Flux RSS - La vie du site - Nouveautés et mises à jour
Alertes failles
de sécurité et
de mises à jour
Contribuer - Questionner
Recherches dans le forum
Faire un lien
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet
 

Assiste.com

Authentification multifactorielle (MFA)

Paiement en ligne - Authentification multifacteurs - Multi-factor authentication - Envoie de codes à usage unique sur votre téléphone ou adresse courriel

02.12.2023 : Pierre Pinard.

Authentification multifactorielle (MFA)

Authentification multifactorielle (MFA)     Authentification multifactorielle (MFA)     Index     Authentification multifactorielle (MFA)     Authentification multifactorielle (MFA)

Dossier (collection) : Encyclopédie

Introduction
Liste

Malwarebytes et Kaspersky ou
Emsisoft (incluant Bitdefender)


Sommaire (montrer / masquer) 

Paragraphe Authentification multifactorielle - Authentification multifactorielle Authentification multifactorielle - 01 Authentification multifactorielle

Voir Double authentification.

Annonce
Authentification multifactorielle - Déroulement d'une double authentification

Authentification multifactorielle - Déroulement d'une double authentification Déroulement d'une double authentification - 02 Déroulement d'une double authentification

« Double authentification » par l'usage d'un téléphone (ou autres méthodes) sur lequel un site ou service en ligne (banque, administration, domaine de ventes, hôpital, assurance, gestionnaire d'un compte vous appartenant, etc.) vous envoie un code à usage unique pour vérifier que vous êtes bien qui vous prétendez être.

Il y a trois organisations en jeu : le vendeur Une plateforme interbancaire (obligatoirement agréée, en France, par la Banque de France - utiliser Orias : existence légale d'un organisme interbancaire pour le vérifier)  La banque de l'acheteur.

Paiement en ligne - Double authentification - Schéma de principe
Paiement en ligne - « Double authentification » - Schéma de principe

Si un paiement est tenté sur le Web avec votre carte bancaire (ou toute autre opération comme un virement, etc.), la méthode de « double authentification » mise en place par votre banque va vous contacter par le moyen convenu, par exemple vous appeler sur un numéro de téléphone que vous lui avez donné (poste fixe ou appareil mobile).

  1. Après avoir saisi votre mode de paiement chez le vendeur (par exemple le réseau de la carte de paiement utilisé, le titulaire, le numéro de carte, sa date d'expiration et votre code de vérification secret), le vendeur passe ces informations à la plateforme interbancaire agréée.

  2. La plateforme interbancaire agréée dirige la demande vers votre banque.

  3. Votre banque procède immédiatement aux vérifications d'usage (la carte n'est pas bloquée, n'est pas signalée volée, le titulaire annoncé est celui prétendu, la date d'expiration est la bonne, le code de vérification est le bon, le solde du compte permet ce paiement).

  4. Votre banque lance alors, auprès de vous, son protocole de « double authentification ». Par exemple un robot téléphonique (pas une personne physique) va vous appeler sur le numéro de téléphone que vous lui aviez donné lors de la souscription à votre carte bancaire (ou vous donner le choix entre plusieurs numéros de téléphone que vous lui aviez donnés : par exemple le fixe à la maison et le smartphone).

    1. Si un numéro de smartphone est utilisé, c'est un SMS qui va vous être envoyé. Ceci vous permet de faire des achats en ligne lors de déplacements, y compris à l'étranger.

    2. Si un numéro de téléphone fixe est utilisé, c'est un appel en synthèse vocale qui vous est envoyé. Ceci ne vous permet pas de faire des achats en ligne alors que vous êtes en déplacement.

    Dans les deux cas, vous devez reproduire ce code sur un formulaire qui s'affiche.

  5. La plateforme interbancaire est informée par la banque et communique avec le vendeur pour l'autoriser ou lui interdire de poursuivre.

  6. Si confirmation que vous êtes bien qui vous prétendez être, le vendeur vous demande alors de confirmer votre demande.

  7. La plateforme interbancaire reçoit alors l'appel en paiement du vendeur et le paye en débitant votre compte. Elle percevra une rémunération sur le compte du vendeur pour son intermédiation.

  8. C'est terminé.

ATTENTION : après 3 échecs d'authentification, votre transaction est annulée et votre carte est bloquée. Contactez alors votre banque.

ATTENTION : jamais rien ni personne ne doit vous demander vos coordonnées bancaires par courriel. La saisie de vos coordonnées bancaires s'effectue uniquement sur la page de paiement de votre commande. Une demande par courriel relève exclusivement d'une tentative d'extorsion (ingénierie sociale) qui sera suivie d'une usurpation d'identité et de vol de votre argent.

Les services de double authentification ont quelques variantes selon les prestataires, mais le principe est le même (et les méthodes tendent à s'unifier). Diverses méthodes d'authentification des principales banques en 2013 :

  • AXA Banque : saisir le code unique reçu par SMS

  • Banque populaire ou BRED : saisir la clé d'authentification obtenue par IP@B

  • BNP Paribas : saisir le code d'accès reçu par SMS ou votre date de naissance si aucun numéro de téléphone renseigné auprès de votre banque

  • Boursorama : saisir le code à 6 chiffres transmis par SMS ou message vocal

  • Caisse d'Épargne : saisir le code d'accès reçu par SMS ou délivré par lecteur de carte à puce CAP. Saisie à défaut de la date de naissance

  • Carrefour Carte PASS : saisir le SMS reçu après avoir indiqué nom, prénom et date de naissance (numéro à renseigner la première fois).

  • Crédit Agricole : saisir votre SecureCode personnel

  • Crédit Mutuel ou CIC : saisir la clé demandée de votre Carte de Clés personnelles puis le code de confirmation reçu par mail, ou indiquer que vous ne disposez pas de votre Carte de Clés puis saisir le code de confirmation reçu par SMS

  • Groupama Banque : saisir le code d'accès reçu par SMS

  • ING DIRECT : saisir le code unique reçu par SMS

  • HSBC : saisir le code d'accès reçu par SMS

  • La Banque Postale : saisir le code à usage unique reçu sur votre téléphone ou répondre à votre question personnelle

  • Le Crédit Lyonnais : saisir le code d'accès reçu par SMS ou votre mot de passe personnel

  • Société Générale : saisir le code d'accès reçu par SMS


Un exemple avec un achat d'un e-Billet sur le site de la SNCF.


Paiement en ligne - Double authentification - 3D Secure - Un conseil
Paiement en ligne - Double authentification - 3D Secure - Un conseil
Annonce
Authentification multifactorielle - Déroulement d'une double authentification
# # # # # # # # # # # # # # # # # # # # # # # # # # # #

Authentification multifactorielle - Ressources spécifiques Authentification multifactorielle - Ressources spécifiques Ressources spécifiques Authentification multifactorielle (MFA)

  1. Recommandé par la CNIL - qu'est-ce que la CNIL ?

  2. CNIL - Sécurité : utilisez l’authentification multifacteur pour vos comptes en ligne

  3. Wikipedia (fr) : double authentification

  4. Microsoft (fr) : Aventages et méthodes d'authentification à 2 facteurs

  5. Google : Activer la validation en deux étapes sur ordinateurs, appareils Android, iPhone et iPad

  6. Twitter - comment utiliser l'authentification à deux facteurs

  7. BFMTV : Elon Musk accuse les opérateurs téléphoniques de générer de faux SMS pour gagner de l’argent aux dépens de Twitter.

  8. Stormshield ; l’authentification à double facteur, un incontournable de la sécurité

  9. Ministère des Armées : double authentification avec l'application Google

  10. EUR-Lex : Directive (UE) 2015/2366 du Parlement européen et du Conseil

  11. Banque de France : deuxième directive européenne sur les services de paiement (DSP2)

  12. Cybermalveillance.gouv.fr : Recrudescence de l’hameçonnage bancaire (DSP2)

  13. Francenum.gouv.fr : 15 mai 2021 - l’authentification forte DSP2 pour sécuriser votre site e-commerce est désormais obligatoire


Authentification multifactorielle - Autour de ce sujet dans Assiste Authentification multifactorielle - Autour de ce sujet dans Assiste Autour de ce sujet dans Assiste Authentification multifactorielle (MFA)

Dossier (collection) : Authentification

Authentification
Authentification en sécurité informatique
Double authentification
Authentification à deux facteurs
Two-factor authentication
Authentification multifactorielle (MFA)
Vérification en deux étapes

Paiement en ligne - Double authentification
Certificat électronique d'authentification (signature numérique)

Carte bancaire - 3D Secure et la double authentification
Carte bancaire : Verified by Visa
Attaque par authentification frauduleuse (certifieurs et autorités)

Acronymes
A2F - Authentification à deux facteurs

Codes HTTP
Code d'état HTTP 401 (Unauthorized)
Code d'état HTTP 407 (Proxy Authentication Required)
Code d'état HTTP 511 (Network authentication required)

Login et mot de passe
Login
Mots de passe
Mots de passe : test de solidité
Sécurité des mots de passe - Double authentification
Attaque par authentification faible
Intégrité des données d'authentification coté serveur

Windows
Authentification naturelle (Windows)
Gestionnaire d'authentification Xbox Live
OpenSSH Authentication Agent
Gestionnaire de comptes web
Modules de génération de clés IKE et AuthIP
Configuration automatique de réseau câblé
Impossible ouvrir document - utilisateur et droits accès


Ailleurs sur le Web Ailleurs sur le Web Ailleurs sur le Web Authentification multifactorielle (MFA)

FAQFAQAuthentification multifactorielle (MFA)


Paiement en ligne, double authentification, Authentification multifactorielle


Authentification multifactorielle - Authentification multifactorielle