Tout savoir sur l'authentification forte
Fiche pratique
Le nombre de paiements en ligne ayant très fortement progressé, et le taux de fraude étant plus élevé en e-commerce que dans les commerces de proximité, la sécurité de ceux-ci s’est renforcée.
Ainsi, les paiements par carte sur internet ainsi que les opérations bancaires sensibles (accès au compte bancaire en ligne...) doivent faire l'objet d'une authentification forte de l'utilisateur, de manière systématique.
Cette authentification forte ou double authentification est prévue par l'article L. 133-4 du code monétaire et financier afin de limiter la fraude sur les paiements à distance.
1 - Qu'est-ce que l'authentification forte ?
2 - Dans quels cas l'authentification forte est-elle nécessaire ?
3 - Quels sont les cas d'exemption d'authentification forte ?
1 - Qu'est-ce que l'authentification forte ?
L'authentification forte est un système de sécurité qui vise à certifier que la personne qui souhaite effectuer un paiement en ligne ou accéder à ses comptes en ligne ou à son application bancaire est bien le titulaire de la carte ou du compte de paiement.
Le consommateur doit confirmer son identité par un autre système, lui-même sécurisé. Il va le faire le plus souvent par l'intermédiaire de son smartphone, par l'application de sa banque qui va lui demander un code secret.
La validation repose sur deux éléments ou plus d'authentification qui doivent appartenir à deux catégories différentes de facteurs d'authentification parmi les trois catégories existantes (article L. 133-4 du code monétaire et financier) :
- connaissance (quelque chose que seul l'utilisateur connait) : un mot de passe, un code PIN, une information personnelle...
- possession (quelque chose que seul l'utilisateur possède) : un ordinateur, un téléphone, une montre connectée, un boitier fourni par la banque...
- inhérence (quelque chose que l'utilisateur est), c'est-à-dire une caractéristique biométrique : empreinte digitale, reconnaissance faciale, vocale...
Concrètement, au moment de payer sur internet, le client reçoit sur un téléphone préalablement identifié une notification l'invitant à s'authentifier, soit au moyen de la saisie d'un code personnel, soit par prise d'empreinte biométrique pour les téléphones mobiles équipés (empreinte digitale, reconnaissance vocale...).
Cela pose parfois des difficultés à ceux qui n'ont pas de smartphone ou ne veulent pas télécharger l'application bancaire sur leur téléphone.
Les banques doivent proposer des solutions alternatives comme l'utilisation d'un SMS à usage unique couplé à un mot de passe connu du client, ou l'utilisation d'un dispositif physique dédié.
Chaque banque propose son propre système d'authentification forte (boitier, application mobile...).
De nombreuses banques proposent leur service d'authentification forte, sous des noms commerciaux comme Certicode ou Numéro de téléphone sécurisé de la Banque Postale, SécuriPass du Crédit Agricole, Sécur'Pass de la Caisse d'Epargne.
2 - Dans quels cas l'authentification forte est-elle nécessaire ?
L’authentification forte est nécessaire pour les opérations suivantes :
- l'accès au compte de paiement en ligne,
- une opération de paiement électronique (virement ou paiement par carte),
- une action réalisée par un mode de communication à distance qui présente un risque élevé de fraude (inscription d'un nouveau bénéficiaire de virement sur un compte bancaire en ligne).
Concernant l'accès au compte de paiement en ligne, cette authentification forte s'ajoute à la saisie de l'identifiant et du mot de passe.
3 - Quels sont les cas d'exemption d'authentification forte ?
La directive prévoit quatre cas pour lesquels une exemption d'authentification est possible :
- bénéficiaire de confiance (bénéficiaire pré-autorisé...),
- opération récurrente (loyer, abonnement...),
- opération de faible valeur unitaire à distance (moins de 30 euros) ou sans contact (de moins de 50 euros),
- opération à risque limité.
La banque émettrice de la carte bancaire aura le choix d'accorder ou non une exemption. Il pourra donc y avoir des disparités entre les banques.
> Pour en savoir plus, consultez notre dossier "Comment se protèger des arnaques bancaires et financières ?".
Attention, une banque ne vous demandera jamais de lui communiquer vos identifiants bancaires ou codes d'accès que ce soit par mail, par sms ou par téléphone. De même, elle n'enverra jamais un conseiller à votre domicile pour récupérer votre carte bancaire.
Pour en savoir plus, consultez l'article "Arnaques aux faux conseillers bancaires : comment les éviter ?" et visionnez les vidéos ConsoMag "Comment éviter une arnaque aux faux conseillers bancaires ?" avec l'ADEIC et "Que faire en cas d'arnaque au faux conseiller bancaire ? " avec Cybermalveillance.
Corinne Lamoussière-Pouvreau
Juriste à l'Institut national de la consommation