BFM Business

Les paiements en ligne resteront sécurisés jusqu'en 2022 par un code reçu par SMS

Les autorités bancaires européennes ont permis exceptionnellement  de reculer la date butoir d'application de la directive DSP2. La France a choisi de repousser cette échéance jusqu'en 2022.

Les autorités bancaires européennes ont permis exceptionnellement de reculer la date butoir d'application de la directive DSP2. La France a choisi de repousser cette échéance jusqu'en 2022. - Denis Charlet-AFP

Alors qu'elle aurait dû s'appliquer en septembre 2019, la directive européenne DSP2 obligeant à sécuriser les paiements en ligne par une authentification renforcée, ne sera pas rendue obligatoire avant 2022 en France. Il reste trois ans aux banques et aux sites d'e-commerce pour adapter leurs dispositifs techniques.

La sécurisation renforcée des achats effectués sur Internet attendra trois ans de plus. La directive européenne DSP2 qui devait obliger dès septembre 2019 les banques et les sites d'e-commerce à utiliser "l'authentification forte" pour valider les achats en ligne et réduire la fraude, voit son application décalée à 2020 et au-delà.

Avec l'aval de l'autorité bancaire européenne, la France accorde trois ans supplémentaires pour s'assurer que toutes les parties prenantes de la chaîne du paiement en ligne (banque, néobanque, sites d'e-commerce, prestataires de services de paiement) soient en mesure de mettre en service cette sécurité renforcée, selon Les Echos.

L'authentification par SMS jugée insuffisamment sûre

D'autres pays membres de l'UE (Allemagne, Italie, Espagne) ont aussi décidé de repousser l'échéance de la mise en application de la directive au-delà de 2019.

Actuellement, les banques ont trouvé un (bon) compromis avec le système d'authentification par SMS (procédé 3D Secure), déployé sur nombre de sites d'e-commerce en France. L'envoi d'un SMS avec un code à usage unique à l'internaute permet à la banque de s’assurer, lors de chaque paiement en ligne, que la carte bancaire servant à l'achat est bien utilisée par son véritable titulaire.

Mais, la directive européenne DSP2 oblige les banques à utiliser "l'authentification forte" pour valider les achats en ligne, sonnant le glas de la seule validation par SMS prisée par les banques. Ce mode d’authentification ne repose que sur un seul facteur : la possession du mobile du porteur, qui sert à recevoir le code de validation (les coordonnées de la carte bancaire ayant pu être piratées par ailleurs).

Le principe de l'authentification forte ou renforcée consiste à demander à l'internaute de s'authentifier au moment du paiement en ligne grâce à au moins deux facteurs distincts pris parmi trois catégories: quelque chose qu'il sait (mot de passe, code PIN), quelque chose qu'il possède (ordinateur, smartphone) et quelque chose qui le caractérise comme individu (empreinte digitale, rétine, forme du visage, voix).

Une authentification renforcée à deux facteurs

Anticipant cette exigence de sécurité, certaines banques ont déjà déployé des applications mobiles de paiement exigeant de l'internaute la saisie d'un code à usage unique généré sur son mobile ou une donnée biométrique (empreinte digitale par exemple), soit deux facteurs (code/biométrie et téléphone mobile).

Mais tous les acteurs (néobanque, e-commerçants, prestataires de services de paiement en ligne) n'étaient pas forcément prêts à encaisser le choc lié à la mise en oeuvre de ces dispositifs d'authentification forte sur leur système informatique. Si tous ces acteurs n'avaient pas été prêts à temps à l'échéance initiale de septembre 2019, les internautes auraient couru le risque de voir leurs achats en ligne bloqués. Ce risque étant désormais écarté, les acteurs du paiement en ligne ont trois ans pour se conformer à la directive.

Frédéric Bergé