L’authentification forte, le dispositif qui sécurise vos transactions bancaires

L'authentification forte, également connue sous le nom d'authentification à deux facteurs (2FA), est une méthode avancée d’identification du payeur. Son objectif : renforcer la sécurité lors d’une opération en ligne pouvant générer des risques. Dans l’univers bancaire, il peut s’agir par exemple d’un accès à son compte, d’un paiement par carte, ou de l’ajout d’un bénéficiaire de virement.

Qu’est-ce que l’authentification forte ? Et à quoi sert-elle ?

L'authentification forte fait partie d’un dispositif devenu obligatoire pour certaines opérations bancaires avec la directive sur les services de paiement (DSP2) du 25 novembre 2015. Il s’est progressivement déployé en France à partir de 2017. Cette approche est donc aujourd’hui fortement adoptée pour les transactions bancaires afin d’assurer l’identification du client réalisant l’opération. L’authentification forte permet de vérifier quant à elle que la personne qui tente d'accéder à un compte (bancaire ou d’épargne), ou d'effectuer une opération, est bien l'utilisateur autorisé. Ce qui réduit le risque de fraudes…

Authentification forte : comment ça marche ?

Le principe est simple : l’utilisateur doit s’authentifier, à l’aide de plusieurs facteurs d’authentification qui lui permettront de poursuivre son opération bancaire ou d’accéder en ligne à son compte, c’est ainsi que l’authentification est dite « forte ». La Réglementation précise que pour qu’il y ait authentification forte, il doit y avoir réunion d’au moins deux facteurs parmi les trois catégories suivantes :

• Un facteur de « connaissance », c’est-à-dire quelque chose que l’utilisateur « connait », comme un mot de passe ou un code PIN;
• Un facteur de « possession », c’est-à-dire quelque chose que l’utilisateur « possède », comme un téléphone mobile, ou un token de sécurité;
• Un facteur « d’inhérence », c’est-à-dire quelque chose que l’utilisateur « est », qui se réfère donc à des caractéristiques biométriques comme l'empreinte digitale, la reconnaissance faciale, ou l’analyse de l’iris.

L’intégration de ces éléments augmente considérablement la sécurité puisqu’il est plus difficile de compromettre tous les facteurs simultanément.

Authentification forte : quelles sont les solutions retenues par les banques ?

Les banques s’appuient sur différents facteurs d’authentification pour sécuriser les opérations en ligne de leurs clients.

• L’authentification par SMS via laquelle l’utilisateur reçoit alors un code unique, à usage dédié, pour valider chaque opération;
• D’autres méthodes incluent l’utilisation de cartes de sécurité physiques, de tokens électroniques, et d’applications de sécurité, telles que des applications bancaires dédiées;
• Certaines banques investissent également dans la biométrie, utilisant des technologies de reconnaissance faciale ou d’empreinte digitale pour faciliter l'accès sécurisé des clients à leurs comptes.

Chez SG, nous proposons 2 solutions d’authentification forte pour les clients détenteurs d’un contrat de banque à distance :

• La saisie de votre mot de passe d’accès à votre Espace Client de Banque à distance (le Code Secret), et la saisie d’un Code Sécurité que vous recevrez sur votre numéro de téléphone Sécurité.
• Le Pass Sécurité Pro : disponible depuis L’Appli SG*, il permet de valider très simplement la connexion à votre Banque à Distance. Il est indispensable pour valider certaines opérations à distance. Pensez donc à l’activer dès maintenant !

L’authentification forte : est-ce 100% efficace ?

Depuis la mise en place de ce dispositif, le taux de fraude sur les moyens de paiement est en baisse constante. Notamment le taux de fraude sur les paiements sur internet (-35% depuis 2019, selon la Banque de France).

Toutefois les fraudeurs sont toujours aussi actifs et inventifs, et restent une menace réelle pour la sécurité des transactions.

Comment les escrocs arrivent-ils à contourner cette authentification forte ?

• Par manipulation : l’escroc utilise des techniques d’ingénierie sociale pour faire valider des opérations illégitimes avec les moyens d’authentification forte de sa victime.
• Phishing ou vishing⁽¹⁾ : messages ou appels frauduleux vous incitant à fournir vos informations confidentielles parfois en usurpant l’identité d’un salarié de la banque voire de votre conseiller.

C’est la raison pour laquelle la sécurité en ligne reposera toujours en grande partie sur la vigilance des utilisateurs eux-mêmes…

Pour rappel, SG ne vous demandera jamais :

• Le code secret et les données de votre carte bancaire (numéro de la carte bancaire, date de validité et cryptogramme),
• Un code sécurité reçu par SMS (code 3D Secure),
• Le Code Client et/ou le Code Secret de votre accès à la banque à distance,
• L’annulation d’une transaction par authentification forte (Pass Sécurité Pro ou SMS à code unique).

Et n’enverra jamais de coursier pour vous dessaisir de votre carte.