C'est pas mon idée !

lundi 16 juin 2014

Touch ID : Apple ouvre la boîte de Pandore

Ce fut l'une des annonces phares de l'édition 2014 de la conférence développeurs d'Apple : un an après son apparition sur l'iPhone 5s, le dispositif d'authentification par empreinte digitale « Touch ID », jusque-là réservé au déverrouillage du téléphone et aux achats intégrés, sera désormais ouvert aux applications tierces.

Presque aussitôt après la présentation, la machine à rumeurs se mettait en route, donnant PayPal comme l'un des premiers acteurs du secteur financier prêts à adopter la technologie. Depuis, aucune confirmation n'est arrivée mais, entre temps, quelques banques ont commencé à lever le voile sur leurs intentions. Parmi elles, selon la revue American Banker, Tangerine Bank (ex ING Direct Canada) aurait démarré ses développements tandis que City Bank Texas envisagerait un déploiement autant auprès de ses collaborateurs que de ses clients.

Il faut avouer que l'utilisation de « Touch ID » en remplacement des traditionnels identifiants et mots de passe de la banque mobile est une proposition tentante pour les institutions financières. Finies les pénibles saisies de texte sur le clavier, il suffirait de passer son doigt sur le lecteur pour accéder à ses comptes. Et la promesse de simplicité et de sécurité de la biométrie deviendrait ainsi une réalité quasiment immédiate pour les millions de propriétaires d'appareils compatibles (l'iPhone 5s pour le moment et peut-être l'iPhone 6, s'il arrive en septembre)…

Pour autant, une banque osera-t-elle réellement se lancer dans l'aventure ? En dépit de ses incontestables avantages pour l'expérience utilisateur, il ne faut en effet pas perdre de vue les incertitudes qui planent encore sur la solution d'Apple. Sans revenir sur la possibilité d'abuser le lecteur avec des empreintes « fabriquées » (qui est tout de même loin d'être à la portée du premier venu), il n'en reste pas moins que la sécurité d'ensemble du dispositif n'a pas, jusqu'à maintenant, été testée en profondeur.


Il est finalement assez incongru que des institutions financières soient apparemment tentées de faire confiance à Apple, jusqu'à lui confier la sécurité de leurs applications, alors qu'elles ont toujours été promptes à rejeter toute hypothèse d'utilisation des mécanismes d'authentification partagés de Facebook et autres Google, qui sont pourtant largement plus éprouvés. Il est vrai que la perception des consommateurs n'est pas la même (la firme à la pomme jouissant d'une légitimité « automatique ») et il faut bien répondre à leurs attentes…

Et si une faille (comme celle du début d'année) venait à être découverte, quel serait le recours des victimes, incapables de changer leur empreinte digitale comme un simple mot de passe ? Je me permettrais donc de suggérer aux entreprises qui envisagent d'exploiter « Touch ID » dans leurs applications de prendre quelques précautions minimales : en réserver l'usage à des fonctions peu critiques ou prévoir une option de désactivation pour l'utilisateur final ainsi qu'un mécanisme de neutralisation global, qu'un administrateur pourrait déclencher à distance en cas de crise grave. En espérant qu'il reste inutile…

Aucun commentaire:

Enregistrer un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)