Conséquence de cette situation incontrôlable, les bonnes pratiques de sécurité sont de plus en plus souvent jetées aux oubliettes par les consommateurs : utilisation du même code pour tous les services (si l'un d'eux est piraté, tous sont compromis), choix de mots de passe simplistes (aisés à se remémorer mais aussi faciles à deviner par des malfaiteurs), enregistrement dans des logiciels spécialisés (dont la qualité est parfois douteuse)… Et le résultat est l'inverse de celui souhaité, les risques de malversations étant toujours plus élevés.
Il existe pourtant des solutions. L'une d'elles consiste à fédérer les identités numériques des internautes au sein d'un service unique, comme ceux que proposent les grandes plates-formes de réseaux sociaux. Grâce à ce système, l'utilisateur associe le compte qu'il crée à son profil Facebook, Twitter, LinkedIn… et il va dès lors être authentifié « automatiquement » à travers sa connexion à ces sites, en profitant de tous les mécanismes de protection que ceux-ci mettent en œuvre.
L'adoption de ces solutions est déjà largement répandue sur le web et dans les applications mobiles mais elle reste (presque) totalement inconnue de secteurs entiers de l'économie, dont les services financiers. Jalouses de leurs prérogatives et méfiantes vis-à-vis des géants de l'internet, les banques et autres institutions préfèrent continuer à imposer leurs mots de passe à leurs clients, sauf dans quelques cas d'applications bancaires intégrées à Facebook… et, quoique timidement encore, au Crédit Agricole…
En effet, le site dédié aux Tookets – la monnaie virtuelle et solidaire créée par la caisse régionale de Pyrénées-Gascogne – est, à ma connaissance, l'un des premiers dans l'univers financier à intégrer l'identification et l'authentification par la technologie Facebook Connect, permettant une connexion sécurisée en un clic. En préalable, l'utilisateur doit simplement confirmer qu'il accepte que le site interroge son profil, après quoi tout nouvel accès est vérifié via un échange (transparent) avec le réseau social.
Après une telle initiative, on se prendrait à rêver d'une généralisation de cette méthode d'identification à tous les services financiers en ligne. Si elle est acceptable pour gérer ses Tookets, pourquoi ne pourrait-on pas consulter le solde de son compte bancaire ou les dernières opérations réalisées sans avoir à saisir un mot de passe ? Admettons que la réalisation d'opérations plus sensibles (virements, par exemple) puisse requérir un niveau de sécurité plus élevé, mais puisque c'est déjà le cas, quelle différence ?
Évidemment, il faudra pour cela vaincre les réticences des établissements. Heureusement, les arguments ne manquent pas. Ainsi, est-il raisonnable de continuer à ignorer les défauts criants des systèmes à mot de passe ou est-il préférable de faire confiance à un tiers dont, dans la plupart des cas, les moyens de lutte contre les accès frauduleux s'avèrent extraordinairement efficaces et dont l'usage fréquent de ses services garantit que le consommateur peut détecter très rapidement les anomalies… ?
Même si elles ne sont pas parfaites (et si elles intéressent particulièrement les cybercriminels), les solutions de protection de ces plates-formes n'ont pas à rougir de la comparaison avec les pratiques en vigueur dans les institutions financières. Pour ne citer qu'un exemple, combien, parmi ces dernières (en France, en tous cas), offrent comme Facebook un mécanisme de confirmation à 2 facteurs qui permet de vérifier la légitimité d'un accès au service par un appareil jamais utilisé auparavant ?
Mais, finalement, la réponse viendra peut-être des départements de marketing. Car, pour ceux-ci, l'utilisation d'un dispositif tel que Facebook Connect représente aussi une formidable opportunité – bien plus facile à justifier et beaucoup mieux ciblée qu'une demande de « like » sur leur page de marque – de mieux connaître les clients de l'entreprise, en ayant accès (moyennant l'acquisition des permissions requises) aux informations de leur profil sur le réseau social.