Authentification forte : à quoi ça sert ?

Nos comptes en ligne (Google, Apple, Amazon…) sont de vraies mines d’or. Ils regorgent non seulement d’informations sur notre identité, mais la plupart abritent aussi nos numéros de carte bancaire. N’importe qui ayant accès à nos comptes peut effectuer des achats en notre nom. Face à la multiplication des arnaques sur Internet (comme le « phishing »), les services et applications en ligne ont dû trouver des moyens de s’assurer que c’est bien nous (et seulement nous) qui tentons de nous connecter à notre compte.

Qu’est-ce-que l’authentification forte ?

C’est une méthode déjà en service sur plusieurs sites Internet et applications mobiles, et qui va être amenée à se développer dans les prochaines années. Elle considère qu’on est authentifié (c’est-à-dire qu’on est bien le titulaire du compte lorsqu’on veut s’y connecter) à partir du moment où on est capable de présenter deux des trois critères suivants :

  • Quelque chose qu’on connaît : comme notre mot de passe ou une réponse à une question secrète ;
  • Quelque chose qu’on détient : comme un code envoyé sur notre téléphone, une clé USB, une carte qui contient des codes secrets ou une carte magnétique ;
  • Quelque chose qu’on est : comme notre empreinte digitale ou une reconnaissance faciale.

Ainsi, quand on achète un livre sur un site Internet et que notre banque nous envoie un code par SMS à saisir pour valider la transaction, on est « fortement » authentifié. On connaît nos numéros de carte bancaire, et on détient la ligne téléphonique sur laquelle on reçoit le texto.

En revanche, quand on achète le même livre, mais que cette fois-ci notre banque nous demande d’entrer notre date de naissance, on n’est pas du tout « fortement » authentifié. Nos numéros de carte et notre date de naissance sont deux choses qu’on connaît. Un pirate peut se procurer ces deux informations.

Les systèmes de paiement sont particulièrement encadrés

Tout simplement parce que les risques liés à un éventuel piratage y sont plus importants qu’ailleurs. Un pirate qui se connecte à notre compte bancaire peut nous faire beaucoup plus de mal que s’il accède simplement à notre compte EDF. Dans le premier cas, il peut transférer tout notre argent vers son propre compte. Dans le second, au pire, il peut souscrire à un abonnement d’électricité un peu plus cher…

Ainsi, d’ici septembre 2019, une authentification forte sera obligatoirement nécessaire à chaque fois qu’on effectuera un paiement supérieur à 30 euros. C’est la Directive européenne sur les Services de Paiement 2e version (appelée « DSP2 ») qui l’impose.

Comment Lydia protège les comptes de ses utilisateurs

Cela fait plusieurs années que Lydia place des mécanismes d’authentification forte à plusieurs endroits de l’application. On peut les rencontrer si l’on doit :

  • Se connecter à son compte Lydia depuis un nouvel appareil, ou se reconnecter après s’être déconnecté de son compte.
    En plus de saisir un mot de passe, Lydia envoie un code à usage unique par SMS. Seule la personne qui a accès au téléphone peut le recevoir et le saisir dans l’application, depuis ce même téléphone. Comme on renseigne notre mot de passe (qu’on connaît) et le code tapé depuis notre téléphone (qu’on détient), Lydia considère qu’on est « fortement » authentifié.
  • En cas de mot de passe oublié
    Il faut d’abord renseigner son adresse e-mail ou son numéro de téléphone. Ensuite, on doit se filmer en train de lire un message à haute voix, en indiquant son nom, son prénom et la date du jour. Lydia croise ces éléments avec un document officiel : notre carte d’identité, pour s’assurer que c’est bien nous qui cherchons à accéder à notre compte.

Un bon réflexe à prendre

De nombreuses méthodes d’authentification permettent de renforcer la sécurité de nos comptes. Parmi celles-ci, la plus courante est connue sous les noms de « double authentification », « authentification à deux facteurs », ou encore « 2FA ». Cette méthode consiste à saisir, à chaque connexion à votre compte, un code envoyé par SMS ou généré par une application installée sur notre smartphone (en plus du mot de passe). Ce code ne sera valable que quelques secondes. On peut activer l’authentification à deux facteurs sur des services sensibles comme :

  • Notre boîte mail ;
  • Certains commerçants en ligne ;
  • Nos réseaux sociaux ;
  • Nos logiciels nécessitant un accès à Internet (clients de jeux vidéos, design, comptabilité…).

Des services comme Google Authenticator ou Authy génèrent, depuis son smartphone, un code temporaire à saisir, en plus de son mot de passe, afin de se connecter à son compte.

Et mon mot de passe, dans tout ça ?

Notre mot de passe est l’un des deux facteurs d’authentification. Il est donc primordial de renforcer sa sécurité. Pour éviter de choisir des mots de passe qui peuvent facilement être piratés, comme le fameux « 123456789 », le prénom de son enfant ou sa propre date de naissance, on peut utiliser une application comme Dashlane.

Dashlane est un gestionnaire de mots de passe qui mémorise et saisit automatiquement, nos mots de passe. Plus besoin de les noter ou de les mémoriser : on peut ainsi définir des mots de passe hyper complexes, sécurisés, et impossibles à deviner (comme « 8ex*7_E5ph4B@u6g »).

Avec toutes ces mesures de sécurité, il sera quasiment impossible pour un pirate, aussi expérimenté soit-il, d’accéder à votre compte. Vous serez enfin protégé.


Cet article vous a été utile ? Découvrez à présent comment protéger vos numéros de carte bancaire sur Internet.