C'est pas mon idée !

lundi 25 avril 2011

Cronto complète sa gamme de solutions de sécurité pour la banque en ligne

Cronto
Avec la sophistication croissante des attaques, la sécurisation des transactions en ligne est un enjeu majeur pour les banques, qui est aussi en passe de devenir une obligation réglementaire. De multiples solutions existent sur le marché mais celle de Cronto, société fondée en 2005 sur la base de recherches de l'Université de Cambridge, se distingue de la plupart d'entre elles en apportant une réponse réelle aux menaces actuelles les plus pernicieuses.

CrontoSign adopte en effet les techniques à l'état de l'art pour protéger les opérations sensibles sur Internet : authentification à deux facteurs, de l'utilisateur et de la transaction. Sa mise en œuvre d'un code visuel (une sorte de tag 2D) en rend de plus l'utilisation relativement simple et ergonomique, contrairement à d'autres approches offrant le même niveau de sécurité (par exemple les lecteurs de carte à puce).

Comment le système fonctionne-t-il ? Lorsque l'utilisateur réalise une transaction "sensible" (par exemple un virement), le service de la banque affiche un code visuel embarquant les détails de l'opération, chiffrés et signés avec une "clé" préalablement attribuée au client. Ce dernier capture l'image avec l'appareil photo de son téléphone mobile, l'application de Cronto lui présente alors les informations sur la transaction (pour vérification) et fournit un code de validation, qu'il suffit de saisir sur le site web pour finaliser l'opération.
Cronto
Grâce à cette technologie, la protection est optimale : en utilisant un appareil distinct (le mobile), la génération du code de validation est sécurisée contre les logiciels malveillants qui auraient infecté le PC du client et, en intégrant les caractéristiques de la transaction, les attaques de type "Man in the Middle" (MitM) ou "Man in the Browser" (MitB), qui modifient les données à l'insu de l'utilisateur, deviennent inopérantes.

L'annonce récente de Cronto permet dorénavant aux banques d'offrir ce service à leurs clients qui ne disposeraient pas d'un téléphone compatible. La société propose en effet un appareil dédié, équipé d'un capteur photo, remplissant les mêmes fonctions que le mobile. Selon ses dires, son coût serait compatible avec une généralisation dans une banque de détail.

Commerzbank, la deuxième banque allemande, a adopté CrontoSign sur ses services en ligne depuis fin 2008 (cf. l'illustration ci-dessus), et un de ses représentants déclare en être très satisfait, laissant entendre son intention de déployer le nouveau dispositif.

Dans un marché où la majorité des solutions proposées souffrent de défauts majeurs, sécurisation limitée (par exemple la génération "locale" d'un mot de passe à usage unique sur mobile) ou difficulté d'utilisation (par exemple l'envoi d'un SMS de confirmation avec code de validation), l'approche proposée par Cronto est digne d'intérêt, en proposant un compromis intéressant entre ces deux exigences opposées, même si elle a aussi ses inconvénients (notamment son coût).

Aucun commentaire:

Enregistrer un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)