Chaque marché financier numérique est unique. Dans une seule et même macro-région, vous trouverez un grand nombre de particularités liées à différents pays. C’est ce que je vois distinctement dans la région APAC. Ces deux dernières années, je passais au moins 1/3 de l’année
en Indonésie, j’ai donc trouvé des caractéristiques très typiques ici.
Étant ici, je me sens vraiment en sécurité dans ma vie quotidienne : des gens super sympas et hospitaliers – pas à cause de normes morales, de règles ou quoi que ce soit, mais juste par nature. Mais aussi bien que je me sens super en sécurité dans mes opérations quotidiennes, de la même manière je me sens totalement en danger
lorsque je parle aux équipes locales du numérique et de la sécurité.
De toute évidence, le canal bancaire mobile est le plus populaire ici, même s’il est toujours bien combiné avec les outils bancaires en ligne. L’un des moyens les plus populaires de protéger la banque mobile que j’ai appris à connaître est le mPIN, le code PIN mobile. Et vous dire la vérité, ce n’est ni commode,
ni sécurisé.
D’un point de vue juridique, OJK – régulateur local dans un secteur bancaire en Indonésie – exige une authentification à deux facteurs pour se connecter à l’application bancaire ou effectuer des opérations bancaires mobiles. Certainement, suivant une approche générale de l’authentification client forte,
OJK permet de combiner tous types de facteurs : quelque chose que vous savez, quelque chose que vous avez et quelque chose que vous êtes. En cas d’expérience bancaire en ligne, il est facile d’offrir un jeton logiciel comme outil de confirmation, mais cela peut à peine s’appliquer à une approche centrée sur le mobile.
Ainsi, les banques utilisent principalement une combinaison de mPIN (“quelque chose que vous connaissez”) et d’identification tactile/identification faciale (“quelque chose que vous êtes”). Légalement, cet outil d’authentification est conforme aux exigences de la réglementation locale. Mais explorons le côté technique de cette approche.
Qu’est-ce que le mPIN ?
En fait, c’est juste un mot de passe statique. À première vue, une telle approche semble être la plus simple et la moins chère à bien des égards. Mais en fait, dès que la banque commence à proposer des mPIN, l’équipe de sécurité de la banque doit se soucier d’un moyen de protéger ce
mot de passe : de fraude interne, d’attaque directe sur le serveur de la banque, de tout type de spyware pouvant être installé côté client, de liens de phishing délivrés par SMS ou messagers. L’équipe de sécurité demandera raisonnablement un budget pour HSM (sécurité matérielle
modules) pour authentifier un tel mPIN de manière inviolable. En d’autres termes, mPIN est l’option la moins chère si vous ne voulez rien savoir des coûts cachés.
Dans le même temps, si une opération critique comme le changement de mot de passe – qui devrait faire partie de l’hygiène de routine de sécurité – est confirmée par SMS OTP, alors la banque doit rester fidèle : les clients sont à risque. Parce que dans ce cas, il est assez facile de détourner un tel OTP
et reprendre le compte en utilisant des informations d’identification volées.
“Amulettes de sécurité”
De nombreuses banques préfèrent une position sans changement en combinaison avec des “amulettes de sécurité” – de grands panneaux d’affichage avec des bannières indiquant “ne partagez pas vos informations d’identification ou vos codes OTP avec qui que ce soit”. Mais en 2023, sur la base des rapports Gartner, il existe plus de 200 solutions d’authentification
développeurs à l’échelle mondiale, une telle position ressemble plus à un transfert de responsabilité – comme si les clients de la banque devaient se soucier de la sécurité par eux-mêmes. Les “amulettes” ne fonctionnent plus pour cela.
Les “amulettes” ne fonctionnent pas aussi bien en cas d’intrusion dans le canal de communication entre une banque et l’application bancaire, elles ne fonctionnent pas en cas de remplacement des détails de la transaction en arrière-plan – de même que mPIN ne peut garantir l’intégrité et la non-répudiation de la banque
transaction.
mPIN UX
Outre les risques de sécurité, une des choses que je n’aime pas personnellement – mPIN. C’est la nécessité ennuyeuse de saisir ce mot de passe à chaque fois que le client effectue une opération via l’application. Fondamentalement, il faut environ 10 à 15 secondes pour se connecter à l’application si
vous utilisez un mot de passe statique et Touch ID.
En Indonésie, avec un grand nombre de solutions de paiement alternatives, les banques devraient être fortes pour remporter une compétition pour les paiements quotidiens.
Ok, quelle est la solution alors ?
Vous pouvez poser cette question et j’essaierai d’y répondre sans y ajouter quoi que ce soit. La solution consiste à reconsidérer la sécurité ou au moins à envisager sérieusement une nouvelle approche d’authentification sans mot de passe : basée sur des algorithmes cryptographiques, avec un lien fort avec
l’appareil et les détails de la transaction. La sécurité doit être forte mais invisible pour le client.
Imaginez qu’il soit possible d’authentifier les clients à l’aide d’une clé de sécurité dont ils n’ont même pas besoin de se souvenir, mais qu’ils peuvent simplement activer avec une empreinte digitale à partir d’un appareil précis ? Et si l’équipe de sécurité pouvait aider le numérique à réduire le temps de confirmation
de 10-15 secondes à 2 secondes ? Tout cela est réel et fonctionne déjà.
01130
84675
66158
76462
04843
57867
69491
76948
06801
77804
32136
42533
58187
12053
00807
78783
65454
59911
00147
74017
84713
42586
17417
91565
11677
00369
38800
46451
00073
40384