Un article de Bank Systems & Technology s'attarde sur 5 nouvelles tendances qui devraient permettre aux banques de reprendre (un peu) le contrôle d'une situation qui risque de leur échapper totalement. Passons donc en revue ces technologies plus ou moins prometteuses...
1. Je commencerai par celle qui me paraît la moins pertinente : les générateurs de mot de passe à usage unique (OTP) sur carte de crédit, comme les proposent, par exemple, nagraID ou QSecure. L'intérêt de ces solutions ne peut être entièrement écarté, car elles permettent d'authentifier un utilisateur, sur PC comme sur mobile, avec un dispositif indépendant (c'est le principe du "double facteur").
Malheureusement, ces cartes restent fragiles et coûteuses, tout en ajoutant à la complexité des interactions en ligne, autant de raisons qui sont, à mon sens, rédhibitoires pour envisager une quelconque généralisation. De plus, du strict point de vue de la sécurité, bien que les OTP offrent une protection utile, quelques cas d'attaques ont déjà pu démontrer qu'ils n'étaient pas infaillibles.
2. Autre approche destinée à renforcer l'authentification, la biométrie continue à stimuler de nouveaux développements. Les lecteurs d'empreinte digitale (voire des réseaux veineux ou de l'iris de l'œil) laissent désormais la place à des techniques de reconnaissance vocale ou faciale, profitant de l'équipement "natif" des appareils modernes (PC et mobiles) en micro et caméra qui dispensent du déploiement (coûteux) d'un dispositif dédié.
Actuellement, ces solutions ne sont pas encore totalement au point, ne serait-ce que parce qu'elle peuvent être trompées par des enregistrements ou des photos, mais leurs progrès sont rapides. Ainsi, la reconnaissance de mots (presque) aléatoires ou l'analyse du visage en mouvement sont des orientations possibles pour améliorer leur fiabilité.
Par rapport aux cartes génératrices d'OTP ci-dessus, l'authentification biométrique, si elle est suffisamment fiabilisée, offre une protection équivalente (toujours à 2 facteurs) mais largement plus "confortable" pour l'utilisateur (auquel elle demande moins d'efforts).
3. Afin de compléter l'authentification de l'utilisateur, l'idée d'authentifier son équipement commence également à faire son chemin. Il s'agit alors de n'autoriser l'accès à certaines opérations qu'à des appareils "connus". Une tentative de fraude ne pourra aboutir que si le malfaiteur s'est emparé du terminal du client, ce qui limite fortement les risques d'attaques massives.
Les solutions pour ce faire sont diverses. On se rappellera notamment des (anciennes) tentatives d'Intel de promouvoir une identité numérique dans ses puces, qui continuent à évoluer. Sur les téléphones mobiles, ce sont les opérateurs de télécommunication qui souhaiteraient louer les "services" de leur carte SIM sécurisées... Quelques éditeurs (par exemple 41st Parameter) proposent aussi de créer une empreinte unique à partir des caractéristiques intrinsèques de l'appareil utilisé pour la connexion.
L'approche peut sembler séduisante mais elle a, malheureusement, un inconvénient majeur : le processus d'enregistrement des équipements du client est complexe et coûteuse et peut aussi constituer un handicap pour l'utilisateur (par exemple, pour exécuter une transaction en urgence dans un café internet).
4. Plus particulièrement dans le cas des applications mobiles, la reconnaissance du terminal peut être déclinée en utilisant la multitude d'informations disponibles sur celui-ci. Il ne s'agit plus alors d'identifier formellement le téléphone mais de détecter des "anomalies" par rapport à une situation normale "apprise" progressivement.
Le plus simple consiste à enregistrer la position géographique du client et à vérifier, par exemple, qu'il ne se trouve pas dans 2 lieux éloignés l'un de l'autre dans un court intervalle de temps. Cas plus élaboré, il serait aussi possible de comparer les applications installées entre 2 sessions et de vérifier que la liste obtenue évolue "normalement". Encore plus complexe, certaines solutions (par exemple FraudMap Mobile de Guardian Analytics) tentent d'analyser le comportement du mobinaute, dans la manipulation de son téléphone et des applications installées, pour s'assurer de son identité.
Ces techniques sont séduisantes mais peuvent induire une perception d'invasion de la vie privée et doivent donc être manipulées avec précaution. De plus, elles n'offrent généralement pas de garantie absolue (c'est plutôt un niveau relatif de risque qui est évalué), ce qui impose des ajustements permanents dans leur utilisation.
5. Pour couronner le tout, les services de protection contre la fraude, fournis par des tiers dans le "cloud", doivent permettre de renforcer l'efficacité des dispositifs existants. En capitalisant sur l'effet d'échelle apporté par le nombre de clients d'une société spécialisée, la détection des nouvelles menaces ou l'ajustement à de nouveaux comportements (normaux ou frauduleux) doivent pouvoir être beaucoup plus rapides.
Pour terminer, il faut tout de même rappeler qu'aucune de ces solutions n'est capable, seule, d'éradiquer tout risque de fraude. C'est donc bien toujours la combinaison d'un ensemble de techniques, d'approches et de produits de sécurité, anciens et nouveaux, qu'il faut mettre en place pour protéger les services bancaires en ligne.
Plusieurs des 5 technologies décrites ici feront probablement partie à court terme de la panoplie "normale" des institutions financières et il est important de rapidement les évaluer et mettre en place les plus pertinentes, pour survivre dans la course aux armements engagée avec les escrocs. Et il ne faut pas oublier que chacune d'elles sera nécessairement contournée à plus ou moins longue échéance et qu'il faudra donc continuer à en développer de nouvelles.