Bien que la vague des arnaques au virement l'ait reléguée au second plan, l'inadéquation du mot de passe comme moyen d'authentification dans notre ère numérique est plus que jamais d'actualité. L'australienne NAB fait partie des premières banques qui planifient, à terme, l'éradication totale de ce système obsolète.
Alors que les géants de l'internet ont commencé depuis longtemps leur bascule vers des alternatives plus robustes, les institutions financières, qui sont à la fois plus exposées et plus sensibles, apparemment satisfaites de leurs approches à deux facteurs (imposées par la réglementation, en Europe), n'ont, jusqu'à maintenant, guère entamé leur transition vers les « passkeys » constituant l'état de l'art du moment.
De quoi s'agit-il ? Le principe repose sur un classique mécanismes de cryptographie asymétrique : pour l'utilisateur, il se traduit par la création sur son appareil d'une paire de clés, en général lors de l'initialisation de son compte. La première, privée (ce qui implique qu'elle n'est absolument jamais partagée), sert à répondre à un « défi » du fournisseur de services permettant de prouver, grâce à une vérification par la seconde, publique, la légitimité de celle ou celui qui tente de se connecter.
En comparaison des mots de passe, les avantages sont considérables. Tout d'abord, l'élément opérationnel de sécurisation (la clé privée) ne circule jamais et est stocké dans une sorte de coffre-fort dont il n'est extrait, temporairement, que lors d'une authentification. Il est donc beaucoup plus difficile à dérober. D'autre part, il n'est pas nécessaire de le mémoriser, ce qui évite, entre autres, le risque induit par la propension des personnes à réutiliser les mêmes codes dans de multiples applications.
Et puis, les « passkeys » autorisent une bien meilleure expérience, à l'usage. En effet, l'accès à la clé, conservée en toute sécurité par le téléphone, le navigateur web ou un outil de gestion dédié, est, dans la plupart des cas, déverrouillé par un dispositif biométrique, le reste de la procédure étant entièrement automatique. Le résultat est une authentification à deux facteurs – la possession d'un secret presque inviolable et une caractéristique physique de l'individu – résolument transparente.
Pour NAB, le déploiement des « passkeys » se déroule par étapes. Depuis le mois de juin, il a ciblé les nouveaux clients de sa filiale 100% « digitale » Ubank et depuis quatre mois il est aussi proposé, en option toutefois, à ceux qui possédaient déjà un compte. L'extension à l'établissement historique devrait suivre et l'objectif final est de faire disparaître toute possibilité d'utiliser un mot de passe d'ici 5 ans. L'échéance peut paraître lointaine, mais les consommateurs ne changent pas d'habitudes facilement.
Aujourd'hui, dans le sillage de la mise en œuvre des solutions d'authentification forte exigées par le législateur, les banques ont relâché leurs efforts sur ce front. Il est vrai que le niveau de protection atteint peut être estimé optimal. En revanche, les méthodes adoptées s'avèrent souvent complexes et pénibles pour les clients (jusqu'à parfois les décourager d'utiliser leurs applications). Il serait temps de passer à la dernière génération de technologies qui parvient à combiner sécurité et convivialité !
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)