Free cookie consent management tool by TermsFeed

dimanche 7 septembre 2014

Barclays adopte la biométrie

Barclays
Au fur et à mesure des incidents de sécurité informatique que nous relate la presse quotidiennement, il devient évident que les mesures de protection existantes ne suffisent plus. Voilà pourquoi Barclays annonce la mise en œuvre prochaine d'un dispositif biométrique pour gérer les accès à ses services en ligne, dans sa branche entreprises.

Le système prend la forme d'un petit capteur – fourni par Hitachi – à connecter à un PC via une prise USB. Malgré sa ressemblance avec un lecteur d'empreinte digitale, celui-ci analyse le réseau veineux du doigt pour authentifier l'utilisateur, ce qui permet de garantir un niveau de sécurité particulièrement élevé (par exemple, la lecture ne peut fonctionner que si le doigt est « attaché » à un corps vivant). Ainsi équipés, les clients de la banque posent simplement le doigt dans l'appareil pendant quelques secondes pour accéder à leurs comptes et réaliser leurs opérations.

Afin de prévenir les objections des régulateurs (tels que la CNIL, en France), Barclays prend soin de préciser que les données biométriques ne lui sont pas transmises : elles sont stockées dans une puce sécurisée intégrée au lecteur. En revanche, ce choix soulève un certain nombre de questions, restant sans réponse à ce stade, dont la principale concerne l'« enrôlement » : comment les utilisateurs enregistrent-ils leur doigt (en toute sécurité, bien entendu) ? La question est d'autant plus critique pour les clients (entreprises) ciblés, dont le personnel peut changer régulièrement.

En attendant le déploiement effectif, prévu en 2015, la banque est encore en phase d'évaluation du modèle économique qu'elle mettra en place. Le coût du lecteur n'est probablement pas le point le plus délicat de l'équation (pour le segment des entreprises, du moins) mais la gestion de l'ensemble (distribution, enrôlement, support…) peut s'avérer complexe et prohibitive si elle est mal conçue. Dans ce sens, il est difficile d'imaginer comment Barclays pourrait s'y prendre pour généraliser un jour cette approche aux clients particuliers, comme elle l'évoque déjà.

Lecteur biométrique Barclays

La technologie de Hitachi n'est pas nouvelle : elle est exploitée au Japon dans des applications bancaires (entre autres sur des automates) et est considérée comme extrêmement sûre. Son application par Barclays laissant entendre qu'elle est utilisée à des fins de signature électronique (des échanges entre la banque et le PC du client ?), le gain de sécurité – par rapport à une authentification par mot de passe – semble incontestable. Ne négligeons cependant pas le risque résiduel que pourrait constituer une faiblesse dans le lecteur lui-même ou dans les protocoles de communication employés.

Malheureusement, à l'ère de la banque mobile, la solution proposée par Barclays n'aura vraisemblablement pas un avenir à très long terme, dans son état actuel. Il est tellement inconcevable dans la banque de détail qu'une technologie ne puisse être déployée que pour les services web (et non mobiles) que la suggestion de l'adoption du lecteur de Hitachi pour ce segment paraît ridicule. Même dans le cas des entreprises, avec l'évolution rapide des usages des collaborateurs, cette restriction deviendra (plus ou moins) rapidement rédhibitoire.

Aucun commentaire:

Enregistrer un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)