L’authentification forte est désormais un élément essentiel de notre quotidien. Utilisée pour nos activités en ligne telles que la connexion à notre banque ou les paiements sur internet, elle est un puissant outil de lutte contre la fraude. Découvrez tout ce que vous devez savoir sur l’authentification forte !
Qu’est-ce que l’authentification forte ?
L’authentification forte (également appelée authentification renforcée) repose sur un principe simple : afin de garantir que vous êtes bien à l’origine d’une action ou d’une opération effectuée à distance, vous devez fournir non pas une, mais deux preuves d’identité distinctes. On parle ainsi d’authentification multifacteurs (MFA) ou encore de double authentification.
Ces deux preuves d’identité distinctes doivent appartenir à deux des trois catégories suivantes :
- Un élément que vous êtes le seul à connaître, comme un mot de passe ou un code secret.
- Un élément que vous êtes le seul à posséder, comme votre téléphone mobile ou votre carte bancaire.
- Une caractéristique biométrique, telle qu’une empreinte digitale ou la reconnaissance faciale.
Pourquoi l’authentification forte a-t-elle été généralisée ?
La généralisation de l’authentification forte est une conséquence de l’entrée en vigueur de la Directive sur les Services de Paiement 2 (DSP2), une réglementation européenne visant à améliorer la sécurité des services financiers en ligne.
En effet, certaines opérations effectuées à distance sont plus exposées à la fraude, notamment les paiements par carte bancaire sur internet. Selon l’Observatoire de la sécurité des moyens de paiement, bien qu’ils ne représentent que 22% des transactions, les achats en ligne par carte bancaire sont responsables de 68% des montants de fraude.
Ainsi, la DSP2 rend l’authentification forte obligatoire dans deux cas particuliers :
- Pour la connexion à l’espace bancaire en ligne.
- Pour les achats sur internet.
Comment fonctionne l’authentification forte pour se connecter à sa banque en ligne ?
Selon la DSP2, votre banque doit désormais vous demander une authentification forte au moins une fois tous les 180 jours lorsque vous vous connectez à votre espace bancaire en ligne.
Concrètement, lors de cette authentification forte, votre identifiant bancaire et votre code secret habituels ne suffisent pas. Vous devez également fournir un code secret à usage unique, envoyé instantanément par SMS ou par serveur vocal.
Cependant, cette formalité n’est pas nécessaire si vous utilisez régulièrement l’application mobile de votre banque. En effet, lorsque vous vous connectez à partir d’un téléphone désigné comme un appareil de confiance et utilisez la biométrie ou un code secret, cela est considéré comme une authentification forte et réinitialise le compteur des 180 jours.
Il est important de noter qu’une authentification forte tous les 180 jours est également requise si vous utilisez un service d’agrégation de comptes, qu’il soit proposé par votre banque ou par un coach budgétaire.
Comment fonctionne l’authentification forte pour les paiements en ligne ?
Malgré l’existence de portefeuilles électroniques dédiés aux paiements en ligne (PayPal étant le plus connu), les cartes bancaires restent le moyen de paiement en ligne privilégié par les consommateurs, utilisées dans 84% des dépenses en ligne, malgré leurs vulnérabilités face à la fraude. C’est pourquoi la DSP2 a rendu l’authentification forte obligatoire depuis 2021.
Ainsi, lors du paiement en ligne, le commerçant vous demandera de saisir le numéro unique de votre carte, sa date de validité et le cryptogramme situé au verso. Toutefois, cela ne suffit plus. Votre banque vous demandera également de vous authentifier par un autre moyen.
La méthode la plus courante consiste à envoyer une notification sur votre téléphone mobile, vous invitant à vous authentifier dans l’application de votre banque à l’aide d’un code secret ou de la biométrie si votre téléphone le permet.
Si vous ne possédez pas de smartphone ou si vous ne souhaitez pas utiliser l’application mobile, votre banque peut vous proposer une autre alternative : la combinaison d’un code à usage unique, envoyé par SMS ou par serveur vocal, et d’un code personnel statique prédéfini. Dans ce cas, les deux codes doivent être saisis sur la page de validation du paiement.
Enfin, si vous ne possédez pas de téléphone mobile, vous pouvez opter pour un autre dispositif physique, tel qu’un boîtier électronique générant des codes à usage unique ou une clé USB d’authentification. Cependant, ces dispositifs sont généralement payants.
Comment sont appelés les dispositifs d’authentification forte dans les banques françaises ?
Certaines banques ont donné un nom commercial à leurs dispositifs d’authentification forte. Voici une liste non exhaustive :
- Certicode Plus à La Banque Postale
- Sécuripass au Crédit Agricole
- Sécur’Pass à la Caisse d’Epargne, à la Banque Populaire et au Crédit Coopératif
- Clé Digitale chez BNP Paribas et Hello Bank
- Confirmation Mobile au Crédit Mutuel, au CIC et chez Monabanq
- Pass Sécurité à la Société Générale
- Secure Key Mobile chez HSBC France
- Mon e-paiement sécurisé dans les banques du groupe Crédit du Nord
Les portefeuilles électroniques tels que PayPal sont-ils concernés ?
Oui, PayPal et autres portefeuilles électroniques utilisant une carte bancaire comme moyen de paiement sont également concernés par l’obligation d’utiliser l’authentification forte. Dans le cas de PayPal, cela se fait par l’envoi d’un SMS sur le numéro de téléphone associé à votre compte, à compléter lors de la validation du paiement.
Sources :
- Rapport 2022 de l’Observatoire de la sécurité des moyens de paiement de la Banque de France, publié en juillet 2023.
- Fevad, chiffres clés e-commerce 2022.
