Authentification forte DSP2 : banque et ergonomie

Modifié le

Voici le comparatif des mesures de sécurité que les banques en ligne ont du mettre en place suite à l’application de la DSP2. Ces mesures sont là pour protéger les fonds du client lorsqu’il accède à son compte courant en ligne et quand il fait un paiement.

Les banques les plus sécurisées

Les applications concrètes de la DSP2

La DSP2 vise à protéger les clients des banques. Ce dispositif oblige notamment les banques en ligne à mettre en place des mesures d’authentification double.

La double authentification

En d’autres mots, les utilisateurs doivent répondre positivement à deux facteurs pour se connecter ou pour procéder à un règlement :

  1. Entrer un code confidentiel connu uniquement par le titulaire du compte.
  2. Utiliser un appareil ou un objet physique comme un smartphone personnel.

Pour en savoir plus sur les multiples dispositions de la DSP2.

Des solutions DSP2 pas toujours bien reçues

Des banques sont allées assez loin dans les mesures liées à la DSP2. Celle de HSBC, par exemple, a été perçue comme assez drastique par les consommateurs avec sa solution Secure Key.

Ce système de sécurité génère des codes à usage unique pour se connecter au compte bancaire et valider des opérations sensibles. Il existe à ce jour sous deux supports : application mobile et boîtier. Mais ce deuxième support qui a été mal compris des utilisateurs et qui devrait être amené à disparaître.

Mais nous vous présentons ici les solutions DSP2 de 6 banques en lignes, des solutions qui s’avèrent être plus simples et mieux perçues que le Secure Key de HSBC.

Quelles mesures sont appliquées dans les banques en ligne ?

Choisir cette solution Groupe bancaire d’appartenance Mesure de sécurité DSP2 Agrégateur de compte
BforBank Crédit Agricole Authentification à double facteur à l’aide d’au moins 2 des 3 éléments suivants : mot de passe, usage d’un appareil annexe ou bien une caractéristique personnelle comme une empreinte digitale ou la reconnaissance faciale. Agrégateur de compte externe via application mobile autonome « Mes Banques » qui propose des alertes par SMS ou notifications.
Boursorama Société Générale Authentification requise tous les 90 jours pour se connecter depuis le site internet Boursorama Banque.
Opération unique si utilisation régulière de l’appli mobile Boursorama Banque.
Fortuneo Crédit Mutuel Arkéa Authentification à double facteur qui devra être effectuée pour la connexion tous les 90 jours :

soit via l’application mobile Fortuneo à travers une procédure d’association du téléphone ou tablette et la saisie d’un mot de passe de la biométrie de l’utilisateur.

soit par la réception d’un SMS en plus du mot de passe par le biais du site fortuneo.fr.

Agrégateur de paiement avec validation de la connexion entre la banque et l’agrégateur tous les 90 jours.
Hello bank! BNP Paribas Pour la connexion aux comptes : authentification à deux facteurs avec Clef Digitale qui sert à valider ses transactions de paiement en ligne par notification et code secret.

Pour les paiements : authentification forte tous les 90 jours via Clé Digitale ou code SMS à usage unique.

Agrégateur de compte avec authentification tous les 90 jours.

ING Groupe ING Authentification double à l’aide de deux des éléments suivants : mot de passe de votre espace client ; code temporaire reçu par SMS ; empreinte digitale ou faciale ; notification push ; etc.

Cryptage des données.

Monabanq Crédit Mutuel Authentification forte par Confirmation Mobile qui s’affiche

sous forme de notification sur l’application mobile Monabanq avec un code secret à 6 chiffres.

 

Sur le terrain, la DSP2 impacte le fonctionnement des banques

Pour mieux comprendre ce tableau, zoomons sur l’importance du groupe bancaire d’appartenance et sur le sytème d’agrégation de comptes.

L’importance du rattachement à un établissement historique

Le fait que les banques en ligne soient rattachées à un établissement historique et classique rassure les souscripteurs qui détiennent un compte courant auprès des banques en ligne. Ils profitent effectivement des mêmes avantages que ceux qui ont ouvert un compte dans le livre des comptes de la banque mère.

Qu’est-ce qu’un agrégateur de comptes ?

Un agrégateur de compte aide le client souscrit à consulter tous ses comptes bancaires sur une seule interface. Quel que soit le nombre de comptes d’un individu, il peut les consulter sur cette interface sans avoir à se connecter sur les sites des banques, les uns après les autres.

Pour ce faire, il faut faire agréger les comptes auprès d’un agrégateur de comptes. Puis, on confirme l’ajout sur les sites de chaque banque. Ainsi, les informations sensibles telles que le mot de passe sont mieux protégées. Enfin, le client doit valider la connexion entre l’agrégateur et la banque tous les 3 mois. Le cas échéant, l’agrégateur ne sera pas autorisé à utiliser les données !

Plus de sécurité et en même temps plus de liberté

La DSP2 a facilité la transmission des données entre les établissements, ce qui leur a permis d’ajouter pour celles qui l’ont souhaité la fonctionnalité d’agrégateur. En revanche, toutes les banques qu’elles soient mobiles ou non ont du ouvrir l’accès à leur données à une multitude de startup de la Fintech, comme Joko, Max… qui se connectent ouvertement à vos comptes si vous leur en donnez l’accès.

 

Rappel des bons réflexes pour éviter de se faire pirater le compte :

Même si les banques font leur possible pour faire en sorte que notre argent soit en sécurité, les pirates eux ne chôment pas. Ils sont même très créatifs et redoublent d’ingéniosité pour s’immiscer au travers les filtres de nos connexions que ce soit sur mobile ou ordinateur fixe.

Nos recommandations

C’est pour cette raison, qu’il convient de rester vigilant. Il faudra toujours :

  •  Garder ses identifiants et ses mots de passe secrets : ne transmettez à personnes vos identifiants, même la banque elle-même. Faites très attention aux emails qui semblent provenir de votre banque et qui demandent de mettre à jour vos identifiants. Les pirates arrivent à créer des sites miroirs qui sont similaires à ceux des banques. Ainsi ils récupèrent vos données permettant de s’identifier pour ouvrir le compte.
  •  Sécuriser votre ordinateur et téléphone portable avec un pare-feu, un antivirus, ou même parfois un VPN.
  •  Se connecter à son compte depuis son ordinateur uniquement.
  • Ne jamais se connecter depuis un réseau wifi non sécurisé sur son compte bancaire ou sa boîte email sur laquelle la banque communique. C’est la pire erreur à faire car les failles sont bien trop nombreuses.

Et s’il est trop tard …

Si jamais le pirate a réussi son coup et ait rentré sur votre compte dites-le immédiatement à votre banque. Faites opposition au plus vite. Le détenteur du compte a 13 mois pour contester un achat qu’il n’a pas fait lui même.


ComparateurBanque.com apprécie la simplicité de mise en œuvre des solutions DSP2 des 6 banques en ligne précitées. La plupart de ces solutions sont agiles : on peut choisir ses deux modes d’authentification. La possibilité de choisir entre le SMS et l’application reste embêtante pour certains utilisateurs. D’aucuns craignent d’être sans moyen dès lors qu’ils n’ont plus accès à leur appareil mobile – mais en même temps, on souscrit généralement à une banque en ligne pour la mobilité.

Par Stéphanie Thomas

Directrice de publication du site.

Les autres établissements de notre comparatif