Le cœur du problème est connu depuis longtemps et ne fait que s'aggraver avec le temps. En raison de la généralisation des services sur le web et sur smartphone, chacun d'entre nous possède désormais des dizaines, voire des centaines de comptes en ligne, dont l'accès est protégé par un mot de passe, dans la plupart des cas. Naturellement, les recommandations d'utiliser des codes complexes et différents sur chaque site, ou encore de ne pas les noter, ne pèsent pas lourd face à notre besoin permanent de connexion.
Les conséquences de cette situation peuvent être dramatiques, alors que les détournements de comptes utilisateur se multiplient (plus de 2,3 milliards en 2016). Or les banques ont une part de responsabilité dans la dérive, d'abord parce qu'elles font partie des entreprises dont l'accès aux services en ligne, particulièrement sensible, est contrôlé par un mot de passe (même l'utilisation de la biométrie sur les applications mobiles s'accompagne d'une option de repli via une méthode traditionnelle).
Surtout, elles connaissent parfaitement les mauvaises pratiques de leurs clients – par exemple, si elles imposent des codes trop complexes, à renouveler trop fréquemment, elles savent qu'ils seront inscrits dans leur téléphone – mais, en dehors de conseils génériques, elles ne se préoccupent pas de leur proposer une vraie solution. Alors, quand Société Générale se met à suggérer à ses clients d'adopter le gestionnaire de mots de passe Dashlane (comme le fit Soon en son temps), l'hypocrisie s'estompe un peu…
Il est vrai que la démarche reste extrêmement modeste. Outre la promotion du service, le seul bénéfice offert aux clients est une réduction de 25% sur la première année d'abonnement. A minima, il serait utile d'expliquer aux visiteurs les enjeux de ce type de logiciel, en insistant notamment sur leur qualité éminemment variable, qui permettrait de justifier la mise en avant d'un produit spécifique tel que Dashlane. Et, bien entendu, il serait beaucoup plus convaincant de mettre l'outil à disposition gratuitement (comme la banque le fait d'ailleurs pour le produit Trusteer de protection de la navigation).
Dans une certaine mesure, les institutions financières agissent en matière de cybersécurité comme dans toutes leurs activités : elles mettent en place les moyens nécessaires pour se couvrir elles-mêmes mais à aucun moment elles ne prennent le point de vue du client, avec son contexte, son environnement et ses (petits) défauts. La croissance exponentielle des risques ne pourra supporter longtemps une telle attitude. Société Générale a donc au moins le mérite de faire un pas dans la bonne direction…