L’authentification forte fait désormais partie de notre quotidien : instrument de lutte contre la fraude sur internet, elle est utilisée pour des actions aussi courantes que la connexion à sa banque en ligne ou les paiements sur internet. Voici tout ce qu’il faut savoir sur l’authentification forte.

L’authentification forte, c’est quoi ?

Le principe de l’authentification forte (ou renforcée) est le suivant : pour s’assurer que vous êtes bien à l’origine d’une action ou d’une opération effectuées à distance, généralement depuis votre ordinateur, votre tablette ou votre mobile, on vous demande de fournir non pas une, mais deux preuves d’identité distinctes. C’est pourquoi on parle aussi à son propos d’authentification multifacteurs (MFA ou Multi-Factor Authentification en anglais), d’authentification à 2 facteurs (2FA ou Two-Factor Authentification en anglais) ou encore de double authentification.

Ces deux preuves d’identité distinctes doivent être de nature différente, et appartenir à deux des trois catégories suivantes :

  • un élément que vous êtes le seul à connaître : un mot de passe, un code secret, une question secrète…
  • un élément que vous êtes le seul à posséder : votre téléphone mobile, votre carte bancaire, une clé USB…
  • une caractéristique biométrique : une empreinte digitale, la forme du visage ou de l’iris, une reconnaissance vocale…

Pourquoi l’authentification forte a-t-elle été généralisée ?

C’est la conséquence de l’entrée en vigueur d’une nouvelle réglementation européenne : la DSP2 (2e directive sur les services de paiement) qui ambitionne notamment d’améliorer la sécurité des services financiers dans l’univers numérique.

Lorsqu’elles sont effectuées à distance, certaines opérations sont en effet plus exposées à la fraude. C’est le cas, en particulier, des paiements par carte bancaire sur internet. Les sommes dérobées à l’occasion d’achats en ligne sont en effet 17 fois plus élevées, en proportion, que lors d’achats dans les magasins « physiques » (1).

La DSP2 généralise donc l’usage de l’authentification forte dans deux cas de figure en particulier :

  • pour la connexion à l’espace bancaire en ligne ;
  • pour les achats sur internet.

Comment ça marche concrètement pour se connecter à sa banque en ligne ?

Le cadre posé par la DSP2 est le suivant : votre banque doit désormais vous demander une authentification forte, au moment de vous connecter à votre espace bancaire en ligne, au moins une fois tous les 90 jours.

Concrètement, lors de cette authentification forte, la combinaison de votre identifiant bancaire (généralement un nombre à 7 ou 8 chiffres) et de votre code secret ne suffit plus : on vous demande également de renseigner un code secret à usage unique, que votre banque vous envoie instantanément, par SMS ou par serveur vocal.

Cette formalité, toutefois, n’est pas nécessaire si vous utilisez régulièrement l’application mobile de votre banque. En effet, le fait de vous connecter sur un téléphone désigné comme appareil de confiance et en utilisant la biométrie ou un code secret, est considéré comme une authentification forte, et fait donc repartir à zéro le compteur des 90 jours.

À noter que le recours à l’authentification forte au moins une fois tous les 90 jours est également requis si vous utilisez un service d’agrégation de comptes, qu’il soit proposé par votre banque ou par un coach budgétaire (Bankin’, Linxo, etc.).

Comparatif des offres des cartes bancaires pour un voyage à l'étranger

Comment ça marche concrètement pour payer sur internet ?

Malgré l’existence de portefeuilles dédiés aux achats en ligne (PayPal étant le plus connu), 80% des dépenses effectuées sur internet sont toujours payées directement par carte bancaire, qui présente pourtant des fragilités face à la fraude (2). C’est pour limiter ces risques que la DSP2 a imposé le recours à l’authentification forte depuis 2021.

Concrètement, au moment de régler votre achat, le e-commerçant vous demande de compléter le numéro unique de votre carte, sa date de validité et le cryptogramme à 3 chiffres qui se situent au verso. Mais ce n’est plus suffisant : votre banque va également vous demander de vous authentifier par un autre moyen.

La solution la plus courante consiste à vous envoyer une notification sur votre mobile, vous invitant à vous authentifier dans son application à l’aide d’un code secret (le code d’accès à votre banque en ligne ou un code spécifique) ou de la biométrie (empreinte digitale, forme du visage) si votre téléphone en est équipé.

Si vous ne possédez pas de smartphone, ou si vous ne souhaitez pas utiliser son application mobile, votre banque peut vous proposer une alternative : la combinaison d’un code à usage unique, par SMS ou par serveur vocal, et d’un code personnel statique qu’elle vous a communiqué en amont. Dans ce cas, les deux codes sont à saisir sur la page web de validation du paiement.

Enfin, si vous ne possédez pas de téléphone mobile, une autre alternative consiste à vous équiper d’un appareil physique : un boîtier électronique capable de générer des codes à usage unique ou une clé USB d’authentification. Des dispositifs qui sont généralement payants.

Certains paiements en ligne sont exemptés d’authentification forte

La DSP2 autorise les e-commerçants et leur banque à ne pas déclencher d’authentification forte dans le cas de transactions considérées comme peu risquées.

C’est le cas :

  • des paiements de moins de 30 euros ;
  • des paiements effectués chez un e-commerçant que vous avez désigné comme bénéficiaire de confiance ;
  • des paiements récurrents, destinés par exemple à payer un abonnement ;
  • des paiements effectués chez un e-commerçant affichant un faible taux de fraude.

À noter que si votre carte bancaire est utilisée pour un paiement frauduleux validé sans recours à l’authentification forte, la banque du commerçant a l’obligation de vous rembourser immédiatement de l'intégralité des sommes fraudées.

Comment s’appellent les dispositifs d’authentification forte dans les banques françaises ?

Pour donner de la visibilité à leurs dispositifs d’authentification forte, certaines banques leur ont donné un nom commercial. En voici une liste non exhaustive :

  • Certicode Plus à La Banque Postale
  • Sécuripass au Crédit Agricole
  • Sécur’Pass à la Caisse d’Epargne, à la Banque Populaire et au Crédit Coopératif
  • Clé Digitale chez BNP Paribas et Hello Bank
  • Confirmation Mobile au Crédit Mutuel, au CIC et chez Monabanq
  • Pass Sécurité à la Société Générale
  • Secure Key Mobile chez HSBC France
  • Mon e-paiement sécurisé dans les banques du groupe Crédit du Nord

Les portefeuilles électroniques du type Paypal sont-ils concernés ?

Oui. PayPal et les autres portefeuilles électroniques (Paylib, Apple Pay, Google Pay, etc.) utilisant une carte bancaire comme base de paiement sont également concernés par l’obligation d’avoir recours à l’authentification forte. Dans le cas de PayPal, elle se fait à l’aide de l’envoi d’un SMS sur la ligne téléphonique associé à votre compte, à compléter au moment de l’accès à la page de validation du paiement.

(1) Source : rapport 2019 de l’Observatoire de la sécurité des moyens de paiement de la Banque de France. Lire sur le sujet : Quels sont les moyens de paiement les plus fraudés ?

(2) Source : Fevad, chiffres clés e-commerce 2020

© MoneyVox 2021 / Vincent Mignot / Page mise à jour le / Droits réservés