Les Dr. Bernd Borchert et Klaus Reinhardt, appartenant tous deux à la Chaire d'informatique théorique de l'Institut d'informatique Wilhelm-Schickard de l'Université de Tübingen, ont développé un procédé sécurisé pour les transactions bancaires en ligne utilisant un téléphone portable équipé d'un appareil photo. L'astuce réside dans l'utilisation du téléphone portable comme moyen de communication particulier entre le client et la banque. Les communications ne peuvent ainsi pas être captées ou altérées par un cheval de Troie [1] installé sur l'ordinateur.
Les procédés de sécurisation utilisés par les services de banque en ligne, tels que les numéros d'authentification de transaction (TAN), les codes chiffrés ou bien les mots de passe, ne sont pas aussi sûrs. Un cheval de Troie installé sur l'ordinateur de l'utilisateur peut, par une attaque subreptice, falsifier le compte crédité et/ou la somme lors d'un virement sans que la banque ou l'utilisateur ne s'en aperçoive.
Le procédé développé par les deux informaticiens est tout à fait novateur. Après que le client a téléchargé librement sur son téléphone portable le programme intitulé "Fotohandy-PIN", le processus se déroule comme suit : 1. le client entre sur son ordinateur les données relatives au virement, un code barre en 2 dimensions s'affiche à l'écran (à gauche de l'écran de l'ordinateur sur le schéma) 2. le client photographie ensuite avec son téléphone ce code barre, les données du virement ainsi qu'un tableau rempli de façon aléatoire par des chiffres s'affiche alors sur l'écran du téléphone portable (dans la main sur le schéma) 3. la validation du virement à l'aide du code PIN est réalisée par 4 clics de souris (les 4 chiffres du code PIN) dans les cases vides du tableau présenté à l'écran de l'ordinateur, en fonction de la configuration présentée à l'écran du téléphone (au milieu de l'écran de l'ordinateur sur le schéma).
Ce type de dispositif ne peut pas être lu par un cheval de Troie. Un virus pourrait au mieux repérer la position du clic de la souris mais en aucun cas connaître la valeur numérique du clic.
Après que les étudiants en informatique ont réalisé le prototype de ce procédé, les inventeurs ont pris contact avec des banques, un brevet a été déposé par l'Université de Tübingen. Une version de test en ligne [2] est disponible en allemand.
[1] Un cheval de Troie est un logiciel malveillant, c'est-à-dire un logiciel d'apparence légitime, mais conçu pour subrepticement exécuter des actions nuisibles à l'utilisateur.
