SecureKey : Collaboration fondamentale pour la conversion à l’identité numérique
À la fin de l’an dernier, les institutions financières du Canada ont fait équipe avec le fournisseur d’authentification SecureKey pour lancer un réseau innovateur d’identité numérique qui promettait de régler certains problèmes d’authentification qui frustrent les Canadiens. Paiements Canada a eu l’occasion de rencontrer Greg Wolfond, fondateur de SecureKey et conférencier de marque au SOMMET, au sujet de la collaboration comme moteur du lancement du produit plus tard cette année, de l’état de l’espace de l’identité numérique au Canada et du point de rencontre entre paiements et identité numérique.
Q : Qu’est-ce qui ne fonctionne pas avec la façon dont nous faisons actuellement l’authentification? Qu’est-ce qui stimule l’innovation dans ce domaine?
La fraude électronique est en hausse et les malfaiteurs deviennent vraiment doués à obtenir les réponses aux questions fondées sur les connaissances qui sont censées vous protéger, vous et vos mots de passe. D’autre part, les cartes de plastique, comme les permis de conduire, sont faciles à cloner et à copier. De façon générale, notre système d’identification est faible. Comment pouvons-nous alors faire en sorte qu’il soit plus facile pour nos clients de prouver qu’ils sont bien la personne qu’ils affirment être, tout en veillant à ce qu’il soit plus difficile pour les malfaiteurs de dupliquer ou de voler les données?
Il faut plus qu’une « identité numérique ». Les Canadiens veulent une expérience sans heurt, qu’ils soient en ligne, au téléphone avec un préposé de centre d’appel ou en personne dans une succursale. Pour ce faire, nous avons besoin de couches d’identification qui fonctionnent ensemble. Ces couches comprennent ce qu’un client sait (comme le nom de jeune fille de sa mère), ce qu’il a (une pièce d’identité avec photo délivrée par un gouvernement ou son téléphone cellulaire) et ce qu’il est (les données biométriques , comme une empreinte digitale ou la reconnaissance faciale). Les malfaiteurs trouvent des faiblesses lorsqu’il y a une seule couche d’identification. Par exemple, le dispositif de reconnaissance de l’iris de Samsung était censé être impénétrable par les pirates, mais il a été contourné seulement huit jours après son lancement.
Pour qu’un système à plusieurs couches fonctionne, nous avons besoin de la participation et de la coopération des différentes organisations auxquelles les clients confient leurs données. Cela comprend les institutions financières, les gouvernements et les fournisseurs de télécommunications.
Q : Cette collaboration compte pour une grande part de la réussite de SecureKey jusqu’à présent. Pouvez-vous nous en dire plus à ce sujet?
Il s’agit d’un programme très ambitieux. En pratique, le service permettra aux clients de recevoir des alertes sur leur appareil mobile lorsqu’un fournisseur de services, comme une entreprise de câblodistribution, doit vérifier certains renseignements – tels que le nom du client, l’adresse et la date de naissance – par l’intermédiaire de leur banque. Le client peut approuver la demande et amorcer une transaction à l’aide d’une simple numérisation de l’empreinte du pouce sur son téléphone. Voilà un bon exemple de toutes les « couches » dont il était question précédemment et de la raison pour laquelle – compte tenu du nombre de participants dans cette seule transaction – la collaboration est si importante.
Chacun des participants dans cette initiative est conscient que nous ne pouvons pas y arriver seuls et que nous comptons les uns sur les autres pour faire fonctionner le système. Je sais que les institutions financières sont également très motivées d’unir leurs efforts pour sécuriser davantage leur système bancaire au profit des Canadiens. Un écosystème d’identification plus solide viendra soutenir ces efforts.
Q : Vous vous faites sans doute souvent poser la question suivante : Comment gérez-vous toutes les données?
Cette initiative a pour but d’éliminer les désagréments dans l’expérience d’authentification pour les clients et de renforcer la confiance. Nous voulons qu’il soit plus facile pour nos clients de prouver qu’ils sont bien la personne qu’ils affirment être, tout en veillant à ce qu’il soit plus difficile pour les criminels de se faire passer pour les clients.
En même temps, nous voulons renforcer la confiance en assurant la protection des renseignements personnels des clients. Les clients ne veulent pas que leurs banques en sachent trop sur eux, comme où ils vont et ce qu’ils font. Il est donc question de profiter de tous les gains d’efficacité liés à l’identification numérique, sans partager trop d’information. Cela consiste à demander « êtes-vous disposé à partager cette information avec ce tiers, à cette fin? » Nous ne voyons jamais les données – le système les obtient de différentes organisations en temps réel, mais l’information elle-même reste où elle est. L’utilisation de chaînes de blocs appuie cette approche, car l’information est répartie dans un certain nombre de nœuds différents au lieu d’être entreposée dans une seule base de données. Il n’y a plus qu’un seul point de rupture ou « butin » de données qui attire les malfaiteurs.
Q : Où les paiements et l’identification numérique convergent-ils?
Quand on y pense, les activités des banques reposent sur la confiance, et le fondement de cela est une solide authentification. Lorsqu’ils se tournent vers leur banque, les gens savent que la transaction qu’ils veulent faire sera effectuée et que la banque gardera l’information sur leur paiement en sécurité. Pour que les banques puissent y parvenir, elles doivent savoir qu’un client est la personne qu’il affirme être. Leur permettre d’effectuer une authentification adéquate peut ouvrir la voie à toutes sortes de nouvelles occasions qui n’avaient pas encore été imaginées.
L’ajout de couches de sécurité et ce que nous appelons l’« identification distribuée » sont également des points à prendre en considération dans le programme de modernisation de Paiements Canada, surtout pour ce qui est des paiements plus rapides et de l’idée d’une base de données de substitution. Le besoin de sécurité sera primordial.