Banques : le Sepa devrait favoriser l’authentification forte

Le Sepa impose de nouvelles exigences d’authentification aux banques, pour
Nigel Revaley, responsable des activités banque de la société Xiring,
spécialiste des solutions d’authentification

En quoi l’authentification devient-elle un défi encore plus prégnant pour les banques ?

L’horizon du Sepa (Single Euro Payments Area ou espace unique de paiements en euro), en 2010, est celui d’une ouverture à la concurrence au niveau européen. Cette échéance va accroître la compétition entre les banques, et, également, provoquer un développement des transactions par internet. En effet, les clients pourront choisir une banque à l’étranger. Il sera donc d’autant plus nécessaire pour les établissements de proposer des systèmes d’authentification fortes.

Par ailleurs, la perte de confiance demeure toujours le principal risque pour les banques. Si la confiance est entamée, les clients partent, même si le taux de fraude est bas. Si ce dernier reste marginal, au Royaume-Uni, il a tout de même atteint 300 millions d’euros environ pour les transactions en ligne et par téléphone, l’an dernier. En avril 2007, le phishing a doublé par rapport au mois précédent, dans le monde. C’est le type de fraude le plus répandu. Mais on peut également citer ‘the man in the middle’, un type de fraude qui consiste à modifier des données d’une transaction pendant qu’elle se déroule, pour modifier le destinataire du virement. City bank, notamment, en a été victime.

Quelles sont les solutions possibles ?

Les établissements adopteront certainement plusieurs solutions, adaptées à chacun de leurs segments de clientèle. Pour les particuliers, la solution adoptée devra nécessairement être simple d’utilisation. En revanche, pour les professionnels, un système sur la base d’un certificat, plus contraignant à mettre en place, est envisageable.

Aujourd’hui, il existe notamment un système d’authentification forte, qui comprend une carte et son lecteur. Ce dernier, de la taille d’une calculatrice, coûte moins de dix euros, et les cartes sont au standard EMV, personnalisées. Lorsque le client introduit la carte dans le lecteur et donne son code PIN, un algorithme génère un mot de passe recréé à l’identique dans le serveur de la banque. L’authentification est donc forte.

A quel stade en sont les établissements ?

Les banques françaises sont tout à fait sensibilisées à ce problème. Elles ont effectué des études et testent actuellement les différentes solutions. Pour l’instant, on ne constate pas de déploiement massif de solutions. Celui-ci pourrait advenir dans les douze prochains mois. On note quelques exceptions, toutefois, comme le Crédit mutuel de Bretagne, ou de la BNP, qui ont déployé des lecteurs auprès de leurs clients professionnels.

Au Royaume-Uni, la situation est différente, car les clients ont souvent plusieurs banques. La concurrence est donc plus rude, et les établissements importants sont en passe de se doter de systèmes d’authentification forts. En Suisse, UBS a déjà distribué un million de lecteurs : une voie qu’elle a choisi il y a quatre ans, déjà. Et Post Finance, la banque postale, lui emboîte le pas. En Suède, en Slovaquie ou en Turquie également, cette solution a également été adoptée dans certains établissements.