« Deux protections valent mieux qu’une ! », explique la Commission. Elle propose un petit guide sur le pourquoi du comment. Elle rappelle que, « depuis fin 2019 (directive DSP2), les banques et les prestataires de services de paiement doivent mettre en œuvre une authentification multifacteur pour la plupart des paiements à distance, l’accès au compte ainsi que les opérations sensibles ».
Elle ajoute que, « comme toute mesure de sécurité, l’authentification multifacteur n’est pas infaillible. Ainsi, ce mécanisme reste vulnérable à certaines attaques sophistiquées telles que le hameçonnage en temps réel, l’interception des SMS contenant les codes d’authentification ou les attaques du type "SIM swapping" ».
Néanmoins, face au renforcement de la sécurité, elle recommande « d’activer l’authentification multifacteur chaque fois qu’un service le propose ». Pour rappel, la CNIL et l’ANSSI ont récemment mis à jour leurs recommandations sur les mots de passe.
Commentaires (33)
#1
Mouais, quand c’est possible et que ça marche…
Surtout les banques qui sont un peu à la ramasse je trouve.
Le système de clé digitale (sic) de Hellobank, est naze… Déjà il ne fonctionne que rarement sur les paiement en ligne, souvent on doit utiliser le sms, mais en plus il ne s’active pas pour la consultation des comptes en ligne…(qui utilise un super code à 6 chiffres…)
Franchement, au lieu de faire des appli internes moisies, pourquoi ne pas utiliser de simple appli OTP avec un scan de QR Code pour activer la double auth…
#1.1
Tout dépends des banques. Le Crédit Mutuel par exemple sécurise bien l’accès au compte avec identifiant / mot de passe + validation mobile, et toutes les opérations sensibles (accès aux cartes bancaires, virement vers un nouveau bénéficiaire, etc.) nécessitent EN PLUS une deuxième validation ainsi qu’une clé de sécurité qui est un code changeant qu’on trouve sur une carte de clé fournie à l’activation.
Donc en gros, pour réaliser une opération depuis un nouvel ordinateur, il faut l’identifiant unique, le mot de passe, le téléphone pour la 2FA, et la carte de clés. De quoi voir venir :)
#1.2
Tout pareil, Hello Bank c’est la cata complète. Comment on peut être aussi nul avec les validations !
En revanche je suis aussi chez Boursorama et avec eux j’ai la connexion sans mot de passe sur PC avec mon “TouchID” like.
Et ça c’est turfu les gens !
#2
C’est exactement la refléxion que j’avais partagé sur un autre fil de discussion, les applis 2FA des banques sont moisies et je n’utilise pas celle de la mienne tant que ça continue ainsi, ça m’a motivé à réutiliser Paypal avec qui une appli OTP + un scan QR Code ne pose aucuns soucis.
#3
Il ne faut PAS utiliser la double authentification pour n’importe quoi !!
Fournir son numéro de téléphone à ca banque est une chose (obligatoire), mais ensuite le donner a n’importe quel site est idiot, cela créé une autre faille de sécurité …
Je pense qu’Il faut surtout utiliser des mot de passe fort et des gestionnaires de mot de passe plutôt que de centraliser TOUTE l’authentification sur un smartphone qui peut être volé/détourné.
#3.1
L’authentification forte ce n’est pas que le téléphone mobile, il y a aussi les clés de sécurité, les cartes à puce (FIDO, WebAuth, …)
#3.2
Quel rapport entre la double authentification et le numéro de téléphone ? La double authentification ne se limite pas à l’envoi de SMS. Tu as également le système de OTP par exemple.
#4
pas besoin de validation du mobile
Pour accéder aux cartes bancaires (au moins pour payer avec virtualis) tu as juste besoin de pouvoir recevoir un sms sur le téléphone désigné.
Pour virer vers un nouveau bénéficiaire idem. En revanche tu dois faire valider ton téléphone pour monter le plafond de virement.
Jamais eu besoin de carte de clés.
#4.1
À quel Crédit Mutuel ? Au CMNE, c’est exactement la situation décrite en #3.
#4.2
Bizarre moi j’en ai toujours besoin, il y avait même certaines opérations qui m’étaient interdites tant que je n’avais pas de carte de clé.
Et l’option SMS de confirmation n’est plus disponible dans mon espace client depuis longtemps, il faut obligatoirement passer par l’appli 🤔
#5
#6
A contrario, Boursorama supporte les clefs de sécurité FIDO2 et WebAuthn, vous pouvez donc avoir une connexion passwordless sur leur site si vous avez Windows Hello et un TPM, par exemple.
Sur mobile, ça supporte également l’authentification biométrique, et tous les achats (même en dessous de l’euro) sont à a valider par une notification Push sur l’appli.
#7
Un mot de passe unique pour tout les sites, en quoi ca serait plus fiable qu’un mot de passe unique pour CHAQUE site ?
Mais on revient au même problème, un seul point pour s’identifier sur tout les sites.
#7.1
L’OTP, comme expliqué sur la page Wikipedia vers laquelle j’ai mis un lien dans mon précédent message, ce n’est pas un mot de passe unique pour tous les sites mais un mot de passe différent pour chaque session en plus de ton mot de passe normal.
#7.2
L’OTP n’est pas un mot de passe unique pour tous les sites, mais un code provisoire (expire toutes les 30 secondes) par site enregistré, en plus de ton mot de passe qui t’es demandé lors de la connexion.
#8
Je râle un peu aussi contre les banques à ce niveau là. Surtout qu’elles imposent des restrictions sur le multifacteur.
Par exemple, pour mes 2 banques (pro et perso), l’application gérant le double facteur n’est activable que sur UN seul périphérique à la fois. Quand j’ai cassé mon téléphone en début d’année, j’étais très embêté pour le remplacer, car je ne pouvais pas valider la transaction. Allez commander un téléphone en urgence un 1er mai
Pour éviter que cela ne se produise, je me suis dit que j’allais aussi activer le système sur ma tablette. Que nenni. Un seul appareil activable, point barre.
#9
La méthode OTP, premièrement ce n’est pas un mot de passe, mais un code de sécurité et celui-ci n’est pas unique pour chaque site, tu n’a jamais utilisé cette méthode visiblement. Je recommande Aegis sur Android et Raivo OTP sur iOS, quand tu scannes ton QR Code avec l’appli, on te donne un code de sécurité qui expire automatiquement toutes les 30 secondes en moyenne (tu peux généralement ajuster) juste le temps de copier-coller ou de taper ton code pour valider ton identification.
Lesquels exactement ? A moins qu’ils aient des idées derrière la tête, j’ai une dizaine de comptes en ligne où je l’utilise le 2FA par OTP et aucune n’a exigé mon numéro de téléphone, dans le cas contraire, c’est la méthode d’envoi par SMS/Mail, autrement, il existe aussi la notification sur ton téléphone, c’est ce que j’utilise avec mon compte Google via mon Pixel, je ne crois pas que cette méthode soit valide avec les autres marques, cette méthode nécessite néanmoins le numéro de téléphone, mais ce n’est pas un envoi par SMS.
#10
#11
CMB et CMNE ne font visiblement pas partie du même réseau bancaire (alors que CMNE et CIC, filiale, fonctionnent de la même manière).
#11.1
Pour être précis, il y a le CMB, fédération au sein du groupe inter-fédéral Arkea (à tendance sécessionniste du Crédit Mutuel) en froid avec le CMAF (CM Alliance fédérale) qui regroupe 13 autres fédérations (dont l’historique de l’Est), chacune a son service info. Le CIC est une filiale du CMAF. Le CMNE était seul mais rejoint le CMAF en janvier.
#12
*Alerte ‘abus de language’ !
« double authentification » n’a pas de sens. On utilise 2 facteurs différents pour s’authentifier 1 seule fois.
D’où : Authentification double Facteur (A2F).*
Tout semble renforcer la sécurité et c’est mieux. Malheureusement, de rares sites web (CAF, bloctel) interdisent à l’inscription de coller son mot de passe. Ce qui est vachement pratique quand on vient d’en générer un assez long (avec KeePassXC par exemple). Si on ne sait pas passer outre ce blocage, la seule solution est de créer un mdp court et simple − donc fragile − pour pouvoir le taper au clavier.
#13
Ma banque a eu récemment la super idée de demander, sur les fenêtres de confirmation 3D secure, en plus du code à usage unique envoyé par SMS, le mot de passe de l’accès à l’espace client. Me voilà donc à devoir saisir ce mot de passe sur une page qui se trouve entre deux pages de paiement d’un site quelconque, sans autre moyen de m’assurer de son authenticité que d’aller vérifier dans la barre d’adresse, adresse qui par ailleurs est bien moche et complexe. Ceci alors que le site de la banque indique toujours de ne jamais le saisir ailleurs que là, et d’y accéder en tapant l’adresse et non en suivant un lien.
Et encore, le dernier achat que j’ai fait, la fenêtre 3D secure était noyée dans un élément de la page de paiement, donc pour voir l’adresse, j’ai du utiliser les outils de debug du navigateur. Bravo les gars !
Je leur ai signalé, ils m’ont dit qu’il n’y avait pas de souci puisque la page 3D secure vient d’eux. Quand je leur ai demandé comment être sûr que cette page n’est pas contrefaite, ils m’ont dit que si j’avais peur pour ma sécurité, il fallait que j’utilise l’application au lieu du SMS, et que le mot de passe n’est alors pas demandé.
Bien sûr, comme je leur ai dit, il est évident que tout le monde utilisant le code SMS se sera rendu compte tout seul du risque apporté par ce changement sans aucune notification, aura pensé comme moi à prendre ses précautions devant cette nouvelle exigence, et saura repérer les fausses fenêtres sans faute.
J’hésite à les dénoncer, mais auprès de qui ?
#13.1
Je crois qu’on a la même banque stupide… je dois maintenant aussi rentrer mon code de mon espace personnel lors d’un paiement, ce qui est un non-sens niveau sécurité…
#14
Perso, ma banque n’impose toujours pas l’authentification double facteur. Je reçois simplement un code 3d secure par SMS, comme depuis une dizaine d’années.
#15
Non, pas tous. J’ai encore été surpris hier d’un achat avec ma carte Bourso sans validation par l’appli. C’est rare, mais ça arrive.
#15.1
idem avec la BP et Bourso. Depuis quelques mois, je devais valider la transaction sur l’appli mobile et la semaine dernière, j’ai fait 2 achats sur le bon coin par CB et je n’ai même pas reçu un SMS de confirmation.
C’est pourtant bien la banque qui oblige la double authentif, non ?
#15.3
Je me suis dit que ça pouvait dépendre du fournisseur de la solution de paiement du site sur lequel on fait l’achat, mais ça me parait totalement illogique.
Je ne comprends pas. Et comme tout ce que je ne comprends pas, ça m’inquiète.
Je suis un eu en mode parano à ce sujet. Je n’ai plus de carte dans ma banque principale (au départ ce n’était pas volontaire mais j’y ai trouvé un intérêt), seulement chez Bourso chez qui j’ai supprimé l’autorisation de découvert, je fais des virements au fur et à mesure de mes besoins…
Globalement, c’est un peu n’importe quoi la sécurité des clients particuliers dans les banques. 6 chiffres pour sécuriser l’accès au compte, des fois je me dis que mon argent serait plus en sécurité dans un bocal au fond de mon frigo.
#15.2
Pareil à la Caisse d’Epargne, c’est au ptit bonheur la chance la double authent pour les paiements en ligne où parfois ça la demande, et d’autres fois ça passe tout seul.
D’ailleurs j’ai aussi le servie e-carte bleue (pour éviter de mettre mon vrai numéro), et une fois sur deux je dois utiliser le MFA pour valider la connexion au service.
C’est un peu à géométrie variable cette histoire.
#16
Si tu n’as que 5 tentatives avant de tout bloquer, 6 chiffres c’est amplement suffisant. Et les CB qui n’en ont que 4 n’ont jamais été brute-forcées à ma connaissance.
Il n’y a pas que la longueur du mot de passe comme solution pour empêcher le brute-force, on peut aussi (et il vaut mieux) jouer sur le délai entre chaque tentative (un délai exponentiel est efficace pour bloquer le brute-force sans gêner les maladroits du clavier) et/ou bloquer après un nombre de tentatives donné.
#16.1
“Si”, comme tu dis. Pas la moindre idée du nombre de tentatives, mais pour le délai, au moins entre la 1ère et la 2eme c’est imperceptible, au moins chez ma banque.
Mais pourquoi ne pas pouvoir mettre un vrai mot de passe (je parle même pas encore de 2FA)? Selon les banques c’est parce que le clavier virtuel a 10 chiffres est un obstacle aux robots. Ca me fait doucement rigoler, ayant bossé pour une filiale de la SG et ayant mis en place des sceranii de tests sous Selenium avec authentification via ce clavier virtuel.
Nan vraiment, il y a plus d’obstacles pour venir me piquer un topinambour dans mon frigo.
#17
Sur la mienne c’est indiqué après la première erreur il me semble, en tout cas je sais que c’est 5 max, sans délai entre chaque. Et comme c’est une pratique ancrée depuis longtemps dans ce milieu, et que comme tu l’as dit, il serait très dangereux que ce ne soit pas le cas, je suppose fortement que c’est le cas chez toutes les banques.
Ca je ne sais pas, j’ai toujours mis ça sur le compte de l’habitude du milieu. Et moi je n’ai pas de clavier virtuel, juste un champ de mot de passe tout simple, je peux même y taper des lettres mais forcément ça passera jamais.
Le principal obstacle pour venir te piquer ton topinambour, c’est d’avoir envie d’en manger un.
#18
Honnêtement, je n’en sais rien pour les miennes et un peu la flemme de vérifier.
Mon compte principal est au Crédit Agricole, celui qui me sert à mes paiements au quotidien chez Boursorama. Les 2 utilisent un clavier virtuel à 10 chiffres dont la disposition varie (comme si un robot était incapable de reconnaître une image d’un chiffre… comment j’ai fait avec Selenium?).
Sérieusement, c’est une plaie, ça empêche de mettre un vrai mot de passe stockable dans un gestionnaire.
Haha ! Je m’y attendais (sinon j’aurais mis un autre aliment) mais comme les choux de Bruxelles, tous ceux qui ont goûté à mes recettes… c’est comme le #4 chez topito: tu vas être surpris
#19
Je doute de pouvoir bénéficier de ta recette si je viens te le piquer, donc ça a de grandes chances d’être mauvais.