Authentification forte : qu'est-ce que ça change pour vous ?

[fa icon="calendar"] publié le 8 août 2019 10:37:59, écrit par Arva Fajele Abasse

À partir de septembre 2019, vos achats en ligne de plus de 30 euros ne pourront plus être authentifiés par un simple SMS et vous ne pourrez plus accéder à vos comptes bancaires via la simple combinaison identifiants/mot de passe. La directive sur la sécurité des paiements (DSP2) de l'Union Européenne, dont je vous parlais en janvier 2018, demande aux banques et aux sites de vente en ligne de passer par un système de validation plus sûr.

 

La fin du code reçu par SMS 

Comment sécuriser les achats en ligne en décourageant la fraude sans pénaliser l'internaute par des procédures (trop) complexes? 

Les banques avaient trouvé depuis une dizaine d'années un compromis avec le système d'authentification par SMS (procédé 3D Secure), déployé sur nombre de sites d'e-commerce en France. Selon la Banque de France, cette méthode est aujourd'hui utilisée pour sécuriser 40 % des achats en ligne.

Mais, l'application de la DSP2 sur les paiements électroniques rendra bientôt ce dispositif obsolète. En effet, la réception sur son smartphone d'un code unique ne permet pas de garantir l'identité de l'acheteur avec suffisamment de certitude : soit parce que les SMS peuvent être détournés (une technique de piratage de plus en plus courante), soit parce que le smartphone peut être volé à son propriétaire.

Ainsi, en plus des paiements en ligne de plus de 30 euros, il y a le sujet de la sécurité de l’accès à distance des comptes bancaires. Le texte impose en effet le recours à une authentification forte. Et la combinaison de l'identifiant et du mot de passe, généralement utilisée aujourd’hui, ne suffira plus. Les banques, comme les e-commerçants, vont devoir sophistiquer leur procédure d’authentification.

 

Qu'est-ce que l'authentification forte ? 

L'authentification forte, telle que définie par la DSP2, signifie que les accès aux comptes et les transactions de plus de 30 euros seront vérifiés à l'aide d'au moins deux des éléments suivants, (d'où l'appellation double authentification) :

  • un mot de passe ou un code que seul l'utilisateur connaît (élément mémorisé)
  • un appareil (téléphone mobile, carte à puce, etc.) que seul l'utilisateur possède (élément matériel)
  • une caractéristique personnelle du client : empreinte digitale, reconnaissance vocale ou faciale (élément biométrique)

Bien que validant a priori deux critères (connaissance et possession) ci-dessus, le SMS n’est pas considéré comme suffisamment intègre ou confidentiel pour être retenu comme la preuve d’un facteur fiable de possession, pour les raisons évoquées dans le premier paragraphe.

Les banques devront proposer des moyens d’authentification plus fiables pour les utilisateurs. L’utilisation de capteurs d’empreintes sur les cartes ou d’applications d’authentification proposées par les banques est ainsi étudiée. Mais le timing paraît serré. Plusieurs fédérations de commerçants avaient demandé en novembre 2018, un délai supplémentaire de trois ans pour faciliter la mise en place de ces nouveaux moyens d’authentification.

 

Les entreprises ne sont pas prêtes

La plateforme de paiement Stripe a dévoilé une étude qui révèle une perte de 57 milliards d'euros d'activité économique pour l’Europe la première année suivant l'entrée en vigueur de l'authentification forte. Les résultats sont fondés sur des enquêtes menées auprès de 500 professionnels du paiement en ligne et de 1 000 consommateurs en France, en Allemagne, aux Pays-Bas, en Espagne et au Royaume-Uni.

Parmi les points importants, l’étude révèle que trois entreprises sur cinq de moins de 100 employés ne connaissent pas l'authentification forte, et n'ont pas prévu de s'y conformer avant l'échéance de septembre, ou ignorent quand elles seront prêtes. En revanche, chez les marchands de plus de 5 000 employés, seul un professionnel du paiement sur 25 ignore cette régulation.

Toujours selon l'étude, les entreprises prévoient de minimiser les transactions nécessitant l’authentification forte, notamment grâce à un ensemble d'exemptions permettant des paiements récurrents ou de petits achats de moins de 30 euros. 


Sources :

  1. Télécharger la DSP2
  2. Les Echos : commerçants n'ayez pas peur du DSP2
  3. Cbanque : Compte bancaire : le code secret ne va plus suffire pour se connecter
  4. Usine digitale : l'authentification forte pourrait coûter 57 milliards d'euros à l'Europe selon une étude dévoilée par Stripe
  5. Le Parisien : banques : vers la fin des SMS pour valider un paiement

Catégories: Banque

Arva Fajele Abasse

écrit par Arva Fajele Abasse

Chargée de communication et de contenus