Authentification : à la recherche du Graal

Authentification : ce terme désigne, notamment, la technique permettant de certifier que l’on a à faire à la vraie personne, titulaire d’un support sécurisé utilisé dans le cadre d’une procédure sécurisée et certifiée par un organisme compétent. Autrement dit, un système d’authentification doit apporter la confiance indispensable à toute relation entre le titulaire du support et son interlocuteur : administration, commerce, entité juridique…

Dans le monde invisible de l’Internet, l’authentification est cruciale : il s’agit d’authentifier une personne que l’on ne connaît pas et à qui il faut faire confiance. Rude tâche. On se rappelle de ce dessin d’humoriste où l’on voit un chien devant un clavier d’ordinateur qui dit à un autre chien posté à côté de lui : ‘ Tu vois, sur l’Internet, personne ne sait que tu es un chien « .

En février, la BCE vient de publier son rapport sur la fraude à la carte bancaire pour l’année 2012. Les auteurs du rapport constatent une augmentation de la fraude, notamment, dans le domaine de la CNP (Card Not Present), autrement dit les transactions sur l’Internet, par voie postale et par téléphone. La fraude CNP représente 60 % du total de la fraude par carte bancaire, soit 794 millions d’euros sur le total de fraude évalué à 1,33 milliard d’euros. Ce qui représente une augmentation de 4 % sur les résultats de 2011. Avec un taux de fraude de 0,038 %, on note une augmentation de 0,002 % en 2012 par rapport à 2011 (0,0036 %).

La Banque Centrale Européenne constate cette progression de la fraude dans les paiements à distance et émet des recommandations pour une authentification forte, autrement dit une authentification à deux facteurs. Rappelons qu’un individu est authentifié selon trois facteurs : ce que l’on sait (code PIN, Login) ; ce que l’on possède (Carte, token, téléphone mobile…) ; Ce que l’on est (Biométrie). À l’instar de ce qu’a déjà réclamé la Banque de France aux banques françaises.

Au début de l’année 2013, la BCE a édité des recommandations pour la sécurité des paiements sur l’Internet. Il est question d’authentification forte de l’utilisateur. Puis en novembre 2013, publication d’une recommandations pour la sécurité des paiements par mobile. À relever dans le rapport la phrase «  la génération actuelle d’appareils mobiles et de leurs systèmes d’exploitation n’ont généralement pas été conçus avec la sécurité des paiements à l’esprit « .

L’authentification forte paraît donc être la préoccupation du moment partagé par la BCE et les banques centrales nationales.

Quelles sont les techniques d’authentification proposées au consommateur ?

Parmi les grandes tendances :
– L’utilisation du système 3D Secure ;
– l’authentification par l’envoi de SMS sur téléphone mobile ;
– la proposition de challenges via une calculette utilisée pour la banque à domicile, les transferts de fonds… ;
– le smartphone équipé de la technologie NFC ;
– le smartphone équipé d’un Secure Element ou d’un SIM sécurisée au niveau bancaire EAL4+ (ex: Citizy des opérateurs français de téléphonie mobile) ;
– la clé USB sécurisée ;
– la biométrie avec deux tendances : l’utilisation d’un lecteur sécurisé ou sans lecteur avec la reconnaissance vocale. Exemple : La Banque Poste a annoncé en octobre 2013 une expérimentation de la solution Talk to Pay conçue en partenariat avec la société PW Consultant. En prime, la solution dispose d’un système de cryptogramme visuel aléatoire qui change à chaque utilisation.
– la biométrie couplée à une carte à puce développée par Natural Security ;
– la  » Wocket  » développée par NXP-ID pouvant stocker  les informations de centaines de cartes à pistes avec une identification biométrique. Son concurrent : la carte COIN, même principe de stockage, mais n’utilisant pas la biométrie.
– le projet de carte à puce avec le cryptogramme visuel à 3 chiffres imprimés au verso de la carte, mais changeant selon une fréquence de temps définie. À l’instar du numéro de carte virtuel développée par le Groupement Carte Bleue (avant de devenir Visa Europe France).
– les produits « Companion », lecteur de cartes à pistes et à puce, modèle et coût réduit par rapport aux terminaux de paiement électronique existants ;
– les « Dongle » dont le pionnier a été Square, une société créée par le co-fondateur de Twitter ;
– le HCE de Google qui court-circuite la SIM et le Secure Element, sans apporter la même sécurité, mais ça n’a jamais été l’obsession de Google tout comme la protection des données individuelles ;
– l’iBeacon d’Apple et le Beacon de Paypal ;
– le brevet d’Apple sur le NFC, qui a été publié le 16 janvier 2014 par l’Office des brevets aux États-Unis.

Cette énumération n’est pas exhaustive, mais représente les grandes tendances du moment. D’autres solutions vont apparaître sur le marché.

Qui va l’emporter ? À mon avis : la solution qui réunira plusieurs ingrédients :
– le caractère sinon universel, du moins national, mais exportable ;
– l’utilisation la plus simple, naturelle pour l’utilisateur et le commerçant ;
– l’adoption par les acteurs principaux du paiement électronique (banque, commerce, industriel, consommateur) ;
– l’impulsion de l’État, puis de l’Europe pour assurer le développement de la technique définie par les acteurs.

Tout cela dans un esprit  » gagnant gagnant « .

Une citation d’Einstein me vient à l’esprit :  » On ne peut résoudre un problème avec le même état d’esprit qui l’a créé « .

Poster un commentaire

Classé dans Économie numérique, Biométrie, Identité électronique, M-Paiement, Monétique, Techniques d'identification

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s