Les banques sont-elles prêtes à dire adieu aux mots de passe ?

Les mots de passe existent depuis des décennies, ayant été introduits pour la première fois dans les années 1960 en tant que concept d'authentification pour la cybersécurité.

Depuis, la technologie a évolué, le comportement des consommateurs a changé et le paysage des cybermenaces s'est transformé en un écosystème complexe où les attaques sont de plus en plus sophistiquées et rampantes.
Bien que les mots de passe aient leurs défauts, notamment une mauvaise expérience client, et qu'ils soient sujets à des attaques telles que le credential stuffing, le phishing, l'ingénierie sociale et les attaques par force brute, les institutions financières sont réticentes à s'en débarrasser.

Contrairement aux géants de la technologie, dont Google et Microsoft, qui ont été de fervents adeptes de la tendance à l'absence de mot de passe, arguant qu'il existe de meilleurs moyens de vérifier l'identité d'une personne et de prévenir les fraudes.

Ben Balthazar

"Il y a de nombreuses raisons de s'opposer aux mots de passe", a déclaré Ben Balthazar, consultant principal en matière de fraude chez OneSpan, lors de la dernière table ronde organisée par Fintech Fireside Asia en début de semaine.

"Les mots de passe sont perçus comme une source de tracas pour l'utilisateur, mais leur simple gestion entraîne l'application de politiques de mots de passe complexes, qui diffèrent d'une application à l'autre. En tant qu'utilisateur, cela devient donc un véritable casse-tête. Ensuite, ils vous obligent à changer votre mot de passe dans un certain laps de temps"

Risques liés à la sécurité des mots de passe

Les mots de passe étant des identifiants statiques qui n'expirent généralement pas, ils constituent des cibles faciles pour les attaquants. En outre, de nombreuses personnes réutilisent leurs mots de passe pour plusieurs comptes, ce qui expose ces comptes à un risque de compromission quasi simultanée si un acteur malveillant parvient à mettre la main sur ce seul mot de passe, a déclaré Will Tully, Regional Head Of Fraud, HSBC.

Les violations massives de données, y compris celles impliquant LinkedIn et Yahoo, sont la preuve des lacunes des mots de passe, a-t-il ajouté. Dans le secteur bancaire, les clients d'OCBC, la deuxième banque de Singapour, ont récemment été victimes d'une escroquerie par hameçonnage par SMS qui a permis à quelque 790 utilisateurs de se faire escroquer de 13,7 millions de dollars singapouriens.

"Les mots de passe présentent un risque réel", a déclaré M. Will. "Les banques cherchent toutes à renforcer ce contrôle et à s'éloigner des mots de passe

S'il ne fait aucun doute que la vérification de l'identité doit évoluer, l'adoption de nouvelles méthodes sans mot de passe a été quelque peu lente, principalement en raison de limitations liées à la technologie, a déclaré Mhel T. Plabasan, directeur du département de supervision des risques technologiques et de l'innovation du Bangko Sentral ng Pilipinas (BSP), la banque centrale philippine.

"Le principal défi en termes d'adoption de la technologie réside probablement dans le fait que de nombreuses applications ne prennent pas encore en charge l'authentification sans mot de passe", a déclaré Mhel.

"L'infrastructure peut également constituer un défi. Et bien sûr, si l'on multiplie cela par le nombre d'applications d'une organisation, cela peut devenir énorme à la fois en termes de complexité et de coût."

Authentification dans le nuage

Authentification dans le nuage OneSpan

Créez une expérience client sécurisée et sans mot de passe grâce à une solution d'authentification multifactorielle basée sur le cloud et rapide à déployer.

En savoir plus

De plus, il n'est pas facile d'obtenir l'adhésion des cadres supérieurs à ces nouvelles méthodes.

"L'absence de mot de passe va constituer une transition", a déclaré Mhel. "À mesure que les organisations seront convaincues des avantages de l'authentification sans mot de passe, elles seront de plus en plus nombreuses à adopter ce type d'authentification, compte tenu des avantages qu'elle présente, notamment en termes d'expérience utilisateur et d'amélioration de la sécurité

La réglementation peut s'adapter à ces nouvelles méthodes d'authentification, a noté Mhel, mentionnant que la banque centrale des Philippines a été un des premiers partisans de l'authentification sans mot de passe et a été parmi les premières juridictions en Asie-Pacifique (APAC) à introduire une réglementation sur l'authentification basée sur le risque en 2017.

Découvrez les défis de sécurité du Web 3.0 dans cet entretien avec Security Guy TV

Mettre de la friction là où c'est utile

Faisant écho à Mhel, Will a déclaré que le passage à l'absence de mot de passe exigera des banques qu'elles abandonnent leur "approche d'authentification binaire" au profit d'une authentification basée sur le risque, dans laquelle des niveaux de rigueur variables sont appliqués aux processus d'authentification en fonction des différents niveaux de risque.

"L'authentification basée sur le risque est la capacité d'évaluer le risque d'une certaine activité que vous effectuez en ligne et d'ajouter des frictions lorsque cela est nécessaire afin que cela devienne plus difficile à faire et que nous augmentions le niveau d'authentification au moment opportun", a déclaré M. Will.

"En fait, toute défense, y compris sans mot de passe, doit inclure une stratégie d'authentification basée sur le risque. Chez HSBC, nous nous intéressons de près à l'authentification basée sur le risque afin de pouvoir vous défier en ligne

Ben a déclaré que l'analyse comportementale sera un élément clé pour les méthodes sans mot de passe à l'avenir, aidant à détecter les anomalies dans le comportement de l'utilisateur grâce à une combinaison de science des données, d'algorithmes d'apprentissage machine (ML) et d'intelligence artificielle (IA), et à attraper de manière proactive les tentatives de fraude.

"Les données dont vous disposerez seront tellement plus nombreuses que vous vous sentirez beaucoup plus à l'aise en ce qui concerne la réduction de l'authentification", a déclaré Ben.

"En fin de compte, vous serez en mesure d'aller jusqu'à n'avoir aucune identification pour certaines choses de base telles que la vérification du solde sur votre application mobile

Mais en fin de compte, tout dépend de la manière dont ces nouvelles technologies sont déployées et de la mise en place d'une stratégie plus large.

"Le soutien à la technologie ne se limite pas à ce que vous utilisez comme solutions, mais l'écosystème qui l'entoure est également important", a déclaré Ben.

"Le problème que nous constatons souvent est que les banques adoptent la bonne technologie, la déploient, mais souvent de manière incorrecte, c'est-à-dire qu'elles commettent de légères erreurs dans la manière dont elles appliquent la technologie, ce qui entraîne généralement de nouveaux risques qu'elles n'avaient pas auparavant. Ils ont en quelque sorte l'illusion que la nouvelle technologie qu'ils ont déployée résoudra tous leurs problèmes"

Mhed a fait remarquer que, comme toute nouvelle technologie, les méthodes sans mot de passe présentent également leurs propres risques, en particulier lorsque des technologies telles que les "deep fakes" pourraient potentiellement contourner l'authentification biométrique telle que la reconnaissance faciale et vocale.

"Aucune technologie n'est sûre à 100 %", a-t-il déclaré.

"La décision de passer à un mécanisme d'authentification sans mot de passe doit être étayée par une évaluation des risques et une diligence raisonnable appropriées

Réimaginer un monde sans mots de passe
Webinaire

Réimaginer un monde sans mots de passe

Les mots de passe sont peu pratiques, risqués et coûteux pour les banques. Des meilleures pratiques aux dernières technologies, ce webcast explore ce qu'il nous faudra pour passer à un monde sans mot de passe.

Regarder

Ce blog a été publié pour la première fois par Fintechnews Singapore le 16 mars 2022.