Vols d'identités : Que doivent faire les banques ?
L'air est-il si électrique que les grands penseurs de la sécurité se sentent comme aspirés par le magnétisme du vol d'identité ? Bruce Schneier, dans son Epitre aux Consommateurs, explique quels sont, selon lui, les facteurs caractéristiques qui tantôt facilitent, tantôt entravent le vol d'identité. Et le premier facteur déterminant -c'est là une marotte de Schneier- c'est la responsabilité endossée par les différents partis mis en cause. Les banques, par exemples, sont financièrement responsables des pertes liées aux vols utilisant leurs systèmes. Elles multiplient donc les mesures d'identification et authentification afin de n'avoir pas à rembourser la moindre carambouille dont elles pourraient être la cause. Les intermédiaires bancaires -voir l'affaire CardSystems-, ne sont aucunement responsables de l'avoir des clients qui transitent par leurs services, et ne risquent même pas, en cas de problème, de perdre cette clientèle... leur services sont des passages obligés. Cette quasi immunité a pour conséquence un laxisme certain dans les mesures de protections qu'elles s'imposent. Deux remèdes à cette situation, estime le fondateur de Counterpane : En premier lieu, cessons d'utiliser des informations personnelles pour authentifier les personnes, et focalisons nos efforts sur l'authentification de la transaction elle-même. Ensuite, faisons voter des lois pour que toute entité responsable d'un vol d'identité ait à en payer financièrement les conséquences... intermédiaires y compris. « faites que la partie la plus à même de réduire les risques soit elle-même responsable du risque. Si l'intérêt financier des parties en questions est de limiter ces risques, alors elle le feront... et sous cette unique condition » dit en substance Schneier. La véritable protection ne repose pas sur d'obscurs « secrets » utilisant des données personnelles (numéros de carte de crédit ou nom de jeune fille de notre mère), mais sur un jeu de protections légales indépendant de toutes contraintes ou considérations techniques. , Mais pas du tout, rétorque Markus Ranum, le héros du Proxy bien administré. Le nom de ma maman n'est pas franchement une « information à caractère personnel et confidentiel ». Allons même plus loin... cela fait trop longtemps que l'Administration, l'industrie, le business fait reposer ses transactions sur le même mot de passe : numéro de sécurité sociale ou de carte bancaire. Le remêde au vol de ces « mauvais » mots de passe... c'est de les rendre publics. Une information divulguée à tout le monde et accessible par tous n'a strictement aucune valeur intrinsèque. En revanche, aux vendeurs d'améliorer leurs procédures vérifiant l'identité d'une personne. Un e-commerçant devrait immédiatement trouver louche toute adresse de livraison qui ne correspond pas à l'adresse de facturation, et doit par conséquent recourir à un « autre facteur » d'identification permettant de lever le doute en cas de fraude. Un banquier peut tout aussi bien m'envoyer une fois par mois une liste de numéros de transaction à usage unique qui, associé au numéro de carte de crédit, sera capable d'authentifier la validité de l'opération... Ranum est un gourou rêveur, qui sous-estime peut-être les ressources des escrocs et la subtilité des attaques « man in the middle » capables d'intercepter les opérations protégées par un double facteur. Schneier est un indécrottable optimiste qui imagine qu'un pays ou groupe de pays dirigé par un gouvernement libéral peut envisager un seul instant faire voter une loi provoquant un impact direct sur le bénéfice des plus grosses entreprises du pays. Il est moins coûteux de supporter la campagne électorale d'un Senator que de verser des dommages et intérêts à des clients qui ne sont jamais là que pour faire fonctionner le moteur de l'économie de l'entreprise... et de la nation.
