Selfie : pourquoi la reconnaissance faciale est désormais LE moyen le plus sûr de sécuriser nos comptes bancaires en ligne

Atlantico : Pour la première fois, une banque (HSBC) autorise ses clients à vérifier leur identité avec un selfie (qui sera comparé avec une photo d'identité donnée au préalable) pour consulter leur compte en ligne à partir de leur smartphone. Pensez-vous que ce nouveau type d'identification est plus sécurisant que les autres moyens de sécurisation d'accès aux comptes bancaires ? 

Jean-Paul Pinte : Rien n’est aujourd’hui inattaquable ni infalsifiable quand il s’agit de contrôler et de sécuriser l’accès aux données d’une personne. Et pour chaque forme d’innovation ayant eu lieu dans ces domaines, on le sait très bien, les cyberdélinquants ont toujours été là pour y trouver la faille. Nous ne sommes qu’au début d’une longue liste de possibilités biométriques et les surprises ne manqueront à l’avenir. Les mots de passe ont à mon sens encore quelques années devant eux même si on annonce leur mort depuis longtemps.

Google annonce avoir amorcé des tests de paiement similaire avec sa nouvelle application Hand Free disponible sur iOS et Android. De même, la société Amazon a souhaité renforcer l'identification à son site tout en simplifiant le processus. Pour ce faire, le géant de l'e-commerce a misé sur la reconnaissance faciale.

En juillet 2015, Mastercard affirmait également avoir investi dans les technologies de reconnaissance faciale. La société présentait ainsi le Selfie Pay visant à aider les consommateurs dans l’amélioration de la sécurité de leurs opérations en prenant des photos d'eux-mêmes. En examinant les activités d'authentification biométriques, MasterCard souhaite identifier les gens pour ce qu'ils sont, pas ce dont ils se souviennent. Notons que MasterCard a mis aussi à l'essai une gamme de méthodes d'authentification, telles que l'identification faciale ou la reconnaissance de la voix et du rythme cardiaque par le biais d'un bracelet à porter.

HSBC vient d’emboîter le pas en décidant de permettre à ses clients professionnels (chefs d'entreprises, professions libérales, etc.) d'ouvrir un compte avec un selfie. Lorsque le client souhaitera accéder à ses comptes, son visage sera scanné.

Au niveau sécurité, tout semble être au top car la méthode consiste à faire correspondre une image à partir de votre selfie initial extrait de vos documents. En plus de ce selfie, une photo, une date de naissance, un permis de conduire ou autre document seront stockés et chiffrés séparément en guise de double sécurité. Cela signifie donc que même si quelqu'un était en mesure d'obtenir en quelque sorte la main sur un de ces éléments d'information et de les déchiffrer, ce qui est presque impossible de faire, ils ne connaîtraient qu’un élément d'information. 

Quoi qu’il en soit, des risques subsistent car on ne peut éviter le vol de données telles les photos, ni le cas de jumeaux. Se prendre en photo à chaque validation de transaction pourrait vite se révéler à la longue bien plus contraignant et compliqué que de taper un code. L’identification par selfie est cependant  une des premières armes de lutte contre la fraude en ligne.

Selon vous, le selfie va-t-il à terme supplanter les moyens de sécurité déjà existants ?

Non, je ne pense pas que cette technologie soit sur le point d’être la solution finale à la sécurité de toute identification même si la technologie selfie est rentrée dans les mœurs.

De l’empreinte vocale au paiement sans les mains (Hand free) en passant par des smileys pour déverrouiller un smartphone, les solutions biométriques n’ont pas manqué à ce jour.

Les téléphones mobiles Androïd peuvent être débloqués par un système de reconnaissance faciale depuis déjà quelques temps.

L’authentification des paiements en ligne par les selfies est juste un commencement, car d’autres nouveautés sont attendues et déjà en cours de pratique, comme la reconnaissance vocale chez Mastercard, ou encore pour cette même société la possibilité de confirmer son identité à l’aide de l’analyse des battements cardiaques, en partenariat avec la start-up canadienne Nymi.

Les chercheurs de Motorola travaillent même sur une pilule génératrice de mots de passe qui, une fois ingérée, s'activera dans l'estomac et émettra un signal !

Le selfie est-il selon vous amené à se développer chez d'autres banques que HSBC comme le nouveau moyen de sécuriser ses comptes en ligne à partir d'un smartphone ?

Oui, d’autres banques vont passer par cette étape car les smartphones sont de plus en plus utilisés par les internautes pour gérer leurs comptes bancaires à la vue de leur instantanéité d’accès. Has been, la technologie selfie devrait même laisser place à d’autres technologies comme en Suisse où la Raiffeisen permet à ses nouveaux clients de s'authentifier en ligne grâce à l'identification vidéo pour ouvrir un compte notamment. Après la banque Vaillant, La Poste et UBS, l'identification en vidéo, récemment autorisée par la Finma (Autorité fédérale de surveillance des marchés financiers), fait son entrée à la Raiffeisen. Les nouveaux clients n'ont plus à se déplacer au guichet pour ouvrir un compte. La vérification de l'identité se fait via un entretien vidéo avec un collaborateur du centre de service à la clientèle. Il est inutile de télécharger une application.

Certes, les banques qui opteront pour cette orientation doivent savoir que la sécurité à 100% n’existe dans un aucun domaine et le domaine de la biométrie ne fait pas exception à cette règle. Cependant, ces technologies de sécurité basées sur la biométrie restent plus sûres que les traditionnels identifiants et mots de passe que les clients fournissaient auparavant. De nos jours, l’identification biométrique peut être considérée comme la norme la plus élevée pour la vérification de l’identité, comparativement aux noms d’utilisateur et mots de passe traditionnels, qui finissent souvent sur des post-it.

Reste à savoir maintenant si les Français sont prêts culturellement à passer à ces modes d’authentification biométrique.