Apple active l’authentification forte pour les abonnements App Store en Europe

Nicolas Furno |

Apple a commencé à appliquer la nouvelle directive européenne DSP2 concernant les paiements numériques qui impose aux marchands d’utiliser une authentification forte. C’est l‘équivalent des codes reçus par SMS ou générés par une app pour se connecter à des services : votre banque doit valider un paiement en utilisant une méthode de son choix, en général une connexion sur son site web ou dans son app mobile. Vous l’avez sûrement croisée en faisant un achat sur internet, cette méthode va être généralisée cette année.

La directive concerne tous les paiements en ligne, y compris les achats virtuels comme ceux qui ont lieu sur l’App Store. C’est Apple qui gère le système de paiement de la boutique et les développeurs d’apps n’ont pas besoin de s’en soucier, même si quelques ajustements peuvent être nécessaires :

Le changement touche aussi les abonnements et Apple semble avoir activé la validation par la banque récemment. Nous avons noté deux demandes d‘authentification bancaire liées à un abonnement depuis hier : dans un cas, lors de la souscription à un nouvel abonnement ; dans l’autre, lors du renouvellement d’un abonnement en cours. La procédure est toujours la même : un pop-up s’affiche pour indiquer qu’une deuxième étape est nécessaire, puis une page web s’affiche pour l’effectuer. Quand l’authentification est faite, la page web se masque et l’App Store finalise l’abonnement.

Détour obligatoire par la banque pour cet abonnement à une app.

Apple explique que la validation sera systématique pour les abonnements App Store. Elle se fera lors de la première transaction, même si vous utilisez du crédit sur la boutique. C’était d’ailleurs le cas ci-dessus pour Tweetbot, la validation auprès de la banque se fait sur 0 €, puisque le compte App Store utilisé dispose de fonds suffisants. Une fois l’abonnement validé, les échéances suivantes seront prélevées sans avoir à repasser par cette étape.

Pour les achats, que ce soit l’achat d’une app ou un achat in-app, la validation bancaire ne se fera pas systématiquement. Voici les conditions :

  • la valeur de l’achat doit dépasser 30 € ;
  • l’achat doit se faire avec une carte bancaire, pas avec du crédit App Store, ni via son opérateur, ni avec un acteur tiers comme PayPal ;
  • l’achat doit être fait sans Apple Pay, qui est géré différemment (l’identification biométrique est jugée une sécurité suffisante).

avatar Guru09 | 

J'ai vu ca depuis 1 semaine .... Bien relou via Hello Bank, la redirection ne marche pas bien ..

avatar razerblade | 

J’ai également vu ça pour un abo de VPN. C’est assez chiant quand même, mais si c’est bien de protéger les transactions.

avatar Pierredu21 | 

Pareil ici et paiement à 0 € :D Mais bon, la sécurité c’est bien !

avatar Lexada | 

Du coup en partage familial il faudra nécessairement avoir la carte lié au chef de famille à disposition ? Pénible qu’on puisse pas lié une autre carte en tant que membre de la famille...

avatar Ajioss | 

@Lexada

Ça ce n’est pas nouveau.

avatar Lexada | 

@Ajioss

Non mais la conséquence l’est. Avant on pouvait payer avec la carte du chef de famille sans avoir la carte sur soi pour l’authentification forte

avatar r e m y | 

@Lexada

Ce n'est pas la carte bancaire qu'il faudra avoir sur soi, mais l’iPhone du chef de famille pour pouvoir aller valider le paiement dans l'app de la banque.

avatar fousfous | 

C'est bien gentil la double authentification mais vu que les apps des banques ne s'ouvrent pas une fois sur 2 ça va pas encourager les achats en ligne (c'est peut-être souhaité remarque).
On aurait du s'attaquer à la racine du problème: la faiblesse de la sécurité des cartes bancaires.

avatar bibi81 | 

On aurait du s'attaquer à la racine du problème: la faiblesse de la sécurité des cartes bancaires.

Sauf que dans le cas présent tu utilises tout sauf la dite carte pour payer... Donc le problème vient justement du fait de payer sans les utiliser !
S'il y avait possibilité de payer en ligne en utilisant la puce de la carte de paiement le problème ne se poserait pas.

avatar fousfous | 

@bibi81

Oui c'est bien le problème, avoir les numéros sur la carte suffit pour payer.
Apple Pay en ligne me semble par exemple plus sécurisé à la base.

avatar bibi81 | 

Oui c'est bien le problème, avoir les numéros sur la carte suffit pour payer.

Ben non justement, cela ne suffit pas.

avatar LambdaBoss | 

@bibi81

La solution est peut-être celle que j’ai avec ma e-Carte bleue … voyez mon post 16h43

avatar r e m y | 

@LambdaBoss

L'obtention du numéro de e-carte bleue necessite également la double authentification via confirmation par l'app de la banque.

avatar LambdaBoss | 

@remy

Peut-être avez-vous raison, mais encore aujourd’hui, je n’ai toujours pas eu cette “double authentification via confirmation par l'app de la banque“ … !

Par contre, il est possible, au moment de la création de la carte, que je reçoive un code sur mon iPhone … cette éventualité, existante depuis très longtemps, n'est pas systèmatique … !

avatar r e m y | 

@LambdaBoss

Pourtant laCaisse d'Epargne a généralisé cette double authentication l'été dernier via secur'pass dans leur app mobile... curieux que vous ne l'ayez pas encore.

avatar LambdaBoss | 

@remy

Effectivement j’ai vu cet article en allant sur la site de la CE, mais depuis cet été, j’ai fait un bon nombre de payements en ligne, via une e-Carte bleue, sans jamais avoir eu cette double authentification … qui me semble être en doublon de ce type de carte … ça serait une double peine … !

avatar r e m y | 

@LambdaBoss

Ça ne fait pas double emploi! Ça garantit que c'est bien vous qui créez ce numéro temporaire et pas un tiers qui aurait subtilisé vos codes d'accès e-Carte bleue.
Peut-être que vous n'avez pas activé Secur'Pass dans l'app de la Caisse d'Epargne.

avatar LambdaBoss | 

@remy –

Effectivement je ne l’ai pas activé, mea culpa … mais je fonctionne ( pour le moment ) très bien sans, je reçois de temps en temps un SMS sur mon iPhone avec un code, pour confirmer … !

Pour le reste, j’ai du mal à vous suivre … comment un “tiers“ pourrait-il être en possession de ces codes … d’autant que ce type de e-Carte bleue sont généralement créées, à la maison, sur un ordinateur … !

Et je suppose que vous ne laissez pas trainer ce type de renseignements ( moi non plus ) … peut-être même, sont-ils “séquestrés“ dans un coffre fort gestionnaire de mots de passe, dont l’accès n’est possible qu’avec un code ( à rallonge ) que nous avons “uniquement“ en mémoire … alors …!?

avatar r e m y | 

@LambdaBoss

Le site sur lequel on se connecte pour créer un numéro de carte bleue peut très bien se faire hacker et les identifiants et mots de passe partir dans la nature.
C'est à ça que sert la double authentification qui se généralise, faire en sorte qu'identifiant et mot de passe ne soient pas suffisants pour se connecter et qu'un autre contrôle soit effectuer pour s'assurer que ce n'est pas une connexion frauduleuse.

avatar LambdaBoss | 

@remy

Bien évidement je conformerais à cette nouvelle directive … jusqu’à la prochaine, car cette escalade de la sécurité de sécurité n’a pas de raison de s’arrêter … sont-ils sûr, qu’avec cette directive, cet ultime contrôle soit suffisant … !?

Les hackers … ces petits génies, trublion de l’informatique … trouverons bien encore une faille … d’autant que certains de ces hackers sont eux-mêmes employés pour créer cette sécurité … ils se sont refait une santé, une “virginité“ … mais les autres, la majorité, peuvent s’en donner à cœur joie, histoire de prouver qu’ils sont encore meilleurs … tout en sachant qu’ils risquent, eux, de passer par la case “santé“ … !

Et puis, de toutes les façons, je reviens là-dessus, on nous protège du côté de l’informatique, soit … mais on laisse le champs libre à ces petits génies pour récupérer nos données lors de l’utilisation quotidienne de notre carte bleue … !

Et quand ce n’est pas un hacker, çà peut être aussi une mauvaise rencontre … !!!

Pour preuve, si vous le permettez, une petite histoire, une vraie, un vécu par une amie : dans un distribanque situé dans un sas d’accès à une banque, cette amie prend de l’argent, un homme attend derrière … au moment où la carte ressort … l’homme fait tomber un tas de pièces de monnaie au pieds de la femme … celle-ci par instinct de politesse et sans aucune méfiance se recule pour qu’il puisse les ramasser … que nenni, il passe devant, s’empare de la carte, et file … une presque banale anecdote … qui n’est pas couvert par aucune directive … “heureusement“ nous payons nos banques pour assurer cette carte … !!!!

Merci d’avoir eu le courage de me lire … et pour conclure sur une note plus optimiste, c’est très important d’être optimiste surtout par les temps qui courent … je me permets de citer le sketch de J-M Bigard avec sa Chauve-souris enragée … car, espérons-le, il y a aussi une infime malchance que ça nous arrive … mais, sait-on jamais … croisons les doigts … !!

avatar monsieurg33K | 

J’ai vu ça en m’abonnant à Apple Arcade. D’ailleurs c’est normal qu’Apple installe des jeux sur l’iPhone sans notre accord?

avatar ClownWorld 🤡 | 

Qu’est-ce qu’on est bien protégés en Europe

avatar Moebius13 | 

En vigueur depuis plus d'une semaine et je trouve ça très bien.
J'ai eu 0 problèmes d'identification avec la caisse d'épargne et ça rajoute une brique de sécurité à l'édifice ce qui n'est pas pour le déplaire.

La sécurité du paiement via iphone sera désormais équivalente voire supérieure celle du paiement par carte (biométrie + identification forte, sachant qu'à l'ouverture de l'app de la banque on remet un coup de biométrie).

Tant mieux cela dit, je paie désormais plus souvent avec mon iPhone et mon iPad (achats courants, apps, ou abonnement, qu'avec ma carte bleue physique).

Pour avoir travaillé en service monétique dans une banque à régler les,problème des clients dont les cartes avaient été volés, piratés ou bloquées pour activité suspecte, je ne peux qu'applaudir des deux mains.

[\HS]D'ailleurs vieux réflexe conseil, si vous partez à l'étranger, ayez toujours une carte de chaque réseau sur vous, Master Card et Visa, et prévenez toujours votre banquier de votre séjour et sa durée [/HS]

avatar LambdaBoss | 

Depuis de nombreuses années je n’utilise plus ma carte bancaire ( CE )), ou plus exactement je ne la communique plus … je passe par l’intermédiaire de la e-Carte bleue, c’est un carte fictive que je crée pour chaque achat sur internet … elle est du montant exact de l’achat, d’une validité au choix de 3 mois à 2 ans, et c’est ce nouveau numéro de carte que je communique … c’est super, facile à utiliser, et sécuritaire … !
Il semblerait qu’avec cette directive européenne DSP2, c’est un peu … pourquoi faire simplement quand on peut faire compliqué … !

avatar Krysten2001 | 

@LambdaBoss

Comme Revolut avec les cartes Virtuels éphémères 😉

avatar LambdaBoss | 

@Krysten2001

Je ne connais pas, mais ça semble être le même principe … !

Est-ce lors de l’utilisation de la Carte bleue ( la vraie ) que cette directive s’appliquera … lors du paiement dans un super marché par exemple … !???

avatar Krysten2001 | 

@LambdaBoss

Non je ne pense pas 😉 C’est juste pour les payements en ligne.

avatar LambdaBoss | 

@Krysten2001 –

Moi non plus, je ne pense pas … je continue à ne pas percevoir la subtilité de cette directive dans la mesure où on utilise cette e-Carte bleue pour les payements en ligne … d’autant plus qu’il semblerait que nous ne soyons pas plus protégé lors de l’utilisation de notre carte chez un commerçant, un super marché, etc. … je pense que le risque est aussi important dans ces cas là, notre numéro de carte et notre code peuvent être subtilisés lors d’un achat ( je fais “confiance“ aux petits génies en informatique ) … pourquoi une “sur“ protection dans un cas, et pas dans l’autre … !?

avatar Krysten2001 | 

@LambdaBoss

Je pense que cette protection est faite pour ceux qui n’utilise pas de carte à usage unique. D’autant plus que pour les payements au magasin il y a Apple Pay,... pour aider à se protéger.

avatar R5555 | 

Les SMS que tu recevais sur iMessage c'était quand même bien pratique, surtout quand le téléphone est pas collé à toi. En plus sur l'appli Caisse D'épargne faut absolument avoir l'application toujours à jour, donc data ou wifi toujours à dispo... J'imagine même pas l'enfer pour ceux qu'on pas les moyens d'avoir un smartphone dernier cri...

avatar bibi81 | 

Les SMS que tu recevais sur iMessage c'était quand même bien pratique

Mais pas sécurisé, et c'est bien là le problème.

avatar Jeamy | 

Luxembourg avec LuxTrust : c’est nickel et cela fonctionne parfaitement bien

avatar antibois | 

C’est assez pénible. Chez moi si je n’ouvre pas au préalable l’app LCL la validation ne se fait pas et l’app plante. Vraiment naze.

avatar LambdaBoss | 

@antibois

Voyez avec votre banque LCL, mais il semblerait que vous puissiez avoir une e-Carte bleue … çà solutionnerait ( peut-être ) votre problème … c’est ce que j’utilise depuis des années avec ma banque CE … !

avatar debione | 

Perso, j'utilise une carte à prépaiement. Je ne transferts dessus que la somme exacte que je veux dépenser, et ça doit prendre 30 secondes pour faire cette transaction... L'avantage est que ma carte est toujours à 0 quand je n'ai pas vu les renouvellement automatique. Du coup ils s'arrêtent tout seul... (la pire arnaque qui soit ces renouvellement automatique soi dit en passant.)

avatar stef41 | 

Complexifier les accès avec le DSP2 raz le bol plus de manipulation adieu la simplicité

CONNEXION UTILISATEUR