Free cookie consent management tool by TermsFeed
C'est pas mon idée !

samedi 21 mai 2022

RBC choisit la carte pour l'authentification forte

RBC
L'authentification forte, à plusieurs facteurs, est désormais impérative afin de sécuriser les opérations financières sensibles réalisées à distance. Consciente des limitations des méthodes traditionnelles (entre autres l'envoi d'un code à usage unique par SMS), la canadienne RBC met en place une solution originale, exploitant la carte bancaire.

Bien qu'elles soient quasiment universelles, les approches en vigueur aujourd'hui, y compris les plus récentes, souffrent de défauts, certes non rédhibitoires, mais tout de même gênants, entre expérience utilisateur plus ou moins dégradée et niveau de protection laissant à désirer (après tout, quand les vérifications additionnelles reposent sur le même appareil que l'identification initiale, le gain ne semble pas prodigieux). S'il n'est pas exempt de frictions, le système de RBC prend largement l'avantage sur ce plan.

Bâti avec la technologie d'une jeune pousse britannique, Mypinpad, son principe consiste en effet à demander au mobinaute de présenter sa carte devant le lecteur sans contact de son téléphone, puis de saisir le code PIN de celle-ci (le même qu'il a l'habitude de fournir pour un retrait dans un distributeur ou un règlement dans une boutique). Ce sont de la sorte deux éléments supplémentaires qui garantissent la légitimité de l'interaction (la possession de la carte associée au compte et la connaissance du secret qu'elle comporte), en sus de ceux exigés normalement pour l'ouverture de l'application.

Authentification forte RBC

Naturellement, ce mode opératoire complet n'est disponible que sur les téléphones équipés d'Android. Sur iPhone, l'accès aux capacités NFC étant (pour l'instant) limité par Apple, il faudra se contenter d'une reconnaissance biométrique et du contrôle du code PIN, sans aucune possibilité de confirmer la détention de la carte physique. On appréciera au passage l'ironie de cet appauvrissement des mesures défensives… en raison de restrictions officiellement justifiées par des considérations de sécurité !

Dans un premier temps, RBC n'a implémenté cette nouvelle procédure que pour le changement de mot de passe de connexion aux services en ligne. Il s'agit en effet d'un cas de mise en œuvre quasiment idéal, à la fois par le risque élevé auquel il est exposé et par le fait qu'il est suffisamment exceptionnel pour supporter un parcours alourdi, requérant d'avoir sa carte à portée de la main. Ce dernier point n'est pas si anodin qu'il y paraît, alors que la tendance générale est plutôt de la remplacer par le smartphone

La solution de Mypinpad, conçue à l'origine pour autoriser l'encaissement sur mobile, sans accessoire, trouve là un nouvel usage, dans une application où elle apporte indiscutablement une qualité de protection inégalée. Il existe certainement d'autres opportunités similaires, où son impact sur l'expérience est acceptable en regard des enjeux sous-jacents, notamment les transactions dont une transposition « digitale » est encore écartée parce qu'elle reste perçue comme excessivement dangereuse.

Aucun commentaire:

Enregistrer un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)