Protection des données: à quand l’authentification forte ?

Contrairement à d’autres pays, la France prend du retard. Les banques préfèrent-elles courrir le risque de l’intrusion ?

Une récente étude fait froid dans le dos. Selon la CNIL (Commission nationale informatique et liberté) sur dix sites bancaires en ligne audités, 7 (seulement!) respectent la confidentialité et la sécurité des données. Quatre sites de banques en ligne ne sont même pas en transaction sécurisée « https » lors de l’échange des identifiant et mot de passe.

La CNIL regrette ainsi qu’aucune authentification forte et incontestable des clients internautes ne soit mise en ?uvre par les banques françaises. Seuls les identifiants et mots de passe ouvrent les portes des banques en ligne. L’authentification forte permet grâce à une carte à puce ou une clé électronique unique d’entrer identifiants et mots de passe. Les solutions existent pourtant et elles se sont fortement améliorées. « Il y a beaucoup à faire pour améliorer la sécurité du home Banking », souligne José Martinez, directeur général Europe du Sud et Afrique de Secure Computing qui propose notamment des solutions d’authentification forte. « Les protections ont été améliorées mais ce n’est pas encore ça. Le problème est qu’aujourd’hui, aucune banque française ne propose l’authentification forte via un ‘token’ par exemple ». Visiblement, les établissements bancaires français observent ce marché en chiens de faïence. « Ils attendent que le premier réagisse », explique le dg. Il faut dire que les token, les clés électroniques et les systèmes d’authentification forte n’ont pas toujours eu bonne presse: fragiles, coûteux, pas toujours fiables. Mais selon Secure Computing, les choses ont changé, les améliorations sont nombreuses. « On viens voir les banques avec des produits très personnalisés car on ne peut plus proposer des solutions standards. Chaque banque a un positionnement très différent, nous sommes donc très flexibles dans les modèles proposés. Par ailleurs, les prix de ces systèmes ont fortement baissé et la fiabilité est désormais solide ». Pour autant, les banques françaises sont « encore dans une logique de réflexion », regrette José Martinez qui prévoit néanmoins un décollage très rapide grâce au succès des banques en ligne. En attendant, la France prend du retard face à l’Europe du Nord ou au Continent américain. Secure Comuting vient ainsi de décrocher un contrat pour fournir des systèmes d’authentification forte à la première banque du Mexique. Mais l’authentification forte ne concerne pas que les banques. Le marché des PC portables lui ouvre les bras. De plus en plus utilisées par les salariés, ces machines sont néanmoins très sensibles aux problèmes de sécurité et d’intrusion vu leur caractère nomade. Token, lecteur de cartes et clés électroniques peuvent donc parfaitement répondre à cette problématique (bien plus que le simple mot de passe pour exécuter Windows…) « Les grands comptes se penchent de plus en plus sur cette question. Nous allons lancer des produits spécifiques pour ce marché », s’enthousiasme José Martinez. Le français Thales est déjà sur le coup avec le lancement du pack MiniCita, une solution incluant carte à puce, son lecteur et le logiciel. Ce pack inclut une authentification forte des utilisateurs par carte à puce, clé USB ou mot de passe, le contrôle d’accès aux sessions Windows, le contrôle d’intégrité des fichiers, le chiffrement ‘à la volée’ des fichiers, la confidentialité des données grâce à un chiffrement AES. Il est vendu à partir de 150 euros.