Par Lola BRETON
Cinq ans après l’application Lydia, adoptée par plus d’un million de personnes, les banques françaises se lancent enfin dans le paiement mobile instantané. Début avril 2019, la société Paylib, créée par BNP Paribas, la Banque Postale et la Société Générale en 2013, rejointes par la majorité des banques françaises depuis, a annoncé le lancement d’ici l’été d’un service de virement entre particuliers sans délai.
Le but de l’application – qui proposait déjà des services de paiement mobile sans contact chez les commerçants et en e-commerce – est de rendre le paiement plus simple et rapide. En 2018, son service « paiement entre amis » avait rendu les virements mobiles de particuliers à particuliers possibles. Le délai de transfert restait en revanche le même que sur un virement classique. Le nouveau développement de ce dispositif permettra donc de supprimer ce délai. Cette petite révolution bancaire aura lieu dans nos smartphones. Se pose alors la question du niveau de sécurité d’un tel dispositif.
Un système qui tend à être sécurisé
Dans sa communication officielle, Paylib assure un dispositif « simple et sécurisé » aux particuliers. Contrairement aux usages en vigueur sur les applications disponibles depuis quelques années, les utilisateurs n’auront pas à communiquer leurs données bancaires ; toute transaction passera par leur smartphone via l’application de leur banque et le numéro de téléphone de la personne à qui ils voudront transférer de l’argent. La société compte également sur la double sécurisation du système pour le voir triompher : aussi bien celle du terminal que celle de l’application. L’authentification biométrique, systématiquement intégrée sur les smartphones les plus récents, et le code de confirmation de transaction issu de l’application bancaire, et reçu par SMS, sont donc mis en avant comme des barrières à d’éventuelles intrusions.
Face à ces éléments qui se veulent rassurants, des questions émergent. Si le dispositif la met en avant, cette double sécurisation n’est tout de même pas infaillible. Les exemples de failles dans la reconnaissance biométrique intégrée aux smartphones tendent à se multiplier. En novembre 2018, des chercheurs de l’Université de New York et du Michigan ont publié un rapport d’étude inquiétant à ce sujet. A partir de 6 000 empreintes digitales existantes, ils ont réussi à en créer de nouvelles qui permettraient de déverrouiller 20 % des systèmes protégés par cette barrière biométrique. Les hackers ont, de plus, d’ores et déjà trouvé des failles dans les systèmes d’applications bancaires, comme le démontre le livre blanc de Pradeo – entreprise française qui propose des solutions de protection des terminaux et des applications mobiles – sur le sujet. L’interception du code à usage unique envoyé par SMS pour valider une transaction est aujourd’hui aisée pour les attaquants, par exemple.
Cela renforce le discours, de plus en plus présent dans le secteur numérique, selon lequel les nouvelles technologies doivent absolument être accompagnée de cybersécurité by design pour être pérennes, et pour protéger, dans le cas des virements mobiles, les actifs financiers, mais aussi les données personnelles. Il semble donc que ce soit sur le support des applications que les améliorations doivent être pensées à l’avenir.
La sécurité des terminaux mobiles en question
« Le terminal devient le point faible ». Pour Renaud Gruchet, directeur commercial chez Pradeo, c’est là que se joue le risque potentiel d’un dispositif comme Paylib. En s’appuyant sur les propriétés du smartphone – détenu par 75 % des Français et toujours à portée de main – le virement instantané prend un risque assez conséquent. Le risque zéro n’existe pas, certes, mais il convient de penser très vite à l’amélioration de la sécurité des terminaux mobiles. Le développement de nouveaux usages de paiement sont, bien sûr, à encourager, mais, pour éviter le vol de données et le piratage de comptes en chaîne, ces avancées en matière de sécurisation sont indispensables.
« Ici, le terminal utilisateur devient le terminal de paiement. Ce terminal est dans la poche de l’utilisateur qui, dans la plus grande majorité des cas, ne se pose pas la question de la sécurité des données », souligne Renaud Gruchet. Pour l’expert en sécurité mobile, le travail à faire se situe autour du contrôle de l’environnement des terminaux. « Plus l’activité des banques en ligne se déplacera sur le mobile et plus les pirates iront là où va le flux », ce qui rend ce travail d’autant plus indispensable.
Des technologies de sécurisation de la flotte mobile existent déjà. Les entreprises françaises Pradeo et Ercom, par exemple, en proposent. Il est aujourd’hui possible de compartimenter son smartphone en deux pour disposer d’une interface professionnelle et sécurisée séparée d’éléments et applications privés et/ou moins sensibles. Cette solution de Mobile Device Management (MDM) est utilisée dans plusieurs entreprises. Les particuliers, eux, n’en ont pas encore l’usage. Cette solution est peut-être une première piste à explorer à l’heure où les transactions bancaires se font à portée de doigt. Au-delà de ces aspects techniques, l’enjeu sécuritaire se conçoit aussi en termes d’éducation et d’hygiène. Il revient aux acteurs concernés d’enseigner les bonnes pratiques aux utilisateurs des services bancaires sur mobile.
Les banques associées à Paylib ont visiblement déjà cerné cette partie du problème. Sur le site web de La Banque Postale – qui dispose déjà du dispositif de sécurité Certicode Plus qui permet l’authentification forte de son application mobile –, des conseils pour « la protection du smartphone » sont disponibles. La banque établit des « bons réflexes » à suivre, comme installer et mettre fréquemment à jour des anti-virus ou pares-feux, ou encore s’assurer de la sécurité de sa connexion. Comme le souligne Renaud Gruchet, avoir un terminal de paiement dans nos poches nécessite aussi son « authentification et le contrôle du terminal depuis lequel s’exécute l’application ». Sans cela, le risque de voir ses données copiées par des applications screen logger, ou subtilisées après attaques overlay, se fera plus grand.