/ Prestations bancaires / Comment l’authentification forte (DSP2) bloque-t-elle les hackers même s’ils connaissent déjà votre mot de passe et votre numéro de carte ?
Protection bancaire moderne avec authentification forte contre les cybermenaces
Publié le 11 mars 2024

Contrairement à une simple contrainte, l’authentification forte (DSP2) est une architecture de défense qui rend vos identifiants volés inutilisables en déplaçant la bataille sur un terrain que vous seul contrôlez : votre smartphone.

  • Le verrou n’est plus un mot de passe (connaissance), mais un appareil physique (possession) validé par biométrie (inhérence).
  • Les attaques se sont déplacées du piratage technique vers la manipulation psychologique pour vous faire valider une opération frauduleuse.

Recommandation : Traitez chaque notification de validation non comme une formalité, mais comme le dernier point de contrôle d’une forteresse dont vous êtes le seul gardien. Ne validez jamais une action dont vous n’êtes pas à l’origine.

Cette notification push de votre application bancaire qui vibre sur votre téléphone. Encore une. Pour valider un simple achat en ligne ou l’ajout d’un bénéficiaire. Cette étape, perçue par beaucoup comme une contrainte agaçante, une friction dans un monde qui se veut instantané, est en réalité le rempart le plus sophistiqué entre votre argent et des réseaux de fraudeurs internationaux. Vous pensez peut-être que tant que votre mot de passe est complexe et que vous ne cliquez pas sur des liens de phishing évidents, vous êtes en sécurité. C’est une illusion dangereuse. Dans l’écosystème de la cybercriminalité moderne, vos identifiants, et même votre numéro de carte, sont très probablement déjà en vente sur le dark web.

Face à cette réalité, la sécurité bancaire a dû opérer une révolution copernicienne. L’enjeu n’est plus de protéger un secret (votre mot de passe), mais de valider une possession (votre téléphone) et une identité (votre empreinte digitale). C’est le cœur de la Directive sur les Services de Paiement n°2 (DSP2) et de son authentification forte. Mais si la technologie a érigé des murs quasi infranchissables, les fraudeurs, eux, ont changé de stratégie. Ils ne cherchent plus à forcer la porte ; ils tentent de vous convaincre de leur ouvrir vous-même. Le champ de bataille s’est déplacé de la pure technique vers l’ingénierie sociale et la manipulation psychologique.

Cet article n’est pas un simple guide sur « comment activer Secur’Pass ». C’est une incursion dans l’architecture de cette forteresse numérique. Nous allons décortiquer comment des attaques redoutables comme le « SIM Swapping » sont devenues obsolètes, comprendre la supériorité d’une clé matérielle sur la biométrie, et surtout, vous armer contre l’erreur fatale de valider une notification sous l’emprise d’un faux conseiller expert en manipulation. Car aujourd’hui, le maillon le plus faible, et le plus fort, c’est vous.

Pour naviguer dans les méandres de cette nouvelle ère de la sécurité bancaire, cet article est structuré pour vous guider pas à pas, du talon d’Achille des anciens systèmes aux stratégies de blindage de vos accès. Le sommaire ci-dessous vous permettra de visualiser les différentes lignes de défense que nous allons explorer.

Sommaire : Comprendre l’architecture de la sécurité DSP2 face aux menaces modernes

Pourquoi la fraude indétectable par « SIM Swap » permet-elle aux hackers de contourner si facilement l’ancienne validation par simple SMS (3D Secure) de votre banque ?

Avant l’ère DSP2, la sécurité de vos transactions reposait sur un pilier qui semblait robuste : votre numéro de téléphone. Le système 3D Secure envoyait un code unique par SMS, que vous deviez retranscrire pour valider un paiement. L’hypothèse était simple : seul le propriétaire légitime du téléphone pouvait recevoir ce code. C’était sans compter sur l’ingéniosité des fraudeurs et une attaque d’une efficacité redoutable : le SIM Swapping, ou l’arnaque à l’échange de carte SIM. Une menace bien réelle, puisqu’une étude révèle qu’environ 65% des Français ont été confrontés à la fraude par SIM swapping d’une manière ou d’une autre.

Le mécanisme est une démonstration glaçante d’ingénierie sociale. Premièrement, le fraudeur collecte des informations personnelles sur vous (nom, adresse, date de naissance), souvent glanées sur les réseaux sociaux ou via des fuites de données. Deuxièmement, armé de ces informations, il contacte votre opérateur mobile. En se faisant passer pour vous, il prétexte la perte ou le vol de votre téléphone et demande l’activation d’une nouvelle carte SIM, qui est en sa possession. L’opérateur, dupé, désactive votre SIM et active celle du pirate. À cet instant, vous perdez tout contrôle sur votre numéro de téléphone. Le fraudeur reçoit désormais tous vos appels et, surtout, tous vos SMS, y compris les fameux codes 3D Secure.

Pour le pirate, la voie est libre. Il peut se connecter à votre espace bancaire (dont il a souvent déjà obtenu le mot de passe via phishing), initier un virement et le valider avec le code reçu sur « votre » numéro de téléphone qu’il contrôle. Pour la banque, la transaction semble parfaitement légitime. C’est ce qui rend cette fraude si difficile à détecter en temps réel. Le système 3D Secure V1, en liant la sécurité à un identifiant (le numéro de téléphone) plutôt qu’à un objet physique unique et sécurisé (le smartphone lui-même), a créé une faille architecturale massive que le SIM Swapping a exploitée avec un succès dévastateur.

Comment réactiver sereinement et de manière sécurisée l’authentification forte sur votre nouveau smartphone sans devoir prendre un rendez-vous physique chronophage en agence bancaire ?

Le changement de smartphone est un moment de vulnérabilité potentielle. Comment s’assurer que vous, et vous seul, pouvez réactiver l’authentification forte sur un nouvel appareil ? C’est ici que l’architecture de la DSP2 montre sa robustesse. L’objectif est de vérifier votre identité en croisant plusieurs facteurs, un principe fondamental de la sécurité moderne. Comme le résume Victoria Grimaldi de Propulse by CA, l’authentification forte repose sur la combinaison d’au moins deux des trois éléments suivants :

L’authentification forte est un système d’identification rassemblant au moins 2 des 3 éléments : un élément que vous connaissez (connaissance) : un mot de passe ou un code ; un élément biométrique (inhérence) : une empreinte digitale ou faciale ou le son de votre voix ; un élément que vous possédez (possession) : un téléphone portable ou une ligne téléphonique. Ce système de double authentification renforce la sécurité des banques en ligne, des néobanques et des banques traditionnelles.

– Victoria Grimaldi, Propulse by CA

Les banques ont donc mis en place des processus qui ne reposent plus sur un simple appel téléphonique ou un SMS, facilement interceptables. La méthode la plus courante et la plus sécurisée consiste à utiliser un autre appareil de confiance déjà enregistré. Si vous avez encore votre ancien téléphone ou une tablette où l’application bancaire est active, vous pouvez l’utiliser pour autoriser l’ajout du nouvel appareil. C’est une validation de « possession à possession », un cercle de confiance numérique.

En l’absence d’un autre appareil, le processus se déporte sur le web. Vous vous connectez à votre espace client via un ordinateur, où il vous sera demandé de créer un code spécifique (comme le Code Personnel de Paiements Internet au CIC). Ce code, que vous seul connaissez (facteur « connaissance »), servira de clé pour finaliser l’enrôlement du nouveau téléphone. Dans les cas les plus complexes, ou si toutes les autres options échouent, certaines banques proposent une procédure de vérification d’identité par vidéo avec un conseiller. Vous devrez présenter votre pièce d’identité face caméra, prouvant ainsi de manière quasi irréfutable que vous êtes bien le titulaire du compte. Ces étapes, bien que pouvant sembler contraignantes, sont précisément ce qui empêche un fraudeur de prendre le contrôle de votre compte simplement en changeant de carte SIM.

Clé de sécurité FIDO U2F matérielle ou validation biométrique par empreinte sur application mobile : quelle technologie est réellement infalsifiable pour valider un virement exceptionnel ?

L’authentification forte sur mobile, via empreinte digitale ou reconnaissance faciale, offre déjà un niveau de sécurité exceptionnel. Elle lie la validation à une caractéristique biométrique unique (inhérence) et à un appareil que vous possédez (possession). Pour 99% des usages, c’est une forteresse. Cependant, dans le monde paranoïaque de la cybersécurité, on se pose toujours la question : quel est le maillon faible ? Un smartphone, aussi sécurisé soit-il, reste un ordinateur multifonctions connecté à internet, potentiellement vulnérable à des malwares extrêmement sophistiqués capables de cibler son « enclave sécurisée » (le coffre-fort numérique interne où sont stockées les données biométriques).

Face à ce risque théorique, une autre technologie représente l’étalon-or de la sécurité : la clé de sécurité matérielle FIDO U2F (Fast Identity Online – Universal 2nd Factor). Il s’agit d’un petit appareil, ressemblant à une clé USB, dont l’unique fonction est de gérer des secrets cryptographiques. Lorsque vous devez valider une opération, vous insérez la clé dans un port USB ou l’approchez de votre smartphone (via NFC) et appuyez sur son bouton. La clé réalise alors une signature cryptographique infalsifiable, prouvant à la fois que vous possédez la clé physique et que vous êtes présent pour approuver l’opération.

Le principal avantage d’une clé FIDO est son isolation physique et fonctionnelle. Elle n’est pas vulnérable aux malwares, au phishing ou aux attaques logicielles, car le secret cryptographique ne quitte jamais l’appareil. Le seul vecteur d’attaque viable est le vol physique de la clé, combiné au vol de votre code PIN qui la protège. C’est le summum du facteur « possession ». Le tableau suivant résume les différences fondamentales entre ces deux approches de pointe.

Comparaison de la sécurité : Clé FIDO U2F vs Biométrie mobile
Critère Clé FIDO U2F matérielle Biométrie sur mobile
Type de protection Secret cryptographique isolé physiquement Enclave sécurisée (TEE/Secure Enclave) dans le smartphone
Vecteur d’attaque principal Vol physique de la clé + code PIN Malware sophistiqué ciblant le téléphone
Niveau de sécurité Maximum (invulnérable aux attaques logicielles) Excellent pour 99% des usages
Prix moyen 30-95€ selon les fonctionnalités Intégré au smartphone
Stockage de credentials 25-300 passkeys selon le modèle Illimité via le cloud

Pour un particulier, la biométrie mobile est amplement suffisante. Pour un professionnel gérant des transactions de plusieurs millions ou un individu particulièrement exposé, une clé FIDO pour valider les opérations les plus critiques n’est pas de la paranoïa, mais une saine gestion du risque.

L’erreur fatale de valider machinalement et aveuglément une notification push d’authentification pendant que vous êtes au téléphone avec un faux conseiller bancaire très convaincant

L’architecture DSP2 a rendu les attaques techniques frontales extrêmement difficiles. La fraude ne disparaît jamais, elle se déplace. Les criminels ont donc massivement investi dans le dernier maillon de la chaîne : vous. L’attaque la plus courante et la plus pernicieuse aujourd’hui est une forme d’ingénierie sociale qui vise à vous faire valider vous-même une opération frauduleuse. C’est ce qu’on appelle parfois le « Push Bombing » ou la « fraude par fatigue MFA », mais sa forme la plus efficace est l’appel du faux conseiller.

Le scénario est bien rodé. Vous recevez un appel d’une personne se présentant comme un employé du service de sécurité de votre banque. Son ton est professionnel, urgent, et il utilise un vocabulaire technique précis. Il vous informe d’une « tentative de fraude en cours sur votre compte » ou de la nécessité de « procéder à une vérification de sécurité suite à une mise à jour ». Comme le décrit la BRED dans une analyse de ces fraudes, l’objectif est de créer un sentiment de panique contrôlée :

La première approche des fraudeurs consiste à créer un sentiment d’urgence absolue. Par exemple, ils prétendent détecter une activité suspecte sur votre compte nécessitant une action immédiate. Ces escrocs utilisent des techniques comme la modification artificielle de leur voix ou l’emploi d’un vocabulaire technique précis pour gagner votre confiance. Leur objectif est de vous pousser à partager des codes confidentiels ou valider des opérations sensibles.

– BRED, Article sur le SIM Swapping

Pendant que le faux conseiller vous maintient au téléphone, il initie en parallèle une opération depuis son propre ordinateur (un virement, l’ajout d’un bénéficiaire…). Il vous dit alors : « Pour annuler cette opération frauduleuse, vous allez recevoir une notification sur votre téléphone. Veuillez la valider immédiatement pour bloquer le pirate. » C’est le piège. La notification que vous recevez n’est pas une annulation, mais la demande de validation de l’opération frauduleuse qu’il vient de lancer. En validant, vous donnez votre consentement explicite, via une authentification forte, au transfert de votre propre argent.

L’erreur fatale est de faire confiance à la voix au téléphone plutôt qu’au texte sur la notification. La règle d’or est absolue : ne validez JAMAIS une opération dont vous n’êtes pas à 100% à l’origine, quel que soit le niveau de pression ou de panique. Une vraie banque ne vous demandera jamais de valider une annulation via une notification. C’est vous, et vous seul, qui devez être à l’initiative de chaque action.

Comment utiliser judicieusement les listes blanches de bénéficiaires de confiance pour désactiver la lourdeur de la double validation au quotidien tout en gardant un compte ultra-sécurisé ?

L’authentification forte, si elle est indispensable pour les opérations sensibles, peut devenir lourde pour les paiements récurrents et de faible montant. C’est pourquoi la réglementation DSP2 a prévu des exceptions intelligentes, notamment le concept de « liste blanche de bénéficiaires de confiance ». Cette fonctionnalité vous permet de désigner certains destinataires (votre bailleur, votre conjoint, un compte d’épargne) comme étant sûrs. Une fois qu’un bénéficiaire est sur cette liste, les virements futurs vers ce compte peuvent être exemptés de l’authentification forte systématique, fluidifiant ainsi vos opérations quotidiennes.

Cependant, cette commodité ne doit pas devenir une faille de sécurité. La gestion de cette liste blanche doit suivre une stratégie rigoureuse. La règle fondamentale est que l’ajout d’un nouveau bénéficiaire à la liste blanche doit toujours être soumis à l’authentification la plus forte possible. C’est le moment critique où vous ouvrez une nouvelle « porte » dans votre forteresse. Un fraudeur qui parviendrait à ajouter son propre compte à votre liste de confiance aurait un accès simplifié pour vous voler.

Voici une stratégie de gestion en quatre points pour utiliser cette fonction judicieusement :

  • Réservez la liste blanche exclusivement aux virements absolument récurrents et prévisibles (loyer, impôts, pension, conjoint).
  • Ne jamais ajouter un bénéficiaire sous la pression ou dans l’urgence, surtout si la demande vient par email ou téléphone. C’est une tactique classique de fraude.
  • Exigez la validation forte maximale pour l’AJOUT de tout nouveau bénéficiaire. C’est le verrou principal de cette fonctionnalité.
  • Révisez périodiquement votre liste (tous les 6 mois, par exemple) pour supprimer les bénéficiaires qui ne sont plus pertinents (un ancien bailleur, un service résilié).

Cette approche équilibrée vous permet de bénéficier du meilleur des deux mondes : la sécurité à toute épreuve de la DSP2 pour les opérations inconnues, et la fluidité pour les transactions du quotidien. L’efficacité de ce système global est d’ailleurs démontrée par les chiffres, puisque le taux d’échec du 3D Secure 2 tourne aujourd’hui autour de 5 à 8%, contre 15 à 20% avec l’ancien protocole par SMS, signe d’une meilleure acceptation et d’une friction mieux gérée.

Pourquoi l’authentification forte (DSP2) ne suffit pas si un fraudeur vous appelle directement ?

Nous l’avons vu, la DSP2 est une merveille d’architecture défensive contre les attaques techniques. Elle rend le vol de votre mot de passe presque anodin. Mais elle ne peut rien contre la plus vieille faille de sécurité du monde : la nature humaine. Si un fraudeur parvient à vous convaincre par téléphone de réaliser une action, l’authentification forte devient alors, paradoxalement, l’arme du crime que vous retournez contre vous-même.

Le fraudeur au téléphone ne vous demande pas vos codes. Il sait que vous avez été formé à ne pas les donner. Il est plus subtil. Il crée une histoire crédible et anxiogène (« une transaction de 800€ vers l’étranger est en cours, nous devons l’annuler d’urgence ») et vous guide pour que vous utilisiez vous-même votre outil de sécurité. Vous êtes au téléphone, en état de stress, et vous recevez la notification. Votre cerveau, focalisé sur la voix rassurante et autoritaire de votre interlocuteur, ne lit qu’en diagonale le texte de la notification. Il voit le montant de 800€ et entend « annuler ». Vous validez avec votre empreinte. Vous venez d’autoriser un virement de 800€.

C’est ce que les experts appellent exploiter le « vecteur d’attaque humain ». La technologie est parfaite, mais elle présuppose un utilisateur rationnel et attentif. Le fraudeur, lui, mise sur l’émotion : la peur, l’urgence, la confiance aveugle en une fausse autorité. Le rappel de la Banque Populaire est d’une clarté absolue et doit devenir un réflexe : « Ne validez jamais un paiement dont vous n’êtes pas à l’origine. La Banque ne vous demandera jamais de valider l’annulation d’une opération de paiement par carte bancaire sur internet. » Face à un appel suspect, la seule procédure de sécurité valable est de raccrocher, d’attendre quelques minutes, puis de contacter vous-même votre banque via le numéro officiel inscrit au dos de votre carte bancaire.

Pourquoi l’alerte SMS classique est obsolète face aux piratages de cartes bleues internationaux ?

L’alerte SMS a longtemps été notre filet de sécurité. Une dépense suspecte ? Un SMS nous prévenait. Mais comme nous l’avons vu avec le SIM Swapping, lier la sécurité à un simple numéro de téléphone est une architecture fondamentalement fragile. Un pirate qui contrôle votre numéro de téléphone ne contrôle pas seulement les codes de validation, il contrôle aussi les alertes. Il peut voir les transactions suspectes avant vous et même supprimer les messages pour retarder votre réaction. Le préjudice peut alors être considérable ; selon les experts, les victimes subissent un préjudice de 10 000 euros en moyenne dans ce type de fraude, un chiffre qui illustre l’inefficacité de l’ancienne approche.

L’obsolescence du SMS va au-delà du SIM Swapping. Le dispositif a été remplacé par l’authentification forte via application mobile pour une raison cryptographique fondamentale, comme le détaille le processus de transition vers la DSP2. L’évolution est la suivante :

  • Ancien système (3D Secure V1) : La validation était liée à un numéro de téléphone. Un code était envoyé par SMS. Si le numéro était piraté (SIM Swap), la sécurité était compromise.
  • Nouveau système (DSP2) : La validation est liée à un appareil physique unique. Lors de l’installation de votre application bancaire, un « enrôlement » a lieu. Votre smartphone est enregistré et une clé cryptographique unique est créée. Désormais, la notification push est envoyée à cet appareil spécifique, et non à un numéro.

Cette distinction est cruciale. Même si un fraudeur réussit un SIM Swap et vole votre numéro, il ne recevra aucune notification de validation. Celle-ci arrivera toujours sur votre ancien téléphone, l’appareil physiquement enrôlé. Il verra son attaque bloquée net. C’est ce qu’on appelle le « device binding » ou « lien à l’appareil ». La sécurité n’est plus dépendante d’un identifiant volatile (un numéro) mais d’un objet physique (votre smartphone) dont la possession est prouvée par la validation biométrique. C’est un changement de paradigme qui rend les anciennes méthodes de fraude massivement inefficaces.

À retenir

  • L’authentification forte (DSP2) a déplacé la sécurité de ce que vous savez (mot de passe) à ce que vous possédez physiquement (votre smartphone enrôlé).
  • La plus grande menace actuelle n’est plus le piratage technique, mais la manipulation psychologique (ingénierie sociale) pour vous amener à valider vous-même des fraudes.
  • Ne validez JAMAIS une notification push sous la pression ou si vous n’êtes pas à l’origine de l’action. Le texte de la notification fait foi, pas la voix au téléphone.

Comment blinder l’accès à votre espace client sécurisé face aux nouvelles fraudes par SMS ?

Nous avons établi que l’authentification forte via l’application mobile est une défense robuste. Mais pour atteindre un niveau de sécurité quasi absolu, digne d’une infrastructure critique, il est possible d’aller plus loin en adoptant des standards professionnels comme les clés de sécurité matérielles FIDO2. Comme le définit Microsoft, « FIDO2 est une norme ouverte et sans licence pour l’authentification multifactorielle sans mot de passe ». En pratique, cela signifie remplacer la saisie d’un mot de passe par l’utilisation d’une clé physique pour vous connecter à vos services les plus sensibles, y compris votre espace bancaire si celui-ci le supporte.

L’adoption de ces clés n’est plus réservée à quelques experts en technologie. Des entreprises comme Discord, T-Mobile et Cloudflare ont déployé des centaines de milliers de clés de sécurité à leurs employés pour éradiquer le phishing et les accès non autorisés. Pour un particulier, l’utilisation d’une telle clé pour accéder à son espace bancaire principal transforme son accès personnel en une forteresse de niveau professionnel. C’est l’application ultime du principe : la sécurité repose sur quelque chose que vous possédez physiquement et qui est cryptographiquement inviolable.

Au-delà des outils, blinder son accès repose sur une hygiène de sécurité rigoureuse. Il s’agit de construire votre propre plan de défense numérique, en auditant régulièrement vos points d’accès et vos habitudes. La checklist suivante vous propose un plan d’action concret pour évaluer et renforcer votre périmètre de sécurité personnel.

Votre plan de défense numérique : les 5 points à vérifier

  1. Points de contact : Listez tous les appareils (téléphones, tablettes, ordinateurs) et navigateurs où vos accès bancaires sont enregistrés. Chaque appareil est une porte potentielle.
  2. Collecte des verrous : Pour chaque accès, inventoriez les méthodes de sécurité actives : mot de passe seul ? Authentification forte activée ? Via biométrie ou code ?
  3. Audit de cohérence : Confrontez vos pratiques au principe de base : est-ce que chaque accès sensible est bien protégé par au moins deux facteurs (connaissance + possession/inhérence) ? Y a-t-il des accès qui reposent encore sur un simple mot de passe ?
  4. Évaluation de la robustesse : Votre mot de passe principal est-il unique pour votre banque et stocké dans un gestionnaire de mots de passe ? Ou est-il réutilisé et potentiellement compromis ?
  5. Plan d’action : Identifiez les failles (ex: un vieil ordinateur avec un mot de passe enregistré) et priorisez leur correction : déconnectez les anciens appareils, activez l’authentification forte partout où c’est possible, et envisagez une clé FIDO2 pour votre accès principal.

La sécurité n’est pas un état, mais un processus. En adoptant une posture proactive, en comprenant l’architecture de vos défenses et en vous méfiant systématiquement de toute sollicitation non initiée, vous transformez les contraintes apparentes de la DSP2 en un puissant bouclier personnel.

Pour mettre en pratique ces principes, la première étape est de réaliser un audit complet de vos accès et de vos habitudes de validation. Prenez le contrôle de votre forteresse numérique dès aujourd’hui en appliquant méthodiquement ce plan de défense.

Rédigé par Marc Dubois, Ancien inspecteur au sein d'un grand groupe bancaire français, Marc Dubois est diplômé d'un Master en Monnaie, Banque et Finance. Il consacre aujourd'hui son expertise de plus de douze ans à la protection des consommateurs face aux nouvelles fraudes bancaires et à l'optimisation des frais de compte. Son rôle actuel de consultant indépendant lui permet d'accompagner particuliers et professionnels dans le choix de leurs moyens de paiement et de leurs néobanques.
Frais bancaires : comment économiser plus de 200 € par an sans changer de banque (les secrets d’un initié)
À la une
Comment forcer l’activation d’une garantie décennale face à un maçon qui a déposé le bilan 3 ans après vos travaux ?
Comment utiliser le Plan d’Épargne Retraite (PER) pour déduire légalement 10 000 € de vos impôts cette année tout en préparant sereinement vos revenus pour 2040 ?
Prouver sa résidence fiscale à l’étranger : comment déjouer les pièges de l’administration française ?
Non-résidents : comment éviter que les prélèvements sociaux et la retenue à la source forfaitaire n’avalent 50 % de vos loyers français ?
Comment organiser votre expatriation hors d’Europe pour ne pas subir un double redressement fiscal dévastateur lors de votre changement de vie ?
Articles similaires
Comment exploiter à 100 % votre application bancaire pour repérer une anomalie de solde en moins de 2 minutes ?
Quelle carte bancaire internationale choisir pour supprimer les frais de change lors de vos voyages hors Europe ?
Comment débloquer les plafonds de vos virements SEPA pour un achat immobilier urgent ?
Quels moyens de paiement privilégier pour sécuriser vos achats de plus de 500 € sur internet ?