Sécurité

Et si la biométrie redevenait une alternative valable au mot de passe ?

Les récents déboires de Yahoo ou Amazon le prouvent : le couple identifiant-mot de passe classique n’est plus fiable. Comment assurer l’identification et l’authentification de ses clients, que ce soit sur le Web, via son application mobile ou même dans le monde physique ? L’une des options possibles réside dans l’utilisation de la biométrie. Avec, toutefois, une approche nouvelle du problème…

Aurélien Lachaud

L'auteur

Revue de l'article

Cet article est extrait de
Revue Banque n°803

Numéro double 803-804 : Prospective 2017 - Rétrospective 2016

Dans le monde bancaire et du paiement en général, il y a deux fonctions importantes dans la relation avec le client final : l’identifier pour lui offrir le service qu’il est en droit d’attendre, et l’authentifier, c’est-à-dire vérifier qu’il est bien celui qu’il prétend être. Dans le monde physique, cela passe le plus souvent par une reconnaissance en vis-à-vis avec son conseiller financier et le contrôle d’une pièce d’identité ou de sa signature. Dans le cadre d’un paiement par carte bancaire, l’entrée du code PIN vaut authentification du porteur de la carte. Dans le monde numérique, le plus souvent il s’agit d’un couple identifiant/mot de passe ; or celui-ci n’est pas particulièrement fiable et peut facilement être piraté. Comme le rappelle Vincent Bouetel, RSSI Société Générale réseau France (gérant donc Société Générale et Crédit du Nord), comme la plupart de ses concurrentes, la banque n’utilise plus le couple identifiant/mot de passe seul : « Nous faisons du clavier virtuel pour toutes les opérations de banque. C’est une protection mise en place depuis 2006 contre les virus qui regardent la frappe clavier (KeyLogger). Elle est particulièrement adaptée pour la consultation du compte, qui est une opération moins sensible qu’un virement. » Le Crédit Agricole, avec sa solution CA Connect, essaie de déconnecter le monde numérique et la personne physique. « Depuis près de trois ans et demi, grâce à CA Connect, le client s’identifie sur les services de banque à distance du Crédit Agricole avec un pseudonyme. Pour assurer la sécurité des données, nous dissocions l’individu digital, qui consomme les services, de la personne physique, affirme Emmanuel Méthivier, responsable du Crédit Agricole Store. Pour CA Connect, si l’utilisateur est déjà client Crédit Agricole, en allant sur son site de banque en ligne, nous lui proposons de sécuriser ses accès en créant un pseudonyme. S’il n’est pas encore client, il va créer son pseudonyme directement sur CA Store et ensuite, on le rattachera aux différents services qu’il veut utiliser. »

Clavier virtuel ou identité dédiée, cette protection ne suffit pas pour des opérations plus délicates, ou lorsqu’un tiers entre en jeu, comme c’est par exemple le cas pour un paiement sur internet. Auparavant, il s’agissait alors d’envoyer un SMS au client avec un mot de passe unique (OTP – one-time password) à taper sur le site consulté. « Nous avons une autre solution, le Pass Sécurité, qui évite les malwares dédiés aux OTP. Le Pass Sécurité permet aux clients de valider leurs opérations bancaires sensibles (ajout de compte bénéficiaire, achat en ligne…) via leur Appli Société Générale, qu’elles soient initiées sur ordinateur, tablette ou smartphone, explique Vincent Bouetel. En plus, le Pass Sécurité prend en compte les caractéristiques du téléphone au moment de l’enrôlement, et cette empreinte est reprise et comparée par rapport à celle qu’on connaît au moment de l’opération. Nous l’avons mis en place depuis 2014 sur les trois marchés (particuliers, professionnels et entreprises). »

Prendre les empreintes du téléphone

Ce type de service, qui prend les caractéristiques de l’appareil à l’enrôlement et les compare au moment où une action est effectuée, est la spécialité d’In Auth. Lisa Stanton, P-DG de la société, nous expliquait lors du dernier Money 2020 comment fonctionnent ses produits : « Nous ne nous intéressons qu’à l’appareil – téléphone, PC, tablette ou objet connecté –, mais nous connaissons tout de lui. Nous avons deux produits distincts : InMobile et InBrowser. InMobile est unSDK [1]à intégrer dans l’application bancaire. Il va accéder au système d’exploitation et va relever 2000 facteurs différents pour authentifier l’appareil et vérifier qu’il n’est pas compromis. InBrowser fait la même chose pour le navigateur et sert pour la banque en ligne. » Elle rappelle tout de même que les banques ont plusieurs solutions pour protéger leurs applications. « Nous ne sommes que la première couche, mais nous sommes loin d’être la seule. » Une autre couche intéressante est la biométrie comportementale. Celle-ci consiste à analyser l’interaction entre le client et l’appareil qu’il utilise : comment il tient son téléphone, comment il tape sur le clavier ou l’écran. « Même les microsecondes entre chaque frappe sont personnelles. Tous ces éléments sont utilisés comme des points pour valider l’identité de l’utilisateur », affirme Robert Capps, vice-président de NuData Security. Avec l’arrivée des lecteurs d’empreintes digitales sur certains smartphones, la biométrie a fait son retour dans le monde bancaire. « En moyenne, 300 données comportementales différentes sont analysées, et nous réalisons un calcul portant sur la confiance (est-ce le bon utilisateur ou non ?), et le risque (est que la transaction est inhabituelle ou non ?) que nous renvoyons à la banque pour ses propres estimations. » Deux institutions financières vont déployer cette solution. En France, une banque va tester le produit lors d’un pilote. Pourtant, tout le monde n’est pas convaincu par cette solution : « Nous avons regardé la biométrie comportementale, nous pensons que les solutions ne sont pas encore matures », estime Vincent Bouetel.

Touch ID, une bonne idée ?

La porte de la biométrie n’est pas totalement fermée. Au contraire ! Désormais, de nombreux téléphones sont dotés de lecteurs d’empreinte digitale. Et si Apple et Samsung utilisent les leurs pour signer un paiement avec Apple Pay ou Samsung Pay, pourquoi ne pas s’en servir dans les applications bancaires ? C’est notamment ce que proposent Crédit Agricole et la Société Générale pour s’identifier avec le TouchID d’Apple sur leurs applications mobiles, mais ils reconnaissent que ce n’est pas parfait. Pour Emmanuel Méthivier, l’authentification par Touch ID n’est « pas plus forte qu’un mot de passe, car on peut changer l’empreinte digitale en connaissant le code confidentiel du téléphone. Cela simplifie grandement le parcours client, mais ce n’est pas plus sûr qu’un code à 4 chiffres. » Quant à la Société Générale, seules quelques informations sont accessibles sur son application mobile en utilisant son empreinte. En revanche, la possibilité d’avoir sa donnée biométrique sur soi et non dans un fichier centralisé plaît à la CNIL et donne des idées à certains. Ainsi Oney, déjà à l’origine de Natural Security [2], teste depuis le 15 décembre sur le campus de Roubaix d’EDHEC, le paiement physique avec authentification par empreinte digitale sur un lecteur en caisse. « Désormais nous enregistrons l’empreinte digitale du client sur son smartphone. Au moment du passage en caisse, il paye en passant le doigt dans un lecteur d’empreinte digitale et l’authentification se fait en “matchant” son téléphone portable avec son empreinte digitale. Du coup, le passage en caisse se fait en toute simplicité, sans manipuler de moyens de paiement », affirme Jean-Pierre Viboud, directeur général du groupe Oney. Après la phase pilote au printemps prochain, Oney aimerait généraliser cette méthode de paiement à l’ensemble des magasins Auchan d’ici la fin 2017 et l’intégrer dans le wallet de paiement Fivory. Aurélien Lachaud, directeur développement et innovation Paiement à La Banque Postale, est lui nettement plus réservé concernant cet usage du Touch ID ou de tout support biométrique qui n’est pas sous le contrôle de la banque. S’il reconnaît que sa société réfléchit à un usage de Touch ID, il prévient : « La question de la délégation d’authentification à un tiers est centrale selon moi. Quand on voit l’utilisation possible par certaines sociétés (GAFA [3] ou autres) des données personnelles et de leur maîtrise des écosystèmes technologiques, nous devons être particulièrement attentifs à ne pas galvauder le niveau de sécurité apportée au client. En particulier sur les smartphones ou les objets connectés, la non-maîtrise des différents environnements est potentiellement une porte d’entrée pour la fraude. S’il y a une compromission il faut s’assurer que nous pourrons “revenir derrière” pour protéger nos clients. »

Un selfie pour l’enrôlement du client

L’empreinte digitale n’est pas la seule donnée biométrique disponible facilement. Avec l’avènement des smartphones et des webcams, il est de plus en plus facile de réaliser des autoportraits, y compris en vidéo pour apporter une preuve de vie. Ainsi, depuis l’an dernier, MasterCard a fait le choix du selfie pour valider les paiements. Après les premiers pilotes dans douze pays européens, la solution devrait se généraliser par étapes tout au long de l’année. Au Canada, la Banque de Montréal le proposera dès ce printemps à ses clients. Et pendant ce temps, la société espagnole FacePhi multiplie les partenariats avec les banques, pour authentifier leurs clients sur l’application mobile à partir d’un selfie. Deux ans après sa création, dix banques espagnoles et sud-américaines ont adopté le produit, très similaire à la solution développée par DAON pour MasterCard, pour identifier 2 millions de leurs clients. La société va même plus loin en lançant lors du dernier Money2020, SelphID où l’enrôlement mobile pour l’ouverture d’un compte se fait en comparant le selfie du prospect avec la photo figurant sur la pièce d’identité qu’il scanne. Jumio propose un service identique sous forme de SDK que les banques pourront intégrer dans leurs applications mobiles, pour enrôler de nouveaux clients, ou pour renforcer la sécurité de certaines transactions (comme un virement vers un tiers).

Une autre solution peut être l’identification vocale, promue par des sociétés comme Voice Vault ou Oberthur ne trouve pas grâce auprès de tous banquiers et de leurs clients. « L’authentification vocale n’est pas, à ce jour, la solution. D’autres techniques peuvent arriver, mais l’acceptation du client n’est pas là », estime Emmanuel Méthivier. Au contraire, La Banque Postale y croit : « TalkToPay est un service qui permet de sécuriser des transactions en ligne en générant un cryptogramme dynamique de deux façons différentes dont la biométrie vocale, explique Aurélien Lachaud. Pour effectuer son paiement internet, le client choisit de régler par carte (comme il le fait traditionnellement), et l’extension web Talk To Pay lui demande de s’authentifier. L’authentification faite, un cryptogramme dynamique est généré et les données cartes sont remplies automatiquement. La Banque Postale a eu la première autorisation pour utiliser la biométrie pour sécuriser les transactions pour tous ses clients. L’empreinte vocale ainsi que le service sont hébergés et gérés chez nous par notre filiale Transactis. » Après deux tests en interne et en externe auprès de 500 et 1 000 clients pendant deux ans, La Banque postale lancera ce service fin 2017 pour tous ses clients. « L’avantage de la biométrie vocale est qu’elle fonctionne sur tous les téléphones, smartphones ou non, donc elle est universelle » se réjouit Aurélien Lachaud.

 

[2] « Oney mise sur l’innovation et le fait savoir », Cahier Nouvelles Technologies, Revue Banque n° 784, mai 2015 : http://www.revue-banque.fr/management-fonctions-supports/breve/oney-mise-sur-innovation-fait-savoir.

[3] Google Amazon Facebook Apple et autres grandes sociétés technologiques, ndlr.

[3] Google Amazon Facebook Apple et autres grandes sociétés technologiques, ndlr.

 

Articles du(des) même(s) auteur(s)

Sur le même sujet