C'est pas mon idée !

samedi 19 juillet 2014

Réinventer la sécurité numérique

Sécurité
Dans le secteur des paiements par carte, la sécurité continue à progresser, entre, par exemple, l'adoption (enfin !) du standard EMV (avec carte à puce) aux États-Unis ou la stabilisation [PDF] des taux de fraude en France. Malgré tout, les modèles actuels arrivent en fin de vie et doivent laisser la place à de nouvelles approches…

Le message fait certes un peu « tarte à la crème », mais lorsqu'il émane d'un dirigeant de Visa Europe (Peter Bayley), il prend une autre dimension et peut retenir l'attention. D'autant plus que le constat qu'il dresse est plus profond, puisqu'il n'hésite pas à affirmer que les jours de la carte plastique sont comptés, destinés à être remplacés par des solutions sur mobile, dans le prolongement du mode « CNP » (« Carte Non Présente ») conçu initialement pour les transactions sur internet.

Au-delà de ce facteur spécifique au secteur du paiement et sous l'impulsion de l'émergence d'une nouvelle classe de solutions techniques, une tendance de fond impose de nouvelles perspectives sur la sécurité, d'un point de vue plus global : l'expérience utilisateur. Il devient en effet impossible d'ignorer les exigences des clients en matière de simplicité et de transparence d'accès aux services qui leurs sont offerts. En conséquence, les protections, toujours nécessaires, doivent de plus en plus être mises intelligemment en balance avec les risques encourus.

La logique devrait être, à chaque instant, de se poser la question : une authentification, mettant en branle des mécanismes lourds de contrôle et de cryptographie, est-elle vraiment indispensable à la transaction en cours ? P. Bayley prend l'exemple, simple et parlant, d'un consommateur qui prend un café tous les matins (à peu près) à la même heure, dans la même échoppe, et règle son achat avec sa carte, pour un montant (presque) toujours identique. A-t-il vraiment besoin de saisir son code PIN pour valider son paiement ?

Ce type de réflexion est en train de mûrir dans de nombreux domaines, en dehors des paiements et de la banque mobile, pour ne prendre que ces deux cas classiques. Ainsi, Google et Apple prennent la même direction au sein de leurs systèmes d'exploitation pour smartphones, Android et iOS. En l'occurrence, il s'agit plutôt de protéger – plus ou moins directement – les appareils ainsi équipés contre le vol, mais rien n'empêche d'imaginer l'utilisation des mêmes techniques pour toutes sortes de circonstances dans lesquelles une identification du mobinaute est requise.

Pour Android, l'approche deviendra réalité avec la prochaine génération (« Android L »). Lorsqu'il sera mis sur le marché, il ne sera plus systématiquement nécessaire de procéder manuellement au déverrouillage du téléphone lorsque le dispositif reconnaît un contexte familier et considéré comme sûr. Entre autres, la localisation du propriétaire à son domicile ou à son bureau ou l'établissement d'une connexion avec sa montre intelligente pourront ainsi lui éviter d'avoir à saisir un code pour ouvrir une application.

Chez Apple, l'ambition est plus élevée mais elle n'en est actuellement qu'au stade du dépôt de brevet (quoique la plupart des techniques exposées existent déjà par ailleurs). Le principe retenu est d'analyser à la fois le contexte et le comportement du mobinaute pour confirmer son identité. Ses lieux préférés, sa manière d'utiliser une application, ses mouvements (façon de marcher…), son vocabulaire, son orthographe, sa grammaire… seraient « surveillés » en permanence et, dès qu'une « anomalie » est détectée, une authentification supplémentaire serait exigée.

La croissance et la professionnalisation de la cybercriminalité requièrent de faire évoluer en profondeur les moyens de protection déployés sur le web et sur mobile. Mais, en parallèle, les futurs dispositifs ne peuvent se contenter d'ajouter toujours plus de contraintes dans un monde où l'utilisateur est roi. Heureusement, ces deux propositions apparemment contradictoires sont conciliables, pourvu que les nouvelles technologies (par exemple d'analyse de données) soient mises en œuvre de manière appropriée. Une certitude subsiste, cependant : « la » solution universelle n'existe pas !

Internet des Objets

Aucun commentaire:

Publier un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)