Des essais concluants et l’autorisation de la Cnil en poche, la Banque Postale déploie un système d’authentification pour le paiement à distance avec une carte bancaire. Une première pour une banque française.
Le dispositif, “Talk to Pay” utilise la voix pour sécuriser les achats en ligne. Elle a pour objectif de renforcer la sécurité des paiements et de simplifier les procédures pour le client, assure La Banque Postale, filiale du Groupe La Poste. L’ authentification par la voix, ou biométrie vocale, a les faveurs des banques au regard de sa simplicité d’utilisation – BPCE et le Crédit du Nord expérimentent également le procédé pour que les clients accèdent à leurs comptes bancaires à distance, via une application ou un serveur vocal. La CNIL vient d’autoriser en tout neuf établissements bancaires (Banque Courtois, Banque Nuger le Crédit du Nord, Banque Kolb, Banque Rhône-Alpes, BPCE, Banque Laydernier, Société Marseillaise de Crédit, Banque Tarneaud) à expérimenter durant un an, et “auprès d’une population désignée”, la reconnaissance vocale pour “s’authentifier lors d’une connexion à un compte ou pour effectuer certaines transactions.” Ces expérimentations visent à tester l’appétence des clients pour ce type de mécanisme, ainsi que la fiabilité de celui-ci. Du point de vue de la protection des données, la CNIL considère que “ces expérimentations constituent des opportunités de tester le niveau global de risques en matière de sécurité et de confidentialité des données.”
Une meilleure sécurité ?
Si les projets satisfont les exigences de la CNIL en matière d’expérimentation, l’instance a toutefois souligné que les conditions dans lesquelles ces expérimentations sont autorisées ne présage nullement de celles qui devraient être mises en œuvre en cas de pérennisation d’un tel dispositif. Elle préconise à cet égard de privilégier les dispositifs qui garantissent à la personne concernée de garder la maîtrise de son gabarit. “Cela suppose de stocker le gabarit biométrique sur un support détenu par la seule personne concernée, ou en base de données sous une forme inexploitable car illisible sans un secret détenu par la seule personne concernée”. Elle rappelle également qu’au regard du Règlement général relatif à la protection des données (le RGPD qui devra être mis en place en entreprise en mai 2018), tout projet de cette nature devra préalablement faire “l’objet d’une analyse d’impact relative à la protection des données, qui pourra lui être soumise“.
Selon la Banque Postale, Talk to Pay permet de “renforcer la sécurité des achats réalisés à distance avec une carte bancaire en générant de façon dynamique un cryptogramme aléatoire à chaque opération de paiement afin de diminuer les risques de « phishing ». Ce cryptogramme n’est communiqué qu’après authentification du client qui reçoit un appel sur son téléphone mobile et prononce une phrase d’authentification.”
Dans une étude de Pindrop, spécialiste de la sécurité vocale, menée auprès de 3 000 consommateurs européens (France, Royaume-Uni et Allemagne), si 40 % des Français seraient être prêts à utiliser une technologie d’authentification par la voix, seuls 10 % s’estiment “très confiants” quant à la sécurité de cette approche d’authentification (le chiffre est identique dans les autres pays). La voix n’est pas un moyen de reconnaissance infaillible et peut faire également l’objet de piratage, estime le spécialiste. “Compte tenu de la facilité avec laquelle il est possible d’abuser d’un système de biométrie vocale, il est clair que la seule utilisation de la voix comme mode d’authentification n’est pas une approche de sécurité suffisante”, explique Matt Peachey, vice-président des activités à l’international chez Pindrop. Avant d’ajouter : “Pour mieux lutter contre les arnaques par téléphone, les organisations doivent mettre en place un système de défense à plusieurs couches. La solution doit être capable d’analyser la voix ainsi que les caractéristiques de l’appel lui-même au niveau sonore et du réseau.”
“Aucun système d’authentification n’est infaillible ; comme les techniques de sécurité, les méthodes des pirates informatiques progressent aussi”, indique Joël Drakes, expert en biométrie vocale chez Nuance Communications, qui édite Nuance Security Suite, une plateforme de biométrie vocale. “La technologie de biométrie vocale Nuance possède l’avantage d’être la plus sophistiquée du marché, grâce à l’utilisation des techniques de réseaux neuronaux profonds, et d’être extrêmement robuste et sécurisée. A fin 2016, aucun cas de fraude avérée n’avait encore été répertorié par nos clients. Notre moteur compare plusieurs centaines de caractéristiques physiques et comportementales en temps réel, ce qui le positionne en tête de tous les benchmarks réalisés ces dernières années en performance brute. De plus, nos algorithmes sont capables de détecter les attaques à base d’enregistrements, de concaténations de segments audio, ou de voix artificielles.
40% des français prêts à utiliser une technologie d’authentification
par la voix60 % des répondants de l’étude menée par Pindrop, spécialiste de la sécurité vocale ont déjà utilisé un système de reconnaissance vocale, et estiment que certains usages vont tripler ou quadrupler d’ici 18 mois. 39 % des européens pensent que la reconnaissance vocale sera la norme dans 5 ans. Les Français seraient, eux, 40 % à être prêts à utiliser une technologie d’authentification par la voix. L’avantage, pour 42 % d’entre eux, est évident : ne pas avoir besoin de se souvenir de ses mots de passe, ou des réponses à des questions dites « de sécurité ».