Ma banque est la Banque Postale.
Depuis assez longtemps, ils ont le système « Certicode », leur système d’authentification à deux facteurs (2FA) qui fonctionne en semaine (me demandez pas pourquoi, les week-ends ce truc ne fonctionne pas).
Je reçois un message dans leur messagerie me disant que bientôt ils vont passer ça à Certicode Plus :
Dans quelques mois, l’accés à vos comptes en ligne depuis l'Espace Client Internet ou l'application mobile sera soumis à une sécurisation plus forte.
(on passera sur la faute d’orthographe)
En explorant un peu, je découvre ça :
Certicode Plus est le nouveau service d’authentification forte permettant de sécuriser la validation des opérations dites « engageantes ou sensibles » réalisées depuis l’Espace Client Internet ou depuis l’application mobile La Banque Postale.
En gros : que j’utilise le site web ou l’application, Certicode Plus sera nécessaire.
Certicode Plus fonctionne avec l'application La Banque Postale installée sur votre smartphone ou tablette. Si vous n'êtes pas équipé d'un smartphone ou d'une tablette, nous vous invitions à prendre contact avec votre conseiller.
En gros : je devrais installer l’application mobile.
Si vous changez de numéro de téléphone, cela n’a aucun impact sur le fonctionnement de votre service Certicode Plus qui s’appuie uniquement sur votre appareil mobile.
En gros : le système repose sur l’appareil, et non le numéro de téléphone.
Honnêtement, ça me fait déjà chier d’avoir à installer une application de force comme ça. Mais quand je vois les autorisations demandées par l’application, je dis stop :
Donc pour ma sécurité, ma banque devra :
- connaître les applications en fonctionnement sur mon téléphone
- savoir où je suis
- pouvoir utiliser mon téléphone pour passer des appels
- savoir qui m’appelle et quand
- accéder à l’intégralité du contenu enregistré sur mon téléphone
- pouvoir ajouter ou supprimer des données à leur gise
- prendre des photos et des vidéos avec mon téléphone
- connaître les réseaux wifi autour de moi
- se connecter à internet
- avoir un accès complet au réseau
- lancer des applications au démarrage
- faire vibrer mon téléphone
- l’empêcher de se mettre en veille (et au passage me pomper toute la batterie).
En prime, cette liste n’est pas exhaustive et pourra être étendue dans l’avenir.
Vous trouvez peut-être ça normal, mais pas moi.
Je vais les contacter pour voir, et s’ils n’ont pas de solution, je changerai de banque.
Mise à jour : cet article est assez populaire sur mon blog. Je tiens donc apporter quelques précisions.
Premièrement, LBP modifie son système d’authentification car c’est une directive européenne (la DSP2) qui veut ça. C’est cette directive qui demande aux banques d’être plus sécurisées en ce qui concerne les paiements en ligne.
Il est probable que les autres banques fassent pareil d’ici septembre 2019.
En revanche, contrairement à ce qu’on lit et contrairement à ce que disent la plupart des banques : la directive ne demande pas aux banques d’obliger à ses clients d’installer une application mobile pour gérer son argent.
La directive prévoit en effet que les paiements de plus de 50 euros soient sécurisés par deux facteurs (juste les paiements >50 €, pas l’accès aux comptes), là où précédemment il y en avait qu’un seul : avant un mot de passe suffisait.
Selon cette directive, il faut au moins deux des trois choses suivantes :
- un mot de passe (« ce que l’utilisateur sait »)
- une donnée biométrique (« ce que l’utilisateur est »)
- un code produit par un appareil de l’utilisateur (« ce que l’utilisateur possède »)
Sur ce dernier point, le smartphone peut faire l’affaire. Mais la banque peut aussi proposer un petit boîtier (comme un lecteur de cartes) dans lequel on insère sa carte et qui donne alors un code à usage unique à entrer lors du paiement.
Cette solution (du boîtier) me semble la meilleure : c’est la banque qui fournirait le boîtier (certaines le font déjà) et pas à l’utilisateur de fournir le smartphone, et c’est aussi sans risque de vol de vie privée par votre banque. Si vous en avez la possibilité, demandez cette solution à votre banque.
Si toutes les banques vous poussent à installer des applications mobiles, c’est pour trois raisons :
- c’est la méthode la moins chère pour eux
- c’est la méthode la plus avantageuse pour eux (un bon prétexte pour installer un mouchard sur votre téléphone)
- c’est la méthode la moins avantageuse pour vous, le client (ça demande un smartphone récent et l’appli vous pompe la batterie et votre vie privée)
Bref, ne vous laissez pas faire : oui, ce changement intervient suite à une directive européenne, mais non une application mobile n’est pas la seule méthode. La directive DSP2 n’oblige absolument pas l’installation d’une application, contrairement à ce que raconte votre banque.