Renforcer les techniques d’identification online des consommateurs pour combattre la fraude et améliorer la sécurité en ligne

4 minutes read

Carte Credit

Aux États-Unis, la fraude sur les transactions en ligne est responsable d'une perte totale d'environ 5% du chiffre d'affaire des entreprises chaque année, selon les calculs de l'ACFE (Association of Certified Fraud Examiners). Les pertes sont particulièrement importantes pour les professionnels du commerce mobile et international, selon BusinessWire.

Une étude de LexisNexis révèle que les pertes de plus en plus importantes dues à la fraude ont un effet dévastateur pour les commerçants. La septième édition de cette étude annuelle montre une hausse explosive de la fraude dans le commerce de détail : elle représente une perte de 1,32 % du CA des commerçants en 2015, contre 0,68 % en 2014. Même si tous les secteurs commerciaux sont impactés par les pertes liées à la fraude en termes de chiffre d'affaires, les professionnels du commerce international et mobile sont les plus touchés avec respectivement une perte de 1,56 % et de 1,68 %, selon BusinessWire.

D’après l'ACFE, la fraude est responsable chaque année d’une perte de 5% du CA global des entreprises basées aux Etats-Unis. Cinq centimes de perte pour chaque dollar, l’addition est très élevée. Sur la base du PMB prévisionnel des États-Unis, les coûts liés à la fraude devraient désormais se chiffrer en trillions pour les entreprises américaines, et aucune accalmie n'est attendue, selon les informations communiquées par Capco.

100 % sécurisé ? Il semblerait que non.

Aujourd'hui, la sécurité et la protection contre la fraude sont les priorités absolues des établissements financiers et des entreprises spécialisées dans les technologies financières (fintech). Selon les directives de l'Autorité bancaire européenne (ABE), les banques et les prestataires de services de paiement (PSP) ont l'obligation d'utiliser le 2FA (Two Factor Authentication) pour les transactions complexes telles que les paiements. Cependant, si les SMS constituent un élément de ce système, Dalton recommande fortement aux prestataires d'utiliser des méthodes de vérification contextuelle supplémentaires, notamment la détection de détournement, la vérification de la position à l'aide du GPS et la détection d'échange de carte SIM par l'intermédiaire du centre de contact.

Même si la sécurité est la priorité absolue, les établissements financiers sont conscients que rien ne peut être sécurisé à 100 %, l’expérience nous le prouve. Tout au plus, ils peuvent s'efforcer de garantir un niveau de sécurité maximal et maintenir les systèmes à jour, de sorte qu'ils répondent aux normes les plus strictes en termes de sécurité et de protection contre la fraude. La biométrie est relativement nouvelle dans le monde de l'authentification. Balayage de l'iris, reconnaissance des empreintes digitales ou de la voix : pour beaucoup, les spécificités corporelles sont l'avenir de l'identification et de l'authentification.

Les mots de passe remplacés par la biométrie

Bien que les spécialistes s'accordent généralement pour dire que le bon vieux mot de passe n'a plus d'avenir, il s'avère que la biométrie présente également des inconvénients de taille, comme le précise The Financial Brand : « Quand vous commencez à intégrer les technologies biométriques à vos systèmes de sécurité, ne vous imaginez surtout pas que ce nouveau monde fabuleux des balayages d'iris et des empreintes digitales est fondamentalement meilleur que nos solutions actuelles. Nous avons testé de nombreux prototypes basés sur la biométrie et avons constaté que pour un grand nombre d'entre eux, l'expérience utilisateur était en fait nettement inférieure à celle de la simple création et utilisation d'un mot de passe. »

Il est également important de tenir compte du fait que les prestataires de services de paiement ont l'obligation d'assurer une authentification forte du client (AFC), telle que définie dans la directive PSD2. L'AFC, comme le One Time Passwords, sont les prédécesseurs l'authentification à une seule étape, qui n'est plus considérée comme suffisamment sure. L'AFC ajoute un niveau de sécurité supplémentaire aux  connexions à une session ou aux transactions. Au lieu de saisir seulement un mot de passe pour se connecter, l'utilisateur doit s'identifier à l'aide d'un autre outil tel qu'un téléphone portable ou une méthode biométrique comme la reconnaissance d'empreintes digitales ou les balayages d'iris.

L'authentification hors bande

Pour autant, a constaté qu'un problème se présentait si une personne effectuait un achat avec son téléphone portable également utilisé comme moyen d'authentification (par exemple : quand un mot de passe est envoyé par SMS vers un portable pour vérifier la transaction effectuée avec ce même portable). Dans le cas d’une faille de sécurité du mobile, si l’indépendance des éléments d’authentification n’est pas respectée, c’est l’ensemble du système qui est compromis.

L'authentification hors bande (OOB ou « out of band ») est un type de vérification en 2 étapes exigeant une deuxième méthode de vérification pour l'authentification à l'aide d'un canal de communication distinct, en plus de l'identifiant et du mot de passe. Le piratage du compte est alors plus difficile, puisque la transaction exige l'utilisation de canaux différenciés : par exemple, un SMS est envoyé sur le smartphone de l’utilisateur pendant qu’il saisit son identifiant et son mot de passe.

Encore plus de vérifications ?

Comme l'indique Keiron Dalton, directeur général de la stratégie client et de l'innovation chez Aspect, les organisations financières doivent utiliser des vérifications contextuelles et des mesures de sécurité supplémentaires. En utilisant diverses méthodes telles que la détection de détournement, la vérification de la position à l'aide du GPS, la détection d'échange de carte SIM et les éventuelles informations d'itinérance, des facteurs ne pouvant pas être manipulés facilement.



Continue reading

Previous CM intègre Service2Media
Next Mobile Convention Paris: Confidentialité et sécurité dans un système uniquement mobile
Back To news overview

Partager cette page

A propos de l'auteur

Erik Eggens

Connectez-vous avec Erik sur

LinkedIn, Twitter.
Chat