La Cnil indique avoir autorisé neuf établissements bancaires à expérimenter la reconnaissance vocale pour s'authentifier lors d'une connexion à un compte ou pour effectuer certaines transactions.

Lorsque vous vous connectez à votre compte bancaire, vous entrez certainement le numéro de votre compte, un mot de passe et éventuellement d’autres informations, comme votre code postal, pour être redirigé sur votre caisse régionale. Quand vous effectuez un virement bancaire ou un paiement quelconque, peut-être validez-vous la transaction en tapant un code.

Ces méthodes d’authentification mises en place pour s’assurer que c’est bien vous qui cherchez à accéder au compte ou qui donnez certains ordres ne sont pas la panacée en matière de sécurité informatique mais elles ont le mérite d’être familières pour le grand public et facilement renouvelables en cas de besoin. Or aujourd’hui, elles sont concurrencées par la biométrie.

euro-billet-argent
CC martaposemuckel

Et parmi elles figure la reconnaissance vocale, qui a le vent en poupe.

En effet, la commission nationale de l’informatique et des libertés a annoncé lundi 29 mai avoir « autorisé neuf établissements bancaires à mettre en œuvre, à titre expérimental, un dispositif d’authentification de clients par reconnaissance vocale ». L’autorité administrative explique que les projets « satisfont [ses] exigences en matière d’expérimentation ».

Les tests impliquent en effet l’accord préalable de toutes les personnes concernées, une durée limitée dans le temps, un périmètre restreint, des garanties sur la confidentialité des données personnelles et l’engagement de chaque établissement bancaire à présenter un bilan à la Cnil. « Ces expérimentations visent à tester l’appétence des clients pour ce type de mécanisme, ainsi que la fiabilité de celui-ci », souligne-t-elle.

Tester intérêt des clients pour la reconnaissance vocale ainsi que sa fiabilité

La Cnil n’ignore pas que les systèmes biométriques ne sont pas parfaits et que le vol d’un bête mot de passe qui peut être renouvelé à tout moment n’a pas les mêmes effets que la copie de données biométriques (empreintes digitales, iris, voix…). Cela étant, elle note que ces tests sont « des opportunités de tester le niveau global de risques en matière de sécurité et de confidentialité des données ».

La Cnil rappelle au passage que la biométrie offre quelques avantages — si elles n’avaient que des inconvénients, elle ne se développerait pas du tout –, à commencer par une « solution d’authentification plus confortable  ». C’est en effet plus facile de poser le doigt sur un capteur d’empreintes ou de dire phrase que de taper un long et complexe mot de passe, qu’il faut en plus rendre unique.

Quant aux établissements bancaires, ils doivent savoir que le cadre fixé par la Cnil pour les expérimentations ne sera vraisemblablement pas le même que celui qui sera décidé en cas de pérennisation du dispositif. En clair, des conditions supplémentaires pourraient être exigées par la commission pour renforcer un peu plus le degré de sécurité autour de la reconnaissance vocale.

Par exemple, la Cnil « préconise à cet égard de privilégier les dispositifs qui garantissent à la personne concernée de garder la maîtrise de son gabarit. Cela suppose de stocker le gabarit biométrique sur un support détenu par la seule personne concernée ou en base de données sous une forme inexploitable car illisible sans un secret détenu par la seule personne concernée ».

En la matière, notons la mise en place de la solution Talk To Pay par la Banque Postale depuis l’été 2016. Celle-ci permet aux internautes de pré-remplir les formulaires de paiement par un module qui authentifie le client par sa voix. Au lieu de saisir les numéros de cartes, les clients demandent à être appelés sur leur smartphone et prononcer une phrase de passe dictée par la boîte vocale.

Partager sur les réseaux sociaux