Le Federal Financial Institutions Examination Council (FFIEC, un organisme officiel inter agences) a publié ses recommandations pour l’authentification pour les systèmes de banque en ligne. Le guide, intitulé " Authentification in an Internet Banking Environment ", remplace le guide du même nom publié en 2001. Il a été mis à jour en raison de l’importance actuelle du phishing, de l’usurpation d’identité et de la fraude sur internet. Le FFIEC souligne que la méthode d’authentification se limitant à un mot de passe associé à un identifiant est inadaptée pour les transactions, à haut risque, qui donnent accès aux informations des clients ou permettent des transferts d’argent vers d’autres banques. C’est pourtant la méthode utilisée actuellement par la plupart des systèmes de banque en ligne. Le rapport recommande une approche d’authentification à plusieurs facteurs. Il passe en revue plusieurs technologies : les certificats numériques, les cartes à puce, les identifiants de transaction, la biométrie, etc. Cependant, il ne recommande aucune technologie en particulier, précisant simplement que les mesures à mettre en place doivent être proportionnées aux services proposés et aux risques à prendre en compte. Le rapport souligne par ailleurs que la plupart des institutions financières ne permettent actuellement pas aux utilisateurs d’authentifier leurs sites, facilitant le phishing. Il suggère aussi, citant le Patriot Act, des procédés de vérifications lors de l’ouverture de compte (par exemple la présence du client…).

Pour en savoir plus, contacts :

– https://news.com.com/Banks+to+strengthen+Web+log-ons+to+thwart+ID+theft/2100-1029_3-5899228.html?tag=nefd.top
– https://www.computerworld.com/securitytopics/security/story/0,10801,105519,00.html
– https://article.wn.com/link/WNAT6BC9C05C4064DC53D231052ABABD200A?source=templategenerator&template=worldnews/search.txt
– https://www.ffiec.gov/press/pr101205.htm
Code brève
ADIT : 30161

Rédacteur :

Sébastien Morbieu, [email protected]