Depuis l’entrée en vigueur de la deuxième directive européenne sur les services de paiement (DSP2) en 2019, les institutions bancaires françaises ont adopté des protocoles d’authentification renforcée pour leurs services numériques. Ces dispositifs visent à protéger l’accès aux comptes des clients et à prévenir les fraudes. Cependant, malgré ces avancées, les banques restent en retrait par rapport aux pratiques de cybersécurité déjà mises en place par d’autres acteurs technologiques.
Authentification renforcée : des progrès encadrés par la réglementation
Des outils tels que Securipass (Crédit Agricole), Certicode Plus (La Banque Postale) ou Confirmation Mobile (Crédit Mutuel) illustrent les efforts des banques pour se conformer aux exigences réglementaires. En application de la DSP2, les établissements bancaires doivent désormais demander une preuve d’identité supplémentaire, au moins une fois tous les 90 jours, lors des connexions aux comptes en ligne ou lors d’opérations sensibles.
Pour les utilisateurs n’accédant pas à leurs comptes via une application mobile, une méthode courante consiste à envoyer un mot de passe à usage unique par SMS, à l’instar des codes 3D Secure utilisés pour sécuriser certains paiements en ligne. Bien que ce mécanisme représente une avancée par rapport aux simples identifiants et mots de passe, il reste perfectible.
Limites des systèmes actuels
Selon Laurent Nezot, directeur des ventes chez Yubico, société spécialisée dans la sécurité internet, les codes SMS présentent des failles intrinsèques. Ces systèmes reposent sur un secret partagé entre la banque et le client, et le mot de passe transmis peut être intercepté lors de son transit sur les réseaux mobiles. Cette vulnérabilité rend les comptes bancaires encore moins sécurisés que certains services numériques populaires, notamment les réseaux sociaux.
Les grandes plateformes comme Facebook, Twitter ou Instagram ont adopté des systèmes d’authentification multifacteurs plus robustes, tels que les générateurs de codes temporaires intégrés dans des applications spécialisées comme Google Authenticator. Ces dispositifs évitent la transmission de données sensibles via des canaux potentiellement vulnérables.
Pourquoi les banques tardent-elles à innover ?
Les banques françaises n’ont pas encore généralisé l’usage de solutions comme les générateurs de codes ou les clés de sécurité. Ce choix s’explique par une recherche d’équilibre entre conformité réglementaire et simplicité d’utilisation. En effet, l’installation et l’apprentissage de nouvelles applications peuvent être perçus comme contraignants pour les clients.
Cependant, les attentes des consommateurs évoluent rapidement. Exposés à des niveaux de sécurité élevés sur d’autres plateformes numériques, ils pourraient exiger des banques des mesures similaires. Certaines institutions pourraient alors transformer la cybersécurité en argument commercial, en développant des solutions alliant protection et ergonomie.
L’exemple innovant de Boursorama Banque
Boursorama Banque, acteur pionnier du secteur, a récemment introduit un dispositif d’authentification reposant sur des clés de sécurité pour accéder aux comptes via un navigateur. Ce système, compatible avec les appareils récents, élimine le besoin d’un mot de passe traditionnel. L’utilisateur peut ainsi se connecter grâce à des technologies biométriques (empreinte digitale, reconnaissance faciale) ou à un périphérique externe sécurisé.
Ce dispositif repose sur le standard WebAuthn, développé par le World Wide Web Consortium (W3C). Adopté mondialement, ce standard permet une authentification en ligne robuste, tout en garantissant une expérience utilisateur fluide. Boursorama mise ainsi sur une stratégie combinant innovation technologique et conformité aux normes internationales.
Perspectives pour le secteur bancaire
L’adoption de solutions comme WebAuthn pourrait s’accélérer dans le secteur bancaire, notamment si les consommateurs commencent à privilégier les établissements offrant des garanties de sécurité renforcées. Les banques ont la possibilité de se démarquer en investissant dans des technologies modernes et en sensibilisant leurs clients aux enjeux de la cybersécurité.
En parallèle, une collaboration plus étroite avec les acteurs technologiques pourrait favoriser le déploiement de dispositifs sécuritaires avancés à grande échelle. Alors que la menace des cyberattaques continue de croître, ces évolutions deviennent non seulement souhaitables, mais nécessaires pour préserver la confiance des clients dans les services bancaires numériques.