9. #DevoxxFR
Stocker les mots de passe
Store passwords using strong adaptive and
salted hashing functions with a work factor
(delay factor), such as Argon2, scrypt, bcrypt,
or PBKDF2.
// format: algorithm:iterations:hashSize:salt:hash
var parts = « algov1:" + PBKDF2_ITERATIONS + ":" + hashSize + ":" + salt.toString('base64') + ":" +
result,toString('base64');
A3 – Exposition de données sensibles
19. #DevoxxFR
CheckList
Stockage sécurisé (Argon2, PBKDF2, … + Sel + Facteur de travail)
Stockage évolutif
Pas de mots de passe faibles
Procédure de récupération sécurisé
Pas de mots de passe ayant fuité
Pas d’identification de connexion par email
22. #DevoxxFR
Protocole OAuth
John Doe
Autorise moi à
manipuler tes
données chez B
Application A Application B
Autorise A
Voilà un code d’autorisation pour A
Voilà ton code d’autorisation
J’ai un code
Voilà ton jeton d’accès
Donne-moi, modifie, …
les données de John Doe
28. #DevoxxFR
Que dit l’ANSSI ?
https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_MDP_NoteTech.pdf
« Lorsque possible, préférer l’usage de certificats
d’authentification sur carte à puce ! »
29. #DevoxxFR
2FA
Identifiant / mot de passe +
Identifiant / mot de passe +
Identifiant / mot de passe + OTP SMS
Reconnaissance vocale + phrase secrète
33. #DevoxxFR
DSP2 - Directive des Services de
Paiement
Favoriser l’innovation
DSP1
(depuis 2009)
DSP2
(depuis le 13/01/18)
Protéger davantage le
consommateur
Etablissements de paiement Agrégateurs de comptes
Initiateurs de paiement
Emetteurs de monnaie
électronique
Authentification renforcée pour les services en ligne *
Interface dédiée sécurisée (API) *
* Entrée en vigueur le 14 septembre 2019
34. #DevoxxFR
DSP2 – Impacts pour les
nouveaux acteurs
Initiateurs de paiement
Prestataire de services d’initiation de paiement (PSIP)
Agrégateurs de comptes
Prestataire de services d’informations sur les comptes (PSIC)
* Entrée en vigueur le 14 septembre 2019
- Recueillir le consentement du client
- Authentifier le client
- Communiquer de manière sécurisée avec le client
et sa banque *
- S’identifier auprès de la banque à chaque session
de communication
- Accéder uniquement aux informations provenant
des comptes de paiement désignés
- Recueillir le consentement du payeur
- Authentifier le payeur
- Communiquer de manière sécurisée* avec le
payeur et sa banque ainsi que le bénéficiaire et sa
banque
- S’identifier auprès de la banque à chaque
paiement*
- Veiller à la confidentialité des données de
sécurité personnalisées du client
35. #DevoxxFR
DSP2 – les facteurs
d’authentification forte
L’authentification forte du client pour les
transactions
Connaissance Possession Inhérence
+
Lien dynamique
Intégrité
Pour les opérations à distance
s’ajoute le facteur suivant :
36. #DevoxxFR
DSP2 – Authentification forte du
client
La banque doit mettre en place une authentification forte du client systématiquement afin de
déceler les opérations de paiement frauduleuses lorsque :
Le payeur accède à
son compte en
ligne*
Le payeur initie une
opération de
paiement
électronique
Le payeur effectue une
action à distance
risquée
*La première fois et tous les 90 jours
Systématiquement lors de l’accès à l’historique de plus de 90 jours
susceptible de comporter un risque de fraude ou une utilisation frauduleuse
(ex : changement du numéro de téléphone, ajout d’un tiers de confiance)