Depuis quelques années, tous les acteurs financiers en Europe doivent appliquer l’authentification forte. Derrière ce terme un peu technique se trouve une garantie essentielle : personne ne peut accéder à votre compte ni utiliser votre carte sans votre accord.
Chez Veracash, l’exigence est d’autant plus élevée que vous détenez des métaux précieux réels (or, argent) adossés à votre compte et mobilisables via des moyens de paiement. Ces actifs tangibles méritent une sécurité maximale. L’authentification forte en est l’un des piliers.
Ce qu’il faut retenir
- L’authentification forte repose sur deux facteurs indépendants.
- Le smartphone configuré comme appareil de confiance ainsi que l’application mobile Veracash sont obligatoires pour valider les opérations sensibles (PIN, données, plafonds, virements, envoi/réception d’actifs, conversion, paiements en ligne).
- L’authentification forte n’est pas une contrainte, c’est un gage de confiance : elle protège vos données et vos métaux précieux au plus haut niveau.
- La sécurité est partagée : restez vigilant face à l’ingénierie sociale (ne validez rien sous pression, contactez le support en cas de doute).
Information à destination des Membres Veracash :
- Les éléments présentés dans cet article ne concerne que les comptes Particuliers
- L’authentification forte sera progressivement déployée à partir de fin octobre / début novembre sur l’ensemble des comptes
Qu’est-ce que l’authentification forte ?
L’authentification forte (ou SCA pour strong customer authentication) repose sur un principe simple : au lieu d’un seul code ou mot de passe, l’accès à votre compte ou la validation d’un paiement repose sur au moins deux facteurs distincts.
Ces facteurs appartiennent à trois catégories définies par la réglementation :
- La connaissance : quelque chose que vous savez, comme un mot de passe ou un code secret.
- La possession : quelque chose que vous avez (votre smartphone configuré comme appareil de confiance).
- L’inhérence : quelque chose qui prouve qui vous êtes, comme votre empreinte digitale ou la reconnaissance faciale.
Pour être conforme, l’authentification forte doit combiner deux de ces trois catégories, et elles doivent être indépendantes l’une de l’autre. En clair, même si un pirate découvre votre mot de passe, il ne pourra rien faire sans avoir aussi accès à votre téléphone ou à votre empreinte.
Important : chez Veracash, la validation des opérations sensibles ne passera plus par un code SMS. Le SMS peut intervenir uniquement pour associer votre appareil de confiance (voir ci-dessous), pas pour autoriser des opérations.
Votre appareil de confiance : le cœur de la sécurité
Pour valider une opération sensible, vous devez disposer d’un smartphone configuré comme appareil de confiance, avec l’application mobile Veracash installée. C’est obligatoire : l’appareil de confiance est reconnu comme le seul terminal en votre possession autorisé à valider vos actions sensibles.
Associer mon appareil de confiance (smartphone)
- Téléchargez puis ouvrez l’application mobile Veracash (Google Play / App Store).
- L’application vous propose d’associer l’appareil.
- Saisissez le code de vérification reçu par SMS (cette étape sert uniquement à lier l’appareil).
- Votre appareil est désormais reconnu comme appareil de confiance.
- Définissez votre code de sécurité à 6 chiffres (et activez la biométrie si votre téléphone le permet et si vous avez déjà configuré la reconnaissance faciale ou votre empreinte digitale).
Puis-je associer plusieurs appareils ?
Non. Un seul appareil de confiance par compte.
Je change de téléphone, comment faire ?
À la première connexion sur le nouveau mobile, l’application vous proposera d’écraser l’ancien appareil de confiance ; vous recommencerez la procédure d’association.
Pourquoi l’association échoue ?
Appareil déjà associé au compte / associé au compte de quelqu’un d’autre / smartphone non compatible.
Quels sont les paramètres essentiels pour que mon smartphone soit reconnu ?
Version minimale Android : Android 7
Version minimale iOS : iOS 15
Et si je n’ai pas de smartphone ?
L’authentification forte est obligatoire : certaines opérations ne pourront pas être réalisées sans smartphone/appareil de confiance.
Pourquoi Veracash applique l’authentification forte ?
La première raison est légale, c’est une obligation qui découle de la directive européenne DSP2 (Directive sur les services de paiement), laquelle impose à tous les établissements financiers de renforcer la sécurité des transactions en ligne. En tant qu’opérateur adossé à Treezor (établissement de monnaie électronique agréé), Veracash applique donc strictement ces règles.
Mais réduire l’authentification forte à une simple contrainte réglementaire serait passer à côté de l’essentiel. Chez Veracash, nous la voyons surtout comme une protection pour nos clients :
- Elle sécurise vos données personnelles (vos identifiants, vos informations de paiement, vos coordonnées).
- Elle protège le capital que vous avez confié à Veracash, qu’il s’agisse d’or ou d’argent physique.
Un compte Veracash n’est pas un compte bancaire classique : il représente des métaux précieux tangibles, conservés en coffre et mobilisables à travers un compte et une carte. C’est précisément parce que vous détenez un actif réel que nous devons garantir une sécurité renforcée, à la hauteur de cette valeur.
Autrement dit : l’authentification forte ne doit pas être vue comme une contrainte, c’est au contraire un gage de confiance qui vous assure que, même dans un environnement numérique souvent exposé aux tentatives de fraude, votre patrimoine reste protégé.
Dans quels cas l’authentification forte est-elle demandée ?
L’authentification forte s’applique pour toutes les opérations dites sensibles, c’est-à-dire celles qui peuvent présenter un risque pour la sécurité de vos données ou de votre capital. Chez Veracash, ces opérations sont les suivantes :
- Modification, affichage et déblocage du code PIN
- Modification de vos données personnelles (mobile, e-mail, adresse postale)
- Obtention de l’IBAN personnel
- Consultation des rapports financiers
- Modification de plafond de carte
- Activation et déblocage de votre carte
- Activation / désactivation du NFC
- Demande de virement sortant
- Envoi d’actifs
- Conversion de votre compte d’attente en EUR vers des métaux
- Paiement par carte en ligne avec demande d’authentification (tous les sites e-commerces ne le demandent pas)
- Écrasement de l’appareil de confiance
- etc.
Comme toutes ces actions impliquent vos moyens de paiement, vos coordonnées, vos métaux précieux ou des flux sortants, elles doivent toujours être validées via l’authentification forte.
Comment valider une opération sensible ?
On entre ici dans l’aspect pratique des choses. Nous allons donc prendre quelques exemples pour illustrer la mise en œuvre de l’authentification forte dans différentes situations du quotidien.
1) Vous payez sur Internet avec votre carte Veracash
- Réalisez le paiement comme d’habitude sur le site marchand.
- Une notification push vous est envoyée (pensez à autoriser les notifications de l’app Veracash)
- Ouvrez l’application Veracash sur votre appareil de confiance.
- L’écran de sécurité s’affiche :
Validez si vous êtes bien à l’origine de l’opération
Réalisez l’authentification forte (biométrie/face/id/empreine) ou saisie du code à 6 chiffres.
sinon Annulez en cas de doute.
2) Vous lancez une opération sensible depuis l’application mobile
- Effectuez l’action (virement, modification, etc.).
- Une notification push vous est envoyée
- Une fenêtre de sécurité apparaît pour confirmer que vous êtes bien à l’origine de l’opération et que vous n’êtes pas sous influence d’un tiers.
Validez et réalisez l’authentification forte (biométrie/face/id/empreine) ou saisie du code à 6 chiffres
ou Annulez si quelque chose vous paraît anormal.
3) Vous lancez une opération sensible depuis le site web
- Réalisez l’action (ex. : demande de virement, conversion, etc.).
- Une fenêtre “Sécurité – Action requise” s’ouvre (“Opération en attente de validation”).
- Ouvrez l’application Veracash sur l’appareil de confiance et confirmez dans l’application que vous êtes bien à l’origine de l’opération (sinon, annulez).
Cette procédure empêche un tiers, même s’il connaît votre mot de passe, d’accéder à vos fonds ou de manipuler vos informations. L’authentification forte fonctionne donc comme un verrou supplémentaire, simple et très efficace.
Les avantages pour le client
L’authentification forte constitue finalement un bouclier efficace contre les principales menaces numériques.
- Contre le vol d’identité : même si un fraudeur met la main sur vos identifiants, il lui manquera toujours la seconde clé (votre téléphone ou votre empreinte).
- Contre le piratage : vos données personnelles sont protégées par plusieurs couches de sécurité indépendantes.
- Contre les fraudes de paiement : vos transactions sur Veracash ne peuvent pas être validées sans votre intervention active.
En clair, même dans le scénario où l’un de vos codes serait compromis, vos avoirs restent intouchables. Les métaux précieux de votre compte bénéficient ainsi d’un niveau de protection équivalent à celui des plus hauts standards financiers.
La sécurité est aussi l’affaire du client
Bien évidemment, même si nous mettons en place toutes les protections nécessaires pour que vos données personnelles et vos métaux précieux restent hors d’atteinte des fraudeurs, la sécurité est toujours une responsabilité partagée. Vous avez, vous aussi, un rôle clé à jouer.
En effet, même si la DSP2 a rehaussé le niveau de sécurité, les escrocs s’y sont adaptés : l’ingénierie sociale (appels, faux e-mails, usurpation de support) vise à vous faire valider vous-même des opérations frauduleuses. C’est pour cela que la nouvelle norme en cours de développement, la DSP3, met désormais l’accent aussi sur la sensibilisation des utilisateurs et vous rappelle un certain nombre de principes de vigilance :
- Ne communiquez jamais vos identifiants à un tiers, même en cas de message ou d’appel suspect.
- Choisissez un code de sécurité à 6 chiffres, unique, difficile à deviner (par exemple, évitez les dates d’anniversaire).
- Mettez à jour régulièrement votre application Veracash, ainsi que le système de votre smartphone ou ordinateur.
- N’installez rien ni ne suivez aucune procédure dictée au téléphone.
- Refusez toute validation qui vous semble étrange ; en cas de doute, Annulez, puis appelez le service client via les coordonnées officielles que vous trouverez sur le site de Veracash.
Ces précautions simples, combinées aux protections techniques que nous mettons en œuvre, garantissent l’efficacité maximale de l’authentification forte.
Bonjour,
Et si le smartphone est infecté par un malware (ce qui est fortement possible avec les bloatware qui sont préinstallé), ça devient un vecteur d’attaque supplémentaire.
Et ceux qui n’ont pas de Smartphone, plus possible de faire de l’authentification forte si vous proposer pas d’alternative bien plus sécurisé comme les clés matériel style Yubikey ou autre ?
Bonjour Antoine,
Vous avez raison de souligner qu’aucun support numérique n’est totalement exempt de risques, y compris les smartphones. C’est un enjeu de sécurité que nous prenons très au sérieux.
Alors, certes, l’authentification forte via smartphone n’est pas parfaite (rien ne l’est), mais elle reste aujourd’hui l’un des moyens les plus efficaces et des plus universels pour protéger vos comptes contre les accès frauduleux :
Par conséquent, bien qu’une faille reste toujours possible en théorie, en réalité, la combinaison d’authentification forte + application sécurisée + bonnes pratiques d’utilisation fait que ce scénario reste très improbable comparé aux attaques plus classiques (phishing et usurpation d’identifiants notamment).
J’espère vous avoir rassuré.
Bruno GONZALVEZ
Bonjour,
Entièrement d’accord avec les commentaires précédents, aucune disposition prévue sans smartphone.
Même la Caisse d’Epargne permet une utilisation avec SMS (sauf pour afficher le PIN de la carte qui nécessite une app alors que le portail web pourrait le faire).
Degiro permet aussi aussi de se passer de smartphone (de plus, on est moins incité au trading court terme de cette façon).
Je vais malheureusement devoir vider le compte si aucune alternative n’est permise.
A bon entendeur.
Bonjour Jérémy,
Merci pour votre retour.
Des dispositions ont été prises pour proposer une alternative.
Vous pourrez contacter le service client le moment venu pour les connaitre.
Bonjour Jeremy,
Vous dites : « Même la Caisse d’Epargne permet une utilisation avec SMS ».
Jusqu’à preuve du contraire, vous avez besoin d’un téléphone portable pour recevoir un SMS. Un smartphone est simplement plus pratique que les anciens modèles où il fallait jongler avec un nombre de touches limité pour trouver les bons caractères. Et d’ailleurs, vous poursuivez en expliquant qu’il faut également une application mobile pour accéder aux services sensibles chez le banquier à l’écureuil. On parle là encore de la nécessité de disposer d’un smartphone pour l’utiliser. Smartphone que vous possédez donc certainement. Nous cherchons juste à privilégier votre sécurité en passant par un appareil que vous êtes le seul à utiliser.
Cordialement
Bruno Gonzalvez
Quel déception, vous qui avez commencé en vous positionnant comme une entreprise alternative, engagé et française.
Voilà que vous obligé vos clients a utiliser les gafam (Google où Apple) deux géants américain qui siphonnent les données de leur utilisateurs et les enferment étape par étape dans une prison numérique. Je vous rappels que les Français ONT DIT NON A L’EUROPE justement pour éviter cette dictature de règlementaire dont vous vous faite l’instrument.
Bonjour David,
Lorsqu’il existe des solutions technologiques françaises fiables, nous les privilégions. En ce qui concerne la téléphonie et les OS, vous connaissez la réalité aussi bien que moi : c’est qu’Apple et Androïd qui captent la majorité du marché en France.
Je vous rappelle que depuis sa création, Veracash propose des cartes Mastercard dont l’origine est US. Et c’est précisément cette carte qui vous permet d’avoir un système robuste et flexible pour vendre vos métaux à tout moment.
Il ne faut pas tout mélanger, l’entreprise dont le cœur de métier est l’achat, la conservation et la vente de métaux précieux reste française, sa gestion des métaux, et son infrastructure aussi. Mais pour être alternatif et innovant, il nous faut parfois utiliser des moyens technologiques qu’une majorité de nos Membres sont capables d’utiliser ou ont en leur possession.
Donc en gros vous obligé chaque utilisateur :
A avoir un téléphone portable.
Pas un téléphone au choix mais un smartphone.
Un smartphone avec en plus une application spécifique a installer.
C’est grave, c’est une obligation d’achat et d’utilisation forcé d’un produit sachant qu.une application sur smartphone est bien plus intrusive que l’utilisation d’un site web.
Quel alternative pour ceux qui refuse cette marque de la bête ?
Bonjour,
Nous privilégions l’application mobile car c’est aujourd’hui la solution la plus sûre et la plus simple à déployer.
Si vous n’avez pas de smartphone, vous pourrez contacter notre service client le moment venu pour avoir une alternative.
Merci pour votre retour.
Bonjour Zighmi
Je conçois que vous puissiez être contrarié. Mais il n’y a pas plus d’obligation d’achat que lorsqu’on dit aux détenteurs de véhicules à moteur qu’ils doivent se procurer du carburant pour le faire fonctionner. Veracash ne vous vend pas de smartphone, vous pouvez choisir n’importe lequel (et peut-être en avez-vous déjà un…). De plus, on ne vous vend pas non plus l’application, puisqu’elle est gratuite.
Alors oui, il faudra un smartphone et une application dédiée pour procéder à une authentification robuste de vos opérations sensibles, ce qui est déjà le cas chez tous les acteurs sérieux du marché qui respectent la législation. Une législation dont nous ne sommes pas les instigateurs, mais que nous préférons suivre scrupuleusement, non seulement parce que nous ne sommes ni ne seront jamais « hors-la-loi », mais surtout pour éviter de léser nos utilisateurs ou leur faire courir le risque de se faire dérober leur capital investi.
Désolé si nos préoccupations à votre égard ne vous paraissent pas légitimes.
Bruno Gonzalvez