Toute personne ayant effectué un paiement sur Internet connaît bien le procédé : d’abord, vous voyez une super paire de chaussures ou un magnifique téléphone en promotion, bien sûr, vous le voulez tout de suite (ça tombe bien, vous êtes Prime), une validation du panier, puis vous entrez vos coordonnées (notamment bancaire). Et vous voulez payer (ou plutôt, vous devez payer).

Votre téléphone sonne, chouette, un SMS ! Mais ce n’est ni votre mère, ni votre meilleur ami… C’est le 36380 qui vous envoie quelques chiffres aléatoires, à retaper sur le site du commerçant, pour s’assurer que c’est bien vous qui faites l’achat. C’est le SMS-OTP “One Time Password”. Et c’est bientôt fini !

Un SMS ? Pas toujours…

C’est vrai. En fait, la grande majorité des banques mettent en place un protocole sécurisé de paiement sur Internet appelé 3D Secure, afin de permettre une authentification forte. La plupart utilise ce système de code par SMS, car il est le plus simple à mettre en place à la fois pour la banque, le commerçant et le client. Néanmoins, certaines banques proposent d’autres alternatives, comme un cryptogramme (les 3 derniers chiffres au dos de la carte) dynamique, soit via code pin ou encore table de correspondance.

Néanmoins, la moitié des paiements en ligne se font avec ce code SMS aujourd’hui. L’authentification n’est pas jugée assez forte par l’Union Européenne qui donne donc de nouvelles directives techniques à horizon 2019 (la directive DSP2, un document pas très concis…). Il est en effet relativement facile de pirater un téléphone, rien qu’avec le vol d’un sac comprenant ledit téléphone avec une carte bancaire, ou encore l’interception des données (la méthode forte contre la méthode douce).

En France, il y a environ un euro de fraude à la carte bleue tous les 620 euros dépensés, d’après l’AMF. C’est notamment ce constat qui a conduit la commission européenne de publier cette nouvelle directive.

L’authentification forte ? Comment faire mieux ?

Les banques veulent s’assurer que son client est bien celui qu’il prétend être. Rappelons qu’en cas de fraude, avec la méthode 3D Secure, c’est elle qui doit porter la charge financière… Pour cela, avant que le paiement soit effectif (l’équivalent du “paiement accepté”, comme sur un terminal de carte bleue, celui qui rassure quand vous invitez votre date au restaurant…), la banque devra valider au moins 2 des 3 points sur l’utilisateur :

  • ce qu’il sait – une information que seul le client connaît
  • ce qu’il a – un objet que seul le client possède
  • ce qu’il est – un trait physique que seul le client possède

Mais le SMS reçu répond pourtant bien à 2 des trois points !

En effet, le SMS permet de vérifier une information que seul le client connaît (le code SMS) ainsi qu’un objet que seul le client possède (le téléphone portable). Le problème, c’est que ces deux méthodes (voire 3 si on ajoute, pourquoi pas, l’identification biométrique du smartphone) sont confondues. Le SMS est reçu sur le téléphone, cela ne compte donc que pour une seule vérification, l’authentification n’est donc pas considérée comme forte…

Certains établissements ont commencé à travailler pour pallier à ça : il y a des rumeurs sur des cartes biométriques pour fin 2018 (capteurs d’empreinte sur la carte bancaire ou sur le lecteur), d’application  de reconnaissance faciale, de paiement biométrique par montre connectée … Tant de choses qui vont encore bousculer notre quotidien techniquement dans les prochaines années. Peut-être que bientôt, nous paierons avec une puce implémentée dans le corps, mais si vous avez regardé certains épisodes de Black Mirror, je ne suis personnellement pas très impatient d’être équipé de cette technologie ! 

Comment faire pour répondre à cette directive aussi rapidement ?

C’est là où le bât blesse. Les délais sont très courts, puisque l’Europe demande à ce que ce soit mis en place en septembre 2019, c’est à dire en à peine un an. Et ça ne satisfait personne ! Par conséquent,  les banques doivent investir dans de nouvelles innovations techniques, les commerçants qui estiment que ces nouvelles procédures vont rendre laborieux et chronophage le processus de paiement, ce qui va avoir un impact sur le taux de conversion à la vente, et même les clients qui devront très vite s’habituer à de nouvelles procédures (et on sait que les clients sont souvent réticents aux changements).

C’est donc évident, résoudre le problème de la fraude amène de nouveaux problèmes commerciaux. Certaines associations de commerçants veulent un délai supplémentaire de 3 ans pour que soit mis en place cette authentification forte, pour le porter ainsi à septembre 2022.

Lors de la mise en place du 3DSecure et de la validation par SMS, déjà des voix s’étaient élevées de la part des commerçants, qui y voyaient déjà un frein à la conclusion de la vente, mais aussi d’impossibilité de vendre à des personnes n’ayant pas accès à un réseau mobile fiable. Pourtant, aujourd’hui, c’est devenu la norme. Une norme qu’il faudra changer.

C’est effectivement paradoxal : la fraude coûte cher, mais la peur de moins vendre aussi. L’équilibre est ici très dur à trouver, tant pour les commerçants que pour les établissements financiers. Est-ce que cela ne se fait pas au détriment du client, sous couvert de sécurité ?

Et finalement, y a-t-il un consensus qui permettrait à tous les acteurs d’être en phase entre ergonomie, convivialité, sécurité ?

A l’heure où les paiements inférieurs à 30€ peuvent être facilement effectués par carte sans contact ou téléphone portable sans authentification du tout, où les paiements par carte bleue avec code restent majoritaires dans le quotidien, est-ce que nous ne sommes pas aujourd’hui dans une logique de sur-sécurisation coûteuse des paiements sur Internet ?

Par Stéphane Guille-Villy, consultant risques chez BI consulting

Article
Précédent
Article
Suivant