Enquête

Achats en ligne : les exclus de la double authentification des banques

L’authentification forte imposée exclut de nombreux clients sans smartphone ou avec d’anciens modèles. Des situations particulièrement discriminantes.
Une femme découpe sa carte bancaire aux ciseaux
Getty Images/Big Cheese Photo

Face à une économie qui se numérise, l’Union européenne a souhaité accroître la sécurité des paiements à distance. Il s’agissait de renforcer la confiance des consommateurs dans les achats en ligne. Des normes de sécurité plus strictes ont donc été mises en place avec la seconde directive européenne sur les services de paiement (DSP2).

Depuis l’été 2021, les paiements sur Internet doivent donc faire l’objet d’une double authentification (ou authentification forte) : au moins deux preuves d’identification distinctes et indépendantes doivent être apportées par l’acheteur.

À LIRE AUSSI >>> Pourquoi ma banque refuse-t-elle de me rembourser après une fraude ?

Objectif : la réduction des fraudes

« Ces preuves, explique Guillaume Yribarren, directeur d’activité adjoint conseil chez Galitt, peuvent être un élément “connaissance” que seul l’utilisateur connaît (mot de passe, question ou code secrets) ; un élément “possession” que seul l’utilisateur possède (téléphone mobile ou fixe, montre connectée ou appareil fourni par la banque) et un élément “inhérence” qui est une caractéristique personnelle de l’utilisateur (empreinte digitale, forme de l’iris de l’œil ou reconnaissance vocale). »

Cette double authentification destinée à réduire le nombre de fraudes ne concerne pas les achats inférieurs à 30 €, ni les opérations récurrentes (abonnements, par exemple) à partir du deuxième paiement. Certaines transactions peuvent aussi y échapper, à la demande des commerçants.

Sans application bancaire, pas d’opération

Lors de la mise en place du dispositif, tous les clients des banques ont reçu un message de leur banque les informant de cette exigence européenne… mais aussi de la nécessité de télécharger sur leur smartphone l’application de la banque permettant cette double authentification grâce à de nouveaux dispositifs : Certicode Plus à la Banque postale, Clé Digitale chez BNP Paribas, Sécur’Pass à la Caisse d’épargne et à la Banque populaire, Sécuripass au Crédit agricole, Pass Sécurité à la Société Générale…

Pour ne pas laisser sur le bord de la route les clients sans smartphone, la Banque de France avait exigé, dès le départ, « que les banques proposent aux personnes qui n’ont pas de smartphone ou qui ne souhaitent pas utiliser l’application mobile (environ 30 %) une méthode alternative et gratuite, indique Julien Lasalle, adjoint au directeur des études et de la surveillance des paiements, à la Banque de France. À ce jour, les principales solutions déployées par les banques sont celles qui associent un mot de passe à usage unique (transmis par SMS ou par serveur vocal interactif) et un code confidentiel personnel (mot de passe de banque en ligne ou code dédié attribué par la banque). »

Des situations discriminantes

Si la situation s’est améliorée en deux ans (tous les réseaux affirment désormais proposer des plans B), des agences font de la résistance, puisque 60 Millions reçoit toujours des témoignages de clients ne se voyant offrir que l’application bancaire accessible sur smartphones récents comme seule solution.

Sans système permettant l’authentification forte, ces clients se retrouvent donc dans des situations compliquées : impossibilité d’acheter sur Internet, mais aussi d’accéder à leur compte bancaire en ligne et/ou d’y réaliser certaines opérations sensibles (virements externes, ajout d’un bénéficiaire de virement, changement de code de carte bancaire…).

À LIRE AUSSI >>> Fraude à la carte bancaire : comment se faire rembourser

Sans smartphone récent, les clients face à un mur

Un client du Crédit mutuel indique avoir reçu un message signalant que sa banque « accordait les délais nécessaires à ceux qui ne possèdent pas de smartphone, leur permettant, à titre transitoire, l’utilisation d’un code envoyé par SMS ». En d’autres termes, la possession d’un smartphone deviendrait, à terme, indispensable.

Quant aux clients ne possédant pas de téléphone mobile, ils se retrouvent souvent face à un mur. « Je trouve le principe de m’obliger à détenir un téléphone mobile discriminatoire. Conscient de faire partie d’une minorité négligeable, je souhaiterais néanmoins savoir s’il existe des organismes bancaires permettant d’avoir accès aux achats Internet sans mobile », demande Chris M.

Vous pouvez saisir le Défenseur des droits

Les banques proposant des solutions ne nécessitant pas de téléphone portable sont minoritaires. Signalons que le Crédit agricole, la Banque populaire-Caisse d’épargne (BPCE) et Boursorama proposent l’envoi d’un code par serveur vocal automatique sur le téléphone fixe.

BPCE et Crédit mutuel-CIC proposent aussi à leurs clients un boîtier lecteur de carte qui délivre un code unique leur permettant une authentification forte sans application bancaire. Mais celui-ci est parfois payant (29 €/an) dans ce dernier réseau.

À LIRE AUSSI >>> Ces pubs sur Google peuvent ruiner vos économies

Les consommateurs lésés – ne pouvant pas acheter sur Internet ou accéder à leur compte bancaire, faute de solution autre que l’appli – ont intérêt à écrire à leur agence en mettant en copie la direction du réseau qui s’est engagée sur des alternatives. Ils peuvent aussi saisir le Défenseur des droits en invoquant une discrimination.

Des témoignages accablants reçus par 60 Millions

  • Carole B. : « Dans mon application bancaire, j’ai un message me signalant que mon téléphone ne pourra plus se mettre à jour, ce qui pourra affecter son fonctionnement et sa sécurité. »
  • Claire P. : « Je suis cliente de la Banque postale. En mai 2022, l’appli mobile a fait l’objet d’une nouvelle version, que j’ai téléchargée. Mais elle est réservée au système d’exploitation Android 7.0. Or, mon téléphone n’est pas compatible avec des versions Android supérieures à 6.0. Et je ne peux pas réinstaller l’ancienne version pour valider mes opérations. Je pourrai toujours recevoir un SMS pour valider mes achats en ligne (avec saisie du mot de passe). Mais je n’accède plus à mes comptes sur Internet. Tous les 90 jours, l’accès nécessite une authentification par l’appli. »
  • Benoît M. : « Lors de la mise en place du dispositif au Crédit agricole, à chaque connexion sur mon compte, un écran proposait d’activer Sécuripass, mais je pouvais refuser. Aujourd’hui, ce n’est plus possible et je ne peux plus accéder à mes comptes… »
À lire aussi
Vient de paraître
Commentaires
Recevoirla lettre d'info de 60 Millions
Derniers essais
comparatifs
forum

Free me réclame du matériel déjà renvoyé suite à une résiliation en 2019. Téléphone, courrier avec accusé de réception, rien n’y fait, on me réclame toujours ce matériel que je ne possède plus et dont je n’ai plus les preuves d’envoi, sans quoi je serai facturé de 400 €.

603Personnes connectées
Lire un numéro
Testezvotre connexion Internet
Téléchargeznos applications
Rejoignez la page
Facebook
de 60 millions
Abonnez-vous