Les téléphones mobiles et les tablettes, de plus en plus sophistiqués, sont désormais des canaux de relation bancaire à part entière, et parfois aussi des moyens de paiement. La plupart des enseignes l’ont compris et investissent dans ce sens. Pour autant, les applications mobiles des banques sont-elles sûres ? Ces dernières ne sacrifient-elles pas parfois la sécurité sur l’autel de l’innovation ? Nous avons posé ces questions, et d’autres, à Joram Borenstein, vice-président de NICE-Actimize, un des leaders mondiaux dans les systèmes informatiques anti-fraude et anti-blanchiment.

Joram Borenstein, peut-on considérer que les applications mobiles des banques actuellement sur le marché sont sûres ?

« Tous les canaux de relation entre une banque et ses clients, que ce soient le distributeur automatique, le site internet, le centre d’appel téléphonique ou même l’agence, peuvent présenter des brèches de sécurité. Les applications mobiles ne font pas exception. Pour ces dernières, les banques font face à un enjeu particulier : trouver un équilibre entre la convivialité et la sécurité. Si les applications mobiles sont trop fastidieuses à l’usage, parce qu’elles multiplient les contrôles de sécurité, elles ne seront pas utilisées, et les usagers se tourneront alors vers d’autres canaux, voire vers la concurrence. »

Voulez-vous dire que les banques ont tendance à mettre la sécurité au second plan, afin de s’adapter aux usages de leurs clients ?

« Non, je ne pense pas qu’elles mettent de côté les questions de sécurité. Mais celles-ci ne sont qu’une part de l’équation. L’adoption des usages de banque mobile est clairement en croissance rapide, en Europe comme ailleurs. Pour éviter d’être dépassées et de perdre des parts de marchés, les banques sont engagées dans une véritable course à l’innovation. Dans ce contexte, il est parfois compliqué pour les cadres en charge des questions de sécurité d’obtenir qu’elles restent la priorité numéro un. »

Les banques sont-elles les seules garantes de la sécurité de leurs applications mobiles ?

« C’est effectivement une vraie question : qui est responsable, en définitive ? Est-ce la banque ? Est-ce l’usager ? Est-ce l’opérateur mobile ? Est-ce le fabriquant de l’appareil ? Ou est-ce encore la société qui a développé l’application ? Ses cinq intervenants ont potentiellement un rôle dans la sécurité, et il est aujourd’hui difficile de dire à qui, au final, incombe la responsabilité. C’est un problème qui ne sera sans doute pas résolu avant des années et qui, d’ici là, risque d’entraîner d’importantes fraudes, des pertes financières et certainement des procès. »

Quels sont les principaux risques, à l’heure actuelle ?

« Le premier problème reste, je pense, l’ignorance qu’ont en général les usagers des enjeux de sécurité. S’ils choisissent de mauvais mots de passe, s’ils partagent publiquement des informations sensibles, ils facilitent la vie des fraudeurs. Ceci étant dit, il existe ensuite deux types de risques, qui dépendent de votre mode de connexion et du système d’exploitation (1) installé sur votre appareil mobile. Si vous êtes connecté sur un réseau wifi public, il y a toujours un risque qu’un tiers mal intentionné intercepte vos données. De même, si vous utilisez un système d’exploitation trop ouvert, le risque statistique de brèche grandit : un usager peut ainsi accidentellement utiliser une application malveillante, croyant avoir téléchargé celle de sa banque, et se faire voler ses identifiants. Il est toutefois difficile de généraliser, tant il y a de téléphones, de tablettes, de systèmes d’exploitations et de réseaux différents, et donc de combinaisons possibles. »

Le mobile, voire la tablette, peuvent également se muer en moyens de paiement, grâce notamment à la NFC (2) ? Du point de vue de la sécurité, cette technologie est-elle sûre et mature ?

« Oui, je pense que la NFC est suffisamment sûre et que les banques qui utilisent cette technologie ont fait ce qu’il fallait pour la sécuriser. Mais la question risque de toute façon de ne même plus se poser d’ici un ou deux ans. On constate en effet que l’adoption de la NFC est beaucoup moins rapide et moins large que ce qu’on pouvait anticiper. De plus en plus de personnes dans l’industrie bancaire considèrent qu’elle ne s’imposera pas comme moyen de paiement, que cette technologie a eu sa chance mais que cette chance est passée. Personnellement, je ne serais pas aussi définitif. »

(1) Le système d’application le plus utilisé actuellement en France est celui de Google, Android (57% de part de marché), devant celui d’Apple, iOS (27%). Windows Phone arrive en troisième position (7%). Source : Deloitte, « Etude sur les usages mobiles 2013 », septembre 2013.

(2) Pour Near Field Communication (communication en champ proche) : technologie qui permet l’échange d’information à courte distance, et est de plus en plus souvent utilisée pour le paiement sans contact.