La première des deux annonces en question concerne LCL. Selon un court article du site FStech, la banque est désormais en mesure de transmettre à ses clients les codes secrets de leur carte par SMS, en motivant cette évolution par des raisons de sécurité. Le raisonnement est en effet qu'un envoi postal à la même adresse que celle où est envoyée la carte – dans l'hypothèse où le bénéficiaire ne se déplace pas en agence pour la retirer – constitue un risque de fraude significatif contre lequel elle veut lutter.
La nouveauté a également pour objectif de fluidifier l'activation des cartes – grâce à l'immédiateté et l'ubiquité de la réception du code sur le téléphone mobile – et de réduire les coûts administratifs. Sur ce dernier volet, outre la diminution drastique des frais d'acheminement, la plate-forme mise en œuvre permettant d'envoyer un rappel en cas d'oubli, ce sont toutes les charges liées aux ré-initialisations et ré-émissions de codes PIN qui pourront être potentiellement abaissées, sinon effacées.
La seconde information notable est à découvrir dans le « guide de sécurité internet » du Crédit Agricole. Les clients y apprennent à reconnaître les applications mobiles malveillantes destinées à capturer les SMS utilisés, entre autres, pour la validation des paiements 3-D Secure ou la confirmation de virement bancaire. Les attaques de ce genre, combinant des composantes sur PC et sur téléphone, ne sont certes pas nouvelles mais le fait que la banque y consacre un article montre qu'elles deviennent préoccupantes.
Alors, le SMS, facteur de sécurité ou solution menacée ? La réponse tient dans une vision variable des échelles de temps. Pour les experts du Crédit Agricole, le danger est bien réel et si l'usage des messages texte en tant qu'élément de protection perdure, ce n'est que parce qu'il n'a pas à ce jour de substitut efficace. A l'inverse, du point de vue des responsables opérationnels de LCL, les bénéfices espérés sont suffisamment importants pour justifier une prise de risque encore perçue comme acceptable.
Pourtant, leurs trajectoires convergeront tôt ou tard, car la sécurité du SMS comme deuxième facteur d'authentification est (en l'état) définitivement compromise. L'approche adoptée par LCL aura donc nécessairement une durée de vie réduite. D'autant plus que, outre les risques de détournement des messages, l'envoi du code secret par SMS pourrait promouvoir des comportements dangereux chez les clients, s'ils sont ainsi tentés de le stocker en permanence sur leur téléphone, sans protection…
Information sur le Crédit Agricole repérée grâce à Sémaphore Conseil (merci !)