L'idée consistant à identifier un individu à travers la manière dont il utilise son smartphone n'est pas tout à fait nouvelle. Pourtant, son adoption par la filiale de cartes de crédit de la Bank Leumi au sein de son application mobile serait (apparemment) une première, relativement audacieuse, mais aussi porteuse de grande valeur pour les clients.
Sans surprise, la banque israélienne s'appuie sur l'offre d'une startup locale, SecuredTouch, pour la mise en œuvre de sa stratégie. Vu de l'utilisateur des services mobiles, le fonctionnement du système est invisible : dès l'écran d'accueil et tout au long de ses interactions avec l'application, les particularités de sa manipulation du téléphone sont capturées et permettent, par comparaison avec le profil établi lors des précédentes sessions, de confirmer que la personne connectée est bien celle qui a été autorisée.
La promesse sous-jacente est d'offrir un second facteur d'authentification – comme le réclament avec de plus en plus d'insistance les régulateurs du monde entier – sans aucun impact sur l'expérience client. Afin de réaliser cet exploit, SecuredTouch affirme être capable de valider l'identité d'un mobinaute, en garantissant une fiabilité (presque) totale, grâce à l'analyse d'une centaine de points de mesure différents (taille du doigt, pression exercée sur l'écran, position des zones de contact…) au cours de sa navigation.
À défaut d'en admettre le parti-pris, ce positionnement en complément d'un autre dispositif (généralement un mot de passe, éventuellement simplifié, la sécurité étant renforcée par ailleurs) pourra évidemment être perçu comme un défaut, notamment en comparaison des approches biométriques plus classiques (empreinte digitale, reconnaissance faciale, iris de l'œil…). A contrario, il présente cependant l'avantage d'être beaucoup moins exposé aux vols et autres détournements que les systèmes exploitant une seule caractéristique physiologique de la personne à authentifier.
Dans l'état actuel des technologies et face à l'extraordinaire sophistication de certains cybercriminels, les moyens d'identification disponibles sur le web et dans les applications mobiles comportent tous des défauts impossibles à éradiquer. Il n'y a donc pas d'autre choix que de multiplier les strates de défenses. Or, il est essentiel que ces ajouts ne se fassent pas au détriment de l'expérience utilisateur (qui peut rapidement devenir un facteur de désaffection, si elle est dégradée). Voilà pourquoi une solution telle que celle proposée par SecuredTouch est importante pour l'avenir de la banque mobile…