Aperçu des différents types de mots de passe à usage unique

Entrez d’abord le nom d’utilisateur, puis votre code secret et encore un mot de passe à usage unique ? Pour de nombreux utilisateurs de services bancaires en ligne, les mesures de sécurité strictes sont un mal nécessaire dont ils voudraient bien se passer. Depuis son introduction en 1976, le numéro de transaction, en particulier, a contribué efficacement à la protection de ses finances, à condition, bien entendu, que le titulaire du compte applique correctement la procédure de mots de passe à usage unique adaptée, et ne tombe pas dans les escroqueries des cybercriminels. Dans ce guide, vous découvrirez les procédures disponibles, leur degré de sécurité et ce que vous pouvez faire vous-même pour protéger votre argent durement gagné contre les cybercriminels.

Un mot de passe à usage unique est en général composé de six chiffres. On parle également de one time password, ou OTP. Il est principalement utilisé pour les virements et les modifications des paramètres de la banque en ligne. Dans le cadre d’une transaction financière, on parle souvent aussi de TAN, de l’anglais transaction authentification number. Les OTP sont parmi les outils les plus fréquemment utilisés pour l’authentification à deux facteurs et, en plus des noms d’utilisateur et des codes PIN, ils forment une autre barrière d’accès : ils sont conçus pour empêcher les criminels de prendre le contrôle non autorisé des comptes bancaires de tiers. Même s’ils ont déjà saisi votre PIN par hameçonnage ou chevaux de Troie, ceux-ci ne peuvent pas effectuer de transfert sans un one time password. Ceci est garanti par le fait que chaque mot de passe à usage unique est directement lié à des données sensibles telles que l’IBAN et le montant du transfert. En outre, un OTP n’est valable que pour une seule transaction et pour une durée limitée (généralement quelques minutes).xécuté.

Une procédure d’OTP désigne la méthode par laquelle un mot de passe à usage unique actuellement valide est transmis à l’utilisateur légitime et utilisé à des fins d’authentification. Il existe plusieurs méthodes différentes, mais le principe de base est très similaire pour toutes :

1. D’abord, vous vous connectez au portail Internet de votre banque via une application bancaire en ligne ou un logiciel bancaire, vous paramétrez votre virement et le confirmez.
    
2. Les informations de transfert que vous avez saisies s’affichent à nouveau. Vérifiez soigneusement qu’il s’agit bien de votre commande et qu’elle n’a pas été altérée de quelque manière que ce soit par des tiers. Confirmez ensuite le transfert.
    
3. Votre banque vous demande maintenant un mot de passe à usage unique valide. Celui-ci sera généré selon la procédure que vous aurez préalablement définie. En entrant le numéro de transaction actuellement valide, vous vérifiez votre transfert et il sera e

Vous vous souvenez peut-être qu’il fut un temps où l’OTP personnel n’existait que sous la forme d’une liste numérotée sur papier qui vous était envoyée par votre banque. Pour légitimer les transactions, vous n’aviez qu’à entrer n’importe quel OTP de la liste dans les services bancaires en ligne. Une fois tous les numéros épuisés, on en commandait un nouveau. Les faiblesses de cette procédure classique sont évidentes : si la liste était perdue, le trouveur disposait de tous les numéros de transaction valides. Pour cette raison, des procédures plus récentes et plus sûres ont remplacé la liste OTP classique. La plupart d’entre eux utilisent les technologies numériques.

La plupart des banques françaises offrent un choix de plusieurs de ces nouvelles procédures de mot de passe à usage unique. Pour pouvoir utiliser l’un d’entre eux, vous devez d’abord vous enregistrer avec un code d’activation de votre banque. Certains fournisseurs vous permettent également d’utiliser plus d’une procédure en même temps ; d’autres vous demandent d’en choisir une, mais vous pouvez en changer à tout moment. Dans certaines circonstances, la demande d’une procédure OTP peut être payante.

Les différentes procédures diffèrent en termes d’exigences et de coûts d’acquisition, ainsi qu’en termes de confort d’utilisation et de niveau de sécurité. Avant de décider d’un compte courant, il est donc utile d’examiner d’un œil critique les procédures OTP disponibles.

La liste à biffer est la descendante directe de la liste OTP classique qui était envoyée par courrier. C’est depuis longtemps la procédure standard de la banque en ligne pour les clients privés. La nouveauté la plus importante par rapport à son prédécesseur est que les clients ne peuvent plus vérifier leurs ordres de transfert avec le TAN de leur choix dans leur liste : au lieu de cela, l’institution financière concernée spécifie un numéro de position très spécifique (appelé indice) qui correspond à un numéro de transaction sur la liste et qui ne peut être connu à l’avance.

Bien que cette petite modification assure théoriquement un niveau de sécurité plus élevé, elle présente également un certain nombre d’inconvénients : dans la mesure où l’on ne sait jamais à l’avance quel TAN la banque exigera, on doit toujours avoir la liste complète à portée de main pour les opérations de paiement. Alors que dans la variante classique, il était possible d’écrire des OTP individuels qui n’étaient pas directement reconnaissables en tant que tels (après tout, il pourrait théoriquement s’agir également de numéros de téléphone), une liste iTAN peut pratiquement toujours être reconnue comme telle.

Les cas dans lesquels des criminels ont saisi ces listes et les ont utilisées pour des activités frauduleuses étaient également fréquents dans cette procédure. La liste à biffer a donc été rapidement considérée comme n’étant pas sûre à 100 %. L’extension TAN plus et l’introduction d’un numéro de confirmation n’ont que peu renforcé la sécurité.

Le concept de sécurité de la procédure mTAN (également appelée procédure smsTAN ou mobileTAN) est basé sur l’utilisation d’un deuxième dispositif, qui est généralement utilisé en plus de l’ordinateur utilisé pour se connecter à la banque en ligne. Si vous souhaitez vérifier un virement, la banque vous enverra un TAN par SMS (des frais de téléphone mobile peuvent s’appliquer) sur le téléphone mobile du client. Le client saisit ensuite ce mot de passe à usage unique dans son application bancaire en ligne.

En raison de l’utilisation répandue des téléphones portables, la procédure mTAN est considérée comme la procédure TAN la plus populaire en France, c’est pourquoi la plupart des banques l’offrent également comme une procédure standard. Comme il n’est pas nécessaire de stocker une liste papier, mTAN est beaucoup plus sûr que la procédure précédente. En outre, le client peut vérifier à nouveau ses données de transfert (en particulier le numéro de compte destinataire et le montant du transfert) sur un appareil séparé afin de conserver ce que l’on appelle les attaques de l’homme du milieu.

Bien que les services bancaires en ligne et la réception du mot de passe à usage unique puissent être exécutés sur un seul et même appareil, la plupart des banques empêchent cela par des obstacles techniques. En effet, si les deux fonctionnent sur le même appareil, la sécurité des ordres de transfert s’en trouverait considérablement réduite. Une telle séparation est donc également dans l’intérêt du client, car si l’utilisateur perd son smartphone, les deux facteurs d’authentification pourraient tomber entre les mains d’étrangers sans cette séparation. C’est la raison pour laquelle il est recommandé d’utiliser un appareil séparé pour les opérations bancaires en ligne.

Si la banque en ligne et la réception du TAN sont séparées, la procédure mTAN offre un niveau de sécurité moyen à élevé. Cependant, sa réputation a quelque peu souffert récemment : au fil du temps, les téléphones mobiles sont devenus des appareils multifonctions dotés d’une connexion Internet permanente, de sorte qu’il est devenu plus facile pour les cybercriminels d’obtenir les données d’accès qui y sont stockées par hameçonnage et chevaux de Troie. Il y a donc eu dans les années 2012 à 2015 plusieurs grandes vagues de fraude dans lesquels des pirates ont retiré des sommes jusqu’à cinq chiffres des comptes de leurs victimes. Compte tenu de ces événements, le conseil semble justifié d’utiliser pour la procédure mTAN un téléphone fixe compatible SMS au lieu d’un smartphone. En effet, en règle générale, aucun logiciel supplémentaire, et donc aucun logiciel malveillant, ne peut y être installé.

Bien qu’un seul appareil mobile (tel qu’un smartphone ou une tablette) soit utilisé dans le processus pushTAN, il permet toujours une authentification à deux facteurs : dans ce processus, l’appareil mobile utilise deux canaux logiquement séparés. D’une part, le client passe par le portail Internet de sa banque ou l’application bancaire associée, d’autre part, une application pushTAN protégée par mot de passe (disponible gratuitement sur l’Apple Store ou Google Play) est installée, elle affiche à nouveau les données du transfert pour vérification et génère un mot de passe à usage unique valide sur demande. Ce dernier peut ensuite être saisi dans la banque en ligne ou, si l’application bancaire et l’application pushTAN sont compatibles, être transféré directement sur le formulaire de virement. L’avantage est évident : avec pushTAN, vous n’avez besoin que d’un seul appareil et vous pouvez effectuer vos opérations bancaires en déplacement.

Si vous optez pour cette méthode, vous devez prendre soin de votre smartphone. Bien que la perte d’un appareil mobile soit plus susceptible d’être remarquée que la perte d’une petite liste sur papier, si vous ne réagissez pas assez vite et que la personne qui s’en empare possède déjà les identifiants pour les services bancaires en ligne, elle peut utiliser un smartphone volé pour créer des numéros de transaction valables et effectuer des transferts. Ceci est particulièrement fatal si vous avez utilisé le même mot de passe pour vos applications bancaires en ligne et pushTAN. Par mesure de sécurité, il est donc recommandé de séparer strictement la banque en ligne et la génération de TAN, comme pour la procédure mTAN, par exemple en installant l’application Banking App et l’application pushTAN App sur deux appareils distincts.

Pour la procédure dite chipTAN ou smartTAN plus, vous avez besoin de matériel supplémentaire : un générateur chipTAN. Le petit appareil sans fil est disponible soit en version de marque auprès de votre banque, soit en produit dédié dans les magasins spécialisés ; les appareils bon marché coûtent généralement 10 à 15 euros, certaines banques envoient également un tel appareil gratuitement à leurs clients. On peut utiliser ces appareils sans hésitation pour plusieurs comptes et personnes en parallèle. Pour activer le générateur chipTAN, vous avez besoin d’une carte à puce (généralement la carte de la banque concernée), que vous demandez à votre banque. Pour générer un TAN, vous devez ensuite insérer cette carte à puce dans le générateur chipTAN. Si vous créez maintenant un virement via la banque en ligne, un code-barres est généré à partir des données saisies. Si vous maintenez le générateur chipTAN avec ses capteurs optiques contre l’écran, il scanne le code et émet un TAN comme résultat. Si l’analyse ne fonctionne pas pour une raison quelconque, vous pouvez également saisir les données de transfert manuellement.

Dans la mesure où le générateur chipTAN n’est jamais connecté à Internet, la procédure est considérée comme particulièrement sécurisée, car les cybercriminels peuvent à peine accéder au générateur. Ceci rend à lui seul cette procédure intéressante malgré les coûts d’acquisition possibles de l’appareil, et l’effort de manipulation supplémentaire. La perte de la carte à puce constitue toutefois un risque potentiel. Si un criminel le possédait, il pourrait théoriquement créer un nombre infini de numéros de transaction avec n’importe quel générateur chipTAN. Donc, si vous perdez votre carte à puce, assurez-vous de la faire bloquer tôt auprès de votre banque afin d’éviter toute utilisation abusive. Ceci est de toute façon recommandé, car les criminels peuvent utiliser votre carte de paiement pour payer dans de nombreux magasins sans avoir à connaître vos coordonnées bancaires.Les différents appareils se distinguent avant tout par leur design et leur fonctionnalité. Il y en a qui ressemblent à une calculatrice standard avec un affichage multiligne, et d’autres qui ont la taille d’une clé USB, mais sans aucun affichage. Une durée de vie de la batterie aussi longue que possible et la capacité Bluetooth (pour le transfert des données de transfert et TAN) sont utiles.

Le procédé photoTAN, relativement nouveau, est fondamentalement similaire au procédé chipTAN décrit ci-dessus, dans la mesure où l’on utilise un matériel spécial, à savoir un lecteur photoTAN (prix : 15 à 30 euros). Comme alternative à cet appareil, on peut aussi utiliser une application photoTAN gratuite qui utilise la caméra interne du smartphone. Au lieu d’un code-barres, le processus photoTAN scanne un graphique en mosaïque de couleur.

Cette procédure offre les mêmes avantages que pushTAN et chipTAN, mais aussi les mêmes risques : tout d’abord la perte de la carte à puce du smartphone sur lequel est installée l’application photoTAN. Le fait que ces apps, et donc la transmission TAN, puissent être piratées a été prouvé par les chercheurs en sécurité informatique de l’Université Friedrich-Alexander d’Erlangen-Nuremberg dès 2016. Dans leur expérience, cependant, la banque en ligne et photoTAN app ont été installés sur le même appareil. Comme la procédure est encore proposée par relativement peu de banques, les experts considèrent qu’un taux élevé de fraude dans l’utilisation de photoTAN est très peu probable - même si le piratage est techniquement possible en principe en utilisant un smartphone plutôt qu’un lecteur. Cependant, ce risque peut être minimisé en utilisant un lecteur.

Au sens strict, la norme HBCI (Home Banking Computer Interface) développée en 1998 n’est pas du tout une procédure TAN, mais plutôt un mécanisme de sécurité pour les transactions bancaires sur Internet. Il a été conçu principalement pour les entreprises et les utilisateurs ayant plusieurs comptes dans différentes institutions financières. Bien que la procédure ait été rebaptisée FinTS (Financial Transaction Services) en 2002, elle est toujours connue sous le nom de HBCI.

Comme pour chipTAN et photoTAN, la procédure nécessite un lecteur de carte (environ 60 euros d’achat) en combinaison avec une carte à puce. En outre, les utilisateurs ont également besoin d’un code PIN et d’un logiciel financier spécial. Ce dernier est disponible dans le commerce spécialisé ou directement auprès de votre banque pour un prix d’achat de 20 à 100 euros (selon la version et la gamme de fonctions) ou peut être utilisé pour un abonnement mensuel de 5 à 10 euros.

Le processus complexe d’enregistrement de la procédure garantit un haut niveau de sécurité pour l’HBCI :

1. Vous démarrez d’abord votre logiciel financier et vous vous connectez avec vos données d’accès. Le programme génère automatiquement deux clés numériques - une « clé de signature » pour la carte à puce et une « clé de cryptage » pour le serveur bancaire, comme signature électronique pour toutes les transactions.
    
2. Après avoir créé votre virement bancaire, connectez le lecteur de carte HBCI à votre ordinateur, vérifiez votre code PIN et insérez votre carte à puce HBCI dans l’appareil.
    
3. La clé de signature de la carte à puce légitime désormais le transfert, qui est encodé avec la clé de cryptage et envoyé au serveur de la banque via une ligne multi-sécurisée. Dès que le serveur a vérifié la clé de cryptage, le transfert est exécuté.

Compte tenu des coûts d’acquisition élevés et de la complexité de la procédure, l’HBCI risque d’être peu attrayante pour la plupart des utilisateurs privés. Cependant, il s’agit sans aucun doute de la procédure de TAN la plus sûre actuellement disponible sur le marché. Comme les cybercriminels ont tendance à se concentrer sur les systèmes d’exploitation et les navigateurs Web communs plutôt que de développer des méthodes d’attaque pour les rares programmes de banque à domicile afin de maximiser leur efficacité, aucun cas de fraude n’est connu à ce jour.

Chaque procédure de TAN courante a ses avantages et ses inconvénients. Afin de trouver celle qui vous convient, vous devez peser soigneusement les coûts, la facilité d’utilisation et le niveau de sécurité. Mais ne prenez pas de risques inutiles par facilité.

Les procédures TAN garantissent le plus haut niveau de sécurité possible dans le domaine de la banque en ligne, mais jamais sûre à 100 %, contrairement à ce que certains fournisseurs aiment prétendre. La vérité qui donne à réfléchir est la suivante : à l’exception du HBCI, qui n’est pas à proprement parler une procédure TAN, chaque procédure OTP a été piratée à un moment donné. Bien que les failles de sécurité inhérentes à la procédure aient joué un rôle important dans chaque cas de fraude, une vulnérabilité complètement différente était généralement le facteur décisif : le client. Isolé de l’infrastructure de sécurité interne de la banque, souvent peu familier avec les problèmes informatiques et agissant parfois de façon impulsive, il est le maillon faible de la chaîne pour de nombreux criminels.

C’est aussi la raison pour laquelle les cyber-attaques sur un compte bancaire visent toujours son propriétaire en premier. C’est pourquoi il appartient au client d’aborder la question de la sécurité des comptes et de prendre conscience de l’importance d’un traitement sécurisé des procédures bancaires en ligne et des TAN. Dans ce contexte, il peut être utile de connaître et de comprendre le processus typique d’une attaque. Il existe maintenant une grande variété de scénarios d’attaque possibles, et les criminels trouvent chaque jour de nouvelles façons de gagner de l’argent qui ne leur appartient pas. Ainsi, toutes les astuces des cybercriminels ne peuvent pas être présentées ici de manière exhaustive, mais nous voudrions au moins vous donner quelques exemples de procédures typiques de nombreux cybercriminels. Les explications suivantes se réfèrent à la procédure mTAN.

Afin de pouvoir utiliser le facteur humain pour infiltrer un système de sécurité informatique, les pirates expérimentés utilisent une sélection d’outils numériques et techniques ainsi qu’une méthode de social engineering. Ils essaient d’amener leur victime à se comporter de manière incorrecte dans une situation critique pour la sécurité. Par exemple, un pirate informatique pourrait se faire passer pour un employé d’une entreprise de soutien informatique externe à qui on a demandé de résoudre des problèmes avec un logiciel de comptabilité et de banque en ligne. Dans ce contexte, il tente alors d’obtenir l’accès ou les coordonnées bancaires de la personne à qui il s’adresse.

Souvent, la première étape d’une cyber-attaque consiste à introduire clandestinement un cheval de Troie. C’est le cas, par exemple, lorsque la victime est amenée à cliquer sur un lien infecté dans un email digne de confiance. Plus le courriel et son adresse sont réputés, plus ce type d’hameçonnage a de chances de réussir. Les objets tels que « rappel », « suspension de compte » ou « contrôle de sécurité » ont pour but de mettre l’accent sur la victime potentielle et de l’encourager à prendre des mesures irréfléchies.

1. Quel que soit le mode d’installation d’un cheval de Troie, une fois qu’il est sur l’appareil avec lequel vous effectuez vos opérations bancaires en ligne, il peut consulter les données d’accès correspondantes. Le pirate a ensuite franchi le premier obstacle.
    
2. Ensuite, l’attaquant n’a plus qu’à surmonter la procédure TAN ; pour ce faire, il dispose de plusieurs options différentes, dont seulement trois sont présentées ici :

• Le vol de l’appareil mobile est probablement la méthode la plus courante, mais c’est aussi le moyen le plus rapide pour la personne impactée de le remarquer.
   
• Une autre stratégie consiste à utiliser les données d’accès saisies pour transférer le numéro de téléphone mobile du titulaire du compte sur une deuxième carte SIM ou pour demander une carte SIM supplémentaire. L’attaquant le configure ensuite de telle sorte que les SMS (et donc aussi les numéros de transaction) ne soient envoyés qu’à sa propre carte SIM, tandis que toutes les autres fonctions (par exemple, le téléphone) restent à la disposition de la victime. La victime ne s’aperçoit qu’après un certain délai que quelque chose ne va pas.
   
• Cependant, l’attaque de l’homme du milieu ou de l’homme dans le navigateur est particulièrement trompeuse parce qu’elle est presque invisible : le cheval de Troie s’insère dans le navigateur de la victime et imite la représentation visuelle d’une plateforme bancaire en ligne. De cette façon, le cheval de Troie modifie des éléments existants ou en ajoute de nouveaux. La victime imprudente saisit ses informations de transfert, y compris le TAN correspondant, comme d’habitude et soumet les deux. En arrière-plan, cependant, l’attaquant a déjà exploité les données et dirige les transferts vers son propre compte bancaire. Selon l’habileté avec laquelle il procède, cela peut prendre des semaines, voire des mois, avant que les dommages ne soient découverts.

La façon dont un criminel s’approche de votre TAN ne vous préoccupe pas vraiment en tant que consommateur. Au lieu de cela, vous devriez vous concentrer sur la protection contre les premières étapes d’une cyberattaque (ingénierie sociale et la contrebande de chevaux de Troie). Par exemple, vous devez prêter attention aux indices de phishing ou vous n’avez pas à transmettre sans plus attendre des données sensibles à des étrangers, même si ceux-ci agissent en tant que fournisseurs de services fiables (support informatique, fournisseurs de services comptables, etc.).