Les banques locales et l’OPT mettent actuellement en place une procédure sécurisée pour les opérations en ligne.
Comme cela se passait déjà en métropole, la consultation par internet et l’utilisation de moyens de paiement exigent la communication par le client de divers renseignements. En règle générale, des compléments d’information sont demandés et une « alerte » envoyée par SMS demandant de valider l’opération par un code temporaire.
Les normes techniques prévues dans la DSP2 (règlement européen auquel sont soumises les banques) font de l’authentification forte la condition de base pour que le client puisse accéder par internet à son compte bancaire ou effectuer des paiements en ligne. Cela implique que, pour prouver son identité, l’utilisateur devra répondre au moins à deux des trois conditions suivantes :
· Un mot de passe ou un code que seul l’utilisateur connaît
· Un appareil (téléphone mobile, par exemple) que seul l’utilisateur possède
· Une caractéristique personnelle du client (empreinte digitale, reconnaissance vocale, ou faciale).
En pratique, plusieurs solutions d’authentification forte sont proposées :
· solution par SMS et code personnel
Vous devez valider l’opération en saisissant, par deux opérations différentes, un code « statique », appelé souvent code secret, qui vous a été communiqué par votre banque et un code à usage unique (reçu par SMS ou serveur vocal)
· solution par application mobile
Certaines banques locales l’envisagent.
Si vous possédez un téléphone récent, la solution par application mobile est simple et rapide. Vous devez télécharger l’application mobile de votre banque. Afin d’effectuer une opération, vous recevez une notification vous invitant à vous authentifier sur l’application, soit grâce à la saisie d’un code, soit grâce à une prise d’empreinte biométrique (empreinte digitale, reconnaissance faciale ou de l’iris). Si vous ne possédez pas un téléphone compatible ou ne souhaitez pas l’utiliser, votre banque doit vous proposer d’autres solutions.
· solution par appareil physique
Vous devez valider l’opération grâce à un code créé par un appareil (générateur de code avec clavier, clé USB, lecteur de QR-code) que votre banque aura mis à votre disposition en vous apportant toute l’aide technique nécessaire pour l’utiliser.
Pour nous, il est indispensable que, pour les opérations de paiement électronique à distance, les prestataires de services de paiement, appliquent l’authentification forte comprenant des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire.
C’est-à-dire que le SMS demandant la validation d’un paiement par carte doit indiquer le code à saisir mais également le nom du vendeur et le montant.
Nous n’avons pas obtenu des banques « locales » des réponses claires sur le contenu des SMS envoyés mais des témoignages nous font part que ces éléments figurent maintenant sur les SMS reçus.
Les utilisateurs doivent donc être très attentifs à ces mentions et ne pas recopier le code s’il y a une différence avec le montant qu’ils ont indiqué ou la dénomination de la personne à qui ils pensent s’être adressée.
Rappel :
Ne jamais répondre à un SMS ou à un courriel émanant soi-disant d’une banque (ou de leur service de sécurité !) en cliquant sur une touche répondre.
Ne jamais composer un numéro de téléphone proposé par SMS
Ne jamais donner d’information par courriel ou téléphone sans passer par le site officiel de l’établissement (ou par le numéro spécifique de votre conseiller recueilli auparavant)
cf: UFC que choisir de NC
