US: la biométrie au service des banques et de l’e-commerce

Les services bancaires en ligne se multiplient, mais les systèmes destinés à protéger les transactions auprès de l’utilisateur évoluent peu. Or, dans le même temps, l’e-commerce ne cesse de progresser, avec des taux de croissance variant de +25 % aux États-Unis (2 % du commerce de détail) à +50 % en Corée du Sud et même +80 % en Grande-Bretagne.

Ces augmentations exponentielles sont inévitablement génératrices d’une augmentation des risques de fraude, tant sur les sites de vente en ligne que sur les services financiers. Aux États-Unis, une recommandation du FFIEC (Federal Financial Institutions Examination Council) incite les institutions financières à adopter de nouveaux moyens pour vérifier et authentifier l’identité de leurs clients. Il s’agit bien évidemment de lutter contre la fraude, mais aussi contre les risques de chantage et terrorisme financier -une menace qui trouve un nouvel écho dans la paranoïa de certains américains ! Les banques et les institutions financières américaines ont donc deux ans pour faire évoluer leurs méthodes de protection des transactions. Leurs regards se tournent naturellement vers les outils de biométrie, comme la reconnaissance des empreintes digitales ou la reconnaissance de la rétine oculaire. Cependant, l’adoption de ces outils d’authentification devra s’accompagner d’un renouvellement du parc des matériels afin de l’équiper de lecteurs de la rétine ou des empreintes. Une opération qui s’annonce d’un coût élevé et qui présenterait le défaut de heurter la sensibilité individuelle de l’utilisateur. En effet, le consommateur affiche une certaine réticence à placer son doigt sur un système de lecture optique, et plus encore à se faire scanner le fond de l’?il, hormis chez son oculiste… C’est pourquoi les banques américaines vont dans un premier temps réfléchir à certains modes utilisés sur les portails Internet d’e-commerce. Il s’agirait de saisir un code sur le clavier, non pas celui détenu par le consommateur mais un code fourni par le service en ligne, valable ponctuellement pour une transaction et ne pouvant pas être identifié par des procédés de ‘phishing’. Le service en ligne, qu’il s’agisse d’un site Web ou d’un terminal bancaire, affiche un code composé de plusieurs caractères alphanumériques qui se devinent dans une image sur une trame enchevêtrée et de différentes couleurs, de sorte que seul le cerveau humain peut le décrypter et est capable de transcrire en caractères qui seront saisis sur le clavier. Avantage pour le service, chaque transaction fait l’objet d’un code spécifique, que l’utilisateur devra bien évidemment saisir manuellement pour être connecté, mais que les fraudeurs ne pourront pas exploiter car leurs méthodes sont automatisées. Une étude de l’université Purdue a révélé que ce système de code d’accès unique par transaction, à saisir par le consommateur, affiche un taux d’erreurs de l’ordre de 5,27 % et un taux de rejet de l’ordre de 5,89 %. Des chiffres à rapprocher des taux de 37 % et 28 % induits par certains systèmes ! Il s’agit cependant d’un système d’authentification qui ne sera que temporaire ! Car pour respecter les recommandations du FFIEC, les banques et les sites d’e-commerce devront adopter de vrais systèmes biométriques qui sont la seule garantie d’une authentification sérieuse de l’utilisateur, avec des taux d’échec extrêmement réduits.