Anonymisation des informations et authentification biométrique

Pour construire la banque digitale, le secteur bancaire doit engager de nombreux chantiers. Ceux qui touchent à la sécurisation des données bancaires sont très essentiels. À l’heure du Big Data et du Cloud Computing, les données constituent en effet un enjeu stratégique pour le développement de l’économie numérique. Elles sont devenues sensibles de par leur présence importante dans les flux financiers et parce qu’elles sont indispensables au bon fonctionnement des applications mobiles, des services de banque en ligne et des sites de e-commerce. Ces données bancaires sont toujours plus nombreuses à circuler sur Internet, ce qui pose la question de leur sécurité. Au Royaume-Uni, les fraudes aux prélèvements ont fait un bond de plus de 30 %. Selon le Centre for economics and business research, 26 000 personnes en ont été victimes en Grande-Bretagne en 2010. Ce nombre se serait élevé à plus de 40 000 en 2013 et les projections des professionnels sont très alarmantes pour 2015… En 2013, le rapport sur la fraude des cartes bancaires de la Banque Centrale Européenne (BCE) et l’Observatoire de la sécurité des cartes de paiement de la Banque de France ont révélé que le taux de fraude sur les paiements par carte bancaire dans la zone SEPA avait bondi de 30 %. Au-delà de ces fraudes par vol de données individuelles, la découverte de Heartbleed en 2014, une gigantesque faille dans le protocole de sécurité OpenSSL, nous fait rentrer dans le vol de données massives et fait peser un risque majeur en matière de sécurité des échanges de données sur plusieurs centaines de milliers de sites internet marchands et bancaires dans le monde. La sécurisation des SI constitue pour les entreprises un véritable enjeu stratégique, en particulier pour l’e-commerce ou les banques. Certaines solutions technologiques constituent des réponses efficaces face aux risques qui pèsent sur les données bancaires : l’anonymisation des informations et l’authentification forte, notamment biométrique en font partie.

La protection des données bancaires, facteur de développement de l’économie numérique

Les flux de paiement de l’économie réelle et surtout numérique s’appuient sur les données bancaires : numéro de carte bancaire, numéro de compte, date de validité, cryptogramme. À l’ère du numérique, ces dernières sont stockées dans des bases de données partagées entre les établissements financiers et les acteurs de l’économie : clients, salariés, entreprises ou commerçants. Le vol de ces données bancaires doit à ce titre être considéré comme un risque stratégique et systémique pour l’économie. Leur perte entache sérieusement la réputation de l’entreprise, les clients s’interrogeant sur sa capacité à garantir la confidentialité des données. Le sentiment de perte de confiance qui en résulte entraîne une baisse des ventes et peut même aller jusqu’à menacer la continuité de l’activité. L’exemple de Sony et du PSN Hack [1] est à cet égard très significatif. En 2011, l’entreprise a subi le vol de près de 12 millions de données des cartes bancaires de ses abonnés aux serveurs en ligne de jeu PlayStation Network. La sanction a été une baisse immédiate de la fréquentation des services. Mais cette attaque a aussi, dès l’année suivante, fait chuter les ventes de la PlayStation 3 de 25 %. Autre victime, à une échelle bien plus importante cette fois : la chaîne de distribution américaine Target Stores, qui selon Bloomberg [2] s’est fait voler en 2013 les données de plus de 110 millions de clients dont 40 millions de numéros de cartes. Le préjudice pour Target est aujourd’hui estimé à près de 148 millions de dollars, d’après le New York Times [3] . Une class action, menée par le cabinet d’avocats Hagens Berman [4] a obligé Target Stores à indemniser les réseaux de cartes de paiement (MasterCard ou Visa), ses clients, et à prendre en charge la destruction et le renouvellement des cartes. Target n’était pas conforme au standard PCI DSS (Payment Card Industry Data Security Standards ). [5] Cette négligence a coûté son poste à son P-DG, Gregg Steinhafel. Pour le compte des réseaux d’acceptation de cartes bancaires Visa, MasterCard, American Express, JCB et Discover, l’organisation PCI SSC (Payment Card Industry Security Standards Council) assure la mise en conformité des commerçants et des entreprises traitant des données de cartes de paiement avec les règles de sécurité informatique et de protection des données. Pour les banques et les réseaux, ce standard est nécessaire et indispensable pour garantir la confiance des clients dans le système de paiement des commerçants.

Sans cette confiance, il n’y a plus de développement possible des règlements à distance par les internautes. En dépit de la loi française n° 2004-575 [6] du 21 juin 2004 pour la confiance dans l’économie numérique et près de 20 ans après la création d’Amazon, la confiance dans les moyens de paiement est, au vu des attaques liées à la cybercriminalité, toujours au cœur des préoccupations.

L’impact le plus important dans l’utilisation frauduleuse des coordonnées bancaires est l’atteinte à l’image. Et qui dit perte de confiance dit chute concomitante du chiffre d’affaires. La croissance du nombre de cyberattaques dirigées contre des établissements financiers, et en particulier les 100 millions de coordonnées volées en 2014 à JP Morgan Chase and Co [7] , première banque américaine, provoque une perte de confiance des consommateurs américains dans leur système bancaire, c’est-à-dire dans la source d’une partie du financement de leur économie.

Les nouveaux acteurs du paiement en ont pleinement conscience. Le lancement par Apple d’Apple Pay [8] qui s’appuie sur l’authentification forte par lecture de l’empreinte digitale en est l’illustration. Ce service permet de sécuriser le développement d’une activité de vente en ligne et évite ainsi l’usurpation d’identité et le vol de données. Les parades existent donc, mais elles doivent être équilibrées, c'est-à-dire ni trop complexes à mettre en œuvre pour le client lors de ses achats en ligne, ni dotées d’un niveau de sécurité trop faible.

Confiance et protection des données véhiculées sur la toile

Le développement de l’économie numérique repose sur la capacité de ses acteurs à garantir une transaction par l’utilisation d’un moyen de paiement à distance authentifié. Or, couplé à l’usurpation d’identité, le vol des données de paiement peut remettre en question cette garantie. Aujourd’hui, seul le paiement de proximité par carte bancaire assure celle-ci. Selon la FEVAD, la carte bancaire représente 80 % des moyens de paiement sur Internet. Le taux de fraude est de 130 millions d’euros soit 0,293 % du montant total des transactions en ligne et 61 % de l’ensemble des cas de fraude en 2012.

Le vol de données personnelles et d’informations bancaires remet en question la confiance entre les opérateurs financiers, les commerçants et leurs clients. L’impact est tel qu’aux États-Unis, le gouvernement fédéral a décidé de lancer un programme de sécurisation des moyens de paiement en s’appuyant sur la carte à puce de type EMV [9] pour remplacer les cartes de paiement. Cette action vise à donner un signal pour garantir les paiements des internautes grâce à l’authentification.

Le vol de données de paiement et l’usurpation d’identité constituent le cocktail parfait pour la fraude. Avec la dématérialisation des échanges commerciaux via le digital, les règlements sont débouclés sans la présence physique des deux acteurs économiques.

Les solutions 3D Secure [10] sont actuellement les solutions d’authentification forte les plus utilisées par les e-commerçants. Au moment de valider l’achat en ligne, ce système permet de rediriger le consommateur vers un écran d’authentification de sa banque à distance. Efficace, cette méthode présente cependant l’inconvénient d’ajouter une étape au processus, provoquant l’abandon de près de 19,5 % des achats en ligne en 2012, selon la Banque de France. Mais la mise en œuvre d’un moyen sécurisé permet de mettre en confiance le consommateur. Le défi consiste donc à trouver un système de sécurité efficace, sans pour autant perturber le parcours client.

Efficacité et fluidité

La sécurisation efficace et fluide du parcours client numérique passe par l’impossibilité d’utiliser les données pour frauder et par l’authentification de manière certaine de l’émetteur du paiement. Pour réduire les risques de vol de données, il suffit d’en empêcher l’utilisation pour une nouvelle transaction de paiement, c’est ce que l’on appelle les données non rejouables ou anonymisées, et de faciliter l’authentification par la biométrie corporelle ou vocale, pratique pour des transactions à distance. L’usage de ces deux techniques réduit fortement la fraude et s’adapte aux législations liées à la protection de données à caractère personnel.

L’anonymisation garantit que le vol de données bancaires ne sera pas rejouable pour générer des transactions financières. Elle est dissuasive pour les cybercriminels qui, par exemple, ne peuvent revendre les données de cartes bancaires sur la toile pour en faire un usage frauduleux. Elle consiste à crypter le numéro des cartes bancaires au moment de l’enrôlement auprès des commerçants, à le stocker dans un coffre-fort électronique puis à remplacer le numéro de carte par un token (numéro de remplacement) non rejouable dans une transaction financière. Les techniques sont aujourd’hui conformes à la norme PCI DSS et limitent la diffusion des numéros de carte sur la toile. Cette anonymisation répond aussi à l’évolution de la protection des données à caractère personnel, comme l’évoque Viviane Reding, ancienne Commissaire européenne [11].

Pour répondre à l’usurpation d’identité qui se multiplie avec les fraudes aux « faux président », la biométrie vient compléter le dispositif de l’anonymisation des données. Ainsi, l’identification biométrique vocale est l’un des moyens les plus simples à mettre en œuvre. Le principe utilisé permet à partir de l’enregistrement de sa voix sur un serveur sécurisé de s’authentifier par téléphone au moment de la demande d’authentification pour valider la transaction. Le système biométrique est également capable de distinguer un enregistrement d’un original. Couplé à un système d’authentification forte, il assure la garantie de la transaction. Ces systèmes sont en cours d’expérimentation partout dans le monde et en France dans le cadre de l’association Natural Security Alliance [12] . Ces expérimentations sont surveillées par les autorités en charge de la protection des données pour garantir le respect de la notion de données à caractère privé.

Conclusion

Pour garantir une transaction de paiement tout en respectant le parcours client numérique, un juste équilibre est nécessaire entre des authentifications faibles de type CVV2, qui induisent une perte de confiance, et des systèmes de sécurité comme 3D Secure, qui découragent les internautes (abandon d’achats…). Il faut donc sécuriser à la fois en amont et en aval, en neutralisant les risques d’usage des données bancaires : tout ce qui est transmis doit être inoffensif (référentiel différent, anonymisation…). La protection des données sensibles pour une entreprise et l’authentification des acteurs économiques à distance sont les enjeux de la confiance dans l’économie numérique.