La Banque Postale vient d’officialiser le lancement de Talk to pay, un système d’authentification par reconnaissance vocale destiné notamment à sécuriser les achats sur Internet.
Après cinq années de tests, l’établissement bancaire lance aujourd’hui la version commerciale de son système biométrique Talk to pay. Comme annoncé par nos confrères de franceinfo, la formule, ouverte à l’ensemble de ses clients, repose sur un cryptogramme aléatoire généré à chaque opération de paiement.
Ce cryptogramme « n’est communiqué qu’après authentification du client qui reçoit un appel sur son téléphone mobile et prononce une phrase d’authentification » du type « Bonjour, prénom, nom, je m’identifie par ma voix ».
Dis moi qui tu es, je t'autoriserai à payer
La reconnaissance vocale fait ensuite son œuvre pour autoriser la transaction. Si le client est bien identifié comme porteur de la carte, une extension « génère le cryptogramme à usage unique de la carte et remplit automatiquement le formulaire de paiement : le numéro de la carte, sa date de fin de validité et le CVV [Card Validation Value, NDLR] à usage unique sont renseignés ».
Dernière étape : la validation du paiement qui termine ainsi l’achat. Ce système alternatif fonctionne sur navigateur (dès Internet Explorer 9, Chrome 40, Firefox 34, Safari 5.1, Opera 19) et est intégré nativement sur « Mes Paiements », l’application maison sur App Store et Google Play.
10 euros par an, 5 euros pour les 18-25 ans
Utilisé, il désactive automatiquement le cryptogramme visuel rendant impossible un paiement avec le porteur frauduleux de la carte. Le service commercial est proposé sur abonnement à 10 euros par an, réduit à 5 euros pour les 18-25 ans.
La Banque postale est la première à proposer dans son bouquet d’offres une telle solution à ses clients. Cependant, d’autres se sont engouffrés dans la brèche. Le Crédit du Nord et la BPCE ont lancé une vague de demandes d’autorisation pour mener à bien des tests similaires, en partenariat avec la Société Générale.
La CNIL a donné cette fois encore son feu vert non sans rappeler que d’ici l’année prochaine, ces dispositifs biométriques devront être épaulés par une solide étude d’impact.
L'effet du réglement général sur la protection des données personnelles
Une conséquence du règlement général sur la protection des données personnelles. Son article 35-3 du RGPD, combiné avec l’article 9 impose une telle analyse d’impact pour les traitements à grande échelle de catégories particulières de données, parmi lesquelles « le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique ».
Cette analyse d’impact devra notamment définir « une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités » ou encore « une évaluation des risques pour les droits et libertés des personnes concernées ». Particulièrement, les responsables de traitement devront détailler la liste des mesures envisagées pour faire face aux risques.
Commentaires (33)
#1
Cela va être galère pour certain, préfère rester sur l’ancien système d’authentification par code dans leurs applications.
#2
c’est donc pour ça que mon “conseiller la banque postale” que je n’ai jamais vu en 3 ans tenait absolument à me contacter…
encore une enquête de l’inspecteur gadget rondement menée
#3
Voyons voir si leur système est bien fait ou s’il va conduire quelques “Gérard. Bouchard.” à la dépression.
" />
#4
#5
#6
10€ par an pour sécuriser des achats ??
non merci ;) -encore moins par système vocal bien relou quand tu fais des achats au taff-
#7
Pas vraiment intéressant en l’état. Si demain on a un problème de voix ,(cassée aphone etc…) durant quelques jours, où est la solution de remplacement ?
#8
Même erreur que Moneo : tarifé et compliqué. Ceci-dit, il y a bien un public pour payer la solution e-carte bleue.
D’après moi, la sécurité bancaire devrait être assurée de base par une banque, c’est un peu son rôle. Que ce soit un service “premium” est une aberration.
#9
On a dit d’avoir confiance que c’est super top bien secur et le reste
" />
Mais bon étant sympa je laisse aux autres les places libres
#10
Je sens qu’ils vont bien nous faire rigoler dans quelques temps, quand le système se sera fait hacker par un simple enregistrement, un peu comme les reconnaissances faciales qui se dévérouillent avec de simples photos!
#11
J’ai une carte avec le CVV qui change toutes les heures. C’est pas mal, après je ne sais si c’est ultra efficace niveau sécurité. Mais la reconnaissance vocal j’ai des doutes, un enregistrement d’une conversation et un logiciel de montage son, on peu faire beaucoup de chose.
#12
ca me rappelle un bon gag dans la première saison d’Archer x)
Pour le reste, tout a été dit: useless, pas sécuritaire pour deux sous, etc… u__u
#13
Si la poste voulait faire sa révolution elle n’a qu’à encaisser les chèques en 24h et non 1 semaine…
" />
#14
Et les virement en 24h et non en 48heures.
" /> Un virement le vendredi, tu attend mardi, si il y à pas un jour férié.
#15
comment tu fais pour savoir s’il est valide quand tu as besoin de le saisir ?
" />
#16
c’est légal les délais supérieurs à 24 heures dans la zone SEPA ?
#17
Quitte à avoir une meilleure sécurité, je préfère encore le cryptogramme qui change. C’est toujours une meilleure sécurité sur internet (alors qu’avec le contrôle vocal, rien n’interdit d’enregistrer la voix/des échantillons de mots).
#18
Aucune idée.
#19
j’ai regardé, et en gros tu as une heure de la journée (pas forcément mise en avant par la banque, apparemment 11 heures sur la mienne) où tes ordres de virement seront traités avec la “fournée” (j’ai pas de meilleur mot) du jour, ou bien celle du lendemain si c’est après.
Ah, et les week-end ne comptent pas, évidemment
#20
Dans la carte tu as une pile lithium et un ecran e-ink qui affiche le CVV. C’est la Société Générale qui le propose et c’est Oberthur Technologies qui la crée et la fabrique.
Page Oberthur Technologies sur l’OT MOTION CODE
#21
#22
Je fais les virements de salaires personnellement , exemple :
Bnp vers crédit agricole : le jour suivant, moins de 24 heures.
Bnp ver la Banque postale : 2 jours , si virement lundi, l’employé ne l’a que mercredi entre ces mains (mais sur les comptes c’est considérer en valeur le mardi, aucun ne peut le toucher).
#23
D’accord, pour mettre les fonds à disposition ils ont sûrement besoin de passer leurs traitements comptables. Alors que pas mal de banques (notamment les banques toutes numériques) mettent maintenant à disposition l’argent dès que le solde du compte est créditeur au cours de la journée. Chose plus ou moins compliqué suivant l’histoire de la banque, c’est plus simple quand on fait du neuf et que l’on n’a pas beaucoup de produits à proposer aux clients.
" />
D’un autre côté, ils sont en pleine refonte de leur monétique. Cela ne sera peut-être pas corrigé de suite.
#24
C’est toujours la banque des reclus de la société ? A l’époque c’était comme ça… Sans parler de leurs délais monstrueux sur les virements ou autres… C’était pathétique.
" />
#25
#26
Tout dépend du jour et de l’heure d’envoi. Quelqu’un (Z-os je crois) a déjà parlé des traitements de masse à des heures fixes de la journée, ajoutons à cela les heures d’ouvertures des réseaux interbancaires et on arrive à avoir un virement qui peut être pris en compte du lendemain à 4 jours, voire 5 jours dans certains cas.
>https://en.wikipedia.org/wiki/TARGET2#Holidays
Je ne pense pas qu’une banque soit plus rapide qu’une autre excepté si 2 banques partagent la même infrastructure IT comme la BanquePop et la Caisse d’Epargne, là y a pas besoin de passer par une réseau couteux https://en.wikipedia.org/wiki/TARGET2#Pricing) ou très-très-très-très couteux (SWIFT). A force de se regrouper les banques vont devenir comme les 50 marques de lessives qui appartiennent à 2 ou 3 grands groupes.. vive la concurrence.
En Allemagne c’est super : ils ont les banques de détail (particuliers,asso,entreprises,territorial) séparées des banques de finance (marchés, bourses), comme les USA pour l’instant (Trump…) et ils ont pleins pleins de banques dans leur landers.
Pour ceux que ca intéresse, je vous conseille
LE LIVRE NOIR DES BANQUES de ATTAC et Basta!
On apprend pleins de belles choses sur toutes nos “petites bonnes vieilles” banques françaises.
#27
Tu parles du temps où il existait encore la Caisse Nationale d’Épargne (CNE), les Chèques postaux (CCP) et les Services financiers de La Poste.
#28
si déjà les banques pouvaient virer le CVV inscrit sur la carte bleue, car login+mdp au même endroit c’est aberrant
#29
#30
#31
c’est pas gigantesque mais c’est totalement injustifié de mon point de vue.
C’est à la banque de mettre en œuvre les moyens de sécuriser les transactions. Si aujourd’hui j’utilise une méthode moins sécurisée et que je me fais ‘pirater’ c’est la banque qui en sera de sa poche de toutes façons.
#32
+1
Sans compter que la fraude doit coûter cher aux banques et organismes de cartes de crédit, le retour sur investissement risque d’être intéressant pour eux, mais en aucun cas c’est au client de supporter cet investissement.
C’est un peu comme les assurances contre les paiements frauduleux que vendent les banques… alors même que la loi garantit déjà noir sur blanc le remboursement intégral de ces paiements.
#33
j’imagine le mec enroué/enrhumé entrain d’essayer de se faire comprendre…