L'authentification des consommateurs, le nouveau défi du secteur financier

En novembre dernier, la Commission européenne a adopté les normes techniques de réglementation permettant l’application de la nouvelle directive des services de paiements notamment dans le but de généraliser l’authentification forte des consommateurs pour les transactions en ligne en Europe.

L’authentification en ligne fait référence au système qui valide ou refuse les identifiants que vous saisissez en vue de "prouver" que vous êtes autorisé à accéder à des services ou à valider une transaction en ligne. A l’heure actuelle, les moyens d’authentification les plus courants consistent à entrer un nom d’utilisateur et un mot de passe pour se connecter à un compte, ou les données d’une carte de paiement afin de réaliser un achat.

Pour certains, cette simple procédure peut sembler insignifiante dans le cadre d’une expérience en ligne riche et complexe. Cependant, choisir un système d’authentification adapté est aujourd’hui un défi de taille pour les équipes de sécurité et anti-fraude dans le secteur financier, notamment en raison des nombreuses tendances convergentes : la hausse des demandes de transactions opérées à l’aide d’un nombre croissant de dispositifs biométriques différents et d’appareils personnels connectés à internet, la très forte augmentation des violations de données liée à la généralisation des piratages de mots de passe et codes à usage unique, et enfin, l’application imminente de la DSP2.

 La problématique des mots de passe

Les cyberattaques visant des identifiants de "secrets partagés" les plus communs sont très populaires, en partie parce que les consommateurs, et même les employés en entreprise, peuvent facilement les dévoiler à un pirate informatique ayant réussi à imiter le site Internet qu’ils pensent visiter. Cette technique permet au hacker d’utiliser les identifiants subtilisés, même s’il s’agit de codes à usage unique limités dans le temps, pour se connecter au véritable service, tout en restant entre l’utilisateur et le site légitime. Selon une récente étude menée par Verizon, l’utilisation de mots de passe volés, faibles ou par défaut, est aujourd’hui à l’origine de 81% des violations de données, tous secteurs confondus. L’authentification est donc un problème de sécurité hautement prioritaire que les acteurs doivent résoudre, car si vos identifiants tombent dans les mains d’un cybercriminel, ce dernier sera à même d’usurper votre identité afin d’accéder à vos comptes en ligne et d’exfiltrer de précieuses informations personnelles en vue d’effectuer des opérations en votre nom.

À l’heure actuelle, notre principal problème en matière d’authentification est que nous suivons une approche dépassée et ignorons le fait que la technologie a entièrement transformé à la fois nos habitudes et les options qui s’offrent à nous. La combinaison traditionnelle du nom d’utilisateur au mot de passe a clairement montré ses limites et ne peut plus faire office de barrière de sécurité entre le consommateur et ses comptes bancaires ou autres données précieuses.

 Le consommateur toujours connecté

Compte tenu du nombre d’opérations en ligne effectuées par le biais d’équipements personnels, tels que des ordinateurs portables, des smartphones ou encore des tablettes, les processus d’authentification doivent être rapides, simples et pratiques. Saisir un nom d’utilisateur et un mot de passe, ou encore un numéro de carte bancaire via son mobile, doit être facile, sans quoi le consommateur peut perdre patience. De nombreuses innovations en matière d’expérience utilisateur offrent aujourd’hui des alternatives viables en matière d’authentification, et dont les services financiers peuvent tirer parti, à condition de pouvoir en gérer efficacement les risques. Ces alternatives incluent des modalités biométriques telles que la reconnaissance digitale, vocale et faciale, ainsi que les clés de sécurité portables qui remplacent les codes à usage unique. Presque la totalité des grands fabricants actuels ont adopté la biométrie pour le verrouillage de leurs terminaux. On peut donc comprendre que les consommateurs veuillent pouvoir bénéficier d’une expérience identique lors de leurs transactions en ligne. Ces outils propres à l’appareil sont collectivement appelés des "authentificateurs", et se différencient des mots de passe en remplaçant les différentes étapes inhérentes, parfois complexes, par un geste aussi simple que toucher un capteur (dans le cas de la reconnaissance digitale ou d’une clé de sécurité), regarder une lentille (reconnaissance faciale ou de l’iris) ou prononcer une phrase type (reconnaissance vocale) à des fins d’authentification.

Grâce aux nombreux avantages qu’elle propose, l’authentification biométrique rencontre un franc succès auprès des consommateurs. Mais comment une institution financière est-elle supposée exploiter cette technologie en ligne en toute sécurité, à la base conçue pour simplement déverrouiller un appareil personnel localement et hors ligne ? Curieusement, il s’avère que la meilleure façon de sécuriser ces nouvelles technologies lors d’une utilisation en ligne consiste à se servir d’un ancien cadre de sécurité fiable qui n’est autre que la cryptographie à clé publique. Dans ce modèle, la clé privée correspond au "secret" qui doit rester au sein de l’appareil et ne jamais être partagé, tandis que la clé publique correspondante, calquée de façon mathématique sur ladite clé privée, est quant à elle partagée et sauvegardée au sein du service en ligne. En ne partageant que la clé publique en ligne sans communiquer l’identifiant secret lui-même (la clé privée), les tentatives de violations qui ciblent des "secrets partagés", tels que des mots de passe et des codes à usage unique, resteront dès lors infructueuses. Les systèmes d’authentification qui utilisent ces identifiants modernes propres à l’appareil peuvent permettre aux institutions financières de bénéficier, tout comme les consommateurs, des avantages offerts par la biométrie. Les systèmes cryptographiques qui y seront associés leur garantiront quant à eux que le terminal qui tente de s’authentifier est bien celui du consommateur.  

 Plus de secrets partagés

Les modalités biométriques contribuent à de nombreux égards à l’expérience utilisateur, et peuvent être sécurisées par une cryptographie à clé publique testée et approuvée. Néanmoins, les institutions financières qui envisagent d’adopter ces technologies doivent avant tout comprendre que tous les dispositifs biométriques n’ont pas été conçus dans cette optique. De ce fait, il est primordial que la confidentialité et les performances sécuritaires des différents systèmes d’authentification soient considérées. Comme avec toutes les méthodes d’authentification symétriques, la biométrie consiste à établir une correspondance entre une donnée partagée et une autre originale gardée secrète. C’est précisément la façon de combiner, et en particulier de sauvegarder ces différentes données, qui soulève un grand nombre d’interrogations en matière de sécurité et de confidentialité. Par exemple, si les informations sont sauvegardées dans une base centrale en ligne, une éventuelle cyberattaque pourrait avoir dans ce cas des conséquences désastreuses.

Nous avons déjà été témoins de violations de données biométriques, qui soulignent à quel point il est important de prendre des mesures adaptées en matière de confidentialité et de sécurité. Il y a quelques années, plus de cinq millions de séries d’empreintes digitales ont été dérobées lors d’une cyberattaque visant l’Office of personnel management (OPM) qui gère les effectifs du gouvernement aux Etats-Unis. Ces données appartenaient à des employés et à des fournisseurs de l’administration fédérale américaine, ainsi qu’à d’autres personnes dont les antécédents faisaient l’objet de vérifications. Dans la même veine, la Commission électorale des Philippines a également été victime d’une cyberattaque qui est parvenue à récolter les données personnelles de près de 55 millions de personnes, dont plus de 15 millions d’empreintes digitales. Ces incidents prouvent que les grandes bases de données, contenant des informations biométriques sauvegardées en format brut, présentent de réels dangers. La méthode de stockage recommandée consiste à élaborer un "modèle" mathématique sur la base des informations biométriques brutes, lors du déploiement sur l’équipement ; une technique à laquelle les fabricants d’ordinateurs et d’appareils portables modernes ont aujourd’hui recours.

En général, les systèmes biométriques commerciaux que les sociétés de services financiers envisagent d’adopter utilisent déjà cette méthode de stockage. Cependant, ces dispositifs ont souvent tendance à sauvegarder les modèles dans un registre central, susceptibles d’être piratés à l’aide de falsifications biométriques comme de fausses empreintes digitales ou encore des voix préenregistrées, voire même synthétisées. De telles usurpations, également connues sous le nom d’attaques de présentation, ont déjà été recensées. Tandis que les développeurs de systèmes biométriques continuent d’optimiser la détection de ce type de menaces, souvent appelée détection du caractère vivant, nous assistons ici à une véritable course à l’armement dont l’avantage ne cesse d’alterner entre les cybercriminels et les systèmes de sécurité. La bonne nouvelle, c’est qu’il existe aujourd’hui des architectures capables de repousser les attaques de présentation et de préserver de façon optimale la confidentialité des utilisateurs en évitant totalement de partager leurs modèles biométriques.

Le meilleur scénario consiste à combiner les systèmes biométriques sécurisés et pratiques, que l’on retrouve aujourd’hui sur presque tous les appareils mobiles modernes, à la cryptographie à clé publique. Cette alliance permet de garantir que les identifiants des utilisateurs et les modèles biométriques resteront sauvegardés sur le véritable équipement de l’utilisateur et ne seront jamais partagés en ligne. A la lumière des violations de données évoquées précédemment, si chaque appareil est équipé d’un système d’authentification individuel, l’utilisateur ne sera jamais amené à dévoiler sa clé privée. Le piratage d’identifiants en ligne étant ainsi impossible, le seul moyen de subtiliser ses données privées sera de dérober physiquement son appareil personnel. Le modèle de rentabilité du cybercrime en sera alors totalement bouleversé, en raison du coût prohibitif et de la faible portée de chaque tentative d’attaque. Ceci éliminera également les risques de phishing, d’ingénierie sociale et autres subterfuges traditionnellement employés pour dérober les mots de passe d’un utilisateur.

Evolution technique, réglementaire et changement des habitudes

Le secteur financier est actuellement dans une phase de transition, avec des organisations à la recherche du système d’authentification qui conviendra le mieux à leurs besoins et leur permettra de répondre à la demande d’une nouvelle génération de clients toujours connectés. Cela vient s’ajouter à l’application imminente de la directive DSP2, qui vise à instaurer partout en Europe une authentification multifactorielle forte du consommateur dans le cadre des transactions en ligne.

A l’heure actuelle, la biométrie possède toutes les qualités pour rendre l’authentification plus pratique, plus simple et plus sécurisée. Elle est intrinsèquement liée à chaque individu, facile d’utilisation, et ne peut pas être oubliée. Qui plus est, à une époque où de plus en plus d’opérations s’opèrent en ligne à l’aide d’appareils mobiles, une authentification forte au niveau du terminal pourra faciliter de façon importante les transactions les plus sensibles, comme les paiements et les transferts d’argent. Cependant, le succès de la biométrie dépendra des mesures de sécurité et de confidentialité qui seront prises pour protéger ces nouveaux identifiants, et avant tout de la capacité du secteur à adapter cette infrastructure d’authentification moderne à une utilisation en ligne.