Passer au contenu

Les banques cherchent la parade au vol de mot de passe

La sécurité d’accès aux services bancaires passe de plus en plus par les tokens. Ces petits boîtiers à l’allure de porte-clés génèrent un code d’accès à durée limitée. Avec eux, les internautes
n’ont plus à craindre le vol de leur mot de passe.

Les 250 000 clients de la banque sud-africaine FNB n’auront bientôt plus à craindre le piratage de leur mot de passe. L’accès à leur compte en ligne sera sécurisé par un nouveau verrou fourni par ActivCard.
L’américain, connu pour ses solutions de gestion d’identité et d’authentification, s’est fait le spécialiste des tokens (‘ jetons ‘ en anglais).Ces petits boîtiers à l’allure de porte-clés se substituent au traditionnel mot de passe indispensable pour accéder aux services en ligne des banques. Avec les tokens, plus besoin de mémoriser quoi que ce
soit. On appuie sur une touche du boîtier et le dispositif affiche un code unique à durée limitée. Pour accéder à son compte bancaire, l’utilisateur n’a plus qu’à recopier ce code et à saisir son identifiant. Le serveur de la
banque vérifie sa validité et autorise ou non l’accès. Evidemment, chaque client dispose de son propre token et les codes générés lui sont propres.Avec son mot de passe temporaire, le token est la parade idéale au phishing. Ce phénomène, en forte croissance aux Etats-Unis, consiste à dérober les codes d’accès des internautes en les
attirant sur des sites imitant les services en ligne officiels de leur banque. Une fois ces informations collectées, il ne reste plus aux voleurs qu’à transférer l’argent sur le compte de leur choix. De nombreuses banques permettent en
effet à leurs clients d’effectuer des virements en ligne après avoir enregistré les coordonnées d’un compte destinataire.Reste que les utilisateurs ne sont à l’abri du vol de leur token. La solution consiste alors à verrouiller les tokens… par mot de passe. ActivCard propose ainsi à ses clients les
plus exigeants des modèles équipés d’un clavier. A l’occasion du salon Cartes 2004 (du 2 au 4 novembre à Paris Villepinte), la société a annoncé le lancement en 2005 de deux nouveaux tokens (dont un avec saisie de
code PIN), taillés sur mesure pour les applications bancaires grand public. ‘ Ils sont très petits, très simples d’emploi et très économiques. En volume, leur coût ne devrait pas dépasser
10 euros
‘, affirme Marc Hudavert, vice-président et directeur général d’ActivCard.

Les banques françaises en retard

La formule du token semble en tout cas faire son chemin. Aux Etats-Unis, AOL propose à ses abonnés un système concurrent pour accéder à son service en ligne,
SecurID, développé par RSA Security. Hier, le spécialiste de la sécurité annonçait que le Crédit Suisse allait proposer sa solution à ses clients grand public, pour l’accès à
leur compte en ligne. La banque y a déjà largement recours pour ses besoins internes et pour ses clients professionnels.De son côté, ActivCard annonce une centaine de banques utilisatrices dans le monde. Soit, près de 4 millions d’utilisateurs grand public. Le suédois Swedbank compte à lui seul 1,7 million d’utilisateurs de
tokens.En revanche, les banques françaises n’ont toujours pas franchi le pas. ‘ Certaines d’entre elles s’en servent mais pour des usages internes ou pour une clientèle professionnelle,
note Marc Hudavert. La Société Générale a fourni des tokens à ses brokers et le Crédit Agricole à ses employés. ‘ Mais aucun déploiement à grande échelle auprès du grand
public n’est encore à signaler dans l’Hexagone.Pourtant, toutes les grandes banques y songent, confie le responsable de ActivCard : ‘ ce qui les fait réfléchir, c’est la menace que représente le
phishing. Cet été, plusieurs clients de grandes banques françaises en ont fait les frais, dont ceux de la Société Générale. Depuis, la banque a mis en place un mécanisme de protection pour limiter les risques de
détournement de compte en banque. Désormais, l’enregistrement des coordonnées d’un nouveau compte destinataire n’est plus possible en ligne. Il faut impérativement passer par un opérateur téléphonique.En interne, on reconnaît que la solution du token est sérieusement à l’étude. Mais on évoque aussi la difficulté de communiquer auprès de la clientèle sur ce type de service. Car en renforçant la sécurité, la
banque suggère à ses clients que l’accès à leur compte en ligne n’est pas sûr à 100 %.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Stéphane Long