Les 250 000 clients de la banque sud-africaine FNB n'auront bientôt plus à craindre le piratage de leur mot de passe. L'accès à leur compte en ligne sera sécurisé par un nouveau verrou fourni par ActivCard. L'américain, connu pour ses solutions de gestion d'identité et d'authentification, s'est fait le spécialiste des tokens (« jetons » en anglais).

Ces petits boîtiers à l'allure de porte-clés se substituent au traditionnel mot de passe indispensable pour accéder aux services en ligne des banques. Avec les tokens, plus besoin de mémoriser quoi que ce soit. On appuie sur une touche du boîtier et le dispositif affiche un code unique à durée limitée. Pour accéder à son compte bancaire, l'utilisateur n'a plus qu'à recopier ce code et à saisir son identifiant. Le serveur de la banque vérifie sa validité et autorise ou non l'accès. Evidemment, chaque client dispose de son propre token et les codes générés lui sont propres.

Avec son mot de passe temporaire, le token est la parade idéale au phishing. Ce phénomène, en forte croissance aux Etats-Unis, consiste à dérober les codes d'accès des internautes en les attirant sur des sites imitant les services en ligne officiels de leur banque. Une fois ces informations collectées, il ne reste plus aux voleurs qu'à transférer l'argent sur le compte de leur choix. De nombreuses banques permettent en effet à leurs clients d'effectuer des virements en ligne après avoir enregistré les coordonnées d'un compte destinataire.

Reste que les utilisateurs ne sont à l'abri du vol de leur token. La solution consiste alors à verrouiller les tokens ... par mot de passe. ActivCard propose ainsi à ses clients les plus exigeants des modèles équipés d'un clavier. A l'occasion du salon Cartes 2004 (du 2 au 4 novembre à Paris Villepinte), la société a annoncé le lancement en 2005 de deux nouveaux tokens (dont un avec saisie de code PIN), taillés sur mesure pour les applications bancaires grand public. «  Ils sont très petits, très simples d'emploi et très économiques. En volume, leur coût ne devrait pas dépasser 10 euros  », affirme Marc Hudavert, vice-président et directeur général d'ActivCard.

La formule du token semble en tout cas faire son chemin. Aux Etats-Unis, AOL propose à ses abonnés un système concurrent pour accéder à son service en ligne, SecurID , développé par RSA Security. Hier, le spécialiste de la sécurité annonçait que le Crédit Suisse allait proposer sa solution à ses clients grand public, pour l'accès à leur compte en ligne. La banque y a déjà largement recours pour ses besoins internes et pour ses clients professionnels.

De son côté, ActivCard annonce une centaine de banques utilisatrices dans le monde. Soit, près de 4 millions d'utilisateurs grand public. Le suédois Swedbank compte à lui seul 1,7 million d'utilisateurs de tokens.

En revanche, les banques françaises n'ont toujours pas franchi le pas. «  Certaines d'entre elles s'en servent mais pour des usages internes ou pour une clientèle professionnelle , note Marc Hudavert. La Société Générale a fourni des tokens à ses brokers et le Crédit Agricole à ses employés. » Mais aucun déploiement à grande échelle auprès du grand public n'est encore à signaler dans l'Hexagone.

Pourtant, toutes les grandes banques y songent, confie le responsable de ActivCard : « ce qui les fait réfléchir, c'est la menace que représente le phishing  » . Cet été, plusieurs clients de grandes banques françaises en ont fait les frais, dont ceux de la Société Générale. Depuis, la banque a mis en place un mécanisme de protection pour limiter les risques de détournement de compte en banque. Désormais, l'enregistrement des coordonnées d'un nouveau compte destinataire n'est plus possible en ligne. Il faut impérativement passer par un opérateur téléphonique.

En interne, on reconnaît que la solution du token est sérieusement à l'étude. Mais on évoque aussi la difficulté de communiquer auprès de la clientèle sur ce type de service. Car en renforçant la sécurité, la banque suggère à ses clients que l'accès à leur compte en ligne n'est pas sûr à 100 %.