De nombreuses
questions se posent quant à la sécurité des cartes bancaires et des mobiles
utilisant la technologie Near Field Communication (NFC : communication
sans contact). Mais que doit on privilégier : la rapidité
ou la sécurité ?
La
biométrie est sans doute l'avenir de toute transaction. Cette technologie
repose sur le principe d’identification ou d’authentification d’un individu
basé sur ses caractéristiques biologiques, physiques, voire comportementales. Quels
sont donc les systèmes de biométrie qui pourraient nous permettre de payer
rapidement et en toute confiance ?
Des
techniques qui ont déjà fait leurs preuves
Empreintes digitales
Ce système repose sur
l’identification du motif de l’empreinte ainsi que de ses minuties. En effet, l’empreinte
digitale est composée de crêtes (stries) et de creux qui forment un motif. Les
trois principaux motifs d’empreintes digitales sont les boucles, les
tourbillons et les arches. Ceci permet dans un premier temps de classer les
empreintes digitales, mais pas suffisamment pour que chaque empreinte puisse
être différenciée. Pour cela, il faut identifier certains
points d’irrégularité des stries appelés minuties :
- Le noyau : point de convergence des lignes (stries)
- Les bifurcations
- Les intersections de deux stries
- Les terminaisons : point où se termine la strie
- Les deltas : point de divergence des stries
- Les îles
- Les lacs
|
Figure 1: Les différentes minuties qui composent une empreinte digitale
|
Tous
ces points vont être cryptés en un code binaire qui va être enregistré et c’est
ce dernier qui va servir à l’identification de l’empreinte. Il n’y a donc en
aucun cas sauvegarde de la photo de l’empreinte digitale. Il n’est donc pas
possible de pirater l’image ou reconvertir le code en image. [1]
Aujourd’hui, plusieurs banques françaises tel
que BNP Paribas, le Crédit Agricole et le Crédit Mutuel, la Société Générale et
la Banque Postale ont décidé d’utiliser un système d’authentification par
empreinte digitale lors des paiements. Pour cela il faudra être détenteur d’un
smartphone androïde (donc non compatibles pour les IPhones) possédant la NFC et
télécharger l’application de la banque sur celui-ci. Il ne reste plus qu’à
enregistrer sa carte bancaire dans l’application et aller dans une boutique qui
possède un terminal de paiement avec la technologie sans contact ou bien acheter
quelque chose en ligne. Cette dernière étape, la plus importante pour finaliser
l’achat, consiste à poser son doigt sur son smartphone pour s’authentifier et
valider le paiement. Le paiement a donc lieu en sécurité puisque seul le
détenteur du téléphone peut finaliser le paiement. Et pour les plus réticents,
à l’idée de payer avec son portable, sachez qu’aucune donnée bancaire n’est
stockée dans le téléphone. Pour chaque achat, un code de carte bancaire unique
est utilisé grâce à de nouvelles techniques de sécurisation. [2][3]
Avant cela, Apple avait lancé, sur la même idée du
paiement mobile, une sécurisation par empreinte digitale « ApplePay ».
Ce système n’est possible que dans certains pays (Australie,
Canada, Chine, Singapour, Royaume-Uni et Etats-Unis) et dans les banques
partenaires. L’arrivée d’ApplePay en France pourrait se faire dans les mois à
venir. [4]
Reconnaissance
des veines
En
Suède, avec l’aide de l’Université de Lund, la start-up Quixter a développé un
système de reconnaissance veineuse des mains permettant de régler un achat. Une
quinzaine de boutiques en sont dotées et la plupart des étudiants du campus
l’utilisent. Quoi de mieux que de payer un repas avec sa main et non plus avec
une carte étudiant ou une carte bancaire qui ont tendance à être oubliées ou à
se cacher dans nos sacs.
Son utilisation est simple.
Il suffit de déposer sa main ou son doigt au-dessus du lecteur PalmSecure de
Fujitsu. Une lumière proche de l’infrarouge va permettre de rendre visible vos
veines. Un capteur va alors prendre en photo le modèle de vos veines et va
comparer celui-ci avec ceux de la base de données. Si ce patron est reconnu,
l’identification est validée. Il est nécessaire au préalable de s’être
enregistré. Il suffit de donner son numéro de sécurité sociale, son numéro de
téléphone et scanner trois fois la paume de sa main. Un lien est envoyé par
message permettant de confirmer votre identité pour être reconnu par le scan.
Et pour sécuriser encore plus ce système, il est indispensable de taper les
quatre derniers chiffres de son numéro de téléphone avant de scanner sa
main. Les utilisateurs doivent posséder
un compte Quixter où ils déposent jusqu’à 2500 dollars par période. Les achats
effectués sont enregistrés sur un compte Quixter qui sera débité deux fois par
mois. [5][6]
Au Japon, certaines banques
proposent déjà d’échanger leur code bancaire par une empreinte. Des
distributeurs automatiques de billets en sont équipés.[6]
|
Figure 2: Schéma du mécanisme de lecture du réseau veineux du doigt (2)
 |
En 2012, un essai de
6 mois a été réalisé en France auprès de différentes enseignes proposant le paiement
biométrique avec les veines du doigt et les empreintes digitales. La société
Natural Security Alliance a créé un partenariat avec quatre banques françaises
(BNP Paribas, Crédit Mutuel Arkéa, Banque Accord, Crédit Agricole). Au
préalable, les usagers ont dû enregistrer leur modèle veineux ou digital auprès
d’une de ces quatre banques en posant leur doigt sur le même terminal de
lecture que dans les magasins partenaires. Lors de cette phase, les données
biométriques sont traduites en code par un algorithme et sauvegardées dans la
puce de la carte bancaire, elle-même glissée dans un étui communiquant. Lors du
passage en caisse, le consommateur dépose son doigt sur le lecteur. La lecture
du modèle se fait de la même manière que lors de l’enregistrement, mais cette
fois-ci le code est comparé aux données sauvegardées sur la puce par
l’intermédiaire de l’étui qui émet des ondes plus grandes que la NFC ; il
n’est donc pas nécessaire de la sortir de son sac ou de sa poche. Si les
données sont les mêmes, la transaction s’effectue. Les résultats de cette
expérience se sont révélés positifs : 96% des clients étaient prêts à
utiliser cette technologie pour leurs achats quotidiens. [7][8]
Quels
sont les dispositifs en cours d’innovation …
Les méthodes exposées précédemment
ne sont que le commencement du paiement biométrique puisque de nombreuses
choses sont à venir.
La
lecture des empreintes digitales tend à s’améliorer
Il y a quelques mois, VISA et Morpho, une filiale du
groupe Safran, entreprise leader mondiale dans le développement de solutions
d’identité et de sécurité, ont annoncé leur collaboration dans le développement
de nouveaux moyens de sécurisation des paiements. Et leur première grande
avancée est la création d’une nouvelle technologie « MorphoWave™ ».
Elle permet de capturer et d’identifier 4 empreintes digitales en même temps et
en moins d’une seconde. Cette technologie pourrait être utilisée en complément
des moyens de paiements habituels (carte bancaire, distributeurs automatiques
de billets, terminaux de points de vente …). [9]
De plus, le Japon va démarrer cet été la première
phase de son projet qui consiste à rendre les achats pour les touristes plus
faciles et plus rapides. En effet, plus besoin de se précipiter pour échanger
ses Euros contre des Yen quelques heures avant son départ. Le gouvernement
japonais voudrait instaurer un moyen de paiement biométrique pour ses
touristes. Dès leur arrivée, ces derniers devront enregistrer leurs empreintes
digitales et leurs informations de carte bancaire dans l’aéroport ou dans les
autres lieux prévus à cet effet. Ils n’auront ensuite plus qu’à mettre deux
doigts dans le lecteur d’empreintes digitales des boutiques qui en sont équipé
pour régler leurs achats. Lors de cette première phase seulement 300 boutiques,
restaurants et autres lieux situés dans les zones touristiques, seront équipés
de ce système mais le gouvernement souhaiterait que cette technologie soit
installée dans tout le pays en 2020. [10]
Reconnaissance
vocale : une arrivée progressive
D’après un article paru sur la voix
du Nord « La Banque Postale est la première banque française à obtenir
l’accord de la Commission nationale des informations et des libertés (CNIL)
pour lancer dès l’été 2016 auprès de tous ses clients une innovation
majeure : l’authentification vocale pour le paiement à distance. Cette
innovation qui repose sur la biométrie par la voix, renforce la sécurité des
paiements, tout en facilitant et en simplifiant les usages des clients. » [11]
Pour bénéficier de ce dispositif, l’utilisateur devra
télécharger l’application « Talk To Pay » sur son téléphone portable
pour enregistrer sa voix. Ceci permettra la mise en place d’un modèle
biométrique unique et propre à celui-ci. Il lui sera aussi demandé
d’enregistrer la carte bancaire qu’il souhaite associer à ce modèle. Une fois
ces quelques démarches effectuées, le consommateur pourra régler ses paiements
sur internet avec le paiement vocal. Lorsqu’il souhaitera terminer un achat sur
un site marchand, il sera appelé sur son téléphone mobile et pourra être
authentifié grâce à sa voix : il lui suffira de prononcer quelques mots, une
phrase qu’il aura sauvegardée sur l’application au préalable, pour vérifier son
identité. L’application « Talk To Pay » pourra alors remplir les
formulaires nécessaires pour finaliser sa transaction avec les informations
précédemment enregistrées. Il est à noter que le système « Talk To
Pay »ne se basera pas sur le numéro à trois chiffres (cryptogramme) qui
apparaît sur le dos de la carte mais plutôt sur un code à usage unique qui sera
généré par le système. Le but serait d’éviter les tentatives de fraude. [11] [13]
La
technique biométrique utilisée « se base sur la modélisation physique des
caractéristiques du conduit vocal de la personne concernée. Un modèle de voix
non réversible est alors constitué mais en aucun cas la voix est enregistrée.
Il reproduit une distribution de probabilités de plusieurs caractéristiques de
la voix du client. Les caractéristiques biométriques du client ne pourront donc
pas être reconstituées à partir du modèle. » [12]
Limites
et avantages de ces technologies
La biométrie associée au paiement possède plusieurs
avantages dont les principaux sont la sécurité renforcée face au vol ou
piratage et la rapidité de paiement. Selon Christophe Naudin (expert
international en criminologie identitaire) : « L'individu reste le
meilleur défenseur de son identité. Toutes les solutions d'authentification
passeront à terme par la biométrie » (3) . Néanmoins
ces technologies peuvent occasionner des dysfonctionnements qui peuvent être
améliorés dans le temps.
Voyons donc leurs avantages et limites
:
Les
empreintes digitales
L’empreinte digitale étant propre à
chaque individu, seule la personne dont l’empreinte a été enregistré peut
finaliser l’achat. De plus il n’y a plus besoin de mots de passe, ce qui est un
avantage considérable puisque ce dernier peut facilement s’oublier et être aussi
« facilement » piraté.
Malheureusement, les empreintes peuvent être reproduites. En
effet, celles-ci constituées de crêtes et de stries ont tendance à laisser des
traces sur des surfaces ou objets. Les hackers ont réussi à reproduire les
empreintes avec du silicone grâce à ces traces. Cette fine couche de silicone
peut se poser sur un doigt pour permettre d’avoir accès à l’identité d’autrui.
Cependant, cette technique de reproduction demande beaucoup de temps de
patience et un coût important.
Les
veines
C’est une
« biométrie sans trace », autrement dit les veines sont à l’intérieur
de notre corps, elles ne laissent donc pas de traces sur de quelconques objets
ou autres. Le copiage est donc impossible. De plus, la lecture du réseaux
veineux ne fonctionne que si le sang circule dans les veines puisque c’est
l’oxygène présent dans le sang qui absorbe la lumière. Donc un doigt ou une
main coupée d’une personne morte ne peut être utilisé pour usurper l’identité
de quelqu’un d’autre. Même avec une peau abîmée, abrasée, une coupure, le
système reconnaîtra votre modèle vasculaire qui lui ne sera pas altéré. [14]
Cependant, cette biométrie par
lecture du réseau veineux a encore un coût élevé. De plus, on ne peut pas trop
conclure face à la viabilité du système car il est encore trop peu utilisé.
Reconnaissance vocale
Ce dispositif sera principalement utilisé pour
renforcer les critères de sécurité du paiement à distance. Les systèmes
d'authentification courants utilisent un seul facteur d’identification, en
général un mot de passe. Le principe de l'authentification vocale est
d'utiliser plusieurs facteurs d’identifications de nature distincte afin de
rendre la tâche plus compliquée à un éventuel attaquant. En effet, ce système
biométrique s’appuie sur deux éléments : la réception d’un appel un le
téléphone portable enregistré (ce que l’entité détient) et la reconnaissance de
la voix (ce que l’entité est). Ainsi la technique de reconnaissance vocale n’a
pas vocation de fournir pas un système d’authentification autonome, mais vient
renforcer un premier dispositif de sécurité existant, à savoir le téléphone
portable de la personne concernée. [12] De cette façon, la Banque Postale
espère réduire drastiquement ses taux de fraude sur Internet et mobile. En
2014, selon l’Observatoire de la sécurité des cartes de paiements, 66,5% des
fraudes en France étaient encore concentrées sur les transactions à distances.
De
plus, l’établissement assure que le système est déjà au point et surtout
complètement sécurisé. En effet, il est résistant à la perte de voix (en cas de
rhume par exemple), et est résistant au bruit ambiant. Enfin, l’application
présente l’avantage d’offrir un parcours d’achat optimisé et de fonctionner sur
la totalité des sites marchands. [11]
Malgré cela, il
ne s’agit pas d’un système réputé pour être rapide par rapport aux empreintes
digitales par exemple. La fiabilité reste à être vérifier du fait que ce soit
un système récent pas encore mis en place. Le coût du service n’a pas encore
été officiellement communiqué. [13]
La
biométrie a donc un avenir prometteur pour les achats de la vie quotidienne. En
effet, ses deux qualités principales pour le paiement sont la rapidité et
la sécurité face à la hausse des fraudes. L’empreinte digitale est le système
biométrique sûrement le plus connu à l’heure actuelle mais le corps humain
possède encore bien d’autres éléments permettant l’authentification ou
l’identification. On utilise la biométrie pour d’autres finalités. En effet, grâce
aux empreintes digitales et à la reconnaissance faciale, la police scientifique
réussit à identifier un individu suspect.
RÉFÉRENCES
(3)
RENAUD, Ninon. (2014). Les Echos. Les
banques expérimentent l’authentification biométrique. [page consultée le
19/04/2016]. http://www.lesechos.fr/16/07/2014/LesEchos/21729-103-ECH_les-banques-experimentent-l-authentification-biometrique.htm#JiWo0s7FAFQ25o7m.99
BIBLIOGRAPHIE
[1] Véronique Messéant, Patrick
Nizou, Nathalie Villain. (2006). Les
empreintes digitales. [page consultée le 19/04/2016]. http://www.mathom.fr/mathom/FeteDeLaScience/FS2007/Complements/Empreintes%20digitales.pdf
[2] [s.n.]. (2016). Crédit agricole : EnAvance. [page
consultée le 20/04/2016]. http://www.credit-agricole.com/Financer-l-economie-reelle/L-innovation-dans-le-Groupe/EnAvance
[3] Florence Eckenschiwiller. (2015).
Crédit Mutuelle Arkéa : Le Crédit
Mutuel Arkéa teste le m-paiement en magasin. [page consultée le 20/04/16]. http://www.cartes-bancaires.com/IMG/pdf/Credit_mutuel_Arkea_teste_le_m-paiement_19102015-2.pdf
[5] MASSON,
Victoria. (14/04/2014). Le Figaro. Quand
votre paume de main devient un moyen de paiement. [page consultée le
20/04/2014]. http://www.lefigaro.fr/secteur/high-tech/2014/04/15/32001-20140415ARTFIG00297-quand-votre-paume-de-main-devient-un-moyen-de-paiement.php
[6] Eliane Hong. (28/05/2014). L’atelier BNP Paribas : Une université
suédoise se lance dans le paiement via la paume de main. [page consultée le
25/04/2016]. http://www.atelier.net/trends/articles/une-universite-suedoise-se-lance-paiement-paume-de-main_429600
[7] DEVILLARD, Arnaud. (20/11/2012). Sciences et
Avenir. Un système biométrique pour payer
du bout des doigts. [page consultée le 25/04/2016]. http://www.sciencesetavenir.fr/high-tech/20121105.OBS8071/un-systeme-biometrique-pour-payer-du-bout-des-doigts.html
[8] William Faivre. (14/05/2013). 01net.com. Paiement biométrique : bilan après six
mois de test grandeur nature. [page consultée le 24/04/2016]. http://www.01net.com/actualites/paiement-biometrique-bilan-apres-six-mois-de-test-grandeur-nature-595037.html
[9] Pierre-Yves Roger. (2016). Safran : Morpho s’associe à Visa Europe
dans le paiement innovant. [page consultée le 07/05/2016]. http://www.morpho.com/fr/media/20160407_morpho-sassocie-visa-europe-dans-le-paiement-innovant
[10] DEMETRIOU, Danielle. (2016). The
Telegraph. Tourists in Japan to use
fingerprints as ‘currency’ instead of cash. [page consultée le 06/05/2016]. http://www.telegraph.co.uk/news/2016/04/11/tourists-in-japan-to-use-fingerprints-as-currency/
[11] (2016). La Voix du Nord. La Banque Postale se lance dans le paiement par reconnaissance vocale.
[page consultée le 28/04/2016]. http://www.lavoixdunord.fr/france-monde/la-banque-postale-se-lance-dans-le-paiement-par-ia0b0n3358524
[12] Chloé Torres. (2016). Alain Bensoussan Avocats, Le droit du numérique et des technologies
avancées : La biométrie prête sa voix pour sécuriser les transactions.
[page consultée le 28/04/2016]. http://www.alain-bensoussan.com/biometrie-transactions/2016/04/15/
[13] Thomas
Pontiroli. (2016). Clubic : Le
paiement par la voix débarque en France. [page consultée le 28/04/2016]. http://www.clubic.com/pro/e-commerce/paiement-en-ligne/actualite-797548-banque-postale-paiement-reconnaissance-vocale.html
[14] (2009).
Abiova : biométrie réseau veineux.
[page consultée le 29/04/2016]. http://www.abiova.com/biometrie_reseau_veines.asp