UFC QUE CHOISIR CORRÈZE

Banques / Organismes de crédit

L’authentification forte arrive !

L’authentification forte arrive !

Consultation de votre compte bancaire, paiements sur Internet et opérations bancaires en ligne : on  passe à l’authentification forte.

Devant l’avalanche des escroqueries aux paiements lors des achats réalisés par internet (0,17% de fraudes aujourd’hui contre 0,01% physiquement en boutique),  les banques, sous la pression des pouvoirs publics et des cybermarchands, ont progressivement mis en place des systèmes de paiements sécurisés.

C’est ainsi que sont apparus les SMS du système3DSECURE, les cartes à cryptogramme dynamique, les e-cartes bleues, les cartes bancaires virtuelles, et autres procédés de paiement dits sécurisés … Mais hélas, c’était sans compter sur l’ingéniosité des escrocs qui trouvent toujours une faille dans les systèmes.

Lorsque vous vous connectez sur Internet, on vous demande de vous identifier et vous le faites avec un identifiant et un mot de passe. Mais ceci ne garantit pas que ce soit vous qui opériez. En effet, vous avez pu transmettre ces données à une tierce personne ou, pire encore, vous les faire voler ou subtiliser par ruse (phishing). Actuellement le système le plus couramment utilisé pour authentifier un utilisateur n’utilise qu’un seul facteur d’identification, la plupart du temps c’est un mot de passe.

La Commission européenne, par l’intermédiaire de sa directive DSP2, a estimé qu’il était de son devoir d’obliger les prestataires de services de paiements exerçant en Europe à mettre en place un système beaucoup plus sécurisé qui s’appelle  « l’authentification forte ». Concrètement, on passe d’un système d’identification simple à un seul facteur à un système plus complexe qui comportera au moins deux facteurs de nature distincte.

Comment ça se passe ?

Les consommateurs vont désormais s’authentifier en utilisant au moins deux des trois facteurs suivants :

(1) quelque chose que seul le consommateur connait (mot de passe, code PIN ou question secrète),

(2) quelque chose que seul le consommateur possède (carte bancaire ou smartphone)

(3) quelque chose qui lui est absolument personnel (empreinte digitale, reconnaissance faciale, etc.).

A quoi ça s’applique ?

L’authentification forte sera demandée lorsque vous accéderez à votre compte en ligne, lorsque vous initierez une opération de paiement électronique (paiement par Internet) ou lorsque vous exécuterez une opération par le biais d’un moyen de communication à distance susceptible de comporter un risque (par exemple : l’ajout d’un bénéficiaire pour les virements, la réalisation d’un virement, la commande d’un chéquier ou encore votre changement d’adresse).

Comment se passe la mise en place de l’authentification forte ?

A noter que chaque établissement financier utilise un dispositif qui lui est propre.

A – cas d’un consommateur disposant d’un smartphone récent. L’utilisateur bancaire va devoir télécharger sur son smartphone l’application spécifique à la banque et activer une fonctionnalité particulière (SécuriPass au Crédit Agricole, Certicode Plus à la Banque postale, Sécur’Pass à la Caisse d’épargne, Pass Sécurité à la Société Générale, Clé Digitale à la BNP, etc.,).

Une fois l’application installée sur son smartphone, le consommateur l’ouvrira généralement grâce à un code secret personnel ou avec son empreinte digitale. En tout état de cause, il devra suivre la solution imposée par sa banque, laquelle reconnaîtra le terminal utilisé (en cas de changement de terminal : il faudra recharger l’application).

B – cas d’un consommateur disposant d’un vieux téléphone, habitant une zone sans couverture téléphonique ou ayant peur de faire l’installation de l’application par lui-même. Il doit prendre contact avec son conseiller bancaire habituel qui lui proposera une solution adaptée.

L’authentification forte est-elle obligatoire dans tous les cas ?

L’authentification forte n’est pas nécessaire pour les transactions opérées hors de l’espace européen, opérée avec une carte professionnelle ou pour les paiements générés par courrier. Elle ne sera pas nécessaire lorsque le destinataire du paiement figurera dans la liste blanche des bénéficiaires préalablement autorisés par le consommateur.

Quels sont les objectifs poursuivis ?

Avec la nouvelle procédure, la fraude deviendra quasiment impossible, même en cas de vol simultané de la carte bancaire et du téléphone. En effet, faute de disposer de l’empreinte digitale ou faciale du titulaire du compte, ou encore de son mot de passe secret, le fraudeur sera incapable d’authentifier la transaction et/ou d’ouvrir l’application bancaire.

De plus, en cas de contestation ou de suspicion de fraude, la banque conservera la trace de l’authentification personnelle du client, prouvant qu’il est lui-même à l’origine de la transaction.

Attention !

Beaucoup de courriers électroniques frauduleux circulent actuellement, en utilisant des logos faisant penser à des organismes connus et reconnus (votre banque, votre prestataire de téléphonie, le centre des Impôts, etc.)

Jamais, ni votre banque, ni votre centre des impôts, ne vous enverront de message vous invitant à cliquer sur un lien qui renvoie soit vers un formulaire à remplir, soit vers un site qui a toute l’apparence d’un site absolument authentique, que ce soit pour vérifier ou compléter des informations.