English
Deutsch
español
italiano
Tout savoir sur l'authentification forte
/wedata%2F0025865%2F%2Favatar-1305892158.jpg){kind=avatar}
valérie mahieu
L’authentification forte est un système utilisé par les banques, qui permet une vérification renforcée de l’identité de l’utilisateur d’un service bancaire sur Internet, afin de supprimer toute possibilité de fraudes. Découvrez le principe de l’authentification forte, la manière dont ce système enraye toute possibilité de fraude, et quels procédés utilisent les banques pour le mettre en œuvre.
/wedata%2F0025865%2F2011-06%2F100-Euros-banknote-isolated.jpg)
Le principe de l’authentification forte
Il y a peu de temps encore, les services en ligne de gestion de comptes de certaines banques permettaient aux clients d’effectuer un virement bancaire au bénéfice de n’importe qui, simplement en s’identifiant sur son portail avec un login et un mot de passe, de même qu’il était possible d’utiliser une carte bancaire trouvée ou volée. On imagine assez bien que n’importe qui, ayant usurpé ce login et ce mot de passe ou la carte bancaire, pouvait effectuer les transactions voulues sans être le détenteur de ces comptes bancaires, et sans rencontrer de blocages. L’authentification forte met fin à cette pratique trop simple, en s’appuyant sur une technique qui oblige un serveur à identifier formellement la personne qui effectue la transaction. Plusieurs procédés sont mis en place, ou encore à l’étude, et permettent d’arriver à une authentification forte.
Plusieurs procédés pour une même idée
L’idée globale de l’authentification forte est de vérifier grâce à des sécurités supplémentaires que la personne qui est en train d’utiliser sa carte bancaire, ou d’ordonner un virement de son compte vers un autre, est bien la détentrice de cette carte et de ces comptes, et qu’elle est autorisée à effectuer l’opération.
Des codes à usage unique
Lorsque vous effectuez un achat ou un virement sur Internet, une page sécurisée avec authentification ssl s’ouvre, qui ne suffit pas pour protéger la transaction. Vous rentrez donc vos numéros de carte bancaire, sa date de validité et son cryptogramme, puis vous validez.
Dans le cadre d’une authentification normale, les choses s’arrêtent là, le paiement est accepté, et vous êtes débité.
Lors d’une authentification forte, la demande de transaction est envoyée à la banque, qui génère un code, utilisable une seule fois dans un délai imparti. Cette authentification token est caractérisée par :
- L’envoi du code par mail.
- Sms (mobile secure).
- La génération de ce code par un logiciel installé sur l’ordinateur.
- Une clé usb (token usb) fournie par la banque.
Pour renforcer encore cette authentification, la banque a pu, au préalable, envoyer une carte de codes, là encore uniques, repérée par des cases numérotées.
Il faut donc combiner le code reçu, et un code présent sur la carte, pour valider l'opération. Deux codes uniques sont donc nécessaires pour valider la transaction, évitant toute possibilité de fraude.
/wedata%2F0005196%2F2011-05%2F1-European-Central-Bank-in-Frankfurt-1-Banque-cent.jpg)
/wedata%2F0023493%2F2011-08%2FLogo-CE--comment-reconnaitre-le-logo-de-la-Caisse-.jpg){kind=logo}
/wedata%2F0030502%2F2011-06%2FPaiement-securise-par-carte-sur-internet.jpg)
/wedata%2F0029238%2F2011-08%2FCredit-card-of-future_4.jpg)