L’authentification forte, le dispositif qui sécurise vos transactions bancaires

Qu’est-ce que l’authentification forte ? Et à quoi sert-elle ?

L'authentification forte fait partie d’un dispositif devenu obligatoire pour certaines opérations bancaires avec la directive sur les services de paiement (DSP2) du 25 novembre 2015. Il s’est progressivement déployé en France à partir de 2017. Cette approche est donc aujourd’hui fortement adoptée pour les transactions bancaires afin d’assurer l’identification du client réalisant l’opération. L’authentification forte permet de vérifier quant à elle que la personne qui tente d'accéder à un compte (bancaire ou d’épargne), ou d'effectuer une opération, est bien l'utilisateur autorisé. Ce qui réduit le risque de fraudes…

Authentification forte : comment ça marche ?

Le principe est simple : l’utilisateur doit s’authentifier, à l’aide de plusieurs facteurs d’authentification qui lui permettront de poursuivre son opération bancaire ou d’accéder en ligne à son compte, c’est ainsi que l’authentification est dite «forte». La Réglementation précise que pour qu’il y ait authentification forte, il doit y avoir réunion d’au moins deux facteurs parmi les trois catégories suivantes :

• Un facteur de « connaissance », c’est-à-dire quelque chose que l’utilisateur « connait», comme un mot de passe ou un code PIN ;
• Un facteur de « possession », c’est-à-dire quelque chose que l’utilisateur « possède », comme un téléphone mobile, ou un token de sécurité ;
• Un facteur « d’inhérence », c’est-à-dire quelque chose que l’utilisateur « est », qui se réfère donc à des caractéristiques biométriques comme l'empreinte digitale, la reconnaissance faciale, ou l’analyse de l’iris.

L’intégration de ces éléments augmente considérablement la sécurité puisqu’il est plus difficile de compromettre tous les facteurs simultanément.

Authentification forte : quelles sont les solutions retenues par les banques ?

Les banques s’appuient sur différents facteurs d’authentification pour sécuriser les opérations en ligne de leurs clients.

• L’authentification par SMS via laquelle l’utilisateur reçoit alors un code unique, à usage limité, pour valider chaque opération ;
• D’autres méthodes incluent l’utilisation de cartes de sécurité physiques, de tokens électroniques, et d’applications de sécurité, telles que des applications bancaires dédiées ;
• Certaines banques investissent également dans la biométrie, utilisant des technologies de reconnaissance faciale ou d’empreinte digitale pour faciliter l'accès sécurisé des clients à leurs comptes.

L’authentification forte : est-ce 100% efficace ?

Depuis la mise en place de ce dispositif, le taux de fraude sur les moyens de paiement est en baisse constante. Notamment le taux de fraude sur les paiements sur internet (-35% depuis 2019, selon la Banque de France).
Toutefois les fraudeurs sont toujours aussi actifs et inventifs, et restent une menace réelle pour la sécurité des transactions.

Comment les escrocs arrivent-ils à contourner cette authentification forte ?

• Par manipulation : l’escroc utilise des techniques d’ingénierie sociale pour faire valider des opérations illégitimes avec les moyens d’authentification forte de sa victime.
• Phishing ou vishing⁽¹⁾: messages ou appels frauduleux vous incitant à fournir vos informations confidentielles parfois en usurpant l’identité d’un salarié de la banque voire de votre conseiller.

C’est la raison pour laquelle la sécurité en ligne reposera toujours en grande partie sur la vigilance des utilisateurs eux-mêmes…

Pour rappel, SG ne vous demandera jamais de communiquer :

• Le code secret et les données de votre carte bancaire (numéro de la carte bancaire, date de validité et cryptogramme),
• Le numéro de votre compte bancaire,
• Un Code Sécurité reçu par SMS (code 3D Secure),
• Le Code Client et/ou le Code Secret de votre accès à la banque à distance.

Et n’enverra jamais de coursier pour vous dessaisir de votre carte.