PROJET AUTOBLOG

Shaarli - le hollandais volant

Site original : Shaarli - le hollandais volant

⇐ retour index

Certicode Plus chez la Banque Postale : « plus » d’intrusion - Le Hollandais Volant

dimanche 16 juin 2019 à 23:07

Cet article est assez populaire sur mon blog. Je tiens donc apporter quelques précisions.

(J’ai mis ces infos dans l’article aussi, en « édit », je recopies ici ce que j’ai mis)

Premièrement, LBP modifie son système d’authentification car c’est une directive européenne (la DSP2) qui veut ça. C’est cette directive qui demande aux banques d’être plus sécurisées en ce qui concerne les paiements en ligne.

Il est probable que les autres banques fassent pareil d’ici septembre 2019.

En revanche, contrairement à ce qu’on lit et contrairement à ce que disent la plupart des banques : la directive ne demande pas aux banques d’obliger à ses clients d’installer une application mobile pour gérer son argent.

La directive prévoit en effet que les paiements de plus de 50 euros soient sécurisés par deux facteurs (juste les paiements >50 €, pas l’accès aux comptes), là où précédemment il y en avait qu’un seul : avant un mot de passe suffisait. Désormais, il faut au moins deux des choses suivantes :
** un mot de passe (« ce que l’utilisateur sait »)
** une donnée biométrique (« ce que l’utilisateur est »)
** un code produit par un appareil de l’utilisateur (« ce que l’utilisateur possède »)

Sur ce dernier point, le smartphone peut faire l’affaire. Mais la banque peut aussi proposer un petit boîtier (comme un lecteur de cartes) dans lequel on insère sa carte et qui donne alors un code à usage unique à entrer lors du paiement.

Cette solution (du boîtier) me semble la meilleure : c’est la banque qui fournirait le boîtier (certaines le font déjà) et pas à l’utilisateur de fournir le smartphone, et c’est aussi sans risque de vol de vie privée par votre banque. Si vous en avez la possibilité, demandez cette solution à votre banque.

Si toutes les banques vous poussent à installer des applications mobiles, c’est pour trois raisons :
** c’est la méthode la moins chère pour eux
** c’est la méthode la plus avantageuse pour eux (un bon prétexte pour installer un mouchard sur votre téléphone)
** c’est la méthode la moins avantageuse pour vous, le client (ça demande un smartphone récent et l’appli vous pompe la batterie et votre vie privée)


— (permalink)