Vous venez de choisir sur Internet des billets de train pour un week-end à Saint-Malo, mais pour finaliser votre transaction et rendre cette petite escapade possible, une dernière étape est indispensable : il vous faut renseigner dans une fenêtre de dialogue les six chiffres que votre banque vous a envoyés par SMS. Cette méthode de sécurisation des paiements, que l'on appelle dans le jargon SMS OTP (pour « one time password », qui signifie « mot de passe à usage unique »), vise à vérifier que le détenteur de la carte bancaire est bien à l'origine du paiement. Elle est apparue en France en 2008 et s'est généralisée, sans être obligatoire, au début des années 2010. Aujourd'hui, près de 40 % des transactions sur Internet en France font l'objet d'une authentification via ce type de message. Contraignante pour certains, rassurante pour d'autres, elle s'apprête à disparaître. Mais beaucoup plus progressivement que prévu.
La nécessité d'authentifier plus fortement
« Depuis sept ans, le taux de fraude par carte bancaire sur Internet baisse grâce à l'introduction de cette technologie », souligne-t-on à la Banque de France. Mais, la nouvelle directive européenne sur les services de paiement (DSP2) visant à renforcer la protection des consommateurs estime que la sécurité apportée par cette méthode n'est plus suffisamment élevée et qu'elle n'est pas compatible avec le principe d'authentification forte. Or celle-ci devient obligatoire pour toutes les transactions à distance supérieures à 30 euros.
Qu'appelle-t-on une authentification forte ? Il s'agit d'une méthode de sécurisation qui fait appel à deux familles distinctes de facteurs d'authentification permettant de prouver son identité. Aujourd'hui, il existe trois grandes familles de facteurs. Le facteur de connaissance qui désigne une information que seul le titulaire du compte connaît, comme le code PIN de sa carte bancaire, le facteur de possession, le consommateur détenant quelque chose qu'il est le seul à posséder, comme sa carte bancaire ou son smartphone, et le facteur biométrique, comme l'empreinte digitale ou la reconnaissance faciale, par exemple.
Des dégâts potentiels pour l'industrie du e-commerce
C'est aux banques qu'il incombe de mettre en place et déployer ces nouvelles méthodes d'authentification. Entré en vigueur le 13 janvier 2018, le texte devait devenir contraignant à compter du 14 septembre 2019, laissant ainsi le temps aux différents acteurs de prendre les mesures nécessaires à sa mise en place. Mais les établissements bancaires ont estimé qu'ils n'étaient pas en capacité d'équiper tous leurs consommateurs d'une nouvelle solution d'authentification forte à partir de cette date, évoquant des habitudes de paiement très ancrées, d'importants efforts pédagogiques à réaliser et de lourds dégâts potentiels pour l'industrie du e-commerce.
Suivant un avis de l'Autorité bancaire européenne (EBA) publié en juin dernier, la Banque de France a donc décidé d'accorder un délai supplémentaire pour sa mise en œuvre. « Ce plan de migration sur la manière dont un client va s'authentifier est prévu jusqu'au 31 décembre 2020. Dans les quinze mois à venir, la grande majorité des consommateurs sera en mesure d'utiliser une nouvelle solution d'authentification forte », assure l'institution.
Néanmoins, les principales banques tricolores ne partent pas d'une page blanche. Selon la Banque de France, toutes ont déjà développé un système de sécurité reposant sur leur propre application bancaire mobile. « Chez BNP Paribas, nous avons une solution baptisée "Clé digitale". Elle est en place depuis plus de trois ans pour valider les opérations sensibles de banque en ligne comme l'ajout d'un nouveau bénéficiaire pour un virement. Et elle a été déployée depuis un an pour valider les transactions en ligne », témoigne Christine Guillaumet, directrice adjointe de l'offre cartes et paiements innovants chez BNP Paribas. « Lorsqu'un client réalise un paiement par carte bancaire sur Internet, il reçoit une notification sur son smartphone qui l'invite à ouvrir l'application mobile de la banque. Il peut alors lire les détails de la transaction, son montant, le nom du marchand, et la valider en renseignant un code à six chiffres qu'il a préalablement choisi. à l'avenir, nous prévoyons d'introduire la validation par empreinte digitale », poursuit-elle, sans donner plus de précisions sur le calendrier. à ce jour, un peu plus d'un client sur deux aurait déjà enregistré sa clé digitale.
Importants plans de communication
Société Générale a adopté la même approche avec sa solution « Pass Sécurité ». La banque de La Défense assure que « la majorité de ses clients l'utilise déjà ». Au Crédit Agricole, environ trois millions de paiements en ligne ont déjà été effectuées avec sa solution maison « Sécuripass ». « L'authentification peut être réalisée grâce à un code confidentiel et personnel ou via l'empreinte digitale ou faciale du client », indique la banque verte à La Tribune.
« Cette première période de migration doit permettre de couvrir plus des trois quarts des utilisateurs et des transactions réalisées sur Internet », précise la Banque de France dans une note de l'Observatoire de la sécurité des moyens de paiement. Pour atteindre cet objectif, les établissements bancaires vont devoir déployer d'importants plans de communication afin d'inciter les consommateurs à adopter cette nouvelle méthode.
« Il y a deux types de clients à motiver : ceux qui ont déjà l'appli mobile de la banque mais qui n'ont pas encore enregistré leur clé digitale et ceux qui n'ont pas encore téléchargé l'appli mobile », résume Christine Guillaumet chez BNP Paribas.
Quid des clients non équipés de smartphone ? « Il n'existe pas de solution complètement universelle. Il va donc falloir que les acteurs du marché trouvent des solutions différentes », reconnaît-on à la Banque de France. Chez BNP Paribas, on évoque la piste d'un appel sur le téléphone fixe du client où un code à saisir serait délivré par un robot. Une autre piste évoquée par la place consiste à ajouter un code confidentiel au SMS OTP. Le choix de la solution ad hoc appartient aux banques. Elles bénéficieront de dix-huit mois supplémentaires à partir du 31 décembre 2020 pour supprimer l'utilisation du SMS à code à usage unique.
Si ce plan de migration est aux mains des banques et non dans celles des professionnels du e-commerce, ces derniers restent malgré tout directement concernés tant les habitudes de paiement ont un impact sur leur chiffre d'affaires. « À l'introduction du SMS OTP, certains e-commerçants ont vu leur chiffre d'affaires baisser de 30 % », se souvient Marc Lolivier, le directeur général de la Fédération du e-commerce et de la vente à distance en France (Fevad). « Il faut trouver un bon équilibre entre un haut niveau de sécurité et un parcours client le plus fluide possible car tout ce qui ralentit le passage au paiement est négatif pour le e-commerçant », explique-t-il.
Les acteurs du e-commerce pourraient trouver satisfaction dans les exemptions que prévoit la DSP2. En effet, selon le texte de loi, trois types de transactions en ligne peuvent échapper à l'authentification forte : les achats inférieurs à 30 euros, les transactions dont le niveau de fraude est estimé à faible risque grâce à une fine analyse des données, et lorsque le vendeur est considéré comme un partenaire de confiance, après avoir été ajouté sur une liste blanche par le client.
Or pour que ces exemptions puissent être accordées par la banque, cette dernière doit recevoir un certain nombre d'informations de la part du e-commerçant. « Le marchand doit pouvoir exposer ses arguments à la banque du client. Si cette dernière ne partage pas son avis, elle pourra forcer l'authentification forte », explique la Banque de France. Seul hic : l'infrastructure permettant ce dialogue, baptisée 3DS, n'est pas adaptée à ces échanges complexes. Il faut, en quelque sorte, rénover toute la tuyauterie pour permettre ce dialogue enrichi.
Le SMS OTP a encore de beaux jours devant
« C'est un chantier qui impose de très lourds développements informatiques pour les e-commerçants. Pour les plus gros sites marchands cela peut représenter plusieurs millions d'euros », estime Marc Lolivier. Là encore, suivant l'avis de l'EBA, la Banque de France a accordé un délai supplémentaire à l'ensemble de l'écosystème. Et les différents acteurs concernés (banques, e-commerçants et prestataires de paiement) ont jusqu'au 31 mars 2021 pour se raccorder à cette nouvelle infrastructure en cours de livraison.
C'est un soulagement pour les professionnels du e-commerce qui craignaient tout simplement un « shut down » du système 3D Secure si toutes les transactions en ligne avaient dû être authentifiées de manière forte dès le 14 septembre dernier. « Le système n'a pas été fait pour supporter 50 transactions à la seconde », explique le directeur général de la Fevad. « Cela aurait été catastrophique pour les e-commerçants dont les transactions n'auraient pas pu aboutir », ajoute-t-il.
Au final, le SMS OTP a encore de beaux jours devant lui puisque d'ici la mise en place progressive de la nouvelle architecture informatique et le déploiement des nouvelles solutions de clés digitales, la Banque de France s'attend à ce que le nombre d'achats sur Internet validés par SMS augmente. Le taux de fraude sur ces paiements authentifiés reste dix fois inférieur à celui des paiements non authentifiés, indique-t-elle. De quoi rassurer les consommateurs. n
Retraités : la volte-face des favorisés d'Emmanuel Macron (45)
Sujets les + commentés