Comprendre l'authentification forte

Celui-ci consiste essentiellement à combiner deux facteurs  pour s'authentifier.
Aujourd'hui, l'authentifiaction à un seul facteur, mot de passe par exemple, ne présente plus une sécurité suffisante, de plus, pas de traçabilité possible.
Le fait de combiner deux codes seulement (mot de passe et SMS) ne suffit pas également.
La sécurité provient par la vérification que l'utilisateur, par l'intermédiaire de 2 moyens différents (ordinateur et smartphone) sont couplés à l'authentificateur (une banque par exemple)
Exemple, un achat sur internet avec paiement par CB :
Simple authentification :

- le client prépare une commande sur un site marchand

- le client fournit les code de CB au site marchand

- le site marchand fait une demande de paiement au service bancaire (via les codes de la carte bancaire du client)

- la banque reçoit la demande et vérifie que la carte est valide et si oui retourne un code au site marchand

- la banque envoie le même code via un SMS au smartphone déclaré sur le compte du client

- le client saisi le code du SMS sur le site marchand

- le site marchand contrôle les codes (reçu de la banque et reçu du client)

- si les codes sont identiques, le site marchand valide la commande

Double authentification :

- le site marchand fait une demande de paiement au service bancaire (via les codes d'une carte bancaire du client)

- la banque reçoit la demande et vérifie que la carte est valide

- la banque envoie au client une demande de validation SUR UNE APPLICATION BANCAIRE installée dans le smartphone du client

(celui-ci s'étant authentifié par code PIN sur son smartphone).

- le client valide la transaction sur son smartphone à la banque

- la banque ayant la traçabilité site marchand - C -  application sécurisée sur le smartphone-  donne l'accord au site marchand pour la transaction

- le site marchand peut valider la commande en paiement

Cette double authentification nécessite l'usage d'un smartphone (connexté à internet), et que l'utilisateur maîtrise un minimum celui-ci.

DIRECTIVE (UE) 2015/2366 DU PARLEMENT EUROPÉEN ET DU CONSEIL
Journal officiel de l’Union européenne  23.12.2015

Extrait :

"Article 97  Authentification
1. Les États membres veillent à ce qu’un prestataire de services de paiement applique l’authentification forte du client lorsque le payeur:
a) accède à son compte de paiement en ligne;
b) initie une opération de paiement électronique;
c) exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse."

Les facteurs :

Les deux facteurs peuvent faire partie des éléments suivants :

    Quelque chose que l'on connaît : un mot de passe, un code PIN... ;
    Quelque chose que l'on est ou que l'on fait : une empreinte digitale, rétinienne, les battements de cœur ou d'autres facteurs biométriques ;
    Quelque chose que l'on possède : un téléphone mobile, une clé USB, une carte à puce ou magnétique, un badge RFID, un jeton d'authentification que l'on appelle aussi token ;
    Quelque chose que l'on sait faire : signature manuscrite, reconnaissance vocale ou gestuelle, la manière dont on tape sur un clavier ;
    Le lieu où l'on se trouve.

Infographie sur le site lesclesdelabanque.com