Différences entre les versions de « Atelier-directive-dsp2 »

ATELIER DIRECTIVE DSP2[modifier]

En 2019, la problématique de la directive DSP2 est apparue. Un pad a été créé sur le sujet mais il est fermé et maintenant persisté dans la présente page.

Le 09/09/2019 à 16:06, Christian Pierre MOMON a écrit :

> 
>  Bonjour,
> 
>  La directive DSP2 sur l'authentification forte pour les paiements par
> Internet, est un sujet d'actualité : injonction d'installer un logiciel
> non libre sur son téléphone pour faire des paiements par Internet…
> 
>  Afin de mutualiser les informations, questions, arguments et analyses,
> un pad a été créé :
> 
> https://pad.april.org/p/atelier-directive-dsp2
> 
>  N'hésitez pas à l'alimenter \o/
> 
>  Librement,
> 
>  Christian (Cpm).

Notons tout de suite que la directive DSP2 n'impose *pas* « un logiciel non libre sur son téléphone ». Elle est plus vague techniquement et impose juste une authentification forte. *Certains banques* prennent prétexte de cette directive pour imposer leur logiciel non-libre. Voir aussi la section « Disponibilité d'alternatives ».

Personnes[modifier]

• Christian (Cpm), cmomon@april.org

Références[modifier]

Liens vers le texte ?

• Directive UE
  • Document 32015L2366
  • Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (Texte présentant de l'intérêt pour l'EEE)
  • https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32015L2366

• Transposition en droit français :
  • Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur
  • https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035394629\&dateTexte=20180112

Presse :

• https://www.latribune.fr/entreprises-finance/banques-finance/paiement-la-directive-dsp2-entre-en-vigueur-c-est-quoi-764449.html

Autres :

• https://linuxfr.org/users/fcartegnie/journaux/l-authentification-molasse

Historique[modifier]

Retrouver les étapes et dates de la directive

• 09/2019 : report en vue :
  • https://www.lesechos.fr/finance-marches/banque-assurances/paiements-en-ligne-lauthentification-par-sms-reste-la-regle-jusquen-2022-1126554
  • https://www.01net.com/actualites/vous-continuerez-de-recevoir-un-code-par-sms-pour-payer-en-ligne-jusqu-en-2022-1756463.html
• 14/09/2019 : date prévisionnelle d'entrée en vigueur mais en Mars 2021 cela ne semble toujours pas obligatoire ni encore imposé par une banque commerciale.
• 21/09/2019 :
  • https://www.lemonde.fr/argent/article/2019/09/21/achats-en-ligne-une-authentification-qui-se-fait-attendre\_6012497\_1657007.html (réservé aux abonnés)
• 19/04/2021 : si cela ne semble toujours pas obligatoire, plusieurs banques font lourdement pression sur leurs clients : communication anxiogène, fenêtres-polichinelles menaçantes lorsqu'on se connecte sur le site Web, injonctions à installer l'appli.

PROBLÉMATIQUES[modifier]

Éthique[modifier]

Comment accepter l'obligation d'utiliser un logiciel non libre pour un « besoin fondamental » ? (Rappelons que ce n'est pas la directive européenne qui impose un logiciel non libre, ce sont certaines banques.)

Si le logiciel était libre, mais imposait d'avoir un smartphone, cela ne résoudrait pas complètement le problème.

Sécuritaire[modifier]

Comment faire confiance à une application non libre ?

Comment faire confiance à une application lorsqu'on ne peut pas faire confiance au système d'exploitation en dessous ?

Exemples :

• les couches non libres dans Android ;
• les sauvegardes automatiques dans ses datacenter pour Apple ;
• …

Comment faire confiance à une application lorsqu'on ne peut pas faire confiance à l'ordiphone ?

Exemple :

• puce téléphonie maître sur la mémoire et les processeurs ;
• puces sans spécifications fournies ou garanties (wifi…) ;
• carte SIM duplicable :
  • https://www.lesechos.fr/tech-medias/hightech/le-patron-de-twitter-victime-dusurpation-didentite-sur-son-propre-reseau-social-1128042
  • https://www.lesnumeriques.com/vie-du-net/suite-au-piratage-du-compte-de-son-pdg-twitter-suspend-les-tweets-par-sms-n140019.html
• …

Pratique[modifier]

Ne fonctionne pas sous LineagOs ? « Le Crédit Mutuel précise dans sa FAQ qu'un téléphone rooté/jailbreaké est incompatible avec son application mobile et qu'il faut retourner aux réglages usine du téléphone. » https://linuxfr.org/users/fcartegnie/journaux/l-authentification-molasse#comment-1796701

Disponibilité d'alternatives[modifier]

La directive impose un système d'authentification fort mais n'impose pas de passer par un téléphone. Ainsi, il existe déjà des solutions en dehors du téléphone.

La plupart s'appuient sur un boîtier externe où l'on met sa carte bleue pour obtenir un code à usage unique et temporaire. C'est un système très efficace et relativement simple. Mais le mieux serait évidemment d'utiliser un protocole standard comme TOTP (cf. plus loin), laissant ainsi les clients complètement libres de choisir la solution technique la plus adaptée.

Liste de banques proposant des alternatives (préciser la date de mise à jour de chaque point et ne pas oublier le découpage en caisses régionales pour les banques concernées):

• Axa Banque
  • (Mars 2021) : continue à utiliser les SMS, pas de forcing, pas de communication sur le sujet
• Banque Populaire (peut varier d'une caisse régionale à l'autre)
  • Proposait historiquement un terminal physique appelé Pass Cyberplus https://aide.bpalc.fr/articles/pass-cyberplus/
  • Réticent pour fournir le pass physique aux particuliers
  • (Mars 2021) Rives de Paris ; refus catégorique de fournir une alternative physique
  • (juin 2021) Paris Voltaire (BRED) : a répondu que les SMS étaient la solution en cas de refus d'installer une application non libre
• Banque Postale (certicode : validation par SMS, Certicode Plus : via l'applicatif non-libre de la banque)
  • (Mars 2021) : pas d'annonce d'une date d'obligation d'utiliser l'appli et il semble possible de demander la réactivation de certicode (SMS)
• BNP Paribas
  • Propose le « SMS renforcé » : en complément du code reçu par SMS, saisie d'un code secret de connexion au site de la banque. « L’activation de ce dispositif sera progressive à partir de juin 2021 ».
• Boursorama Banque
  • (Mars 2021) : Pas besoin de l'appli, quand le SMS ne suffira plus on est amené à utiliser le site qui fonctionne bien avec Firefox :)
• Caisse d'Épargne (peut varier d'une caisse régionale à l'autre)
  • La Caisse d'Épargne île-de-France propose un lecteur CAP, voir page 10 de la brochure « Tarification aux particuliers au 1er janvier 2021 » téléchargeable à cette page. L'adhésion au service et le lecteur sont gratuits. Auparavant, ce système d’authentification semblait être disponible uniquement pour les personnes morales.
  • Rhône Alpes (mars 2021) : annonce qu'elle va imposer (sans donner de date butoir) son application propriétaire et ne propose pas d'alternative bien qu'elle l'ait fait avec son terminal physique auparavant.
    • Le lecteur CAP est mentionné à la page 7 de la brochure « Conditions et tarifs au 1er janvier 2021 », téléchargeable à cette page. L'adhésion au service est gratuite ; pour ce qui est du lecteur, gratuité la première année, puis 12,00 € par an.
• CIC (peut varier d'une caisse régionale à l'autre)
  • (Juin 2021) Somme : a priori Digipass proposé (cf Crédit Mutuel) mais la conseillère n'en avait pas beaucoup sur le sujet
• Crédit Agricole (peut varier d'une caisse régionale à l'autre)
  • (Mars 2021) Côtes d'Armor : continue à utiliser les SMS, pas de forcing, pas de communication sur le sujet
  • (Juin 2021) Brie Picardie : reçu un courrier pour le SMS renforcé
• Crédit Coopératif
  • (Mars 2021) Propose un boiter physique en alternative
• Crédit Mutuel (peut varier d'une caisse régionale à l'autre)
  • Digipass : lecteur de QRcode https://www.creditmutuel.fr/cmo/fr/particuliers/comptes/digipass.html https://www.creditmutuel.fr/cmo/fr/particuliers/comptes-et-services/comment-activer-et-utiliser-digipass.html
  • Des agences semblent vraiment proposer cette solution
  • Safetrans : boitier USB non compatible GNU/Linux d'après https://www.creditmutuel.fr/fr/identification/se-connecter-avec-un-lecteur-safetrans.html
• Hello Banque :
  • L'activation du dispositif SMS renforcé sera progressive à partir de juin 2021.
• ING Direct (France) :
  • Pas de forcing
  • Codes SMS renforcés (8 caractères hexadécimaux)
  • Authentification forte imposée une fois par trimestre (sans passer par un cookie sur votre machine pour compter ce trimestre, ils se débrouillent)
• LCL
  • (Mars 2021) Affiche que c'est obligatoire mais dans les faits les SMS passent encore.
  • Nouveauté du 26 Mars 2021 : après avoir posé la question à une conseillère, qui l'a transmise à l'équipe chargée du développement des canaux digitaux, j'ai obtenu aujourd'hui un retour :

   « Le LCL est en train de développer des solutions pour les clients qui se trouvent dans votre cas. Il y devrait y avoir un système de code unique qui permettra les paiements CB à distance.
     Une communication sera faite lorsque le projet sera finalisé. »

• • 10 Juin 2021 : la solution prévue par LCL est désormais publique et décrite sur la page https://www.lcl.fr/dsp2. Il s'agit d'un code supplémentaire unique dédié aux achats en lignes et envoyé de façon sécurisée (courier postal ou messagerie sécurisée). Cela semble une solution simple et pratique, c'est juste un code de plus, fixe.
• Société Générale
  • (encore avant (2019? 2018? en tout cas après 2016 c’est sûr)) application obligatoire pour désactiver le sans-contact
  • (septembre 2020) Virements internationaux possibles uniquement via le service Pass Sécurité dans l'application de la Société Générale https://particuliers.societegenerale.fr/securite/pass-securite#lesoperationspossiblesaveclepasssecurite
  • (Mars 2021) : A priori pas de forcing
  • (juillet 2021) : application obligatoire pour l’ajout de destinataire de virement (c’était pas le cas quelques mois plus tôt)

Adoption de protocoles interopérables[modifier]

L'adoption de protocoles ouverts permettrait l'utilisation des nombreuses applications libres d'authentification (comme andOTP sur Android).

Protocoles :

• HOTP/TOTP: tous les deux calculent le deuxième facteur d'authentification à partir d'un secret initial envoyé par la banque. HOTP est pénible à l'usage car il repose sur un compteur de connexion avec la banque : en cas de désynchronisation (le client pense s'être authentifié 31 fois, la banque dit que c'est 30, c'est fichu. TOTP, normalisé dans le RFC 6238 https://www.bortzmeyer.org/6238.html ) est plus pratique et beaucoup plus répandu.
• Certificat x509 présenté par le client (supporté par firefox depuis toujours). Les impôts avaient tenté une authentification avec certificat, qui a été abandonné ensuite. Ce n'est PAS un deuxième facteur puisqu'il est sur la même machine.

Notes 2020[modifier]

• https://dsp2.fr/france/

Notes 2021[modifier]

• 19/02/2021 :
  • https://www.journaldunet.com/economie/finance/1498175-info-jdn-l-authentification-forte-entrera-en-vigueur-le-15-mai/
  • https://www.banque-france.fr/sites/default/files/media/2021/02/19/210218_osmp-trajectoire-soft-decline.pdf

Vers l'absence de problème (Cpm, 22/06/2021)[modifier]

La Banque de France semble apporter une réponse rassurante au problème qui semble donc avoir été anticipée très tôt :

• https://www.banque-france.fr/stabilite-financiere/comite-national-des-paiements-scripturaux/faq-les-paiements-en-questions/les-changements-introduits-par-la-dsp2 (cliquer sur « Le renforcement de la sécurité des paiements en ligne ») :

 Un établissement bancaire est-il tenu de proposer plusieurs dispositifs d’authentification forte ?
 
 La réglementation n’impose pas aux établissements de proposer plusieurs dispositifs d’authentification forte. Toutefois, les établissements de la Place française se sont engagés, dans le cadre de l’Observatoire de la sécurité des moyens de paiement (OSMP), à proposer plusieurs dispositifs, en particulier pour les publics ne disposant pas de smartphones et ne pouvant donc installer les solutions mobiles des banques françaises permettant une authentification forte. Les solutions alternatives qui pourraient être proposées sont les suivantes :
 
   - le maintien du code envoyé par SMS ou par serveur vocal associé à un code personnel. Dans ce cas de figure, le consommateur valide la transaction sur Internet en saisissant dans deux champs distincts : i) le code reçu par SMS ou par serveur vocal interactif et ii) un code personnel statique qui lui a été communiqué par sa banque (par exemple, le code d’accès à sa banque en ligne). La cinématique de paiement est donc globalement inchangée, moyennant l’ajout d’un champ de saisie supplémentaire sur la page de validation, ce qui constitue une solution de continuité ;
 
   - l’utilisation d’un dispositif physique mis à disposition par la banque, en particulier pour la clientèle « sédentaire » qui effectue ses achats en ligne systématiquement depuis son domicile. Dans ce cas de figure, la banque a équipé le consommateur d’un dispositif lui permettant de s’authentifier de manière sécurisée, et qui peut prendre différentes formes : générateur de codes doté d’un clavier de saisie, clef USB, lecteur de QR code, etc. Dans ce cas, la banque doit veiller à apporter à son client tout le support et l’assistance nécessaires à la bonne prise en main de ce dispositif.

Donc :

• les banques françaises se sont engagés à ne pas imposer l'usage d'une application téléphonique ;
• au pire, les banques continueront de proposer la solution du SMS, complétée par un mot de passe supplémentaire.

La notion de « SMS renforcé » (SMS + code perso) commence à circuler (BNP, Hello Banque…). Vu la simplicité de la solution, on peut s'attendre à son déploiement rapide dès juin 2021.

Déploiement du SMS renforcé[modifier]

Liste de banques proposant explicitement le SMS renforcé :

• BNP : https://mabanque.bnpparibas/fr/gerer/services-lies-compte/options-et-services/sms-renforce
• Hello Banque : https://www.hellobank.fr/fr/client/notre-offre/comptes-et-cartes/sms-renforce
• LCL (08/2021) : https://www.lcl.fr/dsp2

Conclusion provisoire – 22/06/2021[modifier]

Si tous les établissements bancaires respectent leur engagement d'alternative et rendent rapidement utilisable le SMS renforcé, alors l'obligation d'utiliser une application mobile disparait.

Et le problème n'est plus (ce qui n'empêche pas qu'il y en ait d'autres).

Notes 2022[modifier]

• Audit d'intrusion des appli mobiles (classées par nombre de trackers/persmissions):
  • https://reports.exodus-privacy.eu.org/reports/com.fullsix.android.labanquepostale.accountaccess/latest/#1T32P
  • https://reports.exodus-privacy.eu.org/reports/com.arkea.android.application.cmb/latest/#2T23P
  • https://reports.exodus-privacy.eu.org/reports/com.boursorama.android.clients/latest#5T17P
  • https://reports.exodus-privacy.eu.org/reports/com.credit_coop.android.mobilebanking/latest/#5T21P
  • https://reports.exodus-privacy.eu.org/reports/com.fortuneo.android/latest/#7T22P

• Implémentations DSP2 pour les paiements en ligne avec carte banquaires (sans App)
  • Certaines banques demandent a l utilisateur de saisir son mdp de sa banque dans une iframe d'un prestataire tiers: LBP
  • D'autres ont envoyés un mdp annexe pour valider en plus du sms (3ds): CA
  • D'autres ont envoyés une matrice de mdp annexes pour valider en plus du sms (3ds): ?
  • D'autres proposent de se logger sur le site de la banque pour valider le paiement (avec SMS de confirmation) : BR
  • Ajoutez ici vos retours d'UX...

• A suivre, réactions bienvenues aussi au sondage en cours:
  • https://mamot.fr/@rzr/107784839988574142#DSP2