Question : quelle est la première qualité qu'attendent tous les clients de la part de leur banque ? Depuis des siècles, la réponse est identique : qu'elle conserve leur argent en sécurité en toutes circonstances. Dans ces conditions, comment expliquer que certaines protections élémentaires ne soient pas systématiquement mises en œuvre ?
La manœuvre est parfois sournoise mais, en pratique, dès qu'un établissement propose aux utilisateurs de ses services en ligne et mobiles un dispositif de sécurité complémentaire en contrepartie du paiement d'un abonnement et/ou de frais de mise en place, il confirme que ceux qui ne l'adoptent pas jouissent d'un niveau de sécurité réduit. Et quand il est question de solutions d'authentification forte, que tous les experts estiment aujourd'hui incontournables, cette attitude revient à les rendre vulnérables.
Il est vrai que le phénomène affecte principalement le segment des entreprises, soit que les banques aient plus de scrupules à facturer les particuliers (ou, plus vraisemblablement, craignent pour leur compétitivité), soit que, comme en France, la plupart d'entre elles ne se préoccupent même pas de leur offrir des mécanismes de défense à l'état de l'art. Elles ont alors le choix entre un système notoirement défaillant et une solution plus efficace mais payante, induisant le risque que beaucoup optent pour la gratuité sans nécessairement comprendre l'étendue des risques qu'elles encourent.
Dans ce contexte, on ne peut que saluer l'initiative de CommBank, en Australie, qui vient de supprimer tous les frais associés à ses outils d'authentification à deux facteurs (générateur de mot de passe à usage unique et/ou certificat sur clé USB). Cette décision est une reconnaissance implicite de la dérive qu'a connue la cybersécurité dans les institutions financières au fil des ans, au point d'en faire un produit plus ou moins accessoire alors qu'elle n'aurait jamais dû perdre son statut de noyau de la confiance.
Autrefois, le banquier sérieux garantissait à ses clients la protection de leurs fonds, sans compromis : si un coffre-fort devenait obsolète, jamais il n'y aurait laissé des dépôts à la merci des criminels, en proposant l'accès à un modèle plus sûr moyennant finance ! Mais telle est son étrange relation avec les plates-formes « digitales » qui fait que ce comportement lui paraît parfaitement légitime sur le web ou sur smartphone ! Faudra-t-il en arriver à des mesures extrêmes (judiciaires, notamment) pour que ce manquement manifeste à son engagement essentiel de sécurité soit enfin éradiqué ?