La question de la validité du SMS comme méthode d’authentification est centrale pour l’industrie des paiements. La Directive sur les Services de Paiement 2 (DSP2) (Directive 2015/2366/UE) et son Règlement Délégué (UE) 2018/389 (souvent appelé Normes Techniques de Réglementation ou RTS SCA&CSC) imposent l’Authentification Forte du Client (SCA) (Strong Customer Authentication) pour la plupart des transactions électroniques, exigeant l’utilisation d’au moins deux éléments indépendants des catégories «connaissance», «possession» ou «inhérence».
Le SMS, généralement utilisé pour transmettre un code à usage unique (OTP – One Time Password), relève-t-il de l’élément de possession ? La réponse est nuancée et dépend entièrement de l’architecture de sécurité mise en place par le Prestataire de Services de Paiement (PSP).
I. Les exigences fondamentales du facteur de possession
Pour qu’une méthode, y compris la réception d’un code par SMS, soit considérée comme un facteur de possession (quelque chose que seul l’utilisateur possède), le PSP doit respecter des exigences de sécurité strictes, énoncées à l’Article 7 du RTS.
Le PSP doit:
1. Prendre des mesures pour atténuer le risque que les éléments de la catégorie «possession» ne soient utilisés par des tiers non autorisés.
2. Mettre en place des mesures visant à éviter leur copie.
Un code d’authentification peut être généré sur la base de solutions telles que la génération de mots de passe à usage unique (OTP). Si le code reçu par SMS est généré par l’appareil que l’utilisateur possède, il répond initialement à la définition de base du facteur de possession.
II. Le cœur du problème : l’impératif d’indépendance (article 9 du RTS)
La validité du SMS est surtout remise en question par le deuxième pilier de la SCA : l’indépendance des éléments.
Les Prestataires de Services de Paiement (PSP) doivent s’assurer que, sur le plan de la technologie et des algorithmes, la compromission d’un des éléments ne remet pas en question la fiabilité des autres.
Or, dans la pratique courante, le SMS est reçu sur le même téléphone mobile (dispositif multifonctionnel) que celui utilisé pour initier le paiement (ou, dans le cas d’une application bancaire, pour saisir l’élément de «connaissance», comme un mot de passe). Si le téléphone est compromis (par un logiciel malveillant, par exemple), l’attaquant pourrait potentiellement accéder aux deux facteurs (la connaissance et le code OTP reçu par SMS), rompant ainsi l’indépendance requise.
III. Le cas critique du dispositif multifonctionnel
Afin de gérer ce risque élevé, le RTS impose des mesures de sécurité très spécifiques lorsque l’un des éléments d’Authentification Forte du Client (SCA) ou le code d’authentification proprement dit est utilisé au travers d’un dispositif multifonctionnel.
Les PSP doivent prendre des mesures de sécurité pour réduire le risque qui découlerait de l’altération de ce dispositif multifonctionnel.
Ces mesures d’atténuation doivent impérativement prévoir les éléments suivants :
1. L’utilisation d’environnements d’exécution sécurisés distincts grâce au logiciel installé sur le dispositif multifonctionnel.
2. Des mécanismes permettant de garantir que le logiciel ou le dispositif n’a pas été altéré par le payeur ou par un tiers.
3. En cas d’altérations, des mécanismes permettant d’en réduire les conséquences.
Ainsi, pour que le SMS soit conforme en tant que facteur de possession sur un téléphone utilisé également pour l’initiation, le PSP doit implémenter des mécanismes logiciels sophistiqués qui créent une séparation logique et garantissent que la réception du code via SMS ne puisse pas être interceptée ou lue par le même processus ou logiciel malveillant qui altère la session de paiement.
Synthèse : la conformité dépend de l’implémentation
Bien que les codes d’authentification (comme les OTP) peuvent être utilisés pour la SCA, l’utilisation du SMS comme facteur de possession n’est conforme que si les PSP respectent scrupuleusement les exigences d’indépendance, notamment en mettant en œuvre les environnements sécurisés distincts exigés par l’Article 9(3) du RTS pour les dispositifs multifonctionnels. Sans ces garanties techniques d’indépendance, le SMS seul ne suffit pas à valider la SCA réglementaire.
Ceci est une Foire Aux Questions (FAQ) visant à éclaircir la situation des victimes de virements frauduleux pour lesquels l’authentification a été réalisée en utilisant un code à usage unique transmis par SMS (SMS-TAN ou OTP par SMS).
Les informations ci-dessous sont basées sur la Directive sur les Services de Paiement 2 (DSP2) (Directive 2015/2366/UE) et son Règlement Délégué (UE) 2018/389 (Normes Techniques de Réglementation ou RTS sur la SCA).
FAQ : Virements frauduleux authentifiés par SMS
1. Qu’est-ce que l’Authentification Forte du Client (SCA) et comment le SMS y est-il lié ?
L’Authentification Forte du Client (SCA) est une exigence de sécurité imposée par la DSP2 pour la plupart des transactions électroniques. Elle est définie comme une authentification basée sur l’utilisation d’au moins deux éléments appartenant aux catégories suivantes :
- Connaissance (quelque chose que seul l’utilisateur sait).
- Possession (quelque chose que seul l’utilisateur possède).
- Inhérence (quelque chose que l’utilisateur est).
Ces éléments doivent être indépendants, de sorte que la violation de l’un ne compromette pas la fiabilité des autres.
Un mot de passe à usage unique (OTP) envoyé par SMS est considéré comme un élément de possession. L’élément de possession n’est pas le SMS lui-même, mais plutôt la carte SIM associée au numéro de téléphone mobile concerné. Pour que cet élément soit valide, son utilisation doit être soumise à des mesures visant à empêcher sa reproduction.
2. Le SMS-TAN est-il toujours considéré comme une méthode d’Authentification Forte du Client (SCA) conforme ?
La conformité du SMS est nuancée et fait l’objet de critiques en matière de sécurité.
Le SMS-TAN (ou mTAN, pour mobile Transaction Authentication Number) est un acronyme désignant un mot de passe à usage unique (OTP – One Time Password) transmis par message texte (SMS) à un téléphone mobile de l’utilisateur. Le SMS-TAN (ou mTAN) a été considéré comme étant de moins en moins sûr, notamment par des autorités comme l’Office fédéral allemand pour la sécurité de l’information (BSI). L’Autorité bancaire européenne (ABE) a clarifié que le SMS-TAN ne serait pas considéré comme conforme à la SCA dans certaines architectures.
Dans la pratique, de nombreuses banques, notamment en Allemagne, ont cessé de proposer ou prévoient de supprimer cette option en raison des risques accrus pour la sécurité et pour se conformer à la DSP2.
3. Comment les fraudeurs peuvent-ils intercepter le code d’authentification par SMS ?
Les sources décrivent plusieurs vecteurs d’attaque courants qui exploitent la vulnérabilité du SMS dans le cadre de la SCA :
- Compromission du dispositif multifonctionnel : Si le paiement est initié via un téléphone portable ou un smartphone, un pirate n’a besoin que de compromettre cet appareil pour obtenir toutes les informations nécessaires à la transaction frauduleuse. Le logiciel malveillant peut potentiellement accéder à la fois à l’élément de connaissance (mot de passe de l’application bancaire) et au code OTP reçu par SMS, ce qui rompt l’exigence d’indépendance de la SCA.
- Attaques par échange de carte SIM (SIM Swap) : Les attaquants peuvent procéder à des échanges de carte SIM pour usurper l’identité du téléphone de la victime et ainsi recevoir et valider la transaction frauduleuse.
- Exploitation des failles SS7 : Les criminels ont exploité des failles de sécurité connues de longue date dans le protocole SS7 (Système de Signalisation 7, utilisé par les opérateurs mobiles) pour contourner l’authentification. Cette vulnérabilité permet notamment d’établir une redirection de numéro (Rufnummerumleitung) et de dérouter les SMS vers un numéro choisi par le fraudeur. Des clients allemands ont été touchés par des attaques utilisant ces failles pour vider des comptes bancaires.
4. Quelles sont les exigences spécifiques de sécurité si le SMS est utilisé sur un smartphone ?
Si le code d’authentification (comme l’OTP par SMS) est utilisé au travers d’un dispositif multifonctionnel (un téléphone mobile ou une tablette qui sert à la fois à initier le paiement et à recevoir le code), le Prestataire de Services de Paiement (PSP) est soumis à des mesures de sécurité très strictes pour réduire le risque découlant de l’altération de ce dispositif.
Pour garantir l’indépendance des éléments comme l’exige l’Article 9 du RTS, le PSP doit impérativement prévoir :
- L’utilisation d’environnements d’exécution sécurisés distincts grâce au logiciel installé sur le dispositif multifonctionnel.
- Des mécanismes permettant de garantir que le logiciel ou le dispositif n’a pas été altéré.
- Des mécanismes permettant de réduire les conséquences en cas d’altérations.
Sans la mise en œuvre de ces garanties techniques sophistiquées assurant une séparation logique des facteurs, l’exigence d’indépendance de la SCA n’est pas remplie.
5. Quels recours puis-je avoir si ma banque a utilisé une méthode SMS non conforme ?
Bien que les sources ne décrivent pas en détail la procédure d’indemnisation des victimes, elles indiquent un principe clé lié à la conformité de la SCA :
- Si le prestataire de services de paiement du payeur n’exige pas une authentification forte du client (SCA), le payeur ne doit supporter aucune perte financière, sauf s’il a agi frauduleusement.
Si un PSP a utilisé un processus d’authentification par SMS qui n’a pas respecté les exigences d’indépendance et de sécurité strictes prévues par l’Article 9 du Règlement Délégué pour les dispositifs multifonctionnels, cela pourrait indiquer une non-application effective de la SCA réglementaire, ouvrant potentiellement la voie à une réclamation contre le PSP.
Les PSP sont en outre obligés de mettre en place des mécanismes de contrôle des opérations permettant de déceler les opérations de paiement non autorisées ou frauduleuses, en tenant compte de facteurs de risque tels que les scénarios de fraude connus ou les signes d’infection par un logiciel malveillant.
En résumé : L’utilisation du SMS comme facteur de possession sur un smartphone pour une transaction est comparable à stocker deux clés de sécurité (mot de passe et code SMS) dans le même tiroir non verrouillé d’une maison (le téléphone). La réglementation (DSP2) exige que la banque s’assure que ces clés soient gardées dans des pièces blindées distinctes (environnements d’exécution sécurisés). Si cette séparation n’existe pas, la sécurité est compromise, et l’authentification n’est pas considérée comme forte et indépendante.
