Banque mobile : sa popularisation dépend du cryptage

Par 27 août 2009
Mots-clés : Smart city, Europe

Les services bancaires mobiles sont un sujet sensible. Leur sécurisation - sans intervention de l'utilisateur - est une des pistes étudiées, même si aucune solution ne pourrait s'avérer satisfaisante à court terme.

"Le téléphone portable est encore perçu comme un support plus risqué que l’ordinateur en ce qui concerne son utilisation pour des opérations bancaires", explique à L’Atelier Andrew Gorrin, senior manager chez Hitachi Consulting, "C’est le principal frein à l’adoption de la banque mobile". Cela changera peut-être bientôt. Une équipe de spécialistes et d’ingénieurs de l’Université de la City à Londres travaille en effet à un procédé de cryptage qui vise à simplifier la sécurisation de la banque mobile. "Dans notre modèle, explique pour l’Atelier le docteur Rajarajan, responsable de l’étude, la carte SIM génère elle-même les certifications requises. Il n’est donc plus nécessaire de transmettre de clé depuis les sites bancaires".Les systèmes habituels génèrent en effet un code dans le téléphone utilisé pour la transaction. Ce code était généré à l’aide d’une clé secrète fournie par le site marchand durant la phase d’enregistrement. C’est cette phase d’enregistrement qui constituait souvent la faille point de vue sécurité.
Une authentification plus sûre pour un support vulnérable
Pour Andrew Moore, manager chez Hitachi Consulting "ce système rendrait l’utilisation de la banque mobile plus intuitive". Il ne serait en effet plus nécessaire de renseigner noms d’utilisateurs et mots de passe à chaque utilisation. Reste qu’il rappelle qu’"un téléphone portable est facilement perdu, et avec l’augmentation des données et des informations qu’il contient, cela attire les malveillances". Le risque tient donc autant de la nature des services proposés que de la vulnérabilité du support en lui-même. "Une personne utilisant un mobile volé équipé de ce système pourra s’authentifier auprès du service bancaire, mais elle ne pourra accéder aucune donnée sans le code PIN", rassure le docteur Rajaran.Et celui-ci n’est ni stocké dans le téléphone, ni transmis par le réseau. L’équipe de chercheurs étudie également la possibilité d’étendre leur système au paiement mobile. Pour Andrew Moore, là aussi la spécificité du mobile appelle à la plus grande prudence : "Cela demande la mise en place d’une couche de sécurité supplémentaire".
Une adoption massive improbable
Si un tel système est intéressant, Andrew Moore émet quelques réserves sur sa généralisation.La banque mobile évolue dans un milieu extrêmement complexe qui limite de toute façon la possibilité pour un nouveau système de s’étendre à l’ensemble des applications. "Il existe de très nombreux fournisseurs de logiciels de banque mobile et de solutions de sécurité", rappelle-t-il. Pour que n’importe quel système de sécurité soit massivement adopté, il faudrait tout d’abord qu’une ou deux de ces sociétés obtiennent une part de marché suffisante ou qu’elles se mettent d’accord. "Étant donné le nombre de parties prenantes, il est très improbable que cela arrive dans un avenir proche", analyse-t-il. Sans compter l’extrême diversité des systèmes d’exploitation utilisés par les téléphones portables, sans commune mesure avec ce qui se passe pour les ordinateurs.

Mentions légales © L’Atelier BNP Paribas