PRÉSENTATION DE LA SOLUTION

Solutions de sécurité cloud distribuées F5 pour une authentification client forte conforme à la directive PSD2

Les services cloud distribués vous aident à offrir une authentification client et une sécurité sans faille qui atténuent les risques liés aux fournisseurs de paiement tiers, améliorent l'expérience client et sont conformes à la directive PSD2 bancaire de l'UE.

Guichet automatique bancaire WIFI

La transformation numérique des services financiers met l'accent sur la protection des consommateurs

Dans tous les secteurs d’activité, la pression pour augmenter les revenus et réduire les coûts d’exploitation et les pertes augmente. Dans le secteur des services financiers, la transformation numérique est tirée par l’essor de l’Open Banking et les avantages que les agrégateurs offrent aux consommateurs. Bien que ces innovations aient amélioré l’expérience client, elles créent également une surface d’attaque plus large qui peut être ciblée par les fraudeurs. Pour lutter contre ce phénomène, l’Autorité bancaire européenne (ABE) a publié la deuxième directive sur les services de paiement (PSD2) afin de protéger les consommateurs grâce à une authentification forte des clients (SCA) dans les banques, les agrégateurs et d’autres prestataires de services financiers. Plus précisément, l’article 4, paragraphe 30 de la directive fait référence à la nécessité d’ une « authentification forte du client » qu’il définit comme suit :

Authentification basée sur l'utilisation de deux ou plusieurs éléments catégorisés comme connaissance (quelque chose que seul l'utilisateur connaît, par exemple mots de passe, codes PIN, phrases de passe, chemins de balayage mémorisés, réponses à des défis), possession (quelque chose que seul l'utilisateur possède, par exemple générateur de jetons matériels ou logiciels, SMS, OTP) et inhérence (quelque chose que l'utilisateur possède, par exemple biométrie, reconnaissance des veines, reconnaissance vocale, analyse de frappe, fréquence cardiaque) qui sont indépendants, en ce sens que la violation de l'un ne compromet pas la fiabilité des autres et est conçue de manière à protéger la confidentialité des données d'authentification.

Alors que les cybercriminels s'adaptent et tentent de garder une longueur d'avance sur les réglementations, il est important que les consommateurs soient protégés sans créer de frictions dans leur accès et leur utilisation des applications et des API. 

Le mythe de l'authentification multifactorielle PSD2 : Le MFA/2FA est-il suffisant ?

Ce qui ressort clairement de la DSP2, c’est que l’EBA exige une authentification forte des clients. En outre, les agrégateurs et les fournisseurs de paiement tiers (TPP) doivent être autorisés à accéder aux comptes des clients. L’EBA décrit ce qui doit être fait pour atteindre la conformité : l’authentification basée sur l’utilisation de deux ou plusieurs éléments classés comme connaissance, possession et inhérence. Bien que la directive PSD2 ne fasse pas explicitement référence à l’authentification multifacteur ou 2FA, ces pratiques sont devenues synonymes des deux méthodes d’authentification les plus courantes utilisées par les entreprises : les mots de passe à usage unique (OTP) et le service de messages courts (SMS). Il est impératif que les prestataires de services de paiement garantissent la confidentialité et l’intégrité des informations d’identification de sécurité personnalisées et des codes d’authentification utilisés par les utilisateurs de services de paiement pendant toutes les phases de l’authentification. Cependant, les messages SMS délivrés en texte clair présentent des vulnérabilités connues (par exemple, des logiciels malveillants mobiles conçus pour voler des messages texte sur les appareils des utilisateurs) . De plus, des kits de phishing sophistiqués tels que Kr3pto donnent aux acteurs de la menace expérimentés la possibilité d'intercepter les mots de passe à usage unique en temps réel. Sur la base de ces preuves, les entreprises qui s’appuient uniquement sur l’OTP et les SMS introduisent effectivement un risque de sécurité et exposent potentiellement les comptes de leurs clients. Les services cloud distribués augmentent l’exigence SCA avec une protection des applications en temps réel exploitant l’IA, l’apprentissage automatique et d’autres technologies. 

Comment la plateforme cloud distribuée F5 offre une authentification client sans friction et conforme à la norme PSD2

La plateforme F5 Distributed Cloud offre une analyse interfonctionnelle rigoureuse des fonctions de sécurité, de fraude et d'identité. L’utilisation des trois éléments d’authentification sécurisés (connaissance, possession, héritage) permet une plus grande fidélité et davantage de flexibilité. L’Autorité bancaire européenne reconnaît « l’élément d’inhérence » comme le domaine le plus passionnant et le plus progressiste en matière d’authentification. Les services cloud distribués aident les organisations de services financiers à répondre aux exigences PSD2 en fournissant une protection Web, mobile et API complète et simple à utiliser. La plateforme Cloud distribuée atténue automatiquement les attaques en évolution en observant et en apprenant de chaque interaction. Regardons un exemple de scénario ci-dessous :

L'authentification approfondie des clients de F5 en pratique (vérification en 3 éléments)

  • Étape 1 : L'utilisateur accède à une propriété ou à une application en ligne.
  • Étape 2 : Le nom d'utilisateur est soit saisi, soit prérempli (notez que le nom d'utilisateur n'est pas un élément de connaissance à part entière)
  • Étape 3 : L'utilisateur saisit un mot de passe ou un code PIN ( élément de connaissance conforme)
  • Étape 4 : Distributed Cloud Bot Defense effectue une vérification des éléments de possession lors de l'exécution via la biométrie passive telle que la collecte de télémétrie d'identification de l'appareil
  • Étape 5 : Distributed Cloud Bot Defense effectue une vérification des éléments d'inhérence à l'exécution via la biométrie comportementale
  • Étape 6 : L'utilisateur est vérifié et effectue le transfert d'argent sans aucune difficulté.

Les services cloud distribués complètent l'OTP et le SMS 2FA avec une analyse comportementale et interfonctionnelle en temps réel qui authentifie collectivement les utilisateurs conformément aux trois éléments d'authentification client forts de la PSD2, assurant ainsi la conformité, améliorant la sécurité et supprimant les frictions des utilisateurs.

Ce que les équipes de sécurité doivent savoir sur les fournisseurs et agrégateurs tiers

La PSD2 encourage l’innovation et l’open banking en exigeant des institutions financières qu’elles accordent l’accès aux données clients aux fournisseurs tiers (TPP). Les applications TPP se connectent aux institutions financières via des API pour agréger les données et offrir une visibilité à panneau unique. Par exemple, ils peuvent consolider le solde bancaire, les transactions et les profils d’un client sur plusieurs comptes. La sécurité des applications et des API est essentielle pour atténuer les risques pesant sur les informations des utilisateurs et prévenir la fraude tout en répondant aux attentes des clients. Vous trouverez ci-dessous quelques exemples de menaces et de risques présentés par les agrégateurs :

Attaques par usurpation d'identité d'agrégateur
Les agrégateurs qui entretiennent une relation de travail avec leurs sources sont souvent autorisés à accéder aux services de l'institution. Les attaquants profitent de cette relation en validant les comptes à l’aide du bourrage d’informations d’identification contre l’agrégateur plutôt que directement contre l’institution.

Prise de contrôle de compte
Les agrégateurs financiers stockent les informations d’identification bancaires des clients (noms d’utilisateur et mots de passe) et jusqu’à 90 jours de données de compte, ce qui en fait une cible tentante pour les attaquants. Les attaquants peuvent exploiter les applications fintech activées par les utilisateurs pour voler les soldes des comptes et accéder à d'autres systèmes de paiement en ligne.

Pics de trafic imprévisibles
Les agrégateurs constituent une part importante des requêtes sur les comptes des institutions financières et interrogent l'institution financière pour obtenir des informations actualisées sur les comptes clients jusqu'à des dizaines de milliers de fois par jour. Multipliez cela par des milliers de clients, et les institutions financières se retrouvent contraintes d’ajouter de la capacité simplement pour gérer le trafic des agrégateurs.

Grattage d'écran
Les consommateurs fournissent volontiers leurs informations d'identification aux agrégateurs fintech qui, à leur tour, utilisent des outils d'automatisation pour explorer et extraire les données des consommateurs à partir des applications des institutions financières. Bien que l’agrégation de ces données puisse apporter certains avantages immédiats aux consommateurs, la manière dont certains agrégateurs accèdent à ces données peut enfreindre les réglementations en matière de conformité des données et peut finalement exposer les données des consommateurs à la fraude.

Comment les services cloud distribués F5 aident les institutions financières à gérer les agrégateurs

F5 offre une visibilité et un contrôle pour aider les institutions financières à gérer les agrégateurs et à se défendre contre les attaques. Les clients bénéficient d'un accès complet à leurs données quand et où ils le souhaitent, via les applications de leur choix, tout en étant protégés contre les risques de bourrage d'informations d'identification et de prise de contrôle de compte (ATO).

Visibilité de l'authentification
Distributed Cloud Bot Defense détecte chaque tentative de connexion et étiquette le trafic comme étant humain, automatisé ou agrégateur. F5 bloque les attaques sur les propriétés Web et mobiles de l'institution financière et peut également détecter lorsque les attaquants utilisent des informations d'identification via un agrégateur pour la validation de compte.

Assistance à l'intégration
La gestion des agrégateurs de cloud distribués encourage les agrégateurs à abandonner le stockage des informations d'identification financières des utilisateurs et à passer aux API prises en charge par les institutions financières auprès desquelles ils s'approvisionnent. F5 travaille avec l’institution financière et l’agrégateur pour réaliser cette transition.

Accès au moindre privilège
Lorsque des API sont utilisées, les services cloud distribués peuvent appliquer uniquement les privilèges requis par les agrégateurs, réduisant ainsi la surface de menace. Par exemple, les transactions peuvent être soumises à un accès en lecture seule ou à des informations récapitulatives uniquement.

Détection d'anomalies
Les services Cloud distribués aident à la fois l’institution financière et l’agrégateur à détecter les anomalies. F5 identifie chaque infrastructure d'attaque, y compris les navigateurs sans tête et les fraudes par attaque manuelle, et peut bloquer ou alerter à la fois l'agrégateur et l'institution financière.

Lutter contre les menaces avancées de cybersécurité avec F5
Les services cloud distribués F5 fournissent les meilleures solutions de sécurité des applications et de prévention de la fraude sur une plate-forme intégrée. F5 exploite la précision de l'IA pour détecter avec précision le trafic d'attaque en temps réel ainsi que pour détecter et éliminer la fraude.