Paie­ment en ligne : le SMS an­ti-fraude n’est pas en­core mort

SÉ­CU­RI­TÉ Le SMS en­voyé par les banques lors d’un achat sur In­ter­net a per­mis de bais­ser le taux de fraude. Mais la di­rec­tive eu­ro­péenne sur les paie­ments im­pose d’uti­li­ser de nou­velles mé­thodes de sé­cu­ri­té ren­for­cées… com­plexes à dé­ployer.

La Tribune Hebdomadaire - - FINANCE - JU­LIETTE RAY­NAL

Vous ve­nez de choi­sir sur In­ter­net des billets de train pour un week-end à SaintMalo, mais pour fi­na­li­ser votre tran­sac­tion et rendre cette pe­tite es­ca­pade pos­sible, une der­nière étape est in­dis­pen­sable : il vous faut ren­sei­gner dans une fe­nêtre de dia­logue les six chiffres que votre banque vous a en­voyés par SMS. Cette mé­thode de sé­cu­ri­sa­tion des paie­ments, que l’on ap­pelle dans le jar­gon SMS OTP (pour « one time pass­word » , qui si­gni­fie « mot de passe à usage unique »), vise à vé­ri­fier que le dé­ten­teur de la carte ban­caire est bien à l’ori­gine du paie­ment. Elle est ap­pa­rue en France en 2008 et s’est gé­né­ra­li­sée, sans être obli­ga­toire, au dé­but des an­nées 2010. Au­jourd’hui, près de 40!% des tran­sac­tions sur In­ter­net en France font l’ob­jet d’une au­then­ti­fi­ca­tion via ce type de mes­sage. Contrai­gnante pour cer­tains, ras­su­rante pour d’autres, elle s’ap­prête à dis­pa­raître. Mais beau­coup plus pro­gres­si­ve­ment que pré­vu.

AU­THEN­TI­FIER PLUS FOR­TE­MENT

« De­puis sept ans, le taux de fraude par carte ban­caire sur In­ter­net baisse grâce à l’in­tro­duc­tion de cette tech­no­lo­gie », sou­ligne-t-on à la Banque de France. Mais, la nou­velle di­rec­tive eu­ro­péenne sur les ser­vices de paie­ment (DSP2) vi­sant à ren­for­cer la pro­tec­tion des consom­ma­teurs es­time que la sé­cu­ri­té ap­por­tée par cette mé­thode n’est plus suf­fi­sam­ment éle­vée et qu’elle n’est pas com­pa­tible avec le prin­cipe d’au­then­ti­fi­ca­tion forte. Or celle-ci de­vient obli­ga­toire pour toutes les tran­sac­tions à dis­tance su­pé­rieures à 30 eu­ros. Qu’ap­pelle-t-on une au­then­ti­fi­ca­tion forte!? Il s’agit d’une mé­thode de sé­cu­ri­sa­tion qui fait ap­pel à deux fa­milles dis­tinctes de fac­teurs d’au­then­ti­fi­ca­tion per­met­tant de prou­ver son identité. Au­jourd’hui, il existe trois grandes fa­milles de fac­teurs. Le fac­teur de connais­sance qui dé­signe une in­for­ma­tion que seul le ti­tu­laire du compte connaît, comme le code PIN de sa carte ban­caire, le fac­teur de pos­ses­sion, le consom­ma­teur dé­te­nant quelque chose qu’il est le seul à pos­sé­der, comme sa carte ban­caire ou son smart­phone, et le fac­teur bio­mé­trique, comme l’em­preinte di­gi­tale ou la re­con­nais­sance fa­ciale, par exemple.

C’est aux banques qu’il in­combe de mettre en place et dé­ployer ces nou­velles mé­thodes d’au­then­ti­fi­ca­tion. En­tré en vi­gueur le 13 jan­vier 2018, le texte de­vait de­ve­nir contrai­gnant à comp­ter du 14 sep­tembre 2019, lais­sant ain­si le temps aux dif­fé­rents ac­teurs de prendre les me­sures né­ces­saires à sa mise en place. Mais les éta­blis­se­ments ban­caire sont es­ti­mé qu’ ils n’étaient pas en ca­pa­ci­té d’équi­per tous leurs consom­ma­teurs d’une nou­velle so­lu­tion d’au­then­ti­fi­ca­tion forte à par­tir de cette date, évo­quant des ha­bi­tudes de paie­ment très an­crées, d’im­por­tants ef­forts pé­da­go­giques à réa­li­ser et de lourds dé­gâts po­ten­tiels pour l’in­dus­trie du e-com­merce. Sui­vant un avis de l’Au­to­ri­té ban­caire eu­ro­péenne (EBA) pu­blié en juin der­nier, la Banque de France a donc dé­ci­dé d’ac­cor­der un dé­lai sup­plé­men­taire pour sa mise en oeuvre. « Ce plan de mi­gra­tion sur la ma­nière dont un client va s’au­then­ti­fier est pré­vu jus­qu’au 31 dé­cembre 2020. Dans les quinze mois à ve­nir, la grande ma­jo­ri­té des consom­ma­teurs se­ra en me­sure d’uti­li­ser une nou­velle so­lu­tion d’au­then­ti­fi­ca­tion forte », as­sure l’ins­ti­tu­tion. Néan­moins, les prin­ci­pales banques tri­co­lores ne partent

[ISTOCK]

Au­jourd’hui, en France, près de 40#% des tran­sac­tions sur In­ter­net sont au­then­ti­fiées via un mot de passe à usage unique.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.