Alors que les enjeux de sécurité deviennent toujours plus critiques pour les institutions financières, l'américaine Capital One annonce opportunément la commercialisation, à l'intention de ses concurrentes, de la technologie d'authentification renforcée par carte de paiement qu'elle met en œuvre depuis quatre ans pour ses propres besoins.
Le principe fondamental d'AirKey est plutôt simple puisqu'il s'agit de procéder à une certification de l'identité d'un utilisateur – essentiellement sur des services mobiles – par présentation de sa carte de débit ou de crédit à l'interface sans contact (NFC) de son téléphone. Les cas d'usage envisagés sont multiples, depuis la validation multi-facteurs des transactions jusqu'à l'enrôlement dans les applications de la banque, en passant par l'activation de la carte elle-même et l'accès à une carte virtuelle, par exemple.
En dépit de ses similarités avec le dispositif mis en œuvre par RBC en collaboration avec la jeune pousse Mypinpad, l'implémentation technique est sensiblement différente, adossée ici à une collection de brevets spécifiques qui procure une position d'exclusivité à Capital One (même si l'originalité de l'invention supposée m'interpelle). En particulier, les fonctions invoquées n'interagissent pas avec les composantes habituelles de paiement de la carte mais avec une « appliquette » indépendante dédiée.
Une telle approche présente le double inconvénient d'imposer une installation logicielle additionnelle sur les cartes émises (sachant que les standards en vigueur l'autorisent) et de ne pouvoir introduire la vérification du code PIN comme le fait RBC, mais elle comporte d'autres avantages. Le premier d'entre eux est la compatibilité avec « tous » les smartphones du marché, Android et iOS, les capacités techniques requises étant ouvertes sur ce dernier système (contrairement aux données liées au paiement).
La vision pragmatique de Capital One vis-à-vis d'AirKey constitue un aspect intéressant de la démarche : il n'est pas question d'en faire une solution universelle mais au contraire de la considérer comme une option supplémentaire dans la panoplie offerte aux clients afin de satisfaire les exigences d'authentification forte, aux côtés de l'envoi de code à usage unique par SMS, de la confirmation via l'app bancaire… C'est aussi une posture raisonnable face au développement de la virtualisation des cartes, augurant même, à long terme, d'une possible disparition complète du support physique.
Autre point de réflexion à souligner, le lancement d'une activité de distribution de technologie par une institution financière à l'intention de l'industrie reste rare… vraisemblablement parce que les initiatives passées n'ont (presque ?) jamais rencontré le succès, les clients potentiels étant relativement peu enclins à acquérir des produits auprès de concurrents, même s'ils ne relèvent pas du cœur de métier. Le caractère peu transformant d'AirKey risque de ne pas aider à changer ce genre de réflexes.
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)