Le test en question cible les paiements en ligne, pour lesquels la solution imaginée, baptisée "Talk to Pay", viserait à remplacer entièrement, à terme, la saisie du code de validation (CVV) et le système d'authentification à 2 facteurs 3D-Secure. Afin de faciliter son adoption, elle a été conçue de manière à ne requérir aucun changement sur les sites de e-commerce : ces derniers traiteront les règlements correspondants comme de banales transactions par carte.
Comment cela fonctionne-t-il ? Dans un premiers temps, les volontaires, qui seront sélectionnés parmi les collaborateurs de la Banque Postale et les clients participant au "BanqueLab" (structure d'innovation ouverte de l'établissement ?), devront procéder à leur enrôlement. Pour cela, après inscription, ils recevront une carte de paiement spécifique à l'opération puis s'enregistreront sur le site web dédié. A ce stade, ils sont appelés sur leur téléphone (dont ils ont fourni le numéro) pour enregistrer leur "empreinte vocale", via une série d'exercices guidés.
Ensuite, lors d'un achat, la procédure de paiement reste relativement classique : le client saisit son numéro de carte et sa date de validité, seul le cryptogramme de sécurité subissant un traitement un peu particulier. Il sert ici de secret à usage unique et doit donc être généré pour chaque opération. Cette étape peut être réalisée via un plug-in installé dans le navigateur web ou par connexion au site "Talk to Pay". Dans les deux cas, un appel téléphonique, au cours duquel l'utilisateur s'authentifie en répétant la phrase qui lui est soumise, déclenche la transmission du code nécessaire.
Il est aussi question d'une application, pour PC et mobile, mais il m'est impossible de comprendre comment elle s'inscrit dans le dispositif. Précisons encore que l'expérimentation concernera 500 à 1000 personnes et qu'elle ne devra pas dépasser 13 mois. A l'issue de ce délai, la CNIL demande qu'un bilan lui soit communiqué, intégrant notamment les conditions de mise en œuvre (dont les statistiques d'usage, de satisfaction et de dysfonctionnements) et des éléments sur la perception des utilisateurs. Espérons que ces résultats soient rendus publics !
Du strict point de vue de la sécurité, le système "Talk to Pay" représente une avancée intéressante puisqu'il combine trois facteurs d'authentification : ce que l'utilisateur connaît (les informations de sa carte), ce qu'il possède (le téléphone dont il a enregistré le numéro) et ce qu'il est (par sa voix). Et son application au commerce en ligne est logique et pertinente, dans un contexte de résurgence (récente) de la fraude. En revanche, son implémentation laisse tout de même fortement à désirer…
L'expérience utilisateur semble en effet avoir été totalement oubliée. L'installation d'un module additionnel sera hors de portée de beaucoup d'internautes (ne serait-ce que les utilisateurs de tablettes) et la solution alternative, exigeant de s'identifier sur son espace personnel, est beaucoup trop lourde. D'autant qu'il faudra ensuite attendre l'appel téléphonique et encore perdre quelques secondes pour procéder à l'authentification elle-même (écoute et répétition de la phrase magique). Les e-marchands qui se plaignent de la chute de leurs taux de transformation avec 3D-Secure vont certainement adorer !
Alors, oublions ce choix un peu étrange et ne gardons en tête que l'aspect technique de l'expérimentation, qui devrait permettre de confirmer la viabilité opérationnelle de l'authentification vocale, et, surtout, la position de la CNIL sur un sujet qui est souvent perçu comme tabou dans les institutions financières. Oui, la biométrie est donc possible en France, pourvu que toutes les précautions soient prises pour protéger les données sensibles et que "la collecte de ces données soit proportionnée à la finalité poursuivie", selon les termes de l'avis rendu.