Pourquoi les banques devraient désactiver les anciennes versions d’EBICS

Gardez-vous une vue d’ensemble des versions d’EBICS disponibles? Quelle version utilise votre client EBICS? Quelles sont celles acceptées par le serveur de la banque? Le présent article entend établir un tour d’horizon et expliquer ce que la prolifération des différentes versions peut impliquer pour les utilisateurs.


En Allemagne, EBICS est officiellement exploité depuis le 1er janvier 2008 dans sa version 2.3, après que certaines fonctionnalités de la version 2.0 aient été proposées par quelques banques. La première mouture développée en commun avec la France est la version 2.4, qui est utilisée sous sa mise à jour la plus récente 2.4.2 depuis le 16 février 2010. Dernière version en date, l’édition 2.5 du 16 mai 2011 est principalement proposée par les instituts de crédit en Allemagne et en Suisse. Actuellement en préparation, la version 2.6 est prévue pour 2016. À ce jour, 6 versions successives ont été publiées (sans compter la future version 2.6), avec un nombre équivalent d’implémentations pour les serveurs bancaires et les systèmes clients.

Clients et banques ont besoin d’une version commune

Le protocole EBICS repose sur des structures XML. Outre les nouvelles fonctionnalités et les évolutions, une nouvelle version d’EBICS se distingue dans les faits par de nouveaux schémas XML. À l’aide du type d’ordre HEV basé sur le schéma neutre H000, le système client EBICS peut interroger le serveur bancaire quant aux versions supportées par celui-ci, puis poursuivre la communication en utilisant la version la plus récente en cas de réponse positive. Le serveur bancaire et le système client ne sont donc en mesure de communiquer correctement que si tous deux utilisent la même version d’EBICS. Si le nombre de versions existantes venait à s’accroître outre mesure, le risque que les deux partenaires de communication exploitent une version différente augmenterait d’autant. L’échange de données deviendrait alors une gageure.

Un serveur bancaire supportant l’ensemble des versions d’EBICS nécessiterait – au minimum – des efforts de maintenance considérables. Par ailleurs, l’utilisation de versions plus anciennes saperait toutes les améliorations apportées par les dernières moutures, notamment dans le domaine capital de la sécurité. Lors de l’élaboration des spécifications d’EBICS, l’on s’était d’ailleurs mis d’accord pour toujours utiliser la dernière version en date en supportant systématiquement la version précédente.

Des mises à jour sont ignorées – ce qui recèle des risques certains

Dans la pratique, les choses peuvent se révéler fort différentes. Parfois par méconnaissance, certains clients omettent d’implémenter la dernière version d’EBICS sur leur système. Certaines banques négligent d’informer leurs clients des changements et continuent de supporter les versions plus anciennes d’EBICS. La transparence s’estompe et le risque décrit précédemment augmente.

Par conséquent, nous recommandons aux institutons financières non seulement d’utiliser la dernière version d’EBICS, mais aussi de veiller à ce que leurs clients en fassent de même, le cas échéant en les informant à temps des mises à jour. Les institutions financières ne devraient plus supporter les anciennes versions, voire même opter pour une désactivation pure et simple. Les entreprises quant à elles devraient s’assurer de toujours utiliser la dernière version du logiciel EBICS et planifier régulièrement les mises à jour.

Il est donc important de conserver une vue d’ensemble des versions d’EBICS en service et de réduire les risques en ayant recours à des mises à jour régulières – en attendant 2016 et EBICS 2.6.

Michael Lembcke
Réactions :

0 commentaires:

Enregistrer un commentaire