Les banques expérimentent l’authentification authentification des empreintes

Le développement du paiement avec un mobile oblige les banques à repenser leurs systèmes d’authentification.

La fraude à la carte bancaire a beau se stabiliser, son niveau dans l’univers des paiements à distance n’en reste pas moins préoccupant. D’autant que la multiplication des occasions de régler ses achats avec un ­smartphone risque d’amplifier le phénomène.

L’Observatoire de la sécurité des cartes de paiement souligne, en effet, que les systèmes d’authentification renforcés, comme l’envoi d’un code unique par sms, ne sont pas adaptés au paiement avec un mobile. « Pour un paiement effectué à partir d’un ordinateur personnel relié à Internet, la phase d’authentification repose sur un second canal utilisé, celui du réseau du téléphone mobile, ce qui renforce la sécurité de l’ensemble. Ce n’est plus le cas dès que le paiement et l’étape d’authentification ont lieu sur le même équipement », observe le rapport.

L’usurpation de numéro de carte, principale source de fraude

Pour Christophe Naudin, expert international en criminalité identitaire, «  le problème principal tient au fait que pour identifier quelqu’un, on utilise un intermédiaire qui fait le lien entre le porteur de la carte et sa banque ». De fait, la part des fraudes en France, liées à une usurpation du numéro de carte, est passée de 61 % en 2012 à 65 % en 2013. « L’individu reste le meilleur défenseur de son identité. Toutes les solutions d’authentification passeront à terme par la biométrie  », conclut Christophe Naudin.

Les banques commencent à s’intéresser à cette technologie. Alors que Banque Accord avec BNP Paribas, Crédit Agricole et Crédit Mutuel Arkéa, se sont associés pour tester la solution de paiement par authentification des empreintes digitales de Natural Security, La Banque Postale de son côté expérimente depuis un an un système d’authentification par la voix qu’elle souhaiterait généraliser en 2015.

L’authentification vocale testée par La Banque Postale

Les 600 clients testeurs qui ont déjà utilisé « Talk to Pay » sur plus de 1.000 commerces en ligne, ont d’abord, à l’aide d’un identifiant et d’un mot de passe donnés par La Banque Postale, créé un compte sur le site de l’application. Une fois renseignées leurs informations personnelles et bancaires et leur numéro de portable, ils ont été immédiatement appelés pour enregistrer à plusieurs reprises une phrase type. Ils ont ensuite pu installer sur leur navigateur Internet l’extension de l’application « Talk to Pay », qui se déclenche dès qu’elle détecte une page de paiement. Le client reçoit alors un coup de téléphone pour s’authentifier vocalement. Cette étape permet au système de générer un code à trois chiffres à usage unique (le CVV) et de remplir automatiquement les données cartes sur la page paiement de l’e-commerçant. Cette solution a l’avantage d’être universelle puisqu’elle fonctionne quel que soit le site marchand et elle permet à la banque de garder la main sur les données de ses clients.

Débats à la Cnil

L’authentification biométrique fait toutefois encore l’objet de débats au sein de la CNIL. «  Il faut prouver que les données personnelles sont assez protégées, que les droits de l’individu sont bien respectés et que le système est bien sécurisé. La biométrie n’est en fait pas si différente d’un code à quatre chiffres. Une voix ou une empreinte digitale peuvent être copiées. Pour mieux sécuriser l’authentification, il faut avoir deux sources d’identification », conclut Matthieu Grall, chef de service de l’expertise technologique à la CNIL.

En savoir plus sur http://www.lesechos.fr/finance-marches/banque-assurances/0203642176135-les-banques-experimentent-lauthentification-biometrique-1025114.php?aLm8Emhd2XARWY0f.99#xtor=CS1-26