La Barclays lance l’authentification à double facteur

Des lecteurs de cartes individuels vont désormais sécuriser les transactions en ligne des clients de la banque. L’authentification forte est-elle LA solution pour les banques ?

Tous les abonnés de la Barclays vont profiter dés l’année prochaine d’un lecteur de cartes individuel qui générera un mot de passe unique pour chaque règlement et ainsi sécuriser les transactions en ligne.

Cette annonce a été faite lors d’une interview du président de la division banque en ligne, Barnaby Davis, publiée par Computing Magazine la semaine dernière. Barclays est la première banque à adopter ce standard qui est le fruit d’une réflexion de l’Apacs, une association britannique qui surveille l’évolution des modes de paiement par cartes.

L’an dernier, l’Apacs a publié un petit guide à l’intention des banques appelant à une plus grande sécurisation des paiements. « Face à l’augmentation des Trojans et des attaques par hameçonnage, nous recommandons aux banques de réfléchir à des méthodes d’authenfication renforcées «  explique l’association dans un communiqué.

L’Apacs, travaille avec plusieurs institutions bancaires, notamment pour mettre au point un standard pour les machines qui peuvent lire les puces électroniques pour améliorer le niveau de sécurité des transactions de l’e-commerce.

La solution que présente aujourd’hui la Barclays est simple, mais a priori efficace. Le client introduit simplement sa carte dans le lecteur (qui n’est pas connecté à son PC) que lui a fourni sa banque. Cette machine va alors générer un mot de passe unique de 12 numéros que l’utilisateur n’a plus qu’à entrer sur son clavier.

Un porte-parole de la Barclays, Elizabeth Holloway, a expliqué au site OUT-LAW que ce nouveau service était presque au point.

La date du déploiement qui devrait être fixée pour 2007 est encore inconnue, mais l’on sait que les usagers de la Barclays n’auront pas à débourser un seul euro pour disposer d’un lecteur. Rappelons que comme pour la plupart des banques la politique de la Barclays dans le domaine de la piraterie est claire. Tous les clients qui sont victimes d’une perte d’argent seront remboursés.

Un porte-parole de l’Apacs, Mark Boweman a expliqué : « le lecteur de la Barclays sera la première solution qui se conforme au standard défini par l’Apacs. Pour l’instant, nous ne pouvons dire combien de banques vont adopter ce système. » Il a tout de même rappelé : « la Lloyds TSB a introduit depuis octobre 2005 un système de « token » qui génère des mots de passe pour prés de 30,000 de ses clients et le groupe Alliance & Leicester utilise une image pour rassurer ses clients et authentifier la transaction. »

Reste un petit bémol puisque ce lecteur ne peut pas encore lire tous les modèles de cartes.

A quand l’authentification forte ?

Une récente étude fait froid dans le dos. Selon la CNIL (Commission nationale informatique et liberté) sur dix sites bancaires en ligne audités, 7 (seulement!) respectent la confidentialité et la sécurité des données. Quatre sites de banques en ligne ne sont même pas en transaction sécurisée « https » lors de l’échange des identifiant et mot de passe.

La CNIL regrette ainsi qu’aucune authentification forte et incontestable des clients internautes ne soit mise en ?uvre par les banques françaises. Seuls les identifiants et mots de passe ouvrent les portes des banques en ligne.

L’authentification forte permet grâce à une carte à puce ou une clé électronique unique d’entrer identifiants et mots de passe.

Les solutions existent pourtant et elles se sont fortement améliorées.

« Il y a beaucoup à faire pour améliorer la sécurité du home Banking », souligne José Martinez, directeur général Europe du Sud et Afrique de Secure Computing qui propose notamment des solutions d’authentification forte.

« Les protections ont été améliorées mais ce n’est pas encore ça. Le problème est qu’aujourd’hui, aucune banque française ne propose l’authentification forte via un ‘token’ par exemple ».

Visiblement, les établissements bancaires français observent ce marché en chiens de faïence. « Ils attendent que le premier réagisse », explique le dg.

Il faut dire que les token, les clés électroniques et les systèmes d’authentification forte n’ont pas toujours eu bonne presse: fragiles, coûteux, pas toujours fiables. Mais selon Secure Computing, les choses ont changé, les améliorations sont nombreuses.

En attendant, la France prend du retard face à l’Europe du Nord ou au Continent américain.