Mon compte bancaire est-il moins bien sécurisé que mon compte Instagram ?

La sécurité d’accès aux comptes bancaires sur internet, opération particulièrement sensible, a été renforcée depuis 2019. Pourtant, les banques restent en retrait par rapport à d’autres acteurs du numérique. Voici pourquoi, et comment y remédier.

Ils s’appellent Securipass au Crédit Agricole, Certicode Plus à La Banque Postale ou Confirmation Mobile au Crédit Mutuel… Toutes les banques de détail disposent désormais d’un dispositif d’authentification forte, destiné à sécuriser les connexions de leurs clients à leurs espaces bancaires numériques et les opérations sensibles qu’ils y accomplissent. C’est, il faut dire, une obligation, conséquence de l’entrée en vigueur en France, d’un texte européen, la 2e directive sur les services de paiement (DSP2). Depuis septembre 2019, elles doivent notamment vous demander une preuve d’identité supplémentaire, une fois au moins tous les 90 jours.

Comment cela se passe-t-il concrètement ? Lorsque vous vous connectez à votre banque depuis le navigateur de votre ordinateur ou de votre tablette, votre banque peut vous demander de renseigner un second mot de passe, à usage unique, en plus du traditionnel duo identifiant + mot de passe. C’est le cas notamment si vous n’utilisez pas son application mobile. Elle vous l’envoie alors par SMS sur le numéro de mobile associé au compte, à l’image du code 3D Secure parfois utilisé pour sécuriser les paiements en ligne.

Un progrès imparfait

Cette authentification renforcée est clairement un progrès par rapport à ce qui se faisait auparavant. Le code SMS, en effet, est un obstacle supplémentaire pour le cybercriminel tentant de se connecter à votre espace bancaire en ligne, par exemple pour y effectuer des virements frauduleux. Il ne procure pas, toutefois, « un niveau de sécurité parfait », estime Laurent Nezot, directeur des ventes de Yubico, une société suédoise spécialisée dans la sécurité internet. Pourquoi ? Parce qu’il suppose « un secret partagé entre le client et la banque, et donc un transit du mot de passe sur le réseau, qui peut être intercepté. »

Résultat : cet accès à l’espace bancaire en ligne, une opération pourtant particulièrement sensible, reste en retrait, en termes de sécurité, par rapport à d’autres services web. « Il est frappant de constater qu’à l’heure actuelle, les comptes des réseaux sociaux sont souvent mieux sécurisés que les comptes bancaires », note ainsi Yubico dans un récent communiqué.

Les banques en retrait

Que font Facebook, Twitter ou Instagram que ne savent pas faire les banques ? Eh bien, non contents d’encourager leurs usagers à adopter l’authentification forte, même en l’absence de contrainte réglementaire, ils leur proposent aussi des dispositifs plus robustes que le code SMS.

Dans ces réseaux sociaux, on peut par exemple le remplacer par un code à usage unique à 6 chiffres généré par une application d’authentification installée sur son mobile. L’application agit ainsi comme un tiers de confiance, qui permet d’éviter de faire transiter le code d’authentification par une ligne mobile potentiellement piratée. Il en existe de nombreuses, mais la plus connue est sans doute Google Authenticator, conçue par le réseau social pour protéger les comptes Gmail de ses usagers et adoptée aussi par de nombreux services.

Aucune banque en France n’a, à notre connaissance, recours à ce type de procédure pour sécuriser les connexions web de ses clients. Sans doute parce qu’elle a l’inconvénient de complexifier la manœuvre – il faut installer une application supplémentaire et apprendre à s’en servir. « La plupart des banques veulent un dispositif conforme et facile à prendre en main par l’usager », confirme Laurent Nezot. Ce qui est le cas du code SMS. Pourtant, le porte-parole de Yubico en est persuadé : « Dans la mesure où les consommateurs sont de plus en plus exposés à une meilleure protection partout ailleurs, ils exigeront bientôt les mêmes garanties de sécurité pour leur compte bancaire ».

Certaines banques pourraient même choisir de faire de la sécurité une priorité. « Face à cette question, les banques n’ont pas toutes la même posture », note Laurent Nezot. « Certaines vont chercher à proposer le meilleur rapport entre la sécurité et l’expérience utilisateur, et en faire un argument commercial ».

Chez Boursorama, des connexions sûres et sans mot de passe

En France, une banque a déjà emprunté cette voie : Boursorama Banque. Elle propose depuis peu à ses clients d’utiliser une clé de sécurité pour se connecter à leur espace bancaire depuis le navigateur de leur ordinateur, de leur tablette ou de leur mobile, à condition qu’ils ne soient pas trop anciens (1). Intérêt du dispositif : il permet de se passer du mot de passe à 6 chiffres sans rogner sur la sécurité. Au contraire : le mot de passe est en effet remplacé par des modes d’authentification beaucoup plus difficiles à contourner : selon l’appareil utilisé, l’empreinte digitale ou rétinienne, la reconnaissance faciale ou encore un périphérique externe, sorte de clé USB à connecter sur l’appareil.

La bonne nouvelle, c’est que rien n’empêche d’autres banques d’imiter Boursorama ! Pour proposer des connexions à la fois simples et sûres, cette banque en ligne s’appuie, non pas sur une technologie propriétaire, mais sur Web Authentication (ou WebAuthn en abrégé). Soit le standard officiel de l’authentification en ligne, retenu comme tel par World Wide Web Consortium (W3C), le consortium international chargé de définir des technologies communes à tous les acteurs du numérique. À qui le tour ?

(1) La clé de sécurité de Boursorama est disponible sur les appareils fonctionnant sous Windows 10 Hello (côté PC), Android 7 MacOS 11 (Mac) et iOS 14 (iPhone), ou plus récents.