Face aux attaques de plus en plus nombreuses sur la banque en ligne (qui ont coûté, selon le FBI, plus de 100 millions de dollars aux seules PME), la FFIEC (le "conseil de surveillance" américain des institutions financières) prépare une mise à jour de ses recommandations aux banques pour protéger l'accès à leurs services sur internet.
Si leur teneur n'est pas encore connue, certains observateurs estiment qu'une des nouveautés à venir sera une "forte incitation" à adopter des moyens d'authentification forte, à deux facteurs, au moins pour les transactions sensibles, bien que les spécialistes de la sécurité considèrent qu'ils sont déjà susceptibles d'être contournés par des pirates déterminés.
Cette approche rappellera certainement une "directive" (de 2009) de la Banque de France, demandant aux établissement financiers de mettre en place (au plus tard en juin 2010) une "authentification non rejouable" pour les transactions bancaires et les paiements en ligne, qui faisait suite au transfert (en 2008) de responsabilité à la banque (et non plus au commerçant) en cas de fraude.
Quels sont les effets de cette pression réglementaire ? Dans le secteur du e-commerce, les premières implémentations ("simplistes") du système 3D-Secure des émetteurs de cartes sont maintenant remplacées par un code secret à usage unique, transmis par SMS. Dans le domaine de la banque en ligne, outre cette même méthode par SMS, quelques clients "privilégiés" ont reçu un "token" ou un lecteur de carte bancaire générant aussi un code à usage unique. Sur de nombreux sites de banque en ligne, la réponse a été encore plus simple (et beaucoup moins coûteuse) : vous ne pouvez, par exemple, réaliser un virement que vers un compte pré-enregistré (en agence !), les transactions sur ces comptes n'étant alors plus considérées comme sensibles ! Et vous n'avez plus alors accès à tous les services que vous attendez de votre banque.
Maintenant, envisageons les conséquences sur la banque (et le paiement) mobile (qui est soigneusement ignorée par les recommandations émises)... Difficile de demander au client de transporter en permanence et d'utiliser un token ou un lecteur de carte pour saisir un code unique sur son mobile, à chaque connexion. L'envoi de SMS ? Outre les problèmes d'ergonomie (tous les téléphones ne permettent pas de passer aisément d'une application ou d'un site à la lecture de SMS et vice-versa), leur niveau de sécurité se trouve réduit car le message arrive sur le terminal où est réalisée la transaction...
Que reste-t-il alors ? Deux options : la solution de facilité consistant à interdire les transactions sensibles sur mobile (au risque de tuer un canal émergent) ou, si cela est possible (?), un report de la responsabilité de l'utilisation de la banque mobile sur le consommateur (ce qui n'est pas acceptable, mais avez-vous lu en détail les conditions d'utilisation de l'application iPhone de votre établissement ?).
Il pourrait tout de même exister une troisième voie : l'innovation ! En effet, devant ce dilemme, il doit être possible d'imaginer de nouvelles solutions de sécurisation, spécifiques au mobile, efficaces et conformes aux exigences réglementaires. Nul doute que de nouvelles offres voient le jour sous peu...
En attendant, espérons que les systèmes de détection de fraude des banques soient parfaitement opérationnels !