Les consommateurs peuvent encore valider leurs paiements en ligne via les codes SMS

Le nombre de fraudes a sensiblement baissé depuis la mise en place de l’authentification par SMS pour les achats en ligne. Afin de le réduire davantage, l’Europe a émis une directive imposant l’utilisation de solutions de sécurisation renforcées pour les paiements. Toutefois, le déploiement de ce nouveau système s’est révélé plus complexe que prévu.

Jusqu’ici, les paiements sur Internet par carte bancaire sont généralement sécurisés grâce au système 3D Secure. Il repose essentiellement sur le SMS OTP (one time password). Concrètement, un mot de passe à usage unique est envoyé à l’utilisateur par SMS pour contrôler son identité et sécuriser la transaction.

Ce système a été introduit dans l’Hexagone en 2008 et s’est généralisé dans les années 2010. Conformément à la DSP2 (nouvelle directive de sécurité sur les paiements en Europe), il devrait bientôt disparaître au profit de solutions plus sécuritaires.

Toutefois, le basculement vers l’authentification forte implique de nombreux défis techniques et financiers pour les opérateurs concernés. Ils ont ainsi obtenu un sursis.

Notre sélection des promos

La sélection

BoursoBank

150 € Offerts

Voir l'offre

Voir l'offre

La sélection

Fortuneo

250 € Offerts

Voir l'offre

Voir l'offre

La sélection

Monabanq

240 € Offerts

Voir l'offre

Voir l'offre

La sélection

Hello bank!

180 € Offerts

Voir l'offre

Voir l'offre

Le 3D Secure est toujours d’actualité

L’ajout d’un niveau d’authentification supplémentaire nécessite un investissement important pour les principaux acteurs concernés de près ou de loin par le paiement en ligne. Heureusement, la Banque de France leur a accordé un sursis jusqu’à fin mars 2021 pour se raccorder à la nouvelle infrastructure prévue à cet effet.

Le directeur général de la Fevad (Fédération du e-commerce et de la vente à distance), Marc Lolivier, note :

« C'est un chantier qui impose de très lourds développements informatiques pour les e-commerçants. Pour les plus gros sites marchands, cela peut représenter plusieurs millions d'euros ».

Marc Lolivier.

La date initiale du 14 septembre 2019 à laquelle la nouvelle procédure d’authentification devait entrer en vigueur a suscité de nombreuses inquiétudes dans le secteur. En effet, les banques, les acteurs du paiement et les e-commerçants estimaient que le nouveau système n’était pas encore prêt.

De ce fait, il ne supporterait pas un basculement soudain de toutes les transactions du système 3D Secure au nouveau réseau. La majorité des opérations en ligne auraient alors pu être refusées en masse. Les e-marchands auraient été les premières victimes de ce phénomène.

Au final, le SMS OTP demeure la norme durant le déploiement progressif des nouvelles solutions d’authentification forte. À noter que cette migration requiert la mise en place d’une architecture informatique tout à fait différente du 3D Secure.

Les banques sont relativement prêtes

Les principales banques françaises ont déjà un peu d’expérience en matière de renforcement de l’authentification. BNP Paribas, par exemple, dispose d’un contrôle supplémentaire pour certaines opérations de banque en ligne considérées comme sensibles, à l’instar de l’ajout de nouveaux bénéficiaires de virements.

Baptisé « Clé digitale », ce système est en place depuis 2018 selon la directrice adjointe de l'offre cartes et paiements innovants de l’enseigne, Christine Guillaumet. Il est désormais incontournable dans la validation et la sécurisation des transactions sur Internet.

BNP Paribas incite par ailleurs ses clients à utiliser son application lorsqu’ils effectuent des paiements en ligne via leur carte bancaire. Grâce à cet outil, ils seront en mesure d’obtenir plus de détails sur chaque transaction (sa valeur, l’identité du marchand, etc.) et de valider l’opération par un code personnel à six chiffres. La banque envisage même d’ajouter une authentification par empreinte digitale à l’avenir.

Néanmoins, suite à un avis de l’EBA (Autorité bancaire européenne) émis en juin dernier, la Banque de France a accordé un sursis pour faciliter le déploiement des nouvelles mesures de sécurité des opérateurs concernés. Comme l’explique la banque centrale de l’Hexagone :

« Ce plan de migration sur la manière dont un client va s'authentifier est prévu jusqu'au 31 décembre 2020. Dans les quinze mois à venir, la grande majorité des consommateurs sera en mesure d'utiliser une nouvelle solution d'authentification forte ».

Un ajournement soulageant tous les secteurs concernés

Au-delà de l’aspect technique de la migration vers l’authentification forte, les banques européennes ont demandé un sursis en invoquant les risques pour les e-commerçants, les habitudes des consommateurs en matière de paiements et les vastes campagnes de communication à mettre en œuvre.

Les acteurs du secteur bancaire ont finalement obtenu gain de cause. Ils bénéficieront ainsi de plus de latitude pour développer et déployer leurs nouveaux systèmes d’authentification (« Pass Sécurité » chez Société Générale, « Sécuripass » chez le Crédit Agricole…).

Selon les précisions fournies par la Banque de France, via l'Observatoire de la sécurité des moyens de paiement :

« Cette première période de migration doit permettre de couvrir plus des trois quarts des utilisateurs et des transactions réalisées sur Internet ».

Pour y parvenir, les banques devront effectuer d’importantes campagnes de communication en vue de promouvoir ces nouvelles méthodes. Les consommateurs seront ainsi plus enclins à les utiliser. Concrètement, la démarche à adopter dépend de chaque enseigne.

Néanmoins, pour la majorité des établissements bancaires, il faut se focaliser sur deux profils, les utilisateurs de l’application mobile et les clients qui ne disposent pas encore de cet outil. Dans les deux cas, l’objectif final est de les inciter à se servir des nouvelles solutions d’authentification avant la fin du système 3D Secure.