Alors que la sécurisation forte de la banque en ligne est encore loin d'être généralisée, les plates-formes mobiles suscitent déjà de nouvelles idées. Il faut en effet se rendre à l'évidence : les techniques appliquées sur le web ne sont pas bien adaptées aux applications pour smartphones et des approches spécifiques à ce canal deviendront rapidement indispensables.
La banque espagnole Bankinter fait figure de pionnier dans ce domaine, avec l'adoption de la biométrie pour gérer l'authentification de ses clients sur son application de bourse pour iPhone.C'est une technologie de reconnaissance d'iris, développée par la jeune pousse extrémadurienne Mobbeel, qui a été retenue, combinant ainsi les avantages d'un bon niveau de fiabilité et d'une disponibilité universelle du "capteur" nécessaire sur les téléphones modernes (l'appareil photographique).
Lorsque l'utilisateur va vouloir consulter ses opérations de bourse ou passer un ordre sur son mobile, il va donc prendre en photo son œil au lieu de saisir un identifiant et un mot de passe. L'application effectue alors une comparaison des caractéristiques de l'image capturée de l'iris avec celle qui a été préalablement enregistrée, pour confirmer l'identité du client. L'opération est réalisée entièrement sur le téléphone (les échantillons de référence devront avoir été initialisés lors de la première utilisation), ce qui permet d'envisager une acceptation de ce système par les autorités de type CNIL.
Pour Bankinter, cette mise en œuvre reste pour l'instant expérimentale, même si elle indique que plus de la moitié (55%) de ses utilisateurs de banque mobile possèdent un iPhone et pourraient donc être concernés. La banque souhaite d'abord évaluer les bénéfices pour la sécurité ainsi que l'acceptation du dispositif par les clients avant de s'engager plus avant. Elle n'exclut cependant pas de déployer cette technologie sur d'autres canaux (banque en ligne, GABs...) en cas de succès.
La popularité des applications pour smarthphones, en particulier de banque mobile, va en faire très rapidement une cible de choix pour les cyber-malfaiteurs. L'initiative de Bankinter est donc louable, même si elle soulève encore des questions d'acceptabilité et de sécurité (par exemple, le système ne peut-il pas être trompé par une simple photo de l'utilisateur légitime ?). Il vaut tout de même mieux se préoccuper du sujet dès maintenant plutôt que d'attendre les premières attaques sérieuses et les dégâts irréparables qu'elles causeront...
Information repérée sur le blog insiden (merci Denis !).