Depuis des années, la plupart de nos emplettes connectées sont protégées par le système 3-D Secure, mis en en place conjointement par les réseaux de cartes et les banques, dont la principale incarnation consiste à envoyer, par SMS, un code de sécurité sur le mobile du payeur, qu'il doit ensuite saisir sur le site où il effectue son règlement afin de valider ce dernier. Las, la réglementation qui entre en vigueur en septembre prochain rendra ce procédé caduc car désormais considéré comme insuffisamment sûr.
À l'approche de l'échéance, certains acteurs s'émeuvent, tel le directeur du développement du Groupement Cartes Bancaires qui déclare que le délai octroyé par la Commission Européenne est beaucoup trop court pour non seulement concevoir et déployer un autre mécanisme de sécurité, conforme aux exigences renforcées, mais également pour donner aux consommateurs le temps de s'accoutumer à un changement d'habitude qui s'annonce radical. Or je crains que, ici, on ne se moque de nous !
En effet, il ne s'agit pas seulement de rappeler que les réflexions autour de la directive ne sont pas tombées du ciel et que tout le monde sait depuis plusieurs mois que les contraintes de sécurité des paiements vont devoir être renforcées. Il faut surtout se souvenir que l'alerte à l'insécurité des SMS comme deuxième moyen d'authentification a été sonnée depuis de très longues années par les spécialistes ! J'évoquais ainsi dans ces colonnes une attaque sérieuse en 2012 et les cas se sont multipliés depuis lors.
Alors peut-être est-il vrai qu'une année est bien courte pour changer de moyen de protection des paiements… En revanche, six ans pour prendre conscience des limites des solutions existantes (dûment relayées par les équipes de sécurité des institutions financières, qui, dans leur majorité, n'ont pas attendu pour s'inquiéter), pour créer une alternative viable (ce que certaines banques ont entamé, soulignons-le) et pour la généraliser auprès du public ne semble plus être un planning si impossible à tenir.
L'affaire pourrait n'être qu'un épiphénomène sans importance si elle n'était pas révélatrice d'un état d'esprit répandu dans le secteur : l'intérêt du client (en l'espèce, la protection de ses moyens de paiement) n'est finalement pas si prioritaire qu'il faille presque systématiquement légiférer pour obliger les institutions à s'en préoccuper sérieusement. S'ensuivent alors des récriminations incessantes face au poids et au coût de la réglementation, à ses exigences exorbitantes et ses échéances irréalistes…
Comment les parties prenantes peuvent-elles donc justifier leur immobilisme de ces dernières années, alors qu'elles nous vantent sans discontinuer leur excellence en matière de sécurité, que la cybercriminalité ne cesse de se développer et de se professionnaliser… et que les rapports d'incidents sur les outils mis en place se multiplient ? Ne devraient-elles pas déjà être prêtes pour les menaces de demain au lieu de se lamenter d'être sommées de répondre dans l'urgence à celles d'aujourd'hui ?
Article des Échos repéré grâce à S. Baranov (merci !)