Vous n’allez pas y échapper lors de vos achats sur Internet ! Lors du paiement, vous serez confronté à un processus d’authentification en plus des classiques coordonnées de carte bancaire (numéro, date d’expiration et code à trois chiffres CVV/CVC). La raison à ce regain de sécurité ? La montée en puissance de la directive européenne sur les services de paiements DSP2, qui vise à réduire la fraude lors des achats en ligne grâce à un système d’authentification forte.
Afin de permettre aux banques, aux prestataires de services de paiement et aux e-commerçants de se mettre en conformité, la directive est entrée en vigueur en septembre 2019, mais avec une mise en application progressive. Ainsi, l’authentification forte a été exigée selon plusieurs paliers de paiements, comme le montre ce graphique de la Fevad (Fédération du e-commerce et de la vente à distance) :
À partir du 15 mai, tous les paiements pourront donc faire l’objet d’une authentification forte. Pour vous aider à y voir plus clair, voici nos réponses aux questions que vous êtes susceptibles de vous poser :
1 – Qu’est-ce que la directive DSP2 ?
La deuxième directive sur les services de paiement, adoptée le 25 novembre 2015 par le Parlement européen, actualise le cadre réglementaire des paiements en Europe en renforçant le niveau de sécurité des paiements et la protection des clients. Elle introduit l’obligation d’une authentification forte pour les paiements en ligne et la reconnaissance de nouveaux services de paiement et de deux nouveaux acteurs en charge de les assurer : les prestataires de services d’information sur les comptes et les prestataires de services d’initiation de paiement. En outre, elle baisse la franchise restant à la charge du client de 150 euros à 50 euros en cas de paiement frauduleux par carte bancaire avant opposition pour perte ou vol de la carte.
2 – Qu’est-ce que le protocole 3-D Secure ?
Le protocole 3-D Secure (3DS) sert au processus d’authentification. Il est utilisé par exemple sous les noms commerciaux « Verified By Visa » et « MasterCard SecureCode ». Créée en 1999, la version 1 du protocole était limitée aux navigateurs web. La version 2 est plus rapide, offre une meilleure intégration avec les applications mobiles et prend en charge de nouveaux éléments comme l’authentification biométrique ou les portefeuilles virtuels (wallets).
3 – Qu’est-ce que l’authentification forte ?
Un seul élément ne suffit plus pour s’authentifier lors du paiement d’un achat en ligne. L’authentification forte (Strong Customer Authentication en anglais) exige au moins deux facteurs distincts pris parmi trois éléments : quelque chose que le client sait (mot de passe, code PIN), quelque chose qu’il possède (ordinateur, smartphone) et quelque chose qui le caractérise comme individu (empreinte digitale, rétine, forme du visage, voix).
4 – Y’a-t-il des exceptions ?
Les exceptions au processus d’authentification sont définies par la directive européenne dans le cadre des processus d’exemptions. Citons, par exemple, les opérations à faible montant (inférieur à 30 euros, dans la limite de 5 transactions ou de 100 euros cumulés) et à risque faible, ainsi que les abonnements et les opérations récurrentes, dans la mesure où leur montant ne varie pas et après une première authentification forte. Il y a donc de fortes chances que de nombreux petits paiements s’effectuent facilement pour le client.
Pour des transactions jugées non risquées, le e-commerçant peut utiliser le mode « frictionless » du protocole 3-D Secure V2 (capacité à ne pas déclencher d’authentification forte pour offrir un parcours d’achat sans friction). Selon le contexte de risque, la banque du client conserve toutefois la possibilité de requérir quand même à une authentification forte de la transaction.
Signalons enfin que des systèmes de paiement tels que Apple Pay, Google Pay, Samsung Pay et PayPal sont conformes à la directive DSP2.
5 – Quelles sont les solutions mises en œuvre par les banques ?
La plupart des banques proposent désormais une authentification forte au sein de leurs applications. Ces fonctions portent le nom de Clé Digitale, Pass Sécurité, Confirmation Mobile, Sécur’Pass, Certicode Plus… Selon la banque, vous aurez besoin au minimum d’un appareil mobile sous Android 6.0, voire 5.0 (Société Générale, Crédit Agricole, La Banque Postale), ou sous iOS 11, voir iOS 10 (La Banque Postale).
6 – L’authentification par SMS va-t-elle disparaître ?
Beaucoup de paiements s’effectuent actuellement en recevant un code par SMS sur son téléphone. Ce code à usage unique (One Time Password ou OTP) sert ensuite à s’authentifier pour confirmer le paiement. Le procédé n’est hélas pas suffisamment sécurisé et ne satisfait plus à la directive DSP2. Ainsi, le plan de migration défini par l’Observatoire de la Sécurité de Moyens de paiement (présidé par le gouverneur de la Banque de France) implique que ce procédé sera de moins en moins utilisé et devra disparaître définitivement d’ici fin juin 2021. Toutefois, les clients de certaines banques, par exemple la Société Générale, pourraient bénéficier d’un répit jusqu’au 31 décembre 2021 pour se procurer un dispositif d’authentification forte.
L’authentification par SMS ne va toutefois pas totalement disparaître. Des banques telles que le Crédit Agricole, LCL, BPCE (Banque Populaire et Caisse d’Epargne), BNP Paribas et la Société Générale vont proposer une solution d’authentification par SMS « renforcé ». Le code reçu par SMS sera alors utilisé en association avec un mot de passe personnel (code d’accès à son compte bancaire en ligne ou code dédié fourni par la banque). Cette solution est tout à fait conforme à la directive DSP2, car elle met en œuvre deux éléments d’authentification de nature différente : un facteur de possession (code reçu par SMS) et un facteur de connaissance (mot de passe personnel).
A découvrir aussi en vidéo :
7 – Et si je n’ai pas de smartphone ou si mon appareil est trop vieux ?
Il sera toujours possible d’utiliser la solution de SMS renforcé, qui ne nécessite qu’un simple téléphone mobile, quand elle sera disponible. Signons que le Crédit Mutuel propose pour 29 euros un boîtier autonome, baptisé Digipass. Ce boîtier est équipé d’un lecteur de QR Code et ne nécessite pas de connexion physique à un ordinateur. Pour l’utiliser, il faut scanner le QR Code qui s’affiche sur l’écran de l’ordinateur ou de l’appareil mobile, entrer sur le boîtier son code PIN personnel, puis saisir sur son ordinateur le code à 8 chiffres qui s’affiche sur le lecteur. Enfin certaines banques comme le groupe BPCE proposent à leurs clients, principalement professionnels, une solution d’authentification qui met en œuvre un lecteur de cartes à puce.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.