A2F - Authentification à deux facteurs : Authentification forte à 2 facteurs (A2F - 2FA). Deux preuves d'identité distincte du mécanisme d'authentification

cr  01.07.2021      r+  07.09.2022      r-  08.05.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

«Double authentification» par l'usage d'unsmartphone(ou autres appareils) sur lequel unsite Webou un service en ligne (gouvernement et ses innombrables démarches administratives réalisables en ligne, banques, administrations, domaines de ventes, hôpitaux, assurances, gestionnaires d'un compte vous appartenant, etc.) vous envoie un code à usage unique pour vérifier que vous êtes bien qui vous prétendez être.

Il y a trois organisations en jeu : le vendeur Une plateforme interbancaire(obligatoirement agréée, en France, par la Banque de France [utilisezOrias : existence légale d'un organisme interbancairepour le vérifier])  La banque de l'acheteur.

Paiement en ligne
«Double authentification»
Schéma de principe

Si un paiement est tenté sur leWebavec votre carte bancaire (ou toute autre opération comme un virement, etc.), laméthode de «double authentification»mise en place par votre banque va vous contacter par le moyen convenu, par exemple, vous appeler surun numéro de téléphone que vous lui avez donné(poste fixe ou appareil mobile).

1. Après avoir saisi votre mode de paiement chez le vendeur (par exemple le réseau de la carte de paiement utilisé, le titulaire, le numéro de carte, sa date d'expiration et votre code de vérification secret), le vendeur passe ces informations à la plateforme interbancaire agréée.

2. La plateforme interbancaire agréée dirige la demande vers votre banque.

3. Votre banque procède immédiatement aux vérifications d'usage (la carte n'est pas bloquée, n'est pas signalée volée, le titulaire annoncé est celui prétendu, la date d'expiration est la bonne, le code de vérification est le bon, le solde du compte permet ce paiement).

4. Votre banque lance alors, auprès de vous, sonprotocole de «double authentification». Par exemple un robot téléphonique (pas une personne physique) va vous appeler sur le numéro de téléphone que vous lui aviez donné lors de la souscription à votre carte bancaire (ou vous donner le choix entre plusieurs numéros de téléphone que vous lui aviez donnés : par exemple le fixe à la maison et le smartphone).

   1. Si un numéro de smartphone est utilisé, c'est unSMSqui va vous être envoyé. Ceci vous permet de faire des achats en ligne lors de déplacements, y compris à l'étranger.

   2. Si un numéro de téléphone fixe est utilisé, c'est un appel en synthèse vocale qui vous est envoyé. Ceci ne vous permet pas de faire des achats en ligne alors que vous êtes en déplacement.

   Dans les deux cas, vous devez reproduire ce code sur un formulaire qui s'affiche.

5. La plateforme interbancaire est informée par la banque et communique avec le vendeur pour l'autoriser ou lui interdire de poursuivre.

6. Si confirmation que vous êtes bien qui vous prétendez être, le vendeur vous demande alors de confirmer votre demande.

7. La plateforme interbancaire reçoit alors l'appel en paiement du vendeur et le paye en débitant votre compte. Elle percevra une rémunération sur le compte du vendeur pour son intermédiation.

8. C'est terminé.

ATTENTION : après 3 échecs d'authentification, votre transaction est annulée et votre carte est bloquée. Contactez alors votre banque.

ATTENTION :

Jamais rien ni personne ne doit vous demander vos coordonnées bancaires par courriel ou par tout autre moyen, y compris vocal.

Tout contact vers vous prétendant qu'il y a une erreur (ou n'importe quoi de semblable) ou que c'est une opération de vérification que vous êtes bien le détenteur d'un compte et qu'il faut tout ressaisir pour vérifier que c'est bien vous, est une attaque en tentative de collecte de vos données les plus secrètes : c'est du «phishing» (ou «Hameçonnage» ou, plus rarement, «Filoutage») conduisant à une ou des escroqueries dont VOUS SERIEZ LE SEUL RESPONSABLE. La demande de vérification ne peut se faire que par un organisme agréé en tant que plateforme interbancaire(obligatoirement agréée, en France, par la Banque de France [utilisezOrias : existence légale d'un organisme interbancairepour le vérifier]).La procédure sera suivie duprotocole de «double authentification»(point 4 ci-dessus).

Si vous avez un doute sur un lien(avec leWebsur l'Internetil vaut mieux douter de tout):

1. Faites glisser le pointeur de votre souris au-dessus du lien vers lequel vous seriez dirigé,SANS CLIQUER. Observez le lien qui apparait clairement, généralement en bas à gauche de votre écran.

2. Après le protocole (HTTPS) et avant le premier caractère slash (« / »), vous devez impérativement voirle nom exactdudomaine(site Web) de votre fournisseur qui enregistre votre commande.

3. Une demande parcourrielrelève exclusivement d'une tentative d'extorsion (ingénierie sociale) qui sera suivie d'uneusurpation d'identitéet dudétournement (vol) de votre argent dont vous serez le seul responsable.

La « double authentification » est également dite « vérification en deux étapes » ou, en anglais : « Two-factor authentication » ou désignée par son acronyme anglais « 2FA »).

Voir Double authentification.

A2F Authentification à deux facteurs (recherches avec google)
A2F Authentification à deux facteurs (recherches avec qwant)