La fin du mot de passe?

Créer un nouveau compte en ligne, inscrire son adresse mail, puis son mot de passe… c’est devenu une procédure routinière sur Internet. Le genre de chose qu’on fait vite et sans y penser. Sauf que d’après une étude réalisée par Deloitte en 2013, 91% de nos comptes seraient vulnérables. En cause? Nos mots de passe, trop faciles à deviner (qui n’a jamais utilisé sa date de naissance, «azerty» ou «123456» ?) et souvent toujours le même. «Si les sites de banques et les boîtes mail sont plutôt sécurisés, il suffit généralement aux pirates d’aller récupérer votre password sur un site marchand où la protection est plus faible, pour ensuite s’introduire dans vos différents espaces personnels», prévient Jean-Michel Nomdedeu, directeur marketing du programme de confiance numérique de La Poste. Dans ce contexte, et alors que dématérialisation croissante de notre existence accroît le caractère sensible de nos données en ligne, le groupe s’est mis à réfléchir à de nouvelles formes de protection, notamment à travers sa filiale bancaire. «Les fraudes lors des paiements en ligne sont en augmentation et restent un sujet de préoccupation majeur pour les Français. Le challenge : proposer des paiements sécurisés mais également simples d’utilisation», précise Aurélien Lachaud, directeur du développement des marchés de paiement à La Banque Postale, qui expérimente plusieurs systèmes. Revue des pistes à l’étude.

Pour se connecter, l’identifiant et le mot de passe ne suffisent plus. L’utilisateur de La Banque Postale doit désormais entrer sur une application smartphone dédiée un deuxième code à cinq chiffres. Relié au serveur de la banque, cette action valide l’accès au compte et la finalisation des paiements. «Si un hacker dérobe votre mot de passe, il ne pourra pas accéder à votre compte, à moins d’avoir également en main votre smartphone, son code d’accès, et votre deuxième mot de passe», précise Jean-Michel Nomdedeu.

Baptisée «Talk to pay», ce système invitera les clients de La Banque Postale à valider un achat en ligne en répétant par téléphone une phrase préenregistrée par ses soins, de type : «Je m’appelle X et je m’authentifie par la voix.» Le système, capable de reconnaître l’empreinte vocale du client (même s’il est malade), validera ou non le paiement. Dans le cas où l’identification sera positive, un plugin installé sur son ordinateur personnel remplira ensuite automatiquement le numéro de la carte à débiter, la date de validité ainsi que le cryptogramme. Testé pendant plus de 2 ans et validé par la Cnil, ce système devrait être mis en place fin 2016.

«Ce système pourrait être envisagé pour compléter l’usage de l’authentification par la voix. Il conviendrait pour effectuer des achats en dehors de chez soi, au bureau ou dans un lien public», indique Aurélien Lachaud. Il consisterait à s’identifier en envoyant un selfie vidéo de quelques secondes pris en direct avec son smartphone. Ce système, testé par Mastercard, se perfectionne à mesure qu’il est utilisé, grâce à des mises à jour. Il tient ainsi compte du vieillissement du visage, des changements de coupe de cheveux ou du port ou non de lunettes.

Cette option, déjà proposée par Apple et Samsung, permettrait de s’identifier d’un seul geste grâce à son smartphone. «Nous regardons ce qui se fait, en restant attentif au devenir des informations personnelles de nos clients. Car pour ces systèmes, nos partenaires seraient des entreprises étrangères qui auraient le contrôle d’une partie des informations de nos clients», indique Aurélien Lachaud.

Si les technologies existent, elles posent des questions d’usage. «Un utilisateur sera-t-il d’accord pour qu’une machine analyse les ondes de son cerveau ou la forme de notre iris ? Rien n’est moins sûr. Sans parler du coût de telles machines et de leur difficulté de déploiement», note Aurélien Lachaud. D’autre part, il faut savoir quelle forme prendrait le système. «La reconnaissance par le pouls nécessiterait le port d’un bracelet équipé de capteurs. Mais contrairement à un téléphone portable, que tout le monde a sur soi en permanence, ne va-t-on pas l’oublier, le perdre ou l’abîmer?», interroge de son côté Jean-Michel Nomdedeu. «Il est important de trouver le juste équilibre entre sécurité et simplicité d’usage, au risque sinon de voir les consommateurs se détourner de la solution proposée», ajoute Aurélien Lachaud.