Comprendre enfin la DSP2 : Double authentification, cryptage de données…

Enfin tout comprendre sur cette Directive initiée par l'Union Européenne qui vise à protéger le consommateur et à faciliter l'accès des données des banques entre les établissements.

Les banques sont devenues une cible attractive des pirates informatiques. Les souscripteurs en font donc les frais. C’est notamment pour protéger les clients du vol de leur argent en banque que la DSP2 a été créée.

La DSP2 c’est quoi ?

Qu’est-ce que la DSP2 dans la pratique ?

Chaque année, ce sont environ 15 % des acheteurs en ligne qui sont victimes de piratage informatique et de fraude. C’est pourquoi la DSP2 a été mise en place dans le but de protéger les clients, plus spécifiquement leurs comptes financiers enregistrés auprès des banques qui ont un accès en ligne. Cette Directive sur les Services de Paiement (DSP) a déjà eu une première version en 2007.

Celle qui a été entamée en 2013 et mise en application en 2019 visait non seulement à sécuriser les paiements, mais aussi à faciliter l’accès aux données bancaires entre établissements. Il s’agit ici de la DSP2.

Le code de sécurité systématique à deux facteurs

La DSP2, ou Seconde Directive sur les Services de Paiements de l’Union européenne, est une directive établie pour protéger le consommateur.

La DSP2 a instauré une règle permettant d’optimiser la sécurité des informations et des transactions des clients des banques en ligne. Ce règlement utilise donc une authentification à deux facteurs :

  • Facteur n° 1 : le code confidentiel seulement connu du titulaire du compte.
  • Facteur n° 2 : le matériel utilisé tel que la carte bancaire ou le token – boîtier générateur de mots de passe à usage unique.

Grâce à la DSP2, les opérations bancaires en ligne sont donc encore plus sécurisées. Chez Fortuneo ou Monabanq par exemple, ce procédé d’authentification est déjà opérationnel pour garantir une confidentialité et une sécurité maximales.

Les souscripteurs peuvent choisir d’activer cette sécurisation renforcée pour chaque connexion. De ce fait, en plus du mot de passe et de l’identifiant, le client doit également renseigner un code à usage unique envoyé par serveur vocal ou par SMS.

Les Regulatory Technical Standards du DSP2

Plusieurs volets de règles composent la DSP2, dont les Normes Techniques Réglementaires ou Regulatory Technical Standards.

Ces règles sont bénéfiques aux consommateurs des e-banques à divers niveaux :

  • Consolidation des droits des consommateurs.
  • Prohibition de la surfacturation.
  • Imposition de l’authentification forte.

Dans le cadre de la sécurisation de leur compte, les clients s’intéressent surtout sur l’authentification forte. Cette obligation se résume à :

  • Ce que le client sait : son code PIN et son mot de passe.
  • Ce que le client possède : son téléphone portable et son ordinateur.
  • Ce que le client est : sa voix, sa rétine et son empreinte digitale.

Quelles sont les mesures de sécurité prises par les banques en ligne ?

Pour rassurer les souscripteurs, les banques en ligne comme Boursorama ou encore Monabanq mettent en place deux principaux systèmes de sécurisation :

  • D’une part, le cryptage des données.
  • D’autre part, l’authentification du client.

En quoi consiste le cryptage de données ou SSL ?

La plupart des banques, qu’elles soient traditionnelles ou en ligne, utilisent le Secure Sockets Layer ou SSL pour sécuriser leur site web.

Dans la pratique, le SSL permet de sécuriser les transactions qui ont lieu entre le serveur de la banque et l’ordinateur du client.
Autrement dit, le cryptage de données empêche les hackers de saisir les informations de l’extérieur du site internet.
Il contribue également à la sécurisation des données des banques en ligne. Si les pirates parviennent à s’introduire dans le compte du client, le SSL ne permettra pas la détection du problème. Voilà pourquoi les banques en ligne « redoublent » de vigilance en utilisant la méthode d’authentification sécurisée comme imposée par la DSP2. Pour savoir si une banque utilise le SSL, on regarde son URL. L’adresse doit être « HTTPS » avec S pour SSL comme celle de Hello bank! affiliée à BNP Paribas, par exemple.

Qu’est-ce que la méthode d’authentification sécurisée ?

La sécurisation des données sur les sites officiels des banques en ligne est difficile à pirater. Cependant, rien ne garantit qu’une personne mal intentionnée n’usurpe l’identité du vrai client et use de ses mots de passe et de ses codes d’accès à son insu.

En parvenant à ses fins, le pirate peut s’introduire sur l’espace client et utiliser les fonds disponibles à sa guise. Dans ce cas, la banque ne saura pas qui utilise réellement le compte à ce moment-là.

Pour y remédier, les banques sécurisent leur site une deuxième fois avec l’authentification sécurisée. Elles envoient un identifiant et un mot de passe dans deux « messages » séparés pour se conformer à la sécurisation à deux facteurs du DSP2. Le client garde ces informations et ne doit en aucun cas les divulguer.

Pour contrecarrer les spywares (logiciel espion), les mots de passe sont saisis par clic et non par le biais du clavier. Ainsi, le logiciel espion ne pourra pas sauvegarder le code.

Comment la DSP2 prend forme au quotidien ?

Certaines transactions sont plus sensibles que d’autres. C’est le cas d’un ajout de comptes bénéficiaires ou de virements bancaires.

Pour assurer la sécurisation des informations, les banques en ligne emploient le numéro de portable du client pour la confirmation de la transaction. Ce procédé permet également de conserver le niveau de sécurité de l’opération. En conséquence, si le client n’a pas donné d’ordre pour la transaction, le pirate ne recevra aucun code de confirmation en SMS pour finaliser son acte.

En parallèle, un SMS sera envoyé au client pour lui signaler qu’une transaction a lieu sur son compte. Il pourra contacter sa banque pour en informer son gestionnaire.

L’importance de l’affiliation des e-banques aux banques mères

La majorité des banques en lignes sont rattachées à des groupes bancaires connus. C’est notamment le cas des e-banques françaises. Elles sont en outre soumises aux mêmes règlementations.

Ces contraintes sont exigées par le Code Monétaire et Financier pour divers motifs, tels que :

  • La gestion prudentielle.
  • La comptabilité d’organisation .
  • La division des risques.

Les bons réflexes pour assurer la sécurité de son compte sur une banque en ligne

Certes, les banques en ligne déploient déjà les moyens nécessaires pour sécuriser les comptes hébergés chez elles. Mais il peut arriver que les pirates s’en prennent directement aux clients sans passer par la banque.

Dans ce cas, il convient que les clients eux-mêmes prennent aussi des mesures de leur côté :

  • Garder ses identifiants et ses mots de passe secrets : personne n’a le droit de s’enquérir de ces données, même la banque elle-même.
  • Utiliser un pare-feu et un antivirus, ou même parfois un VPN.
  • Éviter d’utiliser d’autres ordinateurs pour se connecter à son espace client.
  • Ne jamais se connecter depuis un réseau wifi non sécurisé sur son compte bancaire ou sa boîte email sur laquelle la banque communique.

Liste des établissements

Ing Logo
ING

2ème banque en ligne, avec plus d'un million de clients et une vaste gamme de services bancaires, dont le Livret Épargne Orange.

Bforbank Logo
BforBank

Fondée en 2009 par le Crédit Agricole, sans être élitiste, BforBank a une stratégie qualitative auprès de ses clients.

Hello Bank Logo
Hello bank!

Hello bank! arrive à satisfaire aussi bien les jeunes, que les CSP+. Elle s'appuie sur le réseau d'agences physiques de la BNP Paribas.

Fortuneo Logo
Fortuneo

Fortuneo est la banque en ligne la plus généreuse avec ses clients en terme de primes et de solutions de paiement.