Projets

Le Crédit Agricole teste la TouchID de l'iPhone pour l'authentification mobile de ses clients

La dernière API du Crédit Agricole Store permet aux utilisateurs de s'identifier sur l'application InfoComptes avec leurs empreintes digitales.

A travers sa structure dédiée à l'Open Innovation, le Crédit Agricole Store, la banque éponyme va permettre à ses clients utilisant iOS de s'authentifier via leurs empreintes digitales.

PublicitéLes banques sont aujourd'hui confrontées à un choix cornélien. D'un côté, leurs clients leur réclament un accès toujours plus simple à un nombre de services en constante augmentation, et ce sur pléthore de terminaux. De l'autre, elles doivent composer avec des impératifs réglementaires et de sécurité de plus en plus contraignants.
« Grâce à un système d'identités dérivées, nous avons réussi à réduire le nombre de caractères dans certains de nos mots de passe à quatre. Mais quatre, c'était encore trop », note Emmanuel Methivier, CEO du Crédit Agricole Store, structure dédiée à l'open innovation mise en place par la banque éponyme. Parmi les piste étudiées pour contourner cette problématique, celle des données biométriques figure dans le paquet de tête.
« Nous avons eu de nombreuses demandes de nos clients concernant la Touch ID de leurs terminaux Apple, capable d'authentifier les utilisateurs grâce à leurs empreintes digitales. Nous avons donc logiquement décidé de nous pencher sur le sujet », confie le CEO. Aujourd'hui, le Crédit Agricole est ainsi en train de faire tester à un nombre restreint de clients l'utilisation de cette touche pour s'authentifier sur son application InfoComptes via une API.

Toutefois, Rome ne s'est pas faite en un jour. Avant même de pouvoir commencer à développer une API utilisant cette touche, fallait-il encore savoir comment elle fonctionnait. « Apple a mis un an et demi avant d'autoriser l'étude de son système par des tiers. Nous n'avons pas eu de passe-droit, et comme tous le monde, nous avons dû attendre que la marque daigne ouvrir sa technologie, il y a quelques mois. Il a ensuite fallu aller très vite », se rappelle Emmanuel Methivier.

Les données restent chez Apple

En outre, le Crédit Agricole a dû tenir compte des contraintes de sécurité pour construire son API. La question de l'usage des données biométriques, chère à la CNIL a, elle, rapidement été éludée. « Ces données ne transitent pas par nos systèmes. Elles restent dans le système Apple. Ce qu'il faut comprendre c'est que la TouchID est un système d'authentification local. La touche reconnaît la personne et confirme si l'empreinte correspond », explique Guillaume Coindet, ingénieur sécurité senior chez Harmonie Technologie, qui faisait office de référent en matière de sécurité tout au long du projet. C'est alors au Crédit Agricole de définir autour de cette touche les protocoles qui vont permettre l'authentification au sein de l'application et définir à quelles données l'utilisateur peut accéder.

A ce stade, Emmanuel Methivier revient sur les engagements du Crédit Agricole Store en termes de développement d'API : « L'ensemble des interfaces applicatives que nous développons sont logiquement sécurisés par du chiffrement et des protocoles SSL. En outre, nous utilisons des systèmes de jetons à plusieurs niveaux qui nous permettent d'avoir des réponses ciblées en fonction des attaques ».
Il précise toutefois qu'il ne peut pas encore en dire plus quant aux protocoles mis en place spécialement autour de la Touch ID. Quand aux risques qu'une personnes vole des empreintes digitales pour ensuite les reproduire sur un bout de latex, ils sont minimes. « Vous avez beaucoup plus de chance que quelqu'un passe un coup d'oeil par dessus votre épaule et mémorise votre code », déclare le CEO.

Publicité Inutilisable sous Android

Comme dit plus haut, l'API est pour l'instant disponible uniquement pour l'application InfoCompte du Crédit Agricole et seulement pour quelques clients triés sur le volet. « Elle peut toutefois être facilement interfacée avec d'autres applications du groupe, à condition que l'ensemble des risques aient été mesurés », précise Emmanuel Methivier.
Pour l'instant, l'API de l'apps du Crédit Agricole ne s'interface qu'avec la Touch ID des appareils Apple même si certains terminaux Android sont équipés de systèmes similaires. Le CEO explique ce choix : « Dans l'état actuel des choses, ce que nous avons fait là est difficilement faisable sur un Samsung ou un autre appareil à cause des technologies utilisées. En outre, environs 80 % de nos clients mobiles sont sur iOS ».
Toutefois, l'utilisation des données biométriques devrait s'étendre. Déjà, Apple prévoit d'équiper ses Mac Book Air et ses iMac de technologies similaires. Quant à l'épineuse question de leur utilisation pour le m-paiement, la question est bien sûr envisagée mais elle n'est plus du ressort d'Emmanuel Methivier.