BFM Business

Pourquoi vous ne recevrez bientôt plus de code par SMS pour valider vos achats en ligne

Une directive européenne applicable en 2019 obligera les banques à utiliser "l'authentification forte" pour valider les achats en ligne et réduire la fraude dans l'e-commerce. En sonnant le glas de la validation par SMS prisée par les banques, ce texte les oblige déjà à envisager d'autres dispositifs plus sécurisés.

Comment sécuriser les achats en ligne en décourageant la fraude sans pénaliser l'internaute par des procédures (trop) complexes? Les banques ont trouvé depuis une dizaine d'années un compromis avec le système d'authentification par SMS (procédé 3D Secure), déployé sur nombre de sites d'e-commerce en France. Mais, l'application d'un texte européen sur les paiements électroniques rendra bientôt ce dispositif obsolète au motif qu'il n'offre pas toutes les garanties de sécurité sur Internet.

L'envoi d'un SMS avec un code à usage unique à l'internaute permet à la banque de s’assurer, lors de chaque paiement en ligne, que la carte bancaire servant à l'achat est bien utilisée par son véritable titulaire. L'acheteur doit alors le saisir dans une "fenêtre" (pop-up) qui s'affiche sur son écran pour valider son achat sur le site d'e-commerce. Le système n’est pas infaillible (un numéro 06 peut être piraté) mais il est "simple" pour limiter la fraude. Toutefois, les "puristes" de la sécurité informatique critiquent le fait que cette "fenêtre" n'est pas forcément générée par le site où a été fait l'achat, ni par celui de la banque d'où provient la carte, offrant des failles exploitables par les pirates informatiques.

La directive européenne a prévu des dérogations

Pour renforcer la sécurité des achats en ligne, la directive européenne DSP2 s’apprête à rendre obligatoire le principe de l’authentification forte pour tous les achats en ligne, alors que son utilisation est pour le moment facultative. Il y aura tout de même des dérogations comme le paiement sans contact en dessous d'un certain montant et les achats en ligne de moins de 30 euros.

-
- © Source : Observatoire de la sécurité des moyens de paiement.

Le principe de l'authentification forte est simple en théorie. Il s'agit de demander à l'internaute de s'authentifier au moment de la transaction grâce à au moins deux facteurs pris parmi trois catégories: quelque chose qu'il sait (mot de passe, code PIN), quelque chose qu'il possède (ordinateur, smartphone) et quelque chose qui le caractérise comme individu (empreinte digitale, rétine, forme du visage, voix).

Ces nouvelles règles européennes de sécurisation des paiements sur internet n'entreront en application qu'en septembre 2019 mais déjà les banques françaises s'inquiètent. "Il n'est pas pensable d'imaginer qu'en un an, on va à la fois généraliser de nouvelles méthodes d'authentification forte et former tous les consommateurs à les utiliser en lieu et place du mot de passe à usage unique par SMS", explique dans Les Echos, Loÿs Moulin, directeur du développement au sein du groupement Cartes Bancaires CB.

Vers le paiement en ligne par biométrie sur smartphone

Les acteurs de l'e-commerce redoutent aussi que les internautes soient rebutés par des procédures de sécurisation et d'authentification trop lourdes ou complexes qui leur seraient imposées trop brutalement. Dans un courrier daté de la fin du mois d'octobre 2018, plusieurs fédérations européennes de commerçants demandent à l'Autorité bancaire européenne d'accorder un délai de trois ans aux acteurs concernés pour déployer des dispositifs anti-fraude alternatifs, révèle le quotidien économique.

La biométrie consistant à valider un achat en scannant son empreinte digitale sur le capteur biométrique présent sur certains smartphones (iPhone, Huawei, Samsung) est une technologie intéressante mais elle suppose que l'internaute possède ce type de téléphone mobile.

Une alternative technologique à la biométrie existe aussi grâce à une évolution du procédé 3D Secure (version 2.0) qui autorise une authentification depuis l’application fournie par l'e-commerçant lorsque la transaction est initiée sur un terminal mobile (smartphone ou tablette).

Frédéric Bergé