobile » - (2009) http://www.mobilepayment.typepad.com/paiement_mobile.
DANS NOS BASES DOCUMENTAIRES
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(75 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
