Les banques américaines renforcent la sécurité de leurs transactions

Les banques américaines doivent renforcer leur système d’authentification des utilisateurs, lors des transactions en ligne. Le mois dernier, en effet, le FFEC (Federal Financial Institution Examination Council) a édicté de nouvelles lignes directrices, incitant vivement les banques américaines à dépasser le duo « log-in » et mot de passe. Et ce, avant la fin 2006. Débats et expérimentations vont donc bon train sur la technologie à adopter : reconnaissance de la machine qui se connecte, ajout de questions auxquelles ne peut répondre que le titulaire du compte préalablement authentifié par des méthodes classiques, ou encore, biométrie. «

C’est une question de coût, mais nous devons également rester attentifs à ne pas imposer des contraintes ultérieures à nos clients » expliquait Donald Dugan, l’un des responsables de la technologie à la Bank of the west, dans Computerworld du 24 octobre dernier. Lents ajustements Certaines banques se sont déjà lancées. Ainsi, Bank of America implémente actuellement Site key, développé par Menlo Park. Ce logiciel détecte l’ordinateur inconnu qui accède à un compte de l’établissement. Il déclenche alors une question complémentaire, qui permet de vérifier l’identité de la personne connectée, ajoutant ainsi un niveau de sécurité. A contrario, le logiciel rassure également le client. Ce dernier peut choisir une image, un lion par exemple, qui s’affichera lors de la consultation. Une confirmation pour l’internaute, qu’il ne navigue pas sur un site bidon. Seul problème, si certains établissements de la banque ont renforcé leur système d’authentification à la date prévue, d’autres, comme à Washington ou dans l’Idaho, accumulent plusieurs mois de retard. Sans autre explication que celle d’une porte parole de la société, pour laquelle, « parfois, lorsque l’on fait ce type d’implémentations, il faut faire des ajustements». Dont acte. Authentification dépassée Au delà des éventuelles difficultés techniques, reste que pour certains analystes, comme Alenka Grealish, de Celenty LLC, une société de consultants, «il n’est pas suffisant de sécuriser la porte. [?]c’est toute la stratégie anti-fraude des banques doit être qui doit être renforcée ». Et, de fait, explique Jonathan Penn, un analyste de Forrester research, un institut de recherche, dans Computerworld du 27 octobre, le « phishing» ou les chevaux de troie sont déjà capables de mettre à mal certaines des technologies d’authentification les plus fortes. La course continue.