Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 17 juillet 2026C'est pas mon idée !
  • ✇C'est pas mon idée !
  • L'autre risque de l'IA dans les paiements
    Avec le développement de l'intelligence artificielle « agentique », la protection des moyens de paiement contre les éventuelles dérives des automates devient un sujet de préoccupation. Cependant, un autre danger, plus imminent et plus répandu, guette de nombreuses plates-formes de vente à distance, auquel Paytia fournit une réponse.Nous ne parlerons pas cette fois de ces agents conçus pour exécuter des tâches – par exemple des achats en ligne – pour le compte des consommateurs mais de toutes le

L'autre risque de l'IA dans les paiements

Par : Patrice
16 juillet 2026 à 22:30
Paytia
Avec le développement de l'intelligence artificielle « agentique », la protection des moyens de paiement contre les éventuelles dérives des automates devient un sujet de préoccupation. Cependant, un autre danger, plus imminent et plus répandu, guette de nombreuses plates-formes de vente à distance, auquel Paytia fournit une réponse.

Nous ne parlerons pas cette fois de ces agents conçus pour exécuter des tâches – par exemple des achats en ligne – pour le compte des consommateurs mais de toutes les plates-formes de e-commerce pilotées, à des degrés divers, par l'IA. Il est donc question, principalement, des assistants plus ou moins sophistiqués destinés à accompagner les clients dans leur parcours, sur le web, sur mobile ou sur téléphone … et qui, à un moment donné, prennent aussi en charge l'encaissement de la commande.

Or cette phase presque anodine de la transaction induit des risques qu'il faut impérativement appréhender. En effet, si l'entreprise laisse son outil gérer le règlement comme le reste de son intervention, celui-ci va demander au visiteur ses informations de carte ou de compte bancaire afin de les soumettre au processeur habituel. Alerte ! Ces données sensibles sont alors partagées implicitement avec le fournisseur de l'IA, ce qui les expose à des fuites potentielles et à un défaut de conformité à la norme PCI DSS.

Paytia for AI

En guise de parade, Paytia – qui, à l'origine, proposait une solution sécurisée d'encaissement par téléphone – capitalise sur sa technologie afin d'offrir un service « étanche » vis-à-vis de toute intelligence artificielle. Rien de très mystérieux ni de très complexe, puisque son produit, conforme aux standards en vigueur dans l'industrie et livré sous la forme d'une API, doit simplement être invoqué comme une boîte noire pour l'intégralité du tunnel de paiement : l'IA appelante ne voit aucun détail de l'opération.

Le système est disponible aussi bien pour les interactions en ligne ou au téléphone (selon plusieurs méthodes au choix) et il peut être exploité pour capturer d'autres catégories d'information privée, telles que les références de document d'identité. Naturellement, il souffre d'un inconvénient certain : l'intelligence artificielle ne peut plus jouer son rôle d'aide durant l'étape de règlement, totalement invisible pour elle.

Face à la cacophonie médiatique actuelle, les marchands sont facilement tentés d'adopter des agents IA sans trop réfléchir… en particulier en termes de sécurité. La capacité des outils à reproduire un parcours typique après un entraînement minime n'exempte pas leurs adeptes de réfléchir aux conséquences de leur implémentation. Peut-être leur interlocuteur bancaire habituel devrait-il prendre les devants et souligner les précautions essentielles à prendre avant que les premiers incidents ne surviennent.

À partir d’avant-hierC'est pas mon idée !
  • ✇C'est pas mon idée !
  • Sumeria protège aussi les IBAN
    Ce n'est certainement pas une solution miracle contre la fraude, mais la dernière nouveauté proposée par Sumeria afin de protéger les coordonnées bancaires représente un de ces petits plus qui procurera un peu de tranquillité d'esprit à ses clients, tandis qu'ils se sentent menacés de toutes parts, notamment du côté de leurs économies.Pour les consommateurs, le piratage dont a été victime l'opérateur de téléphonie Free en 2024 a agi, de manière plus ou moins rationnelle, comme un révélateur du

Sumeria protège aussi les IBAN

Par : Patrice
1 juillet 2026 à 21:30
Sumeria
Ce n'est certainement pas une solution miracle contre la fraude, mais la dernière nouveauté proposée par Sumeria afin de protéger les coordonnées bancaires représente un de ces petits plus qui procurera un peu de tranquillité d'esprit à ses clients, tandis qu'ils se sentent menacés de toutes parts, notamment du côté de leurs économies.

Pour les consommateurs, le piratage dont a été victime l'opérateur de téléphonie Free en 2024 a agi, de manière plus ou moins rationnelle, comme un révélateur du danger auquel est exposé leur IBAN (l'identité du compte bancaire) alors qu'ils le partagent sans retenue, auprès de leurs fournisseurs de services pour le règlement des factures, bien sûr, mais également avec leurs proches, pour toutes sortes de transactions du quotidien, ou avec des inconnus, par exemple lors d'une vente d'un objet d'occasion.

Dans ces derniers cas, se pose inévitablement la question de la sécurité : que se passe-t-il si j'ai affaire à une personne malintentionnée ou, plus couramment, si un de mes correspondants laisse traîner ces informations au vu de tous ? La réponse pragmatique est que le risque d'abus est faible, puisque, d'une part, un éventuel escroc laisserait des traces s'il réalisait un prélèvement sur ce compte et, d'autre part, et surtout, les victimes disposent d'un délai confortable pour réclamer un remboursement.

Mais parce qu'il vaut mieux prévenir que guérir, c'est-à-dire que tout le monde préfèrera ne pas s'exposer à ces désagréments (y compris les conséquences indirectes d'un débit imprévu sur le budget) plutôt que de devoir déposer une réclamation et attendre une régularisation, Sumeria permet désormais d'associer deux IBAN distincts à chaque compte : aux côtés de la référence classique, qui autorise à la fois les prélèvements et les encaissements, le deuxième n'est utilisable que pour la réception de fonds.

Sumeria – IBAN One Way

Dans tous les cas où un client souhaite transmettre ses coordonnées de paiement à un tiers pour collecter un paiement, il lui suffira donc de choisir ce deuxième IBAN, dit « One Way », et il aura alors la garantie que celui-ci ne pourra jamais être exploité à des fins malhonnêtes. Notons que l'option est disponible non seulement pour le compte principal mais également pour les « enveloppes » de réserve éventuellement configurées (l'usage de son IBAN étant alors par essence presque exclusivement réservé aux provisions).

Voilà une initiative simple, qui ne prétend pas transformer radicalement la banque, mais qui œuvre directement au bien-être des clients de Sumeria. Cependant, outre cette préoccupation vis-à-vis des attentes de son audience, il me semble utile de souligner combien l'approche retenue relève du bon sens et mériterait d'être répliquée par l'ensemble de l'industrie : la première règle de la sécurité consiste à ne toujours partager que l'information strictement nécessaire à l'interaction considérée. Restreindre le périmètre d'action d'un IBAN pour percevoir des fonds en fait naturellement partie.

  • ✇C'est pas mon idée !
  • Feedzai lutte contre la fraude en mode privé
    Depuis quelques années, les systèmes en réseau de lutte contre la fraude, permettant de s'affranchir des silos (limités) de chaque organisation, ont le vent en poupe… mais sont freinés par les craintes pour la confidentialité des données. Avec Feedzai IQ et sa mise en œuvre d'algorithmes fédérés, ces réticences peuvent enfin disparaître.Historiquement, pour un acteur tel que Feedzai, le volume de transactions analysées chaque minute (représentant 8 000 milliards de dollars de flux annuels) – is

Feedzai lutte contre la fraude en mode privé

Par : Patrice
12 juin 2026 à 22:00
Feedzai
Depuis quelques années, les systèmes en réseau de lutte contre la fraude, permettant de s'affranchir des silos (limités) de chaque organisation, ont le vent en poupe… mais sont freinés par les craintes pour la confidentialité des données. Avec Feedzai IQ et sa mise en œuvre d'algorithmes fédérés, ces réticences peuvent enfin disparaître.

Historiquement, pour un acteur tel que Feedzai, le volume de transactions analysées chaque minute (représentant 8 000 milliards de dollars de flux annuels) – issues de l'ensemble des établissements qui lui confient la tâche d'identifier les mouvements suspects – constitue son principal avantage en comparaison des institutions financières qui opèrent sur les seules opérations qu'elles gèrent. Mais, pour remplir sa mission, il faut que ses clients acceptent de partager leurs précieuses données avec elle.

Aujourd'hui, il existe pourtant des solutions techniques autorisant des traitements moins intrusifs et le nouveau produit de Feedzai exploite justement l'une d'elles. Avec son approche d'apprentissage fédéré, la jeune pousse promet ainsi, de manière crédible et démontrable, qu'elle est en mesure non seulement d'appliquer ses modèles de filtrage mais également, et surtout, de les entraîner (continuellement) sans jamais requérir un accès direct aux informations sensibles sur lesquelles ils exercent leurs fonctions.

L'entreprise ne fournit que peu de précisions sur son implémentation – diverses options existant sur le marché – mais il semblerait qu'elle soit relativement élémentaire, fondée, au moins en partie, sur de simples mécanismes d'anonymisation. Par exemple, une des déclinaisons du service est matérialisée par une API (unique), qui retourne un score de confiance élaboré à partir de quelques éléments transmis en entrée et de l'intelligence dérivée de l'ensemble de l'historique accumulé auprès de tous les utilisateurs.

Feedzai IQ

La démarche de Feedzai, encore rare (à ma connaissance) dans son domaine, constitue un immense pas en avant pour la lutte contre la fraude, alors que celle-ci donne l'impression de devenir incontrôlable de jour en jour, entre autre avec l'aide de l'intelligence artificielle. Si tous les spécialistes s'accordent à estimer que la mise en commun de la connaissance est essentielle pour, a minima, améliorer la réactivité face aux menaces émergentes et protéiformes, elle ne peut s'envisager sereinement tant qu'elle implique des échanges d'information privée, qui se trouverait alors en risque.

La mise en œuvre d'approches n'exigeant pas l'exposition (extérieure) des données vient logiquement changer la donne : les derniers arguments contre les dispositifs mutualisés ne peuvent être que de mauvaise foi. Les régulateurs qui, ici et là, expérimentent de telles idées devraient intégrer d'emblée cette dimension, notamment. À moins que les groupements industriels ne s'en emparent ou, plus trivialement, que les fournisseurs spécialisés standardisent leurs offres autour de ces principes…

  • ✇C'est pas mon idée !
  • Première fuite de données bancaires via IA
    Tout le monde sait que ce genre d'incident devait arriver – je soupçonne d'ailleurs que celui-ci n'est pas le premier cas, d'autres étant certainement passés sous les radars – et la primeur en revient à Community Bank, petit établissement régional du nord-est américain, qui révèle donc officiellement une fuite de données bancaires due à l'utilisation d'un outil d'intelligence artificielle non autorisé.Derrière les termes génériques de la déclaration effectuée auprès des autorités, le scénario q

Première fuite de données bancaires via IA

Par : Patrice
13 mai 2026 à 21:30
Community Bank
Tout le monde sait que ce genre d'incident devait arriver – je soupçonne d'ailleurs que celui-ci n'est pas le premier cas, d'autres étant certainement passés sous les radars – et la primeur en revient à Community Bank, petit établissement régional du nord-est américain, qui révèle donc officiellement une fuite de données bancaires due à l'utilisation d'un outil d'intelligence artificielle non autorisé.

Derrière les termes génériques de la déclaration effectuée auprès des autorités, le scénario qui se dégage semble à la fois totalement prévisible, tristement banal et, forcément, très inquiétant. En résumé, un employé a transmis des informations sensibles sur les clients de l'institution – comprenant leurs noms, numéros de sécurité sociale et dates de naissance – lors de l'interrogation d'une plate-forme d'IA publique, vraisemblablement ChatGPT ou un équivalent, à l'encontre des règles en vigueur.

On pourrait penser qu'une telle mésaventure n'est pas la pire qui puisse arriver, les données ayant été partagées avec une entreprise a priori responsable. Le risque de divulgation reste pourtant élevé car elles font maintenant potentiellement partie de l'apprentissage des modèles et pourraient ainsi être restituées par accident… voire par manipulation. En outre, les démarches de demandes de retrait aux fournisseurs ne sont pas toujours industrialisées et sont susceptibles de longs délais de traitement.

Un autre argument qui me sera opposé (je vous entends d'ici) portera sur la dimension de la victime : ce qui peut se produire dans une petite structure serait impossible dans un grand groupe, beaucoup mieux équipé en matière de cybersécurité. Si vous croyez à ce mythe, vous vous exposez à de sérieuses déconvenues. A minima, votre organisation comporte aussi de petites entités, où une certaine autonomie prévaut, et où les catastrophes sont prêtes à survenir, ternissant l'image de la maison mère.

Cependant, l'aspect le plus alarmant de l'histoire tient dans les parades qu'envisage la banque afin d'éviter que le problème ne se reproduise. Même si elle précise qu'elle ne se limite pas à ceux-ci, sa focalisation prioritaire sur les contrôles – entre le renforcement de ceux qui existent et l'ajout de nouveaux, en passant par une surveillance accrue – n'est résolument pas une réponse adéquate. Chaque jour qui passe démontre comment les collaborateurs trouvent toujours un moyen de contourner les restrictions.

La seule véritable solution consisterait à interdire strictement tout accès aux données de production. Le principe peut paraître radical et excessif mais, en réalité, il est parfaitement aligné avec une réalité incontournable : personne dans l'entreprise n'a besoin des informations détaillées en volume. En particulier, les développeurs et autres scientifiques de données qui mettent au point des applications doivent apprendre à le faire avec des versions désensibilisées, a minima par voie d'anonymisation.

Community Bank

  • ✇C'est pas mon idée !
  • TD et Google facilitent l'usage de cartes virtuelles
    Les cartes de paiement virtuelles offrent un excellent niveau de sécurité mais souffrent d'un parcours d'utilisation un peu trop complexe pour une adoption inconditionnelle. Google a peut-être une solution et la canadienne TD devient l'une des premières institutions financières à la mettre à la disposition de la plupart de ses porteurs de carte Visa.Juste derrière la « tokénisation » implémentée dans les porte-monnaie mobiles, le principe de la carte virtuelle fournit une des meilleures protect

TD et Google facilitent l'usage de cartes virtuelles

Par : Patrice
21 avril 2026 à 21:30
TD Bank
Les cartes de paiement virtuelles offrent un excellent niveau de sécurité mais souffrent d'un parcours d'utilisation un peu trop complexe pour une adoption inconditionnelle. Google a peut-être une solution et la canadienne TD devient l'une des premières institutions financières à la mettre à la disposition de la plupart de ses porteurs de carte Visa.

Juste derrière la « tokénisation » implémentée dans les porte-monnaie mobiles, le principe de la carte virtuelle fournit une des meilleures protections disponibles contre le vol des informations de paiement. En effet, la génération d'identifiants à usage unique ou limité, seuls partagés avec le commerçant, évite automatiquement les risques sur l'instrument principal. Malheureusement, la mise en œuvre requiert quelques manipulations, normalement dans l'app bancaire, qui freinent la généralisation.

Alors, pour encourager les consommateurs à recourir à ce système, Google l'intègre au cœur de ses plates-formes, en particulier son navigateur Chrome et son « m-wallet ». Ainsi, dès qu'une carte d'un des établissements partenaires est identifiée dans une transaction, ses outils vont proposer spontanément de remplacer d'un geste les coordonnées habituelles de paiement, exposées aux dangers de détournement, par celles d'une carte virtuelle, dont la capture s'avèrerait inutile pour un cybercriminel.

Le mécanisme opère dans différentes circonstances, pour les scénarios les plus courants. Dans le cas où une carte éligible est enregistrée pour le pré-remplissage automatique des données sur les sites d'e-commerce, une option invite simplement à activer la fonction. Dès lors, une carte virtuelle prête à l'emploi sera toujours proposée au passage en caisse. Autre possibilité, si l'utilisateur saisit ses références « normales », le navigateur autorise leur conversion en une version temporaire sans complication.

Les défenses les plus sophistiquées contre la fraude perdent toute leur valeur si elles ne sont exploitées par les victimes potentielles. Or, et le fait est bien connu, la moindre friction dans le processus de paiement constitue un facteur de rejet. Quand il faut ouvrir une application, s'authentifier et, enfin, demander la création d'une carte virtuelle, une majorité de personnes se découragent et sacrifient la sécurité de leur argent. Et voilà une belle illustration de l'importance cruciale de prendre soin de l'expérience client.

Carte Virtuelle TD

  • ✇C'est pas mon idée !
  • Le risque cyber pèse sur le crédit
    Au vu de la prévalence des attaques sur les infrastructures numériques des entreprises et de leur impact parfois fatal et souvent dramatique, les établissements de crédit prennent désormais en compte l'exposition de leurs clients aux risques de cybersécurité dans leurs conditions de financement. Mais le font-ils avec toute la transparence souhaitable ?Une étude menée par des chercheurs de l'université catholique de Louvain sur un échantillon de données portant sur des opérations de crédit syndi

Le risque cyber pèse sur le crédit

Par : Patrice
16 avril 2026 à 21:30
Cybersécurité
Au vu de la prévalence des attaques sur les infrastructures numériques des entreprises et de leur impact parfois fatal et souvent dramatique, les établissements de crédit prennent désormais en compte l'exposition de leurs clients aux risques de cybersécurité dans leurs conditions de financement. Mais le font-ils avec toute la transparence souhaitable ?

Une étude menée par des chercheurs de l'université catholique de Louvain sur un échantillon de données portant sur des opérations de crédit syndiqué aux États-Unis révèle ainsi que, dans leur ensemble, les organisations les plus sensibles aux menaces informatiques se voient proposer des taux d'intérêt d'emprunt supérieurs à la moyenne de 4 à 13 points de base, ce qui peut représenter un surcoût important sur la vie de la transaction, en centaines de milliers de dollars par an sur le segment considéré.

Si l'analyse porte sur une catégorie de prêts spécifique, dans un pays précis, le reste du marché serait présomptueux d'ignorer le phénomène. L'actualité montre régulièrement comment des sociétés en bonne santé se trouvent soudain en grandes difficultés, voire en cessation d'activité, à la suite de, par exemple, une fuite de données massive ou une tentative d'extorsion accompagnée d'un arrêt des systèmes, qui ruine la confiance des clients ou fait disparaître un patrimoine essentiel au fonctionnement de la firme.

C'est pour cette raison que les principales agences d'évaluation (Fitch, Moody's et S&P) intègrent depuis quelque temps une dimension de cybersécurité dans leur mesure du risque opérationnel. Malheureusement, les informations exploitées dans ce but sont généralement très parcellaires et d'une fiabilité variable, notamment quand elles sont purement déclaratives. Cette situation peut conduire les pourvoyeurs de crédit à masquer leurs pratiques ou les clients à les percevoir comme arbitraires.

La logique voudrait pourtant que le sujet soit mis en pleine lumière, autant pour la sérénité des acteurs de la finance que pour la bonne marche des entreprises. En effet, dans la plupart des cas, des démarches de sensibilisation ne suffisent pas à faire changer les habitudes, surtout dans des PME ou ETI où la pression du quotidien domine. Avant que survienne l'incident, déclencheur ultime de prise de conscience, peut-être la révélation de l'impact sur les frais d'emprunt pourrait-elle inciter à agir.

Cet effort de transparence pourrait en outre s'inscrire dans une approche pédagogique globale, comme semble l'appréhender JPMorgan Chase. Plutôt que de laisser les clients démunis face à leurs problèmes de cybersécurité, il serait plus opportun d'engager une conversation permettant d'ajuster les constats (en affinant les éléments de diagnostic) et d'accompagner une stratégie d'amélioration, bénéfique pour toutes les parties. Incidemment, ces échanges mériteraient aussi une participation de l'assureur...

Cybersécurité & Crédit

  • ✇C'est pas mon idée !
  • CommBank simplifie le contrôle d'identité
    Dans un contexte de croissance exponentielle de la fraude, facilitée par la génération de faux documents crédibles grâce à l'intelligence artificielle, les méthodes traditionnelles de contrôle d'identité en vigueur dans les institutions financières ne sont plus acceptables. CommBank exploite donc désormais la puce NFC des e-passeports.L'enjeu sous-jacent est considérable puisque l'australienne rappelle qu'elle accueille chaque année quelques 700 000 nouveaux clients, dont 99% des interactions s

CommBank simplifie le contrôle d'identité

Par : Patrice
12 avril 2026 à 21:45
CommBank
Dans un contexte de croissance exponentielle de la fraude, facilitée par la génération de faux documents crédibles grâce à l'intelligence artificielle, les méthodes traditionnelles de contrôle d'identité en vigueur dans les institutions financières ne sont plus acceptables. CommBank exploite donc désormais la puce NFC des e-passeports.

L'enjeu sous-jacent est considérable puisque l'australienne rappelle qu'elle accueille chaque année quelques 700 000 nouveaux clients, dont 99% des interactions se déroulent entièrement en ligne. Or, malgré cette transformation radicale des modalités d'entrée en relation, les procédures reposaient jusqu'à présent sur la capture photographique de justificatifs physiques, multiples afin de limiter les risques de détournement, soumis à des vérifications sophistiquées mais imparfaites à l'ère de l'IA.

Après une période expérimentale de 3 mois, la banque généralise maintenant une solution véritablement « digitale », qui consiste à lire les éléments d'identité enregistrés sur le passeport électronique via un accès direct, depuis le téléphone du prospect, à la puce électronique qu'il embarque aujourd'hui systématiquement. L'enrôlement est de la sorte facilité, à travers un geste simple et unique, qu'il ne reste qu'à compléter par une vérification, avec un selfie vidéo, de la concordance du visage du porteur.

Au-delà de la réduction des frictions lors de l'ouverture de compte – entre l'exigence de fournir plusieurs documents et les erreurs fréquentes d'analyse des images –, qui constituera à n'en pas douter un accélérateur de conquête non négligeable pour le premier établissement déployant cette technique, CommBank s'attache également avec cette initiative à renforcer la sécurité. Ainsi, elle n'offre aux personnes sans passeport ou téléphone compatible que l'option de se rendre en agence pour leur démarche.

CommBank – Identity Check

Si l'Australie se vante d'avoir été, à partir de 2005, un des premiers pays au monde à implanter un composant électronique au cœur de ses passeports, en vue, notamment, de les adapter aux mécanismes de contrôle dorénavant banalisés dans les aéroports, les banques d'autres contrées, par exemple en Turquie et en Ukraine, ont mis en œuvre ce genre d'approche de longue date. Mais CommBank inaugure (il me semble) une faculté supplémentaire en acceptant aussi les passeports étrangers, y compris, bientôt pour les migrants ou étudiants qui préparent leur arrivée sur le territoire.

Cette actualité de l'autre bout du monde est donc, entre autres, une illustration des décalages existant dans la propagation de l'innovation autour de la planète… mais également des différences culturelles créant des obstacles, plus ou moins réels et sérieux, à cette diffusion. En l'occurrence, la proportion de détention par la population de documents d'identité équipés de puce – ou, pour la prochaine génération, de « wallets » d'identité nativement numériques – représente un frein majeur, hélas hors de contrôle de l'industrie : quand la protection de l'argent est à la merci des choix étatiques…

  • ✇C'est pas mon idée !
  • La fraude sur la mort
    Sujet rarement abordé, bien que chacun d'entre nous soit amené à être concerné un jour, le décès représente une opportunité extraordinaire pour les escrocs de tout poil, qui profitent des progrès de l'intelligence artificielle générative pour démultiplier leur capacité de nuisance. Les banques pourraient-elles offrir un rempart contre cette menace ?Dans le monde contemporain, les comptes en ligne constituent une composante universelle de l'identité des individus et, dans les domaines les plus s

La fraude sur la mort

Par : Patrice
29 mars 2026 à 21:30
Décès
Sujet rarement abordé, bien que chacun d'entre nous soit amené à être concerné un jour, le décès représente une opportunité extraordinaire pour les escrocs de tout poil, qui profitent des progrès de l'intelligence artificielle générative pour démultiplier leur capacité de nuisance. Les banques pourraient-elles offrir un rempart contre cette menace ?

Dans le monde contemporain, les comptes en ligne constituent une composante universelle de l'identité des individus et, dans les domaines les plus sensibles (finance, santé, administration publique…), leur création et leur accès sont soumis à des contrôles stricts, aux méthodes fiables généralisées, afin d'éviter les détournements. Malheureusement, les sites et applications web concernés, conçus exclusivement pour des usagers vivants, se trouvent exposés à tous les dangers face à leur mort.

Même dans les rares cas où une procédure spécifique est définie, les traitements associés reposent souvent sur des interventions humaines faillibles et toujours sur des justificatifs que les technologies disponibles aujourd'hui sont en mesure de falsifier avec un très haut niveau de vraisemblance et une facilité déconcertante. Comme l'approche retenue dans ces circonstances est en général une simple transmission de propriété du compte, une personne malintentionnée peut de la sorte s'en emparer totalement.

En outre, le problème croît exponentiellement quand les services visés sont interconnectés avec d'autres, notamment quand le profil créé sur une plate-forme peut être utilisé pour la connexion à de multiples applications, mises ainsi en danger indépendamment de leur propre politique. Notons également que le risque intervient que la victime soit effectivement décédée ou non, la première hypothèse rendant évidemment encore plus difficile l'authentification de la demande d'accès.

Or cette faiblesse généralisée pourrait se transformer en avantage concurrentiel pour un système de gestion d'identité fédéré tel que celui que les banques françaises essaient de promouvoir actuellement. B.connect se présentant déjà comme un dispositif particulièrement sécurisé grâce à son adossement aux fonctions d'authentification mises en œuvre sur les applications bancaires, il ne resterait plus à ses concepteurs qu'à lui ajouter un mécanisme de gestion du décès apportant des garanties équivalentes.

Les établissements financiers sont déjà confrontés aux situations de décès et elles ont mis en place de longue date les capacités nécessaires à leur prise en charge, dans les règles de l'art et avec toutes les protections nécessaires. Il ne devrait donc pas être très complexe de faire profiter de cette expertise existante les enseignes affiliées à b.connect. Incidemment, l'option pourrait aussi devenir une porte d'entrée pour engager une discussion avec les clients sur leur vision globale de leur succession…

B.Connect

  • ✇C'est pas mon idée !
  • L'IA de McKinsey hackée par l'IA
    Profitant d'une politique accommodante et d'une annonce publique tentatrice de la part de sa cible, CodeWall a voulu éprouver son outil de recherche de failles de cybersécurité sur Lilli, la plate-forme d'intelligence artificielle mise à la disposition des 43 000 collaborateurs de McKinsey & Company. Les résultats divulgués sont édifiants.Deux mots sur le service en question, similaire à ceux déployés dans tous les grands cabinets de conseil. Conçu et développé en interne, il est déjà utili

L'IA de McKinsey hackée par l'IA

Par : Patrice
25 mars 2026 à 21:30
CodeWall
Profitant d'une politique accommodante et d'une annonce publique tentatrice de la part de sa cible, CodeWall a voulu éprouver son outil de recherche de failles de cybersécurité sur Lilli, la plate-forme d'intelligence artificielle mise à la disposition des 43 000 collaborateurs de McKinsey & Company. Les résultats divulgués sont édifiants.

Deux mots sur le service en question, similaire à ceux déployés dans tous les grands cabinets de conseil. Conçu et développé en interne, il est déjà utilisé par 70% des effectifs, qui lui soumettent actuellement un demi million de requêtes par mois, pour des conversations libres, afin d'obtenir des réponses à des questions simples, pour l'analyse et la synthèse de textes ou pour des recherches avancées sur un corpus de plus de 100 000 documents existants et autres contenus propriétaires.

Lorsque CodeWall a « lâché » son Sherlock Holmes virtuel, lui-même propulsé à l'IA, il ne lui a fallu que deux heures pour repérer et exploiter une brèche, depuis l'extérieur de l'entreprise, sans rien connaître de l'implémentation de la solution et, évidemment, sans posséder le moindre identifiant d'accès. Et elle était sérieuse (elle est désormais comblée) puisqu'elle permettait de consulter l'ensemble de la base de données sous-jacente, composée de 46 millions de messages, 700 millions de fichiers et plus…

Mais la divulgation des échanges sur les stratégies des clients de McKinsey, les finances de la société, les opérations de fusion-acquisition qu'elle accompagne, les supports contenant l'essentiel de son expertise… n'est pas le pire de cette histoire. Les chercheurs avaient également la possibilité de modifier les éléments de « raisonnement » et les garde-fous mis en en œuvre par Lilli, sans que les utilisateurs ne puissent se rendre compte d'une influence extérieure dans leurs interactions.

CodeWall – McKinsey Hack

Derrière cette attaque (bienveillante), on découvre hélas des fautes de débutant. Pour l'essentiel, le robot de CodeWall a simplement découvert et « étudié » une documentation ouverte à tous sur des API privées exposées par la plate-forme, a repéré qu'une partie d'entre elles ne requéraient aucune authentification et, enfin, a déterminé par essais et erreurs successifs qu'elles étaient susceptibles à une méthode d'infiltration (dite « par injection SQL ») parfaitement connue depuis de longues années.

Or ce genre de faiblesse correspond à un motif que j'ai observé par le passé : malgré tous les efforts des équipes de sécurité et la prise de mesures rigoureuses de protection contre les défauts les plus fréquents, largement documentés, dès qu'apparaît une technologie innovante, dont le déploiement semble soudain urgent, toutes les bonnes pratiques sont oubliées. Même dans le cas d'expérimentations, le système d'information dans sa globalité se trouve souvent mis en péril par cet angle mort.

Aujourd'hui, une telle négligence est encore moins tolérable qu'auparavant. En effet, comme le démontre CodeWall, l'intelligence artificielle constitue un puissant allié pour la recherche des failles. Entre les mains de personnes mal intentionnées, elle est capable d'ouvrir des portes dérobées dans les systèmes à un rythme industriel que les approches traditionnelles de cyberdéfense ne pourront jamais absorber. L'anticipation et la prévention sont plus que jamais indispensables, jusque dans l'innovation.

  • ✇C'est pas mon idée !
  • Données personnelles en danger !
    À l'occasion de la journée européenne (et désormais mondiale) de la protection des données, je propose de nous attarder sur une étude américaine qui illustre à quel point les menaces internes, en particulier dans les départements informatiques, doivent être prises au sérieux et requièrent la prise de mesures énergiques dans différents domaines.Les résultats de cette recherche au long cours – menée à partir d'une enquête de 2020 auprès d'un échantillon d'étudiants en gestion de systèmes d'inform

Données personnelles en danger !

Par : Patrice
28 janvier 2026 à 21:30
Conseil de l'Europe
À l'occasion de la journée européenne (et désormais mondiale) de la protection des données, je propose de nous attarder sur une étude américaine qui illustre à quel point les menaces internes, en particulier dans les départements informatiques, doivent être prises au sérieux et requièrent la prise de mesures énergiques dans différents domaines.

Les résultats de cette recherche au long cours – menée à partir d'une enquête de 2020 auprès d'un échantillon d'étudiants en gestion de systèmes d'information et en analyse de données – sont assez édifiants puisqu'une majorité d'entre eux (de l'ordre de 60%) s'avoueraient prêts à divulguer les données de santé auxquelles il pourraient hypothétiquement avoir accès dans l'exercice de leur futur métier… à la seule condition que le prix offert pour leur contribution trahison leur paraisse correct.

Une question posée portait sur le scénario d'une demande d'informations privées sur une personne célèbre de la part d'un ami travaillant dans un média, en supposant que le répondant se trouvait en difficulté financière. Dans ce cas, le tarif perçu comme acceptable par ceux qui se laissent tenter s'étage entre 10 000 et plus de 10 millions de dollars, un des principaux facteurs de variation étant le niveau de salaire, ceux qui gagnent mieux leur vie ne se laissant corrompre que pour des sommes élevées.

Dans une autre expérience (théorique), près de 80% des répondants admettent qu'ils vendraient des données confidentielles concernant une femme ou un homme politique en vue pour 100 000 dollars, s'il s'agissait de couvrir les dépenses médicales de leur mère non prises en charge par son assurance. De manière générale, les circonstances dans lesquelles surviennent l'opportunité de gagner de l'argent représentent un critère de risque important, tempéré uniquement par la crainte d'être repéré.

Journée Européenne de la Protection des Données

Ces constats sont préoccupants non seulement par le danger de fuite d'information qu'ils mettent en lumière mais également par ce qu'ils révèlent de l'absence de respect pour la vie privée de tiers et la perte de vue de certaines valeurs… alors que ces dernières sont quasiment, à travers l'enjeu de confiance des clients, l'essence même des métiers de la santé… tout comme de la finance. L'étude ne précise malheureusement pas si ces dérives comportementales sont spécifiques à la classe d'âge du panel interrogé (des jeunes en voie d'entrer sur le marché du travail) ou si elles sont généralisées, ce qui pourrait peut-être aider à formuler des réponses appropriées.

Quoi qu'il en soit, sur le plan défensif, justement, les conclusions de l'étude incitent à recommander une combinaison d'approches afin de limiter au maximum les risques. Sur le plan technique, des barrières physiques (sur l'accès aux matériels, par exemple) et logicielles (après tout, les informaticiens ne devraient jamais pouvoir consulter des données de « production » !) fournissent une première parade. Mais il faut aussi prévoir des interventions sur le volet humain, telles qu'une sensibilisation aux conséquences d'une malversation, pour son auteur et pour l'entreprise, une attention aux conditions psychologiques des collaborateurs en vue de détecter leurs moments de fragilité…

  • ✇C'est pas mon idée !
  • Et l'identité des robots ?
    Un entretien, organisé par Bank Info Security, avec les représentants de CyberArk et Accenture à l'occasion de la conclusion de leur partenariat sur l'accompagnement des entreprises vers une adoption sécurisée de l'intelligence artificielle nous procure l'occasion d'aborder un aspect critique mais souvent négligé : l'identité des machines.Le besoin est loin d'être nouveau. Il n'y pas si longtemps, il a déjà émergé en première ligne des préoccupations avec la vogue de l'automatisation robotisée

Et l'identité des robots ?

Par : Patrice
6 janvier 2026 à 21:30
Passeport
Un entretien, organisé par Bank Info Security, avec les représentants de CyberArk et Accenture à l'occasion de la conclusion de leur partenariat sur l'accompagnement des entreprises vers une adoption sécurisée de l'intelligence artificielle nous procure l'occasion d'aborder un aspect critique mais souvent négligé : l'identité des machines.

Le besoin est loin d'être nouveau. Il n'y pas si longtemps, il a déjà émergé en première ligne des préoccupations avec la vogue de l'automatisation robotisée de processus (RPA). Mais il n'a pas été pris suffisamment au sérieux et rares sont les organisations qui ont mis en place une solution adéquate, nous verrons pourquoi un peu plus loin. Nous voilà donc confrontés quelques années plus tard aux mêmes défis avec les agents IA… à la différence que l'étendue de leurs capacités croît exponentiellement.

Mais, d'abord, pourquoi s'inquiéter d'identité pour ces outils ? Tout simplement parce qu'ils sont amenés à réaliser des actions sensibles et qu'il est donc impératif, en particulier dans le secteur financier, de pouvoir déterminer quel utilisateur à fait quoi à tout moment. Par ailleurs, ces comptes d'utilisateurs virtuels supportent des contraintes différentes de celles des humains (exemple trivial, le mot de passe est aberrant pour une machine). Il faut donc créer les conditions et l'infrastructure d'une gestion spécifique.

Pour commencer, ces identités techniques sont contrôlées par un administrateur humain (qui doit lui-même posséder une identité valide). Celui-ci porte alors la responsabilité de sa création, de la définition de ses droits (ce qu'elle autorise à faire avec les systèmes sur lesquels elle est habilitée à intervenir), du renouvellement régulier des informations d'authentification… Faisant partie d'un ensemble entièrement automatisé, elles requièrent également des mécanismes d'accès dédiés (pour rester sur le même exemple, il ne peut être question de fournir un mot de passe pré-enregistré).

Toute lacune sur ces capacités est une porte ouverte aux malveillances en tout genre, fraude ou cyberattaque…, émanant d'un tiers externe ou d'un collaborateur interne. L'absence de dispositif précisément adapté au contexte de connexion d'un robot – quel qu'il soit et y compris, entre autres, à travers des API – crée des failles de sécurité… dont la multiplication, avec celle des agents intelligents et leurs équivalents, constitue une aubaine pour les criminels (pour continuer sur le même thème, pensez un instant à ce compte générique visible dans les scripts de déroulement de processus).

Apparemment, la criticité des risques et l'urgence à les repousser ne suffisent pourtant pas, dans bien des entreprises, à déclencher le lancement de projets ad hoc. Une des principales explications à cette apathie réside dans la dimension purement technique du besoin, qui est donc difficile à défendre – d'autant plus que ses arguments sont eux-mêmes complexes – face à des propositions de création d'applications à base d'intelligence artificielle, aux promesses de retour sur investissement extravagantes.

Il faudra pourtant s'atteler rapidement à mettre en place le socle indispensable – plate-forme et gouvernance – au pilotage rationnel des identités des innombrables robots qui sont appelés, à terme, à réaliser la plupart des opérations de bas niveau dans les logiciels des institutions financières. Il serait extrêmement dangereux d'attendre que les raccourcis mal sécurisés se répandent dans tout le système d'information.

Identité des machines

  • ✇C'est pas mon idée !
  • OCBC se met aux appels téléphonique « in app »
    La protection contre les appels téléphoniques frauduleux est une préoccupation importante pour nombre de banques et son intégration dans leur application mobile constitue à ce jour la meilleure parade connue. À Singapour, son adoption par OCBC fournit également à cette dernière l'occasion d'en faire ressortir un autre avantage notable.Afin de lutter contre un fléau devenu incontrôlable, Monzo fut la première (je crois) à imaginer un système de confirmation de conversation avec un de ses conseil

OCBC se met aux appels téléphonique « in app »

Par : Patrice
28 novembre 2025 à 21:35
OCBC
La protection contre les appels téléphoniques frauduleux est une préoccupation importante pour nombre de banques et son intégration dans leur application mobile constitue à ce jour la meilleure parade connue. À Singapour, son adoption par OCBC fournit également à cette dernière l'occasion d'en faire ressortir un autre avantage notable.

Afin de lutter contre un fléau devenu incontrôlable, Monzo fut la première (je crois) à imaginer un système de confirmation de conversation avec un de ses conseillers, permettant de repérer, a contrario, les appels émanant d'escrocs. Elle a été rapidement imitée par quelques consœurs, dont ING et Sumeria, avant d'être dépassée par cette idée de Westpac (?), elle-même répliquée (par Sumeria, encore), de gérer les échanges téléphoniques au sein de son app, interdisant ainsi toute usurpation d'identité.

Voilà maintenant venu le tour d'OCBC d'implémenter cette capacité pour ses clients particuliers, après l'avoir mise en place pour les entreprises en juin dernier. Ce faisant, l'établissement embrasse une perspective assez différente de ses prédécesseurs, probablement en raison d'un contexte local spécifique : le premier objectif visé est cette fois de sécuriser les communications vers son centre d'appel, en évitant notamment le mécanisme d'authentification fragile que constituent les codes envoyés par SMS.

De fait, le fonctionnement inverse, c'est-à-dire quand la banque joint ses clients, ne sera déployé qu'au premier semestre de l'année prochaine (et il ne concernera que le support et les équipes anti-fraude). Cette sorte d'insouciance semble liée au constat que Singapour s'éveille juste aux dangers des imposteurs téléphoniques, seulement 1 700 cas ayant été signalés entre janvier et juin dans tout le pays. Mais sa forte croissance et son incidence sur la confiance des consommateurs justifie néanmoins la riposte.

OCBC – In-App Calls

En revanche, au-delà des seuls arguments de sécurité, OCBC promeut aussi son initiative sous un angle commercial, en jouant sur une corde potentiellement sensible pour les Singapouriens. En effet, les appels passés depuis son application mobile échappent aux surcoûts de téléphonie transfrontalière (dans la mesure où une connexion réseau est disponible, WiFi par exemple), ce qui permet de vanter la faculté de contacter facilement et de manière économique sa banque depuis n'importe où dans le monde… en particulier pour les cas d'urgence, dont les suspicions de fraude.

Quels que soient les enjeux régionaux, l'intégration de fonctions de communication vocale dans les plates-formes bancaires, comme l'ont été précédemment les échanges de messages, devient progressivement incontournable, a minima pour la protection des clients (et de leur argent). Les institutions financières qui se lanceront rapidement peuvent encore espérer, comme OCBC, se positionner en pionnières. Mais la fenêtre d'opportunité va se refermer rapidement et laisser place à une faiblesse visible.

  • ✇C'est pas mon idée !
  • Des formations à la cybersécurité inefficaces
    Tous les grands groupes, et encore plus ceux du secteur financier, déploient des formations à l'intention de leurs collaborateurs afin de les sensibiliser aux risques de cybersécurité. Or une étude de l'université de San Diego, portant spécifiquement sur les programmes de lutte contre le hameçonnage, révèle qu'ils ont un impact quasiment nul.La cible retenue n'est pas choisie au hasard puisque le « phishing » (pour reprendre son appellation d'origine) constitue aujourd'hui le principal vecteur d

Des formations à la cybersécurité inefficaces

Par : Patrice
13 octobre 2025 à 21:30
UC San Diego
Tous les grands groupes, et encore plus ceux du secteur financier, déploient des formations à l'intention de leurs collaborateurs afin de les sensibiliser aux risques de cybersécurité. Or une étude de l'université de San Diego, portant spécifiquement sur les programmes de lutte contre le hameçonnage, révèle qu'ils ont un impact quasiment nul.

La cible retenue n'est pas choisie au hasard puisque le « phishing » (pour reprendre son appellation d'origine) constitue aujourd'hui le principal vecteur des cyberattaques dans le monde. Et ce qui étonne immédiatement avec la présentation des travaux de l'équipe qui appartient à la division dédiée à la santé dans l'établissement public est qu'elle ne serait que la deuxième, à date, à se pencher sur les effets véritables des démarches pédagogiques de lutte contre un fléau aussi ancien que dévastateur.

Tous ceux qui travaillent, salariés ou contractuels, au sein d'une entreprise importante connaissent ces modules éducatifs, qu'ils sont contraints de suivre à intervalles réguliers, souvent avec réticence. Dans les structures un peu plus créatives, ce sont aussi parfois des simulations de courriels piégés qui sont envoyés, aboutissant à une piqûre de rappel contextuelle sur les conséquences potentiellement graves de leur inattention. Et bien ces méthodes n'ont aucune influence sur les comportements.

Plus précisément, quand les chercheurs analysent scientifiquement, sur un échantillon de 19 500 personnes (les salariés de l'université, en l'occurrence), les taux de réponse à des tentatives de hameçonnage, la différence entre ceux qui ont bénéficié d'une formation et les autres est de 2%, presque dans la marge d'erreur statistique. En outre, la performance se dégrade rapidement dans le temps : en quelques mois, les réflexes minimaux de prudence éventuellement acquis se sont définitivement évaporés.

UC San Diego – Cybersecurity Training

Une raison majeure de cette inefficacité patente serait le manque d'engagement des participants dans les campagnes de prévention et les matériels pédagogiques mis à leur disposition. L'enquête démontre, par exemple, que trois quarts des individus interrogés passent moins d'une minute à les consulter. Et je soupçonne, que même quand un contrôle a posteriori rend obligatoire de passer plus de temps sur les contenus, à contre-cœur, leur appropriation effective n'est pas beaucoup plus élevée.

Les auteurs déduisent de ces constats que les approches par l'éducation sont futiles, surtout quand on prend en compte les coûts qu'elles représentent, et suggèrent donc que la seule solution viable serait technologique. Ils mentionnent notamment des protections avancées sur les systèmes d'identification et d'authentification pour réduire le danger en cas d'attaque réussie. Pour ma part, je considère que ce niveau de réponse, indispensable, ne pourra jamais suffire face à la sophistication toujours croissante des cybercriminels. Il faudrait donc revoir en profondeur les modèles pédagogiques traditionnels pour les rendre pertinents et adaptés aux audiences de notre époque.

Actualité repérée grâce à DCOD (merci Marc !)

  • ✇C'est pas mon idée !
  • Des appels in-app pour l'expérience client
    On connaît déjà, par exemple chez Sumeria, en France, l'intégration des appels téléphoniques entrants dans l'application mobile de la banque, afin de lutter contre la fraude. La sud-africaine Discovery Bank prolonge maintenant le principe, en portant de la sorte l'ambition additionnelle de simplifier toutes les interactions vocales.La nouvelle fonction prend donc en charge l'ensemble des communications, y compris celles qui sont à l'initiative du client. Il suffit à ce dernier de se rendre dans

Des appels in-app pour l'expérience client

Par : Patrice
9 octobre 2025 à 21:30
Discovery Bank
On connaît déjà, par exemple chez Sumeria, en France, l'intégration des appels téléphoniques entrants dans l'application mobile de la banque, afin de lutter contre la fraude. La sud-africaine Discovery Bank prolonge maintenant le principe, en portant de la sorte l'ambition additionnelle de simplifier toutes les interactions vocales.

La nouvelle fonction prend donc en charge l'ensemble des communications, y compris celles qui sont à l'initiative du client. Il suffit à ce dernier de se rendre dans la rubrique « contactez-nous » et d'y s"lectionner l'option idoine pour échanger avec un conseiller, en dehors des réseaux de téléphonie traditionnels. Premier avantage notable, cette faculté complète la protection contre les escroqueries (par exemple les fausses coordonnées susceptibles d'être trouvées en ligne), en plus de celle qui interdit l'usurpation du numéro de la banque quand celle-ci est à l'origine de l'appel.

Cependant, Discovery Bank profite également de cette évolution importante pour fluidifier la relation. En effet, au lieu d'exiger une authentification et le passage à travers divers filtres de contrôle d'identité, souvent malcommodes au téléphone, le passage par l'application mobile, dans laquelle l'utilisateur s'est bien sûr préalablement identifié, avec validation biométrique, permet de court-circuiter ces étapes désagréables, évitant ainsi frustrations et autres pertes de temps, voire suspicions injustifiées.

Discovery Bank – In App Calling

Mieux encore, dans un effort supplémentaire de réduction des frictions, telles qu'elles peuvent être matérialisées par les insupportables menus vocaux interactifs de certaines entreprises, le système est en outre capable de transmettre le contexte avec la demande de contact. Concrètement, une analyse en temps réel du profil de l'intéressé et de son activité récente, notamment sa navigation dans le logiciel, aide à déterminer le motif probable de l'appel, de manière à solliciter directement l'expert ad hoc, sans rebonds multiples d'interlocuteur en interlocuteur. Derrière cette idée simple, il y aurait certainement matière à explorer de nombreuses opportunités.

À travers sa démarche, l'institution financière exprime l'ambition de renforcer la confiance de ses clients, autant par le soin qu'elle apporte à optimiser la sécurité de ses opérations que par la capacité qu'elle cherche à développer en permanence de mieux répondre à leurs attentes, avec le maximum de réactivité, et même, dans la mesure du possible, en les anticipant et en leur apportant une réponse de manière proactive. Voilà une stratégie en parfait alignement avec les exigences des consommateurs de 2025.

  • ✇C'est pas mon idée !
  • Singapour avance sur la sécurité quantique
    La première urgence du secteur financier face à l'émergence promise de l'informatique quantique est de pallier les faiblesses des mécanismes de sécurité existants qu'elle expose. Mais la technologie offre également une opportunité, que l'autorité monétaire de Singapour (MAS) commence à explorer, de développer de meilleures protections.L'exploitation de propriétés quantiques de la matière ou de la lumière laisse entrevoir une véritable révolution dans la manière d'envisager les traitements de l'

Singapour avance sur la sécurité quantique

Par : Patrice
30 septembre 2025 à 21:45
MAS
La première urgence du secteur financier face à l'émergence promise de l'informatique quantique est de pallier les faiblesses des mécanismes de sécurité existants qu'elle expose. Mais la technologie offre également une opportunité, que l'autorité monétaire de Singapour (MAS) commence à explorer, de développer de meilleures protections.

L'exploitation de propriétés quantiques de la matière ou de la lumière laisse entrevoir une véritable révolution dans la manière d'envisager les traitements de l'information et la possibilité qu'elle esquisse de briser les algorithmes de chiffrement en vigueur aujourd'hui dans notre univers numérique est suffisamment effrayante pour que les entreprises les plus sensibles et les gouvernements cherchent à mettre en place des parades, usant de méthodes classiques, avant que le danger ne se concrétise.

Cependant, en parallèle, les applications de ces même facultés font rêver quelques visionnaires. Il y a ceux qui pensent à une démultiplication de la puissance de calcul au service, par exemple, de prévisions météorologiques ou d'évaluation des risques sur un portefeuille financier. Et puis il y a les spécialistes de la cryptographie qui imaginent de créer des solutions susceptibles de rendre les communications inviolables, éliminant de fait toutes les limitations des méthodes de protection exploitées actuellement.

Alors que, jusqu'à présent, ces projections futuristes restent largement cantonnées à des expérimentations dans des laboratoires de recherche, voilà justement ce que la MAS a voulu mettre en œuvre avec quatre banques locales (DBS, HSBC, OCBC et UOB), ainsi qu'un opérateur de télécommunication et une société experte du domaine, dans le but d'en comprendre le fonctionnement, d'en évaluer la faisabilité et la valeur, et, plus généralement, de préparer l'esquisse d'une stratégie de manière éclairée.

MAS – QKD PoC

Sans surprise, les résultats obtenus révèlent un certain nombre de difficultés restant à résorber avant de pouvoir penser à une quelconque industrialisation. Un obstacle majeur, en particulier, est dû à la portée relativement limitée des échanges considérés (quelques dizaines de kilomètres, en pratique) : pour des connexions à longue distance, il faudrait impérativement déployer des nœuds intermédiaires, dont l'intégrité devrait pouvoir être garantie. Autre défaut de jeunesse, l'hétérogénéité du marché qui devra laisser place à une standardisation autorisant l'interopérabilité.

Dans le contexte qui le concerne directement, le régulateur singapourien se montre tout de même volontariste. Il souligne notamment l'intérêt de technologies quantiques en vue de sécuriser les communications entre centres de production informatiques et autres implantations des institutions financières. Mais il devra encore convaincre les dirigeants des établissements placés sous sa tutelle d'adhérer à ses convictions, ce qui exigera de leur part un engagement important, en termes de budgets et de ressources.

  • ✇C'est pas mon idée !
  • La prochaine vague de fraude arrive avec l'IA
    La promesse des agents intelligents de réaliser les actions de la vie quotidienne pour le compte de leurs utilisateurs humains commence à se matérialiser dans quelques navigateurs web. Hélas, quand les experts de la sécurité « digitale » de Guardio évaluent leur capacité à résister aux tentatives de fraude, leur échec est retentissant.L'intelligence artificielle agentique n'est pas tout à fait mûre mais elle progresse à grands pas et ses démonstrations régulières la rendent déjà éminemment attr

La prochaine vague de fraude arrive avec l'IA

Par : Patrice
27 août 2025 à 21:40
Guardio
La promesse des agents intelligents de réaliser les actions de la vie quotidienne pour le compte de leurs utilisateurs humains commence à se matérialiser dans quelques navigateurs web. Hélas, quand les experts de la sécurité « digitale » de Guardio évaluent leur capacité à résister aux tentatives de fraude, leur échec est retentissant.

L'intelligence artificielle agentique n'est pas tout à fait mûre mais elle progresse à grands pas et ses démonstrations régulières la rendent déjà éminemment attractive pour les consommateurs qui rêvent de se faciliter leurs interactions en ligne en demandant simplement à leur compagnon internet d'exécuter une tâche, en toute autonomie, aussi complexe soit-elle. La question de leur protection contre les arnaques risque donc de devenir rapidement critique, justifiant l'expérimentation conduite par Guardio.

En l'occurrence, alors que plusieurs logiciels du marché intègrent depuis quelques temps leur propre moteur d'IA, les chercheurs ont sélectionné le premier vrai navigateur agentique, à savoir Comet de Perplexity, pour leur test. Ils ont ensuite élaboré trois scénarios d'attaque reflétant des techniques largement connues et auxquelles une majorité d'internautes sont dorénavant sensibilisés (et immunisés) : faux site d'e-commerce, courriel de hameçonnage et page web infectée par du code malicieux.

Première étape, présenté avec une imitation de boutique Walmart, l'agent n'hésite pas à satisfaire à plusieurs reprises – parfois, il lève une alerte – la requête qui lui est soumise d'acheter une Apple Watch, allant jusqu'à fournir l'adresse de livraison et les informations de paiement conservées pour auto-remplissage. Avec le message prétendument en provenance d'une banque, il suit le lien inclus et sollicite la saisie des identifiants de connexion, sans laisser à l'utilisateur l'opportunité de détecter les indices qui émaillent le parcours suivi automatiquement. Le dernier cas montre enfin comment il est possible de manipuler l'IA en glissant des instructions spécifiques à son intention au sein du contenu qui lui est transmis. Là encore, elle se laisse berner comme une débutante.

Guardio – Scamlexity

La conclusion est aussi triviale qu'inquiétante : à ce stade de leur développement, ces systèmes sont conçus exclusivement pour aboutir au résultat exprimé par la demande qui leur est faite, sans aucune précaution par rapport aux dangers les plus fréquents de la toile, y compris ceux que les citoyens ont appris à repérer. Ils comptent sur les mécanismes internes des socles techniques sur lesquels ils s'appuient (par exemple les signalements de sites de Google), qui sont évidemment très insuffisants.

Pour les auteurs, la solution consistera pour les éditeurs de ces dispositifs à leur inculquer les règles de prévention qui leur éviteront de tomber dans les pièges qui leur seront tendus. Mais ils soulignent également l'inévitable escalade de moyens qui va probablement s'enclencher, par laquelle les escrocs exploiteront eux-mêmes l'intelligence artificielle afin de peaufiner leurs offensives et de s'assurer qu'elles restent efficaces, au fur et à mesure que des parades seront adoptées par leurs victimes…

Les conséquences pour les acteurs de la finance – qui seront comme toujours, avec les e-commerçants, les cibles privilégiées des fraudeurs – pourraient s'avérer dramatiques. En effet, avec les méthodes illustrées par Guardio et leurs dérivées, le point faible visé par une attaque n'est plus un groupe d'individus, chacun représentant une victime (potentielle) isolée, mais une IA et ses millions (à terme) d'adeptes : à une telle échelle, c'est la confiance dans l'institution qui pourrait se trouvée menacée.

  • ✇C'est pas mon idée !
  • Tide déploie des cartes muettes
    Au premier abord, l'annonce par la néo-banque Tide qu'elle distribue dorénavant des cartes de paiement sans aucune autre information que le nom du porteur me laisse de marbre : après tout, Apple a popularisé le principe depuis 2019. Mais comment se fait-il alors qu'elle soit la première à l'implémenter pour les entreprises britanniques ?Historiquement, le numéro et le mois d'expiration étaient imprimés, en relief, sur les cartes afin d'en permettre la reproduction physique sur les reçus délivré

Tide déploie des cartes muettes

Par : Patrice
14 août 2025 à 22:10
Tide
Au premier abord, l'annonce par la néo-banque Tide qu'elle distribue dorénavant des cartes de paiement sans aucune autre information que le nom du porteur me laisse de marbre : après tout, Apple a popularisé le principe depuis 2019. Mais comment se fait-il alors qu'elle soit la première à l'implémenter pour les entreprises britanniques ?

Historiquement, le numéro et le mois d'expiration étaient imprimés, en relief, sur les cartes afin d'en permettre la reproduction physique sur les reçus délivrés par les appareils de « lecture » de l'époque (les anciens parmi vous se souviennent probablement de ce qu'on qualifiait de « fer à repasser »). Avec l'avènement de la puce électronique, qui a totalement supplanté cet ancien système, ces données n'avaient plus aucune utilité puisqu'elles étaient transmises par voie informatique.

Hélas, au début de ce siècle, est né l'e-commerce et son adaptation aux moyens de paiement en vigueur à ce moment-là, qui a remis au goût du jour l'usage des identifiants de la carte, de manière à les transmettre, après saisie manuelle, lors du règlement du panier. Depuis, ils sont donc restés présents sur les supports distribués… jusqu'à ce que la banque mobile offre une solution plus sûre, en invitant les clients à rechercher les références nécessaires dans leur application et non plus sur un bout de plastique.

Sans surprise, Tide brandit toujours le même argument de sécurité pour expliquer son initiative : parce qu'il est tellement facile pour une personne indélicate de capturer d'un coup d'œil les données avec lesquelles elle pourra effectuer des achats frauduleux, sans même avoir à dérober la carte, il est préférable de les déplacer dans un espace protégé sur le téléphone du client. En outre, dans une large mesure, l'expérience utilisateur gagne au changement pour ceux qui ont toujours leur appareil sous la main.

Tide Strips Card Numbers

Dans une période où les institutions financières déploient des moyens considérables afin de lutter contre les malversations en tout genre – y compris avec des dispositifs relativement complexes et fragiles tels que le code de validation (CVV) dynamique, qu'elle facturent sans vergogne au détriment de la protection de ceux qui refusent une ponction abusive –, pourquoi n'ont-elles pas déjà généralisé le mécanisme trivial que représente la transition de l'ensemble de ces fonctions vers leur application mobile ?

Bien sûr, pour les établissements traditionnels, intervient la question de l'adoption des outils « digitaux », qui n'est pas, à ce jour, universelle bien que fortement majoritaire. Mais la sécurité ne devrait-elle pas passer avant tout autre critère – comme le proclament d'ailleurs fréquemment les acteurs de l'industrie – et donc justifier la distribution de cartes muettes par défaut, avec une version « classique » en option, pour les individus refusant l'application mobile et désirant faire des emplettes sur internet ?

  • ✇C'est pas mon idée !
  • Résilience et souveraineté par l'exemple
    Voilà une mésaventure – certes survenue loin de l'Europe et dans des circonstances spécifiques – qui illustre tout de même les risques encourus par les entreprises internationales qui dépendent très fortement de services fournis par des acteurs, en l'occurrence américains, soumis à des contraintes qui peuvent devenir arbitraires.La victime de l'affaire est une société indienne, Nayara Energy, récemment placée dans la liste des sanctions de l'Union Européenne en raison de ses liens directs avec

Résilience et souveraineté par l'exemple

Par : Patrice
30 juillet 2025 à 22:30
Microsoft
Voilà une mésaventure – certes survenue loin de l'Europe et dans des circonstances spécifiques – qui illustre tout de même les risques encourus par les entreprises internationales qui dépendent très fortement de services fournis par des acteurs, en l'occurrence américains, soumis à des contraintes qui peuvent devenir arbitraires.

La victime de l'affaire est une société indienne, Nayara Energy, récemment placée dans la liste des sanctions de l'Union Européenne en raison de ses liens directs avec la Russie. Sur la foi de cette désignation, l'éditeur lui a purement et simplement verrouillé du jour au lendemain l'accès à ses applications de productivité et de collaboration, critiques pour le fonctionnement de nombreuses organisations, sans aucune information préalable et en dépit de licences régulièrement acquises et dûment payées.

Les dirigeants de Nayara ont immédiatement engagé un recours judiciaire et, apparemment, Microsoft est maintenant revenue en arrière et a finalement rétabli les connexions. Quoi qu'il en soit, cette anecdote illustre comment une décision intempestive plus ou moins justifiée – et la conjoncture politique actuelle nous offre quotidiennement l'occasion de craindre un événement de ce genre – peut soudainement paralyser une firme qui exploite des outils d'origines diverses sans y réfléchir.

Dans le cas d'espèce, ce sont toutes les communications des collaborateurs, entre eux et avec leurs clients et partenaires, qui disparaissent de la sorte. Pour des structures qui recourent aux infrastructures infonuagiques des géants technologiques, l'impact pourrait également s'étendre aux logiciels et aux données opérationnels, jusqu'à, potentiellement, effacer toute la mémoire de l'entreprise. Imaginez, par exemple, une banque qui n'aurait plus aucun contrôle sur les comptes de ses clients !

Encore une fois, nous n'en sommes (heureusement) pas encore à devoir s'inquiéter de tels blocages affectant des grands groupes respectables. Mais les lubies de certain chef d'état peuvent facilement créer des situations dans lesquelles la menace prendrait forme plus concrète. Or l'absence de parade dans les plans de résilience des institutions financières vis-à-vis de l'emprise de quelques fournisseurs impose, du fait des conséquences graves d'un incident, de prendre en compte ce risque, même faible.

La réglementation DORA, entrée en vigueur au début de l'année, requiert une vigilance particulière sur ces dangers. Mais, au-delà de ses exigences, il faut peut-être commencer aussi à imaginer des plans de remédiation pour les crises improbables mais pas totalement impossibles, dont l'exécution sera probablement très lourde.

Microsoft Cloud

  • ✇C'est pas mon idée !
  • Un compte verrouillé pour sécuriser l'épargne
    Face à la croissance apparemment incontrôlable des escroqueries en tout genre, les institutions financières sont de plus en plus fréquemment tentées d'instaurer des frictions dans leurs services « digitaux ». Une jeune banque communautaire américaine pousse désormais le principe très loin… mais dans un contexte qui en limite les inconvénients.Baptisé Fort Knox, le nouveau compte d'épargne en ligne proposé par Austin Capital Bank se veut à la mesure de la réputation des coffres-forts de l'instal

Un compte verrouillé pour sécuriser l'épargne

Par : Patrice
25 juillet 2025 à 22:55
Fort Knox
Face à la croissance apparemment incontrôlable des escroqueries en tout genre, les institutions financières sont de plus en plus fréquemment tentées d'instaurer des frictions dans leurs services « digitaux ». Une jeune banque communautaire américaine pousse désormais le principe très loin… mais dans un contexte qui en limite les inconvénients.

Baptisé Fort Knox, le nouveau compte d'épargne en ligne proposé par Austin Capital Bank se veut à la mesure de la réputation des coffres-forts de l'installation dont il emprunte le nom. En premier lieu, il comprend ainsi une infrastructure de sécurité multi-couches, appliquée par zones de défense (telles que la connexion, la demande de transfert…), que le client peut en outre configurer selon ses préférences, par exemple en choisissant un mécanisme de jetons temporaires logiciel ou physique.

Autre caractéristique relativement triviale mais néanmoins importante, les virements ne sont autorisés que depuis et vers un compte prédéterminé, évitant de la sorte tout risque qu'un fraudeur puisse effectuer directement une opération à son profit. En outre, comme les deux comptes sont totalement indépendants, y compris quand il est domicilié chez Austin Capital (ce qui n'est pas obligatoire), une tentative de détournement requerrait, pour réussir, de vaincre deux systèmes de protection distincts.

Toujours dans un registre classique, les retraits sont systématiquement traités avec un délai de deux jours ouvrés, laissant le temps à une victime potentielle de réagir alors que la rapidité est un facteur clé pour la réussite de bon nombre d'arnaques. De même, une surveillance minutieuse de l'activité est maintenue en permanence sur le compte lié, le moindre changement suspect sur celui-ci étant susceptible de déboucher sur un verrouillage préventif de toute transaction sur l'épargne, jusqu'à réactivation.

Fort Knox Savings Account

Enfin, une dernière capacité, un peu mystérieuse, complète ce panorama. En effet, les identifiants de compte utilisés ne respectent pas les standards de l'industrie. D'une part, il sont formés de caractères alphanumériques et spéciaux, les rendant plus difficiles à deviner et, surtout, incompatibles avec les solutions de transfert habituelles, et, d'autre part, ils ne sont jamais exposés à l'extérieur de la banque et de son application (le provisionnement fonctionnerait donc par prélèvement ?), ce qui écarte tout danger de divulgation accidentelle, par exemple à l'occasion d'une fuite de données.

Naturellement, les obstacles introduits dans les parcours des clients nuisent à leur expérience, ce que je considère en général comme rédhibitoire avec ces approches. Cependant, dans le cas de Fort Knox et de sa déclinaison exclusive sur l'épargne, le handicap est moins sensible, dans la mesure où son détenteur aura normalement assez peu fréquemment besoin de retirer des fonds. Au contraire, pourrait-on dire, son positionnement comme une réserve sécurisée associée à un compte courant moins bien protégé (qu'il n'est pas nécessaire de changer) lui offre un argument de vente unique.

  • ✇C'est pas mon idée !
  • Lloyds Bank teste une IA sans danger
    La confiance limitée en leur fiabilité – alimentée, entre autres, par les multiples exemples d'hallucinations – constitue un des principaux freins à l'exploitation de l'intelligence artificielle générative dans des environnements sensibles, dont les applications bancaires destinées au grand public. Lloyds Bank expérimente une solution à ce défaut.Fournie par UnlikelyAI, jeune pousse fondée par le créateur de l'assistant vocal qui fut à l'origine d'Alexa (par Amazon), celle-ci promet de corriger

Lloyds Bank teste une IA sans danger

Par : Patrice
2 juillet 2025 à 21:30
Lloyds Bank
La confiance limitée en leur fiabilité – alimentée, entre autres, par les multiples exemples d'hallucinations – constitue un des principaux freins à l'exploitation de l'intelligence artificielle générative dans des environnements sensibles, dont les applications bancaires destinées au grand public. Lloyds Bank expérimente une solution à ce défaut.

Fournie par UnlikelyAI, jeune pousse fondée par le créateur de l'assistant vocal qui fut à l'origine d'Alexa (par Amazon), celle-ci promet de corriger les faiblesses des plates-formes habituelles d'IA en ajoutant à des capacités désormais classiques de raisonnement statistique une couche de règles formelles dont la vocation est de contrôler la validité des réponses fournies. L'objectif est de garantir aux entreprises qui l'adoptent le respect de leurs propres contraintes et la conformité réglementaire.

Concrètement, la plate-forme, qualifiée de neurosymbolique (pour sa combinaison de réseaux de neurones et d'approche symbolique), met en œuvre plusieurs mécanismes pour atteindre son but. Tout d'abord, l'apprentissage de ses modèles ne s'appuient pas sur des données indifférenciées issues d'internet mais sur un corpus d'informations vérifiées, qu'il provienne de sources de référence, de connaissance générale et du domaine d'application, ou qu'il soit fourni par l'organisation qui souhaite la déployer.

Surtout, son moteur de raisonnement est conçu dans une logique de déduction établie à partir de règles et non sur des prédictions probabilistes. En raison de sa nature déterministe, qui induit la reproductibilité des réponses sur une même question, il est également capable d'exprimer son indécision, lorsque le savoir qu'il a accumulé ne lui permet pas d'aboutir à un résultat. Enfin, ces qualités s'accompagnent de la faculté d'expliquer le cheminement « intellectuel » suivi, pour plus de transparence.

UnlikelyAI

Dans un premier temps, la collaboration de Lloyds Bank avec UnlikelyAI est restreinte à une période de tests, au sein de son bac à sable d'innovation, ce qui signifie que le produit ne sera éprouvé que sur des données synthétiques. La banque place néanmoins de grands espoirs dans la technologie – et on la comprend quand on voit les réticences de l'industrie à avancer sur un terrain miné de l'IA exposée au dérives – et elle espère fortement en retirer les bénéfices pour ses activités et pour ses clients.

L'offre paraît évidemment très attractive… mais sa présentation laisse (au moins) un sujet crucial dans l'ombre. En effet, le principe du recours à des règles explicites, s'il représente un excellent moyen de maîtriser le fonctionnement de l'intelligence artificielle, ne risque-t-il pas d'impliquer une charge élevée de mise au point et de maintenance ? La startup précise qu'il est possible à tout moment de vérifier – en anglais courant – ses apprentissages, de les compléter si nécessaire et de corriger les éventuelles erreurs détectées. Or ce travail peut rapidement devenir un goulet d'étranglement…

  • ✇C'est pas mon idée !
  • Le contrôle d'âge devient une priorité
    Rien de tel que la pression réglementaire pour encourager des acteurs réticents à prendre des mesures sur un sujet aussi sensible que le contrôle de l'âge pour l'accès à certains produits et services. Et même si beaucoup ont encore tendance à reporter la responsabilité sur leur voisin, Google propose désormais une solution opérationnelle… tout en soulignant discrètement une incohérence du législateur européen.Alors que, ici, les sanctions menacent désormais les sites pour adultes qui ne se conf

Le contrôle d'âge devient une priorité

Par : Patrice
14 juin 2025 à 21:30
Google
Rien de tel que la pression réglementaire pour encourager des acteurs réticents à prendre des mesures sur un sujet aussi sensible que le contrôle de l'âge pour l'accès à certains produits et services. Et même si beaucoup ont encore tendance à reporter la responsabilité sur leur voisin, Google propose désormais une solution opérationnelle… tout en soulignant discrètement une incohérence du législateur européen.

Alors que, ici, les sanctions menacent désormais les sites pour adultes qui ne se conforment pas aux exigences de vérification de majorité pour tous leurs utilisateurs et que sont évoquées des interdictions d'accès aux réseaux sociaux au moins de 15 ans, la première réaction des entreprises concernées consiste à brandir l'argument de la non faisabilité… qui ne trompe personne : elles sont surtout inquiètes de perdre des revenus sur une population facile à conquérir, même quand elles prétendent l'écarter, ou, au mieux, elles ne veulent pas investir dans le déploiement des outils requis.

Cependant, comme la position adoptée dans l'Union Européenne, pionnière en la matière, semble inébranlable, les récriminations évoluent maintenant vers le renvoi de l'obligation de contrôle vers une autre entité, généralement désignée de manière assez floue. Quelques-uns suggèrent d'instaurer un mécanisme de protection dans le système d'exploitation des machines, d'autres, dont Meta (qui est particulièrement visée par Google), demandent qu'il soit placé dans les boutiques d'applications mobiles. Autant d'idées qui ne couvrent absolument pas l'ensemble des scénarios à considérer.

Google – Age Assurance Tool

Tous les géants du web s'inquiètent de leur exposition aux foudres (et aux lourdes amendes) des régulateurs, s'ils devaient endosser la responsabilité d'éventuelles infractions, qu'elles soient directement de leur fait ou non. Alors Google, comme quelques autres, prend les devants et offre donc aux développeurs d'applications pour son système Android un service prêt à l'emploi – sous la forme, classique dans ce domaine, d'une API – leur permettant d'invoquer les contrôles que leur impose la loi.

Estimant toutefois que son rôle n'inclut pas la vérification d'identité des porteurs de téléphone, l'interface se contente de transférer les requêtes vers les dispositifs existants, sa valeur résidant uniquement dans sa capacité à fournir un mécanisme universel et international à l'écosystème des éditeurs de logiciels. Initialement, la firme capitalise ainsi sur la publication par l'UE des spécifications d'interactions avec son futur portefeuille d'identité « digitale » (que j'ai précédemment couvert dans ces colonnes).

Le modèle se veut à l'état de l'art, notamment en termes de protection des données personnelles. Grâce à son approche « Zero-Knowledge Proof » (ZKP), le demandeur n'est autorisé à interroger que les informations sont il a strictement besoin. Par exemple, une app réservée aux individus majeurs se contentera de la réponse à la question « cet utilisateur a-t-il plus de 18 ans ? », sans obtenir sa date de naissance ni même son âge (ce qui est le cas, incidemment, avec la consultation d'une carte d'identité).

Petit problème… l'identité « digitale » européenne est encore à l'état embryonnaire, le projet accumulant des retards désastreux (comme je le craignais dès son annonce, au vu de son planning totalement irréaliste). Google n'insiste pas sur ce « détail » mais aura beau jeu de retourner la balle à la Commission Européenne si d'aventure celle-ci voulait lui chercher noise. Pour sa défense, il faut bien admettre que, en l'occurrence, les autorités paraissent prendre leurs décisions sans trop se préoccuper de cohérence

  • ✇C'est pas mon idée !
  • BBVA protège son app des indiscrétions
    Voilà une quinzaine d'années que la banque mobile est entrée dans nos habitudes, nous laissant consulter nos comptes ou exécuter nos transactions n'importe où et à tout moment… sans y réfléchir. Voilà pourquoi BBVA ajoute une option originale à son application permettant d'en préserver les informations sensibles des regards indiscrets.Bien sûr, l'idée de masquer une partie des données normalement affichées à l'écran a déjà été implémentée par le passé, à des fins de démonstration, par les établ

BBVA protège son app des indiscrétions

Par : Patrice
31 mai 2025 à 22:00
BBVA
Voilà une quinzaine d'années que la banque mobile est entrée dans nos habitudes, nous laissant consulter nos comptes ou exécuter nos transactions n'importe où et à tout moment… sans y réfléchir. Voilà pourquoi BBVA ajoute une option originale à son application permettant d'en préserver les informations sensibles des regards indiscrets.

Bien sûr, l'idée de masquer une partie des données normalement affichées à l'écran a déjà été implémentée par le passé, à des fins de démonstration, par les établissements qui espéraient de la sorte que leurs clients, fiers des capacités disponibles au bout de leurs doigts, les partageraient avec leurs proches, sans révéler de secrets, et convaincraient ces derniers de rejoindre leurs rangs. Je ne crois pas que ces tentatives, dont on n'en entend plus guère parler, aient été couronnées de succès..

À la base, le mode discret de BBVA reprend le même principe – après son activation permanente, les soldes des comptes et des cartes de crédit restent invisibles jusqu'à l'appui sur une icône pour les révéler – mais son objectif est totalement différent. En effet, il s'agit dorénavant d'éviter que ces informations confidentielles ne soient aperçues par des intrus (au milieu d'une foule, dans un bus, dans un ascenseur…) à l'occasion d'une vérification ou d'une opération rapide (un remboursement de frais à un ami…).

Pour une protection optimale, la banque espagnole introduit cependant une version intelligente qui, grâce à une analyse de l'environnement de l'utilisateur tel qu'il est capturé par la caméra de son téléphone, détecte la présence de plusieurs paires d'yeux dans le champ de l'écran et bascule alors automatiquement l'écran en mode privé. Il n'est ainsi plus nécessaire d'exercer une prudence préventive à l'ouverture de l'application, l'appareil se charge tout seul de dissuader les voisins trop curieux.

BBVA – Discrete Mode

La nouvelle fonction est certes anecdotique mais elle offre tout de même un surcroît de sécurité bienvenu – et relativement simple à mettre en œuvre, dans la pratique – dans un monde où le smartphone est en permanence susceptible d'exposer involontairement des informations personnelles dans des lieux publics et où les utilisateurs ne pensent pas toujours à se prémunir des indiscrétions… qui peuvent aussi émaner d'escrocs capables d'exploiter les données glanées à des fins criminelles.

L'approche pourrait être déclinée dans des contextes potentiellement plus critiques. Je pense par exemple aux distributeurs automatiques, sur lesquels les recommandations de vigilance ne suffisent pas à prévenir les captures de code secret par-dessus l'épaule : une caméra repérant ce type de comportement permettrait facilement de combattre des agressions relativement fréquentes. Dans le même registre, l'intégration de ce mécanisme sur les terminaux de paiement – de plus en plus souvent embarqués sur un téléphone, incidemment – pourrait également contribuer à la lutte contre la fraude.

  • ✇C'est pas mon idée !
  • La résilience du monde digital en question
    Dans le sillage des appels aux français à conserver en permanence un kit de survie et de la gigantesque panne électrique de la péninsule ibérique le mois dernier, les autorités néerlandaises invitent les citoyens à se tenir prêts à l'éventualité d'une perturbation des services de paiement pendant plusieurs jours, conseils pratiques à l'appui.Bien que les systèmes électroniques et informatiques qui régissent les échanges financiers soient extrêmement fiables au quotidien, les tensions géopolitiq

La résilience du monde digital en question

Par : Patrice
24 mai 2025 à 21:30
DNB
Dans le sillage des appels aux français à conserver en permanence un kit de survie et de la gigantesque panne électrique de la péninsule ibérique le mois dernier, les autorités néerlandaises invitent les citoyens à se tenir prêts à l'éventualité d'une perturbation des services de paiement pendant plusieurs jours, conseils pratiques à l'appui.

Bien que les systèmes électroniques et informatiques qui régissent les échanges financiers soient extrêmement fiables au quotidien, les tensions géopolitiques actuelles, la croissance sans fin des cyber-malveillances ou, plus sournoisement, la dépendance excessive de notre monde moderne à des technologies toujours plus complexes à maîtriser laissent entrevoir la possibilité de défaillances majeures dont la probabilité qu'elles surviennent impose désormais qu'elles soient anticipées.

Dans le registre des paiements, aux Pays-Bas, le forum composé de la banque centrale, des banques commerciales, des associations de consommateurs, du ministère des finances et de quelques autres institutions a donc établi et diffuse une série de recommandations destinées à permettre aux résidents de surmonter divers scénarios de crise, depuis un dysfonctionnement de réseau de télécommunication jusqu'à la perte d'alimentation électrique en passant par l'indisponibilité des fonctions bancaires.

Concrètement, les consommateurs sont encouragés à s'équiper systématiquement de plusieurs instruments de paiement, y compris une carte de débit (en plastique) en complément d'un porte-monnaie mobile, une application bancaire pour effectuer des virements et une somme en espèces pour les cas critiques – en suggérant un minimum de 70 euros par adulte et 30 euros par enfant, considéré suffisant pour subsister trois jours en termes de besoins essentiels (eau, nourriture, transport, médicaments).

De leur côté, les commerçants, en particulier dans les mêmes secteurs de première nécessité, sont également incités à prendre des mesures en faveur de la résilience. Outre leur capacité à accepter les règlements en espèces, pour lesquels il doivent alors prévoir des réserves de monnaie, il peut s'agir de s'équiper de connexions internet auprès de deux fournisseurs distincts ou de garder sous la main un QR code via lequel leurs clients pourront payer leurs achats depuis leur compte bancaire.

Nous sommes tellement habitués aujourd'hui à une disponibilité sans faille des infrastructures électroniques que la plupart d'entre nous, notamment parmi les plus jeunes qui n'ont jamais connu une autre réalité, seraient totalement désemparés si elles cessaient de fonctionner brutalement. Il semble donc crucial de rappeler quelques précautions minimales alors que l'hypothèse à laquelle personne ne se prépare prend de l'épaisseur chaque jour qui passe. Il serait d'ailleurs intéressant de savoir comment les victimes de l'incident ibérique d'avril 2025 ont vécu ce moment : j'espère que des chercheurs se penchent sur le sujet et partageront bientôt leurs observations.

Espèces en Euro

  • ✇C'est pas mon idée !
  • Greenlight étend ses services de protection
    Née avec l'ambition de fournir aux parents un outil qui leur permette d'accompagner les premiers pas de leurs enfants dans la vie financière, l'américaine Greenlight distribue maintenant une version familiale de son offre qui intègre désormais les besoins – similaires par de nombreux aspects – de protection des personnes dépendantes.L'approche prend tout son sens non seulement en raison de cette proximité des exigences à travers les générations mais également parce que, dans le monde moderne, l

Greenlight étend ses services de protection

Par : Patrice
16 mai 2025 à 21:31
Greenlight
Née avec l'ambition de fournir aux parents un outil qui leur permette d'accompagner les premiers pas de leurs enfants dans la vie financière, l'américaine Greenlight distribue maintenant une version familiale de son offre qui intègre désormais les besoins – similaires par de nombreux aspects – de protection des personnes dépendantes.

L'approche prend tout son sens non seulement en raison de cette proximité des exigences à travers les générations mais également parce que, dans le monde moderne, le cas devient fréquent pour les adultes de devoir s'occuper simultanément de leurs adolescents et d'un ou plusieurs membres seniors de leur famille, qu'ils subissent une perte d'autonomie ou qu'ils aient besoin de soutien dans leurs tâches quotidiennes. Le « Family Shield » vise à soulager la charge que génèrent ces responsabilités.

Répliquant, avec les variantes nécessaires, les recettes originales qu'elle propose pour les jeunes, la jeune pousse assume son rôle d'ange-gardien à la fois sur le volet financier et sur leur sécurité physique. Dans ce dernier domaine, sont ainsi incluses les possibilités d'activer un suivi des déplacements de la personne aidée, avec alertes sur les départs et les arrivées dans des lieux clés (domicile, hôpital, banque…), ou bien l'envoi de notification sur détection d'un accident, en parallèle de l'appel des secours.

(Encore) plus intrusif, mais particulièrement rassurant pour les circonstances les plus stressantes, il est également prévu de pouvoir surveiller plus spécifiquement les déplacements en voiture. Il peut s'agir, là aussi, au choix, de recevoir des signalements uniquement lors de la survenue d'événements imprévus ou dangereux jusqu'à un partage des données complètes de conduite… qui serviront peut-être ultérieurement à engager une discussion sur la pertinence de continuer à prendre le volant.

Greenlight Family Shield

Côté argent, on retrouve d'abord un mécanisme classique d'observation des comptes, courants, d'épargne, d'investissement, cartes de crédit… Une fois ceux-ci connectés (en lecture seule, évidemment), l'aidant dispose d'une vue pernanente – qu'il peut en outre déléguer à un tiers pour garantir une meilleure réactivité – sur les soldes et les transactions enregistrées, au sein d'un tableau de bord unifié et, surtout, il est immédiatement alerté en cas de mouvement suspect, erreur ou tentative de fraude.

Est par ailleurs intégrée la lutte contre l'usurpation d'identité (en l'occurrence déclinée pour tous les membres inscrits de la famille), grâce à un service de veille auprès des agences de notation de crédit, du « dark web » et autres sources. De plus, ces capacités sont assorties d'une assurance couvrant les risques de détournement de fonds (indemnisés à hauteur de 100 000 dollars) et les frais encourus pour résoudre les abus d'identité pour ouverture de compte, souscription de crédit… (jusqu'à 1 million).

Au fil des années, Greenlight affine une stratégie fascinante qui combine deux dimensions complémentaires dans sa démarche d'expansion, entre son ambition de cibler les attentes de la famille dans son ensemble et sa prise en compte d'une perspective étendue sur la protection, au-delà du seul registre financier. Ses derniers ajouts laissent d'ailleurs entrevoir qu'elle pourrait bientôt poursuivre dans cette direction via le développement de solutions d'assurance articulées avec son positionnement.

  • ✇C'est pas mon idée !
  • Sumsub lance l'identité réutilisable
    Aujourd'hui, l'acquisition et le contrôle en ligne de l'identité des personnes sont devenus un standard des services numériques… mais le parcours qui les supporte n'en reste pas moins lourd et sa répétition au travers des relations avec différents fournisseurs peut finir par décourager. Voilà pourquoi Sumsub propose leur réutilisation.Le mode opératoire est désormais entré dans les mœurs : la capture des documents et autres justificatifs via l'appareil photo du téléphone, la vérification de l'o

Sumsub lance l'identité réutilisable

Par : Patrice
27 mars 2025 à 21:30
Sumsub
Aujourd'hui, l'acquisition et le contrôle en ligne de l'identité des personnes sont devenus un standard des services numériques… mais le parcours qui les supporte n'en reste pas moins lourd et sa répétition au travers des relations avec différents fournisseurs peut finir par décourager. Voilà pourquoi Sumsub propose leur réutilisation.

Le mode opératoire est désormais entré dans les mœurs : la capture des documents et autres justificatifs via l'appareil photo du téléphone, la vérification de l'origine de la demande à travers une séquence vidéo… Quand la requête est occasionnelle et que tout se passe bien, il n'y a rien à redire. En revanche, quand il faut plusieurs tentatives pour, par exemple, faire reconnaître une carte d'identité et que les demandes similaires se succèdent, entre autres avec toutes les parties prenantes d'un acte important (achat immobilier, création d'entreprise…), la frustration s'accentue… avec l'insatisfaction.

L’immense majorité des entreprises, du secteur financier ou non, qui requièrent une connaissance approfondie de leurs clients, souvent pour des raisons réglementaires, s’appuient sur une poignée de spécialistes afin de prendre en charge ces procédures. Pour un leader tel que Sumsub, la situation l’amène ainsi à constater qu’une personne sur trois accédant à sa plate-forme y était déjà passée précédemment, pour une démarche auprès de l’une ou l’autre des quelques 4 000 organisations qu’elle sert.

Le réflexe logique qu’adopte alors le prestataire consiste à conserver les informations transmises lors d’un premier contact et les réutiliser, dans la mesure où elles sont encore valides, plutôt que de les réclamer à nouveau. Seule l’étape de comparaison, par vidéo, de l’individu connecté avec le propriétaire de l’identité soumise reste nécessaire, de manière à débusquer les tentatives d’usurpation. À la clé, Sumsub promet un gain de temps de 50% sur le parcours et un taux de conversion amélioré de 30%, en moyenne.

Sumsub Reusable Identity

Le dernier obstacle à surmonter tient au consentement de l’intéressé, concernant le stockage de données personnelles sensibles. Deux mécanismes complémentaires sont donc mis en œuvre afin de maximiser les adhésions. L’un s’adresse directement aux particuliers, qui peuvent dans ce cas choisir de confier leur identité à Sumsub, sans intermédiaire. Le second repose sur l’acceptation par les clients du service de solliciter l’autorisation souhaitée dans le contexte de leurs opérations de contrôle.

L'initiative met en évidence une des nombreuses lacunes de la gestion d'identité à l'ère « digitale » et la réponse qu'elle apporte convaincra certainement bon nombre d'acteurs d'y souscrire dans le but de simplifier autant que possible la vie de leurs utilisateurs. Cependant, en prenant un peu de recul, il apparaît clairement que la vraie solution réside dans la création d'un équivalent nativement numérique aux documents physiques qui sont toujours les seuls reconnus officiellement en 2025. Il serait temps que les projets en la matière accélèrent et produisent enfin des résultats concrets.

  • ✇C'est pas mon idée !
  • Monzo, un modèle de résilience
    Alors que j'évoquais récemment les avancées des communications photoniques au service de la résilience des institutions financières, je vous propose aujourd'hui de plonger dans les arcanes – techniques, mais que je vais m'attacher à vulgariser – de l'approche de Monzo en la matière, qui représente, à mon avis, une référence pour l'industrie.D'emblée, il faut comprendre que la néo-banque dispose d'une première ligne de défense relativement classique contre les défaillances de son infrastructure.

Monzo, un modèle de résilience

Par : Patrice
20 mars 2025 à 21:50
Monzo
Alors que j'évoquais récemment les avancées des communications photoniques au service de la résilience des institutions financières, je vous propose aujourd'hui de plonger dans les arcanes – techniques, mais que je vais m'attacher à vulgariser – de l'approche de Monzo en la matière, qui représente, à mon avis, une référence pour l'industrie.

D'emblée, il faut comprendre que la néo-banque dispose d'une première ligne de défense relativement classique contre les défaillances de son infrastructure. L'ensemble de son système d'information est en effet déployé sur l'infonuagique d'Amazon (AWS), avec un principe de redondances multiples, réparties sur différentes « régions » (c'est-à-dire des centres de production distincts), opérant simultanément de matière totalement synchrone, grâce aux mécanismes intrinsèques proposés par l'hébergeur.

Mais les ingénieurs qui l'ont conçu sont conscients que ce modèle reste exposé à deux risques, l'un, minime, que constituerait une défaillance majeure de son fournisseur, affectant plusieurs de ses sites, et l'autre, beaucoup plus probable… et plus fréquent, d'un défaut logiciel entraînant une indisponibilité inacceptable pour les clients. Un second socle informatique, indépendant du principal et couvrant exclusivement les fonctions critiques, se tient donc prêt à pendre le relais rapidement en cas de besoin.

La notion d'indépendance dont il est question ne fait pas dans la demi-mesure : non seulement les applications sont-elles installées dans un environnement entièrement séparé de l'« original », émanant d'un autre prestataire (Google, en l'occurrence), mais elles sont en outre re-développées séparément, bien qu'elles remplissent le même rôle que celles qui assurent le service en temps normal, un peu à la manière dont sont doublées les capacités électroniques les plus sensibles des avions modernes.

Monzo Stand-In

Les modalités de synchronisation des deux plates-formes sont évidemment élaborées avec le plus grand soin, afin de garantir un fonctionnement transparent en cas de bascule. Le secours, « Monzo Stand-in », est ainsi abonné à une sélection des événements que génère le site primaire pour tous les changements d'état et autres actions enregistrées (l'architecture interne est 100% événementielle), correspondant aux 18 services qu'il prend en charge (consultation de solde et des transactions, virements entrants et sortants, paiement par carte…) parmi les 3 000 existants.

Quand un problème survient, dont un cas en août 2024, les serveurs de remplacement sont activés, manuellement, à ce stade. L'application mobile de la jeune pousse détecte le changement et ajuste alors automatiquement son interface graphique pour ne présenter que les opérations qui restent effectivement disponibles (avec un message d'explication). Notons que le système autorise également des transferts partiels d'activité, par fonction, par client…, selon la nature de l'interruption identifiée.

Le principe de « Monzo Stand-in » paraît simple mais le diable se cache dans les détails. La jeune pousse décrit notamment les compromis qu'elle doit accepter avec les limitations des transmissions d'information (et l'incertitude quant à leur exhaustivité), sa philosophie de maintien d'une version initiale des données copiées, jamais modifiée, les contorsions auxquelles elle se livre avec, par exemple, les numéros de carte tokenisés (via des clés distinctes pour ses deux plates-formes de production)…

Dans le contexte de réglementations de plus en plus contraignantes sur la résilience (DORA dans l'Union Européenne) et de l'inquiétude suscitée par les défaillances répétées des établissements britanniques, Monzo démontre son indiscutable avance technologique… dont il faut souligner, incidemment, qu'elle est maîtrisée en termes de budget : son environnement répliqué représente environ 1% du coût de fonctionnement du socle primaire (en revanche, elle ne chiffre pas sa mise en place initiale).

  • ✇C'est pas mon idée !
  • Avancée majeure pour la résilience des banques
    L'intelligence artificielle et l'informatique quantique ne sont pas les seules innovations technologiques qui méritent l'attention. Dans un registre certes beaucoup moins vendeur, les télécommunications photoniques, telles que MUFG et NTT en ont fait la démonstration, promettent pourtant une avancée majeure pour le secteur financier.Aujourd'hui la disponibilité des services bancaires constitue un impératif autant commercial – avec des compensations potentiellement lourdes pour les clients subis

Avancée majeure pour la résilience des banques

Par : Patrice
17 mars 2025 à 21:50
MUFG
L'intelligence artificielle et l'informatique quantique ne sont pas les seules innovations technologiques qui méritent l'attention. Dans un registre certes beaucoup moins vendeur, les télécommunications photoniques, telles que MUFG et NTT en ont fait la démonstration, promettent pourtant une avancée majeure pour le secteur financier.

Aujourd'hui la disponibilité des services bancaires constitue un impératif autant commercial – avec des compensations potentiellement lourdes pour les clients subissant des perturbations – que réglementaire – en particulier pour les établissements considérés comme stratégiques pour l'économie. Derrière cette exigence, leurs systèmes d'information, qui sont au cœur de leur fonctionnement, sont donc soumis à des contraintes de résilience exceptionnelles… difficiles à respecter.

La résistance aux situations de catastrophes (naturelles ou d'origine humaine), notamment, impose des règles strictes, avec des conséquences parfois contradictoires. Par exemple, il faut prévoir une infrastructure de secours, capable de reprendre les opérations susceptibles d'être interrompues, à une distance suffisante pour ne pas être elle-même exposée au risque initial (une centaine de kilomètres ?). Malheureusement, l'éloignement limite la vitesse et la réactivité des transmissions de données, ce qui nuit évidemment à la faculté de redémarrer les activités dans des délais courts.

Or le forum global IOWN, qui rassemble 150 acteurs de différents secteurs (surtout dans les télécommunications et les services « digitaux », MUFG étant une des rares institutions financières participantes), évalue l'opportunité de développer des réseaux photoniques – il ne s'agit pas de simple fibre optique – afin de transformer radicalement les échanges d'information : latence divisée par 200, débit multiplié par 125… et consommation énergétique 100 fois moindre par rapport à ce qui existe aujourd'hui.

Deux expérimentations distinctes ont permis de valider les hypothèses dans le cas d'usage envisagé. La première consistait à copier et redémarrer un système bancaire à environ 70 kilomètres de sa base d'origine, en limitant la durée d'indisponibilité à moins d'une seconde. La deuxième portait plus sur la simulation d'une réplication en quasi temps réel des données à longue distance (250 à 2 500 kilomètres) : dans ce scénario « actif » plus ambitieux, le secours peut prendre la relève instantanément.

La perspective de telles performances soulagera certainement les responsables de plans de reprise après sinistre, obligés, jusqu'à présent, de recourir à des compromis qui ne satisfont personne. Notons tout de même que la majorité des incidents affectant les systèmes d'information bancaires sont d'origine logicielle et ne profiteront donc aucunement, hélas, des progrès accomplis dans le domaine des communications.

IOWN Global Forum

  • ✇C'est pas mon idée !
  • La carte biométrique bouge encore…
    Apparue en 2018, la carte biométrique – qui permet de valider un paiement par empreinte digitale sur son lecteur intégré au lieu de la saisie d'un code – comporte plusieurs limitations gênantes. Idemia, fournisseur pionnier, veut lever une d'elles en proposant un enrôlement direct sur le smartphone du porteur. Qui introduit d'autres frictions.Commençons par un bilan pour une innovation que j'ai jugée, dès la première expérimentation, sans intérêt pour l'utilisateur final. Bien que, selon une en

La carte biométrique bouge encore…

Par : Patrice
22 janvier 2025 à 21:30
Idemia
Apparue en 2018, la carte biométrique – qui permet de valider un paiement par empreinte digitale sur son lecteur intégré au lieu de la saisie d'un code – comporte plusieurs limitations gênantes. Idemia, fournisseur pionnier, veut lever une d'elles en proposant un enrôlement direct sur le smartphone du porteur. Qui introduit d'autres frictions.

Commençons par un bilan pour une innovation que j'ai jugée, dès la première expérimentation, sans intérêt pour l'utilisateur final. Bien que, selon une enquête, les consommateurs semblent attirés par ses promesses de sécurité renforcée et que ses promoteurs se félicitent de son développement, l'estimation d'un volume de livraisons de 37 millions d'unités dans le monde à l'horizon 2028 est tristement dérisoire face aux près de 30 milliards de cartes qui devraient être distribuées à la même échéance ou aux 5,5 milliards d'adeptes de porte-monnaie électroniques projetés pour 2027.

Outre son coût – généralement (toujours ?) reporté sur le client sous prétexte de garantie superflue –, un frein à l'adoption, surtout du côté des émetteurs, réside dans l'impératif de mettre en place un processus d'enregistrement de l'empreinte digitale sur la carte. Celui-ci requiert en effet un déploiement en agence, impliquant installation, formation des agents, prise en charge des demandes, gestion des incidents… Exigence incongrue dans un contexte de « digitalisation » massive des opérations courantes.

Afin de pallier ce handicap, Idemia offre donc désormais une solution autonome : l'utilisateur connecte un lecteur à son téléphone, y insère sa carte puis suit les instructions formulées dans l'application de sa banque et le tour est joué, les données biométriques sont inscrites dans la puce. On perçoit hélas immédiatement le défaut du système, impliquant l'envoi d'un composant complémentaire, qui surenchérit le prix et risque d'engendrer des frustrations chez les personnes réfractaires à l'informatique. Sans même parler de l'empreinte environnementale d'un gadget à usage unique.

Annonce Idemia

En résumé, ce n'est pas avec un tel ajout – qui trouve ici une confirmation supplémentaire de sa conception pour les besoins des émetteurs et non de leurs clients, dans une approche centrée sur la technologie, sans considération pour le design – que la carte biométrique va résorber ses lacunes et, surtout, son retard par rapport aux modes de paiement via mobile, dont la popularité, la sécurité et la qualité de l'expérience utilisateur (en particulier à l'enrôlement) sont infiniment plus convaincantes.

Par exemple, je suis étonné que personne, ni du côté de l'industriel ni du côté des banques ayant inscrit le produit à leur catalogue, n'ait envisagé d'en faire la promotion auprès des individus souffrant de déficiences visuelles, auxquels il procurerait une réponse idéale aux difficultés de saisie de code secret (qui suscitent leurs propres innovations). Certes, il ne s'agirait que d'un marché de niche… mais, par rapport à celui d'aujourd'hui, il a le mérite de viser une vraie problématique rencontrée par les clients.

  • ✇C'est pas mon idée !
  • Au jeu avec la vie privée, tout le monde perd
    À l'occasion d'une récente mésaventure avec son assistant vocal Siri, Apple a appris à ses dépens que, quelles que soient sa bonne volonté et les mesures qu'elles prend afin de conquérir et maintenir la confiance de ses clients, celle-ci est inéluctablement érodée par les pratiques moins vertueuses de la majorité des acteurs du marché.L'histoire commence en 2019 par une petite erreur qui prend rapidement des dimensions incontrôlées : une fuite révèle que des extraits de conversations avec Siri

Au jeu avec la vie privée, tout le monde perd

Par : Patrice
15 janvier 2025 à 21:30
Apple
À l'occasion d'une récente mésaventure avec son assistant vocal Siri, Apple a appris à ses dépens que, quelles que soient sa bonne volonté et les mesures qu'elles prend afin de conquérir et maintenir la confiance de ses clients, celle-ci est inéluctablement érodée par les pratiques moins vertueuses de la majorité des acteurs du marché.

L'histoire commence en 2019 par une petite erreur qui prend rapidement des dimensions incontrôlées : une fuite révèle que des extraits de conversations avec Siri – parfois intimes et sans que leurs auteurs aient conscience d'être écoutés et encore moins d'être enregistrés – sont transmis à des opérateurs humains afin de contrôler la qualité de fonctionnement des algorithmes de reconnaissance vocale. Les victimes estiment d'abord ne pas avoir été clairement informées de cette possibilité.

D'une certaine manière, Apple ne conteste pas cette appréciation puisque le programme de surveillance est suspendu peu après et l'entreprise promet d'instaurer des mécanismes plus transparents (effectivement mis en place depuis) permettant à l'utilisateur d'accepter explicitement et de manière proactive la transmission de ses échanges avec l'agent virtuel à des fins exclusives d'amélioration du service. Mais une fois l'emballement déclenché, un tel discours de réassurance ne pouvait pas suffire.

Un groupe de consommateurs a ainsi déposé une plainte arguant que le contenu de leurs conversations était exploité dans le but de leur soumettre des publicités ciblées. Apple a résolument réfuté ces affirmations et rien n'autorise à penser qu'il s'agisse d'un mensonge de sa part… mais elle a tout de même mis un terme aux poursuites engagées, sans reconnaître la moindre culpabilité, moyennant une compensation de 95 millions de dollars, destinée uniquement à éteindre la polémique.

Apple et Confidentialité

En réponse à ces derniers rebondissements, la marque à la pomme vient de publier un communiqué détaillant tous ses efforts en matière de protection de la vie privée et de la confidentialité des données que ses outils sont amenés à manipuler. Sans être totalement irréprochable, son historique en la matière est plus que satisfaisant et son usage comme argument marketing est légitime. Mais, comme le souligne un article de ComputerWorld, dans le monde contemporain, un rien fait basculer l'opinion.

Parce que nous sommes tous aujourd'hui habitués au web et aux AppStores infestés de services et d'applications qui abusent sans vergogne de nos données personnelles – phénomène qui empire avec le développement de l'intelligence artificielle – et parce que le moindre soupçon est instantanément amplifié et transformé en fait irréfutable, le plus petit écart peut se transformer en scandale international et mettre à bas des années de travail voués à établir une relation de confiance au long cours.

Si j'aborde ce sujet ici, c'est en raison, naturellement, de l'écho qu'il rencontre dans les institutions financières. Entre les informations extrêmement sensibles qu'elles détiennent, leurs velléités récurrentes de mettre à profit celles-ci dans de nouvelles lignes d'activité et la valeur critique pour leur survie de la confiance de leurs clients, elles sont extraordinairement exposées à ce même risque d'être accusées à tort d'abus. Il doit donc être soigneusement considéré dans chaque initiative (notamment avec l'IA) et il faut sans cesse rassurer, preuves à l'appui, afin de le réduire. Espérons toutefois que les craintes qu'il est susceptible de susciter ne handicapent pas trop l'innovation.

  • ✇C'est pas mon idée !
  • Un pilote européen de sécurité post-quantique
    Alors que les progrès constants des technologies laissent désormais entrevoir l'arrivée à maturité des ordinateurs quantiques et de leur menace pour les algorithmes cryptographiques actuels, CaixaBank sera la seule institution financière à participer au programme pilote européen de protection des données à l'ère post-quantique.Il est toujours important de rappeler combien les enjeux sont immenses puisque, d'ici une décennie, peut-être moins, les méthodes de chiffrement employées pour la sécuris

Un pilote européen de sécurité post-quantique

Par : Patrice
28 décembre 2024 à 22:00
CaixaBank
Alors que les progrès constants des technologies laissent désormais entrevoir l'arrivée à maturité des ordinateurs quantiques et de leur menace pour les algorithmes cryptographiques actuels, CaixaBank sera la seule institution financière à participer au programme pilote européen de protection des données à l'ère post-quantique.

Il est toujours important de rappeler combien les enjeux sont immenses puisque, d'ici une décennie, peut-être moins, les méthodes de chiffrement employées pour la sécurisation des données – stockées (telles que les coffres-forts à mots de passe) et en transit (dont l'ensemble du trafic internet) – pourraient devenir obsolètes, exposant de la sorte tous les secrets numériques existants grâce aux capacités de calcul radicalement différentes de celles d'aujourd'hui qu'offriront les futures machines.

Parmi les initiatives destinées à éviter le scénario catastrophe, le projet PIQASO de l'Union Européenne vise une implémentation concrète de solutions couvrant toutes les dimensions du problème : la conservation et l'échange de clés cryptographiques, la signature électronique, la validation des autorisations, la gestion d'identité… CaixaBank, pour sa part, prendra en charge le cas d'usage qui la concerne le plus, à savoir l'authentification et les communications dans une application de banque mobile.

En pratique, l'objectif consistera à développer, en trois ans, entre janvier 2025 et décembre 2027, des équivalents post-quantiques – c'est-à-dire résistants aux risques induits par les systèmes quantiques – des différents mécanismes de sécurité omniprésents dans la vie courante des citoyens et des entreprises. Sur le plan théorique, ce sont les algorithmes validés et sélectionnés par l'institut américain des standards (NIST) au cours de l'été qui seront retenus pour la mise en œuvre opérationnelle.

CaixaBank

La démarche engagée par l'Europe est probablement cruciale pour l'économie du continent car, en dépit des avertissements répétés, peu d'organisations, y compris dans le secteur financier, ont entamé une réflexion – et encore moins un chantier – sur le sujet. Or la transition nécessaire sera extraordinairement complexe : outre l'adoption de nouveaux modèles de chiffrement et leur déploiement dans les innombrables logiciels impactés, il faudra les appliquer aux données existantes, sans oublier les archives. Et les mauvaises surprises ne manqueront certainement pas.

De son côté, sa participation permettra à CaixaBank d'acquérir, en avance de phase et en profitant d'une portion du financement européen (qui représente un montant total de 6,6 millions d'euros, ce qui ne paraît pas très élevé), une première expérience tangible avec les défis à relever à l'ère quantique, entre nouvelles compétences à acquérir et exploration des conséquences des changements sur les systèmes en place.

  • ✇C'est pas mon idée !
  • ABN AMRO enrichit son identité numérique
    Deux ans après le lancement expérimental d'ID & Pay, son porte-monnaie d'identité numérique et de paiement, ABN AMRO continue à investir dans ce marché toujours aussi peu occupé et le complète désormais avec une version en marque blanche, autorisant une intégration plus transparente dans les processus des entreprises.La promesse initiale était déjà extrêmement attractive : moyennant un enrôlement unique dans son application mobile, exploitant, selon toute vraisemblance, les mêmes outils que

ABN AMRO enrichit son identité numérique

Par : Patrice
21 décembre 2024 à 21:50
ABN AMRO
Deux ans après le lancement expérimental d'ID & Pay, son porte-monnaie d'identité numérique et de paiement, ABN AMRO continue à investir dans ce marché toujours aussi peu occupé et le complète désormais avec une version en marque blanche, autorisant une intégration plus transparente dans les processus des entreprises.

La promesse initiale était déjà extrêmement attractive : moyennant un enrôlement unique dans son application mobile, exploitant, selon toute vraisemblance, les mêmes outils que l'entrée en relation bancaire et couvrant à la fois l'identité (assortie de quelques données personnelles utiles, telles que l'adresse) et le paiement (via la transmission d'un IBAN de compte existant, auprès de n'importe quel établissement), l'inscription sur un service quelconque peut se conclure en quelques instants.

Avec sa nouvelle déclinaison, pour l'instant mise en œuvre uniquement par le gestionnaire d'actifs VanEck Direct, l'enregistrement devient encore plus fluide, puisqu'il se déroule entièrement dans l'espace du fournisseur, sans jamais transférer (visiblement) le contrôle aux systèmes de la banque. La création d'un compte est alors tellement simple et rapide, avec l'acquisition automatique de (presque) toutes les informations nécessaires, qu'elle n'est plus un obstacle à la conquête de clients.

ABN AMRO – ID & Pay

À défaut d'information plus précise, la poursuite du développement par ABN AMRO semble indiquer que les avantages d'ID & Pay trouvent un écho auprès d'organisations en tout genre, toujours plus nombreuses dans notre ère « digitale » à vouloir sécuriser et fidéliser leurs audiences en ligne à travers à la mise en place de profils nominatifs qui simplifient les interactions et permettent de personnaliser la relation. Un tel constat, s'il était confirmé formellement, n'aurait évidemment rien de très étonnant.

En revanche, le succès de la plate-forme soulignerait l'opportunité manquée par la plupart des acteurs de l'industrie. Possédant tous les atouts requis pour déployer ce genre de solution à moindre coût, ils auraient pu développer une nouvelle ligne d'activité aux multiples facteurs de valorisation, entre, par exemple, revenus directs (non retenus par ABN AMRO), intermédiation des paiements, possibilités de rebond marketing…

Pour certains, il peut paraître un peu tard pour se réveiller, alors que l'identité « digitale » promue par la Commission Européenne et le porte-monnaie électronique Wero, chacun abordant le sujet par ses extrémités opposées, visent à terme les mêmes applications. Peut-être ABN AMRO parie-t-elle de son côté sur la lenteur de concrétisation de la vision de ces concurrents potentiels, ce qui n'est probablement pas absurde.

  • ✇C'est pas mon idée !
  • NAB veut éradiquer les mots de passe
    Bien que la vague des arnaques au virement l'ait reléguée au second plan, l'inadéquation du mot de passe comme moyen d'authentification dans notre ère numérique est plus que jamais d'actualité. L'australienne NAB fait partie des premières banques qui planifient, à terme, l'éradication totale de ce système obsolète.Alors que les géants de l'internet ont commencé depuis longtemps leur bascule vers des alternatives plus robustes, les institutions financières, qui sont à la fois plus exposées et pl

NAB veut éradiquer les mots de passe

Par : Patrice
17 décembre 2024 à 22:15
NAB
Bien que la vague des arnaques au virement l'ait reléguée au second plan, l'inadéquation du mot de passe comme moyen d'authentification dans notre ère numérique est plus que jamais d'actualité. L'australienne NAB fait partie des premières banques qui planifient, à terme, l'éradication totale de ce système obsolète.

Alors que les géants de l'internet ont commencé depuis longtemps leur bascule vers des alternatives plus robustes, les institutions financières, qui sont à la fois plus exposées et plus sensibles, apparemment satisfaites de leurs approches à deux facteurs (imposées par la réglementation, en Europe), n'ont, jusqu'à maintenant, guère entamé leur transition vers les « passkeys » constituant l'état de l'art du moment.

De quoi s'agit-il ? Le principe repose sur un classique mécanismes de cryptographie asymétrique : pour l'utilisateur, il se traduit par la création sur son appareil d'une paire de clés, en général lors de l'initialisation de son compte. La première, privée (ce qui implique qu'elle n'est absolument jamais partagée), sert à répondre à un « défi » du fournisseur de services permettant de prouver, grâce à une vérification par la seconde, publique, la légitimité de celle ou celui qui tente de se connecter.

En comparaison des mots de passe, les avantages sont considérables. Tout d'abord, l'élément opérationnel de sécurisation (la clé privée) ne circule jamais et est stocké dans une sorte de coffre-fort dont il n'est extrait, temporairement, que lors d'une authentification. Il est donc beaucoup plus difficile à dérober. D'autre part, il n'est pas nécessaire de le mémoriser, ce qui évite, entre autres, le risque induit par la propension des personnes à réutiliser les mêmes codes dans de multiples applications.

NAB – Passkeys

Et puis, les « passkeys » autorisent une bien meilleure expérience, à l'usage. En effet, l'accès à la clé, conservée en toute sécurité par le téléphone, le navigateur web ou un outil de gestion dédié, est, dans la plupart des cas, déverrouillé par un dispositif biométrique, le reste de la procédure étant entièrement automatique. Le résultat est une authentification à deux facteurs – la possession d'un secret presque inviolable et une caractéristique physique de l'individu – résolument transparente.

Pour NAB, le déploiement des « passkeys » se déroule par étapes. Depuis le mois de juin, il a ciblé les nouveaux clients de sa filiale 100% « digitale » Ubank et depuis quatre mois il est aussi proposé, en option toutefois, à ceux qui possédaient déjà un compte. L'extension à l'établissement historique devrait suivre et l'objectif final est de faire disparaître toute possibilité d'utiliser un mot de passe d'ici 5 ans. L'échéance peut paraître lointaine, mais les consommateurs ne changent pas d'habitudes facilement.

Aujourd'hui, dans le sillage de la mise en œuvre des solutions d'authentification forte exigées par le législateur, les banques ont relâché leurs efforts sur ce front. Il est vrai que le niveau de protection atteint peut être estimé optimal. En revanche, les méthodes adoptées s'avèrent souvent complexes et pénibles pour les clients (jusqu'à parfois les décourager d'utiliser leurs applications). Il serait temps de passer à la dernière génération de technologies qui parvient à combiner sécurité et convivialité !

  • ✇C'est pas mon idée !
  • Le FBI a une révélation
    Dans le sillage de l'intrusion de hackers (apparemment) chinois dans les réseaux de télécommunication américains, le FBI et l'agence spécialisée dans la cybersécurité (CISA) semblent retourner leur veste en ce qui concerne les pratiques de chiffrement. Une excellente nouvelle… qui mériterait de trouver un écho chez nos politiques.L'affaire, dévoilée début octobre et qui n'est toujours pas conclue, constituait une illustration parfaite (hélas) des risques inhérents à la création de portes dérobé

Le FBI a une révélation

Par : Patrice
4 décembre 2024 à 21:30
Pirate
Dans le sillage de l'intrusion de hackers (apparemment) chinois dans les réseaux de télécommunication américains, le FBI et l'agence spécialisée dans la cybersécurité (CISA) semblent retourner leur veste en ce qui concerne les pratiques de chiffrement. Une excellente nouvelle… qui mériterait de trouver un écho chez nos politiques.

L'affaire, dévoilée début octobre et qui n'est toujours pas conclue, constituait une illustration parfaite (hélas) des risques inhérents à la création de portes dérobées dans les systèmes de communication, fournissant, en l'occurrence, aux autorités (de justice ou de police) une capacité d'écoute en cas de besoin. Naturellement, une fois la brèche ainsi ouverte, quelles que soient les protections mises en œuvre, il n'était qu'une question de temps avant qu'un acteur malveillant parvienne à détourner cet accès.

Depuis de longues années, le FBI et la plupart de ses organisations cousines dans le monde n'en insistaient pas moins régulièrement sur la nécessité d'instaurer une telle option aussi sur les logiciels mobiles, de manière à leur permettre d'intercepter les conversations et autres messages en tout genre de personnes sous surveillance, prérequis indispensable, selon elles, à l'exécution de leurs missions. Et elles décrient de longue date toutes les initiatives qui visent à garantir la confidentialité des échanges.

Aujourd'hui, face à la concrétisation de la menace (soulignée depuis des années, y compris par des individus hautement qualifiés), les autorités américaines font volte-face et veulent désormais inciter les citoyens, en particulier les professionnels qui interviennent dans des domaines sensibles, à utiliser sans réserve les mécanismes de chiffrement de bout en bout disponibles dans les meilleures applications… qui faisaient pourtant partie de leurs principales bêtes noires jusqu'à présent.

Aussi tardive soit-elle, la prise de conscience des errements passés constitue un progrès notable pour la vie privée des américains. Espérons que la leçon serve maintenant aux représentants politiques (en général ignares en matière de cybersécurité) qui réclament constamment la mise en place obligatoire de ces dangereux dispositifs. Ne nous leurrons cependant pas sur la préservation de la confidentialité : comme le rappelle l'actualité presque chaque jour, les solutions de chiffrement sont rarement infaillibles.

Porte Dérobée

  • ✇C'est pas mon idée !
  • Swift résout le dilemme de la confidentialité
    L'annonce par Swift d'une nouvelle option de lutte contre la fraude – à base d'intelligence artificielle, inévitablement – sur sa plate-forme de contrôle des paiements transfrontaliers fournit l'occasion de s'attarder sur la méthode pionnière employée pour exploiter les informations nécessaires sans compromettre leur nature ultra-confidentielle.Le projet a déjà franchi les étapes expérimentales, depuis le début de l'année, avec quelques banques du monde entier (dont BNP Paribas et l'africaine S

Swift résout le dilemme de la confidentialité

Par : Patrice
16 octobre 2024 à 21:30
SWIFT
L'annonce par Swift d'une nouvelle option de lutte contre la fraude – à base d'intelligence artificielle, inévitablement – sur sa plate-forme de contrôle des paiements transfrontaliers fournit l'occasion de s'attarder sur la méthode pionnière employée pour exploiter les informations nécessaires sans compromettre leur nature ultra-confidentielle.

Le projet a déjà franchi les étapes expérimentales, depuis le début de l'année, avec quelques banques du monde entier (dont BNP Paribas et l'africaine Standard Bank). Le déploiement officiel est prévu en janvier 2025 et se présentera comme un puissant complément à l'offre existante de vérification des messages sortants, fonctionnant aujourd'hui essentiellement par règles fixes. Avec cet ajout, elle sera aussi capable de détecter des anomalies par comparaison statistique avec les flux habituels.

Bien entendu, avec les milliards d'échanges orchestrés par ses soins composant un immense référentiel de connaissance, Swift est dans une position idéale pour proposer ce genre de services… apparemment. Car son rôle d'intermédiaire comprend aussi une exigence absolue de respect du secret des communications entre ses clients. Heureusement, des technologies émergentes permettent dorénavant de résoudre cette incompatibilité latente, tellement fréquente dans le monde « digital » actuel.

Sans plus de détails opérationnels, les concepteurs évoquent ainsi notamment le recours à l'« apprentissage fédéré » (« federated learning »), qui consiste à entraîner des modèles d'apprentissage automatique sur un assemblage homogène de différents jeux de données, chacun d'eux restant sous la responsabilité de son propriétaire légitime (y compris pendant son traitement). L'algorithme produit par ce processus ne conserve aucune information sensible pour son application ultérieure sur les flux à surveiller.

La mise en œuvre de ces mécanismes est pour l'instant marginale dans l'industrie financière, en raison de la perception d'immaturité qui les accompagne. Ils sont pourtant extrêmement prometteurs pour tous les cas où la mise en commun de données représenterait un avantage significatif mais n'est jusqu'à présent pas possible (ou acceptée) pour des considérations de confidentialité. La lutte contre la fraude en est évidemment l'archétype et l'évolution des menaces en souligne l'urgence chaque jour. Espérons que l'initiative de Swift aide à dépasser les préjugés et la défiance.

SWIFT Fighting Fraud

  • ✇C'est pas mon idée !
  • Urgence quantique pour le chiffrement
    Jusqu'à présent théorique, la menace que fait peser l'informatique quantique sur les algorithmes de chiffrement qui sécurisent nos communications et nos précieuses données personnelles commence maintenant à se concrétiser. Une équipe de recherche chinoise vient ainsi d'en apporter une première démonstration opérationnelle.Comme si les équipes de cybersécurité des entreprises – institutions financières en tête – n'étaient pas déjà quasiment submergées par la prolifération de dangers en tout gen

Urgence quantique pour le chiffrement

Par : Patrice
14 octobre 2024 à 21:30
Sécurité
Jusqu'à présent théorique, la menace que fait peser l'informatique quantique sur les algorithmes de chiffrement qui sécurisent nos communications et nos précieuses données personnelles commence maintenant à se concrétiser. Une équipe de recherche chinoise vient ainsi d'en apporter une première démonstration opérationnelle.

Comme si les équipes de cybersécurité des entreprises – institutions financières en tête – n'étaient pas déjà quasiment submergées par la prolifération de dangers en tout genre, voilà donc une problématique qu'elles vont désormais devoir prendre en compte plus tôt qu'elles ne l'imaginaient. Car, bien que les protections en vigueur aujourd'hui ne semblent pas directement en péril en l'état, l'exercice auquel se sont livrés les auteurs du papier en question ne laisse aucun doute sur l'imminence de leur obsolescence.

En pratique, leur expérience a porté sur une clé de petite taille, loin des normes actuelles, employée dans un algorithme usuel (RSA). Mais son objet était de valider non un résultat ponctuel mais plutôt la faculté générique pour une machine quantique du marché – en l'occurrence, celle de D-Wave – d'en extraire le secret dans des délais raisonnables à l'aide d'une méthode optimisée. Et la même opération a été réalisée sur d'autres techniques fréquemment employées pour le chiffrement d'information.

Bien sûr, ce risque était identifié depuis longtemps, mais les spécialistes ont toujours estimé que, la maturité des ordinateurs quantiques n'étant pas envisagée avant de longues années, laissant le temps aux utilisateurs de faire évoluer leurs applications avant une éventuelle catastrophe, il n'existait aucune raison de paniquer. Selon cette logique, un premier algorithme susceptible de résister aux capacités de ces futures calculateurs (développé par IBM) n'a d'ailleurs été standardisé que très récemment.

Avec cette avancée spectaculaire, la donne pourrait changer rapidement puisqu'il paraît dorénavant possible de se contenter d'équipements déjà disponibles sur le marché pour attaquer les systèmes de sécurité en place (sans oublier que les organisations les plus déterminées peuvent engranger des données chiffrées en vue de les exploiter le moment venu). Le remplacement des anciens algorithmes ainsi fragilisés – qui représente un chantier colossal – va peut-être devoir devenir une priorité absolue.

Cadenas Ouvert

  • ✇C'est pas mon idée !
  • La ré-authentification contre la fraude
    Décidément, la nouvelle législation britannique qui impose désormais aux banques de rembourser les victimes de fraude semble susciter une vague de créativité sans précédent dans l'industrie. La dernière idée en date émane de la jeune pousse ANNA et consiste à demander régulièrement à ses clients de re-confirmer leur identité.En premier lieu, dès qu'ils tenteront d'accéder à leurs comptes depuis un nouvel appareil, les clients de la startup – qui, rappelons-le, propose aux PME une solution complè

La ré-authentification contre la fraude

Par : Patrice
13 octobre 2024 à 21:50
ANNA
Décidément, la nouvelle législation britannique qui impose désormais aux banques de rembourser les victimes de fraude semble susciter une vague de créativité sans précédent dans l'industrie. La dernière idée en date émane de la jeune pousse ANNA et consiste à demander régulièrement à ses clients de re-confirmer leur identité.

En premier lieu, dès qu'ils tenteront d'accéder à leurs comptes depuis un nouvel appareil, les clients de la startup – qui, rappelons-le, propose aux PME une solution complète de gestion d'entreprise – seront invités à exécuter le contrôle par selfie habituellement employé lors de l'entrée en relation. Attention, il ne s'agit (évidemment !) pas de l'authentification biométrique du téléphone mais bien d'une vérification au niveau de la banque, avec une comparaison avec les données enregistrées par celle-ci.

Outre ce cas de changement d'équipement, destiné à détecter les tentatives de connexion par une personne mal intentionnée, la même procédure sera également déclenchée de manière aléatoire dans le cadre de l'usage normal des services. L'objectif dans ce cas est d'intercepter d'autres formes d'activité criminelle, depuis le vol du smartphone déverrouillé jusqu'à la mise en œuvre de compte de mule (quand un individu « prête » son identité à un escroc) et autres techniques similaires.

ANNA – Biometric Re-Authentication

Ses concepteurs se félicitent d'une protection qu'ils considèrent quasiment parfaite : imparable pour les malfaiteurs, qui seront instantanément démasqués et rejetés avant d'avoir pu (trop) agir, et presque transparent pour les utilisateurs légitimes, qui seront tout au plus interrompus occasionnellement dans leurs opérations courantes pour une prise de portrait impromptue. Je suis un peu moins optimiste : la fréquence des contrôles risque d'être soit trop faible pour bloquer les malversations à temps, soit trop élevée et donc lassante, au détriment de la qualité de l'expérience utilisateur, sans parler du danger des faux positifs interdisant aux client l'accès à leur compte.

En dépit de ces réserves, ne soyons pas mesquin : il n'existe aucune solution universelle capable d'éradiquer la fraude bancaire d'un coup de baguette magique. La seule réponse efficace au phénomène passe par la multiplication d'outils complémentaires, autant pour la détection que pour la remédiation des incidents. Dans cette perspective, celui qu'introduit ANNA est une option qui mérite sérieusement l'attention, surtout si elle parvient réellement à éviter de perturber les usages normaux (peut-être, par exemple, par l'intermédiaire de selfies validés en arrière-plan, sans rupture de parcours ?).

  • ✇C'est pas mon idée !
  • La lourde charge de la sécurisation du logiciel
    Bien qu'il faille la prendre avec un minimum de précautions puisqu'elle est commanditée par un éditeur spécialisé (JFrog), cette enquête d'IDC qui révèle que les développeurs de logiciels passent une partie (trop) importante de leur temps dans des tâches liées à la sécurité devrait probablement interpeller les responsables informatiques.Par exemple, la moitié de l'échantillon – issu des différents métiers concernés, depuis les product owners jusqu'aux chefs de projet en passant par les professi

La lourde charge de la sécurisation du logiciel

Par : Patrice
11 octobre 2024 à 21:31
IDC
Bien qu'il faille la prendre avec un minimum de précautions puisqu'elle est commanditée par un éditeur spécialisé (JFrog), cette enquête d'IDC qui révèle que les développeurs de logiciels passent une partie (trop) importante de leur temps dans des tâches liées à la sécurité devrait probablement interpeller les responsables informatiques.

Par exemple, la moitié de l'échantillon – issu des différents métiers concernés, depuis les product owners jusqu'aux chefs de projet en passant par les professionnels (seniors) du code, dans des entreprises américaines, britanniques, françaises et allemandes – déclarent consacrer 19% de leurs efforts à des contrôles et autres corrections relatifs à la sécurité… souvent en dehors des heures de travail « normales », qui plus est. Cela représenterait un budget d'environ 28 000 dollars annuels par développeur.

Dans un sens, mais l'étude n'aborde pas ce point de vue, ces statistiques constituent une excellente nouvelle. Elles démontrent en effet que les démarches dites « DevSecOps », qui visent à intégrer les considérations de sécurité en continu, au cœur de la chaîne de création du logiciel (avec les exigences de déploiement en production), commencent à s'ancrer dans les habitudes, ce qui profite automatiquement à la qualité des solutions livrées et à la réduction des risques lors de leur utilisation.

En revanche, au vu des estimations avancées, se pose tout de même la question d'un possible excès. Après tout, on peut considérer que le talent des personnes qui sont recrutées, toujours plus difficilement et souvent à prix d'or, pour écrire des applications est quelque peu gaspillé quand il leur faut aussi se préoccuper de problématiques périphériques, certes critiques pour le résultat final mais qui ne requièrent pas, en principe, leur expertise, d'autant que leur prise en charge devrait être automatisée.

IDC Study on DevSecOps

Tel est justement le point sur lequel JFrog insiste particulièrement, en imputant l'essentiel de la faute à l'outillage mis en œuvre, soit qu'il soit mal adapté et exige des vérifications manuelles complémentaires inutiles ou redondantes, soit que son hétérogénéité et l’absence d’expérience utilisateur sans coutures engendrent des ruptures régulières dans le flot d’activité normal, au détriment de la productivité. Cette réalité conduit à relativiser le constat de maturité des organisations… et de leurs fournisseurs.

Mais, comme toujours, l’équipement n’est peut-être pas le seul coupable direct. Je soupçonne que le manque de culture de sécurité chez les ingénieurs, quand il ne s’agit pas de leur spécialité officielle, joue également un rôle crucial. D’abord parce que, à l’opposé de la philosophie « DevSecOps », il tend à laisser s’introduire les failles, qui ne sont corrigées qu’a posteriori, lorsqu’elles sont détectées par une sonde. Ensuite parce que la présence même de solutions automatiques encourage la « paresse » : pourquoi faire attention puisque les erreurs seront toujours repérées, plus tard ?

Si mon hypothèse était confirmée, nous aurions ainsi affaire à un effet pervers classique de la technologie : déchargeant les individus de leur responsabilité alors qu'elle est encore incapable de les remplacer totalement – quand bien même elle se gausse d'intelligence artificielle –, elle s'avère finalement plus néfaste que bénéfique.

  • ✇C'est pas mon idée !
  • Capital One commercialise sa solution d'authentification
    Alors que les enjeux de sécurité deviennent toujours plus critiques pour les institutions financières, l'américaine Capital One annonce opportunément la commercialisation, à l'intention de ses concurrentes, de la technologie d'authentification renforcée par carte de paiement qu'elle met en œuvre depuis quatre ans pour ses propres besoins.Le principe fondamental d'AirKey est plutôt simple puisqu'il s'agit de procéder à une certification de l'identité d'un utilisateur – essentiellement sur des se

Capital One commercialise sa solution d'authentification

Par : Patrice
10 octobre 2024 à 21:30
AirKey
Alors que les enjeux de sécurité deviennent toujours plus critiques pour les institutions financières, l'américaine Capital One annonce opportunément la commercialisation, à l'intention de ses concurrentes, de la technologie d'authentification renforcée par carte de paiement qu'elle met en œuvre depuis quatre ans pour ses propres besoins.

Le principe fondamental d'AirKey est plutôt simple puisqu'il s'agit de procéder à une certification de l'identité d'un utilisateur – essentiellement sur des services mobiles – par présentation de sa carte de débit ou de crédit à l'interface sans contact (NFC) de son téléphone. Les cas d'usage envisagés sont multiples, depuis la validation multi-facteurs des transactions jusqu'à l'enrôlement dans les applications de la banque, en passant par l'activation de la carte elle-même et l'accès à une carte virtuelle, par exemple.

En dépit de ses similarités avec le dispositif mis en œuvre par RBC en collaboration avec la jeune pousse Mypinpad, l'implémentation technique est sensiblement différente, adossée ici à une collection de brevets spécifiques qui procure une position d'exclusivité à Capital One (même si l'originalité de l'invention supposée m'interpelle). En particulier, les fonctions invoquées n'interagissent pas avec les composantes habituelles de paiement de la carte mais avec une « appliquette » indépendante dédiée.

Une telle approche présente le double inconvénient d'imposer une installation logicielle additionnelle sur les cartes émises (sachant que les standards en vigueur l'autorisent) et de ne pouvoir introduire la vérification du code PIN comme le fait RBC, mais elle comporte d'autres avantages. Le premier d'entre eux est la compatibilité avec « tous » les smartphones du marché, Android et iOS, les capacités techniques requises étant ouvertes sur ce dernier système (contrairement aux données liées au paiement).

Capital One – AirKey

La vision pragmatique de Capital One vis-à-vis d'AirKey constitue un aspect intéressant de la démarche : il n'est pas question d'en faire une solution universelle mais au contraire de la considérer comme une option supplémentaire dans la panoplie offerte aux clients afin de satisfaire les exigences d'authentification forte, aux côtés de l'envoi de code à usage unique par SMS, de la confirmation via l'app bancaire… C'est aussi une posture raisonnable face au développement de la virtualisation des cartes, augurant même, à long terme, d'une possible disparition complète du support physique.

Autre point de réflexion à souligner, le lancement d'une activité de distribution de technologie par une institution financière à l'intention de l'industrie reste rare… vraisemblablement parce que les initiatives passées n'ont (presque ?) jamais rencontré le succès, les clients potentiels étant relativement peu enclins à acquérir des produits auprès de concurrents, même s'ils ne relèvent pas du cœur de métier. Le caractère peu transformant d'AirKey risque de ne pas aider à changer ce genre de réflexes.

  • ✇C'est pas mon idée !
  • Le désastre des portes dérobées par l'exemple
    Dévoilée initialement par le Wall Street Journal, une information majeure de cybersécurité semble ne pas recevoir toute l'attention qu'elle mériterait dans les médias. Pourtant, outre ses conséquences potentiellement désastreuses pour tous les citoyens, elle devrait aussi servir de leçon aux législateurs ignares qui réclament régulièrement des portes dérobées dans les outils de communication protégés.L'affaire, qui se déroule aux États-Unis, est suffisamment grave pour que le FBI ait fait jouer

Le désastre des portes dérobées par l'exemple

Par : Patrice
9 octobre 2024 à 21:30
Pirate
Dévoilée initialement par le Wall Street Journal, une information majeure de cybersécurité semble ne pas recevoir toute l'attention qu'elle mériterait dans les médias. Pourtant, outre ses conséquences potentiellement désastreuses pour tous les citoyens, elle devrait aussi servir de leçon aux législateurs ignares qui réclament régulièrement des portes dérobées dans les outils de communication protégés.

L'affaire, qui se déroule aux États-Unis, est suffisamment grave pour que le FBI ait fait jouer la clause exceptionnelle de confidentialité qui lève (temporairement) l'obligation de notification des victimes en cas de vol de données personnelles. Selon les premiers éléments de l'enquête, des pirates seraient parvenus à détourner les mécanismes réglementaires exigés pour les écoutes légales chez les fournisseurs d'accès internet et à les exploiter à leur profit en vue d'opérations de surveillance criminelles.

Attribuée officieusement à un groupe de hackers lié aux autorités chinoises, l'attaque relèverait donc d'une campagne d'espionnage dont la portée est ébouriffante, entre identification des individus placés sous surveillance et collecte massive du trafic réseau. Même si le contenu des échanges interceptés – généralement chiffré – reste secret (du moins dans l'état des technologies d'aujourd'hui), la seule connaissance acquise à travers les connexions établies est facilement utilisable à des fins malveillantes.

Soyons optimistes. Cette illustration concrète – et aux ramifications qu'on ne fait pour l'instant qu'entrevoir – de leurs dangers devrait faire réfléchir les politiques qui, un peu partout dans le monde, tentent en permanence d'imposer, en particulier aux grandes plates-formes de messagerie sociale, des accès privilégiés pour les forces de police (et sous strict contrôle judiciaire) leur permettant de court-circuiter les mesures mises en œuvre afin de préserver la confidentialité des interactions en ligne.

Le risque engendré par une telle démarche n'est certes pas une découverte pour les spécialistes. Il est au contraire souligné à chaque fois que des velléités de recourir à des portes dérobées émergent. Cependant, la dénonciation de la menace ne sera dorénavant plus seulement théorique : elle pourra s'accompagner d'une illustration édifiante. Espérons qu'elle mette un terme définitif à cette utopie d'un passe-partout inviolable qui ne pourrait être mis en œuvre que dans des conditions légitimes.

Les systèmes informatiques modernes, avec leurs inévitables défauts techniques et autres faiblesses humaines, sont déjà suffisamment exposés pour ne pas ajouter une faille volontaire dont, inexorablement, un gouvernement hostile ou une organisation criminelle finira par tirer parti, pour des impacts sans commune mesure avec les bénéfices espérés (et de surcroît surestimés) par des décideurs peu éclairés.

Porte Dérobée

  • ✇C'est pas mon idée !
  • Et l'identité (digitale) des entreprises ?
    Parce que les entreprises font face au même genre de malversations que les citoyens concernant leur identité en ligne, le Centre pour la Finance, l'Innovation et la Technologie (CFIT) met sur pied au Royaume-Uni une coalition d'acteurs de l'internet et de la finance afin d'évaluer l'opportunité de déployer un système de gestion national.En général, le sujet est abordé exclusivement dans une perspective d'équipement des individus et quand, par exemple, l'initiative de porte-monnaie européen incl

Et l'identité (digitale) des entreprises ?

Par : Patrice
3 septembre 2024 à 21:30
The Centre for Finance, Innovation and Technology
Parce que les entreprises font face au même genre de malversations que les citoyens concernant leur identité en ligne, le Centre pour la Finance, l'Innovation et la Technologie (CFIT) met sur pied au Royaume-Uni une coalition d'acteurs de l'internet et de la finance afin d'évaluer l'opportunité de déployer un système de gestion national.

En général, le sujet est abordé exclusivement dans une perspective d'équipement des individus et quand, par exemple, l'initiative de porte-monnaie européen inclut également les personnes morales dans son périmètre, il semblerait qu'elles ne figurent pas en tête des priorités d'un projet… qui n'est déjà pas en avance sur son calendrier. Pourtant la fraude déclenchée par une usurpation ou autre détournement d'identité ne les épargne pas, bien au contraire, menant régulièrement à des faillites spectaculaires.

Après un précédent chantier sur la finance ouverte, le CFIT s'attaque donc à ce problème aussi complexe qu'urgent. Considérant a priori que des dispositifs de vérification numérique d'identité pour les organisations sont susceptibles de freiner la criminalité, il rassemble, selon son modèle opératoire habituel, un certain nombre d'acteurs – parmi lesquels apparaissent Amazon, Dun & Bradstreet, Experian, Barclays, HSBC, Revolut, Visa… – en vue d'élaborer un plan d'action à l'horizon de mars 2025.

L'idée sous-jacente est triviale : grâce à un système universel et interopérable de contrôle, partagé entre toutes les parties prenantes, intégré dans les processus des banques et avec les autres sources d'information, il devrait être possible de renforcer la fiabilité des fonctions d'authentification des intervenants, dans toutes sortes de transactions, et de compléter l'outillage des programmes de lutte contre la fraude.

CFIT – Coalition contre la criminalité financière

Les participants sont invités, dans une démarche collaborative, à explorer les options possibles, estimer leur pertinence, expérimenter leur mise en œuvre et, in fine, émettre des recommandations pour une future solution à généraliser. Un premier travail a été initié par Lloyds Bank, NatWest et Monzo, visant à mesurer, à travers une simulation sur leurs gisements de données, l'impact potentiel du mécanisme de vérification envisagé, en particulier sur le nombre de comptes ouverts par des malfaiteurs.

Mieux vaut tard que jamais. Le lancement de cette initiative est une bonne nouvelle pour l'économie britannique… même s'il ne faut pas s'attendre à un produit fini à court ou moyen terme. En effet, la conception d'une identité digitale pour les entreprises sera autrement plus difficile que pour le grand public (ce qui explique peut-être pourquoi elle tarde tant, un peu partout, à s'imposer comme une évidence), avec ses exigences de gestion des représentants légaux, des délégations, des rattachements et filiations, des entités étrangères… et des mouvements permanents sur tous ces aspects.

  • ✇C'est pas mon idée !
  • Payer avec la paume de la main, en France ?
    Voilà une technologie ancienne qui n'a jamais connu le succès… jusqu'à ce qu'Amazon l'implémente dans sa chaîne de supermarchés Whole Foods, en association avec son système sans caisse. Adoptée, depuis, par Ingenico, à travers une collaboration avec son concepteur Fujitsu, Carrefour profite des Jeux Olympiques pour expérimenter le paiement par la paume de la main dans un magasin parisien.Le principe de fonctionnement est typique de tous les systèmes d'authentification biométrique. Après une pro

Payer avec la paume de la main, en France ?

Par : Patrice
23 juillet 2024 à 21:50
Ingenico
Voilà une technologie ancienne qui n'a jamais connu le succès… jusqu'à ce qu'Amazon l'implémente dans sa chaîne de supermarchés Whole Foods, en association avec son système sans caisse. Adoptée, depuis, par Ingenico, à travers une collaboration avec son concepteur Fujitsu, Carrefour profite des Jeux Olympiques pour expérimenter le paiement par la paume de la main dans un magasin parisien.

Le principe de fonctionnement est typique de tous les systèmes d'authentification biométrique. Après une procédure d'enrôlement qui permet à l'usager de capturer et enregistrer l'empreinte du réseau veineux de sa main et de l'associer à son moyen de paiement (une carte bancaire), il lui suffit ensuite de présenter sa paume sur le lecteur ad hoc afin de valider instantanément son règlement lors de son passage en caisse.

Selon ses promoteurs, le choix de cette caractéristique morphologique plutôt que la classique empreinte digitale ou la reconnaissance faciale popularisée par les smartphones modernes répond à des enjeux de sécurité. En effet, faute de visibilité externe des veines, il est plus difficile d'obtenir une réplique des éléments exploités qu'avec des propriétés susceptibles d'être extraites de photographies publiques.

L'avantage supposé du dispositif par rapport aux instruments de paiement traditionnels est la rapidité de traitement, dont Carrefour entend évidemment profiter pendant la période d'affluence dans la capitale cet été. L'argument s'avère toutefois obsolète si la base de comparaison est le paiement sans contact, alors que celui-ci connaît une adoption en forte hausse, en particulier sur téléphone. Et le risque d'oubli évoqué en guise de justification secondaire paraît alors extrêmement marginal dans ce cas…

Ingenico – Paiement par la paume de la main

Par ailleurs, les explications relatives à la sécurité, aussi sérieuses et convaincantes soient-elles, laissent de côté un défaut majeur : les données biométriques collectées auprès des consommateurs sont stockées sur les serveurs du processeur de paiement, ce qui les expose à une autre catégorie de menace. À une époque, la CNIL interdisait ce genre de centralisation (sauf pour des applications très spécifiques) et exigeait que ces informations ultra-sensibles restent en possession de leur propriétaire. La doctrine de l'organisme a peut-être évolué (?), le danger n'a pas diminué, au contraire !

En synthèse, voilà une « innovation » qui réclame des investissements significatifs, à savoir des terminaux d'enrôlement et d'encaissement équipés de caméras à infrarouge, qui n'apporte pas de bénéfices substantiels, ni aux commerçants ni à leurs clients, et dont le niveau de protection laisse à désirer (a minima, il ne met en œuvre qu'un facteur – la biométrie – contre deux pour le sans contact via mobile). Est-il vraiment nécessaire de réaliser un test en situation avant de se faire un avis et prendre une décision ?

  • ✇C'est pas mon idée !
  • Le retour de l'identité digitale de banque ?
    Les gouvernements du monde entier avancent désormais vers le déploiement de services d'identité « digitale », en général délégués à des entreprises tierces. Tandis que le parlement australien vient de valider son texte cette semaine, NAB prend position sur le sujet et semble déterminée à en devenir un des futurs fournisseurs habilités.Le paysage a bien changé depuis la précédente vague d'intérêt, quand le principal enjeu consistait à réagir aux velléités de Google, Facebook et consorts de créer

Le retour de l'identité digitale de banque ?

Par : Patrice
18 mai 2024 à 22:00
NAB
Les gouvernements du monde entier avancent désormais vers le déploiement de services d'identité « digitale », en général délégués à des entreprises tierces. Tandis que le parlement australien vient de valider son texte cette semaine, NAB prend position sur le sujet et semble déterminée à en devenir un des futurs fournisseurs habilités.

Le paysage a bien changé depuis la précédente vague d'intérêt, quand le principal enjeu consistait à réagir aux velléités de Google, Facebook et consorts de créer des systèmes d'identification à vocation universelle pour les services en ligne. Aujourd'hui, ce sont les états qui s'emparent du problème, poussés, entre autres, par la prolifération des attaques visant la capture d'informations personnelles sensibles que le monde moderne tend à disséminer un peu partout sans faire grand cas de leur sécurité.

Il n'est donc plus (exclusivement) question de faciliter la vie des internautes, les ambitions pour les années qui viennent concernent avant tout la protection des secrets, en alignement aussi avec les réglementations de type RGPD, et la lutte contre la cybercriminalité. En conséquence, du côté des implémentations, l'objectif n'est pas de répliquer sous forme électronique un document officiel, avec plus ou moins la même valeur juridique, mais de concevoir une approche fondamentalement « digitale ».

Le constat préliminaire est trivial : la première raison pour laquelle des données privées se retrouvent régulièrement dans la nature, à la merci de fraudeurs de tout poil, est l'exigence de leur partage afin d'accéder au moindre service. La plate-forme réservée au plus de 18 ans qui demande une carte d'identité et en conserve une copie (à titre de preuve), l'agent immobilier qui réclame les bulletins de salaires et les enregistre… les situations dans lesquelles nous laissons ce genre de traces sont innombrables.

NAB – Identité Digitale

D'autres solutions sont maintenant possibles et la notion d'identité se transforme progressivement, passant d'une logique d'ensemble d'informations certifiées à un module applicatif qui autorise la vérification de caractéristiques individuelles. Au lieu de présenter mon permis de conduire, et de perdre ainsi la maîtrise de son destin, je transmets uniquement un élément confirmant que j'ai l'âge requis par mon interlocuteur… assorti, au besoin, d'un sceau attestant que le contrôle a été effectué.

Naturellement, l'entité qui délivre ce service détient (seule) les données sous-jacentes et, étant la dernière source de risques de fuites, elle doit impérativement être soumise à des contraintes extrêmement strictes sur les mécanismes de protection mis en œuvre. C'est dans ce cadre que les banques voient s'ouvrir une opportunité d'aborder ces activités émergentes, puisqu'elles possèdent déjà la majeure partie de la matière première (sur leurs clients) et qu'elles sont capables de la sécuriser.

En Australie, NAB ne déclare pas directement sa candidature pour une telle aventure mais ses explications montrent sans ambiguïté qu'elle en explore activement l'hypothèse. En Europe, où le projet de porte-monnaie d'identité digitale offre un potentiel identique, les banques paraissent hésitantes (avec des variations selon les pays). Il est vrai que le modèle économique n'est pas clair… sauf à considérer les avantages à retirer d'une relation secondaire avec les citoyens et des interactions afférentes.

  • ✇C'est pas mon idée !
  • Et la biométrie vocale devint obsolète
    Cette fois, le diable est sorti de la boîte : l'annonce récente par OpenAI de la mise au point d'un service de synthèse vocale extrêmement fidèle à partir d'un échantillon original de quelques secondes rend obsolètes les systèmes d'authentification forte fréquemment déployés par les institutions financières, notamment dans leurs centres d'appel.Naturellement, le risque existait depuis le début (je l'évoquais dans ces colonnes dès 2013). Perçus comme une riposte imparable à la fragilité des prot

Et la biométrie vocale devint obsolète

Par : Patrice
14 avril 2024 à 21:30
Bank Info Security
Cette fois, le diable est sorti de la boîte : l'annonce récente par OpenAI de la mise au point d'un service de synthèse vocale extrêmement fidèle à partir d'un échantillon original de quelques secondes rend obsolètes les systèmes d'authentification forte fréquemment déployés par les institutions financières, notamment dans leurs centres d'appel.

Naturellement, le risque existait depuis le début (je l'évoquais dans ces colonnes dès 2013). Perçus comme une riposte imparable à la fragilité des protections par mot de passe, les outils biométriques présentent l'inconvénient majeur de devenir caducs, en tant que tels, dès l'instant où les éléments de reconnaissance mis en jeu risquent d'être compromis, puisqu'il est impossible pour un individu de changer d'empreinte digitale ou de voix si ses caractéristiques personnelles sont susceptibles d'être usurpées.

Au fil du temps, des démonstrations d'attaques possibles sont venues régulièrement confirmer le danger… sans grandes conséquences sur l'adoption par les entreprises, probablement parce que considérées (à tort) trop théoriques. Or les progrès de l'intelligence artificielle, entre création de « deepfakes » (hypertrucages ?) quasiment indétectables et réplication en temps réel d'une voix quelconque, accessibles à tous, dont bien sûr aux escrocs de tout poil, donnent désormais crédit aux alertes précoces.

La situation est particulièrement critique pour les banques (et autres organisations), relativement nombreuses, qui ont installé des plates-formes d'authentification forte à base de reconnaissance vocale dans leurs centres de contact. Un appel téléphonique pour capturer l'extrait nécessaire à l'entraînement et le tour est joué : n'importe qui peut se faire passer pour un client légitime et accéder à ses comptes, comme l'aurait apparemment vérifié la dirigeante d'une firme britannique de hacking éthique.

Au vu de la maturité des technologies accessibles aujourd'hui, la seule solution envisageable consistera à remplacer ou, à tout le moins, compléter le dispositif existant… et probablement revenir à des approches plus traditionnelles, avec leurs faiblesses notoires. En tout état de cause et le développement de mesures défensives étant voué à être toujours en retard sur les menaces, la biométrie vocale a maintenant perdu sa valeur dans les politiques de cybersécurité. Et le même sort attend, à court ou moyen terme, toutes les variantes (reconnaissance faciale, de l'iris ou de la pupille de l'œil, de la paume de la main…), qui font pourtant encore les titres de l'actualité.

Personne au téléphone
Illustration par Karolina Grabowska (via Pixabay)

  • ✇C'est pas mon idée !
  • Marsh lance une cyber-assurance affinitaire
    À la croisée de la prolifération des outils connectés et de l'inexorable montée des déficiences et malversations en tout genre, la cyber assurance est incontestablement une tendance importante. Avec sa nouvelle offre affinitaire, l'américaine Marsh ouvre (indirectement) la voie à son infiltration progressive dans notre vie quotidienne.Dans le monde contemporain, il devient de plus en plus difficile (impossible ?) d'échapper indéfiniment aux attaques de hameçonnage, de rançongiciels et autres lo

Marsh lance une cyber-assurance affinitaire

Par : Patrice
31 mars 2024 à 22:00
Marsh McLennan
À la croisée de la prolifération des outils connectés et de l'inexorable montée des déficiences et malversations en tout genre, la cyber assurance est incontestablement une tendance importante. Avec sa nouvelle offre affinitaire, l'américaine Marsh ouvre (indirectement) la voie à son infiltration progressive dans notre vie quotidienne.

Dans le monde contemporain, il devient de plus en plus difficile (impossible ?) d'échapper indéfiniment aux attaques de hameçonnage, de rançongiciels et autres logiciels malveillants, sur son ordinateur personnel, sa tablette ou son téléphone. Ceux-ci étant devenus les supports des événements et informations critiques de l'existence, les conséquences du moindre incident s'avèrent rapidement désastreuses.

Pour cette raison, et en parallèle de leurs efforts semblables à l'intention des entreprises, les compagnies d'assurance développent des garanties dédiées destinées aux consommateurs. Malheureusement, comme toujours quand il s'agit de convaincre un individu de se protéger contre un risque hypothétique futur, dont, en outre, il ne distingue pas toujours l'impact potentiel, les taux d'adhésion spontanés restent faibles.

La meilleure solution consiste alors à intégrer la cyber couverture dans des produits existants. Quelques acteurs la propose ainsi, généralement en option, dans leurs contrats, tandis que Marsh distribue donc désormais aux entreprises une police, ajustable à l'exposition spécifique de la cible de clientèle visée, prête à accompagner et enrichir tout type de transaction, dans une pure logique de « finance enfouie ».

Selon les cas et les choix de la firme qui l'adopte, elle prend en charge une gamme exhaustive de risques personnels, depuis les infections par virus et tentatives d'extorsion jusqu'aux usurpations d'identité, en passant par les détournements et vols de comptes (par exemple sur des plates-formes de jeu), le harcèlement en ligne, les atteintes à la vie privée ou la réputation, les défauts de livraison (e-commerce)…

Marsh Consumer Cyber Protection

Avec un prix modique, annoncé à moins d'un dollar par mois par assuré, Marsh s'adresse principalement à des fournisseurs de services – associations sportives, organisations professionnelles (de médecins, notamment), employeurs cherchant à renforcer leurs avantages aux salariés,… – en soulignant autant la différenciation concurrentielle qu'ils peuvent en tirer que le surcroît de confiance suscité chez leurs usagers, qui peut même justifier de l'offrir gratuitement (au moins initialement).

Certaines de ces suggestions paraissent cependant trop artificielles pour être véritablement efficaces. A contrario, le lancement, aussi aux États-Unis, par HSB d'une cyber protection pour l'automobile montre une voie différente (ou complémentaire), consistant à ajouter une assurance spécialisée à chaque produit susceptible aux dangers d'internet, quelle qu'en soit la forme. Ne serait-ce d'ailleurs pas une pratique de bon sens au même titre que les garanties habituelles contre les pannes ?

Les hésitations et les expérimentations, entre autres sur les modèles de distribution, sont évidemment logiques pour une ligne émergente, dont il faut simultanément appréhender les mécanismes opérationnels et les perceptions par les clients (à la fois particuliers et entreprises). Face à l'ampleur actuelle des menaces et leur expansion constante, il y a toutefois maintenant urgence à optimiser les offres, dans toutes leurs dimensions.

❌
❌