En quoi consiste l’authentification forte ? Définition et fonctionnement

L’authentification forte est un processus de vérification d’identité qui utilise au moins deux éléments indépendants afin de vérifier l’identité d’un utilisateur. Il permet un renforcement, de la sécurité par rapport à l’authentification simple, qui repose uniquement sur un mot de passe.

On parle aussi d’authentification multifacteurs, d’authentification renforcée ou encore de double authentification. En anglais il est question de Multi-Factor Authentification, MFA.

Bon à savoir : l’authentification forte peut être mise en place par tous les établissements ou services de paiement et non seulement par les banques traditionnelles. Cela vaut donc pour les banques en ligne, les néobanques pro, les services comme Apple Pay ou Google Pay, PayPal, les réseaux de carte (Visa, Mastercard…), les e-commerçants, start-up… etc. C’est également possible quelle que soit la nature de votre compte bancaire : compte personnel ou compte pro.

Fonctionnement

L’authentification forte est aussi souvent appelée authentification à deux facteurs. Cela est dû à son fonctionnement. En effet, elle se base sur la combinaison d’au moins deux des trois types de facteurs suivants afin de vérifier l’identité de l’émetteur de l’opération :

• Un élément que l’utilisateur est le seul à savoir (mot de passe, code PIN, question secrète… etc.) ;
• Un élément intrinsèque à l’utilisateur (son empreinte digitale, sa reconnaissance faciale, sa reconnaissance vocale… etc.) ;
• Un élément que l’utilisateur est le seul à posséder (son smartphone, sa ligne téléphonique, sa montre connectée, un appareil générant des codes temporaires..etc.).

Ces éléments sont aussi appelés respectivement éléments de connaissance, d’inhérence et de possession. En nécessitant la validation de deux éléments distincts, le risque d’usurpation d’identité est fortement réduit.

Dans quels cas est utilisée l’authentification à deux facteurs ?

L’authentification forte est souvent requise dans 3 catégories de situation :

• Afin de valider un paiement en ligne (obligatoire lorsqu’il est supérieur à 30 euros) ;
• Pour vous connecter sur votre espace client de votre compte bancaire (requise au moins tous les 90 jours) ;
• Lorsque vous avez besoin d’effectuer une opération dite sensible (ajout d’un bénéficiaire pour effectuer un virement, modification de votre numéro de téléphone… etc).

Chaque opération concernée par l’authentification à deux facteurs nécessite donc une autorisation de prélèvement. Le but : réduire la fraude, encore extrêmement élevée aujourd’hui lors des achats par carte bancaire en ligne. L’observatoire de la sécurité des moyens de paiement, sous l’égide de la Banque de France, recense, en effet, dans son rapport annuel 2023, 4,1 millions d’opérations frauduleuses au premier semestre 2023.

Bon à savoir : la fraude de paiement par mobile a été divisée par 3 en 2023 par rapport à 2022. Cela est principalement du, selon l’Observatoire, à l’authentification forte.

Les obligations liées à l’authentification forte en France

En France, la directive européenne sur les services de paiement, la DSP2, est entrée en vigueur en septembre 2019 après avoir été votée par le Parlement européen. La directive interdit les pratiques de surfacturation, renforce les droits des consommateurs et prévoit l’obligation de l’authentification forte.

La DSP2 instaure l’obligation de recourir à l’authentification forte pour tous les paiements en ligne de plus de 30 euros (en vigueur depuis septembre 2019).

Cette nouvelle obligation vaut pour l’ensemble des organismes au sein de l’écosystème bancaire : banque, réseaux de carte, e-commerçants, prestataires de paiement…etc. Son déploiement est ambitieux afin de sécuriser les transactions en ligne, encore beaucoup sujet à la fraude. IBAN français, allemand ou espagnol, professionnel ou particulier, toutes les pratiques visent à être harmonisées.

En France, il est aujourd’hui possible d’être exemptés dans certains cas de recourir à l’authentification renforcée pour les paiements en ligne. Cela vaut :

• Pour les opérations de plus de 30 € considérées comme étant à faible risque ;
• Les paiements auprès d’un e-commercant qui a un très faible taux de fraude, ou qui a été désigné comme un bénéficiaire de confiance par l’utilisateur ;
• Pour les dépenses régulières ou abonnements, la double authentification ne pourra être requise que lors de la première transaction.

Les différentes solutions d’authentification forte

Il existe plusieurs solutions qui peuvent être mises en place pour mettre en vigueur l’authentification forte. Le plus fréquent est sa mise en place via l’application bancaire. Toutefois cela peut également se faire via la réception d’un mot de passe ou l’utilisation d’un appareil physique mis à disposition. 

L’authentification forte par l’application bancaire

Le plus souvent, les particuliers comme les professionnels, utilisent leur application bancaire pour vérifier leur identité. Avec cette solution, voici en quoi le déroulement du processus de l’authentification forte consiste :

1. Vous devez avoir téléchargé l’application mobile de votre banque ;
2. Vous recevez une notification sur votre téléphone de la part de votre banque indiquant qu’une opération est à vérifier ;
3. Vous devez vous connecter sur votre Espace Client afin de valider l’opération ;
4. Un code personnel vous est souvent demandé par votre banque afin de vérifier l’opération. La vérification peut aussi s’effectuer par empreinte digitale ou Face ID ;
5. Une fois votre validation effectuée, vous pouvez retourner sur l’onglet de votre transaction ;
6. Le passage à la prochaine étape de votre paiement est généralement automatique.

L’authentification forte par l’application bancaire permet donc de réaliser l’entièreté de l’opération sur votre smartphone, via votre ordinateur… etc. Tout se fait directement en ligne, sur internet. Aucun surcoût ne peut vous être facturé.

Les dispositifs de l’authentification forte auprès des banques ont aujourd’hui un nom particulier, désignant tous le même procédé :

L’authentification forte par SMS

Il est également possible de passer par SMS afin de valider votre opération bancaire. Dans ce cas vous recevrez sur votre numéro (personnel ou professionnel, en fonction de celui que vous avez inscrit) un code à usage unique. Vous devez alors transmettre ce code à la plateforme d’achat pour finaliser votre paiement.

Vous n’avez jamais besoin de répondre au SMS reçu. Recevoir un code d’authentification forte par SMS est gratuit, simple, et rapide.

L’authentification forte par l’utilisation d’un appareil physique

La troisième solution possible est de passer par un appareil externe, fournit par la banque. Ce dernier permet de générer un code unique. Cet appareil peut être un boîtier externe, une clé USB… etc. Votre banque se doit de vous expliquer le fonctionnement de l’appareil fournit.

Idée reçue : un téléphone avec un accès à internet est obligatoire pour bénéficier de l’authentification forte.
❌ Faux ! L’application mobile de la banque est souvent utilisée mais pas obligatoire. En effet, des solutions alternatives doivent obligatoirement être proposées par les banques comme l’envoi d’un SMS couplé d’un mot de passe connu uniquement de l’utilisateur par exemple. Cette obligation est prévue par le comité national des moyens de paiement. Consulter ici l’ensemble des publications.

Vous avez davantage de questions sur en quoi consiste l’authentification forte ? N’hésitez pas à utiliser l’espace commentaire, nous vous répondrons avec plaisir ! 🤝