Dans la procédure « Chip-TAN », le client doit s’équiper d’un lecteur de carte à puce (CAP) et d’une carte bancaire, ce deuxième facteur d’authentification venant ainsi compléter l’identifiant et le mot de passe.
Voici les points à tenir en considération si vous utilisez un lecteur CAP :
- Vérifiez soigneusement toutes les données saisies avant de confirmer vos transactions.
- Conservez vos identifiants de connexion dans un endroit différent de celui où vous rangez votre carte bancaire.
- Ne notez aucun mot de passe ni code PIN, à moins de conserver ces notes sous clé.
- Veillez à bien saisir votre numéro d’identification, le mot de passe ou votre code PIN, ainsi que le code à usage unique généré par le lecteur CAP dans les champs correspondants sur la page de connexion de votre site d’e-banking.
Fonctionnement
Le fonctionnement est basé sur un protocole défi/réponse (ou « Challenge-Response ») : une fois que le client a saisi son numéro d'identification et son mot de passe (ou code PIN) sur la page de connexion au service d’e-banking, la banque transmet, via le lecteur CAP, un code à usage unique (défi) et demande le code d’accès associé du client (réponse). Ce code est généré à l’aide du lecteur CAP dans lequel le client a inséré sa carte bancaire, sur indication du code affiché (défi).
Ce mécanisme d’identification doit être également utilisé pour confirmer certaines transactions considérées comme potentiellement à risque, comme des virements de sommes inhabituelles.
Ce procédé protège l'utilisateur contre les risques de piratage des transactions (p. ex. attaques « Man-in-the-Browser »), puisque le client de la banque a la possibilité de vérifier les données de la transaction qui s'affichent sur l'écran avant de confirmer cette dernière.
