Le bircher muesli des clés

Ainsi que nous l’évoquions déjà dans notre article du 25.07.2014 intitulé «EBICS enfin en Suisse», la place financière suisse rejoint lentement mais sûrement la communauté EBICS formée par nos deux grands voisins que sont l’Allemagne et la France. Comme nous le savons, les Français ont une approche un peu différente des Allemands en la matière et les acteurs suisses s’interrogent sur la variante à adopter. Concernant les types d’ordres (Order Type), la préférence va actuellement au modèle français, c’est-à-dire FUL/FDL et Fileformat, au lieu de  la panoplie d’Order Type utilisés  en Allemagne. Les choses se compliquent lorsqu’il est question de la mise en œuvre des signatures électroniques : comment l’implémenter concrètement pour les clients?

La variante allemande s’articulant autour de paires de clés auto-générées pour le cryptage (E002), l’authentification (X002) et la signature (A005/A006) est celle actuellement en vigueur en Suisse, tandis que le concept de signature électronique distribuée (ou VEU pour «Verteilte Elektronische Unterschrift») appliqué en Allemagne n’en est qu’à sa phase de planification. La VEU permet l’utilisation de plusieurs signatures personnelles pouvant être générées et présentées lors de la transmission de l’ordre, mais aussi après celle-ci. Pour l’heure, les grandes banques suisses n’utilisent toutefois que les simples signatures et de transport. La simple signature est habituellement un «corporate seal», donc un «sceau» identifiant une entreprise, et non la personne ayant effectivement validé l’ordre. L’administration et l’utilisation de ces «sceaux» sont gérées par le logiciel du client. Pour la signature de transport, la validation est effectuée sur un canal séparé par le biais d’un accès via la banque en ligne – et non manuellement à l’aide d’un document de confirmation, comme c’est encore souvent le cas en France.

Or, la première méthode est de plus en plus critiquée par les services juridiques et de sécurité des institutions financières suisses, qui exigent une authentification sans équivoque de la personne qui a signé l’ordre. La VEU pourrait sans nul doute répondre à cette exigence, même si les banques appréhendent encore les processus supplémentaires qu’il leur faudrait mettre en place pour l’administration des règles de signature.

L’EBICS TS («Transport and Signature») en vigueur en France, employant des certificats délivrés par une autorité de certification (AC) reconnue par les banques pour la signature personnelle, est considéré comme une alternative intéressante, le problème de la validité des clés et la gestion de la révocation des certificats  via les AC semblant réduire les risques de sécurité. Ceci étant  complété par un token matériel utilisable uniquement par la personne émettant l’ordre. «Tant qu’à le faire, autant le faire bien», serions-nous alors tentés de dire. Pourquoi ne pas appliquer un standard offrant de telles fonctionnalités? En outre, le régulateur semble envisager des dispositions qui interdiraient aux institutions financières de ne pas assumer les risques liés à l’utilisation des «corporate seals» grâce à l’ajout dans les contrats d’une clause de non-responsabilité (à ce sujet, voir également le document publié par la BCE «Assessment Guide for the Security of Internet Payments»).

Une recette unique serait souhaitable

La difficulté réside dans la diversité des variantes d’EBICS existantes, et dans le choix de celle à mettre en œuvre sur le marché pour répondre aux besoins des premiers concernés, à savoir les clients, les développeurs de logiciels et les banques. Faut-il instaurer des certificats délivrés par des AC,  et si oui, pour quels types de clés? Quelles sont les AC reconnues par l’ensemble des banques? Quelles caractéristiques un tel certificat doit-il présenter? L’emploi de tokens matériels se limiterait-il à la signature (A005/A006) ou  également à l’authentification et au cryptage? Les tokens matériels pourraient-ils être mis en œuvre sans AC, seule la clé étant conservée en externe auprès du donneur d’ordre signataire?

Tout cela fait un peu penser à notre bircher muesli et à ses multiples variantes et recettes. L’objectif de la société EBICS est d’établir le standard dans toute l’Europe. Dans ce cadre, une recette unique pour la préparation de ce «bircher muesli des clés» serait de toute évidence un atout – y compris pour les utilisateurs. À défaut, instaurer un standard transnational se révèlera sans doute difficile. Selon moi, cette problématique devrait occuper une place de choix dans l’agenda du groupe de travail EBICS.

Carsten Miehling

0 commentaires:

Enregistrer un commentaire