La sécurité des opérations bancaires en ligne a été remise à l'ordre du jour cette semaine, lors du salon Cartes 2004. Une occasion, pour le Crédit Agricole, de se présenter comme précurseur la banque capitalise sur le déploiement d'une solution de signature électronique fournie par Activcard. Déjà plus de mille clients professionnels utilisent des cartes à puce et les lecteurs associés pour effectuer de nombreuses opérations en ligne : déclaration et paiement de la TVA, de l'impôt sur les sociétés, télécarte grise pour les concessionnaires automobiles et de cycles, etc. Il était temps pour nous, en effet, de rompre avec une exception culturelle bien fâcheuse : la Swedbank en Suède, la Nordea en Norvège, la Finanza & Futuro Banca en Italie, la Zagrebacka en Croatie, la First National Bank en Afrique du Sud, la Lukas Bank en Pologne, le Crédit Suisse, la Rabobank en Australie. Toutes ces banques à travers le monde ont deux dénominateurs communs : elles ont un train d'avance dans la sécurisation de leurs offres de gestion de comptes en ligne. Et aucune d'elles n'est française.

Agaçant, en effet, de voir le pays qui a inventé la très sûre carte à puce, renâcler pour adopter une technologie capable de sécuriser ses clients internautes. Ainsi, en France, l'accès aux sites de gestion en ligne des comptes bancaires nécessite encore un identifiant et un mot de passe. Un couple vieillot, mis à la retraite par de nombreuses entreprises et banques étrangères au profit du token (ou jeton). Ce dispositif, de la taille d'un petit briquet, ouvre les portes de l'authentification forte. Lors d'un contrôle d'accès, l'utilisateur final ajoute à son identifiant et au code PIN qu'il a lui-même choisi, le nombre qui apparaît sur son jeton. Ce nombre, généré dynamiquement par une série d'algorithmes, est comparé au serveur d'authentification avec lequel le token est synchronisé. On combine ainsi deux facteurs pour s'identifier : ce que l'on connaît ­ l'identifiant et le code PIN ­ et ce que l'on possède ­ le nombre fourni par le jeton, qu'il faut détenir physiquement. L'authentification en est ainsi renforcée. Et c'est la parade idéale au « phishing » .

Cette technique consiste à créer des e-mails renvoyant vers des sites web contrefaits. L'objectif est l'extorsion des codes d'accès des utilisateurs en les incitant à divulguer ces informations, qu'ils pensent fournir au site d'une institution familière. La banque représente un appât privilégié. En France, des clients de la Société Générale, de BNP Paribas ou du Crédit Agricole en ont été victimes. Or, si l'authentification forte était déjà déployée sur notre territoire, le « phishing » deviendrait inopérant. Sans le token, l'identifiant et le code PIN récupérés deviennent inutiles. Les banques françaises le comprennent tout juste.

Le Crédit Agricole entame sa réflexion sur l'authentification forte et a déjà fixé son planning de réunions d'ici à la fin de l'année. Et Daniel Savoyen, responsable e-business et sécurité au Cedicam, GIE filiale du Crédit Agricole spécialisé dans les paiements et les flux bancaires, assure qu'il ne s'agit pas de déclarations d'intention : « Nous déploierons des pilotes au cours de l'année 2005 pour l'authentification forte dans la banque en ligne. » Le reste du paysage bancaire français se montre moins disert. La plupart des banques hexagonales ont mis en place l'authentification forte... mais pour leurs seuls employés ! L'heure n'est pourtant plus à l'inaction. « Cette question de la sécurisation forte des opérations bancaires en ligne représente un avantage concurrentiel indéniable » , reconnaît sous couvert d'anonymat un responsable de BNP Paribas.

Car aussi faible que soit la fraude due au « phishing » en France, elle est due à un seuil de sécurisation insuffisant de la part des banques. Fort de ce constat, le consortium Visa a décidé d'agir. Et a milité, au salon Cartes 2004, pour l'adoption d'une nouvelle génération de cartes bancaires dotées d'un système d'authentification forte. La solution du Français AudioSmart-Card aurait été retenue. Elle ajoute un cryptoprocesseur, une batterie et un « buzzer » dans la carte pour l'émission d'un signal sonore, à chaque fois unique. Cette signature sonore remplace le nombre fourni par un token. Des tests auprès de cent mille porteurs de ces nouvelles cartes devraient démarrer en début 2005.

Il se murmure dans le monde bancaire que le groupe Caisse d'Epargne essuierait les plâtres. D'autres tergiversent encore. Ainsi, la Société Générale a récemment lancé un appel d'offres afin de déterminer le coût de déploiement de deux à trois millions de tokens auprès de ses clients. Mais n'a pas donné suite. Un frein financier ? A moins de 5 euros par jeton, on peut en douter. D'autant plus que ces frais seraient sûrement facturés au client final. « En Pologne, la Lukas Bank a proposé un token, payant, à cent vingt mille de ses clients, utilisateurs de son service en ligne : cent mille ont accepté » , rappelle Olivier Caffin, directeur général France du fournisseur RSA Security. La sécurité représente un argument commercial et marketing. La cause est entendue, mais ce sont surtout les hommes et les femmes des directions des systèmes d'information qui l'ont compris dans les banques. « Comme la demande n'est pas très forte, on cherche à minimiser les coûts, plutôt qu'à innover au bénéfice de nos clients » , se désole un responsable technique d'une grande banque française. La captivité des clients constitue un frein. Et le discours des responsables en sécurité se heurte à celui du marketing. Le constat fait par Daniel Savoyen est pourtant sans appel : « Les fraudeurs trouvent des failles et posent des pièges car, aujourd'hui, nous avons peu ou pas d'outils déployés pour sécuriser les systèmes de façon efficace. » Ce n'est pas en attendant la multiplication des actes délictueux, et en criant au loup devant le « phishing » , que les banques rassureront sur leur capacité à contenir la fraude en ligne. Mais en agissant avec les moyens modernes déjà maîtrisés par les équipes techniques en interne. La Société Générale a fourni plus de cinq mille tokens à ses employés, et la BNP Paribas plus de dix mille. Mais à leurs clients, aucun. A quand un plus juste équilibre ?