Suite à l’entrée en vigueur de la norme de sécurité DSP2 le 14 septembre 2019, tous les établissements bancaires européens ont dû prendre des mesures afin de garantir une sécurité accrue aux consommateurs lors de leurs paiements et accès aux comptes bancaires en ligne. Cela passe par des notifications sur mobile et un accès sécurisé par un code confidentiel. Un an après le passage à l’authentification forte, quel bilan, quels défis restent à relever ?
Il y a un an, les banques européennes mettaient en place un système d’authentification forte afin de renforcer la sécurité des opérations financières de leurs clients.
Par conséquent, depuis cette obligation légale, les clients ont été invités à renforcer la sécurité de l’accès à leurs comptes bancaires en ligne ou le paiement de leurs achats sur internet via un moyen complémentaire d’authentification.
Le deuxième volet de cette opération de sécurité renforcée a pu être mené avec fluidité au Crédit Mutuel Nord Europe grâce à la confiance de nos clients et à l’expertise de nos équipes informatiques et sur le terrain. Le premier volet portait sur la mise en place d’une API (interface de programmation) facilitant l’accès aux données clients par les prestataires de services de paiement tiers (PSP : initiateurs de services de paiements en anglais, comme PayPal, par exemple) aux connexion à votre espace bancaire en ligne ou encore pour valider un virement.
En effet, dès que vous faites un paiement en ligne ou une opération dite « sensible » de type virement, une notification est envoyée sur votre téléphone mobile, vous invitant à confirmer que vous êtes bien à l’origine de l’opération, en ouvrant l’application Crédit Mutuel et en y saisissant un code confidentiel.
Exemple d’une notification de la "Confirmation Mobile", service de l'application mobile Crédit Mutuel :
Il suffit de toucher cette notification et de balayer l’écran pour ouvrir Confirmation Mobile (code confidentiel à renseigner pour valider la connexion ou l’opération en cours).
Exemple d’envoi d’un code à usage unique par SMS :
A ces notifications « transactionnelles » viennent s’ajouter les notifications de connexion : Tous les 90 jours ou lorsque vous vous connectez à vos comptes en ligne depuis un nouvel appareil, une authentification forte est demandée, mettant en œuvre les mêmes dispositifs. L'objectif étant de renforcer la sécurité d'accès vos données bancaires.
Mise en conformité des agrégateurs de comptes : avez-vous reçu leur notification ?
Suite au deuxième volet de la DSP2 en septembre 2019, les banques se sont mises en conformité et ont augmenté leur sécurité à la connexion. Le Crédit Mutuel a déployé la solution Confirmation Mobile pour renforcer la sécurité de ses clients. Or, côté agrégateurs ce n’est pas encore nécessairement le cas, c’est la raison pour laquelle, vous avez peut-être reçu ces derniers jours, des notifications dont vous n’êtes pas à l'origine pour la validation d'une connexion à votre contrat de banque à distance.
En effet, une mise en conformité réalisée par les agrégateurs de comptes, génère depuis quelques jours des notifications via Confirmation Mobile ou des SMS à destination de nos clients communs.
Pour rappel, les agrégateurs de comptes existent depuis quelques années et utilisent un système automatisé (robot) pour aspirer vos données bancaires. Pour cela, vous devez leur transmettre vos identifiant et mot de passe mais ceci n’est pas sans risques pour la sécurité de vos données personnelles.
Si vous utilisez un agrégateur pour la gestion de vos comptes et que vous avez reçu une notification, assurez-vous auprès de votre agrégateur qu’il en est bien à l’origine avant de la valider. En effet, aucun renseignement ne précise l’origine de ce type de notification, contrairement à une validation de paiement où le montant est indiqué.
Une vérification s’impose donc en amont de la validation !
Vous n’utilisez plus l’agrégateur auquel vous avez souscrit ou vous avez désinstallé l’application mais vous avez tout de même reçu ce type de notification ? Vous ne vous êtes peut-être pas désinscrit du service ; les identifiants de connexion sont donc restés actifs auprès des agrégateurs. Il est temps de résilier votre contrat avec l’agrégateur.
Attention :
Contrairement à une notification de validation d’un paiement où le montant est indiqué, les notifications émanant de la mise en conformité des agrégateurs ne précisent pas l’objet de l’opération et c’est à cette étape que votre vigilance est de mise : il pourrait très bien s’agir d’une fraude.
Assurez-vous toujours de la provenance et de l’objet de la notification avant de la valider.
INFO SÉCURITÉ : nous vous déconseillons de transmettre votre identifiant et votre mot de passe à des tiers. Un mot de passe et un identifiant équivalent à votre code de carte bancaire. Si vous les communiquez à des tiers, vos données personnelles, vos transactions, et vos comptes ne sont plus en sécurité. Par tiers, il faut entendre : personnes physiques, personnes morales (société, association, ...)