Comment améliorer EBICS, 6 partie – identification sans équivoque de la personne agissante

Un ordre de paiement, qui dans EBICS doit normalement être autorisé par deux personnes différentes, peut-il être validé par une seule personne ? Oui, c’est possible dans certaines circonstances. Dans certaines configurations contractuelles entre l’institution financière et l’entreprise cliente, la personne agissante ne peut pas être identifiée clairement.


Le responsable: le modèle de données d’EBICS

Le modèle d’autorisation du client entreprise dans la communication via EBICS se fonde sur le modèle de données d’EBICS. Ce dernier fait la distinction entre le client et son collaborateur en tant que participant EBICS.

Les entreprises communiquent avec leur banque via EBICS par le biais d’un ID client valide pour toute l’entreprise et d’un ID participant propre au collaborateur agissant. Ces ID sont attribués par la banque lors de la création du client et de ses collaborateurs; le client en a besoin pour se connecter au serveur bancaire par l’intermédiaire des accès clients EBICS. Problème: cet ID utilisateur n’est pas toujours unique. Comment est-ce possible?

Les entreprises utilisent différents clients EBICS

Les grandes entreprises utilisent parfois plusieurs logiciels clients EBICS de fournisseurs différents. Selon sa fonction, un même collaborateur peut alors utiliser plusieurs solutions clientes en parallèle. Exemple type: un collaborateur qui autorise et transmet des paiements à l’aide d’un produit EBICS pour PC – et qui simultanément autorise via une solution EBICS pour mobile des paiements qui ont été transmis directement à la banque par sa solution ERP pour la signature électronique distribuée communément utilisée en Allemagne.

Clés et certificats ne sont bien souvent pas partageables

Les clés et certificats relatifs au participant étant stockés différemment en fonction du système client et du pays EBICS, un collaborateur ne peut en règle générale pas les utiliser pour tous les contrats clients EBICS. De fait, le produit EBICS pour PC et la solution EBICS pour mobile requièrent des clés distinctes pour un même participant. C’est la raison pour laquelle le collaborateur, dans le cadre de son accès EBICS à la banque, dispose d’un ID participant différent pour chaque contrat client EBICS, qui lui permet ensuite d’accéder à ses clés et certificats.

Le modèle de données d’EBICS définissant chaque participant comme personne unique, une personne disposant de plusieurs ID participant peut théoriquement valider elle-même des paiements qui devraient être autorisés par plusieurs personnes. Dans le modèle de données d’EBICS, l’attribution d’une même personne à plusieurs ID participant n’est pas prévue.

Pour éviter toute utilisation abusive, les serveurs bancaires EBICS sont désormais dotés de fonctions de correction individuelles supplémentaires. Une solution harmonisée dans le standard EBICS semble néanmoins souhaitable.

Format d’échange harmonisé pour les clés et certificats

Une approche possible serait d’imposer un format d’échange harmonisé dans le standard EBICS pour le stockage des clés et des certificats, par exemple sous la forme d’un token logiciel avec stockage au format PKCS12. Dans ce cas, il serait possible d’utiliser l’ID participant unique pour identifier la personne agissante. Ainsi les clés et certificats pourraient être utilisés en liaison avec le même ID participant sur plusieurs clients.

Michael Lembcke
Réactions :

0 commentaires:

Enregistrer un commentaire