L’authentification de l’Alliance FIDO conforme aux normes de la Directive sur les Services de Paiements (DSP2) de l’Autorité Bancaire Européenne

Mercredi 27 Septembre 2017

Les normes FIDO offrent un moyen sécurisé et intuitif pour le secteur des paiements européens afin de respecter les normes de la DSP2 en matière d’authentification forte.

Les normes d’authentification de l’Alliance FIDO fournissent un moyen évolutif pour la conformité de l’écosystème financier européen aux exigences de la DSP2 en termes d’authentification forte pour les connexions des utilisateurs et les transactions signées cryptographiquement. Elles veillent, en même temps, à répondre aux besoins organisationnels et à faciliter les transactions des consommateurs.

L’authentification est basée sur des normes ouvertes supportées par un écosystème interopérable avec plus de 350 solutions FIDO certifiées. Les banques et les prestataires de services de paiements (PSP) peuvent choisir parmi les principaux fournisseurs de solutions d’authentification moderne, et/ou ont la possibilité de développer et tester leurs propres solutions DSP2 basées sur FIDO. Une fois déployées, les banques et les PSP peuvent accepter une variété d’authentificateurs FIDO certifiés, interopérables et conformes sur le marché, y compris ceux présents sur des appareils mobiles et sur PC, ainsi que les clés de sécurité matérielles. In fine, cette approche, qui dépasse les exigences de la Directive sur les Services de Paiements 2 de l’Autorité Bancaire Européenne (EBA), limite les désaccords pour les utilisateurs de l’authentification.

L’architecture FIDO offre une combinaison du « meilleur des deux mondes » pour résoudre les problèmes ayant conduit à la mise en place d’exigences concernant l’authentification multifactorielle, telles que définies dans le projet final de l’EBA au sujet des normes techniques de règlementation (RTS) pour l’Authentification Forte du Consommateur (SCA) :

- Avec une cryptographie asymétrique au cœur du modèle de sécurité, FIDO répond aux exigences relatives aux RTS. Ces dernières sont conçues pour limiter le vol d’identifiants servant au paiement dans le cadre de toutes les attaques connues et ont permis l’accès à des informations confidentielles « partagées » telles que des mots de passe. L’efficacité des techniques, qui sont derrière 95 % des attaques visant des applications web et qui conduisent à des violations de données, est ainsi réduite ;


Avec les données biométriques faciles à utiliser et les clés de sécurité qui servent pour les facteurs d’authentification répondant aux questions « Qui êtes-vous ? et « Qu’avez-vous ? », FIDO répond aux attentes du marché en offrant une plus grande facilité par rapport à tous les moyens jusqu’ici disponibles pour effectuer des paiements en ligne ;


Les normes de FIDO en matière de confidentialité garantissent que les données biométriques, lorsqu’elles sont utilisées, ne sont jamais partagées. Cela permet de répondre aux exigences des autorités chargées de la protection des données et aux inquiétudes des consommateurs concernant le partage d’informations biométriques en ligne.