Les recommandations de la Banque de France pour la sécurité des paiements en ligne Marc ANDRIES Chef du Service de Surveillance des Moyens de Paiement Scripturaux marc.andries@banque-france.fr FEVAD Le paiement en ligne 29 avril 2009 Mission de la Banque de France Promotion du bon fonctionnement et de la sécurité des systèmes de paiement, y compris des moyens de paiement En France - article L141-4 du Code Monétaire et Financier La Banque de France s'assure de la sécurité des moyens de paiement [ ], et de la pertinence des normes applicables en la matière. Au sein de l Eurosystème: Article 105-2 du Traité de Maastricht Moyens d action Définition d exigences de sécurité à partir d une analyse de risques Evaluations sur pièces et sur place Recommandations Principes d action : transparence, neutralité concernant les technologies 2 1
L Observatoire de la sécurité des cartes de paiement Forum de dialogue : émetteurs, commerçants, consommateurs, parlementaires, administrations Présidé par le gouverneur de la Banque de France, secrétariat assuré par la Banque de France Une triple mission : Suivre la mise en œuvre des mesures de sécurité adoptées par les émetteurs et les commerçants Établir des statistiques en matière de fraude Assurer une veille technologique Rapport annuel remis au ministre chargé de l'économie et transmis au Parlement (disponible sur le site internet). www.observatoire-cartes.fr 3 Paiements en ligne: augmentation de la fraude et des attaques La fraude en paiement à distance devient un problème majeur FR = 50 M en 2007 (Fr/Fr) (+51% contre +41% en 2006): 5% des transactions représentent 44% de la fraude totale [En comparaison : UK = 290M en 2007 (+37%) - environ 365M ] Elle est en nette augmentation en 2008 et pèse sur l évolution globale de la fraude. La Banque de France utilisateurs 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Part des différents type de paiement (sur les transactions nationales en 2007) 24% 70% Part des transactions 2% 3% Retraits Paiements à distance sur internet Paiements à distance hors internet Paiements de proximité et sur automate 17% 23% 21% 40% Part de la fraude considère qu il y a un risque de confiance des Les attaques sur les sites de banque en ligne s intensifient et deviennent plus sophistiquées. Les parades par fermeture des sites ne sont plus tenables 4 2
Paiements en ligne : quelle sécurité? Risques communs à la banque en ligne et au paiement à distance: L utilisation de réseaux ouverts facilite les attaques Difficulté de protection du poste client L authentification du porteur de la carte et de l utilisateur de banque en ligne reste le problème principal Les solutions de scoring et les différents standards sur la protection des données peuvent toutefois participer en parallèle à la sécurisation des accès et des données sensibles Le développement de la banque en ligne et du commerce électronique est souhaitable ; en accompagnement, la sécurité doit se développer Il existe pour cela une offre variée de solutions désormais matures sur le marché, déjà largement déployées dans les autres pays européens 5 Solutions disponibles Exemples Cartes combinées Authentification à deux facteurs (lecteurs de cartes EMV, tokens ) Utilisation de deux canaux de communication (Internet + SMS ) Grilles d authentification 6 3
Les recommandations de la Banque de France Lettres du gouverneur aux présidents des banques, 15 juillet 2008 : Mise en œuvre de solutions d authentification non rejouable pour la banque en ligne et pour les paiements en ligne par carte Déploiement effectif auprès d une partie de la clientèle avant fin juin 2009 (par exemple la clientèle plus active) Généralisation auprès de l ensemble de la clientèle de banque en ligne ou réalisant des paiements par carte sur internet pour fin juin 2010 Toutes les banques sont concernées Les recommandations sont exprimées en termes de niveau de sécurité (authentification non rejouable), et non en termes de produits et de solutions techniques 7 Les recommandations de la Banque de France Pour la banque en ligne, l authentification non rejouable est requise : pour la réalisation des «opérations sensibles» : toutes les opérations permettant d effectuer directement ou indirectement un transfert de fonds sortant, entraînant l appauvrissement du compte du client (ex : virements, commande de moyens de paiement, mise à jour des données client permettant une prise de contrôle même partielle du compte, adhésion à une offre de carte virtuelle, coffre-fort électronique ) A défaut, dès la connexion au site, compte tenu de la multiplicité des services concernés Eviter également la saisie et l affichage des identifiants de compte et de carte, qui sont des données sensibles 8 4
Les recommandations de la Banque de France Pour les paiements en ligne par carte La mise en place de l authentification non rejouable pour les paiements par carte de type interbancaire passe par une architecture telle que 3D-Secure L équipement des porteurs doit être généralisé ; synergies souhaitables avec les solutions choisies pour la banque en ligne L utilisation de mots de passe statiques (ex : date de naissance), qui a pu être utile pour le lancement, est à proscrire L équipement des commerçants est encouragé : l offre bancaire sur 3D- Secure doit être claire et attractive (report de la fraude, ergonomie, coût, etc.). Points d attention : intérêt d un traitement différencié pour les transactions de faible montant les secteurs commerciaux les plus fraudés à équiper en priorité 9 Les actions de l Eurosystème Solutions de paiement nationales : compétence de la BC nationale Solutions de paiement transfrontalières : organisation coopérative, sous la conduite d un lead overseer Un cadre de surveillance pour les cartes, publié en janvier 2008 25 systèmes de paiement par carte (interbancaire ou privatif) en cours d évaluation http://www.ecb.int/press/pr/date/2008/html/pr080111.en.html Deux cadres de surveillance en cours de préparation : pour le virement (cf. banque en ligne) pour le prélèvement http://www.ecb.int/press/pr/date/2009/html/pr090220.en.html 10 5
Merci de votre attention Questions? marc.andries@banque-france.fr 11 6