Free cookie consent management tool by TermsFeed

lundi 7 février 2011

Menaces réglementaires sur la banque mobile ?

Sécurité de la banque mobile
Face aux attaques de plus en plus nombreuses sur la banque en ligne (qui ont coûté, selon le FBI, plus de 100 millions de dollars aux seules PME), la FFIEC (le "conseil de surveillance" américain des institutions financières) prépare une mise à jour de ses recommandations aux banques pour protéger l'accès à leurs services sur internet.

Si leur teneur n'est pas encore connue, certains observateurs estiment qu'une des nouveautés à venir sera une "forte incitation" à adopter des moyens d'authentification forte, à deux facteurs, au moins pour les transactions sensibles, bien que les spécialistes de la sécurité considèrent qu'ils sont déjà susceptibles d'être contournés par des pirates déterminés.

Cette approche rappellera certainement une "directive" (de 2009) de la Banque de France, demandant aux établissement financiers de mettre en place (au plus tard en juin 2010) une "authentification non rejouable" pour les transactions bancaires et les paiements en ligne, qui faisait suite au transfert (en 2008) de responsabilité à la banque (et non plus au commerçant) en cas de fraude.

Quels sont les effets de cette pression réglementaire ? Dans le secteur du e-commerce, les premières implémentations ("simplistes") du système 3D-Secure des émetteurs de cartes sont maintenant remplacées par un code secret à usage unique, transmis par SMS. Dans le domaine de la banque en ligne, outre cette même méthode par SMS, quelques clients "privilégiés" ont reçu un "token" ou un lecteur de carte bancaire générant aussi un code à usage unique. Sur de nombreux sites de banque en ligne, la réponse a été encore plus simple (et beaucoup moins coûteuse) : vous ne pouvez, par exemple, réaliser un virement que vers un compte pré-enregistré (en agence !), les transactions sur ces comptes n'étant alors plus considérées comme sensibles ! Et vous n'avez plus alors accès à tous les services que vous attendez de votre banque.

Maintenant, envisageons les conséquences sur la banque (et le paiement) mobile (qui est soigneusement ignorée par les recommandations émises)... Difficile de demander au client de transporter en permanence et d'utiliser un token ou un lecteur de carte pour saisir un code unique sur son mobile, à chaque connexion. L'envoi de SMS ? Outre les problèmes d'ergonomie (tous les téléphones ne permettent pas de passer aisément d'une application ou d'un site à la lecture de SMS et vice-versa), leur niveau de sécurité se trouve réduit car le message arrive sur le terminal où est réalisée la transaction...

Que reste-t-il alors ? Deux options : la solution de facilité consistant à interdire les transactions sensibles sur mobile (au risque de tuer un canal émergent) ou, si cela est possible (?), un report de la responsabilité de l'utilisation de la banque mobile sur le consommateur (ce qui n'est pas acceptable, mais avez-vous lu en détail les conditions d'utilisation de l'application iPhone de votre établissement ?).

Il pourrait tout de même exister une troisième voie : l'innovation ! En effet, devant ce dilemme, il doit être possible d'imaginer de nouvelles solutions de sécurisation, spécifiques au mobile, efficaces et conformes aux exigences réglementaires. Nul doute que de nouvelles offres voient le jour sous peu...

En attendant, espérons que les systèmes de détection de fraude des banques soient parfaitement opérationnels !

1 commentaire:

  1. Bonjour,

    La solution de facilité que vous mentionnez me semble simplement impensable, au vu de l'évolution actuelle des services bancaires et financiers. Les banques n'ont aujourd'hui plus le choix que de jouer le jeu des services toujours plus ouverts et ergonomiques, voire ludiques.

    Fort heureusement, les OTP transmis par SMS, les tokens physiques et autres cartes matricielles ne sont pas les seules réponses aux exigences d'authentification forte en situation de mobilité. Il existe depuis plusieurs années des solutions à la fois moins couteuses et plus faciles à utiliser, que ce soit sous la forme d'applications mobiles (qui transforment simplement le téléphone en token d'authentification), ou de bibliothèques logicielles. Ces dernières permettent notamment aux applications qui les utilisent de bénéficier d'une authentification à deux facteurs intégrée de la façon la moins intrusive possible.

    La mise en oeuvre ce ces solutions par un SI bancaire dépend bien entendu du système d'authentification sur lequel il s'appuie ; bon nombre de banques (dont plusieurs établissements français) ont d'ores et déjà la possibilité de développer des services mobiles conviviaux et connectés de façon sécurisée avec les données bancaires.


    --
    Matthieu Villeneuve (Widmee, CTO)

    RépondreSupprimer

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)