Authentification web pour les établissements financiers

Lorsque vous consultez le site d’un établissement financier (banque, compagnie d’assurance, courtier, organisme de carte bancaire ou autre), vous naviguez très certainement sur une page protégée par un certificat Extended Validation (EV). Son rôle ? Sécuriser les communications entre vous et le site et garantir son authenticité. La présence d’un certificat EV est signalée par un cadenas dans la barre d’adresse, accompagné du nom de l’entreprise détentrice. Certains navigateurs font même apparaître ces éléments en vert. L’internaute a ainsi l’assurance que l’entreprise a fourni toutes les informations nécessaires pour prouver son authenticité et sa légitimité, notamment son pays d’implantation, son adresse physique et la nature de son activité telle que déclarée au registre du commerce.

De par les données et actifs dont ils sont dépositaires, les établissements financiers ont toujours été une cible de choix pour les cybercriminels. Face à ce risque, les banques et autres acteurs du secteur ont conscience du rôle primordial des certificats EV comme preuve irréfutable de leur identité. Toutefois, l’authentification n’est pas la seule raison d’être des certificats EV. Avant d’explorer les autres cas d’usage, faisons le point sur les atouts des certificats EV pour les établissements financiers :

  1. Lutte contre la falsification de site – Les établissements financiers veulent prouver à leurs utilisateurs qu’ils se trouvent bien sur le bon site. Un certificat EV étant plus coûteux et plus difficile à obtenir pour les cybercriminels, il est très peu probable qu’un site protégé par EV soit la copie falsifiée d’un site légitime.
  2. Si le chiffrement occupe une place centrale (pour la confidentialité des données), l’identité, ou plutôt la preuve d’identité, n’en est pas moins importante. En effet, à quoi bon chiffrer des données si elles sont envoyées à un fraudeur ? Autrement dit, le chiffrement du contenu n’est pas une fin en soi. Sans identification formelle du site, les utilisateurs peuvent se bercer dans un faux sentiment de sécurité.
  3. Les établissements financiers sont la cible d’e-mails de phishing qui dirigent les utilisateurs vers des copies frauduleuses de leurs sites. Tout ce qui peut prouver l’identité et l’authenticité d’un site est donc bon à prendre dans la lutte contre la fraude.
  4. Protection de la marque – Les entreprises aiment la protection EV, mais elles adorent que leur marque soit mise en avant.

La mission des certificats EV est loin de s’arrêter à l’authentification des sites web. Dans les départements IT, on utilise l’EV pour vérifier que les sites web appartiennent à l’entreprise, ajouter des règles aux pare-feu internes et configurer les services de sécurité managés, les audit internes et les mesures de conformité.

Dans l’Union européenne, les certificats EV endossent un nouveau rôle. En 2016, l’UE a promulgué un nouveau règlement appelé eIDAS qui abroge la directive précédente en la matière (1999 EU Digital Signature Act). Ce nouveau règlement est à l’origine de la création des certificats QWAC (Qualified Website Authentication Certificates), un dérivé des certificats EV auquel quelques informations supplémentaires ont été ajoutées. Une nouvelle directive sur les services de paiements (DSP2) impose l’utilisation de certificats QWAC à certains établissements financiers exerçant au sein de l’UE. Avant même son entrée en vigueur en juin 2019, certaines Autorités de Certification recevaient déjà des demandes pour ce produit de la part de banques européennes ou d’autres établissements financiers présents sur le continent.

Les travaux vont donc bon train pour protéger les utilisateurs finaux et garantir une vérification draconienne des acteurs de l’économie en ligne. Le grand chantier actuel est celui des navigateurs, où l’expérience utilisateur est loin d’être homogène.

Ces logiciels d’accès à Internet constituent en effet le maillon faible de la chaîne tant l’expérience offerte sur les sites web EV varie d’un site à un autre. Certains affichent le nom de l’entreprise en vert, d’autres en gris. Et il y en a même un qui n’affiche pas le nom de l’entreprise mais montre le nom de domaine en vert. Certains promettent des améliorations de l’interface utilisateur, tandis que d’autres n’ont rien changé depuis des années.

Quelles modifications pouvons-nous espérer ?

  1. Une expérience utilisateur homogène sur tous les sites web protégés par un certificat EV
  2. Des informations claires et lisibles pour les utilisateurs
  3. Des audits et des exigences strictes pour valider l’exactitude et l’authenticité des informations
  4. Des informations de validation supplémentaires pour les certificats EV

D’ici là, pour toutes les raisons que nous venons d’évoquer, il est fortement conseillé aux établissements financiers d’installer des certificats EV pour clamer le plus fort possible l’authenticité de leur site. Parce que le chiffrement n’a d’intérêt que si l’on sait avec qui l’on traite.

DigiCert entend proposer de nouvelles améliorations du standard EV dans les mois à venir. Nous avons hâte de poursuivre ce débat à l’heure où l’identité occupe une place de plus en plus importante dans tous les aspects de nos vies digitales et connectées.