You are currently viewing Paiement en ligne : l’authentification par SMS est-elle encore sécurisante ?

Paiement en ligne : l’authentification par SMS est-elle encore sécurisante ?

  • Auteur/autrice de la publication :
  • Post category:Hi-tech

Pour un paiement en ligne, l’ancienne méthode d’authentification « 3D-Secure » par SMS n’est plus considérée comme fiable. Une nouvelle mesure sera prise en 2019. Les détails.

Paiement en ligne : un nouveau mécanisme d’authentification en vue

Si, avant, un paiement en ligne était précédé d’un processus de validation par code unique, baptisé « SMS One time password » ou SMS-OTP ; désormais, cette technique ne sera plus utilisée à partir du mois de septembre 2019. En effet, elle ne répond plus aux nouvelles exigences de sécurisation de paiements en vigueur sur le territoire européen.
Il faut avouer que cette annonce ne s’est pas faite sans générer un sentiment d’inquiétude chez les professionnels de l’e-commerce et chez les banques en ligne qui ont toujours basé leur procédure d’authentification sur l’envoi de SMS confidentiels.
En tout cas, selon les chiffres de la Banque de France, sur environ 40 % des achats en ligne effectués sur le territoire français, plus de 80 % ont été contrôlés via le système SMS-OTP. Autrement dit, la lutte contre la fraude à la carte bancaire par l’intermédiaire de ce dispositif a été plutôt efficace malgré l’existence de certaines failles.
Quoi qu’il en soit, le Gouvernement est décidé à appliquer cette nouvelle démarche étant donné que le montant moyen des fraudes représente actuellement 0,161 % des dépenses réalisées par chaque acheteur en ligne.

Mise en place d’un nouveau dispositif de sécurisation des paiements en ligne : la Commission européenne veut sauter le pas

La Commission européenne estime que les fraudes à la carte bancaire liées aux paiements en ligne ont pris de l’ampleur ces dix dernières années, ce qui nécessite une nouvelle mesure de prévention. Les résultats des analyses ont permis de conclure que les défaillances résident le plus souvent au niveau du système de reconnaissance.
La nouvelle norme veut que les trois éléments d’authentification (la connaissance, la possession et l’inhérence) ne soient pas dépendants entre eux pour s’assurer que l’identité de l’utilisateur du moyen de paiement ne soit pas piratable.
Pour rappel, la connaissance est la demande automatique d’une information que seul le détenteur de la carte connaît. Quant à la possession, c’est un processus par lequel le client soumet à la plateforme quelque chose d’unique qui servira à le reconnaître. Enfin, l’inhérence est la vérification du trait physique de l’acheteur avant la validation de tout paiement, c’est-à-dire un système d’authentification biométrique à reconnaissance faciale ou digitale.
Certes, le SMS-OTP répond parfaitement aux deux premières exigences, mais le problème réside dans leur dépendance.

Système d’authentification biométrique Vs carte bancaire virtuelle : quelle est la meilleure solution ?

Tout paiement en ligne doit être sécurisé par un procédé à la fois efficace et facilement utilisable. De ce fait, les autorités publiques des pays membres de l’Union européenne ont pour mission principale d’élaborer une stratégie concrète afin de faciliter la transition progressive vers ce nouveau principe.
Il est vrai que les banques et les professionnels du e-commerce ont besoin de plus de temps pour s’adapter et qu’un an ne semble donc pas suffisant pour adopter cette nouvelle méthode d’authentification. Certains vont même jusqu’à dire qu’il s’agit d’un un changement trop brutal qui risquerait de pénaliser les utilisateurs. Mais, selon les experts, avec une bonne volonté de la part des acteurs concernés, cette réforme ne devrait poser aucun problème majeur.
Quoi qu’il en soit, la Commission européenne peut encore opter pour l’une de ces alternatives : la biométrie et la carte bancaire virtuelle. Comme évoqué plus haut, la première est basée sur le scan des empreintes digitales de l’utilisateur ; ainsi que l’obtention, de la part de la banque, d’un code dédié à chaque transaction effectuée.
Quant à la seconde solution, la plupart des banques en ligne et des banques classiques l’utilisent déjà. Par exemple, l’e-carte bleue de la Banque Populaire et de la Caisse d’épargne donne des résultats plutôt concluants.