Oui c'est celui après la connexion (ils donc bien modifié) :

Effectivement, il a toutes les chances que pour ne pas oublier le mot de passe, il soit noté à côté du PC/smartphone. Et en plus, c'est pénible pour l'utilisateur.

Aucun soucis ! Comme securite ils (les banques) ont introduit depuis longtemps l'identifiant impossible a memoriser

"l’usage d’un seul code reçu par SMS pour sécuriser une transaction ne sera plus jugé suffisant et devra être progressivement renforcé au moyen de nouvelles solutions, telles que la reconnaissance biométrique, combinées à d’autres dispositifs de contrôle. Mais tous les acteurs ne sont pas prêts."

L'article en question :

Payer sur internet : valider son paiement par code SMS, c’est bientôt fini

La validation de paiements en ligne par code SMS sera bientôt terminée, mais les opérateurs ne sont pas encore prêts à la mise en place de moyens plus sécurisés.

La validation de paiements en ligne par code SMS sera bientôt terminée : de nouvelles mesures pour renforcer la sécurité des paiements commencent à entrer en vigueur samedi, avec une mise en œuvre qui va s’étaler jusqu’à fin 2020-début 2021, a indiqué mercredi l’Observatoire français de la sécurité des moyens de paiements. Ces nouvelles mesures sont prévues par une directive européenne (dite "DSP 2") visant à renforcer le niveau de sécurité des opérations de paiement sur internet en Europe, pour limiter les risques de fraude.

Pour ce faire, les èmetteurs de cartes bancaires et banques, opérateurs de paiement, commerçants en ligne, etc. sont tenus de déployer un dispositif dit "d’authentification forte" du client lors de paiements électroniques ou d’opérations bancaires sensibles. Les nouvelles règles européennes entreront bien en vigueur en France le 14 septembre prochain, a indiqué mercredi dans un communiqué l’observatoire, rattaché à la banque de France. Il a confirmé une mise en application jusqu’en décembre 2020 de mesures "d’authentification forte" pour "la grande majorité des clients", conformèment à la directive.

"Inquiétudes" vis-à-vis du commerce en ligne

Les "professionnels de la chaîne des paiements" devront pour leur part avoir mis à niveau leurs systèmes aux nouvelles exigences réglementaires d’ici mars 2021. Concrètement, l’usage d’un seul code reçu par SMS pour sécuriser une transaction ne sera plus jugé suffisant et devra être progressivement renforcé au moyen de nouvelles solutions, telles que la reconnaissance biométrique, combinées à d’autres dispositifs de contrôle. Mais tous les acteurs ne sont pas prêts.

Dans une note publiée le 21 juin, l’Autorité bancaire européenne (ABE), chargée d’élaborer les normes techniques de cette directive, avait décidé d’accorder "un délai supplèmentaire limité" aux États membres concernés pour se mettre en conformité avec ces exigences techniques et en échange d’un plan de migration aux échéances précises. En cause, "les inquiétudes" d’acteurs du marché "quant à l’état de préparation du commerce électronique aux nouvelles exigences" d’authentification forte, risquant de créer des perturbations dans les transactions en ligne.

De plus, selon l’ABE, une information plus large du grand public sur la teneur de ces évolutions s’avérait nécessaire pour réussir l’entrée en vigueur de la directive. Dans la foulée, début juillet, l’Observatoire français de la sécurité des moyens de paiements avait présenté un plan de migration avec l’objectif d’une mise en œuvre de l’authentification forte pour une nette majorité des clients et des transactions d’ici décembre 2020.

Source : Sud Ouest, le 11 septembre 2019

La validation de paiements en ligne par code SMS sera bientôt terminée, mais les opérateurs ne sont pas encore prêts à la mise en place de moyens plus sécurisés.

Entre ça et le RGPD, je pense qu'il y a un constat saisissant : avant, il n'y avait pas de législateur, maintenant, il y a un législateur qui y va fort et maladroitement (mais qui y va). C'est pas plus mauvais qu'il y ait un contrepoids à un moment donné.

Pour moi, tout ça vient surtout d'un point :

Les SMS ne sont pas "sécurisés" , dans le sens où
* Un tiers (attaquant une cible) peux détourner un SMS à son profit , SS7 ou autre
* Il n'y a pas d'authentification ni chiffrement dans les SMS (normal, vu l'age).
* Il reste toujours possible de piquer le téléphone d'une personne .

Par contre il n'y a QUE ça qui, actuellement, peut être reçu sur n'importe quel terminal.

Du coup je me demande:
* Est-ce que, en 4G / 5G , d'autant plus avec VOLTE, il a été prévu une extension à ce protocole ?
* Est-ce qu'il serait possible, et utile, de mieux protéger les SMS au niveau opérateur (ce qui ne pourrait répondre qu'au cas 1) ci dessus, j'en convient)

Parce que oui, sinon et comme il n'y a pas de standard, si t'a 3 banque, t'a 3 applis ? Et si tu changes de téléphone ou on t'en prête un ? 

Bref j'ai un peu l'impression qu'on s'attaque aux conséquences faute d'avoir la moindre idée de comment attaquer la cause.

La norme SMS a connu de nombreuses extensions au fil du temps, il est possible d'envoyer des SMS binaires si besoin, mais je pense que les SMS ne sont simplement pas un canal technique intéressant pour les personnes qui devront implèmenter ces solutions car il sera considéré comme obsolète et/ou taxé par rapport au canal de données.

C'est pour ça que je pensais à une méthode standard (== implèmenté par tous les portables compatible 4G , ou 5G) - qui peux utiliser "la data", pas forcèment revenir au GSM.
Mais bon ça résous pas le problème des mobiles actuels.

Je pense que si les banques décident sérieusement de se mettre à utiliser les processeurs TEE et/ou les cartes SIM comme moyens de compléter des paiements en ligne, des normes et une industrie èmergeront très vite (si ce n'est pas déjà en train d'être le cas). Ça existe déjà dans l'industrie des transports (par exemple le post-paiement avec validation par mobiles qui est en train d'être testé/déployé en Île-de-France) et les solutions de type Apple Pay sont déjà un peu ça.

Le problème c'est le silo : Apple Pay marche que sur Apple, ya forcèment un truc aussi sous android (que j'ai pas cherché). Mais je suis bien sur que samsung va tenter le sien, Huawei aussi (ce dernier encore plus vu qu'il est en train de se faire couper le marché US). Déjà sur les magasin d'appli c'est le cas, chacun a le sien.

Et quid d'autres téléphones qui ne sont ni google ni apple ? Si je tourne sous LineageOS , les appli tourneront plus car j'ai l'audace de vouloir être root sur mon propre téléphone ? C'est déjà comme ça avec les appli de streaming légal , nul doute que les banques l'implèmentent aussi à terme.
Je dis ça car , au moins google "interdit" l’utilisation de certaines API (pas seulement applications) sur un téléphone non sanctifié par Google (cad où les appli google sont présentes de base).

Une personne qui fait des paiements par Internet est probablement une personne avec un terminal mobile qui date d'il y a moins de 15 ans (plus probablement de moins de 4 ans), c'est sûrement sur ce cœur de cible que les opérateurs se concentreront pour définir la gamme de terminaux mobiles à supporter.

A la limite, ça me gêne pas, qu'ils visent ce cœur de cible. Le reste ce seront les vieux , les gens qui préfèrent "pousser" leur téléphone plutôt que d'en racheter un tous les 4 ans, les technophobes,...
Le problème c'est bien d'exclure ceux qui ne sont pas dans ce cœur de cible, sans laisser de solution.

Mais sinon, une solution de validation par clé OTP physique est déjà proposée comme alternative par certaines banques pour contourner l'usage du mobile (voir le blog du Hollandais Volant).

Oui, je vois le genre de dispositif. J'ai vu aussi des "calculettes" dans lesquelles ont doit glisser sa carte bancaire, et qui produit un code à rentrer sur le site web.
Pourquoi pas.
On peux aussi imaginer un OTP NB-IOT (ou lora) quand ce sera bien couvert par les opérateurs.

Il faudra aussi bien travailler la sécurisation de cette chaîne de transmission. Been there, done that... :-)