SlideShare une entreprise Scribd logo
1  sur  20
Télécharger pour lire hors ligne
Directive Services de Paiement 2
Standards, sécurité, quels impacts?
Matinée du 25 avril 2017
Bertrand CARLIER
bertrand.carlier@wavestone.com
@bertrandcarlier
confidentiel | © WAVESTONE 2confidentiel | © WAVESTONE 2
API or DIE
Report from the Economist Intelligence Unit
”
”
By 2020 bankers expect more money will flow via fintech firms
than traditional retail banks
confidentiel | © WAVESTONE 3
Que requiert la DSP2?
La DSP2 (Directive sur les Services de Paiement) définit 3 services :
Informations de compte
▪ Cas d’usage : agrégateur multi-bancaire
▪ Acteurs : AISP (Account Information Service
Provider)
Initiation de paiement
▪ Cas d’usage : initiation d’un paiement par un tiers
▪ Acteurs : PISP (Payment Initiation Service Provider)
Demande de couverture
d’un paiement
▪ Cas d’usage : demande OK/NOK de couverture d’un
paiement
▪ Acteurs : PIISP (institutions bancaires)
Requiert une
authentification
multi-facteur du
client final
L’accès aux services DSP2 de la part d’un acteur requiert l’enregistrement auprès d’une Autorité
d’Enregistrement en plus d’un enregistrement auprès de l’AS PSP
confidentiel | © WAVESTONE 4
Quels standards d’échange ?
Quels outils ?
01
confidentiel | © WAVESTONE 5
/ Les standards techniques sont
connus et matures : HTTP,
REST, JSON, OAuth2, OpenID
Connect…
/ …mais il n’existe aucun
standard d’API bancaire qui
fasse référence
/ La DSP2 – et les guides
d’implémentation (RTS) publiés
par l’EBA – sont contraignants
mais ne constituent pas une
spécification
SE CONFORMER
Quels standards adopter ?
Standards Open Banking
confidentiel | © WAVESTONE 6
Adopter un standard simplifie le travail de
définition des APIs nécessaires
/ Une consolidation de standards dans de
futures versions n’est pas à exclure
Intégrer un groupe de travail de
standardisation est un moyen d’enrichir
sa réflexion et de ne pas simplement
subir
/ Les principaux acteurs bancaires français
s’intéressent aux travaux de STET
Définir seul son propre standard
d’interface est sans doute la seule option
à ne pas suivre!
Standards et solution sont intimement liés
SE CONFORMER
Le marché est encore jeune, constitué
d’acteurs de taille modeste
/ Majoritairement mono-standard
/ Vulnérables à des acquisitions externes
Par ailleurs, des questions de stratégie sont à
évaluer :
/ Build vs Buy
/ On-premises vs SaaS
/ Couverture DSP2 tactique ou OpenAPI
stratégique
confidentiel | © WAVESTONE 7
Quelle sécurité pour les APIs ?
Quels standards d’échange ?
Quels outils ?
01
02
confidentiel | © WAVESTONE 8
AS PSP
Client
Authorization
server
API
Tous types de consommateurs
- app mobile, serveur, objet
connecté, etc.
- maîtrisé ou tierce partie (AISP,
PISP)
OAuth2.0
/ Un standard mature
/ Adapté aux principaux cas d’usage
Des compléments de spécifications à
utiliser le cas échéant
/ Contrôle fin sur l’authentification
/ SSO entre applications mobiles
/ Appels chaînés d’APIs & impersonnation
/ Protection contre le vol de jeton
/ etc.
La sécurité des APIs – Les bases
S’ADAPTER
Access
token
confidentiel | © WAVESTONE 9
Des besoins spécifiques dans le cadre de la DSP2
S’ADAPTER
Authentification contextuelle Protection contre le vol de jeton
Ajustement du niveau
d’authentification en
fonction de la sensibilité
de l’API consommée
Rendre inopérant le vol
d’un jeton de sécurité et
ne pas dépendre de la
sécurité d’un terminal non
maîtrisé ou d’un tiers
Les exigences de la DSP2 en matière d’authentification &
d’ouverture des données entraînent un besoin plus pointu encore
confidentiel | © WAVESTONE 10
Des besoins spécifiques dans le cadre de la DSP2
S’ADAPTER
Authentification contextuelle Protection contre le vol de jeton
Ajustement du niveau
d’authentification en
fonction de la sensibilité
de l’API consommée
Rendre inopérant le vol
d’un jeton de sécurité et
ne pas dépendre de la
sécurité d’un terminal non
maîtrisé ou d’un tiers
confidentiel | © WAVESTONE 11
S’ADAPTER
Authentification contextuelle : le besoin
Opération très sensible
Authentification forte / transaction
Ajout de bénéficiaire
Opération sensible
Authentification simple / session
Virement interne
Données personnelles
Authentification simple / 1 semaineMétéo des
comptes
Notifications personnelles
Authentification simple / 1 mois
Notification
Le niveau
d’authentification dépend
/ De la nature de la
transaction
/ De ses caractéristiques
(montant, compte cible,
etc.)
/ Du contexte utilisateur
/ Des habitudes
utilisateurs
/ etc.
confidentiel | © WAVESTONE 12
Authentification contextuelle : la solution
S’ADAPTER
/ Les standards sont écrits dans cette logique initiée par le client
/ Les solutions du marché fonctionnent comme ça
/ Mais les besoins sur le terrain sont différents !
Ce que l’on voit fréquemment
Jeton pour le Service A
(LOA x)
Je souhaite accéder au
service A avec LOA x
Je veux accéder
au service A, il
me faut donc le
LOA x (Level of
Assurance)
Jeton pour le Service A
(LOA x)
Je souhaite accéder au
service A
Le service A
requiert le LOA x
Ce vers quoi il faut tendre
/ Le serveur d’autorisation doit prendre la décision en fonction de la
sensibilité de l’opération et du contexte
/ Ce fonctionnement de l’authorization server est permis mais pas décrit
/ Encore beaucoup de déploiements spécifiques
Client Authorization
server
Client Authorization
server
confidentiel | © WAVESTONE 13
Des besoins spécifiques dans le cadre de la DSP2
S’ADAPTER
Authentification contextuelle Protection contre le vol de jeton
Ajustement du niveau
d’authentification en
fonction de la sensibilité
de l’API consommée
Rendre inopérant le vol
d’un jeton de sécurité et
ne pas dépendre de la
sécurité d’un terminal non
maîtrisé ou d’un tiers
confidentiel | © WAVESTONE 14
Protection contre le vol de jeton : le besoin
S’ADAPTER
Authorization
server
API (Resource
server)
Authorization
server
API (Resource
server)
Aggrégateur
Le principe même de « bearer token » entraîne un risque
important lors du vol de ce dernier.
La détection du vol étant très difficile, seule l’expiration
du jeton est une mesure relativement efficace
Vol de jeton
Dans un contexte d’intermédiation (eg. DSP2), un tiers
peut se retrouver en possession de très nombreux jetons.
Le propriétaire de l’API est à la merci de ce tiers et de son
niveau de sécurité
Vol d’une base de jetons
confidentiel | © WAVESTONE 15
ClientAuthorization
server
API
Token Binding
/ La négociation à deux (ou trois) composants
permet de lier un jeton (ou un cookie) à une
clé publique et la clé privée associée
/ Le client doit prouver qu’il possède la clé privée
correspondante en établissant une connexion
TLS mutuelle
/ Le jeton contient (un hash de) la clé publique
du client, distincte pour chaque serveur
d’API
/ Si le jeton (ou cookie) est intercepté, il est
inutilisable
/ Requiert compatibilité du client et des serveurs
› Edge, IE & Chrome disponibles en channels dev
› Module Apache disponible
Protection contre le vol de jeton : la solution
S’ADAPTER
Ok, vois donc avec l’AS
et ce tokenBindingID
Génération d’un biclé
pour l’API cible
Je voudrais un jeton
avec ce tokenBindingID
Le voici
Je souhaite un accès,
voici ma clé publique
(TLS mutuel)
Voici mon jeton, lié à ma clé
publique et tokenBindingID
(TLS mutuel)
confidentiel | © WAVESTONE 16
Comment en tirer partie ?
Quels standards d’échange ?
Quels outils ?
Quelle sécurité pour les APIs ?
01
02
03
confidentiel | © WAVESTONE 17
Quelle organisation pour innover?
INNOVER
Collaboration avec
les fintechs
Partenariat?
Incubation?
Acquisition?
Identification des
nouveaux usages
Expérimentation
Viser au delà du périmètre
imposé par la DSP2 :
Épargne, crédit, IoT, etc.
Laboratoire interne
Outsourcing
Open Innovation
wavestone.com
@wavestone_
riskinsight-wavestone.com
@Risk_Insight
securityinsider-solucom.fr
@SecuInsider
Bertrand CARLIER
Senior Manager
M +33 (0)6 18 64 42 52
bertrand.carlier@wavestone.com
PARIS
LONDRES
NEW YORK
HONG KONG
SINGAPORE *
DUBAI *
SAO PAULO *
LUXEMBOURG
MADRID *
MILAN *
BRUXELLES
GENEVE
CASABLANCA
ISTAMBUL *
LYON
MARSEILLE
NANTES
* Partenariats
Directive Services de Paiement 2
Standards, sécurité, quels impacts?
Matinée du 25 avril 2017
Bertrand CARLIER
Senior Manager
Wavestone
Léonard MOUSTACCHIS
Senior Customer Engineer
Forgerock
Jean DIEDERICH
Partner
Wavestone
Clément CŒURDEUIL
Président
Budget Insight

Contenu connexe

Tendances

Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
 

Tendances (13)

Devoxx 2019 authentification
Devoxx 2019 authentificationDevoxx 2019 authentification
Devoxx 2019 authentification
 
Présentation d'Octopus Micro Finance
Présentation d'Octopus Micro FinancePrésentation d'Octopus Micro Finance
Présentation d'Octopus Micro Finance
 
Sécurité du paiement mobile
Sécurité du paiement mobileSécurité du paiement mobile
Sécurité du paiement mobile
 
M2 T Paiement Via Mobile
M2 T Paiement Via MobileM2 T Paiement Via Mobile
M2 T Paiement Via Mobile
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1
 
Business case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNETBusiness case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNET
 
Bpifrance Le Lab - Infographie - Les Fintech
Bpifrance Le Lab - Infographie - Les FintechBpifrance Le Lab - Infographie - Les Fintech
Bpifrance Le Lab - Infographie - Les Fintech
 
Dictao Présentation Institutionnelle
Dictao Présentation InstitutionnelleDictao Présentation Institutionnelle
Dictao Présentation Institutionnelle
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
 
GlobalSign Service de Signatures Numériques
GlobalSign Service de Signatures NumériquesGlobalSign Service de Signatures Numériques
GlobalSign Service de Signatures Numériques
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 

Similaire à DSP2 standards, sécurité, quels impacts wavestone

CAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemplesCAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemples
Clément OUDOT
 
3 certificats et csa - claire lenain
3   certificats et csa - claire lenain3   certificats et csa - claire lenain
3 certificats et csa - claire lenain
ASIP Santé
 
Octopus logiciel de microfinance open source
Octopus logiciel de microfinance open sourceOctopus logiciel de microfinance open source
Octopus logiciel de microfinance open source
vincent.biot
 
Présentation du club banques et etablissements financiers 09022011
Présentation du club banques et etablissements financiers   09022011Présentation du club banques et etablissements financiers   09022011
Présentation du club banques et etablissements financiers 09022011
SaaS Guru
 

Similaire à DSP2 standards, sécurité, quels impacts wavestone (20)

201707 dsp2 standards, sécurité, quels impacts - wavestone
201707   dsp2 standards, sécurité, quels impacts - wavestone201707   dsp2 standards, sécurité, quels impacts - wavestone
201707 dsp2 standards, sécurité, quels impacts - wavestone
 
Les enjeux de la Signature électronique
Les enjeux de la Signature électroniqueLes enjeux de la Signature électronique
Les enjeux de la Signature électronique
 
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML  concepts, différences et exemplesASFWS 2011 : CAS, OpenID, SAML  concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
 
Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?
 
Chapitre 2
Chapitre 2Chapitre 2
Chapitre 2
 
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemplesCAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
 
20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptx20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptx
 
Presentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).pptPresentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).ppt
 
Roomn2017harmonietechnologiequandmesclientsgrentlaccsleursdonnes 170308141540
Roomn2017harmonietechnologiequandmesclientsgrentlaccsleursdonnes 170308141540Roomn2017harmonietechnologiequandmesclientsgrentlaccsleursdonnes 170308141540
Roomn2017harmonietechnologiequandmesclientsgrentlaccsleursdonnes 170308141540
 
OIDC jusque dans les applications mobiles
OIDC jusque dans les applications mobilesOIDC jusque dans les applications mobiles
OIDC jusque dans les applications mobiles
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
 
CAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemplesCAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemples
 
Solution standard de compensation appliquée à une architecture e business séc...
Solution standard de compensation appliquée à une architecture e business séc...Solution standard de compensation appliquée à une architecture e business séc...
Solution standard de compensation appliquée à une architecture e business séc...
 
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2   jug montpellier 16 avril 2014Sécuriser ses ap is avec oauth2   jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
 
Conduite d'un projet informatique - Cahier des Charges Fonctionnel
Conduite d'un projet informatique - Cahier des Charges FonctionnelConduite d'un projet informatique - Cahier des Charges Fonctionnel
Conduite d'un projet informatique - Cahier des Charges Fonctionnel
 
Le e-paiement par Payzen
Le e-paiement par PayzenLe e-paiement par Payzen
Le e-paiement par Payzen
 
3 certificats et csa - claire lenain
3   certificats et csa - claire lenain3   certificats et csa - claire lenain
3 certificats et csa - claire lenain
 
Octopus logiciel de microfinance open source
Octopus logiciel de microfinance open sourceOctopus logiciel de microfinance open source
Octopus logiciel de microfinance open source
 
Présentation du club banques et etablissements financiers 09022011
Présentation du club banques et etablissements financiers   09022011Présentation du club banques et etablissements financiers   09022011
Présentation du club banques et etablissements financiers 09022011
 

Plus de Bertrand Carlier

Plus de Bertrand Carlier (6)

2022 Identiverse : How (not) to fail your IAM project
2022 Identiverse : How (not) to fail your IAM project2022 Identiverse : How (not) to fail your IAM project
2022 Identiverse : How (not) to fail your IAM project
 
Identiverse 2021 enterprise identity: What foundations
Identiverse 2021 enterprise identity: What foundationsIdentiverse 2021 enterprise identity: What foundations
Identiverse 2021 enterprise identity: What foundations
 
Identiverse - Microservices Security
Identiverse - Microservices SecurityIdentiverse - Microservices Security
Identiverse - Microservices Security
 
CIS 2017 - So you want to use standards to secure your APIs?
CIS 2017 - So you want to use standards to secure your APIs?CIS 2017 - So you want to use standards to secure your APIs?
CIS 2017 - So you want to use standards to secure your APIs?
 
Wavestone forgerock banking demo
Wavestone forgerock banking demoWavestone forgerock banking demo
Wavestone forgerock banking demo
 
Paris Identity Tech Talk IoT
Paris Identity Tech Talk IoTParis Identity Tech Talk IoT
Paris Identity Tech Talk IoT
 

DSP2 standards, sécurité, quels impacts wavestone

  • 1. Directive Services de Paiement 2 Standards, sécurité, quels impacts? Matinée du 25 avril 2017 Bertrand CARLIER bertrand.carlier@wavestone.com @bertrandcarlier
  • 2. confidentiel | © WAVESTONE 2confidentiel | © WAVESTONE 2 API or DIE Report from the Economist Intelligence Unit ” ” By 2020 bankers expect more money will flow via fintech firms than traditional retail banks
  • 3. confidentiel | © WAVESTONE 3 Que requiert la DSP2? La DSP2 (Directive sur les Services de Paiement) définit 3 services : Informations de compte ▪ Cas d’usage : agrégateur multi-bancaire ▪ Acteurs : AISP (Account Information Service Provider) Initiation de paiement ▪ Cas d’usage : initiation d’un paiement par un tiers ▪ Acteurs : PISP (Payment Initiation Service Provider) Demande de couverture d’un paiement ▪ Cas d’usage : demande OK/NOK de couverture d’un paiement ▪ Acteurs : PIISP (institutions bancaires) Requiert une authentification multi-facteur du client final L’accès aux services DSP2 de la part d’un acteur requiert l’enregistrement auprès d’une Autorité d’Enregistrement en plus d’un enregistrement auprès de l’AS PSP
  • 4. confidentiel | © WAVESTONE 4 Quels standards d’échange ? Quels outils ? 01
  • 5. confidentiel | © WAVESTONE 5 / Les standards techniques sont connus et matures : HTTP, REST, JSON, OAuth2, OpenID Connect… / …mais il n’existe aucun standard d’API bancaire qui fasse référence / La DSP2 – et les guides d’implémentation (RTS) publiés par l’EBA – sont contraignants mais ne constituent pas une spécification SE CONFORMER Quels standards adopter ? Standards Open Banking
  • 6. confidentiel | © WAVESTONE 6 Adopter un standard simplifie le travail de définition des APIs nécessaires / Une consolidation de standards dans de futures versions n’est pas à exclure Intégrer un groupe de travail de standardisation est un moyen d’enrichir sa réflexion et de ne pas simplement subir / Les principaux acteurs bancaires français s’intéressent aux travaux de STET Définir seul son propre standard d’interface est sans doute la seule option à ne pas suivre! Standards et solution sont intimement liés SE CONFORMER Le marché est encore jeune, constitué d’acteurs de taille modeste / Majoritairement mono-standard / Vulnérables à des acquisitions externes Par ailleurs, des questions de stratégie sont à évaluer : / Build vs Buy / On-premises vs SaaS / Couverture DSP2 tactique ou OpenAPI stratégique
  • 7. confidentiel | © WAVESTONE 7 Quelle sécurité pour les APIs ? Quels standards d’échange ? Quels outils ? 01 02
  • 8. confidentiel | © WAVESTONE 8 AS PSP Client Authorization server API Tous types de consommateurs - app mobile, serveur, objet connecté, etc. - maîtrisé ou tierce partie (AISP, PISP) OAuth2.0 / Un standard mature / Adapté aux principaux cas d’usage Des compléments de spécifications à utiliser le cas échéant / Contrôle fin sur l’authentification / SSO entre applications mobiles / Appels chaînés d’APIs & impersonnation / Protection contre le vol de jeton / etc. La sécurité des APIs – Les bases S’ADAPTER Access token
  • 9. confidentiel | © WAVESTONE 9 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers Les exigences de la DSP2 en matière d’authentification & d’ouverture des données entraînent un besoin plus pointu encore
  • 10. confidentiel | © WAVESTONE 10 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers
  • 11. confidentiel | © WAVESTONE 11 S’ADAPTER Authentification contextuelle : le besoin Opération très sensible Authentification forte / transaction Ajout de bénéficiaire Opération sensible Authentification simple / session Virement interne Données personnelles Authentification simple / 1 semaineMétéo des comptes Notifications personnelles Authentification simple / 1 mois Notification Le niveau d’authentification dépend / De la nature de la transaction / De ses caractéristiques (montant, compte cible, etc.) / Du contexte utilisateur / Des habitudes utilisateurs / etc.
  • 12. confidentiel | © WAVESTONE 12 Authentification contextuelle : la solution S’ADAPTER / Les standards sont écrits dans cette logique initiée par le client / Les solutions du marché fonctionnent comme ça / Mais les besoins sur le terrain sont différents ! Ce que l’on voit fréquemment Jeton pour le Service A (LOA x) Je souhaite accéder au service A avec LOA x Je veux accéder au service A, il me faut donc le LOA x (Level of Assurance) Jeton pour le Service A (LOA x) Je souhaite accéder au service A Le service A requiert le LOA x Ce vers quoi il faut tendre / Le serveur d’autorisation doit prendre la décision en fonction de la sensibilité de l’opération et du contexte / Ce fonctionnement de l’authorization server est permis mais pas décrit / Encore beaucoup de déploiements spécifiques Client Authorization server Client Authorization server
  • 13. confidentiel | © WAVESTONE 13 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers
  • 14. confidentiel | © WAVESTONE 14 Protection contre le vol de jeton : le besoin S’ADAPTER Authorization server API (Resource server) Authorization server API (Resource server) Aggrégateur Le principe même de « bearer token » entraîne un risque important lors du vol de ce dernier. La détection du vol étant très difficile, seule l’expiration du jeton est une mesure relativement efficace Vol de jeton Dans un contexte d’intermédiation (eg. DSP2), un tiers peut se retrouver en possession de très nombreux jetons. Le propriétaire de l’API est à la merci de ce tiers et de son niveau de sécurité Vol d’une base de jetons
  • 15. confidentiel | © WAVESTONE 15 ClientAuthorization server API Token Binding / La négociation à deux (ou trois) composants permet de lier un jeton (ou un cookie) à une clé publique et la clé privée associée / Le client doit prouver qu’il possède la clé privée correspondante en établissant une connexion TLS mutuelle / Le jeton contient (un hash de) la clé publique du client, distincte pour chaque serveur d’API / Si le jeton (ou cookie) est intercepté, il est inutilisable / Requiert compatibilité du client et des serveurs › Edge, IE & Chrome disponibles en channels dev › Module Apache disponible Protection contre le vol de jeton : la solution S’ADAPTER Ok, vois donc avec l’AS et ce tokenBindingID Génération d’un biclé pour l’API cible Je voudrais un jeton avec ce tokenBindingID Le voici Je souhaite un accès, voici ma clé publique (TLS mutuel) Voici mon jeton, lié à ma clé publique et tokenBindingID (TLS mutuel)
  • 16. confidentiel | © WAVESTONE 16 Comment en tirer partie ? Quels standards d’échange ? Quels outils ? Quelle sécurité pour les APIs ? 01 02 03
  • 17. confidentiel | © WAVESTONE 17 Quelle organisation pour innover? INNOVER Collaboration avec les fintechs Partenariat? Incubation? Acquisition? Identification des nouveaux usages Expérimentation Viser au delà du périmètre imposé par la DSP2 : Épargne, crédit, IoT, etc. Laboratoire interne Outsourcing Open Innovation
  • 19. PARIS LONDRES NEW YORK HONG KONG SINGAPORE * DUBAI * SAO PAULO * LUXEMBOURG MADRID * MILAN * BRUXELLES GENEVE CASABLANCA ISTAMBUL * LYON MARSEILLE NANTES * Partenariats
  • 20. Directive Services de Paiement 2 Standards, sécurité, quels impacts? Matinée du 25 avril 2017 Bertrand CARLIER Senior Manager Wavestone Léonard MOUSTACCHIS Senior Customer Engineer Forgerock Jean DIEDERICH Partner Wavestone Clément CŒURDEUIL Président Budget Insight