Avec la multiplication des menaces pesant sur les services en ligne (logiciels malveillants, attaques de phishing...), les banques sont contraintes de faire évoluer les mesures de protection qu'elle mettent en oeuvre pour garantir la sécurité des comptes de leurs clients. Finis les simples codes d'accès, composés d'un identifiant et d'un mot de passe, de nouveaux moyens d'authentification (forte) font désormais leur entrée dans la banque en ligne. L'actualité récente semble démontrer une progression des pratiques dans ce domaine.En France, ce sont les systèmes de génération de code à usage unique (OTP, "One Time Password") envoyé par SMS qui ont la faveur de la plupart des banques. Depuis quelques jours, le Crédit du Nord et Axa Banque ont ainsi mis en place ce mécanisme pour la confirmation des opérations sensibles (notamment l'ajout de nouveaux bénéficiaires de virement).
De l'autre côté de la Manche, la préférence va à la distribution d'appareils dédiés pour la génération des OTP. Dans les cas de Barclays, RBS ou NationWide (entre autres), le dispositif prend la forme d'un lecteur de carte, produisant un code après introduction de la carte bancaire et saisie de son code PIN. HSBC va, pour sa part, commencer à distribuer un petit générateur autonome de la taille d'une carte de crédit (qui requiert son propre code PIN), baptisé HSBC Secure Key.
L'inconvénient de ces approches par OTP, outre leur coût non négligeable, est qu'elles ne garantissent pas une sécurité absolue. Elles peuvent rester sensibles, en particulier, à des attaques menées par des logiciels malveillants installés sur le poste de l'utilisateur ("OddJob", dont la découverte a récemment été révélée, pourrait constituer un cas exemplaire). Il s'agit d'une des raisons pour lesquelles d'autres solutions émergent progressivement.
Metro Bank, la "nouvelle" banque britannique, a ainsi choisi le logiciel "Rapport" de Trusteer, qui fonctionne en "verrouillant" le navigateur de l'utilisateur dès que celui-ci initialise une connexion au site de banque en ligne (et aussi en établissant un canal de communication direct et sécurisé avec les serveurs de la banque). L'objectif est ici de prévenir toute action d'un tiers (logiciel ou site web) pendant la session et dans les échanges.
D'autres solutions poussent cette logique encore un peu plus loin. La société suisse CreaLogix (comme quelques autres fournisseurs) propose ainsi une clé USB (protégée) embarquant un navigateur web "durci" et non modifiable, dédié à la connexion aux sites "sensibles" (de banque ou de commerce en ligne). Selon Avivah Litan (Gartner), la première banque privée au monde (qui devrait être UBS Wealth Management) s'apprêterait à déployer ce système auprès de ses clients.
Il est heureux de voir les banques se préoccuper de la sécurisation de leurs services en ligne (même si les menaces évoluent encore plus rapidement). Cependant, toutes ces solutions souffrent de défauts plus ou moins criants, dont le principal est la perte de simplicité. Avoir toujours sur soit un générateur d'OTP ou une clé USB, ne pouvoir utiliser qu'un PC sur lequel un logiciel spécifique a été installé ou devoir attendre la réception (parfois hypothétique) d'un SMS pour réaliser une opération sont autant de contraintes qui vont limiter l'attrait de la banque sur Internet... Et le problème va devenir encore plus sensible à l'heure où les services mobiles se développent, car toutes ces solutions sont inadaptées à l'utilisation sur un téléphone (ce qui rejoint les conclusions d'un précédent article). Il n'existe malheureusement pas encore de solution idéale...
Jeu de briques
Snake
Pacman
Bubble