La ré-authentification contre la fraude

Publié le 14 octobre 2024 par Patriceb @cestpasmonidee
Décidément, la nouvelle législation britannique qui impose désormais aux banques de rembourser les victimes de fraude semble susciter une vague de créativité sans précédent dans l'industrie. La dernière idée en date émane de la jeune pousse ANNA et consiste à demander régulièrement à ses clients de re-confirmer leur identité.
En premier lieu, dès qu'ils tenteront d'accéder à leurs comptes depuis un nouvel appareil, les clients de la startup – qui, rappelons-le, propose aux PME une solution complète de gestion d'entreprise – seront invités à exécuter le contrôle par selfie habituellement employé lors de l'entrée en relation. Attention, il ne s'agit (évidemment !) pas de l'authentification biométrique du téléphone mais bien d'une vérification au niveau de la banque, avec une comparaison avec les données enregistrées par celle-ci.
Outre ce cas de changement d'équipement, destiné à détecter les tentatives de connexion par une personne mal intentionnée, la même procédure sera également déclenchée de manière aléatoire dans le cadre de l'usage normal des services. L'objectif dans ce cas est d'intercepter d'autres formes d'activité criminelle, depuis le vol du smartphone déverrouillé jusqu'à la mise en œuvre de compte de mule (quand un individu « prête » son identité à un escroc) et autres techniques similaires.

Ses concepteurs se félicitent d'une protection qu'ils considèrent quasiment parfaite : imparable pour les malfaiteurs, qui seront instantanément démasqués et rejetés avant d'avoir pu (trop) agir, et presque transparent pour les utilisateurs légitimes, qui seront tout au plus interrompus occasionnellement dans leurs opérations courantes pour une prise de portrait impromptue. Je suis un peu moins optimiste : la fréquence des contrôles risque d'être soit trop faible pour bloquer les malversations à temps, soit trop élevée et donc lassante, au détriment de la qualité de l'expérience utilisateur, sans parler du danger des faux positifs interdisant aux client l'accès à leur compte.
En dépit de ces réserves, ne soyons pas mesquin : il n'existe aucune solution universelle capable d'éradiquer la fraude bancaire d'un coup de baguette magique. La seule réponse efficace au phénomène passe par la multiplication d'outils complémentaires, autant pour la détection que pour la remédiation des incidents. Dans cette perspective, celui qu'introduit ANNA est une option qui mérite sérieusement l'attention, surtout si elle parvient réellement à éviter de perturber les usages normaux (peut-être, par exemple, par l'intermédiaire de selfies validés en arrière-plan, sans rupture de parcours ?).