Clavier virtuel et accessibilité bancaire

Pour des raisons de sécurité, votre banque évolue, vers l’utilisation d’un clavier virtuel pour la saisie de votre code d’accès. Peut-être avez vous vu passer un message de ce genre sur votre banque en ligne (peu importe laquelle, elles semblent y venir toutes).
Si le côté sécurité semble mis en avant (ce dont on peut douter), il semblerait que cette nouvelle technique pose des problèmes. De sécurité (il me semble) mais également d’accessibilité aux personnes handicapées.

Clavier virtuel

La plupart des banques évoluent vers ce système, qui paraît simple.
Au lieu de saisir votre code secret au clavier, vous le cliquez sur une grille, dont les numéros sont placés aléatoirement – ce côté au hasard permettant un renforcement de la sécurité, puisqu’à chaque connexion, l’emplacement change. Plus fort encore, d’une fois sur l’autre, certains systèmes déplacent le clavier sur l’écran : il n’est donc plus systématiquement au même endroit.

Soit.

Le slogan est donc : vous continuez à saisir votre code client avec le clavier de votre ordinateur, mais la saisie du code secret se fait systématiquement à partir de la souris (c’est un slogan, c’est donc fait pour être répété). D’ailleurs, que dire de plus ? L’étude des différentes justifications ne nous en apprend pas plus. Ah si, la BNP nous précise que vous devez cliquer sur les chiffres du code dans l’ordre. C’est important, sinon cela ne marche pas.

Voilà, voilà…

Des argumentaires bancaires (et de leur absence)

J’ai donc fait le tour de quelques grandes banques en ligne, et fouiné sur leurs systèmes d’aide à la recherche des justifications au clavier virtuel – que je n’ai pas toujours trouvé… Ceux trouvés ne sont pas toujours convaincants (mais s’ils m’ont échapé, faites moi suivre l’information).
Jugeons-en.

CCF : le précurseur, semble-t-il, du système. Pas de justification au système visible sur le site à l’heure actuelle, sans doute car mis en place depuis un certains temps – mais uniquement pour ses comptes professionnels. Les particuliers ? Pas de date prévue pour la mise en place ; la chose actuelle est donc sans doute suffisamment sécurisée ? Nous sommes proche d’une certaine incohérence…

BNP : Ce nouveau système d’identification a pour but de renforcer la sécurité d’accès à la gestion de vos comptes. Mouaip, un peu court. Pas de justification visible sur le site.

Axa Banque : même argument marketing que la Société Générale, pour un système à venir en septembre 2005. Aucun argumentaire technique, ni justification…

Crédit Agricole : le système ne semble pas encore en place, et le seul argument présent est Pour vous offrir toujours plus de sécurité et vous permettre de vous connecter à votre espace compte en toute sérénité. En tout illogisme, et si on en croit la capture-écran fournie sur la page de présentation du futur système, il y aurait un bouton Accéder à l’identification habituelle. C’est à dire une cohabitation des deux systèmes ?

Crédit du Nord : les codes étant alpha numériques à l’heure actuelle (chiffres & lettres) pas de clavier virtuel annoncé.

Crédit Lyonnais, la Poste Finance, Crédit Mutuel, Banque Populaire / Bred, Caisse d’épargne : pas de trace de clavier virtuel à ce jour.

Société Générale : Certains virus (appelés « Chevaux de Troie ») sont des programmes installés sur l’ordinateur à l’insu du propriétaire. Ces virus peuvent enregistrer les saisies faites à partir du clavier. Les données ainsi collectées sont ensuite transmises aux « pirates » qui vont récupérer des informations confidentielles, pour ensuite les utiliser frauduleusement. Le clavier virtuel est un moyen efficace de lutter contre ce type de virus..

Ok, là, on apprend que le but est de contrer les Key loggers, c’est à dire ces logiciels qui écoutent la frappe de votre clavier… Et qui ne sont d’ailleurs pas des virus mais admettons cette simplification vulgarisatrice.

Contres arguments

D’une manière générale, je ne vois pas en quoi ma sérénité est augmentée en saisissant le numéro du compte au clavier d’une part, mais le code à la souris (donc déplacement des mains, rupture de concentration, utilisation de 2 périphériques différents pour la même opération…). Jongler entre clavier et souris est désagréable pour passer de l’un à l’autre. Mon code d’accès est numérique, mon code secret aussi, tout saisir au clavier numérique est donc ce qu’il peut y avoir de plus serein au monde. L’argument marketing est donc creux, comme souvent. Exception vue à la Société Générale et au CCF professionnel : on saisit (au clavier) son code d’accès, on valide (à la souris) et on saisit (toujours à la souris) le code secret – cette première étape de validation rend les choses plus fluides.

Autre reproche fait au système : si le clavier virtuel protège des Key Loggers, il ne protège pas des coups d’oeils indiscrets. Autant il est facile de cacher sa main pour saisir son code au clavier (et donc se protéger de ses collègues de bureaux, voisins de cyber café…), autant cela devient illusoire sur un clavier virtuel qui occupe une belle surface à l’écran.

Tiens, en parlant de Key Loggers : les dernières générations ne se contentent pas d’écouter les frappes du clavier, mais effectuent des captures écrans à chaque clic de souris et transmettent d’ailleurs le tout (image & texte) par email ou ftp… Votre clavier virtuel est donc capturé, quoi qu’il advienne.

En outre, et l’argument pèse son poids : l’utilisation d’un clavier virtuel est un bloquant absolu aux personnes atteintes de certains handicaps, visuels entre autre. Les navigateurs adaptés à ce public savent proposer des champs de formulaire de saisie standard, mais sont totalement inadaptés aux claviers virtuels qui utilisent au choix du Javascript, du Flash, voire un mélange des deux. Or cette population est adepte des services bancaires en ligne, souvent plus pratiques que de se rendre aux guichets (c’est un autre sujet, mais il y aurait sans doute à faire et à dire là dessus aussi). D’ailleurs la population handicapée est adepte d’Internet en général ; a en croire la Fondation Suisse Accès pour tous, 80% des personnes handicapées utilisent Internet… De ce point de vue, le clavier virtuel est donc un retour en arrière.

Conclusion ?

Difficile de conclure sur un système qui naît, et dont on a pas fini de parler (entre autre sur tous les endroits sérieux où il est question d’accessibilité numérique).

Pour lutter contre les keyloggers et autres nuisances du Net (le phishing en particulier, qui touche les banques de près) il est indispensable que les banques renforcent leurs sécurités. A ce sujet, précisons qu’elles ont toutes quelques pages pour expliquer qu’il faut se méfier de ceci, de cela… La lecture de ces pages (de votre banque, mais pourquoi pas des autres) se doit d’être attentive et systématique.

Par contre, l’utilisation des claviers virtuels ne me paraît pas une solution viable. D’une part car si elle lutte moyennement efficacement contre une nuisance (les keyloggers qui n’écoutent que les touches), elle ne protège pas de toutes (les keyloggers qui capturent l’écran), voire crée de nouvelles failles sans doute plus dangereuse (le coup d’oeil du voisin). En outre, les claviers virtuels privent toute une population handicapée d’un service qui leur était indispensable.

Quelles seraient les alternatives à cela ?

En Belgique, un système de protection repose sur une petite calculette (indépendante de l’ordinateur) qui génère un code valable une fois pour une connexion ponctuelle.
Un lecteur de carte à puce sur le clavier ? Un lecteur d’empreinte digitale sur le clavier ? Fourniture par les banques de logiciels anti keylogger ? Antivirus ?

Tiens, rêvons : si toutes les grandes banques fournissaient à leurs clients des logiciels antivirus, gratuitement ? Nul doute que Norton ou consort seraient prêts à casser les prix, vu le nombre de personne que cela représente… Nous aurions ainsi 1) une sécurité renforcée, tant d’un point de vue bancaire que antiviral en général, 2) un réel confort d’utilisation, accessible à tous… Cela ne coûterait pas cher à nos chers établissements bancaires qui, de toutes manières, avouons le, répercuteraient ce coût sur nos abonnements…

Rêvons…