« Sarah », une actrice basée à Londres, s’est fait voler son identité en 2017. « Un jour, je suis rentrée chez moi et j’ai découvert que ma boîte aux lettres avait été cambriolée, dit-elle.
« Je me suis retrouvée avec deux nouvelles cartes de crédit que je n’avais pas demandées, et une lettre d’une banque, disant qu’elle avait changé d’avis concernant leur offre pour obtenir une carte de crédit. »
Elle a dépensé 150 £ pour des services de vérification de crédit, en essayant de retracer l’origine de la demande de cartes émises en son nom.
« Cela représente une énorme quantité de travail et d’argent « , dit Sarah, qui a demandé à la BBC de ne pas citer son vrai nom.
Le vol d’identité n’a jamais été aussi élevé au Royaume-Uni. Le service britannique de prévention de la fraude CIFAS a enregistré 190 000 cas au cours de l’année écoulée. Car notre vie de plus en plus numérisée facilite plus que jamais l’accès des fraudeurs à nos informations personnelles.
Alors, comment devrions-nous sécuriser nos identités en ligne ? La première ligne de défense est, le plus souvent, un mot de passe.
Mais ces derniers ont fait la une dans la presse dernièrement pour toutes les mauvaises raisons. Facebook a admis en avril que les mots de passe de millions d’utilisateurs d’Instagram avaient été stockés sur leurs systèmes dans un format lisible, ce qui n’était pas conforme aux pratiques exemplaires de l’entreprise et pouvait compromettre la sécurité des utilisateurs.
À la fin de l’année dernière, le site Web de questions-réponses Quora a été piraté avec les identités et adresses électroniques de 100 millions d’utilisateurs. Et Yahoo ! a récemment réglé un procès concernant la perte de données appartenant à 3 milliards d’utilisateurs, y compris les adresses e-mail, questions de sécurité et mots de passe.
Pas étonnant que Microsoft ait annoncé l’année dernière que l’entreprise prévoyait de supprimer le mot de passe à l’aide de la biométrie ou d’une clé de sécurité spéciale.
Le cabinet d’études informatiques Gartner prévoit que d’ici 2022, 60% des grandes entreprises et presque toutes les moyennes entreprises auront réduit de moitié leur dépendance aux mots de passe.
« Les mots de passe sont l’approche la plus simple pour les hackers « , déclare Jason Tooley, directeur des revenus chez Veridium, qui fournit un service d’authentification biométrique.
« Les gens ont tendance à utiliser des mots de passe faciles à retenir et donc faciles à compromettre. »
Non seulement l’élimination des mots de passe améliorerait la sauvegarde des identités, mais cela signifierait aussi que les services informatiques n’auraient pas à consacrer un temps et un argent précieux à réinitialiser les mots de passe oubliés.
« Il y a un coût annuel d’environ 200 $ (180 euros) par employé associé à l’utilisation de mots de passe, sans compter la perte de productivité « , explique M. Tooley.
« Dans une grande organisation, c’est un coût très important. »
Nouveaux risques
Philip Black est directeur commercial chez Post-Quantum, une société qui conçoit des systèmes de cryptage puissants pour la protection des données.
Il convient que les mots de passe sont déjà un point faible. « Vous devez créer et gérer tant de mots de passe. C’est ingérable, donc les gens finissent par utiliser les mêmes mots de passe, et leur identités devient vulnérable. »
De nouvelles règles établies par l’UE sont conçues pour traiter cette question. La Directive sur la mise à jour des services de paiement, connue sous le nom de DSP2, exige que les entreprises utilisent au moins deux facteurs pour authentifier l’identité d’un client.
Il peut s’agir de quelque chose que le client a en sa possession (comme une carte bancaire), qu’il connaît (comme un NIP) ou qui le représente, ce qui comprend la biométrie.
Oublié dans le passé au profit des jetons, des mots de passe et des codes envoyés par SMS, l’intérêt pour la biométrie ne cesse de croître. Selon l’enquête KPMG International Global Banking Fraud Survey de 2019, 67 % des banques ont investi dans la biométrie physique (empreintes digitales, reconnaissance vocale et reconnaissance faciale).
Cette année, NatWest a commencé à tester les cartes de débit avec un lecteur d’empreintes digitales intégré directement dans la carte.
La biométrie offre aux consommateurs une expérience sans friction, mais elle a été freinée par le besoin d’équipements spécialisés.
Avec les derniers smartphones, beaucoup d’entre nous ont maintenant le matériel nécessaire dans leurs poches. Une étude de Deloitte a révélé qu’un cinquième des résidents du Royaume-Uni possèdent un smartphone capable de scanner les empreintes digitales, et que ce nombre augmente rapidement.
Cependant, si notre identité est vulnérable face aux voleurs, des informations biométriques peuvent également être volées.
En septembre, lors d’une conférence sur la cybersécurité à Shanghai, des chercheurs chinois ont montré qu’il était possible de prendre les empreintes digitales d’une personne à partir d’une photo prise à plusieurs mètres de distance.
Si vous pensez qu’il est difficile de réinitialiser votre mot de passe, essayez de changer vos empreintes digitales.
Pour renforcer la sécurité, les entreprises s’appuient de plus en plus sur l’authentification multifactorielle (AMF) qui cherche à identifier les personnes en utilisant autant de moyens différents que possible.
Il peut s’agir non seulement de mesures explicites comme le NIP et l’analyse des empreintes digitales, mais aussi de vérifications d’antécédents tels que l’emplacement, l’historique des achats, les frappes, les habitudes de navigation, l’identité du téléphone et même la façon dont vous tenez votre téléphone.
« La biométrie va-t-elle remplacer les mots de passe pour protéger votre identité ? Non, une combinaison de facteurs va remplacer les mots de passe, nous le faisons et nous devrions le faire « , déclare Ali Niknam, directeur général de Bunq, un service bancaire mobile.
Pourtant, il y a un risque que ce type d’authentification multifactorielle, bien que sécurisée, rende le processus d’authentification encore plus opaque. Si vous ne savez pas ce qui est utilisé pour vous identifier en ligne, comment pouvez-vous protéger cette information ?
« Je fais attention à la sécurité sur Internet – ma date de naissance n’est nulle part, mon adresse n’est nulle part « , dit Sarah. « J’ai 33 ans, je suis relativement jeune et technophile, mais je ne suis pas sûr de savoir comment mieux protéger mes données personnelles. »
Elle se souvient toutefois qu’une banque avait initialement refusé d’annuler le compte que le voleur avait ouvert à son nom, parce qu’elle ne connaissait pas le mot de passe.