Une règle européenne devenue banale dans les applications bancaires
Entrée dans le paysage bancaire à partir de 2021, l'authentification forte est désormais au cœur du fonctionnement des services de paiement et des applis bancaires. Imposée par les autorités européennes pour contenir la hausse des fraudes sur les paiements à distance, elle exige la combinaison d'au moins deux éléments distincts pour prouver l'identité d'un titulaire ou valider une opération sensible.
Ce que cela signifie concrètement pour les clients
Pour un usager, la mise en place de ce dispositif se traduit le plus souvent par l'apparition d'une validation complémentaire au moment d'un paiement en ligne ou lors d'opérations risquées — par exemple l'ajout d'un bénéficiaire de virement. Les banques françaises ont développé leurs propres dispositifs : Certicode Plus à La Banque Postale, Sécuripass au Crédit Agricole ou la Clé Digitale chez BNP Paribas sont des noms courants qui désignent la même logique : une double vérification.
Trois familles de facteurs d'identification
L'authentification forte s'appuie sur la combinaison d'éléments appartenant à au moins deux des catégories suivantes :
- Quelque chose que vous savez — mot de passe, code PIN.
- Quelque chose que vous possédez — le téléphone mobile permettant de recevoir une notification ou un code.
- Quelque chose que vous êtes — biométrie (empreinte digitale, reconnaissance faciale).
| Facteur | Exemples |
|---|---|
| Connaissance | Mot de passe, code PIN |
| Possession | Téléphone, token |
| Biométrie | Empreinte digitale, visage |
Un progrès face à la fraude, mais pas une panacée
Globalement, l'authentification forte a ralenti l'essor des débits frauduleux en ligne en rendant plus difficile l'usage de données volées. Elle protège les paiements à distance et l'accès aux services bancaires. En pratique, la méthode la plus répandue reste l'envoi d'une demande de validation via l'application bancaire, que le client doit ensuite déverrouiller pour confirmer l'opération.
Quand la sécurité devient critère commercial
Si la sécurisation des opérations est l'objectif affiché, la généralisation du dispositif a aussi été instrumentalisée par certaines institutions : communication autour d'outils propriétaires, conditions d'accès ou procédures qui peuvent compliquer la contestation d'un débit. Les banques comparent ainsi la sécurité qu'elles proposent, parfois en la présentant comme un service différenciant alors qu'il s'agit d'une obligation réglementaire pour les opérations sensibles.
Conséquences pour les clients et points de vigilance
Pour les particuliers, l'authentification forte implique quelques changements de comportement : nécessité d'avoir un appareil fiable (souvent un smartphone), maîtrise des interfaces bancaires et vigilance sur les recours disponibles en cas de fraude. Du côté des établissements, la conformité aux exigences européennes impose des choix technologiques et des risques de friction opérationnelle qui peuvent se traduire par des réclamations clients.
Au final, l'authentification forte reste un outil majeur de lutte contre la fraude. Sa pertinence dépendra cependant de la qualité de sa mise en œuvre par les banques et de la capacité des consommateurs à s'adapter à ces nouvelles exigences sans perdre leurs droits à la contestation et à l'indemnisation.