Une ordonnance judiciaire actuelle pourrait être révolutionnaire. Le tribunal régional de Heilbronn a écrit dans son jugement que la procédure pushTAN n’était pas si sûre. Cela a été précédé d’une action en justice intentée par un client contre sa banque.

Presque tous les utilisateurs des services bancaires en ligne connaissent la procédure TAN. Pour entreprendre une action ou effectuer des transactions, vous devez faire générer un code numérique, qui compte alors comme vérification. Normalement, ce n’est pas sorcier et c’est généralement sans danger. Mais comme c’est souvent le cas, les fraudeurs trouvent un moyen d’obtenir de l’argent. Une décision actuelle pourrait remettre en question la sécurité de la procédure pushTAN. Parce que le tribunal régional de Heilbronn a rendu son Verdict en date du 16 mai 2023, dont les motifs écrits n’ont été publiés que récemment, a été annoncé ce qui suit : « La procédure dite pushTAN […]présente un potentiel de risque accru ».

Un client de la banque tombe amoureux des fraudeurs et exige un remboursement de la banque

Il existe aujourd’hui de nombreuses procédures TAN : mTAN, chipTAN, pushTAN, iTAN etc. L’une des procédures les plus utilisées aujourd’hui est la procédure pushTAN. Et son utilisation quelque peu aveugle s’est avérée fatale pour un client de la banque. Une personne s’est présentée au téléphone comme un employé de la banque de la victime et a déclaré qu’un tiers avait effectué deux paiements non autorisés et augmenté la limite de crédit à 10 000 euros. Afin d’inverser le processus, l’employé de banque présumé aurait besoin de trois TAN, que la victime aurait générés via pushTAN et mis à la disposition de la personne à qui elle parlait au téléphone.

Il s’est avéré plus tard que c’était un fraudeur qui avait retiré une grosse somme d’argent du compte de la victime en utilisant le TAN. Cette approche est également appelée fraude par ingénierie sociale. La victime de la fraude a ensuite demandé à sa banque de couvrir les dommages en résultant. La banque a cependant refusé et l’affaire s’est retrouvée devant les tribunaux. Son verdict n’est pas particulièrement excitant, mais un commentaire passager du tribunal a fait sensation.

Intéressant également : un aperçu de toutes les procédures TAN et de leur fonctionnement

Le tribunal remet en question la sécurité des procédures pushTAN

Le tribunal régional de Heilbronn avait rejeté la plainte de la victime car les numéros TAN auto-générés avaient été transmis à une personne qu’elle ne connaissait pas par négligence grave, sans prêter attention à l’utilisation prévue. Le jugement précise également : « Il est clair pour tout le monde que les opérations bancaires en ligne se font uniquement en ligne, et non par téléphone ou par écrit, quelle que soit la personne qui répond au téléphone au sujet des mesures présumées. »

Ce qui était plus excitant, cependant, était le commentaire susmentionné du tribunal sur le jugement. Celui-ci a critiqué la procédure pushTAN et l’a jugée trop dangereuse. Fondamentalement, une authentification à deux facteurs est utilisée pour une transaction. Mais selon la décision du tribunal, ce n’était pas le cas ici. L’application TAN et l’application bancaire étant installées sur le même smartphone, « aucune authentification composée d’au moins deux éléments indépendants » au sens de § 1, paragraphe 24 ZAG (Loi sur la surveillance des services de paiement).

C’est ce que disent les banques

Fondamentalement, cela signifierait que les banques devraient exiger que leurs clients disposent de deux appareils indépendants pour les opérations bancaires et la génération de TAN afin d’éviter d’être tenus responsables en cas de dommage. Car si un fraudeur ou un pirate informatique détournait le smartphone à l’aide d’un malware, il pourrait théoriquement accéder aux deux applications. La sécurité que la procédure pushTAN était censée apporter ne serait alors plus présente.

TECHBOOK a demandé à ING et à DKB une évaluation du commentaire du tribunal. ING nous a fait la déclaration suivante :

Nous ne pouvons parler qu’à notre application « banking to go » et elle est bien protégée par plusieurs facteurs de sécurité. D’une part, le smartphone du client doit être enregistré dans nos systèmes. Le deuxième facteur de sécurité est la connaissance ou la biométrie, soit le code PIN mobile, soit une fonctionnalité biométrique (empreinte digitale ou Face ID). La liaison de l’appareil garantit également que l’application avec le code PIN ou la fonctionnalité biométrique associée ne peut pas être transférée vers un autre appareil. La connexion de l’application à nos serveurs bancaires est également sécurisée de plusieurs manières : toutes les données sont cryptées deux fois et l’application est automatiquement vérifiée pour détecter toute manipulation par des tiers.

Porte-parole d’ING pour TECHBOOK

Vous ne voulez manquer aucune actualité importante dans le domaine de la technologie et de la finance intelligente ? Alors suivez-nous sur WhatsApp!

Dans une première brève déclaration, la DKB a toutefois déclaré que la nouvelle banque de la DKB utilisait le processus de sécurité Seal One. D’autres grandes banques comme Postbank et Deutsche Bank en dépendent également. “Les commandes peuvent être facilement confirmées à l’aide d’une empreinte digitale, d’un Face ID ou d’un code PIN d’application auto-sélectionné”, explique le DKB.



ttn-fr-35