EBICS-Security – Quand est-il temps de mettre à jour votre système client ?

EBICS spécifie différentes fonctions et règlementations de sécurité qui doivent être respectées par les clients et les institutions financières. Ces dernières doivent toujours veiller à ce que les spécifications les plus à jour soient mises en œuvre et supportées par leurs serveurs bancaires EBICS. Cependant, les clients EBICS et chaque utilisateur ont aussi la responsabilité d’utiliser à tout instant des logiciels client répondant aux standards de sécurité EBICS en vigueur. Il est donc primordial, tant en raison des adaptations fonctionnelles que pour des raisons de sécurité, de mettre à jour fréquemment les logiciels client EBICS.

Toutefois, la mise à jour d’un logiciel client EBICS existant ne signifie pas que ce logiciel EBICS sera automatiquement capable de communiquer avec l’institution financière en utilisant la version EBICS et les procédures de sécurité les plus récentes. En fonction de la version EBICS et des fonctionnalités client utilisées précédemment, il est nécessaire de mettre à jour les différentes clés d’application pour le chiffrement (E002), l’authentification (X002) et les signatures (A004, A005 ou A006) ainsi que la version d’EBICS à utiliser, suivie d’un échange de ces données avec les serveurs bancaires EBICS. Il peut aussi être nécessaire de mettre à jour le cryptage Internet (TLS) vers une version plus récente et plus sécurisée en échangeant des certificats renouvelés. De telles mises à jour requièrent en règle générale une intervention proactive et des ajustements manuels de la part de l’utilisateur EBICS.

Pourquoi ces mises à jour sont-elles importantes ?

La communication EBICS via Internet possède ses propres spécifications en termes de procédures de sécurité. La société EBICS les met à jour et les adapte régulièrement aux exigences de sécurité en vigueur au moyen de nouvelles versions d’EBICS. Un exemple est la longueur des clés. Les anciennes versions d’EBICS permettent encore d’utiliser des clés de longueur 1 024 bits pour le chiffrement (E002), l’authentification (X002) et les signatures (A004, A005 ou A006). Mais cette longueur ne répond plus aux exigences de sécurité actuelles, car les clés trop courtes sont considérées comme peu sécurisées. Les versions plus récentes d’EBICS n’acceptent que des clés d’une longueur minimale de 2 048 bits. Un autre exemple est mis en évidence avec les procédures et les versions du cryptage TLS. Afin de répondre plus aisément aux recommandations de sécurité, par exemple à celles de BSI en Allemagne, la société EBICS a créé une annexe distincte des spécifications EBICS 3.0, appelée Transport Layer Security qui comporte les directives y afférentes. Comme les spécifications de la version 2.5 d’EBICS ne pouvaient pas être adaptée rétroactivement, la DK (Die Deutsche Kreditwirtschaft) a en outre publié en 2019 son propre document de recommandations intitulé Recommandations concernant les protocoles de sécurité EBICS et la longueur des clés (disponible en allemand et en anglais). Il contient des informations sur les procédures de sécurité à utiliser pour EBICS. Voir aussi www.ebics.de et www.ebics.org.

Afin de permettre aux utilisateurs d’EBICS une transition en douceur vers les nouvelles versions d’EBICS et les nouveaux standards de sécurité, la plupart des institutions financières proposent toujours à leurs clients les versions plus anciennes, en parallèle avec les nouvelles. Malheureusement, il est devenu évident que dans de nombreux cas cela conduit à ce que les clients ne saisissent pas l’occasion de mettre à jour leur communication EBICS. Nombreux sont ceux qui continuent à utiliser les anciens systèmes et procédures. Il est donc plus difficile pour les institutions financières de mettre fin à ces anciennes procédures.

En fin de compte, chaque acteur de la communication EBICS s’attend à ce qu’un échange de données sécurisé soit assuré. Personne ne veut subir de dommages. Ce qui signifie que chacun doit apporter sa contribution. Bien entendu la sécurité d’EBICS n’est pas la seule chose que les institutions financières et les entreprises doivent garder à l’esprit. Après tout, toutes les parties impliquées doivent prendre toutes les mesures de sécurité possibles dans leurs infrastructures et dans leurs solutions logicielles afin de prévenir les abus et les pertes.

Alors, pourquoi attendre ? Allons-y.

Auteur: Michael Lembcke

0 commentaires:

Enregistrer un commentaire