L’authentification forte : définition et fonctionnement

Paiement par carte bancaire, connexion à sa banque professionnelle à distance, achat en ligne… nombreuses sont les opérations aujourd’hui exposées à la fraude. Afin d’améliorer la sécurité des données utilisateurs, de nouvelles réglementations européennes sont venues renforcer les procédés déjà en place. C’est dans ce contexte que l’authentification forte, dite à doubles facteurs s’est largement généralisée. Mais en quoi consiste l’authentification forte ? Qu’est-ce que c’est et comment ça fonctionne ? Découvrons tout dans cet article ! 🚀

L’authentification forte : définition et fonctionnement


En résumé :

  • L’authentification forte consiste en un dispositif de vérification d’identité à plusieurs facteurs afin de renforcer la sécurité des opérations bancaires en ligne ;
  • L’authentification renforcée requiert plusieurs éléments parmi ce que l’utilisateur sait (un mot de passe par exemple), est (une empreinte digitale par exemple), ou possède (un téléphone par exemple) ;
  • La directive DSP2 instaure, depuis 2019, l’obligation de mettre en place, pour tous les acteurs concernés, l’authentification forte pour les paiements en ligne de plus de 30 € ;
  • Différentes solutions existent pour mettre en œuvre l’authentification forte : par l’application bancaire, par code, SMS ou via un appareil externe.

Un compte pro gratuit et fiable : c’est possible !
Il est maintenant possible avec Indy d’ouvrir un compte pro pour les indépendants 100% gratuit ! De plus, votre sécurité est notre priorité : notre agrégateur bancaire utilise les algorithmes de chiffrement les plus robustes du marché 🔥
Je veux en savoir plus 

L’authentification forte : qu’est-ce que c’est ?

Définition

L’authentification forte est un processus de vérification d’identité qui utilise au moins deux éléments indépendants afin de vérifier l’identité d’un utilisateur. Il permet un renforcement, de la sécurité par rapport à l’authentification simple, qui repose uniquement sur un mot de passe.

On parle aussi d’authentification multifacteurs, d’authentification renforcée ou encore de double authentification. En anglais il est question de Multi-Factor Authentification, MFA.

Bon à savoir : l’authentification forte peut être mise en place par tous les établissements ou services de paiement et non seulement par les banques traditionnelles. Cela vaut donc pour les banques en ligne, les néobanques, les services comme Apple Pay ou Google Pay, PayPal, les réseaux de carte (Visa, Mastercard…), les e-commerçants, start-up… etc. C’est également possible quelle que soit la nature de votre compte bancaire : compte personnel ou compte pro.

Fonctionnement

L’authentification forte est aussi souvent appelée authentification à deux facteurs. Cela est dû à son fonctionnement. En effet, elle se base sur la combinaison d’au moins deux des trois types de facteurs suivants afin de vérifier l’identité de l’émetteur de l’opération :

  • Un élément que l’utilisateur est le seul à savoir (mot de passe, code PIN, question secrète… etc.) ;
  • Un élément intrinsèque à l’utilisateur (son empreinte digitale, sa reconnaissance faciale, sa reconnaissance vocale… etc.) ;
  • Un élément que l’utilisateur est le seul à posséder (son smartphone, sa ligne téléphonique, sa montre connectée, un appareil générant des codes temporaires..etc.).

Ces éléments sont aussi appelés respectivement éléments de connaissance, d’inhérence et de possession. En nécessitant la validation de deux éléments distincts, le risque d’usurpation d’identité est fortement réduit.

Dans quels cas est utilisée l’authentification à deux facteurs ?

L’authentification forte est souvent requise dans 3 catégories de situation :

  • Afin de valider un paiement en ligne (obligatoire lorsqu’il est supérieur à 30 euros) ;
  • Pour vous connecter sur votre espace client de votre compte bancaire (requise au moins tous les 90 jours) ;
  • Lorsque vous avez besoin d’effectuer une opération dite sensible (ajout d’un bénéficiaire pour effectuer un virement, modification de votre numéro de téléphone… etc).

Chaque opération concernée par l’authentification à deux facteurs nécessite donc une autorisation de prélèvement. Le but : réduire la fraude, encore extrêmement élevée aujourd’hui lors des achats par carte bancaire en ligne. L’observatoire de la sécurité des moyens de paiement, sous l’égide de la Banque de France, recense, en effet, dans son rapport annuel 2023, 4,1 millions d’opérations frauduleuses au premier semestre 2023.

Bon à savoir : la fraude de paiement par mobile a été divisée par 3 en 2023 par rapport à 2022. Cela est principalement du, selon l’Observatoire, à l’authentification forte.

Les obligations liées à l’authentification forte en France

En France, la directive européenne sur les services de paiement, la DSP2, est entrée en vigueur en septembre 2019 après avoir été votée par le Parlement européen. La directive interdit les pratiques de surfacturation, renforce les droits des consommateurs et prévoit l’obligation de l’authentification forte.

La DSP2 instaure l’obligation de recourir à l’authentification forte pour tous les paiements en ligne de plus de 30 euros (en vigueur depuis septembre 2019).

Cette nouvelle obligation vaut pour l’ensemble des organismes au sein de l’écosystème bancaire : banque, réseaux de carte, e-commerçants, prestataires de paiement…etc. Son déploiement est ambitieux afin de sécuriser les transactions en ligne, encore beaucoup sujet à la fraude. IBAN français, allemand ou espagnol, professionnel ou particulier, toutes les pratiques visent à être harmonisées.

En France, il est aujourd’hui possible d’être exemptés dans certains cas de recourir à l’authentification renforcée pour les paiements en ligne. Cela vaut :

  • Pour les opérations de plus de 30 € considérées comme étant à faible risque ;
  • Les paiements auprès d’un e-commercant qui a un très faible taux de fraude, ou qui a été désigné comme un bénéficiaire de confiance par l’utilisateur ;
  • Pour les dépenses régulières ou abonnements, la double authentification ne pourra être requise que lors de la première transaction.

Les différentes solutions d’authentification forte

Il existe plusieurs solutions qui peuvent être mises en place pour mettre en vigueur l’authentification forte. Le plus fréquent est sa mise en place via l’application bancaire. Toutefois cela peut également se faire via la réception d’un mot de passe ou l’utilisation d’un appareil physique mis à disposition. 

L’authentification forte par l’application bancaire

Le plus souvent, les particuliers comme les professionnels, utilisent leur application bancaire pour vérifier leur identité. Avec cette solution, voici en quoi le déroulement du processus de l’authentification forte consiste :

  1. Vous devez avoir téléchargé l’application mobile de votre banque ;
  2. Vous recevez une notification sur votre téléphone de la part de votre banque indiquant qu’une opération est à vérifier ;
  3. Vous devez vous connecter sur votre Espace Client afin de valider l’opération ;
  4. Un code personnel vous est souvent demandé par votre banque afin de vérifier l’opération. La vérification peut aussi s’effectuer par empreinte digitale ou Face ID ;
  5. Une fois votre validation effectuée, vous pouvez retourner sur l’onglet de votre transaction ;
  6. Le passage à la prochaine étape de votre paiement est généralement automatique.

L’authentification forte par l’application bancaire permet donc de réaliser l’entièreté de l’opération sur votre smartphone, via votre ordinateur… etc. Tout se fait directement en ligne, sur internet. Aucun surcoût ne peut vous être facturé.

Les dispositifs de l’authentification forte auprès des banques ont aujourd’hui un nom particulier, désignant tous le même procédé :

Banque Nom commercial du dispositif d’authentification force
Crédit Mutuel Confirmation Mobile
CIC
La Banque Postale Certicode Plus
Crédit Agricole Sécuripass
BNP Paribas Clé digitale
Société Générale Pass Sécurité
Banque Populaire Sécur’Pass
Caisse d’Epargne
Crédit du Nord Mon e-paiement sécurisé
Boursobank (anciennement Boursorama Banque) Web authentication

bannière Indy avis client noté 4.8/5 sur Trustpilot

L’authentification forte par SMS

Il est également possible de passer par SMS afin de valider votre opération bancaire. Dans ce cas vous recevrez sur votre numéro (personnel ou professionnel, en fonction de celui que vous avez inscrit) un code à usage unique. Vous devez alors transmettre ce code à la plateforme d’achat pour finaliser votre paiement.

Vous n’avez jamais besoin de répondre au SMS reçu. Recevoir un code d’authentification forte par SMS est gratuit, simple, et rapide.

L’authentification forte par l’utilisation d’un appareil physique

La troisième solution possible est de passer par un appareil externe, fournit par la banque. Ce dernier permet de générer un code unique. Cet appareil peut être un boîtier externe, une clé USB… etc. Votre banque se doit de vous expliquer le fonctionnement de l’appareil fournit.

Idée reçue : un téléphone avec un accès à internet est obligatoire pour bénéficier de l’authentification forte.
Faux ! L’application mobile de la banque est souvent utilisée mais pas obligatoire. En effet, des solutions alternatives doivent obligatoirement être proposées par les banques comme l’envoi d’un SMS couplé d’un mot de passe connu uniquement de l’utilisateur par exemple. Cette obligation est prévue par le comité national des moyens de paiement. Consulter ici l’ensemble des publications.

FAQ – Questions fréquentes

Que faire en cas de demande d’authentification forte non sollicitée sur votre téléphone ?

Il ne faut jamais aller au bout d’une demande d’authentification dont vous n’êtes pas à l’origine. Vous devez immédiatement refuser l’authentification et contacter votre organisme bancaire. Il est important de vérifier que vos coordonnés bancaires n’ont pas été piratés.

Tous les paiements sont-ils concernés par l’authentification forte ?

Non ! Tous les paiements effectués auprès de bénéficiaires de confiance, les paiements à faible risque ou à faible valeur unitaire ne sont pas concernés par l’obligation d’authentification forte. Il en va de même pour les paiements récurrents d’un même montant (abonnement par exemple) ainsi que pour les virements internes.

Comment mettre en place l’authentification forte en tant que e-commercant ?

Nous vous conseillons de prendre directement contact avec votre prestataire de paiement qui pourra vous aider dans la mise en place de l’authentification renforcée. Il sera toutefois important pour vous d’optimiser le parcours d’achat client lors de la phase de paiement afin de limiter au maximum les abandons de panier.

Que se passe-t-il en cas de fraude quand la banque n’a pas demandé d’authentification forte ?

Lorsque vous êtes la cible de fraude alors qu’aucune authentification forte n’a été demandée par votre banque, cette dernière est dans l’obligation de vous rembourser intégralement. Elle ne peut vous refuser le remboursement que si elle peut prouver que vous avez agi de manière frauduleuse.

Dans quels pays s’applique la DSP2 ?

La deuxième version de la Directive européenne sur les Services de Paiement s’applique à tous les pays membres de l’Union Européenne (UE) ainsi que les pays de l’Espace Économique Européen (EEE).

Vous avez davantage de questions sur en quoi consiste l’authentification forte ? N’hésitez pas à utiliser l’espace commentaire, nous vous répondrons avec plaisir ! 🤝

Découvrez l'application tout-en-un des indépendants - Créer un compte
par Elsa Van Rompay

Elsa est rédactrice de contenu chez Indy. Ses articles comptables et juridiques vont vous permettre de naviguer plus facilement dans cet univers complexe.