Authentification sans mot de passe : Comment les institutions financières peuvent régler le problème des mots de passe
Les mots de passe sont toujours un énorme problème pour le secteur des services financiers. Pour examiner l’ampleur de ce problème et ce que les institutions financières devraient faire pour le résoudre, nous avons parlé à Julie Conroy, cheffe des données de risque au cabinet d’analyse Aite-Novarica, pendant un récent webinaire.
La présentation de notre webinaire est un excellent point de départ pour les chefs de file du secteur bancaire qui souhaitent moderniser l’expérience d’authentification de leurs clients. Dans cette présentation, nous expliquons que comme les mots de passe sont si simples à utiliser, bon nombre d’institutions hésitent à s’en départir. La bonne nouvelle, c’est qu’il existe une meilleure façon de faire les choses. La modernisation de votre pile d’authentification à l’aide d’une authentification sans mot de passe offre une expérience de services bancaires numériques plus conviviale et plus sécurisée.
Nous discutons également des enjeux auxquels sont confrontées les institutions qui ne font pas de mise à niveau en adoptant l’authentification sans mot de passe. Tout d’abord, il est facile pour les criminels, les pirates ou les autres intervenants malveillants de compromettre les mots de passe au moyen d’attaques de force brute, d’un bourrage d’identifiants, d’attaques par dictionnaire et d’hameçonnage ou d’attaques d’ingénierie sociale. Pire encore : la gestion des mots de passe comme facteurs d’authentification est devenue une expérience invariablement frustrante pour tous les clients. Les gens sont fatigués de devoir réinitialiser leurs mots de passe et d’éviter de les réutiliser et sont à la recherche d’une meilleure expérience client. En fait, les recherches d’Aite-Novarica démontrent que 97 % des clients accordent de l’importance à une expérience simple et agréable lorsqu’ils choisissent un fournisseur de services financiers. Malgré tout, bien des banques font encore appel à la combinaison d’un nom d’utilisateur et d’un mot de passe pour sécuriser l’accès à leurs produits et services.
Fait à noter, les entreprises technologiques montrent la voie en modernisant leurs offres au moyen de méthodes d’authentification sans mot de passe, comme la reconnaissance faciale et d’autres moyens biométriques, qui renforcent la sécurité et créent une expérience client plus conviviale. Des entreprises comme Microsoft, Google et Apple sont en avance sur les institutions financières en matière de normes de sécurité. Ces entreprises sont déterminées à offrir une expérience client de qualité supérieure en éliminant les mots de passe. Si vous souhaitez connaître ce que votre banque ou votre institution financière peut faire pour rattraper ce retard, visionnez notre présentation avec Julie Conroy, Pourquoi il est plus sécuritaire d’oublier votre mot de passe que d’en avoir un, ou lisez le résumé de cinq minutes ici.
Le problème des mots de passe et de la gestion des mots de passe
Il n’est plus un secret que les mots de passe ne sont plus un mécanisme de sécurité valable pour les banques. Le défi est le suivant : peu importe le portrait démographique, les consommateurs du monde entier ont tendance à utiliser la même combinaison de nom d’utilisateur et de mot de passe pour plusieurs sites Web, même dans le contexte actuel, où les attaques de prise de contrôle des comptes deviennent plus fréquentes. Bien que les criminels utilisent de nombreuses tactiques pour prendre le contrôle d’un compte, l’utilisation des mots de passe entraîne des risques bien plus importants que les consommateurs soient victimes d’attaques d’ingénierie sociale, par exemple de l’hameçonnage, qui mènent à la prise de contrôle de leurs comptes. Les données sont sans équivoque : selon Statistica, les banques font partie des trois types d’organisations les plus ciblées par les attaques d’hameçonnage. Un autre rapport démontre une augmentation de 300 % des attaques d’hameçonnage ciblant les clients des banques. 1
Aux États-Unis, Marla Ottenstein, chroniqueuse et organisatrice professionnelle, a été victime d’une prise de contrôle de compte; comme elle l’explique, cette expérience a été dévastatrice pour elle :
« Ce genre d’attaque s’appelle une prise de contrôle de compte, et c’est exactement ce qu’ils ont fait : ils ont PRIS LE CONTRÔLE. En piratant mon téléphone cellulaire et mes comptes de courriel, les criminels ont été en mesure de contourner les nombreuses alertes par courriel et par message texte que m’envoyaient ma banque et ma compagnie de carte de crédit, ainsi que mon fournisseur de services mobiles et de câblodistribution, pendant que ces criminels vidaient systématiquement mon compte chèques et facturaient des milliers de dollars de dépenses frauduleuses sur ma carte de crédit. »
La menace est bien réelle. Les trousses d’hameçonnage offertes pour la vente sur le Web clandestin – qui sont facilement accessibles – permettent aux criminels d’héberger facilement, rapidement et à peu de frais des sites d’hameçonnage pour lancer des attaques. En réalité, l’économie du Web clandestin est en pleine croissance, comme le montre notamment l’existence de Genesis Marketplace, qui non seulement vend des noms d’utilisateurs et des mots de passe, mais les empreintes digitales associées à l’appareil. Armés de ce type de renseignements, les pirates peuvent utiliser un bot qui contourne la plupart des mesures de sécurité de gestion des accès en ligne et parvient à accéder au compte bancaire de la victime et à y retirer tout l’argent qui s’y trouve.
Services bancaires mobiles : le point d’entrée de l’authentification sans mot de passe
Un nombre croissant de banques envisagent d’adopter des solutions d’authentification sans mot de passe pour leurs utilisateurs de services mobiles. Selon un sondage mené par Aite-Novarica en 2021, 68 % des consommateurs aux États-Unis utilisent leur téléphone intelligent pour se connecter à leur compte bancaire au moins une fois par semaine. De même, en novembre 2021, Oliwia Berdak, de Forrester Research, a confirmé que « des données de Forrester démontrent que 40 % des adultes de la France, 54 % des adultes de l’Italie et 54 % des adultes du Royaume-Uni ont effectué des transactions bancaires sur un téléphone intelligent – soit sur le site Web de la banque, soit sur son application mobile – au cours du mois précédent. »
Les noms d’utilisateur et les mots de passe ont tendance à être trop encombrants pour être utilisés sur de plus petits appareils, comme les téléphones intelligents. Il existe de meilleures solutions qui combinent une authentification multi-facteurs (AMF) et une expérience utilisateur conviviale et résistent mieux aux attaques frauduleuses.
Voici quelques-unes des méthodes les plus populaires :
- Notifications poussées : Cette méthode envoie un code d’authentification par l’entremise d’une notification qui s’affiche sur l’écran de verrouillage de l’appareil mobile du client. Il a été démontré que les notifications poussées sont beaucoup plus sécuritaires que l’envoi d’un mot de passe unique par SMS. Une autre option consiste à utiliser un code QR envoyé par notification poussée, puis balayé au moyen d’un appareil mobile de confiance à des fins d’authentification.
- Biométrie : La reconnaissance faciale et la lecture des empreintes digitales sont populaires auprès des consommateurs. Bon nombre d’entre eux utilisent déjà l’authentification biométrique de leur appareil, par l’entremise de TouchID ou FaceID, par exemple.
- FIDO : FIDO est une organisation qui a pour mission claire d’éliminer les mots de passe. Ses authentificateurs, qui résident sur l’appareil, éliminent la nécessité d’utiliser des mots de passe et servent de fondement à de nombreuses solutions d’authentification sans mot de passe. Lisez notre blogue sur L’authentification FIDO2 et le Web sans mot de passe.
Principal cas d’utilisation : ouverture de session sans mot de passe pour des services bancaires en ligne ou mobiles
Depuis quelques années, le canal mobile est la méthode de prédilection des consommateurs pour effectuer des transactions bancaires, en particulier depuis le début de la pandémie. D’un autre côté, les fraudeurs suivent aussi cette tendance et déplacent leurs activités criminelles vers le canal mobile. En raison de ces circonstances, il est plus important pour les banques d’analyser la santé et l’intégrité des appareils mobiles de chacun de leurs clients pendant le processus d’ouverture de session bancaire et pendant les transactions. Cette analyse peut diminuer le taux de réussite des attaques frauduleuses et, de même, le risque que les clients se fassent voler leur argent.
Il est essentiel d’élaborer une stratégie de prévention de la fraude qui tiendra compte de la nécessité d’évaluer la santé de l’appareil mobile du client. Pour y parvenir, les institutions financières devront recueillir des renseignements comme l’ID de l’appareil, sa géolocalisation, son système d’exploitation et d’autres éléments de données. Un système de prévention de la fraude qui fait appel à l’authentification fondée sur les risques peut ensuite utiliser ces données pour prendre instantanément des décisions qui protégeront les transactions financières du client.
De quoi aurait l’air un « signal d’alarme » dans ce type de système? Il pourrait s’agir de quelque chose d’aussi simple que de vérifier si le téléphone du client a été compromis par des logiciels malveillants. Un système d’authentification fondé sur les risques peut ensuite simplifier l’expérience utilisateur, étant donné que s’il n’y a aucun logiciel malveillant sur l’appareil, ou si le client effectue une transaction à faible risque, il ne sera pas nécessaire pour le client de réussir à utiliser une autre méthode d’authentification.
Au fur et à mesure que le secteur bancaire passera à l’authentification sans mot de passe, il y aura des occasions d’éduquer les clients pour éviter les idées fausses. L’une de ces idées est la suivante : si les champs de nom d’utilisateur et de mot de passe ne sont pas visibles, c’est que quelque chose cloche. La sécurité est devenue de plus en plus invisible pour le client; c’est notamment le cas avec l’authentification fondée sur les risques.
Par exemple, dans le cas d’un client existant, une relation de confiance a déjà été établie. La banque connaît l’appareil de confiance du client et possède un historique des activités et comportements habituels du client. Chaque fois que le client interagit avec la banque, celle-ci peut utiliser des technologies comme des règles de prévention de la fraude et l’apprentissage automatique pour attribuer un pointage de risque à chaque geste que le client pose pendant sa séance de transactions bancaires. Ce pointage est utilisé pour déterminer s’il faut confirmer l’identité du client à l’aide d’une nouvelle demande d’authentification. Dans le cas d’une transaction de valeur élevée ou à risque élevé, il est possible que le système demande au client de confirmer son identité ou d’autoriser une transaction en authentifiant ce client au moyen de la lecture de ses empreintes digitales. Cependant, si le client ouvre sa session à l’heure habituelle, à l’endroit habituel, au moyen de la même méthode d’authentification, et qu’il fait tout cela sur son appareil de confiance, toutes ces caractéristiques confirment avec un degré d’assurance élevé qu’il s’agit bel et bien du client légitime. Un système d’authentification fondée sur les risques crée un pointage de risque en fonction de paramètres comme ceux-ci et permet au client de s’authentifier sans mot de passe.
Cas d’utilisation no 2 : autorisation de transactions financières au moyen de FIDO
Prenons comme exemple un client qui paie une facture sur son téléphone, à l’aide de son application de services bancaires mobiles. Avant de traiter la transaction, la banque demande au client de confirmer que le montant et le client sont les bons. Dans ce cas-ci, la banque utilise la biométrie pour confirmer l’identité du client.
Les banques devraient s’assurer que leur fournisseur de système d’authentification offre les fonctionnalités de FIDO. Ces fonctionnalités vous permettent de tirer parti des normes ouvertes et de mettre en place une authentification sans mot de passe qui améliorera l’expérience client au moyen de technologies biométriques modernes.
Une autre couche de sécurité peut s’ajouter à cette authentification; on appelle cette couche un canal sécurisé. Un canal sécurisé peut être associé à FIDO pour fournir un cryptage de bout en bout, pour l’ensemble de la transaction financière. FIDO a fait ses preuves comme outil rapide et facile à utiliser qui permet au client d’avoir le contrôle de sa propre authentification. Ainsi, lorsque le client s’authentifie dans un certain nombre d’applications différentes, il utilise son propre authentificateur pour le faire.
Les méthodes d’authentification « certifiées FIDO » sont clé en main et fonctionnelles dès leur arrivée sur le marché. Les applications peuvent toutes fonctionner sur n’importe quel appareil et avec n’importe quel authentificateur grâce à la norme ouverte utilisée. Les organisations disposent donc de nombreuses options lorsque vient le temps pour elles de choisir une méthode d’authentification pour leurs clients.
Il faut souligner que FIDO n’est habituellement pas délivré par une banque. Les banques n’ont pas besoin de poster des jetons d’authentification à leurs clients ni de demander à leurs clients de télécharger une application FIDO. Cet outil fait déjà partie du système d’exploitation Android ou iOS ou de l’environnement Microsoft. La communication FIDO interagit avec un certain nombre de composantes déjà présentes sur l’appareil, en particulier les composantes biométriques.
Au cours de notre présentation, nous avons fait une démonstration de FIDO, au cours de laquelle un utilisateur crée une transaction. Le système lui demande d’authentifier la transaction, et les données de transaction sont présentées à l’utilisateur. Cet utilisateur vérifie les données et confirme qu’elles sont toutes exactes. Ensuite, le système lui demande d’utiliser ses identifiants biométriques pour confirmer et crypter la transaction, puis renvoie le tout à la banque. De cette façon, la banque sait qu’aucun acteur malveillant n’a intercepté et modifié la transaction en cours de transfert. Tout est légitime et la banque peut procéder à la transaction.
Il a été démontré que FIDO est un excellent outil d’authentification sans mot de passe dans les cas comme celui-ci, puisque tout ce que l’utilisateur doit faire, c’est un simple balayage de reconnaissance faciale.
Cas d’utilisation no 3 : virement bancaire électronique avec notification de code QR ou notification poussée
Dans ce cas d’utilisation, les avantages de l’utilisation d’un code QR sur le plan de la facilité d’utilisation deviennent très clairs. La transaction est déclenchée par la banque et ne peut être ni déclenchée ni interceptée par un acteur malveillant – en particulier un criminel qui essaie d’accéder à un compte bancaire au moyen d’une attaque d’hameçonnage et d’ingénierie sociale.
Il est plutôt facile pour le client de recevoir une notification poussée, puisqu’il a l’habitude d’ouvrir des notifications poussées provenant d’autres applications. Et comme cette notification est acheminée par un canal sécurisé, elle est beaucoup plus sécuritaire qu’un message SMS. L’autre aspect qu’il est important de souligner est que les notifications poussées sont des messages cryptés, contrairement aux SMS. Les notifications poussées sont donc beaucoup plus difficiles à pirater qu’un mot de passe unique envoyé par SMS.
Réflexions finales
Cherchez à vous procurer une solution d’authentification sans mot de passe compatible avec une vaste gamme de technologies matérielles et logicielles (p. ex. : authentification biométrique, notifications poussées, Cronto et FIDO). Vous profiterez ainsi de la souplesse nécessaire pour répondre aux besoins et aux préférences de vos clients dans divers cas d’utilisation.
Il est évident que les mots de passe ont depuis longtemps fait leur temps comme méthode permettant de fournir une sécurité sur les canaux numériques et qu’ils présentent des vulnérabilités en matière de sécurité. L’avenir appartient aux solutions d’authentification sans mot de passe. Visionnez le webinaire complet pour obtenir tous les détails.
1. https://venturebeat.com/2021/10/05/cyren-300-rise-in-phishing-attacks-on-bank-customers/