La dure vie des RSSI bancaires

• Imprimer

D'un côté le tourbillon de Charybde, la « complexité du message technique qui entoure le phishing », de l'autre le récif Scylla, la nécessité de plaire à la clientèle et de lui débiter un discours simple, voir simpliste. Un de ces dilemmes cornéliens qui émaillent les scènes ubuesques de la vie bancaire en général, et des mécanismes d'authentification en particulier. En voici un nouveau tableau présenté sur le blog de News0ft : BNP Paribas -historiquement banque de Paris et des hanses bataves réunies- font aux clients souhaitant consulter leurs comptes en ligne la proposition suivante : « Mon code secret pour me connecter à BNPParibas.net est difficile à retenir, je le modifie facilement ». A la lecture de ce billet, le client en question retient deux ou trois petites choses : - Le mot de passe constitué de chiffres est trop compliqué à retenir, je vais le remplacer par ma date de naissance (instinct statistiquement reconnu et prouvé par toutes les études sur ce sujet). - La symétrie de l'analyse sémantique de la phase m'indique clairement, à moi, client Populaire des Grands Argentiers de la Frise et de la Seine réunies, que la notion de « difficulté » est associée au vocable « mot de passe » et que le concept de facilité est lié à l'acte modificateur. Le terme difficile étant instinctivement négatif, j'associe donc inconsciemment une connotation péjorative à l'idée même d'authentification. Et du coup, je cherche un nouveau mot de passe « facile »... sans autre précision. A moins d'être doué d'une conscience extralucide, jamais le client sachant cyber-clientéler ne parviendra à deviner l'intention initiale réelle des RSSI de la BNP (Banque Nationale de Paris, de Paris (bis) et des Pays Bas), message très probablement dévoyé par une armada de conseillers en communication dont on se demande s'ils n'ont pas maille à partir (l'expression s'impose étymologiquement) avec les truands des filières du phishing et autres techniques de moissonnage de crédences. Il faut avouer que le message d'origine est complexe, voir impossible à résumer en une ligne. - Par mesure de sécurité, il vous faut, cher, très cher client, changer au plus tôt le mot de passe par défaut que nous vous avons communiqué et qui peut notamment être connu par plusieurs employés de notre établissement. - La pratique d'un mot de passe complexe exige que vous évitiez d'utiliser des termes courants, des suites de chiffres évidentes -dates de naissance y comprises- et que vous puissiez mélanger une agréable palette de caractères Ascii * - Qu'il est souhaitable accessoirement de faire appel à un moyen mnémotechnique efficace, afin d'éviter l'usage du « post-it/memento » collé sur le bord d'un écran ou du fichier « BNPpass.txt » caché dans le dossier « my documents ». Le métier de banquier consiste essentiellement à vendre de la confiance. Et la première preuve de confiance n'est-elle pas de cesser de considérer ses clients comme des individus décérébrés et ses propres RSSI comme des technoïdes aux conseils abstrus, dont les propos exigent un filtrage dialectique dicté par les règles aveugles du « discours corporate » ?

* ndlr : il faut préciser que la banque de la Ville Capitale et du Plat Pays réunis utilise un outil d'identification, le « clavier virtuel strictement numérique » à chiffres de passe permanent et limité (6 chiffres ni plus, ni moins) dont le principe de vulnérabilité a été largement prouvé avant même que le procédé soit en usage en nos contrées (France et Batavie y comprise).