1.
Authentification Forte
(SCA)
Les différentes approches
08/11/2019

2.
2
Après avoir décrit le parcours client d’une initiation de paiement à travers
des exemples, on aborde ici l’authentification forte et les différentes
approches pour la réaliser.

3.
3
Rappel
Pour procéder à l’authentification forte d’une personne, il faut recueillir 2 facteurs d’authentification parmi les 3
familles suivantes :
• Connaissance (un mot de passe,..)
• Appartenance (un numéro de téléphone, une carte bancaire,…)
• Inhérence (une empreinte digitale, une démarche,…)
Les différentes approches dans le cadre de la DSP2
Dans le cadre de la DSP2, les opérations offertes par les TPP d’accès aux comptes d’un client et d’initiation de
paiements sont soumises à authentification forte du client.
L’authentification forte est de la responsabilité de la banque qui détient les comptes du client.
Dès lors, le TPP doit intégrer la procédure d’authentification forte de la banque dans les parcours qu’il propose au
client pour offrir ses services.
Pour intégrer cette procédure de la façon la plus harmonieuse possible dans les parcours client du TPP, 3 approches
sont possibles :
• Redirect : le parcours client fait un détour par le parcours d’AF de la banque
• Decoupled : L’AF est déclenchée par la banque sur un device dédié (app de la banque sur le mobile du client) du
client, indépendamment du parcours client chez le TPP.
• Embedded : les éléments d’AF (générés par un device dédié ou un tiers d’identité numérique agréé par la banque)
sont transmis par le TPP à la banque.

4.
4
Redirect
Dans son parcours chez le TPP,
l’utilisateur est redirigé
temporairement vers le parcours
d’Authentification Forte de la
banque.
Decoupled
L’authentification forte est
effectuée par la banque selon un
procédé indépendant du parcours
de l’utilisateur chez le TPP
Embedded
Les éléments d’authentification
forte de l’utilisateur sont transmis à
la banque par le TPP
Le client est sur le parcours du TPP
et une AF est demandée. Le TPP
redirige l’utilisateur vers le parcours
dédié de la banque. En fin de
parcours d’AF, le client est redirigé
vers le TPP là où il en était.
Le client est sur le parcours du TPP
et une AF est demandée. Le TPP
transmet la demande d’AF à la
banque qui effectue celle-ci en
contactant l’utilisateur sur un device
ou une app dédiée.
Le client est sur le parcours du TPP
et une AF est demandée.
L’utilisateur s’authentifie sur un
device (ou app) dédié qui génère un
code.
Le TPP transmet ce code à la
banque.
• Simplicité d’implémentation
• Ne nécessite pas de devices
spécifiques
• Ne nécessite pas de partager
d’identifiant de l’utilisateur
• Pas de rupture du parcours
utilisateur
• Les rôles de chacun
(banque/TPP) sont bien séparés
• Pas de rupture du parcours
utilisateur
• Ne nécesiite pas de partager
d’identifiant de l’utilisateur
• Les rôles de chacun
(banque/TPP) sont bien séparés
• Rupture du parcours utilisateur
(ergonomie, visuel)
• Le TPP ne maîtrise pas le
parcours d’AF
• Le TPP se trouve dans une
position de « Man in the
Middle ». Risque potentiel.
• Nécessite d’équiper l’utilisateur
d’un device ou d’une app
dédiée
• Nécessite le partage d’un
identifiant de l’utilisateur entre
la banque et le TPP (des
solutions comme openId
Connect palient ce défaut)
• Nécessite d’équiper l’utilisateur
d’un device ou d’une app
dédiée
Approches Exemples Avantages Inconvénients
Les différentes approches de l’authentification forte

5.
5
Cette action
demande une
authentification
auprès de votre
banque
MyTPP
MyTPP
Suite du parcours
MyTPP
MyBank
Le TPP redirige le client vers le
parcours d’authentification
forte de la banque
MyBank
La banque identifie le client
(mire de connexion)
La banque effectue
l’authentification du client et
le redirige sur le TPP
MyTPP
Le TPP reprend la main sur le
parcours
Le client s’authentifie sur le
parcours de la banque
Le client termine son
parcouts d’authentification
forte (code SMS par
exemple)
Le client revient sur le
parcours du TPP
Approche Redirect
Connexion
MyBank
****
login
Authentification
MyBank
****
MyTPPMyBank
….

6.
6
Cette action
demande une
authentification
auprès de votre
banque
MyTPP
MyTPP
Authentification
MyBank
****
Suite du parcours
MyTPP
Cette action
demande une
authentification
auprès de votre
banque
MyTPP
MyBank
Veuillez vous
authentifier
MyBank
Le TPP demande à la banque
d’authentifier le client en lui
transmettant un identifiant du
client partagé
MyBank MyBank
La banque sollicite le client
pour une authentification
forte sur son device/app dédié
(ici le téléphone du client)
La banque effectue
authentification du client
MyTPP MyBank
Le TPP interroge la banque sur
le résultat de
l’authentification forte pour
poursuivre le parcours client
Le client bascule sur l’app
de la banque (sans quitter
le parcours TPP)
Le client s’authentifie sur
l’app de la banque (Code,
biométrique selon les
procédés proposés)
Le client revient sur le
parcours du TPP
Approche Decoupled
?

7.
7
Cette action
demande une
authentification
Entrez le code
obtenu
MyTPP
MyTPP
Suite du parcours
MyTPP
Le TPP demande au client de
générer un code
d’authentification (en utilisant
un device/app d’AF)
La banque sollicite le client
pour une authentification
forte sur son device/app dédié
(ici le téléphone du client)
Le TPP recueille le code
d’authentification généré par
le client
MyTPP MyBank
Le TPP transmet à la banque
le code d’authentification à la
banque.
Celle-ci valide ou non le code
transmis
Le client génère un code
d’authentification sur son
device dédié
Le client rentre le code
d’authentification obtenu
sur le formulaire du TPP
Suite du parcours
Approche Embedded
(à l’aide d’un device dédié)
****
371265
7 8 9
4 5 6
1 2 3
C 0 OK
Cette action
demande une
authentification
Entrez le code
obtenu
MyTPP
*****
MyTPP

8.
8
A suivre...