Page d'accueil Navigation Sommaire Contacts Sitemap
Les instituts financiers s’efforcent de sécuriser le plus possible les opérations d’e-banking de leurs clients. Différentes procédures et technologies d’identification sont donc utilisées à cet effet. L’article suivant traite des procédures et technologies actuelles en expliquant leur fonctionnement.

Liste à biffer ou liste TAN

Avec la méthode classique de la liste TAN, le client reçoit de la part de l’institut financier un mot de passe ou un code PIN ainsi qu’une liste sur support papier composée d’une série de numéros de transaction (TANs). Pour effectuer le login ou éventuellement d’autres opérations, il doit identifier dans l’ordre le TAN de la liste qui n’a pas encore été utilisé et le saisir dans le champ du login de la session d’e-banking. Une fois utilisé, il devra s’assurer de le rayer dans la mesure où ces codes sont à usage unique. Le TAN vient compléter l’identification par mot de passe ou  code PIN. Le mot de passe ou le code PIN, le TAN et le numéro d’identification sont transmis simultanément à l’institut financier et soumis à un contrôle sévère. Si tous les TANs de la liste ont déjà été utilisés, le client de l’institut financier reçoit une nouvelle liste.

Conseils pratiques :

  • Conservez la liste à biffer (TAN) dans un lieu sûr.
  • Ne sauvegardez pas la liste à biffer (TAN) sur un support électronique.
  • Ne notez aucun mot de passe ni code PIN, à moins de conserver ces notes sous clé.
  • Ne saisissez votre mot de passe ou votre code PIN que dans le champ de login de votre site d’e-banking.

iTAN

Dans le système iTAN, le client de l’institut financier reçoit une liste de numéros de transaction indexés (iTANs). Lors du login, il s’agit de taper le numéro d’identification et le mot de passe ou code PIN dans les champs prévus du site d’e-banking. Ces données sont alors transmises à l’institut financier qui confirme au client les informations dont il dispose (par ex. nom du client et date de la dernière session) et lui demande de saisir un iTAN spécifique. Le client tape alors le numéro iTAN demandé qui est transmis à l’institut financier en guise de confirmation.

Selon cette procédure, le client ne peut plus légitimer sa connexion à l’aide du prochain numéro TAN valable d’une liste. Au contraire, l’institut financier exige qu’il entre un numéro iTAN spécifique déterminé par un index choisi au hasard dans une liste active.

Conseils pratiques :

  • Conservez la liste iTAN dans un lieu sûr.
  • Ne sauvegardez pas la liste iTAN sur un support électronique.
  • Ne notez aucun mot de passe ni code PIN, à moins de conserver ces notes sous clé.
  • Ne saisissez votre mot de passe ou votre code PIN que dans le champ de login de votre site d’e-banking.

 

Généralités sur la procédure iTAN

mTAN (mobile TAN)

Conformément à ce que son nom laisse présager, ce procédé exploite, en plus du réseau de communication Internet, le réseau de téléphonie mobile. Une fois le login effectué à l’aide du numéro d’identification et du mot de passe ou du code PIN, l’institut financier transmet un code d’accès (mTAN) au client, directement sur son téléphone portable au moyen d’un SMS.  L’accès au compte n’est autorisé qu’après la saisie de ce code. Par ailleurs, toute transaction considérée comme potentiellement dangereuse doit être confirmée à l’aide d’un mTAN. Une telle confirmation n’est toutefois pas nécessaire pour tous les ordres de paiement. De nombreux systèmes mémorisent les destinataires récurrents d’un même client, de sorte que ce dernier n’ait pas à confirmer chaque virement.

L’ajout d’un canal de communication supplémentaire rend les attaques des cybercriminels en quête de TANs plus difficiles.

Conseils pratiques :

  • Vérifiez impérativement toutes les données saisies avant de confirmer votre transaction.
  • Ne conservez pas votre téléphone mobile et vos données d’accès au même endroit.
  • N’utilisez pas votre téléphone mobile pour effectuer vos opérations de banque en ligne.
  • Ne notez aucun mot de passe ni code PIN, à moins de conserver ces notes sous clé.
  • Ne saisissez votre mot de passe ou votre code PIN que dans le champ de login de votre site d’e-banking.

 

Généralités sur la procédure mTAN

eTAN

Dans ce système, le client reçoit de son institut financier un mot de passe ou un code PIN ainsi qu’un générateur électronique de TAN. C’est sur cet appareil que s’affiche l’eTAN à utiliser. Le générateur de TAN est doté d’une horloge précisément réglée et synchronisée avec celle de l’institut financier, pour faire en sorte que l’eTAN affiché par l’appareil corresponde en temps réel à celui du serveur. Quant à la procédure de login, elle est identique à celle indiquée pour le système TAN.

Conseils pratiques :

  • Conservez le générateur électronique de TAN dans un lieu sûr, différent de celui où vous avez classé vos données d’accès.
  • Ne notez aucun mot de passe ni code PIN, à moins de conserver ces notes sous clé.
  • Ne saisissez votre mot de passe ou votre code PIN que dans le champ de login de votre site d’e-banking.

Chip-TAN

Avec le procédé Chip TAN, le client se voit attribuer par son institut financier, en plus de son mot de passe ou de son code PIN, un lecteur de carte et une carte bancaire. Pour ouvrir une session, le client doit entrer son numéro d’identification et son mot de passe ou son code PIN. Le site Web de l'institut financier affiche ensuite un code à usage unique que le client doit saisir sur son lecteur de carte (valeur de demande d'accès). Le lecteur de carte associé à la carte bancaire du client génère alors un code d'accès (valeur de réponse) que le client doit ensuite communiquer sur le site de l’institut financier.

Conseils pratiques :

  • Conservez la carte bancaire dans un lieu sûr, différent de celui où vous avez classé vos données d’accès.
  • Ne notez aucun mot de passe ni code PIN, à moins de conserver ces notes sous clé.
  • Ne saisissez votre mot de passe ou votre code PIN que dans le champ de login de votre site d’e-banking.

 

Généralités sur la procédure Chip-TAN

Zone Trusted Information Channel (ZTIC)

Le ZTIC est un appareil de la taille d’une clé USB qui sert à sécuriser la connexion entre l’ordinateur d’un utilisateur d’e-banking et le serveur de sa banque, l’appareil se chargeant pour le client de vérifier l’authenticité du serveur. Ainsi, le ZTIC n’autorise que des connexions sécurisées SSL/TLS avec des serveurs connus et préconfigurés.

Les données de la transaction transmises à travers le site Web par le serveur de l’institut financier sont transférées en toute sécurité sur le ZTIC, où le client peut les visualiser avec la certitude qu’elles n’ont pas été manipulées (système analogue au mTAN). La transaction ne pourra partir qu’après l’autorisation du client qui n’aura qu’à appuyer sur un bouton.

Tout comme pour les deux sticks USB précédemment décrits, les malware ne peuvent pour l’instant pas attaquer ni infecter le ZTIC.

Vous trouverez ici une vidéo de démonstration sur le ZTIC (YouTube).

Conseils pratiques :

  • Ne conservez pas votre appareil USB au même endroit que vos informations confidentielles.
  • Ne notez aucun mot de passe ni code PIN, à moins de conserver ces notes sous clé.
  • Ne tapez votre mot de passe ou votre code PIN que dans le champ Login de votre site d’e-banking et/ou de votre appareil d’e-banking (générateur de Tan, etc.).

 

Généralités sur la procédure ZTIC

Flicker-TAN

Pour le procédé Flicker-TAN (procédé TAN optique), le client doit disposer d'un mot de passe ou d'un code PIN et de ce que l'on appelle un générateur Flicker-TAN. Cet appareil se distingue d'un générateur TAN habituel dans la mesure où il possède cinq capteurs lui permettant de recevoir des informations optiques (le Flicker Code). Il est également équipé d'un clavier ou d'un lecteur d'empreinte.

Après avoir réalisé une transaction, le client d'e-banking visualise sur son ordinateur une image animée composée de cinq surfaces noires et blanches qui clignotent. Ces dernières transportent les informations infalsifiables de la transaction qui vient d'être effectuée. En maintenant les capteurs du générateur Flicker-Tan contre l'écran de l'ordinateur, l'appareil reçoit, décode et affiche les informations transmises par l'institut bancaire (similaire à la procédure mTAN). De cette manière, le client peut vérifier puis autoriser la transaction.

Ce procédé protège l'utilisateur contre les risques de piratage des transactions (ex. attaques Man-in-the-Browser), puisque le client de la banque a la possibilité de vérifier les données de la transaction qui s'affichent sur l'écran avant de confirmer cette dernière.

Conseils pratiques :

  • Conservez l'appareil dans un lieu sûr, différent de celui où vous avez classé vos données d’accès.
  • Ne notez aucun mot de passe ni code PIN, à moins de conserver ces notes sous clé.
  • Ne saisissez votre mot de passe ou votre code PIN que dans le champ de login de votre site d’e-banking.

 

Généralités sur la procédure Flicker-TAN

Photo-TAN

Avec la méthode d'identification optique, le client doit disposer d'un mot de passe ou d'un code PIN et d'un smartphone sur lequel il a installé l'application Photo-TAN qui va lui permettre de recevoir des informations optiques et de les décrypter. Un lecteur optique peut également être utilisé à la place du smartphone.

Lorsque le client a bien saisi sa transaction, une mosaïque statique de couleurs s'affiche sur l'écran de son ordinateur. La mosaïque véhicule les informations absolument infalsifiables de la transaction. Ces informations peuvent ensuite être enregistrées par l'appareil photo du smartphone ou par le lecteur, puis décryptées et affichées sur l'écran de l'appareil (comme dans le procédé mTAN). De cette manière, le client peut vérifier et autoriser la transaction qu'il vient d'effectuer.

Ce procédé protège l'utilisateur contre les risques de piratage des transactions (ex. attaques Man-in-the-Browser), puisque le client de la banque a la possibilité de vérifier les données de la transaction qui s'affichent sur l'écran avant de confirmer cette dernière.

Conseils pratiques :

  • Conservez votre lecteur optique en lieu sûr, différent de celui où vous conservez d'autres données d'accès. Il convient par ailleurs de respecter toutes les recommandations de sécurité concernant l'utilisation des smartphones.
  • Ne notez aucun mot de passe ni code PIN, à moins de conserver ces notes sous clé.
  • Ne saisissez votre mot de passe ou votre code PIN que dans le champ de login de votre site d’e-banking.

 

Généralités sur la procédure Photo-TAN

Mobile ID

S'il est vrai qu'à première vue, le processus d'authentification de Mobile ID ressemble de très près à celui du mTAN, il convient de ne pas les confondre. Mobile ID prévoit également l'utilisation d'un téléphone mobile (tous les smartphones et systèmes d'exploitation mobiles courants tels que Apple iOS, Android, Blackberry, Microsoft Windows Phone ou Symbian), pour permettre la transmission des données à travers un canal de communication supplémentaire (le réseau de téléphonie mobile). La principale différence réside dans le fait que la carte SIM du téléphone portable joue ici un rôle décisif. La solution Mobile ID pour la transmission cryptée des données est en effet enregistrée directement sur la carte SIM - les clés nécessaires ne sont générées qu'au moment de l'activation du service Mobile ID et sont ensuite enregistrées directement sur la carte SIM. Ce canal de communication crypté supplémentaire empêche les hackers d'intercepter les demandes d'ouverture de session ou de transaction. Si votre carte SIM est trop ancienne, vous devrez demander à votre opérateur de vous fournir une carte SIM compatible avec Mobile ID.

Pour ouvrir une session, vous devez vous connecter sur le site Web de votre institut bancaire et y taper votre numéro d'identification ainsi que votre mot de passe ou code PIN. Vous recevez ensuite sur votre téléphone mobile un message qu'il vous faut confirmer (par « OK » ou « Reçu »). Une fois que vous avez saisi votre code PIN Mobile ID personnel sur votre téléphone portable, l'accès à votre compte est autorisé.

Cette solution d'authentification permet également, si vous le souhaitez, de confirmer une transaction : lorsque vous avez réalisé une transaction, vous recevez sur votre téléphone mobile un message contenant les informations relatives à cette transaction. Après avoir confirmé ce message (par « OK » ou « Reçu »), vous devez taper votre code PIN Mobile ID sur votre téléphone portable pour autoriser la transaction. Une telle confirmation n’est toutefois pas nécessaire pour tous les ordres de paiement. De nombreux systèmes sont en mesure de faire la différence entre les destinataires sûrs et les suspects, de sorte qu'il n'est pas nécessaire de confirmer chaque virement.

Conseils pratiques :

  • Vérifiez impérativement toutes les données affichées avant de confirmer votre transaction.
  • Ne conservez pas votre téléphone mobile et vos données d’accès au même endroit.
  • N'utilisez pas le téléphone mobile sur lequel vous recevez les messages de Mobile ID pour l'e-banking.
  • Ne notez aucun mot de passe ni code PIN, à moins de conserver ces notes sous clé.
  • Ne saisissez votre mot de passe ou votre code PIN que dans le champ de login de votre site d’e-banking.
  • Ne tapez votre code PIN Mobile ID personnel que sur votre téléphone mobile.

 

Généralités sur la procédure Mobile ID

Push-TAN

Avec la méthode Push-TAN (procédure TAN basée sur une application mobile), le client doit disposer d'un mot de passe ou d'un code PIN et d'un smartphone. Il doit également avoir installé sur son smartphone l'application spécialement conçue à cet effet par son institut financier, à travers laquelle il recevra les notifications Push via une connexion Internet chiffrée.

Pour ouvrir une session, vous devez vous connecter sur le site Web de votre institut bancaire et y taper votre numéro d'identification ou votre nom utilisateur (identifiant) ainsi que votre mot de passe ou code PIN. Le client reçoit ensuite une notification Push sur son smartphone. Si le client ouvre l'application, il est invité à taper son code Appli-PIN personnel. Une fois qu’il s’est ainsi identifié, il voit s’afficher dans l’application le numéro TAN qu’il peut ensuite saisir comme d'habitude sur la page Web de son institut financier. Ce n'est qu'à ce moment que l'accès à la session d'e-banking est autorisé.

Cette solution d'authentification permet également, si vous le souhaitez, de confirmer une transaction : dans le cas d'une transaction sensible, une notification Push est également envoyée sur le smartphone. Le client ouvre alors l'application et y saisit son code Appli-PIN personnel. La transaction ne sera autorisée que lorsque le client aura saisi sur la page Web de la banque le numéro TAN affiché dans l'appli. Une telle confirmation n’est toutefois pas nécessaire pour tous les ordres de paiement. De nombreux systèmes sont en mesure de faire la différence entre les destinataires sûrs et les suspects, de sorte qu'il n'est pas nécessaire de confirmer chaque virement.

Ce procédé protège l'utilisateur contre les risques de piratage des transactions (ex. attaques Man-in-the-Browser), puisque le client de la banque a la possibilité de vérifier les données de la transaction qui s'affichent sur l'écran avant de confirmer cette dernière.

Conseils pratiques :

  • Vérifiez impérativement toutes les données saisies avant de confirmer votre transaction.
  • N'approuvez aucune demande de connexion tardive.
  • Ne conservez pas votre smartphone et vos données d’accès au même endroit.
  • Pour la session d'e-banking, n'utilisez pas le dispositif sur lequel vous avez installé l'application et recevez les notifications.
  • Ne notez aucun mot de passe ni code PIN, à moins de conserver ces notes sous clé.
  • Ne saisissez votre mot de passe ou votre code PIN que sur la page Web de votre institut financier.
  • Tapez votre code Appli-PIN personnel uniquement sur votre smartphone.

 

Généralités sur la procédure Push-TAN

 

Aargauische KantonalbankBaloise Bank SoBaBanca del Ceresio SABanca del SempioneBancaStatoBank CoopBank LinthBanque CIC (Suisse)Basellandschaftliche KantonalbankBasler KantonalbankBanque Cantonale BernoiseFreiburger KantonalbankBanque Cantonale du JuraBanque Cantonale NeuchâteloiseBanque Cantonale VaudoiseBanca Popolare di Sondrio (SUISSE)cash zweiplusClientisCornèr Banca SACredit Suisse (Suisse) SAGlarner KantonalbankGraubündner KantonalbankHypothekarbank LenzburgJulius BaerLiechtensteinische Landesbank AGLuzerner KantonalbankMigros BankNidwaldner KantonalbankObwaldner KantonalbankPiguet GallandPostFinanceSchaffhauser KantonalbankSchwyzer KantonalbankTriba Partner Bank AGUBSUrner KantonalbankValiant Bank AGVontobel AGVP BankWalliser KantonalbankZuger KantonalbankZürcher Kantonalbank