Ce n'est pas en multipliant les mécanismes de contrôle que l'on limite de façon significative les accès non autorisés. Tout au plus aide-t-on le pirate à conserver son poil soyeux et son muscle tonique en lui donnant un peu d'exercices, en le sortant tous les matins et en rendant plus complexe le parcours le conduisant de son clavier au compte en banque de sa victime. La « professionnalisation » du métier de casseur de code, l'industrialisation mafieuse des outils de vol d'identité balayeront l'illusion de ces malheureuses tentatives de double authentification . Qui donc -vendeurs de procédés de sécurisation de transaction mis à part- oserait parier son bulletin de salaire là-dessus ?

Passons rapidement sur le risque de voir les mesures biométriques présentées comme une panacée... une solution inutile et risquée dans ce cadre précis. Non, le meilleur moyen de voir disparaître le spectre du « vol d'identité » -aussi impropre que soit ce vocable- c'est de rendre les banques et autres organismes financiers juridiquement responsables de toute action frauduleuse exploitant leurs réseau. Avec un tel pitbull tout en dents d'avocats et muscles de procédures aux basques, l'on peut-être certain que le problème du phishing, de l'employé indélicat, du SGBD poreux ou de l'intermédiaire distrait serait résolu dans la minute qui suivra la promulgation d'une telle loi. On peut rêver.

Enfin, une lecture attentive du document du Ffiec montre à quel point les grands conseillers confondent allègrement des idées pourtant simples à comprendre. A commencer par la notion d'identité. A titre d'exemple ce passage sur les méthodes de preuve:
« Something the user is (e.g., biometric characteristic, ... »
... Non, l'usager n' est pas sa caractéristique biométrique. En outre, l'identité d'une personne, c'est ce qu'elle est. Son moi, son nom, son esprit, sa culture, les mille et un éléments qui la composent... ceci lui est propre et ne peut être volé. Ce qui est dérobé, c'est un nombre limité d'informations décrivant la personne. Et les banques partent du principe que cette approche limitée est assimilable non seulement à une identité, mais en plus à un moyen d'authentification. Il serait peut-être temps que, parallèlement à des cours de gestion, les doctes promulgateurs de textes de ce calibre puissent apprendre un tout petit peu de sémantique... et pour commencer, ce principe évident : la carte n'est pas le lieu. Le jour où les informaticiens du monde de la finance * auront compris ce précepte évident, la sécurité aura fait un grand pas en avant.

. Web-profils.com, la place de marché du conseil et de l'ingénierie