Les exigences d'authentification forte (SCA) instaurées par la deuxième directive des services de paiement (DSP2) sont officiellement entrées en vigueur depuis quelques mois mais la plus grande confusion semble régner autour de leur mise en œuvre. Selon les établissements, le pire s'oppose au meilleur, pour la sécurité et pour les usages.
Commençons par le sommet de l'incompétence (à ce stade de mes tests), avec le Crédit du Nord. Grâce à ses silos organisationnels bien étanches, il a réussi à déployer deux systèmes distincts pour la confirmation des paiements en ligne (via un logiciel dédié) et la validation de l'accès à la banque à distance (directement embarquée, elle, au sein de l'application mobile habituelle), chacun avec son propre code secret, bien sûr ! Ajoutez la double procédure d'enrôlement uniquement par courrier et le désastre est consommé.
Le seul aspect positif de ces dispositifs réside dans un mécanisme d'identification d'un appareil de confiance, destiné à renforcer le niveau de protection offert. En effet, lors de la phase d'enregistrement du deuxième facteur d'authentification, une empreinte numérique du téléphone utilisé est prise afin de constituer un élément d'identification supplémentaire (en sus du code PIN) : l'approbation d'une opération ne peut être réalisée qu'avec ce même terminal, limitant de la sorte les risques de détournement.
Cependant, cette précaution additionnelle engendre instantanément une question subsidiaire : pourquoi diable est-elle réservée aux fonctions de sécurité et n'est-elle pas également déclinée sur les services financiers eux-mêmes (surtout quand les deux sont hébergés dans une seule application) ? Il s'agit justement d'une des mesures prises par Arkéa (et ses caisses régionales de Bretagne et du Sud-Ouest), qui profite du rempart secondaire ainsi introduit pour proposer des capacités enrichies (par exemple un virement vers un nouveau bénéficiaire) lorsque son logiciel est ouvert sur un terminal reconnu.
Poursuivons la comparaison des approches sur les parcours client. Outre le recours à un code envoyé par courrier (comme au Crédit du Nord), l'inscription d'un nouveau smartphone de référence peut également être exécutée en totale autonomie et sans délai par l'intermédiaire de la carte de paiement associée au compte (plus précisément les 8 derniers chiffres de son numéro). Le principe est sûr (il élimine notamment les risques de pillage de boîte aux lettres) tout en offrant une expérience utilisateur supérieure.
En réalité, il est surprenant, voire consternant, que le concept d'appareil de confiance reste tellement rare en France, alors qu'il existe depuis de longues années et qu'il ait largement fait ses preuves dans de nombreux pays à travers le monde, autant en termes d'amélioration de la sécurité que de confort à l'usage ou de simplicité à implémenter et à gérer. Tandis que les menaces imposent sans cesse d'accroître les contraintes et de multiplier les frictions sur les outils web et mobile, voilà une voie de progrès relativement facile à emprunter, notamment dans une logique de protection graduée (c'est-à-dire bloquant les opérations les plus sensibles en l'absence d'un surcroît de protection).