Dans le monde bancaire et du paiement en général, il y a deux fonctions importantes dans la relation avec le client final : l’identifier pour lui offrir le service qu’il est en droit d’attendre, et l’authentifier, c’est-à-dire vérifier qu’il est bien celui qu’il prétend être. Dans le monde physique, cela passe le plus souvent par une reconnaissance en vis-à-vis avec son conseiller financier et le contrôle d’une pièce d’identité ou de sa signature. Dans le cadre d’un paiement par carte bancaire, l’entrée du code PIN vaut authentification du porteur de la carte. Dans le monde numérique, le plus souvent il s’agit d’un couple identifiant/mot de passe ; or celui-ci n’est pas particulièrement fiable et peut facilement être piraté. Comme le rappelle Vincent Bouetel, RSSI Société Générale réseau France (gérant donc Société Générale et Crédit du Nord), comme la plupart de ses concurrentes, la banque n’utilise plus le couple identifiant/mot de passe seul : « Nous faisons du clavier virtuel pour toutes les opérations de banque. C’est une protection mise en place depuis 2006 contre les virus qui regardent la frappe clavier (KeyLogger). Elle est particulièrement adaptée pour la consultation du compte, qui est une opération moins sensible qu’un virement. » Le Crédit Agricole, avec sa solution CA Connect, essaie de déconnecter le monde numérique et la personne physique. « Depuis près de trois ans et demi, grâce à CA Connect, le client s’identifie sur les services de banque à distance du Crédit Agricole avec un pseudonyme. Pour assurer la sécurité des données, nous dissocions l’individu digital, qui consomme les services, de la personne physique, affirme Emmanuel Méthivier, responsable du Crédit Agricole Store. Pour CA Connect, si l’utilisateur est déjà client Crédit Agricole, en allant sur son site de banque en ligne, nous lui proposons de sécuriser ses accès en créant un pseudonyme. S’il n’est pas encore client, il va créer son pseudonyme directement sur CA Store et ensuite, on le rattachera aux différents services qu’il veut utiliser. »
Clavier virtuel ou identité dédiée, cette protection ne suffit pas pour des opérations plus délicates, ou lorsqu’un tiers entre en jeu, comme c’est par exemple le cas pour un paiement sur internet. Auparavant, il s’agissait alors d’envoyer un SMS au client avec un mot de passe unique (OTP – one-time password) à taper sur le site consulté. « Nous avons une autre solution, le Pass Sécurité, qui évite les malwares dédiés aux OTP. Le Pass Sécurité permet aux clients de valider leurs opérations bancaires sensibles (ajout de compte bénéficiaire, achat en ligne…) via leur Appli Société Générale, qu’elles soient initiées sur ordinateur, tablette ou smartphone, explique Vincent Bouetel. En plus, le Pass Sécurité prend en compte les caractéristiques du téléphone au moment de l’enrôlement, et cette empreinte est reprise et comparée par rapport à celle qu’on connaît au moment de l’opération. Nous l’avons mis en place depuis 2014 sur les trois marchés (particuliers, professionnels et entreprises). »
Prendre les empreintes du téléphone
Ce type de service, qui prend les caractéristiques de l’appareil à l’enrôlement et les compare au moment où une action est effectuée, est la spécialité d’In Auth. Lisa Stanton, P-DG de la société, nous expliquait lors du dernier Money 2020 comment fonctionnent ses produits : « Nous ne nous intéressons qu’à l’appareil – téléphone, PC, tablette ou objet connecté –, mais nous connaissons tout de lui. Nous avons deux produits distincts : InMobile et InBrowser. InMobile est un
Touch ID, une bonne idée ?
La porte de la biométrie n’est pas totalement fermée. Au contraire ! Désormais, de nombreux téléphones sont dotés de lecteurs d’empreinte digitale. Et si Apple et Samsung utilisent les leurs pour signer un paiement avec Apple Pay ou Samsung Pay, pourquoi ne pas s’en servir dans les applications bancaires ? C’est notamment ce que proposent Crédit Agricole et la Société Générale pour s’identifier avec le TouchID d’Apple sur leurs applications mobiles, mais ils reconnaissent que ce n’est pas parfait. Pour Emmanuel Méthivier, l’authentification par Touch ID n’est « pas plus forte qu’un mot de passe, car on peut changer l’empreinte digitale en connaissant le code confidentiel du téléphone. Cela simplifie grandement le parcours client, mais ce n’est pas plus sûr qu’un code à 4 chiffres. » Quant à la Société Générale, seules quelques informations sont accessibles sur son application mobile en utilisant son empreinte. En revanche, la possibilité d’avoir sa donnée biométrique sur soi et non dans un fichier centralisé plaît à la CNIL et donne des idées à certains. Ainsi Oney, déjà à l’origine de Natural
Un selfie pour l’enrôlement du client
L’empreinte digitale n’est pas la seule donnée biométrique disponible facilement. Avec l’avènement des smartphones et des webcams, il est de plus en plus facile de réaliser des autoportraits, y compris en vidéo pour apporter une preuve de vie. Ainsi, depuis l’an dernier, MasterCard a fait le choix du selfie pour valider les paiements. Après les premiers pilotes dans douze pays européens, la solution devrait se généraliser par étapes tout au long de l’année. Au Canada, la Banque de Montréal le proposera dès ce printemps à ses clients. Et pendant ce temps, la société espagnole FacePhi multiplie les partenariats avec les banques, pour authentifier leurs clients sur l’application mobile à partir d’un selfie. Deux ans après sa création, dix banques espagnoles et sud-américaines ont adopté le produit, très similaire à la solution développée par DAON pour MasterCard, pour identifier 2 millions de leurs clients. La société va même plus loin en lançant lors du dernier Money2020, SelphID où l’enrôlement mobile pour l’ouverture d’un compte se fait en comparant le selfie du prospect avec la photo figurant sur la pièce d’identité qu’il scanne. Jumio propose un service identique sous forme de SDK que les banques pourront intégrer dans leurs applications mobiles, pour enrôler de nouveaux clients, ou pour renforcer la sécurité de certaines transactions (comme un virement vers un tiers).
Une autre solution peut être l’identification vocale, promue par des sociétés comme Voice Vault ou Oberthur ne trouve pas grâce auprès de tous banquiers et de leurs clients. « L’authentification vocale n’est pas, à ce jour, la solution. D’autres techniques peuvent arriver, mais l’acceptation du client n’est pas là », estime Emmanuel Méthivier. Au contraire, La Banque Postale y croit : « TalkToPay est un service qui permet de sécuriser des transactions en ligne en générant un cryptogramme dynamique de deux façons différentes dont la biométrie vocale, explique Aurélien Lachaud. Pour effectuer son paiement internet, le client choisit de régler par carte (comme il le fait traditionnellement), et l’extension web Talk To Pay lui demande de s’authentifier. L’authentification faite, un cryptogramme dynamique est généré et les données cartes sont remplies automatiquement. La Banque Postale a eu la première autorisation pour utiliser la biométrie pour sécuriser les transactions pour tous ses clients. L’empreinte vocale ainsi que le service sont hébergés et gérés chez nous par notre filiale Transactis. » Après deux tests en interne et en externe auprès de 500 et 1 000 clients pendant deux ans, La Banque postale lancera ce service fin 2017 pour tous ses clients. « L’avantage de la biométrie vocale est qu’elle fonctionne sur tous les téléphones, smartphones ou non, donc elle est universelle » se réjouit Aurélien Lachaud.