L’authentification à distance par code SMS disparaîtra vers la fin de l’année prochaine
D’après le calendrier établi par l'ABE (Autorité bancaire européenne), la validation des transactions en ligne par code SMS ne fonctionnera plus à compter du 31 décembre 2020. Après cette date, les acteurs du paiement et les e-commerçants devront tous utiliser l’authentification forte pour sécuriser les achats réalisés par les via leur carte bancaire à travers l’Europe.
Au départ, le basculement général vers l’authentification forte a été fixé au 14 septembre 2019. L'ABE (Autorité bancaire européenne) a toutefois accordé un délai supplémentaire pour permettre aux acteurs concernés de procéder progressivement aux changements nécessaires.
L’échéance a donc été repoussée pour fin 2020. À compter de cette date, la validation des achats par SMS disparaîtra définitivement en Europe.
Tous les pays concernés devront alors respecter les directives de sécurité concernant les transactions à distance par carte bancaire. Néanmoins, les e-commerçants et les prestataires de paiement disposent encore d’environ quinze mois pour remplacer leur système de validation et s’adapter aux nouvelles normes européennes en la matière.
Une conversion facilitée au maximum
La fin de la validation par SMS est une suite logique de la nouvelle directive européenne sur les services de paiement et les transactions par carte bancaire en ligne. Par ces textes, les autorités européennes obligent les plateformes de e-commerce, les banques et prestataires de paiement à valider les transactions en ligne via l'authentification forte.
En effet, pour les experts en sécurité et l’ABE, l’authentification par SMS (système 3D Secure) n’est pas assez efficace pour lutter contre les fraudes à la carte bancaire. Ils ont d’ailleurs invoqué l’augmentation de ce phénomène pour justifier leur décision.
Toutefois, ce basculement vers l’authentification forte préoccupe les principaux acteurs concernés, car il implique des modifications en profondeur de leur système informatique.
Les e-commerçants, quant à eux, s’inquiètent de l’impact de cette réforme sur l’expérience utilisateur. Les internautes risquent en effet d’être rebutés par de nouvelles procédures d'authentification complexes et imposées brutalement.
Face à ces préoccupations, l'ABE a exceptionnellement reporté l’application de la réforme pour éviter les effets négatifs sur les utilisateurs et les fournisseurs de services de paiement. L’organisme a ainsi fixé une nouvelle échéance pour les acteurs concernés. Avec ce délai, ils devraient être en mesure de s’adapter aux nouvelles normes. Toutefois, certains risquent de ne pas être encore prêts en janvier 2021 selon les analystes.
Renforcement du niveau de protection contre les fraudes
Les services d’une banque en ligne sont très pratiques sur un site de e-commerce. Jusqu’à présent, les achats par carte bancaire sur ce type de plateforme sont sécurisés par le système 3D Secure. Ce dispositif consiste à envoyer un code secret à usage unique, par SMS, au propriétaire de la carte pour confirmer l’identité de l’acheteur. Il lui suffit ensuite de renseigner ce code dans la fenêtre pop-up dédiée pour valider la transaction.
Ce système relativement simple permet de limiter les risques de fraude, mais reste exposé au piratage. En effet, selon les experts en sécurité informatique, cette interface (la fenêtre pop-up) n’est pas nécessairement générée par le fournisseur de la carte ou le site marchand. Les hackers peuvent donc profiter de cette faille.
Dans la pratique, le plus grand défaut du 3D Secure vient du fait qu’il se base sur un seul système d’authentification, le mobile de l’utilisateur.
Avec l'authentification forte, l'internaute devra valider son paiement en ligne via au moins deux éléments distincts sur trois : une information que seul le propriétaire de la carte est supposé connaître (code PIN ou mot de passe), un terminal personnel (mobile, ordinateur, etc.) et une caractéristique propre à un individu (voix, visage, empreinte digitale ou rétinienne, etc.).
