Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?

Posté par  . Édité par Julien Jorge. Modéré par Julien Jorge. Licence CC By‑SA.
Étiquettes :
33
26
avr.
2026
Justice

L’obligation croissante d’utiliser une application mobile bancaire pour valider des opérations sensibles devient un problème bien réel pour une partie des usagers : personnes sans smartphone, téléphones trop anciens, appareils non compatibles, ou encore systèmes alternatifs et dégooglisés.

Le sujet n’est pas seulement bancaire. Il touche aussi aux logiciels libres, à la liberté de choix technique, et plus largement à l’exclusion numérique. Lorsqu’une opération essentielle ne peut plus être validée que depuis une application propriétaire distribuée dans les écosystèmes de Google ou d’Apple, l’accès au service dépend alors d’un canal technique unique.

Le cas de BoursoBank a récemment relancé la discussion sur LinuxFr. Dans mon cas, lors d’opérations sécurisées, l’interface web m’a renvoyé vers l’application mobile comme unique moyen de validation. Certaines pages d’aide de la banque évoquent pourtant des solutions alternatives ou de secours, mais le service client m’a indiqué aujourd’hui qu’il n’existait en pratique pas d’autre moyen de valider ces opérations sans l’application mobile.

C’est précisément ce décalage entre la communication affichée, l’expérience réelle et la réponse du support qui pose problème. Il laisse l’usager dans une situation d’incertitude, y compris lorsqu’il cherche à quitter ce modèle pour une autre banque, sans garantie de ne pas retrouver la même contrainte quelques mois plus tard.

Cette évolution interroge : pourquoi ne pas proposer systématiquement des alternatives robustes, comme un second facteur indépendant de l’application mobile ?

Dans ce contexte, une pétition a été lancée pour demander que les banques opérant en France proposent au moins une méthode de validation forte utilisable sans application mobile imposée. Elle met en avant un principe simple : une banque peut être sécurisée sans réserver de fait ses services aux smartphones Google ou Apple.

Journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services

Posté par  . Licence CC By‑SA.
Étiquettes :
35
9
fév.
2026

J'ai ouvert un compte Boursorama il y a quelques années, pour éviter d'avoir à utiliser l'app bancaire fournie par mon autre banque. Cela fonctionne pas trop mal, même si c'est un peu lourd d'avoir des codes de validation via sms ET email.

Par contre ce matin, j'ai eu le déplaisir de recevoir ce message de Boursorama :

Bonjour,

Pour continuer à gérer vos comptes simplement et réduire les risques de fraude, l’App devient indispensable.

👉 Concrètement, qu’est-ce qui (…)

Journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !

Posté par  . Licence CC By‑SA.
Étiquettes :
34
3
avr.
2025

Les banques vont bientôt supprimer l'envoi de SMS pour renforcer l'authentification sur leur site.
C'est une bonne chose car cette méthode est l'objet d'attaques.

Elles vont soit-disant déployer l'authentification forte (ou a double facteur) en application de directive européenne DSP2.

En fait, l'alternative proposée est de pousser les utilisateurs à installer l'application de la banque sur leur smartphone. Ce qui n'améliore pas vraiment la sécurité (quand on utilise l'appli pour faire ses opérations bancaires et qu'on s'authentifie avec, il n'y (…)

Journal Les banques et l'authentification à deux facteurs

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
10
13
juin
2023

Comme vu récemment, les banques sont dans l'obligation d'implémenter une authentification à deux facteurs pour certains trucs. Je n'ai pas très bien compris pour quels trucs, mais bref, ça s'applique visiblement pour certains achats en ligne et pour certains opérations particulières comme par exemple l'ajout de bénéficiaires de virement. Je crois que ça dépend des banques.

Pour rappel, l'authentification à deux facteurs consiste à demander à l'usager deux types de preuves de son identité, parmi trois types : une connaissance (…)

Journal Ils sont devenu fous

Posté par  . Licence CC By‑SA.
Étiquettes :
12
11
juin
2023

Cher journal

Pour sécuriser les paiements internet, en plus du code reçu par internet une double authentification est désormais demandé (meme en utilisant des cartes virtuelles que l'on vient de générer)

Il faut donner le mot de passe de son compte. C'est complètement stupide, on ne cesse de répéter qu'il ne faut pas communiquer à tout va son mot de passe… Vive les sites de phising pour récupérer les mots de passe bancaire. Les url de vérif sont souvent des (…)

Journal BPCE et les paiements avec authentification à deux facteurs

Posté par  . Licence CC By‑SA.
Étiquettes :
65
4
avr.
2022

Je suis scandalisé. Voilà.

Depuis quelques semaines, ma banque me prévient qu'ils vont activer l'authentification à deux facteurs lors des paiements. Ça ne m'inquiète pas plus que ça, j'ai déjà ça chez Boursorama depuis récemment, et ça se passe à peu près comme ça :

  1. On rentre ses informations de carte sur le site marchand.
  2. 3D-Secure se met en marche, avec une iframe, et celle de Boursorama dit qu'il faut se connecter sur son espace client, dans un nouvel (…)

Journal Parlons des trains qui arrivent à l'heure : L'éclat de verre, le Crédit du Nord et les autres

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
29
19
déc.
2021

L'esprit de Noël a frappé à ma porte en la forme de deux gestes numériques que j'ai jugés très satisfaisants, car respectueux et éthiques :)

Désabonnement de la lettre d'information non suivie suggéré par le site lui-même

J'ai reçu une newsletter inhabituelle de la part de la boutique de loisirs créatifs L'éclat de verre, intitulée : est-il temps de se dire au revoir !

Cela nous brise le coeur mais aujourd'hui nous pensons qu'il est temps de se quitter…

(…)

Forum Linux.général Paiement sécurisé sur un téléphone rooté

Posté par  . Licence CC By‑SA.
Étiquettes :
12
19
oct.
2021

Bonjour,

Voilà 15 ans que je lis LinuxFr quasi-quotidiennement et ceci est mon premier message :)

Le Crédit Agricole met en place un nouveau système de paiement sécurisé, SécuriPass, qui sera bientôt obligatoire pour tous les paiements en ligne, y compris ceux qui ne passent pas par mon smartphone. Cet outil passe par l'installation de l'application Ma Banque, qui fonctionne très bien sous LineageOS. Mais lorsque l'on veut activer SécuriPass, le message d'erreur suivant apparaît : "Votre appareil semble être (…)

Journal Échanges avec le support technique de Paypal concernant l'authentification à deux facteurs

Posté par  . Licence CC By‑SA.
Étiquettes :
26
3
déc.
2020

Prologue

Il y a quelques temps Paypal m'a envoyé des messages m'invitant à saisir mon numéro de téléphone mobile pour m'identifier car mon mot de passe allait être insuffisant. En effet, la directive européenne DSP2 impose aux banques d'avoir recours à l'authentification à deux facteurs.

Je n'ai pas de téléphone mobile…

Après avoir cherché vainement dans la doc et sur internet, j'ai donc contacté Paypal pour savoir quelle alternative j'avais et si j'allais être enfermé dehors si je ne faisais (…)

Journal Quand la Caisse d'Épargne force ses clients à réactiver des protocoles de sécurité obsolètes

Posté par  . Licence CC By‑SA.
Étiquettes :
32
19
juil.
2020

Bonjour,
Client de la Caisse d'Épargne (dont je cherche clairement à en partir, et l'histoire du jour n'est pas la seule raison), quelle ne fut pas ma surprise de découvrir que le site Web de ma banque me demande ni plus ni moins que de rétablir des protocoles de sécurité que les navigateurs Web ne supportent plus : TLS 1.0 et 1.1

Par curiosité, j'ai fait 2-3 recherches à ce sujet : Apple, Google, Microsoft et Mozilla ont annoncé en (…)

Journal L’authentification molasse

Posté par  . Licence CC By‑SA.
Étiquettes :
37
22
déc.
2019

Les banques, en retard sur la mise en place de la directive DSP2, semblent presser leurs clients à adopter une authentification à deux facteurs ne passant plus par le SMS.

La solution, notamment chez le carré vert et sa filiale à bas coût, c’est d’utiliser un module d’authentification « forte » dans l’application bancaire dédiée.

Cette solution française pour imposer le second facteur est donc de regrouper le système d’authentification sur le même moyen, et de surcroît dans la (…)

Journal Lettre ouverte à La Banque Postale

Posté par  . Licence CC By‑SA.
Étiquettes :
52
25
mai
2019

La Banque Postale prévient ses clients que la possession d’un smartphone ou d’une tablette sous Android ou iOS va devenir une condition nécessaire pour accéder à leur espace client.

Ils invitent ceux qui ne peuvent pas faire ça à les contacter. Ma première réaction a été d’aller voir au guichet : l’agent n’est pas au courant du caractère bientôt obligatoire de Certicode. OK, et bien je les contacte via mon espace client, sur lequel je peux encore accéder. J’ai décidé (…)

Journal Sécurité et authentification des sites bancaires.

Posté par  . Licence CC By‑SA.
Étiquettes :
21
20
mar.
2017

Bonjour,

dernièrement alors que je me connectais à mon interface client sur le site de ma banque (ING Direct), je me suis posé la question de la robustesse de leur système d'authentification.

En effet pr se connecter et s'authentifier il faut :

  • étape 1 : donner son compte client, et sa date de naissance
  • étape 2 : donner 3 chiffres, sur les 6 que composent son code secret. Les 3 chiffres à donner variant à chaque nouvelle connexion, ie le (…)