La biométrie, entre sécurité et marketing

le 23/01/2014 L'AGEFI Hebdo

Cette technologie, qui semble la plus évoluée pour sécuriser les transactions, a du mal à se faire accepter en France.

Paiement biométrique dans un supermarché en 2013. Patrick Allard/REA

Depuis longtemps, la biométrie n’est plus réservée aux films de science-fiction. Les technologies permettant d’identifier une personne à partir de caractéristiques morphologiques se sont développées dans le contrôle d’accès à certains locaux, aux restaurants d’entreprise, aux cantines scolaires, aux clubs de sport… Elles reposent surtout sur la reconnaissance du contour de la main, de l’empreinte digitale, du réseau veineux du doigt, mais il en existe d’autres comme la reconnaissance de l’iris, de la forme du visage, de la dynamique de signature, de la vitesse de frappe au clavier. Avec les avancées de la recherche, il devient possible d’identifier une personne d’après sa démarche, la thermographie de son visage ou encore d’après certains paramètres physiologiques comme le rythme cardiaque ! Dans le domaine bancaire, quelques régions du monde, comme l'Asie ou l'Afrique, s’engagent nettement dans le déploiement de ces technologies pour sécuriser les achats en ligne ou les opérations de banque en ligne. La France, de son côté, n’en est encore qu’aux expérimentations.

Plusieurs banques françaises (Banque Accord, BNP Paribas, Crédit Agricole et Crédit Mutuel Arkéa) ont ainsi pu tester tout récemment le paiement biométrique grâce à Natural Security, une start-up lilloise dont elles sont actionnaires. Le dispositif reposait sur la reconnaissance d’empreintes digitales ou du réseau veineux du doigt sur un lecteur relié au terminal de paiement électronique. Les porteurs devaient être en possession de leur carte bancaire contenant les données biométriques et équipée d’un module de communication sans contact à moyenne distance, ce qui permettait au terminal de paiement de vérifier que les données captées sur le lecteur digital correspondaient à celles sur la carte sans que le porteur ait à sortir sa carte. Les données n’étaient stockées nulle part ailleurs, pas de base de données centralisée à interroger à chaque transaction. Le test s’est déroulé dans des grandes surfaces et des petits commerces avec des collaborateurs.

Enthousiasme inattendu

Résultat : un enthousiasme de la part des porteurs, ce qui n’était pas évident au départ. « Dans un monde de plus en plus connecté, une méthode d’authentification forte qui soit pratique, simple et universelle devient nécessaire que ce soit pour des achats de proximité comme pour des achats à distance ou pour des retraits sur les guichets automatiques des banques, souligne André Delaforge, porte-parole de Natural Security. Néanmoins, la biométrie n’est pas forcément synonyme de sécurité. La protection des données personnelles doit être pensée très en amont d’un projet et son implémentation doit être bien conçue.  »

Pour envisager une large diffusion de l’authentification biométrique, la standardisation devient indispensable. C’est l’un des objectifs que s’est fixé Natural Security en créant la National Security Alliance, groupe qui a pour mission de créer des spécifications d’authentification forte reposant sur la combinaison d’un support personnel, d’un protocole de communication sans contact à moyenne distance et de biométrie, afin de répondre aux besoins des banques, des commerçants et des industriels. « L’usage de la biométrie n’a de sens que s’il est massivement déployé, résume Cédric Hozanne, PDG de Natural Security. C’est pourquoi il faut un standard ouvert à tous ceux qui souhaitent dès à présent utiliser la biométrie comme moyen d’authentification. Les pilotes réalisés en 2013 ont permis de tester différents modes d’enrôlement et l’utilisation en paiement de proximité, et nous travaillons également sur le paiement en ligne, le contrôle d’accès, la signature électronique de documents, l’accès au 'cloud'… »

Outre la technologie, les standards devraient intégrer des engagements à respecter les bonnes pratiques, même si ce n’est pas une obligation portée par la Cnil (Commission nationale informatique et libertés). Natural Security a ainsi rédigé des privacy rules ou règles de protection des données personnelles, qui excluent la création d’une base de données mais aussi le tracking, le traçage de l’utilisateur par l’élément sécurisé contenant ses données biométriques sans son consentement. Ces bonnes pratiques reposent sur l’authentification du porteur à partir d’un geste volontaire de sa part (et non à son insu) et sur la sécurisation de la transaction par une authentification réciproque entre le capteur biométrique et l’élément contenant les données personnelles.

Hormis Natural Security et les nombreuses entreprises qui ont rejoint son Alliance (dont le Groupement Cartes Bancaires, Mastercard, Visa, Oberthur, Ingenico…), plusieurs banques se préparent à tester la reconnaissance vocale : La Banque Postale, LCL et Société Générale. Les deux premières ont choisi Talk to Pay, une technologie de biométrie vocale qui fonctionne à l’aide d’une application à télécharger sur l’ordinateur du porteur. Celle-ci doit être lancée lors d’un achat en ligne, le consommateur clique pour déclencher un appel sur son téléphone portable. Il prononce alors une phrase qui permet de l’authentifier et de lui présenter un formulaire de paiement pré-rempli avec ses coordonnées de carte bancaire. Evidemment, le porteur devra s’être enrôlé auparavant en donnant un échantillon de sa voix, que la banque aura relié avec sa carte bancaire.

« Nous avons recruté des collaborateurs de La Banque Postale, des centres financiers et des bureaux de poste et nous allons intégrer des clients partenaires du Lab Clients, détaille Aurélien Lachaud, responsable de l’innovation et des nouveaux usages à La Banque Postale. Cette solution allie la sécurité et la simplicité pour le porteur et elle est transparente pour le marchand qui n’a pas besoin d’installer quoi que ce soit sur son site.  » « Il n’y a pas de terminal supplémentaire à placer chez le client, pas de modification de l’architecture des systèmes monétiques et le marchand n’a rien à faire pour intégrer la solution, renchérit Christian Jacques, membre du comité exécutif de LCL, en charge des paiements. Cette facilité d’usage devrait en favoriser l’acceptation, c’est ce que nous allons vérifier en intégrant nos clients aux tests.  » Quant à la Société Générale, elle a prévu de faire de même pour ses clients particuliers, et elle a déjà testé fin 2013 la validation d’ordres de paiement par reconnaissance vocale intégrée à l’application mobile SogeCashWeb (offre cash management) pour les trésoriers d’entreprises.

Des coûts trop élevés

Les banques en général et leurs prestataires sont à la recherche d’applications adaptées à leurs usages, mais l’absence de standards éprouvés et le coût assez élevé des déploiements freinent le développement. Worldline (une filiale d’Atos), toutefois, surveille les technologies et travaille déjà sur l’intégration de la biométrie comportementale aux wallets (portefeuille électronique) en cours de commercialisation, comme PayLib notamment. En outre, la phase d’enregistrement des données mériterait d’être simplifiée en faisant en sorte que les porteurs achètent leur propre appareil d’acquisition des données. « Nous avons participé avec Gemalto au développement d’eGo, un objet personnel que le porteur garde sur lui (montre, bracelet...) intégrant un capteur qui lui permet de s’authentifier très facilement et à moindre coût dans la mesure où il n’y a pas à investir dans la modification matérielle des infrastructures de services, expliquent Olivier Maas et Jean-Claude Barbezange, ingénieurs R&D chez Worldline. Ce dispositif couplé à un processus de confiance peut être utilisé pour le contrôle d’accès, le paiement ou tout autre activité nécessitant une authentification. » Mais là encore, la question des standards et de l’interopérabilité reste posée.

Actuellement, le modèle économique des technologies biométriques n’est pas encore évident pour les usages bancaires sur le marché des particuliers. Sauf peut-être la reconnaissance vocale qui évite de lourds investissements. Mais un déploiement rapide et général est peu probable d’autant plus que la fraude au paiement de proximité reste très faible grâce à la carte à puce. Et la fraude en ligne, bien que plus élevée, est maîtrisée pour le moment notamment grâce au déploiement de 3D Secure auprès des e-commerçants. Les différents tests montrent néanmoins un intérêt pour la biométrie qui s’intègrera peut-être dans nos habitudes d’ici à quelques années à condition de surmonter les nombreuses réticences.

A lire aussi