Le vol d’identité connaît une évolution forte provoquée, notamment, par une autre évolution, celle de l’Internet. On assiste depuis à une reconnaissance de ce fait par l’État qui prévoit de reconnaître l’usurpation d’identité comme un délit en soi. Il faut constater que cette nouvelle forme de délinquance a ses sources dans le faible répertoire juridique qui limite l’infraction au détriment financier provoqué par une usurpation d’identité. Ce n’est pas ce fait qui est sanctionné, mais les conséquences financières de ce fait. Avec la nouvelle loi, en préparation dans le cadre de la Loppsi (Loi d’Orientation et de Program-mation pour la performance de la sécurité intérieure) l’usurpation d’identité devient une infraction.
En France, la prise de conscience de cette nouvelle forme de criminalité n’a été prise en compte que récemment. Aux États-Unis et au Canada depuis de nombreuses années les faits sont étudiés et présentés sous forme de chiffres éloquents : on évalue à plusieurs dizaines de milliards de dollars la perte pour l’économie nationale. De même, au Royaume-Uni où les services de l’État évoquent un montant de quelque deux milliards de Livres.
Le “cambrioleur numérique”
Le paiement par carte bancaire sur l’Internet et la banque à domicile figurent parmi les moyens d’infraction. Des techniques nouvelles de préhension des données bancaires des clients sont apparues au niveau international. Phishing (hameçonnage), Pharming (détournement d’une transaction vers un faux site) et autre techniques constituent la nouvelle panoplie du “ cambrioleur numérique “. Le phénomène est connu qui a poussé les banques à adopter de nouvelles méthodes de protection. Un terme nouveau est apparu : l’authentification forte. L’un de ses objectifs principaux est d’améliorer, voire de rétablir la confiance des internautes. Vaste programme qui est partagé des deux côtés de l’Atlantique. Le couple “ identifiant / mot de passe “, jugé trop vulnérable, cède la place à une combinaison technologique plus élaborée et nettement plus sécurisée.
Les réponses industrielles
Dans l’univers des transactions électroniques sécurisées, trois modes sécuritaires sont pris en compte. On identifie un individu par ce qu’il sait (un identifiant, un code confidentiel…) ; par ce qu’il détient (un token, une carte à puce…) ; par ce qu’il est (technique biométrique). L’authentification forte, appelée aussi authentification à deux facteurs, utilise deux de ces modes.
D’autres modes sont utilisés pour identifier un internaute ou la provenance d’un message. Par exemple, le système CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) qui se présente sous différentes formes. La plus employée consiste à demander à l’internaute de saisir des signes graphiques, lettres, chiffres, souvent déformés et sur fond de couleur avant d’être autorisé à lire ou envoyer un texte ou un formulaire ou à accéder à une information. Il s’agit de faire la différence entre l’envoi de mails par un robot et par un individu.
Authentification forte : des actions internationales
Pour améliorer la protection de l’internaute et conserver sa confiance, les institutions bancaires ont souhaité renforcer le niveau d’identification de leur client (Je suis moi) en développant des techniques d’authentification (je le prouve) plus élaborées.
Aux États-Unis, le 12 octobre 2005, le FFIEC (Federal Financial Institutions Examination Council) émet une directive demandant à ce qu’avant fin 2006 il devient obligatoire pour les établissements financiers de mettre en place un système d’authentification forte.
L’association “ Liberty Alliance “, créée en 2001, regroupe des centaines d’organisations et d’entreprises. Son objectif est de définir des ensembles de spécifications de protocoles de fédération d’identité et de communication entre services web. En novembre 2005, l’association met en place un groupe d’experts dans le domaine de l’authentification forte, le SAEG (Stron Authentication Expert Group).
Enfin, “ l’Anti-Phishing Working Group “ une organisation américaine, recommande l’utilisation de l’authentification forte. Le APWG considère que l’Internet n’a jamais été aussi dangereux. Et de citer une progression de 585 % du nombre de logiciels malveillants au cours du premier semestre 2009. Le nombre de sites pratiquant le Phishing frôle le chiffre de 50 000 sites en juin 2009.
En France, le Gouverneur de la Banque de France Christian Noyer relevait en janvier 2008 que les “ Les paiements à distance (par téléphone et par Internet), pour lesquels le taux de fraude apparaît nettement plus élevé que pour les paiements de proximité et sur automate.
Force est de constater ici que les dispositifs de sécurité devraient être renforcés. Et de souhaiter que les établissements puissent rapidement déployer auprès de leurs porteurs des solutions permettant une authentification renforcée “.
Le groupe Banque Populaire s’est mis au diapason en commandant 400 000 VeriCode produits par le français Xirign. La banque rejoint les banques européennes, notamment britanniques, qui ont adopté ce système depuis quelques années déjà.
Le processus vers plus de sécurité apportant plus de confiance aux internautes est en marche. Mais les mesures prises doivent êtres accompagnés par la vigilance des internautes. La sécurité est aussi une affaire de comportement.
ESET obtient le prix « Best Usability » décerné par AV-TEST
Augmenter la taille du texte
Diminuer la taille du texte
Partager
Infrastructures critiques : l'enquête de Symantec
