Opération bancaire en ligne : mobile, pratique et efficace

Le “téléphone portable”, le jouet universel pour WhatsApp, les médias sociaux, les nouvelles, les listes de courses et les chuchotements d’amour, est censé rendre les opérations bancaires modernes, sûres dans le sens de PSD2 ? Est-ce possible et si oui, comment ? L’approche consistant à utiliser les téléphones mobiles pour effectuer des opérations bancaires en ligne en toute sécurité n’est pas nouvelle. Bien que cette utilisation fasse l’objet de discussions depuis un certain temps, elle soulève encore des doutes. Toutefois, grâce aux spécifications techniques de l’alliance FIDO, les téléphones mobiles modernes deviennent effectivement l’outil de sécurité optimal, car ils rendent l’enregistrement en ligne des transactions bancaires à la fois pratique et conforme à la législation. Les opérations bancaires via un PC, une tablette ou un téléphone portable font partie de la vie quotidienne des Digital Natives et des Digital Immigrants de notre époque. Consultations de comptes, virements en temps réel, réservations tout cela doit être possible maintenant et immédiatement et doit fonctionner depuis le canapé à la maison, au travail ou au café pendant la pause de midi. 

Quelle est la spécificité d’une banque en ligne ?

Une banque en ligne ne dispose pas d’agences bancaires « en dur » pour accueillir la clientèle, comme les réseaux traditionnels. Toute la relation est dématérialisée via Internet ou la téléphonie mobile, même si des conseils par téléphone peuvent exister. Les salariés travaillent tous au même endroit dans des bureaux uniques, souvent en région parisienne pour répondre aux demandes de milliers de clients disséminés dans l’Hexagone. C’est ce fonctionnement particulier qui permet à ces établissements de proposer des tarifs beaucoup moins élevés que ceux des réseaux traditionnels : ils n’ont pas de frais immobiliers : la location d’agences et le nombre de leurs salariés est considérablement réduit. Les clients sont guidés, le cas échéant, par des conseillers dont le rôle est de tout faire pour que les clients deviennent autonomes dans leur relation quotidienne avec la banque.

Comment combiner la facilité d’utilisation et la sécurité ?

Les nouvelles règles de protection des données à l’échelle européenne et les réglementations du monde du crédit et des banques elles-mêmes exigent que les opérations bancaires en ligne se déroulent toujours dans des conditions sûres. Ils exigent des fournisseurs qu’ils créent les conditions nécessaires à des transactions bancaires à faible risque y compris des spécifications techniques telles que l’authentification à deux facteurs. Les entreprises sont confrontées au défi de combiner sécurité et convivialité. Des mots de passe compliqués ou la nécessité d’utiliser du matériel supplémentaire comme des lecteurs de cartes à puce et des jetons gâchent l’envie de faire des transactions spontanées. Le téléphone portable est un moyen de combler le fossé entre la facilité d’utilisation et la sécurité. De nombreux modèles sont depuis longtemps équipés d’une technologie de sécurité de pointe : ils sont dotés d’écrans de verrouillage, de lecteurs d’empreintes digitales, de reconnaissance des empreintes digitales ou des motifs d’essuyage, de reconnaissance des visages, de balayage de l’iris et d’autres mécanismes d’authentification pris en charge par le matériel. La fiabilité de ces systèmes est de loin supérieure à la protection par mot de passe. Cela est particulièrement vrai lorsqu’il s’agit de suivre les statistiques actuelles sur les préférences des utilisateurs de TI en matière de mots de passe : les codes comme “12345” et “Mot de passe” sont toujours en tête de liste.

Authentification pour les services bancaires mobiles

La technologie intégrée dans les téléphones peut être utilisée directement pour les opérations bancaires sécurisées, tandis que l’accès direct nécessaire aux fonctions de sécurité d’un téléphone portable est fourni pour les applications correspondantes par les appareils Android et IoS des nouvelles générations. La même technologie permet également d’utiliser les appareils à des fins professionnelles, où des exigences élevées en matière de confidentialité s’appliquent également. Les spécifications susmentionnées exigent une authentification à deux ou même à trois facteurs pour les transactions importantes. Cela signifie que le client doit s’identifier à l’aide d’au moins deux, mais éventuellement aussi de trois caractéristiques qu’il est le seul à connaître, par exemple, un mot de passe ou un code PIN, qu’il est le seul à posséder, le téléphone portable identifiable ou une carte à puce insérée ou qui représentent une caractéristique biométrique de lui-même, par exemple, une empreinte digitale, un iris ou une veine, un visage. Grâce à un scanner d’empreintes digitales ou à une caméra et à la possibilité d’échanger des messages pousser cryptés, non seulement cela peut être réalisé, mais une protection supplémentaire peut être créée pour les transactions à haut risque. Deux autres spécifications sont importantes : l’authentification d’un utilisateur doit aboutir à la génération d’un “code d’authentification”, qui est une signature cryptographique de la transaction. Dans le cas d’un paiement en ligne, ce code doit être lié de manière unique au montant et au destinataire tels que spécifiés par l’utilisateur. En outre, les données cryptographiques de l’utilisateur doivent être protégées contre tout accès non autorisé.

FIDO, une alliance pour des normes d’authentification mondiales

Les critères décrits peuvent être pleinement satisfaits par des mesures techniques qui suivent les normes de l’Alliance FIDO. FIDO signifie Identité rapide en ligne. Cette alliance non-commerciale a été fondée pour développer des normes industrielles ouvertes et sans licence pour l’authentification mondiale sur Internet entre les entreprises. Les normes de la FIDO décrivent un processus d’authentification en deux étapes. Lorsque l’utilisateur commence une transaction, le site web de son fournisseur apparaît en premier, comme d’habitude. Cependant, dès qu’une autorisation est requise, l’utilisateur est automatiquement identifié sur son propre appareil grâce à la reconnaissance biométrique intégrée ou si nécessaire, sur un appareil externe tel qu’un lecteur de cartes via Bluetooth. Le mot de passe et le balayage des empreintes digitales peuvent être combinés, par exemple. L’utilisateur détermine donc en grande partie lui-même la méthode qu’il souhaite utiliser pour sécuriser ses transactions financières et n’a pas à se préoccuper de la technologie en arrière-plan. Ce facteur augmente l’acceptation des mesures de sécurité. Pour les transactions présentant un risque accru, le fournisseur peut exiger des étapes de reconnaissance supplémentaires.

Authentification et cryptographie à clé publique

Si l’authentification sur l’appareil est réussie, une cryptographie à clé publique éprouvée est utilisée. Le système libère une clé privée pour la communication avec le fournisseur de services, qui authentifie désormais de manière sécurisée l’utilisateur auprès du terminal distant. En outre, la technologie fonctionne avec des cadres d’autorisation communs pour gérer la libération unique de la transaction, qui est obligatoire pour les transactions financières. La technologie est préparée de manière à ce que l’utilisateur puisse l’utiliser à partir du même appareil avec plusieurs partenaires de transaction et répond ainsi également à l’ouverture et à la flexibilisation du marché créées dans la DSP2. Comme le cryptage asymétrique est la base, les données biométriques de l’utilisateur et la clé privée pour la libération de la transaction peuvent toujours rester stockées sur l’appareil de l’utilisateur et ne doivent jamais être envoyées sur les réseaux publics. Cela allège la charge des fournisseurs, qui n’ont pas à stocker les informations pertinentes à grande échelle et à les mettre à l’abri des piratages à grande échelle, et protège toutes les parties concernées contre les attaques qui se cachent dans le transfert de données sensibles.

Conclusion : les clés de la porte d’entrée pour la sécurité mobile

Actuellement, de nombreuses entreprises et services tels que Google, PayPal, Banque d’Amérique, NTT Docomo, BC Card : Corée, Microsoft, Dropbox, GitHub, AliPay, Ebay, Samsung et Facebook utilisent déjà la méthode développée par l’alliance FIDO. Des fabricants comme Sécurité NEVIS AG proposent des solutions de sécurité testées et certifiées en conséquence. Cela signifie que le “jouet” le plus répandu de l’humanité deviendra peut-être aussi l’outil de sécurité le plus utilisé en dehors de la clé de la porte d’entrée.

Comment éviter les escroqueries et les fraudes financières ?
L’épargne programmée : de quoi s’agit-il et comment fonctionne-t-elle ?