Free cookie consent management tool by TermsFeed
C'est pas mon idée !

vendredi 4 janvier 2013

Oser l'accès aux comptes sans mot de passe

Sécurité
Tout le monde est d'accord pour affirmer que les systèmes d'authentification reposant sur un identifiant et un mot de passe sont une plaie de la vie digitale moderne. Pour les consommateurs, il est impossible de retenir tous les codes nécessaires pour naviguer sur le web, tandis que pour les entreprises sensibles à la sécurité, banques en tête, ils présentent un risque majeur de fraude.

Alors, que faire ? Un article de la revue en ligne "Credit Union Times" suggère une solution radicale : supprimer les mots de passe, en particulier dans les applications de banque mobile. Le concept paraîtra certainement fou au premier abord, mais il mérite tout de même d'être considéré sérieusement. Et il est même possible qu'il s'agisse d'une de ces idées anodines qui pourraient réellement simplifier la vie des utilisateurs.

Avant de s'indigner d'une telle possibilité, il faut être conscient qu'il existe des précédents. Par exemple, plusieurs banques – dont BNP Paribas avec son application "Mes Comptes" pour iPad – permettent à leurs clients de consulter le solde de leurs comptes sans authentification préalable. Et pourquoi pas ? Certes, personne n'a envie de voir l'état de ses finances exposé au monde entier mais il ne s'agit probablement pas non plus, pour le commun des mortels, d'un secret exigeant des mesures de protection extrêmes.

Mes Comptes sur iPad

En prolongeant ce raisonnement, que penser de la nécessité de saisir systématiquement (et, souvent, avec difficulté) un code secret pour accéder à une application bancaire alors que, dans plus de 90% des cas, l'utilisateur souhaite uniquement consulter les dernières opérations enregistrées ? Là encore, l'exigence de sécurité n'est certainement pas la même que pour exécuter un virement (pour lequel, de toutes manières, un dispositif renforcé d'authentification est généralement mis en place)...

Dans ces scénarios, dont il ne fait aucun doute que les consommateurs apprécieraient le surcroît de confort (et les inciteraient donc à utiliser encore plus souvent les applications de leur banque), quelques solutions simples peuvent permettre d'atténuer les "angoisses" qu'ils peuvent susciter. Ainsi, une première connexion, avec authentification, peut être demandée pour "enrôler" l'appareil utilisé ou bien l'accès sans authentification peut n'être proposé qu'en option (comme dans le cas de "Mes Comptes"), peut-être uniquement si l'utilisateur a configuré un code de verrouillage sur son téléphone...

Mais pourquoi s'en tenir là ? Si la sécurité des systèmes à base de mot de passe est réellement défaillante, autant supprimer ceux-ci entièrement et adopter d'autres techniques, radicalement différentes, pour protéger aussi les opérations "sensibles". Des alternatives existent, dont la maturité varie, mais qui méritent toutes d'être surveillées, voire évaluées. Et certaines institutions financières avancent déjà dans cette voie.

A partir de l'approche, relativement classique, consistant à identifier les appareils de l'utilisateur, le spécialiste de l'identité numérique OneID propose une solution dont le niveau de sécurité est ajustable. Une fois intégrée dans l'application d'une banque, elle va exploiter les informations d'identification stockées (en toute sécurité) sur le mobile pour donner accès aux services élémentaires, mais elle fera appel à un mécanisme complémentaire d'authentification pour, par exemple, réaliser un virement dont le montant est supérieur à un plafond défini par le client. Le produit de OneID n'est pas, à ce jour, déployé dans une institution financière mais un partenariat avec l'association américaine des "Credit Unions" (CUNA) laisse entrevoir une incursion prochaine dans le secteur.

L'autre piste à explorer est, bien entendu, la biométrie, dont beaucoup de déclinaisons s'avèrent parfaitement adaptées aux smartphones, qui représenteront bientôt le premier canal d'accès aux services bancaires. Ce n'est pas un hasard si, récemment, un responsable de Wells Fargo évoquait la possibilité d'une authentification des clients par reconnaissance vocale. Et d'autres pistes sont envisageables, notamment par l'utilisation de l'appareil photo présent sur tous les mobiles modernes, avec des applications de reconnaissance faciale qui commencent à atteindre une fiabilité correcte.

Dans le domaine de la sécurité plus que dans tout autre, il est indispensable de suivre les évolutions technologiques, parce que les menaces progressent elles-mêmes très rapidement. Aujourd'hui les systèmes doivent combiner de multiples approches (authentification forte, détection de fraude, analyse de risques...) pour rester pertinents. Puisqu'il va falloir ajouter de nouveaux dispositifs, quoi qu'il arrive, pourquoi ne pas profiter de l'occasion pour ré-évaluer les priorités (séparer les actes qui nécessitent un haut niveau de protection) et se poser la question de l'utilité du mot de passe dans la palette de solutions mises en œuvre ?

1 commentaire:

  1. Les institutions financières sont particulièrement réticentes (tétanisées) aux expérimentations dans ce domaine du fait du risque réglementaire auxquels elles pensent que cela les expose. Et ils leur est difficile d'échanger sur ce sujet avec leurs institutions de tutelle qui associent une réticence forte au risque, une vision très juridique et normative et une expertise technologique restreinte. La loi française ne va pas non plus dans le bon sens puisque concrètement elle a rejeté l'identité numérique (LOI n° 2012-410 du 27 mars 2012 relative à la protection de l'identité : CNI numérique utilisable uniquement par la police et assimilés et interdiction de s'appuyer sur une base de données).
    L'Autorité de Contrôle Prudentiel autorise néanmoins un certain nombre de dispositifs qui lui ont été présentés (mais je ne sais pas si c'est dans une volonté de promouvoir l'innovation ou si ils n'ont pas bien compris de quoi il s'agissait).

    RépondreSupprimer

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)