Que ce soit pour un accès à des réseaux locaux ou étendus, que ces réseaux soient filaires ou sans fil, que ces réseaux soient en architecture client-serveur ou répartie, l’authentification des équipements, des objets connectés, des services, des applications et des personnes est nécessaire. Tout ce qui concerne l’accès privé, c’est-à-dire le contrôle de la délivrance de l’information et de la fourniture des ressources réservées à certaines entités, passe par l’authentification.
Or, les procédures d’authentification classiques par identifiant et mot de passe ne suffisent plus. Sur les réseaux locaux comme sur Internet, l’espionnage des communications est l’attaque numéro un. L’espionnage des communications permet de récupérer facilement et pratiquement sans risque de détection l’identifiant et le mot de passe que l’utilisateur envoie au serveur ou bien ses codes d’accès lors d’une connexion légitime. Rien de plus simple ensuite pour l’attaquant que de se connecter à son tour en rejouant les mêmes valeurs et ainsi, de se faire passer pour un utilisateur autorisé. Il s’agit là d’une usurpation d’identité.
La deuxième catégorie d’attaque consiste à espionner, simuler, copier ou voler le moyen d’authentification de l’utilisateur. La troisième concerne la récupération des éléments d’authentification des utilisateurs (crédentiels) stockés du côté du serveur d’authentification. La quatrième est l’ingénierie sociale qui vise à tromper la vigilance de l’utilisateur en l’amenant astucieusement à révéler volontairement ses mots de passe, ses codes ou ses secrets, ou bien encore à les deviner. En effet, les utilisateurs choisissent souvent des mots de passe faibles (courts, simples, classiques) ou qui leur correspondent (prénom des enfants, dates de naissance, nom du chien de la maison, nom de l’artiste ou du sportif préféré…) afin de les retenir plus facilement. Enfin, la cinquième est l’attaque dite « à force brute » qui consiste par exemple à essayer systématiquement et automatiquement tous les mots de passe possibles ou toutes les clés de chiffrement jusqu’à trouver les bons. Comme les mots de passe utilisés sont souvent courts (moins de 8 caractères) et simples (lettres et chiffres), l’attaque à force brute est parfois très efficace.
L’enjeu est d’autant plus considérable que ces menaces qui pèsent sur les particuliers, les entreprises, les organisations, les administrations et leur système d’information sont bien réelles. Elles sont aussi lourdes de conséquences en cas de concrétisation, c’est-à-dire d’attaque réussie par intrusion. Une intrusion frauduleuse dans un système d’information par absence de contrôle des utilisateurs ou par usurpation de l’identité d’un utilisateur autorisé peut avoir des conséquences graves, à la hauteur des droits d’accès et d’action alloués à cet utilisateur.
Ces généralités s’appliquent complètement à l’informatique bancaire actuelle qui constitue le socle des services bancaires accessibles en tous lieux et à chaque instant grâce à la puissance d’Internet. Comme les enjeux financiers ont toujours été parmi les plus importants, l’authentification n’est donc pas une fonction de sécurité à négliger. Elle occupe à l’évidence une place centrale dans la sécurité bancaire d’aujourd’hui.
La récente directive européenne relative aux services de paiements dans le marché intérieur, dite DSP 2, a notamment pour objectif le renforcement de la sécurité des opérations bancaires. Dans ce cadre, elle impose la mise en place d’une authentification forte.
