C'est pas mon idée !

lundi 15 juin 2020

Le retour de l'authentification comportementale

NatWest
Depuis des années, quelques Cassandre prédisent des catastrophes de sécurité avec le paiement en ligne. Depuis aussi longtemps, des solutions de protection par analyse du comportement sont expérimentées, puis abandonnées. La réglementation européenne donne aujourd'hui à NatWest l'occasion de réveiller le concept.

Bien que les taux de fraude enregistrés sur les transactions à distance, notamment par carte bancaire, semblent rester sous contrôle, il est évident que la multiplication des attaques, de plus en plus industrielles, sur les plates-formes de e-commerce constitue une menace désormais pressante. C'est bien la raison pour laquelle le régulateur a introduit dans la deuxième directive des services de paiement (DSP2) une obligation d'authentification à deux facteurs pour les règlements supérieurs à 30 euros.

Après avoir été repoussée, en ordre dispersé dans les différents pays de l'union, la disposition doit entrer en vigueur à la toute fin de cette année. Elle reste pourtant très controversée, en dépit de sa légitimité, car les entreprises craignent une forte hausse des abandons de paniers sur leurs sites face à la friction supplémentaire que représentera l'ajout d'une étape de contrôle dans le parcours d'achat. La mise en œuvre, plus ou moins volontaire, du système 3D Secure a montré son impact négatif sur les ventes…

Le meilleur moyen de satisfaire pleinement les marchands et leurs clients consiste à savoir concilier dans les meilleures conditions sécurité et expérience utilisateur. Voilà exactement la promesse de l'authentification comportementale, telle qu'elle est donc testée par NatWest avec une technologie fournie par Visa : plutôt que de requérir une action pour confirmer l'identité du payeur (saisie d'un code reçu par SMS, par exemple), il s'agit de vérifier si ses gestes de navigation sont conformes à ses habitudes.

NatWest – Stay Safe and Secure

Dans la mesure où l'empreinte unique capturée à travers la mesure des mouvements de souris ou du doigt, des applications et pages fréquentées, des durées d'affichage des écrans et de leur déroulement, des modalités de composition de textes, des délais de réaction aux stimuli… est suffisamment précise pour distinguer sans ambiguïté deux individus ou un opérateur humain d'un robot, offrant alors une fiabilité optimale, l'approche s'avère presque idéale, puisque totalement transparente pour l'internaute.

Certes, le principe présente quelques défauts résiduels. Le plus important, impossible à éviter, concerne l'acquisition initiale du profil du consommateur : avant de pouvoir reconnaître son comportement, une phase d'apprentissage est nécessaire, durant laquelle un autre mode de protection devra être déployé. À l'inverse, un avantage majeur de la solution est qu'elle ne s'appuie sur aucune donnée personnelle directement exploitable, éliminant ainsi automatiquement la plupart des risques de détournement.

Indépendamment de toute réglementation, la cybersécurité est un enjeu critique du e-commerce et ne peut souffrir aucun compromis. Jusqu'à maintenant, l'expérience client est donc considérée comme une variable d'ajustement… Mais ce n'est pas une fatalité, même si le défi est formidable : il faudrait « juste » que les institutions financières aient le courage de remplacer un acte conscient de l'utilisateur par un contrôle algorithmique passif, et acceptent de prendre l'entière responsabilité de son fonctionnement…

Aucun commentaire:

Publier un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)