Paiement en ligne - Double authentification - Votre banque vous envoie, pour valider le paiement, un code à usage unique sur votre téléphone.

cr  18.06.2013      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les mots de passe, même très durs, ne sont pas/plus suffisants.

La « double authentification » est un mécanisme de vérification à double preuve permettant à un individu de prouver qu'il est bien qui il prétend être afin d'accéder à une ressource numérique. Elle est utilisée/utilisable dans de nombreux domaines. Ci-après nous évoquons son usage lors d'achats en ligne.

La « double authentification » est également dite « vérification en deux étapes » ou, en anglais : « Two-factor authentication » ou désignée par son acronyme anglais « 2FA »).

Les réseaux de Cartes bancaires obligent les plateformes de paiement en ligne, par Internet, à utiliser une « double authentification » appelée, selon ces réseaux, « 3D Secure » ou « Verified by Visa » ou « MasterCard SecureCode », etc.

Il y a trois intervenants :

  1. La banque du site Web sur lequel vous faites un achat en ligne (la banque du vendeur)

  2. Une plateforme interbancaire qui s'intercale entre la banque du vendeur et la banque de l'acheteur.
    Les plateformes de paiement en ligne sont agréées par l'ACPR : adossée à la Banque de France, l'Autorité de contrôle prudentiel et de résolution (ACPR) est en charge de l'agrément et de la surveillance des établissements bancaires, d'assurance et de leurs intermédiaires, dans l'intérêt de leurs clientèles et de la préservation de la stabilité du système financier.
    La plateforme de paiement en ligne fait intervenir la banque du vendeur, la banque de l'acheteur et le réseau du moyen de paiement (réseau Carte Bleue, réseau Visa, réseau MasterCard, réseau American Express, réseau Paylib, réseau Cofinoga, réseau Diners Club, réseau PayPal, réseaux des chèques vacances et similaires, paiements par virements bancaires, paiements par mandats, etc.).
    La plateforme de paiement en ligne prend sa commission au passage payée par le vendeur en ligne.

  3. Votre banque (la banque de l'acheteur)

La « double authentification » passe par une méthode, au choix de votre banque, parmi plusieurs méthodes possibles, plus ou moins rapides et fiables :

  1. Saisir votre date de naissance.
    On vous demande de saisir votre date de naissance. Votre banque la connaît et pourra la vérifier. Le cybercriminel ne la connaît probablement pas si vos données ont été pillées lors d'un hack d'un site Internet sur lequel vous avez déjà fait un achat en ligne. Toutefois, si l'usage de votre carte bancaire est consécutif à un vol de vos documents (vol de votre sac à main ou de votre portefeuille), il est très probable que vos papiers d'identité aient été volés en même temps, et donc votre date de naissance est portée probablement à la connaissance du criminel.
    Ces « probabilité » rendent donc cette méthode peu fiable.

  2. Envoi téléphonique d'un code à usage unique.
    On vous demande de choisir entre vos numéros de téléphone connus de votre banque et on vous envoie un code à usage unique, par SMS ou en synthèse vocale, sur votre téléphone fixe ou votre smartphone, au moment de l'achat.
    Saisir le code reçu (généralement 6 chiffres) pour prouver que vous êtes bien l'auteur de la demande de paiement.
    Cette méthode avec code à usage unique est la plus sûre et rapide et fonctionne sur tous les matériels, y compris lorsque vous vous trouvez à l'étranger ou en déplacement.

  3. Répondre à une question personnelle et secrète.
    Répondre à une question personnelle, la réponse étant connue de votre banque qui pourra la comparer à la réponse donnée lors de l'achat. Il y a de très nombreuses incertitudes sur votre capacité à fournir exactement la même réponse que celle que vous aviez donnée à votre banque lors de l'ouverture de votre compte.
    Saisir la réponse que vous aviez fournie.
    Cette méthode est sûre, mais soumise à votre mémoire. Par exemple, parmi les questions que vous posera votre banque, parmi les 3 questions que vous lui avez suggérées (c'est vous-même qui inventez les questions et les réponses attendues à ces questions) :
    Question : Quel était mon surnom lorsque je jouais aux cowboys et aux indiens ?
    Réponse : ??? Ah ! Zut ! Qu'est-ce que j'ai donné à ma banque ? J'utilisais « Plume blanche » et « Cerf agile ».
    Et si vous avez oublié la date de naissance de votre conjoint ou de votre mariage, ça va mal se terminer cette affaire !

  4. Empreinte digitale (biométrie)
    Si le matériel le permet. Reproduire une empreinte digitale trouvée sur une carte bancaire volée est à la portée des petits malfrats. Si les empreintes sont compromises, il est difficile d'en changer. On peut aussi vous couper un doigt.

  5. Reconnaissance faciale (biométrie)
    Si le matériel le permet. Parfois, présenter une photo à la caméra suffit à tromper cette biométrie et, si elle est compromise, il est difficile de changer de tête ou de visage.

  6. e-Mail
    Pratique courante lors de l'obtention d'une licence d'un logiciel ou lors de l'inscription sur une zone de discussion.
    Le site émetteur peut indiquer un lien vous permettant d'arrêter immédiatement une opération qui ne serait pas de votre origine (vous recevez cet e-mail alors que vous n'y êtes pour rien).
    Peu fiable, car :

    • souvent hacké

    • souvent adresse e-mail sur les poubelles Google mail (Gmail), Yahoo! Mail, Microsoft Outlook, La Poste, etc.

    • souvent mots de passe identiques sur le compte à protéger et le compte e-mail

    • souvent mots de passe faibles

    • souvent utilisé pour des opérations de phishing

    • souvent utilisé pour des opérations d'ingénierie sociale (manipulation mentale)

  7. Carte à puce et clé U2F (Universal 2nd Factor)

    • Protection solide

    • Un peu onéreux.

    • Nécessite plutôt un poste fixe.

    • Nécessite un port pour carte à puce ou un port USB ce qui ouvre un point de faiblesse (une faille de sécurité) et est totalement déconseillé en entreprise (tous ces ports doivent être retirés ou confinés dans une pièce fermée à clé et surveillés).

  8. RFID - radio frequency identification (radio-identification)
    Si le matériel le permet (lecteur RFID) et puce RFID selon diverses approches (dans la carte bancaire ou implantée sous la peau, etc.).




La pratique de la « double authentification » connait quelques variantes selon les prestataires, mais le principe de base est le même (et les méthodes tendent à s'unifier). Voici quelques méthodes de « double authentification » pratiquées par les principales banques, en France, en 2013 :

  • AXA Banque : saisir le code unique reçu par SMS.

  • Banque populaire ou BRED : saisir la clé d'authentification obtenue par IP@B.

  • BNP Paribas : saisir le code d'accès reçu par SMS ou votre date de naissance si aucun numéro de téléphone renseigné auprès de votre banque.

  • Boursorama : saisir le code à 6 chiffres transmis par SMS ou message vocal.

  • Caisse d'Épargne : saisir le code d'accès reçu par SMS ou délivré par lecteur de carte à puce CAP. Saisie à défaut de la date de naissance.

  • Carrefour Carte PASS : saisir le SMS reçu après avoir indiqué nom, prénom et date de naissance (numéro à renseigner la première fois).

  • Crédit Agricole : saisir votre SecureCode personnel.

  • Crédit Mutuel ou CIC : saisir la clé demandée de votre Carte de Clés personnelles puis le code de confirmation reçu par mail, ou indiquer que vous ne disposez pas de votre Carte de Clés puis saisir le code de confirmation reçu par SMS.

  • Groupama Banque : saisir le code d'accès reçu par SMS.

  • ING DIRECT : saisir le code unique reçu par SMS.

  • HSBC : saisir le code d'accès reçu par SMS.

  • La Banque Postale : saisir le code à usage unique reçu sur votre téléphone ou répondre à votre question personnelle.

  • Le Crédit Lyonnais : saisir le code d'accès reçu par SMS ou votre mot de passe personnel.

  • Société Générale : saisir le code d'accès reçu par SMS.


Un exemple avec un achat d'un e-Billet sur le site de la SNCF :


Paiement en ligne - Double authentification - 3D Secure - Un conseil
Paiement en ligne - Double authentification
3D Secure - Un conseil




«Double authentification» par l'usage d'unsmartphone(ou autres appareils) sur lequel unsite Webou un service en ligne (gouvernement et ses innombrables démarches administratives réalisables en ligne, banques, administrations, domaines de ventes, hôpitaux, assurances, gestionnaires d'un compte vous appartenant, etc.) vous envoie un code à usage unique pour vérifier que vous êtes bien qui vous prétendez être.

Il y a trois organisations en jeu : le vendeur Une plateforme interbancaire(obligatoirement agréée, en France, par la Banque de France [utilisezOrias : existence légale d'un organisme interbancairepour le vérifier])  La banque de l'acheteur.


Paiement en ligne - Double authentification - Schéma de principe
Paiement en ligne
«Double authentification»
Schéma de principe


Si un paiement est tenté sur leWebavec votre carte bancaire (ou toute autre opération comme un virement, etc.), laméthode de «double authentification»mise en place par votre banque va vous contacter par le moyen convenu, par exemple, vous appeler surun numéro de téléphone que vous lui avez donné(poste fixe ou appareil mobile).

  1. Après avoir saisi votre mode de paiement chez le vendeur (par exemple le réseau de la carte de paiement utilisé, le titulaire, le numéro de carte, sa date d'expiration et votre code de vérification secret), le vendeur passe ces informations à la plateforme interbancaire agréée.

  2. La plateforme interbancaire agréée dirige la demande vers votre banque.

  3. Votre banque procède immédiatement aux vérifications d'usage (la carte n'est pas bloquée, n'est pas signalée volée, le titulaire annoncé est celui prétendu, la date d'expiration est la bonne, le code de vérification est le bon, le solde du compte permet ce paiement).

  4. Votre banque lance alors, auprès de vous, sonprotocole de «double authentification». Par exemple un robot téléphonique (pas une personne physique) va vous appeler sur le numéro de téléphone que vous lui aviez donné lors de la souscription à votre carte bancaire (ou vous donner le choix entre plusieurs numéros de téléphone que vous lui aviez donnés : par exemple le fixe à la maison et le smartphone).

    1. Si un numéro de smartphone est utilisé, c'est unSMSqui va vous être envoyé. Ceci vous permet de faire des achats en ligne lors de déplacements, y compris à l'étranger.

    2. Si un numéro de téléphone fixe est utilisé, c'est un appel en synthèse vocale qui vous est envoyé. Ceci ne vous permet pas de faire des achats en ligne alors que vous êtes en déplacement.

    Dans les deux cas, vous devez reproduire ce code sur un formulaire qui s'affiche.

  5. La plateforme interbancaire est informée par la banque et communique avec le vendeur pour l'autoriser ou lui interdire de poursuivre.

  6. Si confirmation que vous êtes bien qui vous prétendez être, le vendeur vous demande alors de confirmer votre demande.

  7. La plateforme interbancaire reçoit alors l'appel en paiement du vendeur et le paye en débitant votre compte. Elle percevra une rémunération sur le compte du vendeur pour son intermédiation.

  8. C'est terminé.

ATTENTION : après 3 échecs d'authentification, votre transaction est annulée et votre carte est bloquée. Contactez alors votre banque.

ATTENTION :

Jamais rien ni personne ne doit vous demander vos coordonnées bancaires par courriel ou par tout autre moyen, y compris vocal.

Tout contact vers vous prétendant qu'il y a une erreur (ou n'importe quoi de semblable) ou que c'est une opération de vérification que vous êtes bien le détenteur d'un compte et qu'il faut tout ressaisir pour vérifier que c'est bien vous, est une attaque en tentative de collecte de vos données les plus secrètes : c'est du «phishing» (ou «Hameçonnage» ou, plus rarement, «Filoutage») conduisant à une ou des escroqueries dont VOUS SERIEZ LE SEUL RESPONSABLE. La demande de vérification ne peut se faire que par un organisme agréé en tant que plateforme interbancaire(obligatoirement agréée, en France, par la Banque de France [utilisezOrias : existence légale d'un organisme interbancairepour le vérifier]).La procédure sera suivie duprotocole de «double authentification»(point 4 ci-dessus).

Si vous avez un doute sur un lien(avec leWebsur l'Internetil vaut mieux douter de tout):

  1. Faites glisser le pointeur de votre souris au-dessus du lien vers lequel vous seriez dirigé,SANS CLIQUER. Observez le lien qui apparait clairement, généralement en bas à gauche de votre écran.

  2. Après le protocole (HTTPS) et avant le premier caractère slash (« / »), vous devez impérativement voirle nom exactdudomaine(site Web) de votre fournisseur qui enregistre votre commande.

  3. Une demande parcourrielrelève exclusivement d'une tentative d'extorsion (ingénierie sociale) qui sera suivie d'uneusurpation d'identitéet dudétournement (vol) de votre argent dont vous serez le seul responsable.




Les systèmes d'exploitation des smartphones doivent impérativement être mis à jour à leur plus récente version (iOS ou Android).

Les appareils rootés (smartphone, tablettes et autres appareils tournant sous le système d'exploitation mobile Android) sont vulnérables. Le Jailbreak d'iOS est plus difficile, mais, une fois passé, iOS peut être plus vulnérable qu'Android.


  1. Recommandé par la CNIL - qu'est-ce que la CNIL ?

  2. CNIL - Sécurité : utilisez l’authentification multifacteur pour vos comptes en ligne

  3. Wikipedia (fr) : double authentification

  4. Microsoft (fr) : Aventages et méthodes d'authentification à 2 facteurs

  5. Google : Activer la validation en deux étapes sur ordinateurs, appareils Android, iPhone et iPad

  6. Twitter - comment utiliser l'authentification à deux facteurs

  7. BFMTV : Elon Musk accuse les opérateurs téléphoniques de générer de faux SMS pour gagner de l’argent aux dépens de Twitter.

  8. Stormshield ; l’authentification à double facteur, un incontournable de la sécurité

  9. Ministère des Armées : double authentification avec l'application Google

  10. EUR-Lex : Directive (UE) 2015/2366 du Parlement européen et du Conseil

  11. Banque de France : deuxième directive européenne sur les services de paiement (DSP2)

  12. Cybermalveillance.gouv.fr : Recrudescence de l’hameçonnage bancaire (DSP2)

  13. Francenum.gouv.fr : 15 mai 2021 - l’authentification forte DSP2 pour sécuriser votre site e-commerce est désormais obligatoire