Hello Bank!

DSP2 : sécurisation renforcée et coercition

Buffeto

Modérateur
Staff MoneyVox
Je suis également au CIC et je teste comme beaucoup cette nouvelle procédure depuis quelques jours.
le pire c'ets que si tu veux te connecter plusieurs fois dans la journée depuis le meme ordi , on te demande à chaque fois la meme procédure...

c'est lourd.
 

Clare

Membre
@paal : l'envoi d'un SMS avec un code sur mon mobile ne me pose pas de souci non plus...si l'opération n'est pas répétée à chaque connexion.
 

Kephset

Contributeur
Normalement ça ne devrait pas être renouvelé à chaque connexion mais au max tous les 90j, étonnant que ça ne soit pas appliqué, c'est une gêne client importante !

Concernant la carte de clé, je m'étonne aussi que ça n'ai pas été retenu comme solution d'authentification forte : ça répond au critère "quelquechose que je possède" puisque obligé d'avoir la carte pour avoir le code demandé, ajouté au mot de passe qui est le critère "quelque chose que je connais", ça fait bien 2 facteurs suffisant pour une authentification forte.
 

Clare

Membre
Concernant la carte de clé, je m'étonne aussi que ça n'ai pas été retenu comme solution d'authentification forte : ça répond au critère "quelquechose que je possède" puisque obligé d'avoir la carte pour avoir le code demandé, ajouté au mot de passe qui est le critère "quelque chose que je connais", ça fait bien 2 facteurs suffisant pour une authentification forte.
Oui, d'autant que désormais l'envoi d'un SMS de confirmation s'ajoute à l'usage de la carte de clés ! Par exemple, je me connecte avec mes identifiant et mot de passe habituels, je reçois un SMS avec un code à 6 chiffres que je saisis et si je souhaite ajouter un bénéficiaire, on me demande le contenu d'une des 64 cases de la carte de clés, puis pour la validation finale de l'opération, on me demande à nouveau de saisir un code à 6 caractères envoyé par SMS. Cela fait quatre niveaux de sécurité. LOL. Si c'est pas déjà de la sécurisation ça. :LOL:
 

PALC54

Membre
Bonjour à vous,

Si je ne m'abuse le CIC propose une autre solution bien moins onéreuse que celle évoquée dans votre poste (safetrans avec abonnement mensuel ) . Un boitier tarifé uniquement à l'acquisition (une trentaine d'€) . Peut-être pourriez vous vous renseigner à nouveau car vos informations semblent erronées.
En ce qui concerne l'authentification par sms , il me semble que la directive prévoit le bannissement du sms à décembre 2020. Il n'est donc pas étonnant que le CIC souhaite orienter ses clients vers une solution pérenne.
Je ne remet pas en question vos craintes vis à vis des applications bien que je ne les partagent pas mais la confirmation mobile me semble pour le moins sécurisée . Étant personnellement utilisateur du dispositif :
- Rien ne vous oblige à enregistrer votre identifiant
- Pas d'enregistrement possible du mot de passe
Dans le pire des cas si on vous vole (ou pirate ) votre téléphone rien n'est possible sans la carte de clé personnelle (si ce n'est du voyeurisme ) et même avec l'usage de votre carte de clé votre conseiller a l'obligation de vous contacter en cas d'opération suspecte (montant inhabituel, opération inhabituelle, ...).

Bonne journée à vous !
 

paal

Top contributeur
Bonjour à vous,
Si je ne m'abuse le CIC propose une autre solution bien moins onéreuse que celle évoquée dans votre poste (safetrans avec abonnement mensuel) .
Un boitier tarifé uniquement à l'acquisition (une trentaine d'€) Peut-être pourriez vous vous renseigner à nouveau car vos informations semblent erronées.
Qu'il s'agisse d'un boitier acheté ou loué ne change pas grand chose à la problématique ...

Aussi et dans les conditions énoncées, je ne vais pas non plus ouvrir un compte au Cic dans une autre localité (la plus proche éloignée d'une dizaine de kilomètres), juste pour clarifier cette question ...

Et j'ai comme l'impression qu'obtenir une information fiable, cela relève un peu du parcours du combattant (plus limpide à l'armée ….) dans les agences de cette banque ….

Ensuite, il me semble que la meilleure des sécurisations, cela reste une visite en physique avec un interlocuteur de la banque (encore faut-il qu'il réponde à vos questions …) ; mais il faudrait alors que ce soit avec une périodicité espacée …..

En ce qui concerne l'authentification par sms , il me semble que la directive prévoit le bannissement du sms à décembre 2020.
Il n'est donc pas étonnant que le CIC souhaite orienter ses clients vers une solution pérenne.
Cherchez l'erreur, car je me demande en quoi un échange de Sms dans les conditions énoncées par Clare, ce serait moins sécurisé qu'une procédure via un module installé sur un téléphone portable ??

Je ne remet pas en question vos craintes vis à vis des applications bien que je ne les partage pas mais la confirmation mobile me semble pour le moins sécurisée . Étant personnellement utilisateur du dispositif :
- Rien ne vous oblige à enregistrer votre identifiant
- Pas d'enregistrement possible du mot de passe
On va dire pas d'enregistrement automatique ….

Dans le pire des cas si on vous vole (ou pirate ) votre téléphone rien n'est possible sans la carte de clé personnelle (si ce n'est du voyeurisme ) et même avec l'usage de votre carte de clé votre conseiller a l'obligation de vous contacter en cas d'opération suspecte (montant inhabituel, opération inhabituelle, ...).
Bonne journée à vous !
Si c'est pour en revenir à cette solution (qui me semble fiable), autant la retenir de prime abord ....
 
Dernière modification:

Clare

Membre
Si je ne m'abuse le CIC propose une autre solution bien moins onéreuse que celle évoquée dans votre poste (safetrans avec abonnement mensuel ) . Un boitier tarifé uniquement à l'acquisition (une trentaine d'€) . Peut-être pourriez vous vous renseigner à nouveau car vos informations semblent erronées.
Incomplètes plutôt. La solution que vous évoquez, c’est Digipass et sa publication sur le site du CIC n’a que quelques jours. Cela explique sans doute pourquoi ma conseillère n'a fait qu'évoquer ce nom sans détails, malgré mes demandes d’informations. Les données que j’ai fournies dans mon premier post sont directement issues des échanges écrits avec ma conseillère. Je vais examiner cette nouvelle possibilité et je vous remercie de la porter à mon attention. Toutefois, il faut quand même débourser 29 euros pour un système qui profite surtout aux banques et aux assurances. Je ne vois pas pourquoi je devrais payer pour un système qui pourrait être bien plus simple sans coût supplémentaire (carte de clés existante).


En ce qui concerne l'authentification par sms , il me semble que la directive prévoit le bannissement du sms à décembre 2020. Il n'est donc pas étonnant que le CIC souhaite orienter ses clients vers une solution pérenne.
Ce serait plutôt juin 2022 et ce n’est même pas certain, selon cet article, vu la popularité et la simplicité du SMS : Le sms devrait survivre à la DSP2

Je ne remet pas en question vos craintes vis à vis des applications bien que je ne les partagent pas mais la confirmation mobile me semble pour le moins sécurisée .
Je ne partage pas votre optimisme sur la prétendue sécurisation de cette application sur des smartphones qui sont des vraies passoires. Nous n’avons qu’un contrôle illusoire sur ces derniers.

Étant personnellement utilisateur du dispositif :
- Rien ne vous oblige à enregistrer votre identifiant
- Pas d'enregistrement possible du mot de passe
Elle introduit tout de même un aléa sur un support bien moins sécurisé que vous ne semblez l’admettre. Une application doit toujours s’évaluer avec le niveau de sécurité d’un environnement matériel et logiciel. Ici, le smartphone sur lequel nous n’avons qu’un contrôle très relatif. Et puis, l’un des ressorts du marketing et du business en ligne, c’est que tôt ou tard, nous baissons notre garde et laissons échapper des informations exploitables au tout-venant. Par lassitude ou non, nous commettons des erreurs de manipulation ou des oublis parmi les milliers d’opérations répétées et de paramètres à ajuster. Ces failles humaines (et je ne parle que d’elles) conduisent ainsi à laisser filtrer des données personnelles, comme des mots de passe ou faire des souscriptions involontaires, des téléchargements, parfois véritables chevaux de Troie.

La plus-value par rapport au SMS est illusoire car éphémère vu la créativité des pirates et elle est inexistante par rapport à la carte de clés.

Dans le pire des cas si on vous vole (ou pirate ) votre téléphone rien n'est possible sans la carte de clé personnelle (si ce n'est du voyeurisme ) et même avec l'usage de votre carte de clé votre conseiller a l'obligation de vous contacter en cas d'opération suspecte (montant inhabituel, opération inhabituelle, ...).
Bonne journée à vous !
Justement, puisqu’il y a déjà une carte de clés qui satisfait aux conditions requises pour la DSP2, pourquoi ne pas l’utiliser à la connexion au lieu d’alourdir la procédure avec une application mobile piratable ? Nombre d’entre nous n’accédons jamais à nos comptes sur un mobile, mais sur notre PC dans un environnement mieux contrôlé et moins risqué.

En outre, l’obligation de contact de la banque en cas d’opération suspecte existe quel que soit le dispositif.

Bonne journée à vous également.
 
Dernière modification:

PALC54

Membre
L'inconvenient de la carte de clé personnelle réside sur son absence de commodité au quotidien. Une majeur partie de la clientèle consulte ses comptes quotidiennement sur son smartphone et ont rarement avec eux leurs carte de clé personnelle car rangé bien au chaud au fond d'un tiroir ; & Je ne parle même pas de ceux qui seraient incapable de mettre la main dessus ... Alors que le smartphone ... Rare sont ceux qui ne l'ont pas à disposition !
Pour le sms rien est certain à priori, j'imagine que le CIC a pris les devants dans l'hypothèse de son interdiction.
Pour ceux qui refusent la confirmation mobile, le digipass intervient. Je doute fortement que la banque cherche à s'enrichir par le biais de ce boitier (ce serait contre productif à bien des égards). A mon sens il doit être envisageable d'obtenir un geste commerciale pour pallier au coût de ce boitier surtout face à la menace que vous et vos proches ne quittent la banque.
 

paal

Top contributeur
L'inconvénient de la carte de clés personnelles réside sur son absence de commodité au quotidien.
Une majeure partie de la clientèle consulte ses comptes quotidiennement sur son smartphone et ont rarement avec eux leur carte de clé personnelle car rangée bien au chaud au fond d'un tiroir ; & Je ne parle même pas de ceux qui seraient incapable de remettre la main dessus ...
Il se trouve que je me promène habituellement avec :
- mon téléphone portable (un smartphone) mais juste pour la téléphonie et l'échange de Sms, mais absolument pas pour une gestion bancaire ; cela je le traite à la petite semaine, et c'est simple comme une consultation de compte sur un ordinateur ….
- un porte cartes de crédit (qui permet une protection prétendue contre les capteurs des pirateurs de passage), étui qui comporte 6 ou 7 logements pour y glisser des cartes bancaires (mais d'une taille qui permet aussi d'y insérer une CNI) étui dans lequel il me reste au moins une place pour une carte multi-clés, que je ne stockerais pas dans un fond de mes multiples tiroirs ….

Mais j'ai surtout l'impression que vous pensez que toutes les personnes que vous croisez ont les mêmes habitudes et le même comportement que vous ; et cela, c'est particulièrement inexact, car nous avons chacun nos petites habitudes et autres particularités ….

Alors que le smartphone ... Rare sont ceux qui ne l'ont pas à disposition !
Pour le sms rien n'est certain a priori, j'imagine que le CIC a pris les devants dans l'hypothèse de son interdiction.
Je pense que nous avons encore un certain délai, avant de subir les contraintes d'une disposition européenne ….

Pour ceux qui refusent la confirmation mobile, le digipass intervient. Je doute fortement que la banque cherche à s'enrichir par le biais de ce boitier (ce serait contre productif à bien des égards). A mon sens il doit être envisageable d'obtenir un geste commercial pour pallier le coût de ce boitier surtout face à la menace que vous et vos proches ne quittent la banque.
Cela c'est pour les clients du Cic, dont je ne suis pas, mais comme cette banque fait partie du groupe Crédit Mutuel (dont je suis client) on va dire que ce groupe devrait alors adopter une solution semblable ….

Mais de mon côté, c'est plutôt silence radio, que ce soit pour la carte multi-clés ou le boîtier dont il est question ….

On va dire que le digipass pourrait être une solution envisageable pour celles et ceux qui accepteront de l'adopter .....
 
Dernière modification:

PALC54

Membre
Je ne vais effectivement pas me prononcer pour tout le monde, je ne vois juste pas l'intérêt qu'aurai un groupe bancaire à dépenser des frais de développement pour modifier leurs applications dans l'optique d'une solution ne satisfaisant pas le grand nombre ...

Dans votre cas de figure j'ai trouvé l'info sur le site du CM à priori il s'agirait de la même solution qui serait retenue (ce qui ne m'étonne pas). Capture d’écran 2019-12-01 à 21.29.56.png
 
Haut