JDN
Solutions. Le phishing se développe de manière exponentielle, quels remèdes préconisez-vous ?
Georges Liberman. Il n'y a pas 50 moyens pour régler ce genre de problème et l'authentification forte est un de ces moyens. Mais les comportements sont, entre guillemets, encore peu matures. Soit il y a négation des problèmes
de la part des banques - et des victimes par la même occasion -, soit on voudrait que le niveau de sécurité s'accroisse sans les contraintes qui l'accompagnent.
Or, quand on regarde dans la vie de tous les jours, la sécurité a toujours des contraintes : digicodes, ceintures de sécurité, grosses clés pour ouvrir des portes, radars sur les routes... Et ce qui fait accepter ces contraintes, c'est la conscience du risque. En ce qui concerne les établissements bancaires, ils ne peuvent cacher la réalité à leurs clients et penser que ces derniers vont s'équiper de dispositifs anti-fraude et donc adopter les contraintes.
Le phénomène du phishing est cependant relativement récent...
La médiatisation du phishing est nouvelle, en raison notamment de son industrialisation préoccupante, mais voler le mot de passe de quelqu'un remonte à l'invention... du mot de passe. En Suisse, en Belgique, en Hollande, 6,5 millions de clients qui font du e-banking sont déjà équipés de systèmes de sécurité, pour des raisons évidentes de protection contre ce genre de problèmes, les phénomènes ne sont donc pas si nouveaux que cela.
| "Les acteurs n'ont pas été poussés par la demande... il n'y a donc pas eu de réponse à ce type de fraudes" |
Quant à la France, elle est clairement en retard sur ce point. Cela est notamment lié à un fort sentiment de confiance dans la sécurité du système des cartes bancaires en général, la France ayant le plus bas taux de fraude dans ce secteur. Mais les banques en ligne ne sont pas plus sécurisées qu'ailleurs.
La transaction Internet est également en retard en France en raison du peu d'équipement Internet des ménages, du moins au début, mais aussi de la gratuité des systèmes de paiement. Le TIP, le TUP, le chèque, le virement, le prélèvement... tout ces moyens de paiement fonctionnent bien chez nous mais restent gratuits par rapport à d'autres pays. Nous avons pris un retard relatif dans ce domaine car les acteurs n'ont pas été poussés par la demande, par les flux et l'utilisation d'Internet, il n'y a donc pas eu de réponse à ce type de fraudes.
Quelles solutions concrètes sont disponibles ?
Après les équipements d'ancienne génération, il y a 3 ou 4 ans, qui consistaient en des token à mots de passe dynamiques, une nouvelle vague d'équipements voit le jour, portée par la carte à puce de Mastercard, promue dans le cadre du programme Chip Authentification Program. Ce dernier a pour but de normaliser l'utilisation d'une carte bancaire pour sécuriser la banque en ligne.
| "Aujourd'hui, des banques travaillent d'arrache-pied pour être les premières à se positionner sur le créneau de la sécurité" |
Au Royaume-Uni, 60 millions de cartes à puce bancaires EMV - Europay, MasterCard, Visa - sont en circulation et cette carte se diffuse actuellement dans toute l'Europe. Dotée d'un microprocesseur, elle dispose de capacités de calcul et de fonctions de conservation de clés secrètes. Elle est capable de générer un mot de passe dynamique à partir d'un challenge, d'un défi qui lui est adressé par le site avec lequel elle communique.
Dans ces conditions, il y a véritablement capacité à se protéger contre le phishing. C'est ce que nous avons mis en place avec le banquier suisse UBS qui a sécurisé 800 000 de ses clients depuis 2 ans, avec de l'authentification en mode dynamique.
D'ailleurs, le niveau de sécurité offert au client va devenir un cheval de bataille pour les banques. Les domaines sur lesquels elles peuvent rentrer en concurrence et se différencier sont en effet relativement limités et comme il n'y a pas de règle clairement définie aujourd'hui sur ce thème, certains établissements vont axer leur communication sur la sécurité. Des banques travaillent d'arrache-pied pour être les premières à se positionner sur le créneau.
|
Xiring en bref
|
|
Chiffre d'affaires
|
7,3 millions d'euros (2003)
|
|
Activité
|
Fournisseur de solutions de sécurité basées sur carte à puce
|
|
Actionnariat
|
Axalto, Chequers, SPEF Venture (groupe Natexis Banques Populaires), Pechel Industries, FCPI Crédit Mutuel/CIC, Capidea, MCI
|
|
Effectif
|
30 personnes
|
|
Dossier 