Entrez d’abord le nom d’utilisateur, puis votre code secret et encore un mot de passe à usage unique ? Pour de nombreux utilisateurs de services bancaires en ligne, les mesures de sécurité strictes sont un mal nécessaire dont ils voudraient bien se passer. Depuis son introduction en 1976, le numéro de transaction, en particulier, a contribué efficacement à la protection de ses finances, à condition, bien entendu, que le titulaire du compte applique correctement la procédure de mots de passe à usage unique adaptée, et ne tombe pas dans les escroqueries des cybercriminels. Dans ce guide, vous découvrirez les procédures disponibles, leur degré de sécurité et ce que vous pouvez faire vous-même pour protéger votre argent durement gagné contre les cybercriminels.
Un mot de passe à usage unique est en général composé de six chiffres. On parle également de one time password, ou OTP. Il est principalement utilisé pour les virements et les modifications des paramètres de la banque en ligne. Dans le cadre d’une transaction financière, on parle souvent aussi de TAN, de l’anglais transaction authentification number. Les OTP sont parmi les outils les plus fréquemment utilisés pour l’authentification à deux facteurs et, en plus des noms d’utilisateur et des codes PIN, ils forment une autre barrière d’accès : ils sont conçus pour empêcher les criminels de prendre le contrôle non autorisé des comptes bancaires de tiers. Même s’ils ont déjà saisi votre PIN par hameçonnage ou chevaux de Troie, ceux-ci ne peuvent pas effectuer de transfert sans un one time password. Ceci est garanti par le fait que chaque mot de passe à usage unique est directement lié à des données sensibles telles que l’IBAN et le montant du transfert. En outre, un OTP n’est valable que pour une seule transaction et pour une durée limitée (généralement quelques minutes).xécuté.
Une procédure d’OTP désigne la méthode par laquelle un mot de passe à usage unique actuellement valide est transmis à l’utilisateur légitime et utilisé à des fins d’authentification. Il existe plusieurs méthodes différentes, mais le principe de base est très similaire pour toutes :
Vous vous souvenez peut-être qu’il fut un temps où l’OTP personnel n’existait que sous la forme d’une liste numérotée sur papier qui vous était envoyée par votre banque. Pour légitimer les transactions, vous n’aviez qu’à entrer n’importe quel OTP de la liste dans les services bancaires en ligne. Une fois tous les numéros épuisés, on en commandait un nouveau. Les faiblesses de cette procédure classique sont évidentes : si la liste était perdue, le trouveur disposait de tous les numéros de transaction valides. Pour cette raison, des procédures plus récentes et plus sûres ont remplacé la liste OTP classique. La plupart d’entre eux utilisent les technologies numériques.
La plupart des banques françaises offrent un choix de plusieurs de ces nouvelles procédures de mot de passe à usage unique. Pour pouvoir utiliser l’un d’entre eux, vous devez d’abord vous enregistrer avec un code d’activation de votre banque. Certains fournisseurs vous permettent également d’utiliser plus d’une procédure en même temps ; d’autres vous demandent d’en choisir une, mais vous pouvez en changer à tout moment. Dans certaines circonstances, la demande d’une procédure OTP peut être payante.
Les différentes procédures diffèrent en termes d’exigences et de coûts d’acquisition, ainsi qu’en termes de confort d’utilisation et de niveau de sécurité. Avant de décider d’un compte courant, il est donc utile d’examiner d’un œil critique les procédures OTP disponibles.
La liste à biffer est la descendante directe de la liste OTP classique qui était envoyée par courrier. C’est depuis longtemps la procédure standard de la banque en ligne pour les clients privés. La nouveauté la plus importante par rapport à son prédécesseur est que les clients ne peuvent plus vérifier leurs ordres de transfert avec le TAN de leur choix dans leur liste : au lieu de cela, l’institution financière concernée spécifie un numéro de position très spécifique (appelé indice) qui correspond à un numéro de transaction sur la liste et qui ne peut être connu à l’avance.
Bien que cette petite modification assure théoriquement un niveau de sécurité plus élevé, elle présente également un certain nombre d’inconvénients : dans la mesure où l’on ne sait jamais à l’avance quel TAN la banque exigera, on doit toujours avoir la liste complète à portée de main pour les opérations de paiement. Alors que dans la variante classique, il était possible d’écrire des OTP individuels qui n’étaient pas directement reconnaissables en tant que tels (après tout, il pourrait théoriquement s’agir également de numéros de téléphone), une liste iTAN peut pratiquement toujours être reconnue comme telle.
Les cas dans lesquels des criminels ont saisi ces listes et les ont utilisées pour des activités frauduleuses étaient également fréquents dans cette procédure. La liste à biffer a donc été rapidement considérée comme n’étant pas sûre à 100 %. L’extension TAN plus et l’introduction d’un numéro de confirmation n’ont que peu renforcé la sécurité.
Le concept de sécurité de la procédure mTAN (également appelée procédure smsTAN ou mobileTAN) est basé sur l’utilisation d’un deuxième dispositif, qui est généralement utilisé en plus de l’ordinateur utilisé pour se connecter à la banque en ligne. Si vous souhaitez vérifier un virement, la banque vous enverra un TAN par SMS (des frais de téléphone mobile peuvent s’appliquer) sur le téléphone mobile du client. Le client saisit ensuite ce mot de passe à usage unique dans son application bancaire en ligne.
En raison de l’utilisation répandue des téléphones portables, la procédure mTAN est considérée comme la procédure TAN la plus populaire en France, c’est pourquoi la plupart des banques l’offrent également comme une procédure standard. Comme il n’est pas nécessaire de stocker une liste papier, mTAN est beaucoup plus sûr que la procédure précédente. En outre, le client peut vérifier à nouveau ses données de transfert (en particulier le numéro de compte destinataire et le montant du transfert) sur un appareil séparé afin de conserver ce que l’on appelle les attaques de l’homme du milieu.
Bien que les services bancaires en ligne et la réception du mot de passe à usage unique puissent être exécutés sur un seul et même appareil, la plupart des banques empêchent cela par des obstacles techniques. En effet, si les deux fonctionnent sur le même appareil, la sécurité des ordres de transfert s’en trouverait considérablement réduite. Une telle séparation est donc également dans l’intérêt du client, car si l’utilisateur perd son smartphone, les deux facteurs d’authentification pourraient tomber entre les mains d’étrangers sans cette séparation. C’est la raison pour laquelle il est recommandé d’utiliser un appareil séparé pour les opérations bancaires en ligne.
Si la banque en ligne et la réception du TAN sont séparées, la procédure mTAN offre un niveau de sécurité moyen à élevé. Cependant, sa réputation a quelque peu souffert récemment : au fil du temps, les téléphones mobiles sont devenus des appareils multifonctions dotés d’une connexion Internet permanente, de sorte qu’il est devenu plus facile pour les cybercriminels d’obtenir les données d’accès qui y sont stockées par hameçonnage et chevaux de Troie. Il y a donc eu dans les années 2012 à 2015 plusieurs grandes vagues de fraude dans lesquels des pirates ont retiré des sommes jusqu’à cinq chiffres des comptes de leurs victimes. Compte tenu de ces événements, le conseil semble justifié d’utiliser pour la procédure mTAN un téléphone fixe compatible SMS au lieu d’un smartphone. En effet, en règle générale, aucun logiciel supplémentaire, et donc aucun logiciel malveillant, ne peut y être installé.
Bien qu’un seul appareil mobile (tel qu’un smartphone ou une tablette) soit utilisé dans le processus pushTAN, il permet toujours une authentification à deux facteurs : dans ce processus, l’appareil mobile utilise deux canaux logiquement séparés. D’une part, le client passe par le portail Internet de sa banque ou l’application bancaire associée, d’autre part, une application pushTAN protégée par mot de passe (disponible gratuitement sur l’Apple Store ou Google Play) est installée, elle affiche à nouveau les données du transfert pour vérification et génère un mot de passe à usage unique valide sur demande. Ce dernier peut ensuite être saisi dans la banque en ligne ou, si l’application bancaire et l’application pushTAN sont compatibles, être transféré directement sur le formulaire de virement. L’avantage est évident : avec pushTAN, vous n’avez besoin que d’un seul appareil et vous pouvez effectuer vos opérations bancaires en déplacement.
Si vous optez pour cette méthode, vous devez prendre soin de votre smartphone. Bien que la perte d’un appareil mobile soit plus susceptible d’être remarquée que la perte d’une petite liste sur papier, si vous ne réagissez pas assez vite et que la personne qui s’en empare possède déjà les identifiants pour les services bancaires en ligne, elle peut utiliser un smartphone volé pour créer des numéros de transaction valables et effectuer des transferts. Ceci est particulièrement fatal si vous avez utilisé le même mot de passe pour vos applications bancaires en ligne et pushTAN. Par mesure de sécurité, il est donc recommandé de séparer strictement la banque en ligne et la génération de TAN, comme pour la procédure mTAN, par exemple en installant l’application Banking App et l’application pushTAN App sur deux appareils distincts.
Pour la procédure dite chipTAN ou smartTAN plus, vous avez besoin de matériel supplémentaire : un générateur chipTAN. Le petit appareil sans fil est disponible soit en version de marque auprès de votre banque, soit en produit dédié dans les magasins spécialisés ; les appareils bon marché coûtent généralement 10 à 15 euros, certaines banques envoient également un tel appareil gratuitement à leurs clients. On peut utiliser ces appareils sans hésitation pour plusieurs comptes et personnes en parallèle. Pour activer le générateur chipTAN, vous avez besoin d’une carte à puce (généralement la carte de la banque concernée), que vous demandez à votre banque. Pour générer un TAN, vous devez ensuite insérer cette carte à puce dans le générateur chipTAN. Si vous créez maintenant un virement via la banque en ligne, un code-barres est généré à partir des données saisies. Si vous maintenez le générateur chipTAN avec ses capteurs optiques contre l’écran, il scanne le code et émet un TAN comme résultat. Si l’analyse ne fonctionne pas pour une raison quelconque, vous pouvez également saisir les données de transfert manuellement.
Dans la mesure où le générateur chipTAN n’est jamais connecté à Internet, la procédure est considérée comme particulièrement sécurisée, car les cybercriminels peuvent à peine accéder au générateur. Ceci rend à lui seul cette procédure intéressante malgré les coûts d’acquisition possibles de l’appareil, et l’effort de manipulation supplémentaire. La perte de la carte à puce constitue toutefois un risque potentiel. Si un criminel le possédait, il pourrait théoriquement créer un nombre infini de numéros de transaction avec n’importe quel générateur chipTAN. Donc, si vous perdez votre carte à puce, assurez-vous de la faire bloquer tôt auprès de votre banque afin d’éviter toute utilisation abusive. Ceci est de toute façon recommandé, car les criminels peuvent utiliser votre carte de paiement pour payer dans de nombreux magasins sans avoir à connaître vos coordonnées bancaires.Les différents appareils se distinguent avant tout par leur design et leur fonctionnalité. Il y en a qui ressemblent à une calculatrice standard avec un affichage multiligne, et d’autres qui ont la taille d’une clé USB, mais sans aucun affichage. Une durée de vie de la batterie aussi longue que possible et la capacité Bluetooth (pour le transfert des données de transfert et TAN) sont utiles.
Le procédé photoTAN, relativement nouveau, est fondamentalement similaire au procédé chipTAN décrit ci-dessus, dans la mesure où l’on utilise un matériel spécial, à savoir un lecteur photoTAN (prix : 15 à 30 euros). Comme alternative à cet appareil, on peut aussi utiliser une application photoTAN gratuite qui utilise la caméra interne du smartphone. Au lieu d’un code-barres, le processus photoTAN scanne un graphique en mosaïque de couleur.
Cette procédure offre les mêmes avantages que pushTAN et chipTAN, mais aussi les mêmes risques : tout d’abord la perte de la carte à puce du smartphone sur lequel est installée l’application photoTAN. Le fait que ces apps, et donc la transmission TAN, puissent être piratées a été prouvé par les chercheurs en sécurité informatique de l’Université Friedrich-Alexander d’Erlangen-Nuremberg dès 2016. Dans leur expérience, cependant, la banque en ligne et photoTAN app ont été installés sur le même appareil. Comme la procédure est encore proposée par relativement peu de banques, les experts considèrent qu’un taux élevé de fraude dans l’utilisation de photoTAN est très peu probable - même si le piratage est techniquement possible en principe en utilisant un smartphone plutôt qu’un lecteur. Cependant, ce risque peut être minimisé en utilisant un lecteur.
Au sens strict, la norme HBCI (Home Banking Computer Interface) développée en 1998 n’est pas du tout une procédure TAN, mais plutôt un mécanisme de sécurité pour les transactions bancaires sur Internet. Il a été conçu principalement pour les entreprises et les utilisateurs ayant plusieurs comptes dans différentes institutions financières. Bien que la procédure ait été rebaptisée FinTS (Financial Transaction Services) en 2002, elle est toujours connue sous le nom de HBCI.
Comme pour chipTAN et photoTAN, la procédure nécessite un lecteur de carte (environ 60 euros d’achat) en combinaison avec une carte à puce. En outre, les utilisateurs ont également besoin d’un code PIN et d’un logiciel financier spécial. Ce dernier est disponible dans le commerce spécialisé ou directement auprès de votre banque pour un prix d’achat de 20 à 100 euros (selon la version et la gamme de fonctions) ou peut être utilisé pour un abonnement mensuel de 5 à 10 euros.
Le processus complexe d’enregistrement de la procédure garantit un haut niveau de sécurité pour l’HBCI :
Compte tenu des coûts d’acquisition élevés et de la complexité de la procédure, l’HBCI risque d’être peu attrayante pour la plupart des utilisateurs privés. Cependant, il s’agit sans aucun doute de la procédure de TAN la plus sûre actuellement disponible sur le marché. Comme les cybercriminels ont tendance à se concentrer sur les systèmes d’exploitation et les navigateurs Web communs plutôt que de développer des méthodes d’attaque pour les rares programmes de banque à domicile afin de maximiser leur efficacité, aucun cas de fraude n’est connu à ce jour.
Chaque procédure de TAN courante a ses avantages et ses inconvénients. Afin de trouver celle qui vous convient, vous devez peser soigneusement les coûts, la facilité d’utilisation et le niveau de sécurité. Mais ne prenez pas de risques inutiles par facilité.
| Procédure TAN | Exigences/dépenses | Niveau de sécurité | Risque de sécurité le plus élevé (en combinaison avec des méthodes d’hameçonnage et/ou des chevaux de Troie courants) |
|---|---|---|---|
| iTAN | Enregistrement unique, appareil pour la banque en ligne (par exemple un ordinateur portable), liste iTAN (peut être commandée de nouveau) | Bas | Perte de la liste |
| mTAN | Inscription unique (des frais peuvent s’appliquer), appareil pour les services bancaires en ligne (par exemple un ordinateur portable), téléphone fixe, téléphone mobile ou smartphone avec fonction SMS | Moyen | Perte de l’appareil sur lequel on reçoit les SMS |
| pushTAN | Enregistrement unique, appareil mobile, application bancaire en ligne, application pushTAN | Haut | Perte du téléphone mobile, services bancaires en ligne et application pushTAN installés sur le même appareil, les deux applications utilisant le même mot de passe |
| chipTAN | Enregistrement unique, dispositif de banque en ligne (par exemple un ordinateur portable), générateur chipTAN (10-15 euros), carte à puce de l’établissement financier concerné | Haut | Perte de la carte à puce |
| photoTAN | Enregistrement unique, appareil de banque en ligne (par exemple un ordinateur portable), lecteur photoTAN (15-30 euros) ou application photoTAN gratuite, carte à puce de l’établissement financier concerné | Haut | Perte de la carte à puce ou de l’appareil mobile avec l’application photoTAN |
| HBCI | Enregistrement unique, appareil de banque en ligne (par exemple un ordinateur portable), logiciel financier spécial (20-100 euros ou frais mensuels de 5-10 euros), lecteur de carte (environ 60 euros), carte à puce HBCI, PIN personnel | Très haut | Aucune faille de sécurité connue |
Les procédures TAN garantissent le plus haut niveau de sécurité possible dans le domaine de la banque en ligne, mais jamais sûre à 100 %, contrairement à ce que certains fournisseurs aiment prétendre. La vérité qui donne à réfléchir est la suivante : à l’exception du HBCI, qui n’est pas à proprement parler une procédure TAN, chaque procédure OTP a été piratée à un moment donné. Bien que les failles de sécurité inhérentes à la procédure aient joué un rôle important dans chaque cas de fraude, une vulnérabilité complètement différente était généralement le facteur décisif : le client. Isolé de l’infrastructure de sécurité interne de la banque, souvent peu familier avec les problèmes informatiques et agissant parfois de façon impulsive, il est le maillon faible de la chaîne pour de nombreux criminels.
C’est aussi la raison pour laquelle les cyber-attaques sur un compte bancaire visent toujours son propriétaire en premier. C’est pourquoi il appartient au client d’aborder la question de la sécurité des comptes et de prendre conscience de l’importance d’un traitement sécurisé des procédures bancaires en ligne et des TAN. Dans ce contexte, il peut être utile de connaître et de comprendre le processus typique d’une attaque. Il existe maintenant une grande variété de scénarios d’attaque possibles, et les criminels trouvent chaque jour de nouvelles façons de gagner de l’argent qui ne leur appartient pas. Ainsi, toutes les astuces des cybercriminels ne peuvent pas être présentées ici de manière exhaustive, mais nous voudrions au moins vous donner quelques exemples de procédures typiques de nombreux cybercriminels. Les explications suivantes se réfèrent à la procédure mTAN.
Afin de pouvoir utiliser le facteur humain pour infiltrer un système de sécurité informatique, les pirates expérimentés utilisent une sélection d’outils numériques et techniques ainsi qu’une méthode de social engineering. Ils essaient d’amener leur victime à se comporter de manière incorrecte dans une situation critique pour la sécurité. Par exemple, un pirate informatique pourrait se faire passer pour un employé d’une entreprise de soutien informatique externe à qui on a demandé de résoudre des problèmes avec un logiciel de comptabilité et de banque en ligne. Dans ce contexte, il tente alors d’obtenir l’accès ou les coordonnées bancaires de la personne à qui il s’adresse.
Souvent, la première étape d’une cyber-attaque consiste à introduire clandestinement un cheval de Troie. C’est le cas, par exemple, lorsque la victime est amenée à cliquer sur un lien infecté dans un email digne de confiance. Plus le courriel et son adresse sont réputés, plus ce type d’hameçonnage a de chances de réussir. Les objets tels que « rappel », « suspension de compte » ou « contrôle de sécurité » ont pour but de mettre l’accent sur la victime potentielle et de l’encourager à prendre des mesures irréfléchies.
La façon dont un criminel s’approche de votre TAN ne vous préoccupe pas vraiment en tant que consommateur. Au lieu de cela, vous devriez vous concentrer sur la protection contre les premières étapes d’une cyberattaque (ingénierie sociale et la contrebande de chevaux de Troie). Par exemple, vous devez prêter attention aux indices de phishing ou vous n’avez pas à transmettre sans plus attendre des données sensibles à des étrangers, même si ceux-ci agissent en tant que fournisseurs de services fiables (support informatique, fournisseurs de services comptables, etc.).
La manière d’acheter des marchandises se déplace et se transforme sans cesse sur Internet. En effet, les achats en ligne se multiplient sur le Web et prennent une importance croissante. Le secteur des services a également, et ce depuis longtemps, considéré le Web comme un canal de distribution porteur. Le e-commerce reste cependant freiné par les nombreux doutes que suscitent les différentes...
Les méthodes de paiement proposées par une boutique en ligne se révèlent souvent être un critère d’achat décisif pour de nombreux internautes. Face aux prélèvements bancaires, paiements par carte de crédit et par virements, ce nouveau mode de paiement a gagné en popularité ces dernières années. Mais que se cache-t-il derrière cette ancienne filiale d’eBay ? Et comment créer votre propre compte...
Les français aiment faire des achats en ligne, surtout parce qu'il est possible de les faire depuis chez soi. Le paiement est alors également effectué avec l'option la plus pratique et la plus rapide : le service de paiement en ligne PayPal, le plus populaire parmi les porte-monnaie électroniques. Mais tout le monde ne veut pas stocker ses données sensibles avec le leader du secteur, qui soulève...
eBay, le site de ventes aux enchères en ligne, est connu par presque tout le monde. Les commissions élevées et les expériences négatives incitent toutefois certains utilisateurs à chercher des alternatives à eBay. Il existe, en effet, des marchés en ligne et des plateformes où vous pouvez acheter et vendre en toute sécurité. Nous présentons ici les meilleures alternatives à eBay et les comparons....
Strong Customer Authentication (SCA) fait partie de la deuxième Directive européenne sur les services de paiement (DSP2), qui vise à rendre les transactions en ligne plus sûres pour l’ensemble des parties. Ceci est principalement assuré par l’obligation d’une authentification à deux facteurs. Cet article explique ce que cela signifie pour les futurs paiements en ligne et comment fonctionne...
Offrez un service performant et fiable à vos clients avec l'hébergement web de IONOS.
Créez une adresse personnalisée Affichez votre sérieux sur Internet Nom de domaine inclus