L’Association suisse des banquiers (ASB) et le "Swiss Financial Sector Cyber Security Centre" (Swiss FS-CSC) sont favorables à la recommandation du comité allemand du secteur bancaire (GBIC) visant à modifier la norme FIDO2 – un changement jugé important, y compris du point de vue suisse, afin de rendre cette norme utilisable pour sécuriser les confirmations de transactions, et pas seulement pour permettre l’authentification lors des connexions.

Le GBIC préconise une extension de la norme FIDO2 afin de permettre l’affichage sécurisé des données de transaction par l’authentificateur. Actuellement, la norme est essentiellement axée sur la connexion à des plateformes et à des systèmes ainsi que sur l’utilisation du navigateur à des fins d’affichage. Le GBIC demande toutefois l’extension de la norme afin qu’elle puisse être utilisée pour un spectre plus large de transactions et d’activités. Dans le secteur bancaire, cela concerne principalement les services bancaires en ligne et les paiements par carte.

Nous sommes favorables à la proposition du GBIC visant à modifier la norme FIDO2. Nous sommes convaincus que cette modification serait également bénéfique pour le secteur bancaire suisse, car elle permettrait une utilisation plus large de FIDO2, au-delà de l’authentification lors des connexions. L’ASB et le Swiss FS-CSC soutiennent donc la proposition du GBIC visant à:

• Transmettre les données de transaction à l’authentificateur: au lieu de l’envoi d’une simple valeur de hachage, les données complètes de la transaction seraient transmises à l’authentificateur externe.
• Intégrer un affichage sécurisé: les authentificateurs avec affichage devraient être étendus de manière à présenter aux utilisateurs les données de transaction transmises, que ceux-ci pourraient ensuite vérifier.
• Lier le code d’authentification aux données affichées: le code d’authentification généré par l’authentificateur devrait inclure une valeur de hachage calculée par l’authentificateur pour les données affichées, de façon à ce que le code d’authentification soit lié de manière sécurisée à ces données. Cela permettrait à la banque de vérifier la sécurité de l’affichage et la confirmation des données de la transaction.
• Étendre la spécification CTAP: l’Alliance FIDO devrait étendre le protocole "Client à Authentificateur" (CTAP) afin d’y inclure une interface normalisée pour la transmission et l’affichage des données de transaction.