Aperçu des dif­fé­rents types de mots de passe à usage unique

Entrez d’abord le nom d’uti­li­sa­teur, puis votre code secret et encore un mot de passe à usage unique ? Pour de nombreux uti­li­sa­teurs de services bancaires en ligne, les mesures de sécurité strictes sont un mal né­ces­saire dont ils vou­draient bien se passer. Depuis son in­tro­duc­tion en 1976, le numéro de tran­sac­tion, en par­ti­cu­lier, a contribué ef­fi­ca­ce­ment à la pro­tec­tion de ses finances, à condition, bien entendu, que le titulaire du compte applique cor­rec­te­ment la procédure de mots de passe à usage unique adaptée, et ne tombe pas dans les es­cro­que­ries des cy­ber­cri­mi­nels. Dans ce guide, vous dé­cou­vri­rez les pro­cé­dures dis­po­nibles, leur degré de sécurité et ce que vous pouvez faire vous-même pour protéger votre argent durement gagné contre les cy­ber­cri­mi­nels.

Un mot de passe à usage unique est en général composé de six chiffres. On parle également de one time password, ou OTP. Il est prin­ci­pa­le­ment utilisé pour les virements et les mo­di­fi­ca­tions des pa­ra­mètres de la banque en ligne. Dans le cadre d’une tran­sac­tion fi­nan­cière, on parle souvent aussi de TAN, de l’anglais tran­sac­tion au­then­ti­fi­ca­tion number. Les OTP sont parmi les outils les plus fré­quem­ment utilisés pour l’au­then­ti­fi­ca­tion à deux facteurs et, en plus des noms d’uti­li­sa­teur et des codes PIN, ils forment une autre barrière d’accès : ils sont conçus pour empêcher les criminels de prendre le contrôle non autorisé des comptes bancaires de tiers. Même s’ils ont déjà saisi votre PIN par ha­me­çon­nage ou chevaux de Troie, ceux-ci ne peuvent pas effectuer de transfert sans un one time password. Ceci est garanti par le fait que chaque mot de passe à usage unique est di­rec­te­ment lié à des données sensibles telles que l’IBAN et le montant du transfert. En outre, un OTP n’est valable que pour une seule tran­sac­tion et pour une durée limitée (gé­né­ra­le­ment quelques minutes).xécuté.

Une procédure d’OTP désigne la méthode par laquelle un mot de passe à usage unique ac­tuel­le­ment valide est transmis à l’uti­li­sa­teur légitime et utilisé à des fins d’au­then­ti­fi­ca­tion. Il existe plusieurs méthodes dif­fé­rentes, mais le principe de base est très similaire pour toutes :

1. D’abord, vous vous connectez au portail Internet de votre banque via une ap­pli­ca­tion bancaire en ligne ou un logiciel bancaire, vous pa­ra­mé­trez votre virement et le confirmez.
    
2. Les in­for­ma­tions de transfert que vous avez saisies s’affichent à nouveau. Vérifiez soig­neu­se­ment qu’il s’agit bien de votre commande et qu’elle n’a pas été altérée de quelque manière que ce soit par des tiers. Confirmez ensuite le transfert.
    
3. Votre banque vous demande main­te­nant un mot de passe à usage unique valide. Celui-ci sera généré selon la procédure que vous aurez préa­la­ble­ment définie. En entrant le numéro de tran­sac­tion ac­tuel­le­ment valide, vous vérifiez votre transfert et il sera e

Vous vous souvenez peut-être qu’il fut un temps où l’OTP personnel n’existait que sous la forme d’une liste numérotée sur papier qui vous était envoyée par votre banque. Pour légitimer les tran­sac­tions, vous n’aviez qu’à entrer n’importe quel OTP de la liste dans les services bancaires en ligne. Une fois tous les numéros épuisés, on en com­man­dait un nouveau. Les fai­blesses de cette procédure classique sont évidentes : si la liste était perdue, le trouveur disposait de tous les numéros de tran­sac­tion valides. Pour cette raison, des pro­cé­dures plus récentes et plus sûres ont remplacé la liste OTP classique. La plupart d’entre eux utilisent les tech­no­lo­gies nu­mé­riques.

La plupart des banques fran­çaises offrent un choix de plusieurs de ces nouvelles pro­cé­dures de mot de passe à usage unique. Pour pouvoir utiliser l’un d’entre eux, vous devez d’abord vous en­re­gis­trer avec un code d’ac­ti­va­tion de votre banque. Certains four­nis­seurs vous per­met­tent également d’utiliser plus d’une procédure en même temps ; d’autres vous demandent d’en choisir une, mais vous pouvez en changer à tout moment. Dans certaines cir­cons­tances, la demande d’une procédure OTP peut être payante.

Les dif­fé­rentes pro­cé­dures diffèrent en termes d’exigences et de coûts d’ac­qui­si­tion, ainsi qu’en termes de confort d’uti­li­sa­tion et de niveau de sécurité. Avant de décider d’un compte courant, il est donc utile d’examiner d’un œil critique les pro­cé­dures OTP dis­po­nibles.

La liste à biffer est la des­cen­dante directe de la liste OTP classique qui était envoyée par courrier. C’est depuis longtemps la procédure standard de la banque en ligne pour les clients privés. La nouveauté la plus im­por­tante par rapport à son pré­dé­ces­seur est que les clients ne peuvent plus vérifier leurs ordres de transfert avec le TAN de leur choix dans leur liste : au lieu de cela, l’ins­ti­tu­tion fi­nan­cière concernée spécifie un numéro de position très spé­ci­fique (appelé indice) qui cor­res­pond à un numéro de tran­sac­tion sur la liste et qui ne peut être connu à l’avance.

Bien que cette petite mo­di­fi­ca­tion assure théo­ri­que­ment un niveau de sécurité plus élevé, elle présente également un certain nombre d’in­con­vé­nients : dans la mesure où l’on ne sait jamais à l’avance quel TAN la banque exigera, on doit toujours avoir la liste complète à portée de main pour les opé­ra­tions de paiement. Alors que dans la variante classique, il était possible d’écrire des OTP in­di­vi­duels qui n’étaient pas di­rec­te­ment re­con­nais­sables en tant que tels (après tout, il pourrait théo­ri­que­ment s’agir également de numéros de téléphone), une liste iTAN peut pra­ti­que­ment toujours être reconnue comme telle.

Les cas dans lesquels des criminels ont saisi ces listes et les ont utilisées pour des activités frau­du­leuses étaient également fréquents dans cette procédure. La liste à biffer a donc été ra­pi­de­ment con­si­dé­rée comme n’étant pas sûre à 100 %. L’extension TAN plus et l’in­tro­duc­tion d’un numéro de con­fir­ma­tion n’ont que peu renforcé la sécurité.

Le concept de sécurité de la procédure mTAN (également appelée procédure smsTAN ou mobileTAN) est basé sur l’uti­li­sa­tion d’un deuxième dis­po­si­tif, qui est gé­né­ra­le­ment utilisé en plus de l’or­di­na­teur utilisé pour se connecter à la banque en ligne. Si vous souhaitez vérifier un virement, la banque vous enverra un TAN par SMS (des frais de téléphone mobile peuvent s’appliquer) sur le téléphone mobile du client. Le client saisit ensuite ce mot de passe à usage unique dans son ap­pli­ca­tion bancaire en ligne.

En raison de l’uti­li­sa­tion répandue des té­lé­phones portables, la procédure mTAN est con­si­dé­rée comme la procédure TAN la plus populaire en France, c’est pourquoi la plupart des banques l’offrent également comme une procédure standard. Comme il n’est pas né­ces­saire de stocker une liste papier, mTAN est beaucoup plus sûr que la procédure pré­cé­dente. En outre, le client peut vérifier à nouveau ses données de transfert (en par­ti­cu­lier le numéro de compte des­ti­na­taire et le montant du transfert) sur un appareil séparé afin de conserver ce que l’on appelle les attaques de l’homme du milieu.

Bien que les services bancaires en ligne et la réception du mot de passe à usage unique puissent être exécutés sur un seul et même appareil, la plupart des banques empêchent cela par des obstacles tech­niques. En effet, si les deux fonc­tion­nent sur le même appareil, la sécurité des ordres de transfert s’en trou­ve­rait con­si­dé­ra­ble­ment réduite. Une telle sé­pa­ra­tion est donc également dans l’intérêt du client, car si l’uti­li­sa­teur perd son smart­phone, les deux facteurs d’au­then­ti­fi­ca­tion pour­raient tomber entre les mains d’étrangers sans cette sé­pa­ra­tion. C’est la raison pour laquelle il est re­com­mandé d’utiliser un appareil séparé pour les opé­ra­tions bancaires en ligne.

Si la banque en ligne et la réception du TAN sont séparées, la procédure mTAN offre un niveau de sécurité moyen à élevé. Cependant, sa ré­pu­ta­tion a quelque peu souffert récemment : au fil du temps, les té­lé­phones mobiles sont devenus des appareils mul­ti­fonc­tions dotés d’une connexion Internet per­ma­nente, de sorte qu’il est devenu plus facile pour les cy­ber­cri­mi­nels d’obtenir les données d’accès qui y sont stockées par ha­me­çon­nage et chevaux de Troie. Il y a donc eu dans les années 2012 à 2015 plusieurs grandes vagues de fraude dans lesquels des pirates ont retiré des sommes jusqu’à cinq chiffres des comptes de leurs victimes. Compte tenu de ces évé­ne­ments, le conseil semble justifié d’utiliser pour la procédure mTAN un téléphone fixe com­pa­tible SMS au lieu d’un smart­phone. En effet, en règle générale, aucun logiciel sup­plé­men­taire, et donc aucun logiciel mal­veil­lant, ne peut y être installé.

Bien qu’un seul appareil mobile (tel qu’un smart­phone ou une tablette) soit utilisé dans le processus pushTAN, il permet toujours une au­then­ti­fi­ca­tion à deux facteurs : dans ce processus, l’appareil mobile utilise deux canaux lo­gi­que­ment séparés. D’une part, le client passe par le portail Internet de sa banque ou l’ap­pli­ca­tion bancaire associée, d’autre part, une ap­pli­ca­tion pushTAN protégée par mot de passe (dis­po­nible gra­tui­te­ment sur l’Apple Store ou Google Play) est installée, elle affiche à nouveau les données du transfert pour vé­ri­fi­ca­tion et génère un mot de passe à usage unique valide sur demande. Ce dernier peut ensuite être saisi dans la banque en ligne ou, si l’ap­pli­ca­tion bancaire et l’ap­pli­ca­tion pushTAN sont com­pa­tibles, être transféré di­rec­te­ment sur le for­mu­laire de virement. L’avantage est évident : avec pushTAN, vous n’avez besoin que d’un seul appareil et vous pouvez effectuer vos opé­ra­tions bancaires en dé­pla­ce­ment.

Si vous optez pour cette méthode, vous devez prendre soin de votre smart­phone. Bien que la perte d’un appareil mobile soit plus sus­cep­tible d’être remarquée que la perte d’une petite liste sur papier, si vous ne réagissez pas assez vite et que la personne qui s’en empare possède déjà les iden­ti­fiants pour les services bancaires en ligne, elle peut utiliser un smart­phone volé pour créer des numéros de tran­sac­tion valables et effectuer des trans­ferts. Ceci est par­ti­cu­liè­re­ment fatal si vous avez utilisé le même mot de passe pour vos ap­pli­ca­tions bancaires en ligne et pushTAN. Par mesure de sécurité, il est donc re­com­mandé de séparer stric­te­ment la banque en ligne et la gé­né­ra­tion de TAN, comme pour la procédure mTAN, par exemple en ins­tal­lant l’ap­pli­ca­tion Banking App et l’ap­pli­ca­tion pushTAN App sur deux appareils distincts.

Pour la procédure dite chipTAN ou smartTAN plus, vous avez besoin de matériel sup­plé­men­taire : un gé­né­ra­teur chipTAN. Le petit appareil sans fil est dis­po­nible soit en version de marque auprès de votre banque, soit en produit dédié dans les magasins spé­cia­li­sés ; les appareils bon marché coûtent gé­né­ra­le­ment 10 à 15 euros, certaines banques envoient également un tel appareil gra­tui­te­ment à leurs clients. On peut utiliser ces appareils sans hé­si­ta­tion pour plusieurs comptes et personnes en parallèle. Pour activer le gé­né­ra­teur chipTAN, vous avez besoin d’une carte à puce (gé­né­ra­le­ment la carte de la banque concernée), que vous demandez à votre banque. Pour générer un TAN, vous devez ensuite insérer cette carte à puce dans le gé­né­ra­teur chipTAN. Si vous créez main­te­nant un virement via la banque en ligne, un code-barres est généré à partir des données saisies. Si vous maintenez le gé­né­ra­teur chipTAN avec ses capteurs optiques contre l’écran, il scanne le code et émet un TAN comme résultat. Si l’analyse ne fonc­tionne pas pour une raison quel­conque, vous pouvez également saisir les données de transfert ma­nuel­le­ment.

Dans la mesure où le gé­né­ra­teur chipTAN n’est jamais connecté à Internet, la procédure est con­si­dé­rée comme par­ti­cu­liè­re­ment sécurisée, car les cy­ber­cri­mi­nels peuvent à peine accéder au gé­né­ra­teur. Ceci rend à lui seul cette procédure in­té­res­sante malgré les coûts d’ac­qui­si­tion possibles de l’appareil, et l’effort de ma­ni­pu­la­tion sup­plé­men­taire. La perte de la carte à puce constitue toutefois un risque potentiel. Si un criminel le possédait, il pourrait théo­ri­que­ment créer un nombre infini de numéros de tran­sac­tion avec n’importe quel gé­né­ra­teur chipTAN. Donc, si vous perdez votre carte à puce, assurez-vous de la faire bloquer tôt auprès de votre banque afin d’éviter toute uti­li­sa­tion abusive. Ceci est de toute façon re­com­mandé, car les criminels peuvent utiliser votre carte de paiement pour payer dans de nombreux magasins sans avoir à connaître vos coor­don­nées bancaires.Les dif­fé­rents appareils se dis­tin­guent avant tout par leur design et leur fonc­tion­na­lité. Il y en a qui res­semblent à une cal­cu­la­trice standard avec un affichage mul­ti­ligne, et d’autres qui ont la taille d’une clé USB, mais sans aucun affichage. Une durée de vie de la batterie aussi longue que possible et la capacité Bluetooth (pour le transfert des données de transfert et TAN) sont utiles.

Le procédé photoTAN, re­la­ti­ve­ment nouveau, est fon­da­men­ta­le­ment similaire au procédé chipTAN décrit ci-dessus, dans la mesure où l’on utilise un matériel spécial, à savoir un lecteur photoTAN (prix : 15 à 30 euros). Comme al­ter­na­tive à cet appareil, on peut aussi utiliser une ap­pli­ca­tion photoTAN gratuite qui utilise la caméra interne du smart­phone. Au lieu d’un code-barres, le processus photoTAN scanne un graphique en mosaïque de couleur.

Cette procédure offre les mêmes avantages que pushTAN et chipTAN, mais aussi les mêmes risques : tout d’abord la perte de la carte à puce du smart­phone sur lequel est installée l’ap­pli­ca­tion photoTAN. Le fait que ces apps, et donc la trans­mis­sion TAN, puissent être piratées a été prouvé par les cher­cheurs en sécurité in­for­ma­tique de l’Uni­ver­sité Friedrich-Alexander d’Erlangen-Nuremberg dès 2016. Dans leur ex­pé­rience, cependant, la banque en ligne et photoTAN app ont été installés sur le même appareil. Comme la procédure est encore proposée par re­la­ti­ve­ment peu de banques, les experts con­si­dè­rent qu’un taux élevé de fraude dans l’uti­li­sa­tion de photoTAN est très peu probable - même si le piratage est tech­ni­que­ment possible en principe en utilisant un smart­phone plutôt qu’un lecteur. Cependant, ce risque peut être minimisé en utilisant un lecteur.

Au sens strict, la norme HBCI (Home Banking Computer Interface) dé­ve­lop­pée en 1998 n’est pas du tout une procédure TAN, mais plutôt un mécanisme de sécurité pour les tran­sac­tions bancaires sur Internet. Il a été conçu prin­ci­pa­le­ment pour les en­tre­prises et les uti­li­sa­teurs ayant plusieurs comptes dans dif­fé­rentes ins­ti­tu­tions fi­nan­cières. Bien que la procédure ait été re­bap­ti­sée FinTS (Financial Tran­sac­tion Services) en 2002, elle est toujours connue sous le nom de HBCI.

Comme pour chipTAN et photoTAN, la procédure nécessite un lecteur de carte (environ 60 euros d’achat) en com­bi­nai­son avec une carte à puce. En outre, les uti­li­sa­teurs ont également besoin d’un code PIN et d’un logiciel financier spécial. Ce dernier est dis­po­nible dans le commerce spé­cia­lisé ou di­rec­te­ment auprès de votre banque pour un prix d’achat de 20 à 100 euros (selon la version et la gamme de fonctions) ou peut être utilisé pour un abon­ne­ment mensuel de 5 à 10 euros.

Le processus complexe d’en­re­gis­tre­ment de la procédure garantit un haut niveau de sécurité pour l’HBCI :

1. Vous démarrez d’abord votre logiciel financier et vous vous connectez avec vos données d’accès. Le programme génère au­to­ma­ti­que­ment deux clés nu­mé­riques - une « clé de signature » pour la carte à puce et une « clé de cryptage » pour le serveur bancaire, comme signature élec­tro­nique pour toutes les tran­sac­tions.
    
2. Après avoir créé votre virement bancaire, connectez le lecteur de carte HBCI à votre or­di­na­teur, vérifiez votre code PIN et insérez votre carte à puce HBCI dans l’appareil.
    
3. La clé de signature de la carte à puce légitime désormais le transfert, qui est encodé avec la clé de cryptage et envoyé au serveur de la banque via une ligne multi-sécurisée. Dès que le serveur a vérifié la clé de cryptage, le transfert est exécuté.

Compte tenu des coûts d’ac­qui­si­tion élevés et de la com­plexité de la procédure, l’HBCI risque d’être peu at­trayante pour la plupart des uti­li­sa­teurs privés. Cependant, il s’agit sans aucun doute de la procédure de TAN la plus sûre ac­tuel­le­ment dis­po­nible sur le marché. Comme les cy­ber­cri­mi­nels ont tendance à se con­cen­trer sur les systèmes d’ex­ploi­ta­tion et les na­vi­ga­teurs Web communs plutôt que de dé­ve­lop­per des méthodes d’attaque pour les rares pro­grammes de banque à domicile afin de maximiser leur ef­fi­ca­cité, aucun cas de fraude n’est connu à ce jour.

Chaque procédure de TAN courante a ses avantages et ses in­con­vé­nients. Afin de trouver celle qui vous convient, vous devez peser soig­neu­se­ment les coûts, la facilité d’uti­li­sa­tion et le niveau de sécurité. Mais ne prenez pas de risques inutiles par facilité.

Les pro­cé­dures TAN ga­ran­tis­sent le plus haut niveau de sécurité possible dans le domaine de la banque en ligne, mais jamais sûre à 100 %, con­trai­re­ment à ce que certains four­nis­seurs aiment prétendre. La vérité qui donne à réfléchir est la suivante : à l’exception du HBCI, qui n’est pas à pro­pre­ment parler une procédure TAN, chaque procédure OTP a été piratée à un moment donné. Bien que les failles de sécurité in­hé­rentes à la procédure aient joué un rôle important dans chaque cas de fraude, une vul­né­ra­bi­lité com­plè­te­ment dif­fé­rente était gé­né­ra­le­ment le facteur décisif : le client. Isolé de l’in­fras­truc­ture de sécurité interne de la banque, souvent peu familier avec les problèmes in­for­ma­tiques et agissant parfois de façon impulsive, il est le maillon faible de la chaîne pour de nombreux criminels.

C’est aussi la raison pour laquelle les cyber-attaques sur un compte bancaire visent toujours son pro­prié­taire en premier. C’est pourquoi il ap­par­tient au client d’aborder la question de la sécurité des comptes et de prendre cons­cience de l’im­por­tance d’un trai­te­ment sécurisé des pro­cé­dures bancaires en ligne et des TAN. Dans ce contexte, il peut être utile de connaître et de com­prendre le processus typique d’une attaque. Il existe main­te­nant une grande variété de scénarios d’attaque possibles, et les criminels trouvent chaque jour de nouvelles façons de gagner de l’argent qui ne leur ap­par­tient pas. Ainsi, toutes les astuces des cy­ber­cri­mi­nels ne peuvent pas être pré­sen­tées ici de manière ex­haus­tive, mais nous voudrions au moins vous donner quelques exemples de pro­cé­dures typiques de nombreux cy­ber­cri­mi­nels. Les ex­pli­ca­tions suivantes se réfèrent à la procédure mTAN.

Afin de pouvoir utiliser le facteur humain pour infiltrer un système de sécurité in­for­ma­tique, les pirates ex­pé­ri­men­tés utilisent une sélection d’outils nu­mé­riques et tech­niques ainsi qu’une méthode de social en­gi­nee­ring. Ils essaient d’amener leur victime à se comporter de manière in­cor­recte dans une situation critique pour la sécurité. Par exemple, un pirate in­for­ma­tique pourrait se faire passer pour un employé d’une en­tre­prise de soutien in­for­ma­tique externe à qui on a demandé de résoudre des problèmes avec un logiciel de comp­ta­bi­lité et de banque en ligne. Dans ce contexte, il tente alors d’obtenir l’accès ou les coor­don­nées bancaires de la personne à qui il s’adresse.

Souvent, la première étape d’une cyber-attaque consiste à in­tro­duire clan­des­ti­ne­ment un cheval de Troie. C’est le cas, par exemple, lorsque la victime est amenée à cliquer sur un lien infecté dans un email digne de confiance. Plus le courriel et son adresse sont réputés, plus ce type d’ha­me­çon­nage a de chances de réussir. Les objets tels que « rappel », « sus­pen­sion de compte » ou « contrôle de sécurité » ont pour but de mettre l’accent sur la victime po­ten­tielle et de l’en­cou­ra­ger à prendre des mesures ir­ré­flé­chies.

1. Quel que soit le mode d’ins­tal­la­tion d’un cheval de Troie, une fois qu’il est sur l’appareil avec lequel vous effectuez vos opé­ra­tions bancaires en ligne, il peut consulter les données d’accès cor­res­pon­dantes. Le pirate a ensuite franchi le premier obstacle.
    
2. Ensuite, l’attaquant n’a plus qu’à surmonter la procédure TAN ; pour ce faire, il dispose de plusieurs options dif­fé­rentes, dont seulement trois sont pré­sen­tées ici :

• Le vol de l’appareil mobile est pro­ba­ble­ment la méthode la plus courante, mais c’est aussi le moyen le plus rapide pour la personne impactée de le remarquer.
   
• Une autre stratégie consiste à utiliser les données d’accès saisies pour trans­fé­rer le numéro de téléphone mobile du titulaire du compte sur une deuxième carte SIM ou pour demander une carte SIM sup­plé­men­taire. L’attaquant le configure ensuite de telle sorte que les SMS (et donc aussi les numéros de tran­sac­tion) ne soient envoyés qu’à sa propre carte SIM, tandis que toutes les autres fonctions (par exemple, le téléphone) restent à la dis­po­si­tion de la victime. La victime ne s’aperçoit qu’après un certain délai que quelque chose ne va pas.
   
• Cependant, l’attaque de l’homme du milieu ou de l’homme dans le na­vi­ga­teur est par­ti­cu­liè­re­ment trompeuse parce qu’elle est presque invisible : le cheval de Troie s’insère dans le na­vi­ga­teur de la victime et imite la re­pré­sen­ta­tion visuelle d’une pla­te­forme bancaire en ligne. De cette façon, le cheval de Troie modifie des éléments existants ou en ajoute de nouveaux. La victime im­pru­dente saisit ses in­for­ma­tions de transfert, y compris le TAN cor­res­pon­dant, comme d’habitude et soumet les deux. En arrière-plan, cependant, l’attaquant a déjà exploité les données et dirige les trans­ferts vers son propre compte bancaire. Selon l’habileté avec laquelle il procède, cela peut prendre des semaines, voire des mois, avant que les dommages ne soient dé­cou­verts.

La façon dont un criminel s’approche de votre TAN ne vous préoccupe pas vraiment en tant que con­som­ma­teur. Au lieu de cela, vous devriez vous con­cen­trer sur la pro­tec­tion contre les premières étapes d’une cy­be­rat­taque (in­gé­nie­rie sociale et la con­tre­bande de chevaux de Troie). Par exemple, vous devez prêter attention aux indices de phishing ou vous n’avez pas à trans­mettre sans plus attendre des données sensibles à des étrangers, même si ceux-ci agissent en tant que four­nis­seurs de services fiables (support in­for­ma­tique, four­nis­seurs de services comp­tables, etc.).