Je viens de lire une note de Sylvain sur les aspects sécuritaires des services d'e-banking, et plus particulièrement, de la façon dont l'authentification est actuellement gérée par les banques en France.

Le sujet se présente à point nommé: l'émission Envoyé Spécial a récemment consacré un dossier à la cybercriminalité (que je vous recommande fortement si vous ne l'avez encore vu). Trois conclusions ressortaient très clairement de ce reportage: 1) les organisations cybercriminelles visent en premier lieu les clients avant l'institution commerciale elle-même 2) Des mots de passes par centaines de milliers sont volés quotidiennement et ne suffisent plus pour garantir le "secret" 3) tout le monde y passe.


Dans son billet, Sylvain relève une question particulièrement pertinente: pourquoi de nombreux e-bankings gérés par les banques françaises ne proposent-ils toujours pas l'authentification forte à leurs clients? (De manière très vulgarisée, l'authentification forte consiste à utiliser un second moyen de preuve pour prouver l'identité d'un utilisateur. Les banques par exemple requièrent souvent la connaissance d'un code secret ET la possession d'une carte unique.)

Je me souviens il y a de cela deux ou trois ans lorsque j'ai demandé à mon chargé de relation bancaire auprès d'une grande banque française l'accès à leur portail e-banking. La réponse a ressemblé à: "Pas de problème, je vous fais envoyer ça tout de suite."

Quelques jours plus tard, le sésame est dans ma boîte aux lettres: mes codes d'accès à l'e-banking inscrits en gras au milieu d'une feuille de papier.

...

HEIN?

Oui. C'est bien cela: des codes d'accès à mon compte en banque dormant dans ma boîte aux lettres.

En Suisse, l'accès à un e-banking est généralement qualifiable de, je me permets le mot, chiant. Prenons le cas de Postfinance par exemple. La procédure d'authentification se 'résume' à ces étapes:
  • Saisir le numéro de relation
  • Saisir le mot de passe (preuve 1)
  • Un code de contrôle est affiché à l'écran
  • Se munir de la carte de paiement (qui se trouve au fond du portemonnaie dans une autre pièce de l'appartement) et du lecteur de carte (preuve 2)
  • Saisir le code de contrôle dans le lecteur de carte
  • Saisir le code numérique personnel secret dans le lecteur de carte (preuve 3)
  • Saisir le code numérique affiché par le lecteur dans le site
  • Cliquer sur ok.
  • Pffffffff. Enfin dedans.

Pour le cas de l'UBS, la procédure est quelque peu plus simple:
  • Saisir le numéro de relation
  • Un code de contrôle est affiché à l'écran
  • Se munir du lecteur de carte, dans lequel on a généralement laissé la carte de contrôle (parce qu'elle ne sert à rien d'autre qu'à rester là-dedans) (preuve 1)
  • Saisir le code numérique personnel secret dans le lecteur de carte (preuve 2)
  • Saisir le code de contrôle dans le lecteur de carte
  • Saisir le code numérique affiché par le lecteur dans le site
  • Cliquer sur ok.
  • Hop, dedans.

Je ne vous décrirai pas les procédures à base de liste à biffer, mais c'est plus ou moins la même chose. Vous aurez certainement remarqué les parenthèses "preuve X" à la fin de certaines opérations, c'est pour imager ce que j'ai écrit plus haut sur l'authentification forte. Comme le mot de passe lui seul ne suffit pas, il peut être "volé" sans que cela ne soit forcément la fin du monde pour le consommateur. Attention, n'allez surtout pas comprendre que le vol de votre mot de passe n'a aucune conséquence. Cette mesure ne fait que rendre la tâche plus difficile pour un pirate. Rien de plus!


Du coup une seconde question se pose: comment les internautes français ont-ils réagi suite à la diffusion de ce reportage? A quoi pensent-ils lorsque la "télé" leur dit qu'il est facile de voler des mots de passes et qu'en parallèle, leurs banques ne leur fournissent toujours pas des solutions pour de l'authentification forte?

Peut être des études menées par de grands cabinets de marketing ont conclu qu'il n'était pas encore nécessaire de leur fournir ce service...

Ou peut être que des études ont montré que les français ne sont pas assez intelligents pour utiliser l'authentification forte... (huhu, je viens de me faire plein d'amis!)

Ou peut être tout simplement que l'authentification forte est encore et toujours perçue comme un service de luxe: cher, rare et très difficile à mettre en oeuvre. Faux. Faux et...faux. Je mets d'ailleurs en place en ce moment un dispositif d'authentification forte pour un service de blogs. A part modifier quelques lignes de code, associer un identifiant d'utilisateur à un numéro de 'carte' et commander des cartes à 15$/pièce, la mise en place reste parfaitement accessible à toute société souhaitant proposer de l'authentification forte à ses clients.


Il semblerait que Sylvain présentera prochainement sur son blog des mesures d'authentification forte peu coûteuses. Je vous invite donc à suivre attentivement ses prochaines publications si vous êtes concerné-ée par ce sujet.