La Directive sur les Services de Paiement (dite DSP2) est une directive européenne qui impose à l’ensemble des entités bancaires la mise en place de fonctionnalités permettant la baisse des fraudes lors des paiements bancaires sur le réseau Internet
J’ai reçu un courriel de ma banque et c’est complexe!
La mise en place de authentification à double facteur n’est pas très complexe pour les utilisateurs mais elle est souvent pas expliquée par les entreprises. Les technologies sous-jacentes sont en revanche compliqué, s’appuie sur des théories mathématiques de haut niveau.
Depuis la mise en place des accès aux comptes en ligne depuis des années, le moyen de s’authentifier reste assez basique :
- Un identifiant, correspondant en gros à vos noms et prénoms, même s’il est souvent composé de chiffres. Il est unique dans le système
- Un mot de passe, connue normalement de vous seul
Si cela a suffit de nombreuses années, ce moyen est devenu non sécurisé en raison :
- Du partage possible du mot de passe
- De la non complexité du mot de passe
- De la possibilité de « casser » le mot de passe
L’authentification forte s’appuie sur une moyen supplémentaire qui appartient à la personne et qui doit être activé par celle-ci. Il peut d’agir d’un moyen physique comme une clé USB avec un contenu basé sur ces certificats. Les banques ont choisi un moyen plus accessible par l’ensemble de leurs clients en raison d’un taux d’équipement important : le smartphone.
La sécurité du smartphone?
Un smartphone est-il assez sécurisé? Réponse de normand (j’aime bien les normands 🙂 ) : ça dépend !
Si votre smartphone est récent, mis à jour régulièrement : oui. Sinon, vous risquez le piratage via diverses failles. Pour les banques, c’est bien au client de gérer cela.
Comment utiliser mon smartphone?
En général, le courriel de la banque est assez explicite sur la façon d’utiliser votre smartphone. Cette étape est crucial, on appelle cela l’enrôlement. Ce sera le seul matériel capable de valider une transaction!
Point attention : suivez scrupuleusement les consignes données par la banque. Vérifier bien que le courriel que vous avez reçu provient bien de votre banque : émetteur, teneur du courriel. En effet, cette étape étant la plus importante, de nombreuses personnes malveillantes envoient de faux mails pour enrôler leur smartphone (et pas le vôtre) pour accéder aux transactions bancaires à votre place.
Enrôlement
Donc l’enrôlement de votre smartphone peut se faire de manière autonome et avec toujours ces étapes :
- Connecter vous à votre espace bancaire avec l’adresse que vous aurez saisie dans la barre d’adresse (ne cliquez sur aucun lien d’un quelconque mail)
- Demander l’enrôlement de votre appareil en choisissant la rubrique adéquate. Par exemple : Certi Code pour la Banque Postale, Secur Pass pour les Caisses d’Epargne ou les Banques Populaires
- En fonction du réseau bancaire, la suite peut être :
- Envoi par courrier postal un code unique et temporaire qui sera à saisir dans l’application bancaire de votre smartphone
- Saisie d’une partie du numéro de carte bleu et code SMS envoyé à votre numéro connu de votre banque
- Une fois cette étape passée, votre smartphone va vous demander de protéger cet enrôlement par un code secret (code PIN) à quelques chiffres. Il est fortement conseillé d’utiliser un code différent de votre mot de passe! Ce code PIN est stocké sur votre smartphone. Votre banque ne ne connait pas et ne pourra pas le réinitialiser. En cas de perte, il faudra supprimer l’enrôlement, en contactant votre banque puis refaire entièrement la procédure
- A noter que ce code secret peut être substitué à votre empreinte digitale (biométrie présent sur votre smartphone) mais assurez-vous que le fabricant que votre smartphone stocke cette empreinte sur votre smartphone et ne l’envoie pas dans son Cloud, sauf si la protection de vos données personnelles ne vous intéresse pas!
Ensuite?
Ensuite, au fur et à mesure que les sites marchand se mettront en règle, lors d’un paiement avec votre carte bleue, le code SMS sera remplacé par la validation sur votre smartphone, via l’application bancaire de votre banque, et le code PIN (ou biométrie) qui le protège.