• @marclaime
    Marc Laimé

    Pourquoi les banques vont exiger que leurs clients aient un smartphone

    « Avec la mise en place de la directive européenne sur la sûreté
    bancaire, les banques incitent fortement leurs clients à utiliser un
    smartphone récent équipé d’un système d’exploitation américain. Ceux qui n’en ont pas risquent de ne plus pouvoir accéder à leur compte en ligne.

    Depuis le 20 janvier dernier, certains clients du Crédit Mutuel ont eu
    la surprise de ne pas pouvoir se connecter à leur compte. La banque
    exige désormais que le client télécharge une appli sur son téléphone
    mobile. Faute de quoi, l’accès aux comptes est refusé. Le service
    technique de la banque est débordé par les appels des clients qui
    n’ont plus accès à leurs comptes. La banque se défend en expliquant
    qu’elle se contente d’appliquer là une directive européenne qui oblige les banques à mettre en place un système d’authentification forte, avec au moins deux facteurs d’identification, une directive à laquelle toutes les banques sont tenues de se conformer.

    Concrètement, explique la FBF (fédération bancaire française)
    "l’authentification forte s’appuie sur l’utilisation d’au moins deux
    éléments parmi les 3 catégories suivantes : une information que le
    client est seul à connaître tel qu’un mot de passe ou code secret, une
    utilisation d’un appareil qui appartient au client (téléphone
    portable, montre connectée, appareil dédié fourni par la banque) et
    une caractéristique personnelle qui est intimement liée au client
    comme la reconnaissance vocale, faciale, l’empreinte digitale"... Le
    Crédit Mutuel a donc décidé d’inciter très fortement ses clients à
    télécharger une appli mobile, dont l’utilisation est indispensable
    pour se connecter à leur compte en ligne, même si le compte est
    consulté sur PC. "Il y a une solution proposée à ceux qui ne
    détiennent pas de téléphone mobile, précise un porte-parole, ils
    peuvent utiliser un boîtier autonome équipé d’un lecteur de QR code ou un boîtier lecteur de cartes, connecté via port USB au PC." La
    première solution coûte 29 euros et la seconde suppose un abonnement annuel de 15 à 20 euros. Selon le porte-parole, la banque doit en passer par là pour se mettre en conformité avec la DSP2. »

    Lire la suite :

    https://www.challenges.fr/finance-et-marche/banques/pourquoi-les-banques-vont-exiger-que-leurs-clients-aient-un-smartphone_69

    Marc Laimé
    • @biggrizzly
      BigGrizzly CC BY-NC-SA

      L’application ne demanderait pas l’accès aux contacts et aux images, j’aurais installé en maugréant, mais j’aurais utilisé l’outil.
      Mais non, il faut que l’application demande l’accès à tout ce qui est inutile pour l’authentification forte.
      Alors, j’ai demandé le boitier pourri qui ne fonctionne que sur une seule machine à la fois, avec des drivers peu commodes. Et je ne l’ai pas encore mis en oeuvre. Je ne retrouve pas la carte qui va avec. Et en fait... le CM a décidé de faire de la validation par code SMS. J’ignore s’ils vont le faire longtemps, mais dans l’immédiat, ça me va bien. C’est pénible. Mais c’est mieux que tout le reste.
      A noter que récemment, j’ai un client qui par naïveté a laissé des inconnus entamer une télémaintenance sur son poste, tout en donnant son n° de CB. Autant dire que potentiellement, il doit remplacer tous les mots de passe stockés dans son navigateur, en plus de bloquer sa CB. Et dans de tels cas, on est bien heureux de la mise en œuvre d’une procédure « 2FA », second facteur d’authentification.

      BigGrizzly CC BY-NC-SA
    Écrire un commentaire