Atelier-directive-dsp2

ATELIER DIRECTIVE DSP2

En 2019, la problématique de la directive DSP2 est apparu. Un pad a été créé sur le sujet.

Le 09/09/2019 à 16:06, Christian Pierre MOMON a écrit :

> 
>  Bonjour,
> 
>  La directive DSP2 sur l'authentification forte pour les paiements par
> Internet, est un sujet d'actualité : obligation d'installer un logiciel
> non libre sur son téléphone pour faire des paiements par Internet…
> 
>  Afin de mutualiser les informations, questions, arguments et analyses,
> un pad a été créé :
> 
> https://pad.april.org/p/atelier-directive-dsp2
> 
>  N'hésitez pas à l'alimenter \o/
> 
>  Librement,
> 
>  Christian (Cpm).

Personnes

• Christian (Cpm), cmomon@april.org

Références

Liens vers le texte ?

• Directive UE
  • Document 32015L2366
  • Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (Texte présentant de l'intérêt pour l'EEE)
  • https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32015L2366

• Transposition en droit français :
  • Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur
  • https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035394629\&dateTexte=20180112

Presse :

• https://www.latribune.fr/entreprises-finance/banques-finance/paiement-la-directive-dsp2-entre-en-vigueur-c-est-quoi-764449.html

Historique

Retrouver les étapes et dates de la directive

• 09/2019 : report en vue :
  • https://www.lesechos.fr/finance-marches/banque-assurances/paiements-en-ligne-lauthentification-par-sms-reste-la-regle-jusquen-2022-1126554
  • https://www.01net.com/actualites/vous-continuerez-de-recevoir-un-code-par-sms-pour-payer-en-ligne-jusqu-en-2022-1756463.html
• 14/09/2019 : date prévisionnelle d'entrée en vigueur
• 21/09/2019 :
  • https://www.lemonde.fr/argent/article/2019/09/21/achats-en-ligne-une-authentification-qui-se-fait-attendre\_6012497\_1657007.html (réservé aux abonnés)

PROBLÉMATIQUES

Éthique

Comment accepter l'obligation d'utiliser un logiciel non libre pour un « besoin fondamental » ?

Sécuritaire

Comment faire confiance à une application non libre ?

Comment faire confiance à une application lorsqu'on ne peut pas faire confiance au système d'exploitation en dessous ?

Exemples :

• les couches non libres dans Android ;
• les sauvegardes automatiques dans ses datacenter pour Apple ;
• …

Comment faire confiance à une application lorsqu'on ne peut pas faire confiance à l'ordiphone ?

Exemple :

• puce téléphonie maître sur la mémoire et les processeurs ;
• puces sans spécifications fournies ou garanties (wifi…) ;
• carte SIM duplicable :
  • https://www.lesechos.fr/tech-medias/hightech/le-patron-de-twitter-victime-dusurpation-didentite-sur-son-propre-reseau-social-1128042
  • https://www.lesnumeriques.com/vie-du-net/suite-au-piratage-du-compte-de-son-pdg-twitter-suspend-les-tweets-par-sms-n140019.html
• …

Disponibilité d'alternatives

La directive impose un système d'authentification fort mais n'impose pas de passer par un téléphone. Ainsi, il existe déjà des solutions en dehors du téléphone.

La plupart s'appuient sur Digipass : un boitier externe où l'on met sa carte bleue pour obtenir un code à usage unique et temporaire. C'est un système très efficace relativement simple.

Liste de banques proposant des alternatives :

• Caisse d'épargne,
• BNP Paribas,
• Banque Populaire,
  • Pass Cyberplus,
  • https://aide.bpalc.fr/articles/pass-cyberplus/
• Crédit Mutuel
  • Digipass,
  • https://www.creditmutuel.fr/cmo/fr/particuliers/actualites/dsp2-reglementation-europeenne-authentification-forte.html
• …

Mais :

• le proposent-elles toutes ?
• Continueront-elles à le proposer ?

Adoption de protocoles interopérables

L'adoption de protocoles ouverts permettrait la création d'applications libres d'authentification. Protocoles :

• HOTP/TOTP

Notes 2020

• https://dsp2.fr/france/